Политика безопасности в информационных системах

Сейчас каждый человек или организация имеет информацию, которую нет желания опубликовывать, или, наоборот, существуют планы как можно дороже распрощаться с нею. И для этого и необходима политика безопасности. Это такая наработка, в задачи которой входит пресечение неконтролируемого распространения данных, которые не должны быть известны широкой публике. Она прорабатывает вопросы возможной потери или неполучения доступа, что в любом случае скажется на работе. Также, если такое всё же случилось, обычно предусмотрен комплекс мер, чтобы минимизировать ущерб. По сути, политика безопасности – это совокупность норм и правил относительно техники и персонала организации, на которую она же и распространяется. Как следует максимизировать её эффективность?

Комплексность превыше всего

Вопрос защиты информации должен решаться полностью, но прежде всего необходимо блокировать все возможные каналы потери данных. Это необходимо делать из-за того, что применение отдельных мер почти не увеличивает безопасность всей системы. Давайте рассмотрим на примере. У нас есть дом. В нём мы установили бронированную дверь, в которой есть сверхсложные замки. Но при этом мы оставили открытыми окна! Защищено ли наше жилище? Ответ очевиден – нет. Хотя, если мы всё же живём не в одноэтажном доме, а на 125-м этаже небоскрёба, то всё же немного повысим безопасность. По похожему принципу действует и защита в информационных системах. Отдельные меры могут значительно увеличить безопасность, или принести минимальный эффект. В любом случае необходимо подходить с точки зрения комплексности.

Что желательно делать?

Зачастую, чтобы обеспечить безопасность, создают полноценную комплексную систему защиты информации (КСЗИ), которая является совокупностью инженерных и организационных мер, а также программно-аппаратных средств. Вместе они и обеспечивают нормальную работу автоматизированных систем. Управление политикой безопасности желательно осуществлять не только полагаясь на компьютерную технику, но и на персонал организации.

Организационные меры

Является очень важной и часто недооценённой составляющей. Под организационными мерами понимают разработку и применение на практики официальной политики относительно информационной безопасности. Сюда относят:

1. Составлений должностных инструкций, которых должны придерживаться пользователи и представители обслуживающего персонала.
2. Разработка правил администрирования отдельных компонентов системы.
3. Создание плана действия при выявлении попытки несанкционированного доступа.
4. Разработка правил, которые будут оговаривать учёт, хранение, размножение и уничтожение носителей конфиденциальной информации.
5. Проработка вопросов идентификации.
6. Разработка плана при выходе средств защиты из строя и возникновении чрезвычайно ситуации.
7. Обучение всех пользователей правилам и рекомендация информационной безопасности, а также отслеживание их выполнений.

Проблемы при игнорировании организационных мер

Что будет, если не провести подготовку по этому направлению? Тогда люди превращаются в самое сложное звено системы защиты. Результатом игнорирования данного аспекта часто является даже невозможность восстановления информационной системы вообще. И цели политики безопасности будут достигаться не всегда и с большими проблемами. Но даже если имеется резервная копия данных, на воссоздание понадобится определённое время. К тому же создание инструкций позволит облегчить работу в ситуациях, когда всё создавалось одним сотрудником, а восстанавливается или дорабатывается другим.

Самый важный аспект организационных мер

Следует научить пользователей распознавать атаки злоумышленников. Давайте приведем несколько примеров, которые продемонстрируют вам, насколько они хитры:

1. Сотрудник получает звонок или электронное письмо от директора или другого высокопоставленного управленца с просьбой предоставить свой пароль, который даст доступ к базе данных, чтобы протестировать систему, провести модификацию программной составляющей или выполнить иную правдоподобную задачу. Результатом станет получение мошенником возможности её удаления или значительного искажения, что повлечёт за собой убытки.
2. Сотрудник заходит на веб-страницу, как он считает, своей компании, но на самом деле подложной. Вводит свои данные. И всё – злоумышленник имеет доступ к системе. Причем, чтобы работник не догадался, что он не там, может осуществиться перенаправление и автоматическая авторизация на официальном сайте.
3. Сотруднику подбрасывается инфицированный злоумышленником носитель, программа на котором откроет доступ к базе данных, удалит её или сделает ещё какие-то неприятные действия.

И это не все возможные варианты, а только некоторые.

Подготовка основы комплексной системы защиты информации

Разработка политики безопасности требует серьезного и всеохватывающего подхода. Это делается поэтапно. Сначала необходимо обследовать информационно-телекоммуникационную систему. Проводится анализ её архитектуры, топологии, составных частей, инвентаризация информационных ресурсов. Все владельцы и пользователи обязаны быть идентифицированы и обладать соответствующей документацией. Зависимо от важности присваиваются разные грифы секретности. Следует запомнить, что политика безопасности строится на основе собранных и проанализированных данных. Чем больший массив информации будет обработан, тем лучшим получится конечный результат.

Определяемся с защитой

Необходимо построить модель угроз. В ней компьютерная система представлена в виде набора услуг. Каждая из них имеет свою совокупность функций, что позволяет определить множество угроз. Среди них:

1. Угрозы конфиденциальности. Сюда относят всё, что связано с несанкционированным ознакомлением содержимого;
2. Угрозы целостности. Всё, что относится к несанкционированной модификации или влечёт уничтожение информации;
3. Угрозы доступности. Сюда относят возможности нецелевого использования информационной системы;
4. Угрозы наблюдательности. Здесь прорабатываются все возможности проблем с идентификацией и обеспечение контроля действий пользователей.

