8.3. Политика информационной безопасности организации

Политика информационной безопасности представляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации организации (корпорации). Политика безопасности осуществляется в соответствии со спецификой корпорации и законодательной базой государства.

Для разработки документа о политике информационной безопасности используется как отечественный, так и зарубежный опыт. Ключевым документом по вопросам информационной безопасности считается версия 2.0 от 22.05.1998 г. Британского стандарта BS 7799 1995 «Общие критерии оценки безопасности информационных технологий» (ISO17799).Он содержит практические правила по управлению информационной безопасностью и используется в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

• политика безопасности;

• организация защиты;

• классификация ресурсов и их контроль;

• безопасность персонала;

• физическая безопасность;

• администрирование компьютерных систем и вычислительных сетей;

• управление доступом;

• разработка и сопровождение информационных систем;

• планирование бесперебойной работы организации;

• контроль выполнения требований политики безопасности.

Формирование политики информационной безопасности включает в себя этапы: анализ рисков, определение стратегии защиты, составление документов политики информационной безопасности, разработка программы реализации политики информационной безопасности.

Анализ рисков. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков.

Инвентаризация проводится для определения объема необходимой защиты, контроля защищенности, а также для других областей: охрана труда, техника безопасности, страхование, финансы. Инвентаризации подлежат:

• ресурсы данных: накопители файлов, базы данных, документация – учебные пособия, инструкции и описания по работе с элементами ИС, документы служебного и производственного уровня и т. д.;

• программные ресурсы: системное и прикладное программное обеспечение, утилиты и т. д.;

• материально-техническая база, обеспечивающая информационные ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения и т. п.;

• коммунальное и хозяйственное обеспечение: отопление, освещение, энергоснабжение, кондиционирование воздуха;

• человеческие ресурсы (наличие необходимых специалистов, уровень их профессионализма, психологические качества, связи в коммерческом мире и т. д.).

Классификация информационных ресурсов производится после инвентаризации. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

В качестве основной переменной, например, выбирают степень конфиденциальности информации со следующими значениями:

• информация, содержащая государственную тайну, – 3;

• информация, содержащую коммерческую тайну, – 2;

• конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна), –1;

• свободная (открытая) информация – 0.

Следующими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки.

Выявление угроз. Определяются носители и потенциальные источники утечки информации, формулируются угрозы, частота (статистика) их появления, вычисляется вероятность их появления.

Вероятности реализации разных видов угроз различны, и их определение требует анализа большого статистического материала. Так, например:

• уничтожение всей информации в результате пожара (стихийного бедствия) может быть 1 раз в 40 лет;

• несанкционированное чтение или копирование сотрудником закрытых сведений (активная угроза) может быть 1 раз в 4 года;

• искажение информации в файле памяти ЭВМ из-за сбоя в аппаратуре или системных программах (пассивная угроза) может быть 1 раз в 10 дней [10].

Следует заметить, что определение вероятностей появления различных угроз имеет очень большое значение для построения системы защиты информационных ресурсов корпорации.

Оценка рисков. Для каждого из информационных ресурсов определяются его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения ее применимости к данному ресурсу, вероятности возникновения и возможного ущерба.

Определение стратегии защиты производится по следующим направлениям:

предотвращение (предупреждение) ущерба (например, авторизация персонала на доступ к информации и технологии);

обнаружение угроз – обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены;

минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;

восстановление – обеспечение эффективного восстановления информации в случае ее потери.

Составление документов политики информационной безопасности

Стандарт рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы:

• введение, где определяется отношение высшего руководства к проблемам информационной безопасности корпорации;

• организационный раздел, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности, планы и график работы;

• классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

• штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.);

• раздел физической защиты;

• раздел управления информацией, описывающий подход к управлению компьютерами и компьютерными сетями;

• раздел правил разграничения доступа к производственной информации;

• раздел, характеризующий порядок разработки и сопровождения систем;

• раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Разработка программы реализации политики информационной безопасности

На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т. п.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ корпорации, который доводится до всех сотрудников.

9. Методы и средства обеспечения информационной безопасности

Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера, образует защиту информации (Data protection).

Методы и средства обеспечения информационной безопасности (защиты информации) можно разделить на:

• административные (организационные) меры;

• физические и технические средства и способы;

• аппаратно-программные средства.