Политики информационной безопасности в системах информационной безопасности Текст научной статьи по специальности «Экономика и бизнес»

2008

НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Студенческая наука

№ 137

УДК 681.3.067

ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

С.Е. ЗАЙЦЕВ

Статья представлена доктором философских наук, профессором Панферовым К.Н.

Статья подготовлена под руководством старшего преподавателя Суворова Н.А.

Рассматривается понятие политики информационной безопасности, её роль в обеспечении информационной безопасности. Рассмотрены возникающие проблемы при разработке систем информационной безопасности и пути их решения.

1. Необходимость политик информационной безопасности

1.1. Определение политики информационной безопасности.

По мере того, как процесс информатизации большинства областей деятельности в Российской Федерации: правительства, промышленности, социальной сферы, бизнеса, и т.д. развивается бурными темпами, встаёт вопрос о комплексном подходе к защите информации. Политики информационной безопасности (ПИБ) направлены на решение этой серьёзной проблемы. Под политикой информационной безопасности понимают «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». Корректно разработанные и остающиеся актуальными, они отражают мнение руководства по вопросу информационной безопасности, связывают воедино все методы защиты информации, позволяют разработать единые стандарты в области защиты информации, регламентируют работу сотрудников. Политики информационной безопасности являются основой для дальнейшей разработки документов по обеспечению безопасности: стандартов, процедур, регламентов, должностных инструкций и т.д.

1.2. Актуальность и необходимость внедрения политик информационной безопасности.

Актуальность разработки политик информационной безопасности для компаний объясняется необходимостью создания механизма управления и планирования информационной безопасности. Также политики ИБ позволяют совершенствовать следующие направления деятельности компании [1]:

- поддержка непрерывности бизнеса;

- повышение уровня доверия к компании;

- привлечение инвестиций;

- минимизация рисков бизнеса с помощью защиты своих интересов в информационной сфере;

- обеспечение безопасного и адекватного управления компании;

- снижение издержек;

- повышение качества деятельности по обеспечению ИБ.

Естественно, что совершенствование направлений деятельности организации зависит от грамотности составления политики информационной безопасности.

1.3. Состав политики информационной безопасности.

Политики информационной безопасности определяют стратегию и тактику построения системы защиты информации. Стратегическая часть связана со стратегией развития бизнеса компании и развитием её 1Т-стратегии. Тактическая часть, в свою очередь, подробно описывает правила безопасности. В соответствии с определением политики информационной безопасно-

сти и рекомендациями международных стандартов в области планирования и управления ПИБ, политики должны содержать [1]:

- определение предмета, задач и целей;

- условия применения и их ограничения;

- отражение позиции руководства в отношении выполнения политики ИБ и создания комплексной системы ИБ;

- определение прав и обязанностей сотрудников;

- определение границ ответственности сотрудников за выполнение политики ИБ;

- порядок действий в случае нарушения политики ИБ.

Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании.

1.4. Структура руководящих документов.

Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности (рис. 1.).

Рис. 1. Структура руководящих документов ПИБ

Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).

При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.

Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.

2. Применение политики информационной безопасности в системах обеспечения информационной безопасности

2.1. Отношение к СИБ в Российской Федерации.

Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.

Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.

Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищённости ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях).

Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.

Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.

Большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ: есть ли концепция и политика ИБ, как оценивается защищенность, регулярно ли проводится аудит ИБ и т.д. Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, РАО «ЕЭС России», Федеральная таможенная служба и т.д.

2.2. Действующая модель определения «зрелости» отечественных компаний и ведомств в области ИБ.

В российской открытой печати широко обсуждается модель определения уровня зрелости предприятий. В настоящее время единственный чёткий критерий оценки уровня зрелости отечественного предприятия по информационной безопасности - это модель зрелости СИБ компании, описанная в стандарте Банка России.

Модель зрелости процессов менеджмента ИБ организации стандарта ЦБ основывается на определенной стандартом CobiT универсальной модели, которая устанавливает шесть уровней:

Нулевой - полное отсутствие процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.

Первый («начальный») - наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы менеджмента ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.

Второй («повторяемый») - проработаны процессы менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность ошибок.

Третий («определенный») - процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры неоптимальны и недостаточно современны, но являются отражением практики, используемой в организации.

Четвертый («управляемый») - обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента ИБ используются частично и в ограниченном объеме.

Пятый («оптимизированный») - процессы менеджмента ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов менеджмента ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.

