Анализ состояния и методология обеспечения информационной безопасности в процессах управления

В результате изучения данной главы студент должен:

знать

  • • стратегию обеспечения ИБ в системе управления предприятия;
  • • международное и российское законодательство в области И Б;
  • • организационные методы защиты в системе управления;
  • • методологию анализа и оценки ИБ в системе управления;

уметь

  • • применять методологию исследования организации ИБ в системе управления предприятия;
  • • применять методологию анализа и оценки концепций защиты процессов переработки информации в системе управления;
  • • использовать модели анализа безопасности ПО и взаимодействия объектов предприятия в вычислительной системе;
  • • применять оценку защищенности объектов в системе управления;

владеть

  • • навыками анализа и оценки ИБ в системе управления организацией;
  • • навыками применения моделей анализа безопасности ПО;
  • • методами оценки защищенности объектов и системы управления предприятия.

Основные положения по обеспечению ИБ в системах управления

Стратегия ИБ в системе управления предприятия

Деятельность любой организации в наше время связана с получением и передачей информации в системе ее управления. Информация является сейчас стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству.

За последние 20 лет ИТ проникли во все сферы управления и ведения бизнеса. Сам же бизнес из реального мира давно переходит в мир виртуальный, а поэтому весьма зависим от вирусных, хакерских и прочих атак. По данным Института компьютерной безопасности США общий ущерб, который нанесли компьютерные вирусы за последние пять лет, оценивается как минимум в 54 млрд долл., а по данным сайта SecurityLab.ru только за 10 дней февраля вирусы "съедают" астрономическую сумму – около 50 млрд долл. После начала эпидемии MyDoom Министерство национальной безопасности США вообще приравняла вирусные эпидемии к терроризму. Разработчики ПО быстро реагируют на атаки, но довольно часто опаздывают с противодействием. Пока не существует средств защиты от глобальных эпидемий вирусов.

Первые преступления с использованием компьютерной техники появились в России в 1991 г., когда были похищены 125,5 тыс. долл, во Внешэкономбанке СССР. В 2003 г. в России было возбуждено 1602 уголовных дела по ст. 272 ("Неправомерный доступ к компьютерной информации") и 165 ("Причинение имущественного ущерба путем обмана и злоупотребления доверием") Уголовного кодекса РФ (УК РФ).

В мире с 1999 г. появилась еще одна проблема ИБ – спам. Это анонимная массовая непрошеная рассылка. Сейчас около 30% всех электронных писем являются спамом. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 млрд долл. Спам в пределах одной компании приводит к убыткам от 600 до 1000 долл, ежегодно, из расчета на одного пользователя. "Спам – это архиважная проблема, грозящая свести на нет большую часть преимуществ электронной почты", – пишет Билл Гейтс в одном из своих регулярных e-mail-обращений к заказчикам.

Также широко распространяется сейчас промышленный шпионаж – устройство стоимостью всего 10 долл. В случае удачного размещения он может привести фирму к банкротству. В последнее время участились взломы компьютерных сетей (например, несанкционированный доступ к информации, обрабатываемой на персональных ЭВМ). В настоящее время злоумышленники могут получить доступ не только к открытой информации, но и к информации, содержащей государственную (в 2003 г. Федеральной службой безопасности РФ пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России) и коммерческую тайну.

Информационная безопасность – это комплекс мер по обеспечению безопасности информационных активов предприятия. Самое главное в этом определении то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом.

Стратегия – средство достижения желаемых результатов, комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления ее конкурентных позиций. Иными словами, стратегию ИБ нужно определять с учетом быстрого реагирования на новые угрозы и возможности.

Выделяют три главных требования к стратегии ИБ.

  • 1. Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
  • 2. Целостность – поддержание целостности ценной и секретной информации. Это означает, что она защищена от неправомочной модификации. Существует множество типов информации, которые имеют ценность только тогда, когда мы можем поручиться, что они правильные. Главная цель политики ИБ должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
  • 3. Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае основной целью политики ИБ должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Не секрет, что дела с обеспечением ИБ в большинстве российских компаний обстоят не лучшим образом. Общение со специалистами и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками в системе управления ИБ. Большинство специалистов-практиков даже не берутся за эту "непосильную" задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией.

Убытки от нарушений ИБ могут проявляться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными "круглыми суммами", например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.

