ОРГАНИЗАЦИОННЫЕ МЕРЫ
ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
В. Гайкович, заместитель
генерального директора НИП "Информзащита"
Д. Ершов, начальник
аналитического отдела НИП "Информзащита"
Этой статьей мы открываем серию публикаций, посвященных практическим
вопросам обеспечения безопасности информации в автоматизированных системах.
Материал, положенный в основу этих публикаций, получен в процессе практической
деятельности специалистов НИП “Информзащита” по обеспечению информационной
безопасности различных организаций и разработке программных и технических
средств защиты информации.
Те, кому уже приходилось
на практике заниматься вопросами обеспечения информационной безопасности в
автоматизированных системах (АС), единодушно отмечают следующую особенность -
реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего
уровня, на уровне подразделений, отвечающих за работоспособность
автоматизированной системы организации сменяется на резкое неприятие. Как
правило, приводятся следующие аргументы против проведения работ и принятия мер
по обеспечению информационной безопасности:
•появление
дополнительных ограничений для конечных пользователей и специалистов подразделений
обеспечения, затрудняющие использование и эксплуатацию автоматизированной
системы организации;
•необходимость дополнительных материальных
затрат как на проведение таких работ, так и на расширение штата специалистов,
занимающихся проблемой информационной безопасности.
Экономия на информационной
безопасности может выражаться в различных формах, крайними из которых являются:
•принятие
только организационных мер обеспечения безопасности информации в АС;
•использование
только дополнительных технических средств защиты информации (ТСЗИ).
В первом случае, как
правило, разрабатываются многочисленные инструкции, приказы и положения,
призванные в критическую минуту переложить ответственность с людей, издающих
эти документы на конкретных исполнителей. Естественно, что требования таких
документов (при отсутствии соответствующей технической поддержки) затрудняют
повседневную деятельность сотрудников организации и как правило не выполняются.
Во втором случае,
приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей
организационной поддержки также неэффективно в связи с тем, что без установленных
правил обработки информации в АС применение любых ТСЗИ только усиливает
существующий беспорядок.
Как показывает опыт
практической работы, для эффективной защиты автоматизированной системы организации
необходимо решить ряд организационных задач:
•создать
специальное подразделение, обеспечивающее разработку правил эксплуатации автоматизированной
системы, определяющее полномочия пользователей по доступу к ресурсам этой
системы, осуществляющее административную поддержку ТСЗИ (правильную настройку,
контроль и оперативное реагирование на поступающие сигналы о нарушениях
установленных правил доступа, анализ журналов регистрации событий безопасности
и т.п.);
•разработать технологию обеспечения
информационной безопасности, предусматривающую порядок взаимодействия
подразделений организации по вопросам обеспечения безопасности при эксплуатации
автоматизированной системы и модернизации ее программных и аппаратных средств;
•внедрить данную технологию путем разработки и утверждения необходимых
нормативно-методических и организационно-распорядительных документов
(концепций, положений, инструкций и т.п.).
При создании подразделения
информационной безопасности надо учитывать, что для эксплуатации средств защиты
нужен минимальный штат сотрудников, осуществляющих поддержку функционирования
ТСЗИ. В то же время, разработка и внедрение технологии обеспечения
информационной безопасности требует значительно большего времени, больших
трудозатрат и привлечения квалифицированных специалистов, потребность в которых
после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение
такой технологии должны проводиться в сжатые сроки, чтобы не отстать от
развития самой автоматизированной системы организации.
Поэтому, для минимизации
расходов на разработку и внедрение технологии обеспечения информационной
безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в
проведении подобного рода работ.
Применение дополнительных
средств защиты информации затрагивает интересы многих структурных подразделений
организации. Не столько даже тех, в которых работают конечные пользователи
автоматизированной системы, сколько подразделений, отвечающих за разработку,
внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию
средств вычислительной техники. Поэтому разрабатываемая технология обеспечения
информационной безопасности должна обеспечивать:
•дифференцированный
подход к защите различных АРМ и подсистем (уровень защищенности должен
определяться с позиций разумной достаточности с учетом важности обрабатываемой
информации и решаемых задач); •унификацию вариантов применения средств защиты
информации на АРМ с одинаковыми требованиями к защите; •реализацию
разрешительной системы доступа к ресурсам АС;
•минимизацию,
формализацию (в идеале автоматизацию), реальную выполнимость рутинных операций
и согласованность действий различных подразделений по реализации требований
разработанных положений и инструкций, не создавая больших неудобств при решении
сотрудниками своих основных задач;
•учет динамики развития автоматизированной
системы, регламентацию не только стационарного процесса эксплуатации защищенных
подсистем, но и процессов их модернизации, связанных с многочисленными
изменениями аппаратно-программной конфигурации АРМ; •минимизацию необходимого
числа специалистов отдела защиты информации.
Надо совершенно четко
понимать, что соблюдение необходимых требований по защите информации,
препятствующих осуществлению несанкционированных изменений в системе, неизбежно
приводит к усложнению процедуры правомочной модификации АС. В этом состоит одно
из наиболее остро проявляющихся противоречий между обеспечением безопасности и
развитием и совершенствованием автоматизированной системы. Технология
обеспечения информационной безопасности должна предусматривать особые случаи
экстренного внесения изменений в программно-аппаратные средства защищаемой АС.
Научно-инженерным
предприятием “Информзащита” накоплен значительный опыт предоставления заказчикам
услуг по разработке и внедрению технологии обеспечения информационной
безопасности.
Основу данной технологии
составляет продуманная система определения требуемых степеней (категорий)
защищенности ресурсов АС. НИП “Информзащита” располагает пакетом документов,
необходимым для разработки и внедрения данной технологии на объектах заказчика.
В данный пакет документов входят:
•Концепция обеспечения
информационной безопасности. Данный документ определяет общую систему взглядов
в организации на проблему защиты информации в АС и пути решения этой проблемы с
учетом накопленного опыта и современных тенденций ее развития. •Положение о
категорировании. Данный документ определяет порядок категорирования защищаемых
ресурсов и требования по защите ресурсов различных категорий. •План защиты АС.
Данный документ определяет комплекс конкретных организационно-технических мер
по защите информации, а также незаконного вмешательства в процесс функционирования
конкретной АС. План защиты включает описание технологии обработки данных в защищаемой
подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации
системы, необходимый набор инструкций должностным лицам (инструкция
пользователю АС, инструкция администратору безопасности АС и т.д.), определяет
порядок взаимодействия подразделений и должностных лиц при внесении изменений в
списки пользователей и программно-аппаратную конфигурацию АРМ, а также
определяет распределение обязанностей и порядок составления, ведения и использования
формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в
процессе развития АС.