» » Политика безопасности в информационных системах

Политика безопасности в информационных системах

НОУ ИНТУИТ | Лекция | Построения системы информационной безопасности

Мероприятия по защите информации

Мероприятия охватывают целый ряд аспектов законодательного, организационного и программно-технического характера. Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Перечислим самые общие из них.

В нормативно-законодательном аспекте необходимо решение следующих задач:

  • определение круга нормативных документов международного, федерального и отраслевого уровня, применение которых требуется при проектировании и реализации системы информационной безопасности;
  • определение на основе нормативных документов требований по категорированию информации;
  • определения на основе нормативных документов базовых требований к системе информационной безопасности и ее компонентам.

В организационном аспекте:


комплексное использование средств
защиты, оптимизация архитектуры;


удобство для персонала;


простота эксплуатации.


Систему защиты информации целесообразно
строить в виде взаимосвязанных подсистем:
криптографической защиты; обеспечения
юридической значимости электронных
документов; защиты от несанкционированного
доступа (НСД); организационно-правовой
защиты; управления системой защиты
информации (СЗИ).


Построение системы защиты информации
в таком виде позволит обеспечить
комплексность процесса защиты информации
в ИС, управляемость процесса и возможность
адаптации при изменении условий
функционирования ИС.

Подсистема криптографической защитыобъединяет средства такой защиты
информации и по ряду функций кооперируется
с подсистемой защиты от НСД.

Подсистема обеспечения юридической
значимости электронных документов
служит для придания юридического статуса
документам в электронном представлении
и является определяющим моментом при
переходе к безбумажной технологии
документооборота. Данную подсистему
удобно и целесообразно рассматривать
как часть подсистемы криптографической
защиты.

Подсистема защиты от НСДпредотвращает
доступ несанкционированных пользователей
к ресурсам ИС.

Подсистема управления СЗИпредназначена
для управления ключевыми структурами
подсистемы криптографической защиты,
а также контроля и диагностирования
программно-аппаратных средств и
обеспечения взаимодействия всех
подсистем СЗИ.

Подсистема организационно-правовой
защиты
предназначена для регламентации
деятельности пользователей ИС и
представляет собой упорядоченную
совокупность организационных решений,
нормативов, законов и правил, определяющих
общую организацию работ по защите
информации в ИС.

СТАНДАРТЫ БЕЗОПАСНОСТИ

Документы Государственной технической
комиссии России


В 1992 г. Гостехкомиссия (ГТК) при Президенте
Российской Федерации разработала и
опубликовала пять руководящих документов,
посвященных вопросам защиты информации
в автоматизированных системах ее
обработки.


Основой этих документов является
концепция защиты средств вычислительной
техники от несанкционированного доступа
к информации, содержащая систему взглядов
ГТК на проблему информационной
безопасности и основные принципы защиты
компьютерных систем. С точки зрения
разработчиков данных документов,
основная задача средств безопасности
– это обеспечение защиты от
несанкционированного доступа к
информации.


Определенный уклон в сторону поддержания
секретности информации объясняется
тем, что эти документы были разработаны
в расчете на применение в информационных
системах силовых структур РФ.


Руководящие документы ГТК предлагают
две группы требований к безопасности
– показатели защищенности средств
вычислительной техники (СВТ) от НСД и
критерии защищенности автоматизированных
систем (АС) обработки данных. Первая
группа позволяет оценить степень
защищенности отдельно поставляемых
потребителю компонентов КС, а вторая
рассчитана на более сложные комплексы,
включающие несколько единиц СВТ.

Показатели защищенности средств
вычислительной техники

от несанкционированного доступа


Данный руководящий документ устанавливает
классификацию СВТ по уровню защищенности
от НСД к информации на базе перечня
показателей защищенности и совокупности
описывающих их требований. Под СВТ
понимается совокупность программных
и технических элементов систем обработки
данных, способных функционировать
самостоятельно или в составе других
систем.


Данные показатели содержат требования
защищенности СВТ от НСД к информации и
применяются к общесистемным программным
средствам и операционным системам (с
учетом архитектуры ЭВМ).