Принято считать, что наличие концепции и частных политик информационной безопасности в организации свидетельствует о её выходе на «начальный» уровень ИБ. Однако таких признаков, учитывая стандарт Банка России, намного больше. Концепция как необходимый признак ИБ слабо сказывается на создании завершенных вертикальных решений (рис. 1). В таком случае достаточным условием успешного обеспечения ИБ, на время разработки СИБ, может стать четкая реализация частных политик.

2.3. Нормативные документы в области информационной безопасности в РФ.

На текущий момент в РФ разработано большое количество нормативных документов в области ИБ (рис. 2). Но до сих пор не разработан стандарт для СИБ. Такая же ситуация и с сертификацией.

Дальше всех урегулирован процесс сертификации «на соответствие», а самая освоенная область - сертификация СЗИ по линии Федеральной службы по техническому и экспортному контролю (ФСТЭК). С одной стороны, это помогает заказчику определиться, приобретать сертифицированное решение или отказаться от него. С другой - степень доверия к сертификации по ТУ (в отсутствие соответствующего стандарта) падает с каждым днем, хотя сертификационные лаборатории проводят испытания, а все заявленные производителем условия работы и база сертифицированных решений дает заказчикам реальную возможность выбора. Необходимость в сертификации СИБ есть, но развитой системы сертификации нет.

Системы управления ИБ, создаваемые в ведомствах, делаются по зарубежным стандартам, например, КО 17799. Государственных регламентирующих документов в этой области нет ни по отдельным ведомствам, ни по стране. Видимо, лишь стандарт ЦБ введет сертификацию на СУИБ.

Рис. 2. Базовый набор требований к СИБ

Другая проблема - количество в стране ведомств, занимающихся вопросами защиты информации. Составить по их документам концепцию ИБ непросто, у каждого ведомства своя терминология.

На смену старым руководящим документам для обеспечения ИБ приходят новые законы и стандарты, которые характеризуются неочевидной применимостью, либо отсутствием проработанной нормативной базы, чья цель пояснять и детализировать требования закона.

Один из наиболее сбалансированных и жизнеспособных документов - внутриотраслевой стандарт Банка России по ИБ.

В других отраслях создание технических регламентов и отраслевых стандартов по ИБ на стадии проектов.

Базовым ориентиром совершенствования СИБ для основной массы компаний до недавнего времени оставался стандарт КО 17799. Документ аккумулировал опыт построения комплексных систем ИБ и их фрагментов, но не отвечал на вопрос: насколько это целесообразно для конкретной организации. Широкое применение нашел стандарт КО 27001:2005, где приведены методики выбора защитных мер, адекватных рискам, за счет создания СУИБ. Впервые было определено, что в процесс управления системой ИБ должны быть вовлечены все сотрудники -от исполнителей до руководства компании. Если же организация стремится выйти на международный рынок, то она должна присматриваться еще и к международным нормативам.

2.4. Разработка СИБ.

Разработке системы безопасности всегда предшествует процедура аудита существующей СИБ. Сегодня в России активно рекламируют фактически одну методику аудита на основе стандарта ББ7799. Эту методику реализуют две компании - КРМО и ББІ.

Провести аудит одной компании несложно. Но проблемы возникают при проведении аудита крупных ведомств - невозможно описать всю информационную систему таких структур. Только на инвентаризацию может уйти не меньше 3-5 лет. При глубоком исследовании степени защищенности сроки проведения увеличиваются многократно. Единственный выход для таких ведомств - включать механизмы организационных мер.

Многие отечественные компании прибегают к помощи «компаний-интеграторов». Эти компании выполняют разработку и внедрение СИБ, учитывая пожелания заказчика.

В настоящее время существуют следующие варианты построения СИБ:

- объединение средств защиты информации (СЗИ) в СИБ;

- достройка СИБ с добавлением новых СЗИ;

- интеграция новых СЗИ в СИБ.

В отношениях заказчик-интегратор существуют свои проблемы. Не каждое СЗИ столь эффективно, как это утверждают производители и независимые интеграторы. Если производители, с точки зрения конкуренции, нахваливают себя и обещают полную защищенность с помощью именно своего продукта, то интеграторы вынуждены идти на поводу у поставщиков, не имея времени и квалифицированных кадров, чтобы подобрать нужные конкретному заказчику СЗИ и интегрировать их в информационную систему. Многие российские интеграторы производят собственные СЗИ, которые редко сопрягаются с компонентами мультивендорных ИС. Еще одной опасной тенденцией становится использование только тех продуктов защиты информации, которые приносят прибыль не менее некоторого порогового значения.

