Организация безопасности данных и информационной защиты
Как защищаться?
Наиболее простой способ - купить новейшие рекламируемые средства защиты и установить их у себя в организации, не утруждая себя обоснованием их полезности и эффективности. Если компания богата, то она может позволить себе этот путь. Однако истинный руководитель должен системно оценивать ситуацию и правильно расходовать средства. Во всем мире сейчас принято строить комплексную систему защиту информации и информационных систем в несколько этапов - на основе формирования концепции информационной безопасности, имея в виду в первую очередь взаимосвязь ее основных понятий ( рис. 13.2) [Лапонина О.Р. Основы сетевой безопасности. М.: ИНТУИТ.ru, 2005].
Первый этап - информационное обследование предприятия - самый важный. Именно на этом этапе определяется, от чего в первую очередь необходимо защищаться компании.
Вначале строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т. е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т. п. На этом этапе можно получить ответ на два вопроса, которые были заданы выше: "Зачем и от кого надо защищаться?" На этом же этапе выявляются и анализируются уязвимые места и возможные пути реализации угроз безопасности, оценивается вероятность атак и ущерб от их осуществления.
По результатам этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты. На этом этапе может быть рекомендовано не приобретать достаточно дорогие средства защиты, а воспользоваться уже имеющимися в распоряжении. Например, в случае, когда в организации есть мощный маршрутизатор, можно рекомендовать воспользоваться встроенными в него защитными функциями, а не приобретать более дорогой межсетевой экран (Firewall).
Наряду с анализом существующей технологии должна осуществляться разработка политики в области информационной безопасности и свода организационно-распорядительных документов, являющихся основой для создания инфраструктуры информационной безопасности ( рис. 13.3). Эти документы, основанные на международном законодательстве и законах Российской федерации и нормативных актах, дают необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п.
Формирование политики ИБ должно сводиться к следующим практическим шагам.
- Определение и разработка руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
- принципы администрирования системы ИБ и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются;
- принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области ИБ и выработку корректирующих мер, направленных на устранение угроз;
- принципы использования информационных ресурсов персоналом компании и внешними пользователями;
- организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров;
- вопросы резервного копирования данных и информации;
- порядок проведения профилактических, ремонтных и восстановительных работ;
- программу обучения и повышения квалификации персонала.
- Разработка методологии выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
- Структуризацию контрмер по уровням требований к безопасности.
- Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие.
Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.
С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных слабых мест и атак, меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал компании. Поэтому необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Следование описанным выше рекомендациям построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.