====== Концепция обеспечения информационной безопасности ====== Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. ===== 1. Общие положения концепции ===== Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы: * Определение политики ИБ. * Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. * Оценка рисков. * Управление рисками. * Выбор контрмер, обеспечивающих режим ИБ. * Аудит системы управления ИБ. ===== 2. Определение политики ИБ ===== Определение политики ИБ должно сводиться к следующим практическим шагам: 1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая: * управление доступом к средствам вычислительной техники (СВТ), программам и данным; * антивирусную защиту; * вопросы резервного копирования; * проведение ремонтных и восстановительных работ; * информирование об инцидентах в области ИБ. 2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков. 3. Структуризацию контрмер по уровням. 4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ. ===== 3. Определение сферы (границ) системы управления ИБ и конкретизация целей ее создания ===== Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах. Описание границ системы рекомендуется выполнять по следующему плану: - Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы. - Размещение средств СВТ и поддерживающей инфраструктуры. - Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям. - Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов. В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности. ===== 4. Постановка задачи оценки рисков, связанных с нарушением ИБ ===== На данном этапе должна быть поставлена задача оценки рисков и обоснованы требования к методике оценки рисков. Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер. ==== 4.1. Минимальные требованиям к режиму ИБ ==== Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. ==== 4.2. Повышенные требования к режиму ИБ ==== В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо: определить ценность ресурсов; к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы; оценить вероятности угроз; определить уязвимости ресурсов. ===== 5. Управление рисками, которые связанны с нарушением ИБ ===== Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов: * уменьшение риска; * уклонение от риска; * изменение характера риска; * принятие риска. ===== 5.1. Уменьшение риска от нарушения ИБ ===== Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа. ===== 5.2. Уклонение от риска ===== От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. ===== 5.3. Изменение характера риска от нарушения ИБ ===== Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры: оборудование может быть застраховано от пожара; могут быть заключены договора с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями. ===== 5.4. Принятие риска ===== Многие риски не могут быть уменьшены до пренебрежимо малой величины. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска. В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления. ===== 6. Выбор контрмер, обеспечивающих режим ИБ ===== Должен быть предложен комплекс мер, структурированных по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Предложенный комплекс строится в соответствии с выбранной стратегией управления рисками. Если проводится полный вариант анализа рисков, для каждого риска оценивается эффективность комплекса контрмер. ===== 7. Аудит системы управления ИБ ===== Целью проведения аудита является проверка соответствия выбранных контрмер декларированным в политике безопасности целям. В результате должен быть создан документ "Ведомость соответствия", в котором содержится анализ эффективности контрмер. Основные разделы этого документа: * границы проводимого аудита; * методика оценки; * соответствие существующего режима ИБ требованиям организации и используемым стандартам; * несоответствия и их категории; * общие замечания, выводы, рекомендации.