О Фонде | Научно-исследовательская деятельность | Издательская деятельность | Мероприятия | СМИ о Фонде | Контакты
12 июня 2019
24 мая 2019
22 мая 2019
18 мая 2019
8 мая 2019
10 октября 2019
10 октября 2019
10 октября 2019
9 октября 2019
9 октября 2019
Материалы и публикации о безопасности
Организационые основы защиты информации в корпоративной сети организцииа
Сулима Тимофей
УДК 62-022.53 Сулима Т.Г.
Академия гражданской защиты МЧС России

ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ

Рано или поздно общий вопрос о защищенности бизнеса «расплывается» на слабо связываемые сферы - защиты в ее историческом (классическом) понимании с помощью охранных структур, вооруженных техническими средствами наблюдения и охраны материальных средств предприятия и защиты активов, материализованных на всевозможных носителях информации, надежный учет которых не гарантирует их сохранности.
Информация любой организации при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов, партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний IT-сферы при потере информации - баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такой организации - информационная безопасность, а ее ключевой аргумент - уровень защиты информации.
Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий и организаций. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.
Любая информация, а в особенности коммерческая имеет свою цену, бесспорно, осталось решить как и какими средствами обеспечить ее защиту? Забегая вперед, можно констатировать - для подавляющего большинства российских компаний задача защиты коммерческой информации безболезненно решаема в обозримые сроки и при незначительных финансовых затратах. Как это сделать?
Зафиксируем принципиальные условия. Для достижения цели будем руководствоваться принципом разумной достаточности (экономической целесообразности) затрат на обеспечение защиты информации - они не должны превышать величину потенциального ущерба от ее нарушения или утраты. И второе, как следствие первого - пока предприятию не грозит международное признание организацию адекватной защиты информации будем строить, не опираясь на требования отечественных и международных стандартов и немного отстраняясь от «трех китов» информационной безопасности, тем более, что для подавляющего большинства российских предприятий необходимость сомнительная.
Сначала уточним, что же именно необходимо защитить, определимся с объектами защиты. Информация не существует сама по себе, она хранится на разнообразных носителях - на бумаге по полкам и ящикам, в базах данных и разрозненных файлах на магнитных носителях серверов и рабочих мест, в головах осведомленных сотрудников и передается по каналам связи между устройствами и сетями. Естественно, вопрос защиты информации на каждом из перечисленных типов носителей решается совершенно разными способами, поэтому оставим вопросы физической защиты носителей и способы противодействия шпионажу традиционным службам безопасности и сделаем акцент на защиту информации в корпоративной сети предприятия и необходимые организационные меры для защиты технологии обработки информации.
Проведем инвентаризацию информационных ресурсов. Рассмотрим виртуальную организацию неопределенной сферы деятельности (услуги, производство, торговля) с распределенными по корпоративной сети коммерческими информационными ресурсами, требующими повышенной степени защиты. Какую информацию и почему следует защищать? В первом приближении это:
- информация бухгалтерии и кадровой службы (обязывает действующее законодательство);
- важная информация отдельных сотрудников;
- коммерческая тайна;
- технологическая информация;
- базы данных и знаний;
- ноу-хау организации;
- аналитическая информация;
- результаты научных исследований и т.п.;
Исходная обстановка - все работает, организация функционирует в штанном режиме. Теперь обратимся к должностным инструкциям сотрудников технических служб, так называемых «ITишников», если таковые инструкции есть, - основная обязанность технического персонала заключается в обеспечении функционирования корпоративной сети, а защищенность информации - не их забота и решается, в лучшем случае, в пределах обеспечения защиты функционирования ресурсов и технологий на приемлемом для них уровне и не более. Как правило на большинстве российских предприятий так и есть.
