Предложения по структуре и функционированию системы информационной безопасности организации

- идентификатор угрозы;

- предполагаемый источник (источники) угрозы;

- частость появления угрозы;

- проявления (результаты) воздействия  угрозы;

- степень опасности угрозы;

- оценка вреда угрозы;

- объекты  ЛВС, на которые  воздействует угроза;

- предполагаемое среднее время восстановления работоспособности ЛВС после воздействия угрозы;

- предполагаемая экономическая оценка  вреда от воздействия угрозы;

- важность, весомость угрозы;

- существующие средства борьбы  с угрозой.

Как видно из содержательного состава атрибутов таблицы результатов анализа угроз, приведенные в ней данные вполне могут служить основой для поиска средств защиты от описанных угроз, их обоснованного выбора и выработки предложений по их приобретению и внедрению в информационный процесс организации. 

          В  третьем разделе  формулируется основная цель реферата, которая основывается на данных, полученных на первом и втором этапах его разработки. Выше, в разделе 2 настоящего пособия, приводятся основные общие положения о формировании конкретной цели реферата, которую необходимо сформулировать на основе двух первых разделов реферата, то есть когда автор уже уяснил основные характеристики информационной системы организации, а также перечень и особенности главных наиболее вероятных информационных угроз её нормальному функционированию 

          В  четвёртом разделе  формулируются основные задачи  СИБ,  и предлагается перечень (пока только перечень!) возможных средств реализации  задач  СИБ, которые, в конечном итоге, позволят эффективно противостоять всем выявленным угрозам информационной системе организации. 

          В  пятом разделе  уже конкретно отрабатывается перечень реальных средств обеспечения безопасности доступа в информационную систему организации из всех внешних сетей, то есть предлагаются средства защиты периметра информационной системы организации – её внешних входов и выходов. Выбор всех средств обязательно обосновывается, указываются ссылки на соответствующие информационные источники и данные об этих средствах заносятся в таблицу (Приложение 2). Причём, конкретные реализации каждого типа средства защиты отбираются и заносятся в Таблицу, как минимум, дважды, чтобы в дальнейшей работе иметь возможность сравнивать, по крайней мере, два конкретных средства защиты, и аргументировано выбирать лучшее из них. Указанный порядок формирования Таблицы должен выполняться и для всех других средств. В этом же разделе реферата аналогичным образом отбираются и средства защиты данных и программ. Но при выборе этого типа средств защиты необходимо иметь в виду, что здесь необходимо предложить как средства общей, коллективной защиты, так и средства защиты программ и данных личного, индивидуального применения.  Эта особенность индивидуальных средств защиты должна отмечаться в Таблице в колонке “Тип средства“ (индивидуальный или общий соответственно). 

          В  шестом разделе  работы выбираются и предлагаются к применению средства идентификации и аутентификации пользователей – должностных лиц организации. При выборе средств этого типа, кроме учёта их традиционной функциональности необходимо обязательно учесть и их перспективную функциональность – необходимость борьбы с самой актуальной сегодня “бедой“ всех информационных систем управления организациями, пожалуй, без исключения, - это борьба с инсайдерами – “засланными казачками”. Для решения этой комплексной и весьма деликатной задачи необходимо применение и соответствующего комплекса средств и методов борьбы. Кроме того, для должностных лиц, попавших под подозрение, служба безопасности должна иметь и практически использовать дополнительные средства защиты, которые способны выявить инсайдера и убедительно, на конкретных неопровержимых фактах, доказать сотрудничество с “недружественными”, например, с активно конкурирующими с нами организациями.  В комплекс средств борьбы с инсайдерами в настоящее время включают такие средства как интеллектуальные турникеты на проходной, фиксирующие для всех без исключения должностных лиц организации факты входа и выхода, время, видеофайл с фактом прохода через турникет и, возможно, прочее.  Для подозрительных должностных лиц необходимо иметь средства отслеживания телефонных переговоров со всех видов телефонов, контроля над электронной почтой и посещением “подозрительных сайтов” в Интернет, любые факты обмена во всех доступных глобальных сетях, особенно по адресам подозрительных корреспондентов и прочее.  На сервере СИБ обязательно необходимо предусмотреть наличие специальных комплексных средств борьбы с предполагаемыми инсайдерами.  При выборе таких средств защиты обязательно нужно учитывать тот весьма важный факт, что при своём функционировании они ни в коем случае не должны накапливать  и/или  оперировать конфиденциальными личными данными сотрудников, даже в том случае, если они подозреваются в незаконных действиях, так как такие действия со стороны администрации могут преследоваться по закону. Но грань между дозволенным и недозволенным здесь весьма тонкая, но о ней необходимо помнить постоянно, даже при выборе и внедрении средств обеспечения информационной безопасности

