Концепция обеспечения ИБ

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Обзор основных положений ИБ можно найти в [6] , анализ положения дел в России — в [7] .

Общие положения концепции

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы ( Рис. 2 ):

Рисунок 2. Обеспечение режима информационной безопасности. Основные этапы.

Определение политики ИБ

Определение политики ИБ должно сводиться к следующим практическим шагам:

  1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

  2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
  3. Структуризацию контрмер по уровням.
  4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

Определение сферы (границ) системы управления ИБ и конкретизация целей ее создания

Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах.

Описание границ системы рекомендуется выполнять по следующему плану:

  1. Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.
  2. Размещение средств СВТ и поддерживающей инфраструктуры.
  3. Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.
  4. Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.

Постановка задачи оценки рисков

На данном этапе должна быть поставлена задача оценки рисков и обоснованы требования к методике оценки рисков.

Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.

Минимальные требованиям к режиму ИБ

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

Повышенные требования к режиму ИБ

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо:

Возможные подходы к выбору дополнительных требований рассмотрены в [8].

Управление рисками

Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов:

Уменьшение риска

Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.

Уклонение от риска

От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Изменение характера риска

Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры:

Принятие риска

Многие риски не могут быть уменьшены до пренебрежимо малой величины.

На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска.

В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления.

Выбор контрмер, обеспечивающих режим ИБ

Должен быть предложен комплекс мер, структурированных по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Предложенный комплекс строится в соответствии с выбранной стратегией управления рисками. Если проводится полный вариант анализа рисков, для каждого риска оценивается эффективность комплекса контрмер.

Аудит системы управления ИБ

Целью проведения аудита является проверка соответствия выбранных контрмер декларированным в политике безопасности целям. Вопросы аудита и процедура сертификации информационной технологии на соответствие требованиям ИБ рассматриваются в [9] . В результате должен быть создан документ "Ведомость соответствия", в котором содержится анализ эффективности контрмер. Основные разделы этого документа:

Анализ рисков, управление рисками Содержание Базовый уровень ИБ
Copyright ╘ 1993-2000, Jet Infosystems