Следующий этап - проводим инвентаризацию всех технических средств хранения, обработки и передачи информации и прочих технологических элементов и составляем перечень:
- рабочие станции, включая мобильные;
- серверы;
- средства резервного копирования;
- телекоммуникационное оборудование корпоративной сети;
- устройства ввода(вывода), включая персональные;
- персональные носители информации - всевозможные накопители, включая телефоны и фотоаппараты;
- иные средства связи с внешним миром, включая мобильные;
- сами информационные технологии, включая программные средства и т.д.;
Но производят информацию не компьютерные системы, они лишь обрабатывают одни сообщения и вырабатывают другие, а информация в форме сведений порождается в голове человека, которые затем обрабатываются вне и возвращаются ему в виде новых сведений, представляющих интерес уже для более широкого круга потребителей. Выявляем основные группы пользователей информацией:
- сотрудники;
- клиенты;
- партнеры;
- обслуживающий персонал;
- всевозможные проверяющие;
- случайные люди;
- злоумышленники и конкуренты.
С приемлемой степенью точности классифицируем информацию по важности для последующего выбора средств защиты и определения прав доступа. За отправную точку, к примеру, можно принять требования федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», выполнение которых он обязывает практически все компании. Это позволяет определить относительную важность всей информации и, впоследствии, определить необходимые средства для ее защиты, обеспечивающие не только требования закона, но и противодействие интересам последних групп потенциальных и реальных пользователей.
Выявляем доступность информации, подлежащей защите, перечисленным группам пользователей, при этом заметим, что каждая из групп, и, прежде всего, сотрудники, не должны иметь полный доступ ко всей информации. Необходимо определить их права по доступу к информации, построив своеобразную матрицу «информация - права доступа» или «информация – группы пользователей» и определить и разграничить полномочия.
Перечисленные выше действия вполне по силам заинтересованным сотрудникам службы безопасности организации, имеющим соответствующие полномочия, но, поскольку они не являются специалистами в сфере защиты информации и информационной безопасности, остаются исключения:
- настройка конфигураций программно-технических средств обеспечивает их функционирование и не отвечает требованиям безопасности;
- традиционная (исторически сложившаяся) архитектура корпоративной сети, как правило, не обеспечивает необходимую защиту информационных ресурсов и технологий их обработки;
- нельзя проверять самого себя - решения сотрудников могут содержать ошибки;
- технический персонал не владеет полной информацией и не может объективно оценивать степени важности различных данных;
- технический персонал не может оценивать целесообразность принятых административных решений.
Следующий этап - увязываем полученные данные. Начнем с программно-технических средств. Параметры операционных систем рабочих станций, как правило и к сожалению, соответствуют настройке поставщика операционных систем, а все изменения, если и производились, были сделаны с единственной целью обеспечения требуемого функционирования. То же самое относится и к штатным службам и прочим сервисам, в том числе и действующим на серверах организации, что недопустимо. К примеру, пароли поставщиков оборудования, оставленные по умолчанию - частая причина дискредитации систем аутентификации и авторизации, предоставляющая полный доступ с максимальными правами любому желающему в самых защищенных системах. Отключение бездействующих и ненужных служб, как одного из требований повышения защищенности систем, без точных знаний их назначения может привести к непредсказуемым последствиям - от переустановки операционных систем до потери данных. Настройки телекоммуникационного оборудования не менее важны, т.к. неверно сконфигурированные профили и функции также могут привести к перехвату управления ресурсами.
Эти обстоятельства диктуют новые условия продолжения работы, а дальнейшие шаги требуют привлечения специалистов для согласованной работы по защите информации. Придется обратиться к специализированной компании для выполнения комплекса работ, перечисленных в предыдущем абзаце. Преимущества такого выбора описаны и хорошо известны. Приведем основные - персонал привлеченной компании обладает штатом экспертов с уникальным объемом знаний и практическим опытом в смежных областях IT-сферы:
- информационная безопасность и защита информации, в т.ч. моделирование процессов, анализ рисков и угроз;
- архитектура телекоммуникационных сетей;
- операционные системы и штатные сервисы;
- прикладное программное обеспечение, приложения;
- защитное программное обеспечение;
- технические программные средства защиты информации;
- прочие IT-технологии и средства;
После преодоления исключительных обстоятельств, возложения части специфических функций на провайдера информационной безопасности, в частности, предложения по применению и выбор технических средств защиты информации при реальной необходимости настраиваем программно-технические средства по предоставленным рекомендациям:
- приводим в соответствие архитектуру корпоративной системы;
- внедряем политику парольной защиты;
- разделяем и (или) изолируем независимые информационные и бизнес-процессы;
- внедряем разграничение прав доступа к информационным ресурсам.
