А.Н. Асаул, Е.А. Владимирский, Д.А. Гордеев, Е.Г. Гужва, А.А. Петров, Р.А. Фалтинский
Закономерности и тенденции развития современного предпринимательства
Под ред. д.э.н., проф. А.Н. Асаула. СПб.: АНО ИПЭВ, 2008. – 280 с.
Предыдущая |
|
Глава 4. Основные направления безопасности предпринимательской деятельности
4.5. Защита информационных ресурсов и повышение информационной безопасности
Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).
Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. В связи с этим, современный подход к решению этой проблемы заключается в применении в АСУ принципов ситуационного управления защищенностью информационных ресурсов. Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСУ, дополнительным расходом оперативной памяти и др.), которые необходимы для достижения этого уровня, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации.
Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на внедрение новинки, на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта.
Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовое, организационное и инженерно-техническое.
Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.
Организационное направление – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.
По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
К организационным мероприятиям относятся:
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений;
- мероприятия, осуществляемые при подборе персонала;
- организация и поддержание надежного пропускного режима, охраны помещений и территории, контроля за посетителями;
- организация хранения и использования документов и носителей конфиденциальной информации;
- организация защиты информации;
- организация регулярного обучения сотрудников.
Одним из основных компонентов организационного обеспечения информационной безопасности компании является Служба информационной безопасности (СИБ – орган управления системой защиты информации). Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями компании, степенью конфиденциальности ее информации и общим состоянием безопасности.
Основная цель функционирования СИБ: используя организационные меры и программно-аппаратные средства, избежать или хотя бы свести к минимуму возможность нарушения политики безопасности, в крайнем случае, вовремя заметить и устранить последствия нарушения.
Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам зашиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты. Службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций.
Ядром инженерно-технического направления являются программно-аппаратные средства защиты информации, к которым относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.
Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования.
Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности.
Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам с целью исключения или минимизации возможных последствий проявления информационных воздействий. После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.
Задача оценки вариантов построения системы защиты информации достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности, к ним относятся: метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд других.
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае, придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе зашиты.
После того как сформирован возможный сценарий действий нарушителя, возникает необходимость проверки системы защиты информации. Такая проверка называется «тестирование на проникновение». Цель – предоставление гарантий того, что для неавторизованного пользователя не существует простых путей обойти механизмы защиты.
Один из возможных способов аттестации безопасности системы – приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку. Хакерам предоставляется в распоряжение автоматизированная система в защищенном исполнении, и группа в течение 1–3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры представляют конфиденциальный доклад по результатам работы с оценкой уровня доступности информации и рекомендациями по улучшению защиты.
Наряду с таким способом используются программные средства тестирования.
На этапе составления плана зашиты, в соответствии с выбранной политикой безопасности разрабатывается план его реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем организации.
Планирование связано не только с наилучшим использованием всех возможностей, которыми располагает компания, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.
План защиты информации на объекте должен включать:
- описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);
- цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;
- перечень значимых угроз безопасности автоматизированной системы, от которых требуется зашита, и наиболее вероятных путей нанесения ущерба;
- политику информационной безопасности;
- план размещения средств и функциональную схему системы защиты информации на объекте;
- спецификацию средств зашиты информации и смету затрат на их внедрение;
- календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;
- основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц, обслуживающих автоматизированную систему);
- порядок пересмотра плана и модернизации средств защиты.
Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:
- кадровые изменения;
- изменения архитектуры информационной системы (подключение других локальных сетей, изменение или модификация используемых средств вычислительной техники или ПО);
- изменения территориального расположения компонентов автоматизированной системы.
В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях. Такой план называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
- цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности и пути ее достижения;
- перечень и классификация возможных кризисных ситуаций;
- требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);
- обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях, при ликвидации их последствий, минимизации наносимого ущерба и по восстановлению нормального функционирования системы.
Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:
- разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
- определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
- определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
- определение порядка разрешения споров в случае возникновения конфликтов.
Исходя из того, что план защиты информации представляет собой пакет текстуально-графических документов, необходимо отметить, что наряду с приведенными компонентами этого пакета в него могут входить:
- положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;
- положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.
Реализация плана защиты (управление системой зашиты) предполагает разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т. д. После того как сформирована система защиты информации, решается задача ее эффективного использования, а значит, управления безопасностью.
Управление – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе.
Управление информационной безопасностью должно быть:
- устойчивым к активным вмешательствам нарушителя;
- непрерывным, обеспечивающим постоянное воздействие на процесс защиты;
- скрытым, не позволяющим выявлять организацию управления защитой информации;
- оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.
Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий выполнения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений.
Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности.
Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи.
Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации – адаптировать абстрактные положения к своей конкретной предметной области (организации, банку), в которой всегда найдутся свои особенности и тонкости этого непростого ремесла.
Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности компании, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также без выработки политики информационной безопасности на предприятии. В итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности.
Целью проведения работ по анализу риска и выработке рекомендаций является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка мер по предотвращению и ликвидации последствий нарушений режима безопасности. Чтобы достичь данной цели, необходимо учитывать специфику конкретной организации. Кто принимает участие в проведении работ по исследованию информационной защищенности? Вопросы приема, передачи и обработки информации могут касаться большей части сотрудников организации. Однако реально оказать влияние на информационную защищенность может технический персонал, способный понять все аспекты политики безопасности и ее реализации, а также руководители, способные влиять на проведение политики в жизнь. Реально это чаще всего сотрудники службы безопасности (информационной) и службы, отвечающей за автоматизацию процессов обработки информационных потоков.
При проведении работ могут применяться разнообразные методы: экспертно-документальный метод, метод интервьюирования персонала, имеющего отношение к доступу и обработке конфиденциальной информации, измерение и оценка уровней излучения для отдельных технических средств и каналов утечки информации; проверка функций или комплекса функций защиты информации с помощью тестирующих средств, а также путем их пробного запуска и наблюдения за их выполнением, попытки «взлома» систем защиты информации. Выполнение работ по анализу риска лучше всего поручить профессионалам: собственным профессиональным службам или фирмам, специализирующимся на деятельности в этой области. Успешное их проведение возможно при владении вышеописанными методами, при наличии квалифицированных специалистов и инструментария. Но существуют и другие сложности и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации: проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера.
Проблема 1. Отсутствие понимания у персонала и руководителей среднего и нижнего ранга необходимости проведения работ по повышению уровня информационной безопасности.
Дело в том, что на этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед организацией. Вопросы безопасности при этом могут вызывать даже раздражение – они создают «ненужные» трудности.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
- появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющее пользование автоматизированной системой организации;
- необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
Указанная проблема является одной из основных. Все остальные вопросы так или иначе выступают в качестве ее следствий. Для ее преодоления важно решить следующие задачи: 1) повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; 2) повысить уровень информированности персонала, в частности о стратегических задачах, стоящих перед организацией.
Проблема 2. Противостояние службы автоматизации и службы безопасности организаций. Это вечная проблема, которая обусловлена родом деятельности и сферой влияния и ответственности этих структур внутри предприятия. Суть проблемы в том, что реализация системы защиты – в руках технических специалистов, а ответственность за ее защищенность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не желают решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации.
Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре фирмы механизм решения подобных споров. Например, две «враждующие» службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документация должна четко и грамотно делить сферы влияния и ответственности подразделений.
Проблема 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена. Взаимоотношения между руководителями могут быть разными: и хорошими, и плохими, и «никакими». Бывает, что при проведении работ по исследованию информационной защищенности то или иное должностное лицо видит личную заинтересованность в результатах этих работ. И оказывается прав: действительно, исследования – это достаточно сильный инструмент для решения собственных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как руководство к дальнейшим действиям. Они имеют большой вес, в особенности если работы проводились независимыми экспертами. Таким образом, после завершения работ и включения «нужных» выводов в отчет, появляется хорошая возможность опереться на него при случае. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ и требует своевременного выявления и ликвидации на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы организации, а не личные.
Проблема 4. Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации. Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Генеральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации. По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в области информационной безопасности, по внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы. План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности персонала и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ. В интересах того же генерального директора проконтролировать выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, чтобы не понести потери в результате отсутствия этой безопасности.
Проблема 5. Низкая квалификация специалистов по защите информации. Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации в компании. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводят к сложностям при реализации рекомендованных мероприятий. При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения.
В принципе, процесс повышения квалификации должен быть непрерывным, так как меняется уровень технологических решений в автоматизированные системы, меняются подходы к обеспечению безопасности и, что особенно важно, меняется политика безопасности конкретной фирмы по мере ее развития.
В заключение, приведем основные выводы данной главы. Практическая деятельность в области повышения экономической и информационной безопасности наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного решения перечисленных проблем. Однако накопленный опыт подсказывает, что все рассмотренные вопросы успешно решаются при условии плотной совместной работы представителей заказчика и фирмы-исполнителя. Главное – осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для каждого конкретного предприятия. Наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности организации.
Предыдущая |
|