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость  слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения:

АВС – антивирусные средства

АРМ –-автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.


Конечный документ должен удовлетворять следующим требованиям:

  • лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)


Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

image

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:
выявить требования защиты информации, специфические для данного объекта защиты;
учесть требования национального и международного Законодательства;
использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
определить подразделения, ответственные за реализацию и поддержку СОИБ;
распределить между подразделениями области ответственности в осуществлении требований СОИБ;
на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся[12]:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право

К нормативно-методическим документам можно отнести
Методические документы государственных органов России:

Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных, обрабатываемых в ИСПДн.

4. Система защиты персональных данных

Система защиты персональных данных (СЗПДн), строится на основании:

  • Акта обследования ИСПДн;
  • Перечня персональных данных, обрабатываемых в ИСПДн;
  • Акта классификации информационных систем персональных данных;
  • Модели угроз безопасности персональных данных;
  • Матрицы доступа субъектов автоматизированных систем к защищаемым информационным ресурсам;
  • Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Учреждения. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Акта обследования ИСПДн, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты персональных данных.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:

  • АРМ пользователей;
  • Прокси-сервере;
  • СУБД;
  • Границе ЛВС;
  • Каналах передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

  • антивирусные средства для рабочих станций пользователей и серверов;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

  • управление и разграничение доступа пользователей;
  • регистрацию и учет действий с информацией;
  • обеспечивать целостность данных;
  • производить обнаружение вторжений.

Список используемых технических средств отражается в Техническом паспорте автоматизированной системы, информационной системы персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Технический паспорт и утверждены руководителем Учреждения.

5.1 Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Учреждения, а так же средств защиты, при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.

5.2 Подсистема антивирусной защиты

Процесс разработки политики безопасности


Если это возможно, о том что разрабатывается новая политика информационной безопасности компании необходимо уведомить сотрудников заранее. До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Также надо учитывать, что без прав не обязанностей, т.е. сотрудники, на которых распространяются правила безопасности должны обладать всеми необходимыми полномочиями для того, чтобы выполнять эти правила.

Основные требования к политике безопасности


В идеале политика безопасности должна быть реалистичной и выполнимой, быть краткой и понятной, а также не приводить к существенному снижению общей производительности бизнес подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четко содержать описание области действия, а также указывать на контактные лица и их обязанности. Например, по мнению Cisco политика безопасности должна содержать не более двух (максимум пять) страниц текста, если это возможно. При этом важно учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена она должны быть предоставлены сотрудникам компании для ознакомления. Наконец, политика безопасности должна пересматриваться ежегодно, чтобы отразить текущие изменения в развитии бизнеса компании.

Уровень средств безопасности


Хорошо написанная политика безопасности компании должна позволять балансировать между достигаемым уровнем безопасности и получаемым уровнем производительности корпоративной информационной системы компании. Одна из основных целей политики безопасности состоит в том, чтобы обосновать и внедрить средства защиты информации, адекватные целям и задачам бизнеса. Выбор необходимых средств защиты информации для определенной политики безопасности не всегда понятен и легко определяем. Здесь решающую роль играют необходимость организации режима информационной безопасности, а также бизнес культура компании. При этом если правила политики безопасности слишком ограничительны или слишком жестки, для того чтобы внедрять и соответствовать им в дальнейщем, то они будут либо игнорироваться, либо сотрудники компании найдут способ обойти средства безопасности.

Примеры политик безопасности


В настоящее время ряд ведущих компаний в области безопасности рекомендует разрабатывать политики:

  • Допустимого шифрования
  • Допустимого использования
  • Аудита безопасности
  • Оценки рисков
  • Классификации данных
  • Определения паролей
  • Использования ноутбуков
  • Построения демилитаризованной зоны, DMZ
  • Построения экстранет
  • Безопасности рабочих станций и серверов
  • Антивирусной защиты
  • Безопасности маршрутизаторов и коммутаторов
  • Безопасности беспроводного доступа
  • Организации удаленного доступа
  • Построения виртуальных частных сетей, VPN и пр.