Попутно задействуем скрытые штатные возможности наличных программно-технических средств:
- журналы регистрации системных событий;
- функции текущего аудита;
- системы обнаружения и предупреждения вторжений;
- защитное программное обеспечение;
- возможности шифрованного хранения и передачи данных;
- возможности перераспределения нагрузки;
- контентная фильтрация;
- управление внутренним и внешним трафиком и многое другое.
Достигнутое впечатляет, но только неискушенных. Сам человек, как источник сведений и их основной потребитель пока остается в стороне, а «человеческий фактор» - наиболее частая причина утечки или потери информации, т.е. безопасность предприятия определяется и мерой ответственности работника за действия, которые он совершает, и без внедрения или детализации формальных отношений поставленная цель останется по-прежнему не достигнутой.
Разрабатываем и внедряем организационно-административные меры, регулирующих правила работы с информационными ресурсами и действия персонала в нештатных ситуациях. Масштаб работы, глубина проработки и формализации процессов и конечное количество документов определяются совместной работой группы ответственного управленческого персонала предприятия и специалистами привлеченной компании. Придется перерабатывать должностные инструкции и действующие на предприятии инструкции на предмет определения зон ответственности и соглашений о конфиденциальности, определить перечень необходимых инструкций и правил работы с программными и техническими средствами, регламенты резервного копирования, определить методы доступа к информационным ресурсам, в частности, разработать политику парольной защиты, предусмотреть, наконец, правила действия сотрудников в нештатных ситуациях.
Следует предусмотреть и способ доведения разработанных документов до персонала компании. Например, постоянное представление на внутреннем корпоративном web-сайте компании при обязательном подписании отдельных документов ответственными работниками, тогда любые, даже неумышленные, нарушения безопасности будут иметь конкретных авторов.
Естественно, перечень и состав каждого документа для каждого предприятия уникальны и нередко отличаются для разных подразделений одного предприятия, но при этом соответствуют единой политике информационной безопасности, целесообразность разработки которой тоже определяется на текущем этапе. Во избежание возможных коллизий с действующим законодательством содержание документов и их легализацию следует согласовать с юридической службой, если она есть на предприятии или воспользоваться услугами имеющего такой опыт провайдера.
Как удостовериться, что при разработке и внедрении мер ничто не забыто и не допущены ошибки? Придется предусмотреть метод и средства анализа защищенности ресурсов, определить интервалы и назначить ответственных среди штатного персонала за проведение систематического контроля созданной системы информационной безопасности. Для анализа программно-технических средств можно применить программные сканеры безопасности и внедрить их в корпоративную систему, а разработанную нормативную документацию приводить в соответствие при изменениях характера и состава бизнес-процессов, изменениях архитектуры сети и, с другой стороны, регулярно подвергать созданную систему защиты информации анализу на соответствие требованиям документации, т.е. проводить регулярный внутренний аудит.
