Корпоративная система и уровни ее информационной безопасности

Практические правила обеспечения информационной безопасности (ИБ) на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, обязательно использование некоторых средств идентификации и аутентификации пользователей (сервисов — razgovorodele.ru), средств резервного копирования, антивирусного контроля и т.д. Режим информационной безопасности в подобных системах обеспечивается:

— на административном уровне — политикой безопасности организации, в которой сформулированы цели в области ИБ и способы их достижения;
— на процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты;
— на программно-техническом уровне — применением апробированных и сертифицированных решений, стандартного набора контрмер: резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.

При создании систем ИБ важно не упустить каких-либо существенных аспектов — в этом случае применяемой информационной технологии будет гарантирован некоторый минимальный (базовый) уровень ИБ. Базовый уровень ИБ предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распространенных угроз безопасности без оценки вероятностей этих угроз. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности защиты в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.

В ряде случаев базового уровня оказывается недостаточно. Для обеспечения повышенного уровня ИБ необходимо знать параметры, характеризующие степень безопасности информационной системы (технологии) и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов. В том или ином виде рассматриваются ресурсы, характеристики рисков и уязвимости информационной системы. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции ИБ. Стратегия безопасности при обеспечении базового уровня информационной безопасности в практическом плане сводится к следующим шагам.

1. Определение необходимых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

— управление доступом к средствам вычислительной техники (СВТ), программам и данным;
— антивирусную защиту;
— вопросы резервного копирования;
— проведение ремонтных и восстановительных работ;
— информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или нужно проводить полный вариант анализа рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ: график совещаний по тематике ИБ на уровне руководства, периодичность пересмотра положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы в этой области.

Минимальным требованиям к информационной безопасности соответствует базовый уровень ИБ, обычно реализуемый в типовых проектных решениях. В стандарте определен набор наиболее вероятных угроз, таких, как вирусы, сбои оборудования, несанкционированный доступ и т.д. Контрмеры для нейтрализации этих угроз должны быть приняты обязательно вне зависимости от вероятности их осуществления и уязвимости ресурсов — razgovorodele.ru. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базового уровня требований к безопасности информации становится недостаточно.

Чтобы сформулировать дополнительные требования, необходимо:

— определить ценность ресурсов;
— к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;
— оценить вероятность угроз;
— определить уязвимость ресурсов.

Должна быть разработана стратегия управления рисками разных классов. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но все же остается значимым. Поэтому необходимо знать остаточную величину риска. Когда этап по определению принимаемых во внимание рисков завершен, должна быть предложена стратегия управления ими.

Комплекс предлагаемых мер должен быть построен в соответствии с выбранной стратегией управления рисками и структурирован по уровням (организационному, программно-техническому — razgovorodele.ru) и отдельным аспектам безопасности. Если проводится полный вариант анализа рисков, то эффективность комплекса контрмер оценивается для каждого риска. Если к ИБ предъявляются повышенные требования, проводится так называемый полный вариант анализа рисков, в рамках которого в дополнение к базовым рассматриваются:

— модель бизнес-процессов с точки зрения ИБ;
— ресурсы организации и их ценность;
— составление полного списка угроз безопасности — потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров;
— уязвимости — слабые места в защите, которые могут спровоцировать реализацию угрозы.

На основе собранных сведений оцениваются риски для информационной системы организации, для отдельных ее подсистем, баз данных и элементов данных. Следующим шагом является выбор контрмер, снижающих риски до приемлемых и формируется структура системы защиты информации.