Принципы построения эффективной системы информационной безопасности

Размещено на http://www.allbest.ru/

Принципы построения эффективной системы информационной безопасности

Измалкова С.А., Тарасов А.В.

Орловский государственный технический университет

По мере расширения сферы использования информационных систем и их усложнения, обостряется проблема обеспечения информационной безопасности (ИБ). Игнорирование проблем ИБ, практика «латания дыр» сегодня могут обойтись компании очень дорого. Решить эти вопросы можно путём построения эффективной системы управления информационной безопасностью.

As information technologies widen and they become more complicated, there comes a problem of providing information security (IS). Ignoring the problems of IS, a practice of “filling up the gaps” may cost a lot to a company nowadays. One can resolve these questions by building up an effective system of information security management.

Сегодня многие российские компании решают задачи создания системы информационной безопасности (далее - ИБ), которая соответствовала бы «лучшим практикам» и стандартам в области ИБ и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причём, этот вопрос важен не только для «молодых» компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Не менее, а скорее и более важной эта проблема является для организаций, давно работающих на рынке, которые приходят к необходимости модернизировать существующую у них систему ИБ.

С одной стороны, необходимость повышения эффективности системы ИБ связана с обострением проблем защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения конфиденциальности данных. Российские компании, вслед за своими западными коллегами, приходят к необходимости учитывать так называемые репутационные риски, ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнёров. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть компания не имеет чёткого представления о том, какие у неё есть типы данных с позиций их конфиденциальности, критичности для бизнеса. А это влечёт за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.

Ещё одна острая проблема в сфере защиты данных связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему.

С другой стороны, в большинстве крупных компаний имеет место унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы (далее - ИС) осуществляется довольно хаотично; немногие компании опираются на продуманную ИТ-стратегию или планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к уже существующим и без учёта их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определяет, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно - система ИБ редко бывает обоснованной экономически.

Опыт работы компаний, работающих в области бизнес-интегрирования [1], свидетельствует, что построение эффективной системы ИБ должно опираться на:

анализ рисков (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем, их экономическом обосновании;

комплекс организационных мер и создание системы управления ИБ (системы управления информационными рисками).

соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.

Таким образом, при построении (модернизации) системы ИБ целесообразно руководствоваться следующей концептуальной схемой эффективной системы ИБ (рис. 1), включающей обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы и её внедрение. информационный безопасность защита конфиденциальность

Рассмотрим выделенные этапы подробно.

1. Диагностическое обследование системы ИБ.

Для построения эффективной системы информационной безопасности, выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем ИБ основывается на результатах такого анализа с учётом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».

Таким образом, построение системы ИБ компании целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов компании выдвигаемым требованиям, то есть, обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы.

Рис. 1. Концептуальная схема построения эффективной системы информационной безопасности

В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.

Существует несколько видов обследования:

предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы ИБ;

аудит системы ИБ (или системы управления ИБ) на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001 [2];

специальные виды обследования, например, при расследовании компьютерных инцидентов.

При проведении диагностического обследования/аудита системы ИБ последовательно выполняются следующие работы (рис. 2).

Рис. 2. Последовательность работ при проведении аудита системы информационной безопасности

Каждый этап работ имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный контроль проекта на всём его протяжении.

В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» информационных активов и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа, включая все правила доступа к информационной системе компании. Информационные активы классифицируются по степени важности/критичности.

Проверяются все процедуры безопасности, в том числе поддержка системы ИБ, процесс расследования нарушений ИБ, организация системы резервного копирования, разграничение прав пользователей, процедуры удалённого доступа, защиты учётных записей и др. Определяются лица, ответственные за развитие и поддержку системы ИБ.

В ходе анализа и моделирования возможных сценариев атак на систему ИБ выявляются ситуации, которые могут привести к нарушению нормального «течения» бизнес-процессов. Определяются возможные последствия несоответствия системы ИБ политике безопасности компании.

Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала компании-заказчика. Это гарантирует учёт основных требований, специфики и интересов обследуемой компании.

Существенным преимуществом привлечения к аудиту внешнего исполнителя (компании-интегратора) является возможность использования накопленного консультантом опыта при анализе каждого компонента системы ИБ на соответствие требованиям по обеспечению информационной безопасности, в том числе и с позиции «лучшей практики» для конкретной индустрии. Однако в таком случае о системе защиты, применяемых мерах и средствах, слабых и сильных сторонах становится известно третьей стороне. Это уже является существенным недостатком [3].

По завершении обследования руководителям и заинтересованным менеджерам представляется детальный отчёт с рекомендациями по изменению или дополнению существующей инфраструктуры системы ИБ. Составляется список необходимых мероприятий по обеспечению информационной безопасности в соответствии с требованиями международных (ISO 17799, ISO 13335) или национальных стандартов (Стандарт ЦБ РФ, СТР-К, NIST SP800-14, BSI и др.), техническими требованиями поставщиков решений в области ИБ (CISCO, Check Point и др.), рекомендациями NSA (National Security Agency).

2. Проектирование системы ИБ.

Следующим этапом построения системы ИБ является её проектирование, включая систему управления ИБ.

Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а, следовательно, возможности отслеживания событий, связанных с ИБ.