Внедрение разработанных мер займет некоторое время, как и подготовка персонала, прежде, чем защита информации будет обеспечена на должном уровне. Но есть еще несколько вопросов, от решения которых будет зависеть достигнутый уровень защиты информации. Во-первых, развитие технологий, в том числе и используемых злоумышленниками, постоянный процесс, требующий и совершенствование средств защиты, а, во-вторых, кто гарантирует, что при внедрении даже незначительных изменений и последующей эксплуатации корпоративной информационной системы в ней не появятся новые уязвимости? Увы, но, в отличие от развитых стран, в нашей стране практика страхования информационных рисков пока еще отсутствует. И, наконец, разве можно качественно проверить самого себя? Ответ очевидный - единственное решение в проведении периодического внешнего аудита для подтверждения и поддержания заданного уровня защищенности, т.к. появление «слабого» звена в построенной системе приведет к ослаблению системы в целом. Регламент и регулярность проведения внешнего аудита могут быть определены в процессе разработки организационных мер и закреплены в соответствующих распорядительных документах.
Следует заметить, что предложенная последовательность действий - фактическая квинтэссенция опыта отечественных компаний по организации информационной безопасности предприятий с различными формами собственности, разных сфер деятельности и разной величины - от нескольких рабочих мест в одном помещении до территориально распределенной структуры с трудовыми коллективами в несколько тысяч человек.
Безусловно, подобный подход имеет некоторые недостатки с точки зрения построения комплексной системы управления информационной безопасностью, но это уже другая задача, а преимущества рассмотренного решения очевидны:
- достигнута поставленная цель - конфиденциальная информация защищена;
- значительная часть работ выполнена штатным заинтересованным персоналом службы безопасности организации;
- документировано текущее состояние информационной системы предприятия;
- предложенный подход позволил избежать неоправданной бюрократической волокиты с распределением обязанностей при выполнении работ;
- предельно снижены затраты на достижение цели;
- создана логически увязанная система защиты информации;
- создана база для построения системы информационной безопасности;
- существенно повышен уровень экономической безопасности предприятия.
Следует оценить и следующий факт - при настройке программно-технических средств использованы передовые методики и рекомендации, разработанные различными отечественными и зарубежными ведомствами, специализированными в сфере защиты информации и информационной безопасности, в том числе и военизированными. Все разработанные рекомендации, правила, инструкции, регламенты и отдельные политики впоследствии с незначительной корректировкой можно использовать как базу для построения полноценной системы управления информационной безопасностью организации.


УДК 62-022.53 Сулима Т.Г.
Академия гражданской защиты МЧС России

ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ

Рано или поздно общий вопрос о защищенности бизнеса «расплывается» на слабо связываемые сферы - защиты в ее историческом (классическом) понимании с помощью охранных структур, вооруженных техническими средствами наблюдения и охраны материальных средств предприятия и защиты активов, материализованных на всевозможных носителях информации, надежный учет которых не гарантирует их сохранности.
Информация любой организации при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов, партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний IT-сферы при потере информации - баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такой организации - информационная безопасность, а ее ключевой аргумент - уровень защиты информации.
Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий и организаций. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.
Любая информация, а в особенности коммерческая имеет свою цену, бесспорно, осталось решить как и какими средствами обеспечить ее защиту? Забегая вперед, можно констатировать - для подавляющего большинства российских компаний задача защиты коммерческой информации безболезненно решаема в обозримые сроки и при незначительных финансовых затратах. Как это сделать?
Зафиксируем принципиальные условия. Для достижения цели будем руководствоваться принципом разумной достаточности (экономической целесообразности) затрат на обеспечение защиты информации - они не должны превышать величину потенциального ущерба от ее нарушения или утраты. И второе, как следствие первого - пока предприятию не грозит международное признание организацию адекватной защиты информации будем строить, не опираясь на требования отечественных и международных стандартов и немного отстраняясь от «трех китов» информационной безопасности, тем более, что для подавляющего большинства российских предприятий необходимость сомнительная.