Интегратор должен знать рынок и продавать не только свое, но и чужое решение, по необходимости вступая в альянсы с нужными поставщиками. Задача интегратора - оценить предложения рынка, проанализировать результаты, а затем предлагать заказчику самые лучшие решения, причем, зная, у кого и что лучше покупать (независимо от того, совместимы данные продукты с собственным творением интегратора или только между собой).

Рост уровня стандартизации продуктов ИБ - объективная тенденция российского рынка. И в этом смысле интегрируемость решений также растет.

Если на предприятии изначально СЗИ внедрялись разными специалистами и только потом интегратор написал концепцию, то ее реализация будет далеко не однозначной.

При интеграции СИБ в ИТ-инфраструктуру компании целесообразно говорить не о фактической степени интеграции, а об интеграционном потенциале заданной СИБ. А он пропорционален числу стандартов, которые поддерживаются используемыми в компании продуктами.

Есть два варианта разрешения существующих проблем. Первый: компаниям-подрядчикам, оказывающим услуги в области ИБ, предлагать наряду с дорогими и доступные решения, адаптированные к конкретным требованиям.

Второй: использовать услуги по аутсорсингу ИБ. Т.е. обеспечение режима информационной безопасности частично или полностью переложить на стороннюю организацию, специализирующуюся в этой области.

2.5. Проблемы внедрения СИБ.

При создании единой СИБ выделяют четыре основных проблемы внедрения:

1). Убеждение руководства в решении создания подразделения информбезопасности.

2). Подбор квалифицированных кадров. Главная проблема здесь состоит в том, что учебные заведения, которые готовили специалистов, в значительной мере утратили свои позиции, а те, кто пытается занять эту нишу сейчас, не способны обеспечить должное качество обучения.

3). Выстраивание деловых взаимоотношений со службой ИТ.

4). Внедрение политики ИБ в среде персонала. Это необходимо сделать таким образом, чтобы она стали частью корпоративной культуры. Необходимо, чтобы нормативы соблюдались на деле, для чего все должны понимать их важность. Каждый новый сотрудник должен направляться на специализированные курсы по ИБ. Обучают не только собственных сотрудников по отдельным углубленным целевым программам, но и сотрудников ИБ всех филиалов, администраторов ИБ подразделений. Проводятся регулярные инструктажи на местах.

2.6. ИБ отраслевых компаний и госорганизаций.

Главное различие в подходе к ИБ государственных и коммерческих организаций состоит в том, что для первых, законодательство требует использовать лишь сертифицированные СЗИ, а у вторых больше возможностей для маневра - подход к ИБ зависит лишь от воли руководства. Если рассматривать средства защиты с точки зрения их интегрированности между собой и с

информсистемой компании, управляемости системы ИБ в целом, то однозначно проранжиро-вать ведомства не представляется возможным. Причина - в закрытости информации и разного рода реорганизациях, которые происходят регулярно в этих ведомствах.

Главный ресурс - выделение бюджетов на цели ИБ, в первую очередь для госорганизации. Если не будет-централизованного и регламентированного финансирования с прозрачными механизмами проверок исполнения бюджета, не будет и реальной работы. Лидеры по обеспечению ИБ среди госорганизаций - Федеральная таможенная служба, Федеральная налоговая служба и Пенсионный фонд.

Наиболее активные пользователи решений в области ИБ - кредитно-финансовая и телекоммуникационная отрасли, топливно-энергетический комплекс.

В кредитно-финансовом секторе активность обусловлена родом деятельности компаний: работа с деньгами и необходимость хранить финансовые секреты. Банковские структуры ставят в первую очередь задачу борьбы с инсайдерами, которые инициируют около 80% всех инцидентов в ИБ. На втором месте внешние угрозы - вирусы, спам, попытки несанкционированного доступа и т.д. Другая тенденция - рост потребности в автоматизированных системах для ведения специального архива электронной корреспонденции, а также для расследования инцидентов.

В этой отрасли есть определенные проблемы реализации эффективной СИБ, основная - дороговизна решения, особенно для небольших банков (менее 200 рабочих станций). Принято считать, что защита сетевой информации не приносит прямой прибыли, а лишь обеспечивает непрерывность бизнес-процессов. Кроме того, в отрасли редко встречаются СИБ, интегрированные в ИС компании, хотя чаще используются многофункциональные СЗИ или их комплексы, что обусловлено территориальной распределенностью и отсутствием на местах специалистов по ИБ.

