Главная страница

Безопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска


НазваниеБезопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска
страница16/23
Дата01.04.2016
Размер2.9 Mb.
ТипДокументы
1   ...   12   13   14   15   16   17   18   19   ...   23

5.6 Политика информационной безопасности

Выше были рассмотрены меры по обеспечению информационной безопасности как общего характера, так и с учетом особенностей киберпространства. Эти меры обычно объединяются в документе, который носит название Политики информационной безопасности предприятия. Этот документ призван ответить на вопросы:

  • С чего начать при построении системы защиты?

  • Каковы цели и задачи организационных и технических мер обеспечения информационной безопасности?

  • Каковы должны быть мероприятия по обеспечению безопасности, наилучшим образом отвечающие потребностям предприятия?

  • Каковы должны быть технические средства защиты информации, наилучшим образом отвечающие потребностям предприятия?

В целом, Политика безопасности определяет рамки, в которых осуществляется выбор и реализация мер безопасности. Итак, с чего начать при построении системы защиты?

Прежде всего необходимо определиться с тем, на каком этапе применения средств и мер безопасности находится Ваше предприятие. Если это начальный этап (вопросами информационной безопасности на предприятии систематически не занимались), то политика должна ответить на все вопросы, приведенные выше. Если же в Вашей организации применяются специальные средства безопасности и есть подразделение, отвечающее за обеспечение информационной безопасности, то Политика информационной безопасности должна ответить на следующие вопросы:

  • Каковы цели обеспечения безопасности на предприятии, соответствующие реалиям сегодняшнего дня? Если не отвечают, то что именно изменилось в целях по сравнению с прошлым периодом?

  • Отвечают ли используемые технические средства защиты информации этим целям? Если не отвечают, то в какой мере? И что нужно изменить в архитектуре системы защиты информации?

  • Находятся ли используемые технические средства защиты информации на современном уровне развития? Какие новые возможности появились у средств?

  • Отвечают ли применяемые организационные меры целям обеспечения безопасности?

  • Являются ли применяемые организационные меры наилучшими?

  • Каков риск предприятия, если не совершенствовать систему информационной безопасности на данном этапе?

Следовательно, Политика информационной безопасности должна опираться на регулярно проводимые измерения и оценки, выявляющие изменения во внешнем окружении как в части угроз, так и в области возможностей, а также соответствие средств защиты и организационных мер в условиях изменяющегося внешнего окружения. Кроме того, Политика информационной безопасности должна также учитывать изменения внутри предприятия, определяя вопросы организации.
В основу Политики информационной безопасности можно положить следующие принципы /Б. Шнайер/:

  • Разделяйте информацию.

  • Укрепите самое слабое звено.

  • Обнаруживайте нападения.

  • Анализируйте нападения.

  • Будьте бдительны.

  • Контролируйте контролеров.

  • Устраните последствия нападения.

  • Управляйте риском.

В общем случае Политика информационной безопасности должна включать:

1. Цели и задачи организационных и технических мер обеспечения информационной безопасности.

2. Изменения в правилах обработки защищаемой информации на предприятии — какая информация обрабатывается вручную, какая с использованием средств вычислительной техники, какая информация предназначена для внутреннего использования, какая предполагает обмен вне предприятия и т.д.

3. Характеристику вычислительных средств предприятия, применяемых для обработки информации, требующей изменений в защите информации. Сюда относятся архитектурные принципы построения корпоративной сети, используемые информационные технологии, операционные системы, приложения и т.д., наилучшим образом отвечающие потребностям предприятия.

4. Характеристику вычислительной сети предприятия, требующей изменений в защите, — где хранится, где и как обрабатывается, каким образом вводится и выводится, как передается по сети и т.д. Таким образом, эта характеристика позволяет выявить объекты корпоративной сети (компьютеры, информационные потоки и т.д.), требующие изменения защиты. Результатом этого будут сформулированные новые требования к распределению ресурсов защищаемых объектов (компьютеров) между субъектами доступа — разграничительная политика доступа к ресурсам.

5. Характеристики потенциальных злоумышленников - от кого же следует защищать информацию. Данные субъекты должны исключаться из схемы управления функционированием корпоративной сети, прежде всего, из схемы управления информационной безопасностью.