Основы политики безопасности должны иметь решения для каждой возможной угрозы. Но вместе с тем необходимо придерживаться разумной грани. Так, нет смысла прорабатывать конфиденциальность информации, которая размещена на официальном сайте организации и за задумкой должна быть доступной для ознакомления всем желающим.

Характер угроз

Он определяется тем, что выступает в качестве причины проблем. Выделяют три типа:

1. Природного характера. Сюда относят стихийные бедствия, пожары и похожие проблемы. Они наносят самый большой физический урон. От них сложнее всего защитится. Но вероятность возникновения такой угрозы самая низкая. В качестве защиты используется размещение на разной территории и конструктивные особенности здания (утолщение стены, противопожарная защита и так далее).
2. Технического характера. Сюда относят аварии, отказы оборудования, сбои. Они наносят относительно высокий ущерб. Защищаются от них с помощью механизмов дублирования данных.
3. Человеческий фактор. Под ним не всегда понимают преднамеренный злой умысел. Сюда можно отнести также ошибки проектирования, эксплуатации, разработки компонентов системы, непреднамеренные действия пользователей. С чисто технической точки зрения, не проинструктированная уборщица в серверной комнате представляет не меньшую угрозу для аппаратуры, чем организованная и опытная группа компьютерных взломщиков.

Задачи политики безопасности – это недопущения данных проблем, а в случае, если они всё же случились, то воплощение в жизнь комплекса мер, который минимизирует полученный ущерб.

Особенности модели угроз

При её проработке следует учитывать, что разные виды информации должны иметь различную систему безопасности. Так, относительно публичных данных, что находятся на веб-сайте, можно сказать, что необходимо позаботиться об их целостности и доступности. Поскольку их должны видеть все, то вопрос конфиденциальности можно проигнорировать. Тогда как данные, что циркулируют внутри компании, должны быть защищены от несанкционированного доступа. Но полноценная защита всего по наивысшему разряду требует много сил и ресурсов. Поэтому определяются с наиболее важными данными, которым и обеспечивается наибольшая безопасность. А другая информация защищается в соответствии со своей ценностью.

Модель нарушителя

Она строится относительно людей. Она определяет все возможные типы нарушителей и даёт им подробную характеристику. Так, модели создаются относительно профессиональных взломщиков, неопытных наёмников, простых хулиганов, сотрудников предприятия. Наибольшую опасность в данном случае предоставляют первые. Это из-за того, что у них есть необходимый набор знаний и технических средств, чтобы осуществлять несанкционированный доступ. За профессионалами следуют сотрудники предприятий, поскольку они имеют доступ к информации, а также могут быть ознакомлены с организацией системы безопасности. Это уже даёт минимальные возможности влияния на ресурсы. Поэтому при наличии мотивации сотрудники могут нанести значительный ущерб (что, в общем-то, не является редкостью). А если к ним ещё и обратятся злоумышленники, то это вообще печальная история.

Документация

Когда выполнены все предыдущие этапы, то прорабатываются все нужные бумаги, как то: «Политика безопасности информации», «Техническое задание по созданию КСЗИ» и прочие моменты. После этого проводится выбор программных и аппаратных средств защиты, и конфигурируются их характеристики. В конечном итоге разрабатывается документация по «Технический проект по созданию КСЗИ». Когда всё готово, то уже можно приступать к внедрению выбранных средств, мер и способов защиты информационной системы.

Контроль

Но просто создать мало. Необходимо ещё убедиться, что всё работает правильно, и периодически смотреть, что это состояние сохраняется. Для этого проводится контроль целостности, уточнений требований (доработка) и анализируется состояние информационной системы. Если говорить про администратора, отвечающего за безопасность, то правило «хороший админ – это тот, кто имеет возможность постоянно спать» здесь не действует. Информационная система является динамичным объектом, в котором постоянно изменяются внутренние и внешние условия. Точно также не является чем-то постоянным и структура организации. Могут создаваться новые структурные подразделения или отделы, службы (как то поддержки или базы данных) или произойдёт переезд из одного помещения в другое. Также меняется информация, что циркулирует по системе. Поэтому политика безопасности в информационных системах должна учитывать все приведённые аспекты и принимать их во внимания. Нельзя сказать, что безопасность – это что-то устоявшее. Нет, учитывая необходимость постоянного усовершенствования и подгонки под вызовы, её лучше будет называть процессом.

Оценка результата

Используется для определения эффективности. Существуют специальные методики, с помощью которых можно определить этот параметр. Вот только проводит подобную проверку своими силами довольно сложно ввиду того, что все видимые изъяны должны были устраниться создателями системы защиты. Поэтому, как правило, эту задачу часто поручают третьей стороне. А она, уже с другой позиции, подойдёт к проверке и весьма вероятно, что сможет заметить слабое место, которое было упущено самими разработчиками. По сути, такие проверяющие выступают в роли взломщиков, но они уже получили свою выгоду от использования всех возможных данных в виде оплаты денежными средствами от самой компании. Вот из таких моментов и делается реализация политики безопасности.

Заключение

Возможно, малому бизнесу и нет смысла разрабатывать свою политику безопасности. Но для крупных предприятий, которые планируют функционировать ещё очень долго, её ценность в определённые моменты времени может оказаться чрезвычайной. Если политика безопасности будет разработана на высоком уровне, то представители компании могут даже никогда не узнать, от чего она их защитила. И даже если кажется, что она не имеет смысла, использование данной наработки в любой сфере деятельности является чрезвычайно важной.