Высокая эффективность системы ИБ может быть достигнута, если все её компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость её внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.

Архитектура системы ИБ включает в себя систему управления (процессы и процедуры по обеспечению ИБ) информационной безопасностью (СУИБ). Задачами СУИБ являются систематизация процессов обеспечения ИБ, расстановка приоритетов компании в области ИБ, достижение адекватности системы ИБ существующим рискам, достижение её «прозрачности». Последнее особенно важно, так как позволяет чётко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и людские ресурсы необходимы для их обеспечения и т.д. Создание СУИБ позволяет также обеспечить отслеживание изменений, вносимых в систему информационной безопасности, отслеживать процессы выполнения политики безопасности, эффективно управлять системой в критичных ситуациях.

В целом, процесс управления безопасностью отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры безопасности. Организация этого процесса усложняется тем обстоятельством, что обеспечение информационной безопасности компании связано не только с защитой информационных систем и бизнес-процессами, которые поддерживаются этими информационными системами. У компании часто существуют бизнес-процессы, не связанные с ИТ, но попадающие в сферу обеспечения ИБ, например, процессы кадровой службы по найму персонала.

Этапы работ по проектированию системы ИБ:

1) разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации;

2) создание / развитие политики ИБ;

3) построение модели системы управления ИБ;

4) подготовка технического задания на создание системы информационной безопасности.

5) создание модели системы ИБ;

6) разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы:

пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации;

обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты;

спецификацию на комплекс технических средств системы ИБ;

спецификацию на комплекс программных средств системы ИБ;

определение настроек и режима функционирования компонентов системы ИБ.

7) тестирование спроектированной системы ИБ;

8) разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).

9) разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

3. Внедрение системы ИБ.

После проведения полного тестирования спроектированной системы ИБ, можно приступать к её внедрению. Работы по внедрению системы включают выполнение следующих задач:

поставку программных и технических средств защиты информации;

инсталляцию программных компонентов;

настройку всех компонентов и подсистем;

проведение приёмо-сдаточных испытаний;

внедрение системы управления ИБ;

обучение пользователей;

ввод системы ИБ в промышленную эксплуатацию.

Для эффективной дальнейшей эксплуатации системы необходимо обеспечить её поддержку и сопровождение (собственными силами компании или силами привлекаемых специалистов).

4. Сопровождение и обслуживание

При проведении работ по созданию или модернизации системы информационной безопасности компании часто обращаются за помощью к внешним консультантам. Однако вопрос аутсорсинга работ по созданию и сопровождению системы ИБ неоднозначный. Отдавать на аутсорсинг процессы обеспечения безопасности целесообразно только в том случае, если эта функция не является базовым компонентом основного бизнеса [3]. Аспекты информационной безопасности (особенно касательно противодействия внутренним угрозам) настолько интимны, что, однажды доверив сторонней компании исполнение определённых процессов, можно стать ее заложником, потому что сменить аутсорсера будет мешать особая ценность предоставляемой ему информации. В то же время серьёзным аргументом в пользу привлечения аутсорсера служит его объективность. Можно быть более или менее уверенным, что он будет непредвзято отслеживать нарушителей и сообщать обо всех действиях, невзирая на их статус внутри компании.

Как выбрать надёжного партнёра, которому можно было бы доверить одну из самых критичных областей бизнеса?

В первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для проведения работ по проектированию и моделированию системы ИБ. Кроме того, дополнительные выгоды принесёт наличие у исполнителя высоких партнёрских статусов с поставщиками программно-аппаратных комплексов (это также является определённой гарантией опыта компании-консультанта). И, главное, - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме. Услуги службы технической поддержки исполнителя могут включать и аутсорсинг, и удалённый мониторинг состояния средств защиты информации, и обслуживание поддерживаемых средств. Исполнители могут выполнять работы по сопровождению продуктов - плановой замене их версий, консультированию пользователей и др. То есть обеспечивается технологическая основа для того, чтобы система ИБ «жила» и развивалась.

Тем не менее, обеспечение безопасности информации требует постоянного присутствия специалиста в организации, его доступа к весьма чувствительным с точки зрения безопасности объектам, общения с сотрудниками и пользователями информационной системы. Получается, что специалист вроде бы «наш», а вроде бы и «не наш». Да и с экономической точки зрения такой аутсорсинг эквивалентен приёму на работу собственного специалиста. Так кого лучше содержать: своего или чужого? А если надо срочно принять серьёзное управленческое решение по восстановлению нарушенной безопасности информации?

В вопросе передачи обеспечения безопасности информации на аутсорсинг многое зависит от решения руководства организации: готово ли оно идти на увеличение рисков, оправдано ли это экономически. По мнению некоторых экспертов в области ИБ, в данном вопросе «должен быть достигнут разумный компромисс» [3].

Литература

1. Голов А. Построение эффективной системы информационной безопасности // Финансовая газета. 2006. № 8.

2. ISO/IEC IS 27001:2005 Information technology. Security techniques. Information security management systems. Requirements.

3. Формирование корпоративной политики внутренней информационной безопасности // BYTE Россия. 2006. № 4 (92).

Размещено на Allbest.ru