Компания Х: первые шаги к обеспечению информационной безопасности

Вопросам информационной безопасности (ИБ) посвящено много статей и работ. Российская школа ИБ может гордиться уровнем и количеством подготовленных специалистов. В этой статье я хотел "крупными мазками" описать проблематику построения системы безопасности современной компании, не углубляясь в технические подробности. При этом постараюсь выразить только свое мнение в описываемых вопросах.

Очень часто специалисты в области ИБ задумываются о первых шагах при построении системы обеспечения ИБ компании. Что делать? С чего начинать? Ситуация с еще действующими руководящими документами ФСТЭК России (РД и СТР-К) и действующими ГОСТ 15408 и ISO 2700X только запутывает ситуацию.

Для отрасли "Связь" можно описать три направления работ по обеспечению безопасности Компании Х:

1. Обеспечение безопасности сети и подсистем предоставления услуг (что приносит прибыль);
2. Обеспечения безопасности АСР (что "считает" прибыль);
3. Обеспечение безопасности офисной компьютерной сети (поддержка работоспособности офиса).

Обеспечение информационной безопасности обычно включает обеспечение следующих свойств информации:

- конфиденциальность;
- целостность;
- доступность.

Однако в некоторых публикациях при рассмотрении технологий в решениях по управлению идентификацией и доступом (IAM – Identity and Access Management) выделяет сегмент "4A", включая в него Аутентификацию, Авторизацию, Администрирование и Аудит. В этих решениях выделяется следующие две основные функции:

1. функция управления - администрирование и аудит;
2. функция правоприменения в режиме реального времени (real-time enforcement) – авторизация и аутентификация.

Обычно первым шагом при создании системы ИБ любого коммерческого предприятия является определение наиболее важных активов, которые необходимо защитить. Это может быть как сервер, так и файл с важной информацией. Также на этом этапе необходимо провести категоризацию информации по уровням конфиденциальности. Обычно информацию делят на три уровня: открытая информация, информация для внутреннего использования, информация, составляющая коммерческую тайну.

Категорирование информационных ресурсов должно производиться в соответствии с документом "Положение по разграничению информации по грифу конфиденциальности и ее защите в Компании Х"", а также законодательным и нормативно-распорядительными документами Российской Федерации в области защиты информации. В соответствии с положениями этих документов вводятся следующие категории информации:

- открытая информация (ОИ);
- информация для служебного/внутреннего пользования/использования (ДСП/ДВИ);
- конфиденциальная информация (КИ), включающая:
- персональные данные;
- коммерческую тайну;
- служебную тайну;
- профессиональную тайну.

Право на отнесение информации к какому либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит обладателю этой информации.

При этом надо четко понимать, что рассматриваемый документ не описывает работу с информацией, составляющей государственную тайну

К защите информации применяются три базовых принципа:

- конфиденциальность;
- целостность;
- доступность.

К открытой информации (ОИ) обычно относится:

- информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т.п.);
- информация, полученная из внешних открытых источников;
- информация, находящаяся на внешнем Web-сайте Компании.

К защите ОИ применяются следующие принципы:

- целостность;
- доступность.

К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп или Компании Х в целом, которая:

- циркулирует между подразделениями и необходима для нормального их функционирования (например, на внутреннем Web-сайте);
- является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);
- не относится к информации конфиденциального характера;
- не относится к открытой информации.

К защите ДВИ применяются следующие принципы:

- целостность;
- доступность.

К защите конфиденциальной информации (КИ) применяются следующие принципы:

- конфиденциальность;
- целостность;
- доступность.

Каждый руководитель структурного подразделения должен знать, есть ли у него информация (в электронном виде или на бумажных носителях), которую (хотя бы) потенциально можно отнести к коммерческой тайне.

Руководитель должен осознавать ценность информации, с которой работает его подразделение. Критерием может быть оценка важности информации для потенциальных конкурентов и недобросовестных клиентов, поставщиков и т.п.

На следующем этапе применяется анализ рисков ИБ. Часто в основе проводимых работ по анализу рисков лежит метод CRAMM. Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) используется с 1985?г. правительственными и коммерческими организациями Великобритании. За это время он приобрел популярность во всем мире. Ниже излагается сущность метода CRAMM и основные этапы его использования.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих стандартные механизмы безопасности, или необходимо проведение детального анализа защищенности?". На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Первый этап

Список задач:

- Подготовка функциональной спецификации системы и согласование границ проведения обследования данной системы.
- Идентификация информационных, программных и физических ресурсов и создание модели ресурсов исследуемой системы.
- Оценка критичности информационных ресурсов с точки зрения величины возможного ущерба от их несанкционированного раскрытия, модификации, уничтожения или их временной недоступности. С этой целью проводятся опросы пользователей и владельцев ресурсов. Предлагаются соответствующие формы (анкеты), помогающие структурировать опрос и инструкции для анализа результатов опросов.
- Оценка физических ресурсов с точки зрения стоимости их замены или ремонта.
- Оценка программных ресурсов с точки зрения стоимости их замены или восстановления, а также величины ущерба от их недоступности, раскрытия или модификации.

Если уровень критичности ресурсов является очень низким, то к системе предъявляются только требования безопасности базового уровня. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется список адекватных контрмер базового уровня.

Второй этап

На втором этапе производится анализ угроз безопасности и уязвимостей.

Список задач:

- Идентификация угроз в отношении конкретных ресурсов, требующих проведения детального анализа.
- Оценка уровня угроз (вероятности их осуществления).
- Оценка уязвимости системы по отношению к конкретным угрозам (вероятности причинения ущерба).
- Вычисление рисков, связанных с осуществлением угроз безопасности, на основе оценки стоимости ресурсов, оценки уровня угроз и оценки уязвимостей.

Для оценки уязвимости системы используются специальные "опросники" (анкеты), содержащие формулировки вопросов и варианты возможных ответов. При проведении анализа рисков системы существующие контрмеры, применяемые в системе (существующие средства защиты информации, организационные меры защиты), игнорируются с целью избежать неверных предположений относительно их эффективности.

Третий этап

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.

Список задач:

- Разработка системы контрмер для уменьшения величины идентифицированных рисков.
- В случае наличия в системе средств защиты, осуществляется их сравнение с полученным списком контрмер.
- Разработка рекомендаций по использованию адекватных контрмер.

Решение о реализации новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим денежные и трудовые затраты, их приемлемость и конечную выгоду для бизнеса.

На основании анализа рисков определяется набор необходимых и достаточных средств и методов защиты.

Для минимизации рисков от успешной реализации угроз информационной безопасности необходимо применение рекомендаций организационного уровня, и только сочетание применения технических средств и организационных мер позволит обеспечить должный уровень защищенности системы от различного рода угроз информационной безопасности.