Разработка политики безопасности и регламента безопасности предприятия.

    Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что, не создав четкого плана, выиграть партию у сколько-нибудь серьезного соперника невоз­можно. А соперник — «промышленный шпион» — у «защитника информации» достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.

    Вначале необходимо провести аудит информационных процес­сов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциаль­ности информации. При этом упускаются из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. На­пример, обиженный чем-то программист может вставить деструк­тивную закладку в программное обеспечение, которая сотрет цен­ную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться опре­делением перечня конфиденциальной информации предприятия, участков, где данная информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) информации. Пос­ле этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве на­рушителей будут выступать — вольно или невольно — сами со­трудники фирмы. На самом деле с этим ничего нельзя поделать: это надо принять как данность.

    Различным угрозам безопасности можно присвоить вероятно­сти их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасно­сти.

    Политика безопасности — это документ верхнего уровня, в котором указаны:

•  ответственные лица за безопасность функционирования фир­мы;

•  полномочия и ответственность отделов и служб в отношении безопасности;

•  организация допуска новых сотрудников и их увольнения;

•  правила разграничения доступа сотрудников к информаци­онным ресурсам;

•  организация пропускного режима, регистрации сотрудников и посетителей;

•  использование программно-технических средств защиты;

•  другие требования общего характера.

    Таким образом, политика безопасности — это организацион­но-правовой и технический документ одновременно. При ее со­ставлении надо всегда опираться на принцип разумной достаточ­ности и не терять здравого смысла.

    Например, в политике может быть указано, что все прибываю­щие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконт­ролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных теле­фонов сотрудникам фирмы при условии достаточного количества стационарных телефонов.

    Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Ана­лиз рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную ин­формацию участки. Если в качестве ограничений выступает сум­марный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как услов­ную задачу динамического программирования.

    Особое внимание в политике безопасности надо уделить раз­граничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы без­опасности в силу низкой технической грамотности не осознают важности защиты компьютерной информации. С другой сторо­ны, IT-сотрудники, являясь «творческими» личностями, как пра­вило, стараются игнорировать требования службы безопасности.

    Кардинально решить эту проблему можно было бы, введя дол­жность директора по информационной безопасности, которому бы подчинялись обе службы.

    В политике безопасности не надо детализировать должност­ные обязанности каких бы то ни было сотрудников (хотя прихо­дилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

    Значительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обра­ботке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как дол­жны быть защищены серверы, маршрутизаторы и другие устрой­ства сети, порядок использования сменных носителей информа­ции, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

    Можно привести по этому поводу следующие общие рекомен­дации:

•   в системе должен быть администратор безопасности;

•   за эксплуатацию каждого устройства должен быть назначен ответственный;

•   системный блок компьютера опечатывают ответственный и работник IT-службы (или службы безопасности);

•   предпочтительнее использовать съемные жесткие диски, а по окончании рабочего дня убирать их в сейф;

•   если нет необходимости в эксплуатации CD-ROM, дисково­дов, их следует снять с компьютеров;

•   осуществление контроля за использованием USB-портов, вплоть до полного запрета;

•   установка любого программного обеспечения производится только работником 1Т-службы;

•   для разграничения доступа сотрудников лучше всего исполь­зовать сочетание паролей и смарт-карт (токенов); пароли должны генерироваться администратором безопасности, выдаваться пользо­вателю под роспись и храниться им так же, как и другая конфи­денциальная информация;

•   запрещается использование неучтенных носителей информа­ции; на учтенных носителях выполняется маркировка, например, указываются гриф, номер, должность и фамилия сотрудника.

    Еще раз напомним о разумной достаточности и здравом смыс­ле. Внедрение любой защиты приводит к определенным неудоб­ствам пользователя. Однако эти неудобства не должны быть су­щественными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользо­вателя персонального компьютера, в котором следует отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т.д. Можно предусмотреть процедуру удаления файлов иод две росписи в журнале (и пр.), но вряд ли кто-нибудь и когда-нибудь будет выполнять столь вздор­ные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не только уместным, но и необходимым.

    Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасно­сти этот вопрос должен быть выделен в отдельный раздел. Под­ключение к Интернету обычно преследует следующие цели:

    В первых трех случаях идеальным с точки зрения безопасности было бы выделение для Интернета автономного компьютера, на котором ни в коем случае нельзя хранить конфиденциальную информацию. На компьютере должны быть обязательно установ­лены антивирусные средства защиты с актуальной базой, а также правильно настроенный межсетевой экран. Особый контроль надо установить за компьютером со сменными носителями информа­ции, а также за перлюстрацией исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки адми­нистратора безопасности, который контролирует ее и пересылает дальше.

    При необходимости организации распределенной работы со­трудников фирмы наиболее приемлемым решением являются вир­туальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, предоставляющих также услу­ги по установке и настройке соответствующего программного обес­печения.

    Нарушения информационной безопасности могут произойти, несмотря на все принятые меры, поэтому в политике безопасно­сти должны быть обязательно предусмотрены меры по ликвида­ции таких последствий, восстановлению нормальной работоспо­собности фирмы и минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования элект­ропитания, вычислительных средств, данных, а также правильная организация документооборота.

    Политика безопасности является документом верхнего уровня. Более детальные требования излагаются в регламенте безопасно­сти — совокупности документов, регламентирующих правила об­ращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

    В этих документах должен быть определен комплекс мето­дических, административных и технических мер, включающих:

•  создание подразделения, ответственного за обеспечение кон­фиденциальности информации (СОК);

•  определение порядка допуска сотрудников к конфиденци­альной информации;

•  определение обязанностей, ограничений и условий, накла­дываемых на сотрудников, допущенных к конфиденциальной ин­формации;

•  установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых заказчиком, и информации, содержащейся в рабочих документах; порядок изменения категории конфиденциальности работ и ин­формации;

•  требования к помещениям, в которых проводятся конфиден­циальные работы и обрабатывается конфиденциальная информа­ция, по категориям;

•  требования к учету, хранению и обращению с конфиденциаль­ными документами;

•  меры по контролю за обеспечением конфиденциальности ра­бот и информации;

•  план мероприятий по противодействию атаке на конфиден­циальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресе­чения процесса разглашения/утечки информации);

•  план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пре­сечения процесса разглашения/утечки информации);

•  определение ответственности за разглашение конфиденциаль­ной информации.

    Для регламента обеспечения безопасности должны быть разра­ботаны следующие документы:

•  инструкция по обеспечению режима конфиденциальности на предприятии;

•  требования к пропускному и внутриобъектовому режиму;

•  общие требования к системе разграничения доступа в поме­щения;

•  инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации; 

•   требования к лицам, оформляемым на должность, требую­щую допуска к конфиденциальной информации;