Сначала уточним, что же именно необходимо защитить, определимся с объектами защиты. Информация не существует сама по себе, она хранится на разнообразных носителях - на бумаге по полкам и ящикам, в базах данных и разрозненных файлах на магнитных носителях серверов и рабочих мест, в головах осведомленных сотрудников и передается по каналам связи между устройствами и сетями. Естественно, вопрос защиты информации на каждом из перечисленных типов носителей решается совершенно разными способами, поэтому оставим вопросы физической защиты носителей и способы противодействия шпионажу традиционным службам безопасности и сделаем акцент на защиту информации в корпоративной сети предприятия и необходимые организационные меры для защиты технологии обработки информации.
Проведем инвентаризацию информационных ресурсов. Рассмотрим виртуальную организацию неопределенной сферы деятельности (услуги, производство, торговля) с распределенными по корпоративной сети коммерческими информационными ресурсами, требующими повышенной степени защиты. Какую информацию и почему следует защищать? В первом приближении это:
- информация бухгалтерии и кадровой службы (обязывает действующее законодательство);
- важная информация отдельных сотрудников;
- коммерческая тайна;
- технологическая информация;
- базы данных и знаний;
- ноу-хау организации;
- аналитическая информация;
- результаты научных исследований и т.п.;
Исходная обстановка - все работает, организация функционирует в штанном режиме. Теперь обратимся к должностным инструкциям сотрудников технических служб, так называемых «ITишников», если таковые инструкции есть, - основная обязанность технического персонала заключается в обеспечении функционирования корпоративной сети, а защищенность информации - не их забота и решается, в лучшем случае, в пределах обеспечения защиты функционирования ресурсов и технологий на приемлемом для них уровне и не более. Как правило на большинстве российских предприятий так и есть.
Следующий этап - проводим инвентаризацию всех технических средств хранения, обработки и передачи информации и прочих технологических элементов и составляем перечень:
- рабочие станции, включая мобильные;
- серверы;
- средства резервного копирования;
- телекоммуникационное оборудование корпоративной сети;
- устройства ввода(вывода), включая персональные;
- персональные носители информации - всевозможные накопители, включая телефоны и фотоаппараты;
- иные средства связи с внешним миром, включая мобильные;
- сами информационные технологии, включая программные средства и т.д.;
Но производят информацию не компьютерные системы, они лишь обрабатывают одни сообщения и вырабатывают другие, а информация в форме сведений порождается в голове человека, которые затем обрабатываются вне и возвращаются ему в виде новых сведений, представляющих интерес уже для более широкого круга потребителей. Выявляем основные группы пользователей информацией:
- сотрудники;
- клиенты;
- партнеры;
- обслуживающий персонал;
- всевозможные проверяющие;
- случайные люди;
- злоумышленники и конкуренты.
С приемлемой степенью точности классифицируем информацию по важности для последующего выбора средств защиты и определения прав доступа. За отправную точку, к примеру, можно принять требования федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», выполнение которых он обязывает практически все компании. Это позволяет определить относительную важность всей информации и, впоследствии, определить необходимые средства для ее защиты, обеспечивающие не только требования закона, но и противодействие интересам последних групп потенциальных и реальных пользователей.
Выявляем доступность информации, подлежащей защите, перечисленным группам пользователей, при этом заметим, что каждая из групп, и, прежде всего, сотрудники, не должны иметь полный доступ ко всей информации. Необходимо определить их права по доступу к информации, построив своеобразную матрицу «информация - права доступа» или «информация – группы пользователей» и определить и разграничить полномочия.
Перечисленные выше действия вполне по силам заинтересованным сотрудникам службы безопасности организации, имеющим соответствующие полномочия, но, поскольку они не являются специалистами в сфере защиты информации и информационной безопасности, остаются исключения:
- настройка конфигураций программно-технических средств обеспечивает их функционирование и не отвечает требованиям безопасности;
- традиционная (исторически сложившаяся) архитектура корпоративной сети, как правило, не обеспечивает необходимую защиту информационных ресурсов и технологий их обработки;
- нельзя проверять самого себя - решения сотрудников могут содержать ошибки;
- технический персонал не владеет полной информацией и не может объективно оценивать степени важности различных данных;
- технический персонал не может оценивать целесообразность принятых административных решений.