Политика безопасности лежит в основе организационных мер защиты информации. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с неоднозначностью понимания термина "политика безопасности", в современной практике обеспечения ИБ этот термин может употребляться как в широком, так и в узком смысле. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить "Политика управления паролями", "Политика управления доступом к ресурсам корпоративной сети", "Политика обеспечения ИБ при взаимодействии с сетью Интернет" и т.п.

Использование нескольких специализированных нормативных документов обычно является предпочтительней создания "Общего руководства по обеспечению ИБ организации". Например, в компании Cisco Systems, Inc. стараются, чтобы размер политики безопасности не превышал две страницы. В редких случаях размер политики безопасности может достигать 4–5 страниц. Содержательная часть типовой русскоязычной политики безопасности обычно не превышает семи страниц.

Этот подход, однако, не противоречит и созданию объемных руководств, положений и концепций по обеспечению ИБ, содержащих ссылки на множество специализированных политик безопасности и увязывающих их в единую систему организационных мер по защите информации в системе управления и деятельности предприятия.

Эффективность политики безопасности определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные далее, а также правильностью и законченностью процесса внедрения политики ИБ.

Эффективные политики безопасности определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке политики безопасности, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Меры безопасности накладывают ограничения на действия пользователей и администраторов информационной системы управления и в общем случае приводят к снижению производительности труда.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что светофор предназначен для обеспечения безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел, и если светофор долго не переключается, то у многих возникает желание проехать на красный. В конце концов, светофор может быть неисправен либо дальнейшее ожидание является неприемлемым.

Каждый пользователь системы управления обладает ограниченным запасом терпения в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела).

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет". Следует учитывать и минимизировать влияние политики безопасности на производственный процесс, соблюдая принцип разумной достаточности.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи системы управления могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, нужно посмотреть сначала налево, а потом – направо.) В отличие от инстинктивного это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированных с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации. Требуется проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования политики безопасности отнюдь не являются очевидными. Чем сложнее пользователям системы управления приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования политики безопасности наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся. Необходимо осуществлять непрерывный контроль выполнения правил политики безопасности как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах. Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности, что и является основной функцией ИСУ.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться, так как даже если удалось разработать и внедрить эффективную политику, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность.

Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться.

Важнейшим в вопросах анализа эффективности стратегии ИБ является оценка риска реализации политики безопасности в системе управления организации.

Перед принятием любых решений относительно стратегии ИБ предприятия (как на длительный, так и на короткий период времени) необходимо оценить степени уникальных рисков. Пока организация имеет информацию, представляющую ценность для нее и ее конкурентов (а может, и просто "случайных" хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика – это механизм контроля существующих рисков, она должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области системы и использоваться для определения дальнейших целей и средств.

Оценка риска представляет собой комбинацию величин, зависящих от количества, имеющих определенную ценность для организации, и уязвимостей, пригодных для использования для получения доступа к этим ресурсам. Собственно, величина уникального риска для конкретной информации – отношение ценности этой информации к количеству способов, которыми данная информация может быть уязвима в структуре корпоративной сети. Очевидно, что чем больше оказывается полученная величина, тем большие средства стоит направить организации на "затыкание" этой дыры.

Конечно, это слишком упрощенно и утрированно. Так, при разработке политики безопасности неизбежно возникнут вопросы о том, что некоторые ресурсы, пусть и имеющие для организации ценность, должны быть свободно доступны в Интернете либо доступ к ним должны иметь коммерческие партнеры. Но в целом, хоть и с некоторой условностью, применяется именно описанный подход. Политика, учитывающая слишком много факторов, многие из которых абсолютно неактуальны, ничем не лучше политики, которая ошибочно не учитывает какого-то важного условия. Разработка политики безопасности является совместным делом руководства компании, которое должно точно определить ценность каждого информационного ресурса и выделяемые на безопасность средств, и системных администраторов, которые должны правильно оценить существующую уязвимость выбранной информации.

Системные администраторы должны определить способы снижения уязвимости информационных ресурсов и, основываясь на их ценности, согласовать с руководством применяемые методы. Под методами подразумевается не только написание или приобретение и установка необходимых программ и оборудования, но и обучение персонала, разработка должностных инструкций и определение ответственности за их невыполнение.

 
< Пред   СОДЕРЖАНИЕ     След >