Естественно, назначение средств идентификации  и особенно аутентификации пользователей  не ограничивается только задачей борьбы с инсайдерами. Более распространённой и ощутимой “бедой” в информационном процессе являются самые банальные непредумышленные ошибки должностных лиц при обмене с базами данных, с файлами документов, с различными средствами программного обеспечения. Для предотвращения нежелательных воздействий на программы и данные необходимо предусмотреть основные и резервные средства борьбы, причём, желательно как искусственные, так и естественные, применяемые совместно и функционально дополняющие друг друга.  Но все предложения по аутентификации должны быть сделаны в строгом соответствии с требованиями основного регламентирующего документа по аутентификации для информационных систем организационного управления:

ГОСТ  Р 51241 – 98  “Средства и системы  контроля и управления доступом. Классификация.  Общие технические требования и  методы испытаний”.

И  особенно дополнительного приложения к этому ГОСТ:  Приложение Б. “Средства вычислительной техники.  Показатели защищённости от несанкционированного доступа к информации по классам защищённости”.  Перечисленные выше документы, разработанные Гостехкомиссией Российской  Федерации, являются обязательными для всех систем информационной безопасности государственных организаций и всех прочих организаций России, которые обмениваются любыми данными с государственными структурами.

Конкретно, из Приложения Б к ГОСТ Р 51241 – 98 необходимо заполнить Таблицу В.1. (Приложение 3), в которой конкретно по всем 16 строкам с наименованиями показателей защищённости задать для описываемой СИБ конкретные данные по классам защищённости  4, 5 и 6. В таблице Приложения 3 по всем классам защищённости задано исходное состояние, помеченное знаком “-” (отсутствие признака).  Задача при разработке реферата состоит в том, чтобы при анализе ситуации, конкретно сложившейся в информационной системе организации, задать в  вышеупомянутой  Таблице  В.1  в  соответствующей  её  строке  вместо  знаков “-”  знаки  “+”, определив, таким образом, каждую конкретную характеристику описываемой  СИБ. 

          В  седьмом разделе  реферата следует рассмотреть применение для целей обеспечения информационной безопасности организации электронной цифровой подписи  (ЭЦП).  Хотя федеральный закон “Об электронной цифровой подписи” принят Государственной Думой Российской Федерации ещё в самом начале текущего века, но практического применения это универсальное и надёжное средство обеспечения безопасности “электронного” документооборота у нас в стране до сих пор не получило, что является, в частности, и причиной недостаточной защищённости вышеупомянутого документооборота в России. В реферате необходимо показать основные возможности и преимущества  отечественных средств обеспечения применения ЭЦП, которые, по общему признанию, являются на текущий момент самыми совершенными в мире и, вместе с тем, предложить конкретные средства и способы использования  ЭЦП  для борьбы с угрозами информационной системе организации.  Необходимо при этом учесть, что в настоящее время необходимость использования ЭЦП признано в мире повсеместно и эти средства поддерживаются сейчас уже некоторыми программными продуктами общего применения, например,  OS  MS  Vista,  даже в редакции  Home Edition.

В реферате основное внимание рекомендуется  сосредоточить в основном на отечественных разработках обеспечения безопасности и выбирать такие из них, которые позволят реализовать комплексную защиту объектов информационной системы организации, что и характерно для таких средств какими является  ЭЦП.  Ярким примером таких средств может служить комплекс программ шифрования данных на основе  ЭЦП “Веста”, который обеспечивает стойкость шифрования данных на уровне более 10⁵⁵, в то время как алгоритм  DES  (США) обеспечивает стойкость шифрования только на уровне не лучше чем  10¹⁸.  Данные закрытые  ЭЦП с помощью “Весты”  можно, например, гарантированно безопасно передавать сегодня по любым открытым каналам связи.  Все предложения по структуре средств выбранных в этом разделе также должны быть занесены в таблицу Приложения 2.  После этого указанная таблица может считаться сформированной полностью. 