Следующий этап - увязываем полученные данные. Начнем с программно-технических средств. Параметры операционных систем рабочих станций, как правило и к сожалению, соответствуют настройке поставщика операционных систем, а все изменения, если и производились, были сделаны с единственной целью обеспечения требуемого функционирования. То же самое относится и к штатным службам и прочим сервисам, в том числе и действующим на серверах организации, что недопустимо. К примеру, пароли поставщиков оборудования, оставленные по умолчанию - частая причина дискредитации систем аутентификации и авторизации, предоставляющая полный доступ с максимальными правами любому желающему в самых защищенных системах. Отключение бездействующих и ненужных служб, как одного из требований повышения защищенности систем, без точных знаний их назначения может привести к непредсказуемым последствиям - от переустановки операционных систем до потери данных. Настройки телекоммуникационного оборудования не менее важны, т.к. неверно сконфигурированные профили и функции также могут привести к перехвату управления ресурсами.
Эти обстоятельства диктуют новые условия продолжения работы, а дальнейшие шаги требуют привлечения специалистов для согласованной работы по защите информации. Придется обратиться к специализированной компании для выполнения комплекса работ, перечисленных в предыдущем абзаце. Преимущества такого выбора описаны и хорошо известны. Приведем основные - персонал привлеченной компании обладает штатом экспертов с уникальным объемом знаний и практическим опытом в смежных областях IT-сферы:
- информационная безопасность и защита информации, в т.ч. моделирование процессов, анализ рисков и угроз;
- архитектура телекоммуникационных сетей;
- операционные системы и штатные сервисы;
- прикладное программное обеспечение, приложения;
- защитное программное обеспечение;
- технические программные средства защиты информации;
- прочие IT-технологии и средства;
После преодоления исключительных обстоятельств, возложения части специфических функций на провайдера информационной безопасности, в частности, предложения по применению и выбор технических средств защиты информации при реальной необходимости настраиваем программно-технические средства по предоставленным рекомендациям:
- приводим в соответствие архитектуру корпоративной системы;
- внедряем политику парольной защиты;
- разделяем и (или) изолируем независимые информационные и бизнес-процессы;
- внедряем разграничение прав доступа к информационным ресурсам.
Попутно задействуем скрытые штатные возможности наличных программно-технических средств:
- журналы регистрации системных событий;
- функции текущего аудита;
- системы обнаружения и предупреждения вторжений;
- защитное программное обеспечение;
- возможности шифрованного хранения и передачи данных;
- возможности перераспределения нагрузки;
- контентная фильтрация;
- управление внутренним и внешним трафиком и многое другое.
Достигнутое впечатляет, но только неискушенных. Сам человек, как источник сведений и их основной потребитель пока остается в стороне, а «человеческий фактор» - наиболее частая причина утечки или потери информации, т.е. безопасность предприятия определяется и мерой ответственности работника за действия, которые он совершает, и без внедрения или детализации формальных отношений поставленная цель останется по-прежнему не достигнутой.
Разрабатываем и внедряем организационно-административные меры, регулирующих правила работы с информационными ресурсами и действия персонала в нештатных ситуациях. Масштаб работы, глубина проработки и формализации процессов и конечное количество документов определяются совместной работой группы ответственного управленческого персонала предприятия и специалистами привлеченной компании. Придется перерабатывать должностные инструкции и действующие на предприятии инструкции на предмет определения зон ответственности и соглашений о конфиденциальности, определить перечень необходимых инструкций и правил работы с программными и техническими средствами, регламенты резервного копирования, определить методы доступа к информационным ресурсам, в частности, разработать политику парольной защиты, предусмотреть, наконец, правила действия сотрудников в нештатных ситуациях.
Следует предусмотреть и способ доведения разработанных документов до персонала компании. Например, постоянное представление на внутреннем корпоративном web-сайте компании при обязательном подписании отдельных документов ответственными работниками, тогда любые, даже неумышленные, нарушения безопасности будут иметь конкретных авторов.