6. Характеристику распределения всей совокупности задач управления функционированием корпоративной сети (в том числе, защищаемыми объектами), наилучшим образом отвечающие потребностям предприятия в изменившихся условиях. Здесь в итоге должна быть представлен порядок администрирования информационной безопасности корпоративной сети предприятия. При этом должны быть определены субъекты (сотрудники службы безопасности, администратор безопасности и т.д.) и объекты администрирования (рабочие станции, серверы, информационные технологии и т.д.). Для объектов, где обрабатывается защищаемая информация, должны учитываться соответствующие формализованные требования.

7. Новые требования к технологии защиты информации, включающие:

 требования к механизмам защиты в части реализации заданной разграничительной политики доступа к ресурсам;

 требования к механизмам защиты в части противодействия доступу определенных потенциальных злоумышленников. Данные требования должны выдвигаться с учетом существующей статистики и потенциальных возможностей осуществления угроз, создаваемых определенными потенциальными злоумышленниками;

 требования к механизмам, реализующим выбранную схему управления (администрирования) техническими средствами защиты информации.
В качестве замечания отметим, что если защищаемая информация подпадает под формальные признаки, изложенные в руководящих документах более высокого уровня, то при разработке требований к технологии защиты информации должны быть учтены соответствующие формализованные требования к механизмам защиты (в частности, для защиты от несанкционированного доступа, регламентируемые документами Гостехкомиссии России).

8. Характеристику взаимодействия субъектов с целью формирования, задания и контроля разграничительной политики доступа к ресурсам. При этом определяют:

 порядок назначения и изменения прав доступа субъекта к ресурсу;

 порядок их задания в конфигурационных файлах средств защиты;

 порядок контроля за выполнением субъектами заданных разграничений и порядок принятия решений при обнаружении фактов несанкционированного доступа;

 порядок проведения регламентных работ, инсталляции программного обеспечения и т.д.

9. Порядок разработки (корректировки) инструкций для всех субъектов доступа к конфиденциальной информации, где должны быть определены их права, обязанности, ответственность за нарушение разграничительной политики доступа. Данные инструкции должны быть доведены (за подписью) до каждого субъекта доступа к защищаемой информации.

ЗАДАНИЕ 5.8
Рассмотрите возможность Вашего участия в разработке и/или реализации Политики информационной безопасности на Вашем предприятии. Какие функции Вы видите перспективными для Вашего подразделения?
5.7 Участие менеджера в реализации политики информационной безопасности

Практически каждый менеджер должен участвовать в реализации Политики информационной безопасности. Наиболее представительными областями его участия являются:

  • строгое выполнение инструкций по разграничительной политике доступа и контроль их выполнения подразделением;

  • определение информации, подлежащей защите, и уровня ее защиты;

  • участие в анализе статистики для определения удачных атак и злоумышленника;

  • оценка изменений внешней среды предприятия;

  • участие в разработке предложений по оценке изменений внутренней среды предприятия, сказывающейся на характеристиках защиты;

  • участие в разработке предложений по изменению взаимодействия субъектов при выработке разграничительной политики доступа.

При реализации Политики информационной безопасности каждый менеджер должен также руководствоваться принципами, которые положены в ее основу.

Важным элементом работы менеджера является его участие в управлении риском. Абсолютной безопасности не существует. И существуют основные принципы, на которых построена Политика безопасности. Так, принцип предотвращения угроз подходит для формирования политики национальной безопасности: либо угроза предотвращена, либо нет. Для коммерческих предприятий этот подход «не работает». Для них более подходящим является выбор не между двумя (да или нет) альтернативами, а между тремя:

  • смириться с риском;

  • постараться снизить риск;

  • застраховаться.

При этом, если безопасность предназначена для ухода от угроз, она должна оправдывать вложенные деньги. Если же безопасность предназначена для управления риском – это способ повышения дохода. Назначение политики безопасности – управление риском, снижение его до приемлемого уровня. Поэтому участие менеджера в реализации Политики безопасности – это участие в реализации способа повышения дохода предприятия.

Рассмотрим вопросы участия менеджера в формировании политики безопасности предприятия более подробно. При этом будем ориентироваться на некоторый вымышленный сценарий, позволяющий, однако, нам ориентироваться в происходящих процессах.