          В  восьмом разделе  реферата необходимо сформулировать основные предложения по структуре   СИБ,  которая формируется на основании данных таблицы Приложения 2. Основным критерием выбора комплекса средств  СИБ  считается  экономический критерий, точнее  min  стоимость совокупности отобранных для использования средств обеспечения безопасности.  Для достижения указанной цели можно поступить следующим образом.  Сначала путём аргументированного сравнения пар одинаковых по функциональности средств безопасности в таблице оставляют единственные средства и, задав по колонке “Цена”  функционал суммирования получают некоторую стоимость отобранных для реализации средств СИБ. Указанную операцию повторяют несколько раз до получения функционально полного набора средств при их рациональной приемлемой стоимости.

На  основании данных окончательной  редакции таблицы и формируется аппаратный комплекс подсистемы управления  СИБ, куда включаются следующие обязательные элементы:

- сервер подсистемы управления  СИБ;

- рабочая станция администратора  СИБ;

- коммутатор подсистемы управления СИБ;

- брандмауэр, который включается  в разрыв линии связи соединяющей  центральный коммутатор  ЛВС   организации и коммутатор подсистемы  управления СИБ;

- возможно многофункциональное устройство, работающее только на информационные потребности  СИБ. 

          В  девятом разделе  реферата анализируются путём сравнения, полученные ценовые характеристики стоимости отобранных к реализации средств обеспечения безопасности и данные годового дохода организации.  Если стоимость отобранных средств  СИБ  составляет  5 – 7 %  от годового дохода организации, то можно внедрять отобранные средства  СИБ  сразу полностью.  Если же полученная стоимость элементов  СИБ  превышает установленную заранее ценовую норму, то необходимо выработать предложения по поэтапному внедрению средств  СИБ.  В этом случае все предлагаемые к внедрению средства  СИБ  располагаются в таблице  Приложения 2  в порядке важности, значимости, весомости угроз информационной безопасности организации, которые соответствующие средства призваны предотвращать.  Реализация полнокровной системы информационной безопасности в таком случае может осуществляться на протяжении нескольких лет, поэтапно. 

        В  десятом последнем разделе  реферата подводятся итоги проделанной работы, которые должны быть чётко и доказательно сформулированы в виде основных количественных характеристик, главным образом экономического содержания. Например, желательно сравнить объём финансов, затраченных на приобретение и запуск в эксплуатацию средств  СИБ  и естественное уменьшение объёма убытков от воздействия соответствующих угроз информационной безопасности.  Естественно, если результат такого сравнения окажется положительным, то затраты на  СИБ следует считать выгодными. В противном же случае надо продолжить исследования комплекса угроз информационной безопасности и соответствующих средств их ликвидации.  Кроме того, в  Заключении следует оценить хотя бы ближайшие перспективы дальнейшего развития и совершенствования средств  СИБ  и необходимость,  предполагаемую выгодность их внедрения и практического использования в СИБ организации.

4. Реферируемые источники.  Специфика работы над реферируемыми источниками.

          Успех или неудача любого реферата определяется в значительной степени объёмом совокупности и содержательностью отобранных для реферирования источников.  Немаловажную роль играет и умение работать с различными печатными и электронными источниками, умение и настойчивость при работе в библиотеках, читальных залах, на выставках, конференциях.  Наконец, умение правильно оценивать важность и перспективность данных, добывать из них  ИНФОРМАЦИЮ,  накапливать, селектировать, обобщать полученные данные, отвергать ненужные, делать правильные выводы.  При формировании перечня источников для рассматриваемой конкретной темы реферата необходимо в первую очередь отобрать источники, достаточно полно описывающие современные угрозы информационным системам организационного управления,  От полноты и содержательности именно этих данных в первую очередь будет зависеть успех реферата (или его неудача!).  Очень важны в этом плане реальные статистические данные организации о конкретных угрозах желательно за более длительный период, например, хотя бы за год. В нашем случае написания учебного варианта реферата такими данными следует просто задаться на консультации с преподавателем, ведущим лекционную часть дисциплины. Именно эти статистические данные и перечень источников об угрозах позволят начать работу над рефератом, начать подбор источников по средствам борьбы с наиболее “актуальными” угрозами информационной системе организации.  Но подбор литературных источников, естественно, только фундамент для работы.  Основная цель реферирования отобранных источников двоякая.