Приведем несколько примеров перечисленных политик безопасности.

Политика допустимого использования


Политика допустимого использования информацинных ресурсв компании пределяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации компании. В частности, политика допустимого использования определяет могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но имеют доступ к ним. Также эта политика определяет правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании
Примерный текст из политики допустимого использования:

"Сотрудники несут личную ответственность за безопасность любой информации, используемой и/или сохраненной с применением их учетных записей в компании.
Используйте руководство пользователя для получения рекомендаций по защите вашей учетной записи и информации с использованием стандартных методов безопасности на уровне операционной системы или при помощи программного обеспечения шифрования, типа PGP. Конфиденциальная информация компании или сторонних организаций не должна храниться или быть переданной на компьютеры не принадлежащие компании."

"Сотрудники не должны пытаться получить доступ к любым данным или программам, находящихся на рабочих станциях и серверах компании, если они не имеют соответствующего разрешения или явного согласия владельца этих информационных ресурсов."

Политика удаленного доступа


Политика даленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональых компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям (SLIP, PPP), доступ с использованием ISDN/Frame Relay, telnet/ssh доступ через интернет, выделенную линию/VPN/DSL и пр.

Примерный текст из политики удаленного доступа:

"1. Сотрудники, мененеджеры продаж и выездные специалисты компании, обадающие удаленным доступом к корпоративной сети компании, несут такую же ответственность как и в случае локального подключения к сети компании.

2. Для членов семьи сотрудника компании доступ к Internet через сеть компании разрешается только в случае оплаты трафика самим сотрудником. При этом сотрудник компании несет личную ответственность за то, чтобы член его семьи не нарушил правила политик безопасности компании, не выполнил противозаконные действия и не использовал удаленный доступ для достижения собственных деловых интересов. Сотрудник компании также несет ответственность за последствия неправильного использования удаленного доступа.

3. При осуществлении удаленного доступа к корпоративной сети пожалуйста ознакомьтесь со следующими политиками безопасности:
а. Политика допустимого шифрования
б. Политика организации виртуальных частных сетей
в. Политика беопасности беспроводного доступа
г. Политика допустимого использования

соответствие требованиям законодательства, нормативной базы и договоров;

требования к повышению осведомленности, обучению и тренингам в области безопасности;

управление непрерывностью бизнеса;

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности. В свою очередь, политика строится на анализе рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.

Основным составом комплекса по защите информации является

1. Защита от вторжений.

Программные и аппаратно-программные межсетевые экраны, которые представляют собой программные средства, или программно-аппаратные устройства, предназначенные для контроля и разграничения межсетевого взаимодействия.

2. Защита от вредоносных программ.

Программные  средства  обнаружения  и  уничтожения,  любо  изоляции, различных видов и носителей вредоносного кода. Фильтрация почтовых сообщений и WEB-контента Фильтрация осуществляется с помощью программных продуктов, которые контролируют исходящие и входящие (по каналам WEB и электронной почты) информационные потоки.

Чтобы эффективно применить политику, необходимо работать со всей организацией в целом.

  1. Понимание политики.
  2. Обучение. Сотрудники, на которых распространяется новая политика, должны пройти обучение согласно доли своей ответственности.


Эффективное использование политики

  1. Новые системы и проекты. При запуске новых систем и проектов должны соблюдаться имеющиеся политики безопасности и процедуры разработки.
  2. Имеющиеся системы и проекты. По мере утверждения новых политик каждая система должна проверяться на соответствие утверждаемым политикам.
  3. Аудит. В организациях имеющих внутренние отделы аудита, которые периодически осуществляют аудит систем на соответствие политике. Отдел безопасности должен ознакомить сотрудников этого отдела с новыми политиками и поработать некоторое время вместе, чтобы аудиторы вникли в суть политики, прежде чем будут проверять системы на соответствие.
  4. Проверка политики. Каждая политика должна регулярно проверяться на соответствие требованиям организации.

Наверх