Фирма АВС (металлургический холдинг) выполняет заказы по производству металла. Головной офис находится в Москве, заводы – изготовители в России (на Урале), США (Детройт) и на Украине (Кривой Рог). Фирма реализовала однодоменную модель (домен – логическая единица, объединяющая компьютеры, управление в ней строится на основе полномочий Администратора первого контроллера домена; несколько доменов объединяются в иерархическую структуру, называемую лесом). Каждый офис определен как отдельный сайт и связан с головным офисом в Москве скоростным соединением.

Недавно фирму атаковали хакеры. Источник атаки хакеров неизвестен.
Чтобы выявить брешь, предприятие наняло фирму обеспечения сетевой безопасности. Фирма пришла к выводу, что проекты создания офисов были завершены раньше, чем вся система безопасности была окончательно сконфигурирована.

Необходимо определить основные черты политики безопасности (ее основное содержание), обеспечивающей понимание и единство действий предприятия по отношению к безопасности своих ресурсов. Предполагается, что этим будут закрыты бреши, возникшие из – за различия в действиях персонала.
Итак, первая черта политики – это четко сформулированные нужды безопасности организации:

Ресурсы, которые необходимо защитить. Аппаратные средства, ПО и данные могут потребовать защиты. Иногда к ресурсам можно отнести людей, знающих параметры безопасности данной организации.

Угрозы ресурсам. Выяснив угрозу ресурсам, организация может произвести оценку потенциальных убытков и возможных потерь при несанкционированном доступе или утрате защищенных ресурсов. К типичным угрозам относятся несанкционированный доступ к ресурсам и отказ в обслуживании, когда к ресурсу нельзя получить доступ.

Вероятность угрозы. Перед разработкой плана безопасности следует оценить вероятность угроз, чтобы минимизироватъ воздействие определенных угроз.

Собрав все эти сведения, предприятие АВС сможет разработать план, учитывающий каждую угрозу и описывающий конкретные мероприятия при их возникновении (план безопасности).

Все ресурсы, казалось бы, надо защищать по максимуму, но на практике это обходится слишком дорого. Речь идет не только о финансах, но и о затратах, связанных с функционированием и простотой использования.

Какие ресурсы защищать и каковы убытки от их взлома, поставляют менеджеры предприятия (каждый о своем рабочем месте). Они также, совместно со специалистами, должны назвать еще одну характеристику – вероятность угрозы для каждого из ресурсов, которыми они распоряжаются.

Почему мы говорим о вероятностях, в определении которых участвует менеджер? Может, это дело специалистов по безопасности?

Рассмотрим защищенность системы с точки зрения риска. Риск , как уже было показано в главе 1, это потенциальные потери от угроз. Он рассчитывается как стоимость потерь C инф (стоимость защищаемой информации), умноженную на вероятность взлома Рвзл:




В качестве критерия защищенности обычно используется коэффициент защищенности D, показывающий относительное уменьшение риска в защищенной системе по сравнению с защищенной системой:





где R защ и R нез - риски в защищенной и незащищенной системах соответственно.

С учетом зависимости рисков от стоимости информации и вероятности взлома при наличии множества угроз и множества информационных объектов коэффициент защищенности D может быть подсчитан по формуле:





где - количество видов угроз, воздействующих на систему; C i- стоимость потерь от взлома i- го вида; Q i - вероятность появления угроз взлома i- го вида, P i - вероятность отражения взлома i- го вида системой защиты.

Вероятности защиты и появления угроз можно определить статистическим методом (при частых нападениях). Обычно таких данных нет, или известны только некоторые средние значения этих вероятностей. Можно предположить, что вероятности появления угроз одинаковы для всей защищаемой информации. Тогда величина Q i = Q , входящая в числитель и знаменатель последней формулы, сократится, и коэффициент защищенности D будет зависеть только от вероятностей защиты той или иной информации P i. То–есть, от требований менеджеров.

Менеджер также определяет значимость определенной информации для организации. Он может делать это, ориентируясь лишь на стоимость потерь от взлома. Но этот «экономический» подход недостаточно хорош – далеко не всякая информация может быть измерена в деньгах. А если и измерена, то не полностью, или весьма приблизительно (например, в финансовой информации есть понятие «нематериальные активы», под которыми понимается стоимость объектов промышленной и интеллектуальной собственности и иных имущественных прав – права на «ноу – хау», патенты, товарные знаки и пр.). Поэтому, наряду со стоимостью потерь C i от взлома менеджер называет и другую характеристику оцениваемой информации – ее значимость (ориентируясь, например, на частоту использования этой информации или открывающиеся возможности). Возможно, и не задумываясь о безопасности. Значимость задается с помощью лингвистических оценок – очень важная, важная, нужная и пр. информация. Затем эти лингвистические оценки при помощи специального словаря переводятся в числа, находящиеся в диапазоне [0;1]. Эти числа обладают некоторыми свойствами вероятности. При этом менеджером фактически задается требование P i к уровню защиты той или иной информации – очень важная информация должна быть защищена в первую очередь и как можно лучше, важная – во вторую и т.д.

