ЗАЩИТА ДАННЫХ

Проблема информационной безопасности (ИБ) корпоративной системы обычно решается в двух плоскостях: во-первых, рассматриваются формальные критерии, которым должны соответствовать защищенные информационные технологии, а во-вторых, практический аспект - конкретный комплекс мер безопасности.

Формальные критерии являются предметом стандартизации более пятнадцати лет. Во многих странах, в том числе и в России, существуют национальные стандарты. Принят международный стандарт ISO 15408 “Общие критерии оценки безопасности информационных технологий”.

Практические правила обеспечения безопасности в большинстве случаев рассматриваются лишь на концептуальном уровне. Однако верные по сути рекомендации сложно реализовать применительно к имеющейся ИС. На практике сразу возникают вопросы.

Где уязвимые места в информационной системе?

Какие угрозы безопасности существуют, как оценить их серьезность?

Какой остаточный уровень рисков допустим?

Какой комплекс мер снизит риски до допустимого уровня?

На эти и другие вопросы, интересующие администраторов безопасности, ответа обычно не дается. Дело в том, что каждый из них сложен и требует специального исследования.

Тем не менее за рубежом предпринимаются попытки найти общие ответы на эти вопросы. Первой удачей в этой области стал британский стандарт 1995 г. BS 7799 “Практические правила управления информационной безопасностью”, в котором обобщен опыт по обеспечению режима ИБ в информационных системах разного профиля. Впоследствии было опубликовано еще несколько аналогичных документов - стандарты различных организаций и ведомств, германский стандарт BSI (Bundesamt fur Sischerheit im der Informationstechnik).

В конце 2000 г. принят стандарт ISO 17799, в основу которого положен BS 7799. Идеи, содержащиеся в этих документах, заключаются в следующем. Практические правила обеспечения ИБ на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, обязательно использование некоторых средств идентификации и аутентификации пользователей (сервисов), средств резервного копирования, антивирусного контроля и т. д. Режим ИБ в подобных системах обеспечивается:

- на административном уровне - политикой безопасности организации, в которой сформулированы цели в области ИБ и способы их достижения;

- на процедурном уровне - путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты;

- на программно-техническом уровне - применением апробированных и сертифицированных решений, стандартного набора контрмер: резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т. д.

При создании систем ИБ важно не упустить каких-либо существенных аспектов - в этом случае применяемой информационной технологии будет гарантирован некоторый минимальный (базовый) уровень ИБ.

Базовый уровень ИБ (см. схему 1) предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распространенных угроз безопасности без оценки вероятностей этих угроз. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности защиты в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.

Схема 1. Разработка требований к ИБ

В ряде случаев базового уровня оказывается недостаточно. Для обеспечения повышенного уровня ИБ необходимо знать параметры, характеризующие степень безопасности информационной системы (технологии) и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов. В том или ином виде рассматриваются ресурсы, характеристики рисков и уязвимости информационной системы. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты.

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции ИБ.

Базовый уровень информационной безопасности

Обеспечение базового уровня информационной безопасности в соответствии с ISO 17799 предполагает определенную последовательность действий (см. схему 2).

Определение политики ИБ

Стратегия безопасности в практическом плане сводится к следующим шагам.

1. Определение необходимых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

- управление доступом к средствам вычислительной техники (СВТ), программам и данным;

- антивирусную защиту;

- вопросы резервного копирования;

- проведение ремонтных и восстановительных работ;

- информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или нужно проводить полный вариант анализа рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ: график совещаний по тематике ИБ на уровне руководства, периодичность пересмотра положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы в этой области.

Границы системы управления ИБ и уточнение ее целей

Прежде чем приступать к построению системы управления ИБ, следует определить ее границы.

Описание этих границ рекомендуется выполнять по следующему плану.

1. Структура организации: описание существующей структуры и тех изменений, которые предполагается внести в связи с разработкой системы ИБ.

2. Размещение средств СВТ и поддерживающей инфраструктуры.

3. Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Поскольку для организации все эти ресурсы представляют ценность, должна быть выбрана система критериев и методология получения оценок по этим критериям.

4. Технология обработки информации и решаемые задачи. Для решаемых задач следует построить модели обработки информации в терминах ресурсов.

В результате составляется техническое задание (ТЗ) на создание системы ИБ, в котором фиксируются границы системы, перечисляются подлежащие защите ресурсы и дается система критериев для определения их ценности.

Задача оценки рисков

На этом этапе ставится задача оценки рисков и обосновываются требования к методике их оценки.

К оценке рисков существуют различные подходы, выбор которых зависит от уровня требований к безопасности, характера угроз и эффективности потенциальных контрмер.

Минимальные требования к ИБ

Минимальным требованиям соответствует базовый уровень ИБ, обычно реализуемый в типовых проектных решениях. В стандарте определен набор наиболее вероятных угроз, таких, как вирусы, сбои оборудования, несанкционированный доступ и т. д. Контрмеры для нейтрализации этих угроз должны быть приняты обязательно вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

Повышенные требования к ИБ

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базового уровня требований становится недостаточно. Чтобы сформулировать дополнительные требования, необходимо:

- определить ценность ресурсов;

- к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

- оценить вероятность угроз;

- определить уязвимость ресурсов.

Выбор контрмер и управление рисками

Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов.

- Уменьшение риска. Например, грамотное управление паролями снижает вероятность несанкционированного доступа.

- Уклонение от риска. Например, вынесение Web-сервера за пределы локальной сети организации позволяет избежать несанкционированного доступа в локальную сеть со стороны Web-клиентов.

- Изменение характера риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки:

- застраховать оборудование от пожара;

- заключить договора с поставщиками СВТ о сопровождении и компенсации ущерба в случае нештатной ситуации.

- Принятие риска. Многие риски не могут быть уменьшены до пренебрежимо малой величины.

На практике, после того как бывает принят стандартный набор контрмер, ряд рисков уменьшается, но все же остается значимым. Поэтому необходимо знать остаточную величину риска.

Когда этап по определению принимаемых во внимание рисков завершен, должна быть предложена стратегия управления.

Выбор мер, обеспечивающих режим ИБ

Комплекс предлагаемых мер должен быть построен в соответствии с выбранной стратегией управления рисками и структурирован по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Если проводится полный вариант анализа рисков, то эффективность комплекса контрмер оценивается для каждого риска.

Аудит системы управления ИБ

При аудите проверяется, насколько выбранные контрмеры соответствуют декларированным в политике безопасности целям. В результате создается ведомость соответствия, в которой описывается анализ эффективности контрмер. Основные разделы этого документа:

- границы проводимого аудита;

- методика оценки;

- соответствие существующего режима ИБ требованиям организации и используемым стандартам;

- случаи несоответствия и их категории;

- общие замечания, выводы, рекомендации.

Обеспечение повышенных требований к ИБ

Если к ИБ предъявляются повышенные требования, проводится так называемый полный вариант анализа рисков, в рамках которого в дополнение к базовым рассматриваются:

- модель бизнес-процессов с точки зрения ИБ;

- ресурсы организации и их ценность;

- составление полного списка угроз безопасности - потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров;

- уязвимости - слабые места в защите, которые могут спровоцировать реализацию угрозы.

На основе собранных сведений оцениваются риски для информационной системы организации, для отдельных ее подсистем, баз данных и элементов данных.

Следующим шагом должен стать выбор контрмер, снижающих риски до приемлемых уровней.

С автором статьи можно связаться по адресу: security@compulink.ru.

Версия для печати