Система обеспечения информационной безопасности в государственном учреждении

- разъяснение основных положений политики информационной безопасно-сти, принципов ее построения и стандартов в области защиты информации, соответствие политики безопасности требованиям российского и международного законодательства:

- порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

- организация защиты от компьютерных вирусов и других разрушающих программ средств

- обеспечение непрерывности функционирования информационной систе-мы

- последствия нарушения политики информационной безопасности

- порядок изменения политики информационной безопасности при модернизации системы управления или информационной системы и т.д.

- должностные обязанности и ответственность за обеспечение информаци-онной безопасности руководителей и сотрудников организации

- организационно-распорядительные документы, которые должны быть изданы при формировании политики информационной безопасности (положения, инструкции, регламенты и т.п.)

Определение перечня  объектов, подлежащих защите в системе  управле-ния, сложная, но необходимая задача, решение которой позволяет идентифицировать информационные ресурсы, подлежащие защите и определить классы объектов защиты, которые могут быть созданы при эксплуатации системы, и, следовательно, заранее определить политику безопасности относительно этих объектов. Однако для разработки адекватной политики информационной безопасности, кроме того, требуется построить информационную модель системы, которая позволит выделить объекты, определяющие траектории информационных процессов в системе и провести анализ информационной безопасности в соответствии с реализуемой стратегией разграничения доступа. Разработку ин-формационной модели системы способны выполнить только специалисты по защите информации, имеющие профессиональную подготовку и опыт разра-ботки таких моделей для различных информационных систем.

Соответствие законодательству - важный пункт политики безопасности. Страны мирового сообщества имеют специфичные  законы, регламентирующие применение информационных технологий на своих  территориях. Такие особенности  имеются и в российском законодательстве. Поэтому при разработке политики безопасности необходимо учесть специфику  законодательства страны, где осуществляет деятельность организация. Для этого  необходимо привлечение юристов, владеющих  вопросами права в области  информационных технологий, телекоммуникаций и информационной безопасности. Юристы, специализирующиеся в области информационной безопасности и имеющие соответствующий  опыт работы могут быть только в  организации, предоставляющей консалтинговые услуги по информационной безопасности.

Определение должностных  обязанностей и ответственности  за обеспече-ние информационной безопасности руководителей и сотрудников организации, в том числе, за предоставление отчетности об инцидентах по информационной безопасности, позволяет установить персональную ответственность за участки работ, снизить вероятность халатного отношения к вопросам защиты информации.

Организационно-распорядительные документы, издаваемые при формировании политики информационной безопасности, позволяют юридически закрепить  порядок обеспечения информационной безопасности и регламентировать порядок  защиты информации.

Существуют две  системы оценки текущей ситуации в области информа-ционной безопасности организации. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы – злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный  анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком  объеме, и на каком уровне. На третьем  этап производится классификация всех информационных объектов на классы в  соответствии с ее конфиденциальностью, требованиями к доступности и  целостности (неизменности).

Далее следует выяснение, насколько серьезный ущерб может  принести организации раскрытие  или иная атака на каждый конкретный информационный объект. Этот этап носит  название "вычисление рисков". В  первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой  атаки". Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может  быть представлен неотрицательным  числом в приблизительном соответствии со следующей таблицей:

Величина ущерба Описание

0 Раскрытие информации принесет ничтожный моральный и фи-нансовый ущерб организации

1 Ущерб от атаки есть, но он незначителен, основные финансовые операции не затронуты

2 Финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но продолжает работать

3 Значительные финансовые и моральные потери

4 Потери организации очень значительны. Для восстановления положения требуются крупные финансовые займы.

5 Организация прекращает свое существование 

Вероятность атаки  представляется неотрицательным числом в приблизительном соответствии со следующей таблицей:

Вероятность Средняя частота появления

0 Данный вид атаки отсутствует

1 реже, чем раз в год

2 около 1 раза в год

3 около 1 раза в месяц

4 около 1 раза в неделю

5 практически ежедневно 

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею  персонал. А вот оценку вероятности  появления атаки лучше доверять техническим сотрудникам организации.