Естественно, перечень и состав каждого документа для каждого предприятия уникальны и нередко отличаются для разных подразделений одного предприятия, но при этом соответствуют единой политике информационной безопасности, целесообразность разработки которой тоже определяется на текущем этапе. Во избежание возможных коллизий с действующим законодательством содержание документов и их легализацию следует согласовать с юридической службой, если она есть на предприятии или воспользоваться услугами имеющего такой опыт провайдера.
Как удостовериться, что при разработке и внедрении мер ничто не забыто и не допущены ошибки? Придется предусмотреть метод и средства анализа защищенности ресурсов, определить интервалы и назначить ответственных среди штатного персонала за проведение систематического контроля созданной системы информационной безопасности. Для анализа программно-технических средств можно применить программные сканеры безопасности и внедрить их в корпоративную систему, а разработанную нормативную документацию приводить в соответствие при изменениях характера и состава бизнес-процессов, изменениях архитектуры сети и, с другой стороны, регулярно подвергать созданную систему защиты информации анализу на соответствие требованиям документации, т.е. проводить регулярный внутренний аудит.
Внедрение разработанных мер займет некоторое время, как и подготовка персонала, прежде, чем защита информации будет обеспечена на должном уровне. Но есть еще несколько вопросов, от решения которых будет зависеть достигнутый уровень защиты информации. Во-первых, развитие технологий, в том числе и используемых злоумышленниками, постоянный процесс, требующий и совершенствование средств защиты, а, во-вторых, кто гарантирует, что при внедрении даже незначительных изменений и последующей эксплуатации корпоративной информационной системы в ней не появятся новые уязвимости? Увы, но, в отличие от развитых стран, в нашей стране практика страхования информационных рисков пока еще отсутствует. И, наконец, разве можно качественно проверить самого себя? Ответ очевидный - единственное решение в проведении периодического внешнего аудита для подтверждения и поддержания заданного уровня защищенности, т.к. появление «слабого» звена в построенной системе приведет к ослаблению системы в целом. Регламент и регулярность проведения внешнего аудита могут быть определены в процессе разработки организационных мер и закреплены в соответствующих распорядительных документах.
Следует заметить, что предложенная последовательность действий - фактическая квинтэссенция опыта отечественных компаний по организации информационной безопасности предприятий с различными формами собственности, разных сфер деятельности и разной величины - от нескольких рабочих мест в одном помещении до территориально распределенной структуры с трудовыми коллективами в несколько тысяч человек.
Безусловно, подобный подход имеет некоторые недостатки с точки зрения построения комплексной системы управления информационной безопасностью, но это уже другая задача, а преимущества рассмотренного решения очевидны:
- достигнута поставленная цель - конфиденциальная информация защищена;
- значительная часть работ выполнена штатным заинтересованным персоналом службы безопасности организации;
- документировано текущее состояние информационной системы предприятия;
- предложенный подход позволил избежать неоправданной бюрократической волокиты с распределением обязанностей при выполнении работ;
- предельно снижены затраты на достижение цели;
- создана логически увязанная система защиты информации;
- создана база для построения системы информационной безопасности;
- существенно повышен уровень экономической безопасности предприятия.
Следует оценить и следующий факт - при настройке программно-технических средств использованы передовые методики и рекомендации, разработанные различными отечественными и зарубежными ведомствами, специализированными в сфере защиты информации и информационной безопасности, в том числе и военизированными. Все разработанные рекомендации, правила, инструкции, регламенты и отдельные политики впоследствии с незначительной корректировкой можно использовать как базу для построения полноценной системы управления информационной безопасностью организации.
Тематика: Нет
Военный университет Министерства обороны РФ
105064, Москва, а/я 360 Телефон: (495) 662-67-67 / Факс:(495) 662-67-68
E-mail: info@naukaxxi.ru