Телекоммуникационный сектор менее развит в части стандартизации. Компании регулируют себя сами. Сегодня типовой угрозой сети оператора считаются атаки типа DoS (отказ в обслуживании). Далее следуют спам, несанкционированный доступ и прочие внешние угрозы сети. Хотя компании рассматривают СИБ как один из бизнес-процессов, в ближайшем будущем им придется переосмыслить свой подход к ИБ. После вступления в силу ФЗ «О персональных данных» к компаниям будут предъявляться особенно жесткие требования по сбору и обработке приватных записей. Тем более, что основной угрозой здесь считаются инсайдеры.

Телекоммуникационные компании, планирующие выход на международный рынок, должны придерживаться международных требований к ИБ. В частности, в соответствии с Директивой о сохранении данных, принятой Евросоюзом в конце 2005 г., все данные, передаваемые по электронным каналам связи, должны храниться в течение года.

Среди лидеров в этом секторе - «ВымпелКом» и МТС. В компании «ВымпелКом» проводится взвешенная политика создания СИБ, закупки ведутся с позиции необходимости средств защиты информации и ответственности перед акционерами. B МТС тоже высококвалифицированные кадры ИТ-специалистов и специалистов по ИБ, но их гораздо меньше - для последовательной политики в области ИБ просто не хватает ресурсов.

Комплекс тяжелой промышленности. Здесь состояние дел зависит от понимания проблем защиты информации руководством и осознания им важности системы безопасности сети: зрелость СИБ определяется склонностью руководства к ИТ.

Топливно-энергетический комплекс может позволить себе СИБ любого масштаба и сложности. При наличии целого ряда непрерывных технологических процессов их нарушение (как и работы ИС) может нанести серьезный экономический, физический и экологический ущерб и предприятию, и окружающей среде. Поэтому вопросы защиты инфраструктур предприятий рассматриваются на государственном уровне. Среди лидеров этого сектора - «Г азпром» и «Лукойл».

Особое значение придается безопасности инфраструктуры в контексте террористической угрозы и возможных крупномасштабных аварий. Фактически от компаний не требуют соблюдения стандартов ИБ (кроме регламентов работы с информацией государственной важности) даже на международном уровне, но ИС этих предприятий наиболее защищены, особенно от внешних атак. Традиционно они закрыты для доступа извне. Среди лидеров в этом секторе -РАО ЕЭС «России».

Отрасли, которые стремятся на мировой рынок, вынуждены готовиться к вступлению в ВТО. Именно этот факт часто определяет «правильную» стратегию в области ИБ.

Общая картина обеспечения ИБ в российских компаниях рассмотренных отраслей далека от идеальной. Лишь немногие компании имеют СИБ, функционирующую как бизнес-процесс. Далеко не все могут позволить себе эффективную систему, которая требует значительных финансовых и человеческих ресурсов.

3. Выводы

1. Общий уровень зрелости российских компаний и ведомств в области ИБ можно отнести к первому по классификации стандарта СоЫТ или стандарта Банка России.

2. Разрешение проблемы разработки национальных стандартов по ИБ может быть выполнено в результате принятия системы отраслевых стандартов. Необходимо создать стандарт для предприятий одной отрасли, у которых много общих функций, а зачастую и параметров информационных потоков. Аттестацию на соответствие стандарту могут проводить лицензиаты ФСТЭК.

ЛИТЕРАТУРА

1. Петренко С.А., Курбатов В. А. Политики информационной безопасности. - М.: Компания АйТи, 2006.

2. Сайт аналитической группы Gartner Group www. gartner. com.

3. Сайт журнала Информ Курьер Связь www.iks-media.ru.

3. Аналитический раздел сайта журнала Cnews www.safe.cnews.ru.

4. Сайт центра аудита информационной безопасности http://bezpeka.ladimir.kiev.ua/.

INFORMATION SECURITY POLICIES IN IT-SECURITY SYSTEMS

Zaytsev S.E.

In clause the concept of policy of information security, its role of maintenance of information safety is considered. Arising problems are considered at system engineering IT-security and a way of their decision.

Сведения об авторе

Зайцев Станислав Евгеньевич, 1985 г.р., студент 5 курса факультета авиационных систем и комплексов МГТУ ГА, область научных интересов — построение систем информационной безопасности, аудит информационной безопасности.