Следующим этапом составляется таблица рисков организации. Она  имеет следующий вид:

Описание атаки Ущерб Вероятность Риск (=Ущерб*Вероятность)

Спам (переполнение почто-вого ящика) 1 4 4

Копирование жесткого

диска из вне 3 1 3

... ... ... 2

Итого:  9 

На этапе анализа  таблицы рисков задаются некоторым  максимально допустимым риском, например значением 7. Сначала проверяется  каждая строка таблицы на не превышение риска этого значения. Если такое  превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с  интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких огрешностей в системе безопасности, которые в сумме не дадут организации эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

На самом ответственном  этапе производится собственно разработка по-литики безопасности организации, которая  обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, этические нормы общества.

После описания всех технических и административных мер, планируе-мых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.

Завершается разработка политики безопасности ее утверждением у руководства организации и  детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и, как  следствие, модификация политики безопасности организации чаще всего производится раз в два года.

Руководство организации  должно поставить четкую цель и все¬сторонне оказывать свою поддержку информационной безопасности посредством рас-пространения политики безопасности среди сотрудников организации. 
 
 
 
 

3.2. Документ о  политике информационной безопасности 

Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности.

Руководство организации  должно предоставить задокументированную  политику информационной безопасности всем подразделениям организации. Этот документ должен содержать, по крайней  мере, следующее:

1. определение информационной безопасности, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию;

2. изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности;

3. разъяснение конкретных вариантов политики безопасности, прин-ципов, стандартов и требований к ее соблюдению, включая:

- выполнение правовых и договорных требований;

- требования к обучению персонала правилам безопасности;

- политика предупреждения и обнаружения вирусов;

- политика обеспечения бесперебойной работы организации.

4. определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;

5. разъяснение процесса уведомления о событиях, таящих угрозу безопасности.

Необходимо разработать  процесс проверки, определить обязанности  и задать даты проверок соблюдения требований документа о политике безопасности. 
 
 

4. Угрозы информационной  безопасности 

Угроза информационной безопасности – потенциально возможное  событие, действие, процесс или явление, которое может привести к нанесению  ущерба. Воспринимать угрозу следует  как объективную реальность - угрозы существуют постоянно. Уровень опасности, исходящей от потенциальных и  действующих злоумышленников, никак  не зависит от усилий по обеспечению  безопасности. От подготовленно¬сти  зависит, только ущерб, к которому приведет реализация угрозы.  

4.1. Классификация угроз информационной безопасности 

Классифицировать  угрозы информационной безопасности можно  по нескольким критериям:

по базовым свойствам  информации:

- доступность;

-  целостность;

- конфиденциальность.

по компонентам  информационных систем, на которые  угрозы нацелены:

- данные;

- программы;

- аппаратура;

- поддерживающая инфраструктура.

по возникновению:

- случайные;

- преднамеренные;

- естественные;

- искусственные.

по расположению источника угроз:

- внутренние;

- внешние.

Нарушение конфиденциальности информации подразумевает, что защищаемая информация становится известной лицам, которые не имеют санкционированного доступа к этой информации. Конфиденциальная информация может быть разделена  на предметную (например, информацию представляющую коммерческую ценность) и служебную (например, информация о сетевой инфраструктуре и средствах обеспечения информационной безопасности). Раскрытие служебной информации может нанести ущерб, как самой информационной системе, так и организации в целом, т.к. она может быть использована для раскрытия предметной информации.

Важный аспект при  предотвращении угрозы конфиденциальности – не-прерывность защиты данных на всем жизненном цикле ее хранения и обработки.

Пример реализации угрозы – доступное хранение резервных  копий данных.

Нарушение целостности  информации подразумевает, что за-щищаемая информация претерпела изменения, потеряла достоверность и отличается от информации, которая была получена первоначально как исходная информация. Целостность информации может быть разделена на статическую и динамическую.