Поэтому мы говорим, что менеджер определяет потери от взлома C i , а также в значительной степени – вероятность P i защиты информации (через значимость защищаемой информации).

Специалисты по защите информации используют эти данные как исходные, решая иной круг задач, а именно – определяют, какие средства защиты информации наиболее полно удовлетворят требования менеджеров в условиях ограниченного бюджета. И лишь если им не удается уложиться в рамки бюджета, они вновь обращаются к менеджерам, чтобы последние пересмотрели свои требования…
В целом, менеджеры предприятия АВС, высказывая свои требования о ресурсах, требующих защиты, и их значимости, фактически формируют одну из главных черт политики безопасности.

Конечно, полученный коэффициент защищенности (с новыми требованиями) следует сравнить с имеющимся коэффициентом, а также определить все затраты на обеспечение политики безопасности, и решить – отказаться от улучшения защиты, принять усиленную политику безопасности или застраховаться.

Предположим, что Руководство предприятия АВС приняло решение о повышенной защите информации предприятия. Тогда анализу подлежит следующая группа решений – о том, чтобы система безопасности не слишком сильно мешала работе. Это вторая характерная черта политики безопасности. При этом политика безопасности определяется на основе выбора:

  • Между функциональностью и безопасностью. Иногда требуется использовать сетевую службу. Служба обеспечивает некоторую форму функциональности для организации, даже если приносит риск безопасности. В этом случае затраты на план безопасности не должны превышать прибыл, полученной от дополнительной функциональности, предоставляемой такой службой.

  • Между удобством использования и безопасностью. Политика должна устанавливать, когда безопасность становится барьером для пользователей при выполнении работы.

  • Между затратами и функциональностью. Политика должна предлагать планы безопасности, соответствующие бюджету.

Эти решения будут базироваться на бизнес – требованиях организации, которые охватывают весь диапазон – от определения основных целей предприятия до оценки уровней рисков.

Учет всего спектра бизнес – требований – третья черта политики безопасности. При этом менеджерам предприятия АВС необходимо учесть следующие факторы:

Бизнес-модель. Существенное влияние на создаваемую систему безопасности оказывает бизнес-модель организации. Бизнес- требования к системе безопасности организации с филиалами по всему миру существенно отличаются от требований компании с единственным офисом. Необходимо представлять себе, как в компании принимаются решения. В общем случае централизованная система принятия решений выливается в проект централизованной системы безопасности.

Бизнес-процессы. Система безопасности не должна препятствовать ежедневным бизнес-процессам. В проектах, в которых задействовано множество сотрудников, необходимо понимать роль каждого. Это поможет определить разрешения на доступ к ресурсам и конфигурировании групп. Необходимо так же знать, какие права нужны менеджерам для управления проектами. Это позволяет определить порядок делегирования административных полномочий.

Планируемый рост компании. План системы безопасности должен предусматривать изменение и рост системы вместе с ростом компании АВС. Необходимо знать об отношениях организации с партнерами, планируются ли в обозримом будущем слияния или поглощения. Система безопасности должна быть масштабируемой.

Стратегия управления. Как управляется организация АВС: централизованно или нет? На этот простой вопрос не всегда легко ответить. Зачастую стратегия управления — это некая смесь централизованных и децентрализованных управленческих процедур. Скажем, ИТ -отдел может центрально управлять созданием всех учетных записей пользователей и групп. Эти операции полностью отданы на откуп группе администраторов учетных записей в центральном офисе. С другой стороны, управление серверами в каждом филиале может делегироваться для локального управления там, где эти серверы расположены. Необходимо знать, кто уже отвечает за управление ресурсом.

Действующая политика безопасности. На предприятии АВС не было политики безопасности. Но во многих организациях уже существует политика безопасности, при этом четко определен минимальный приемлемый уровень риска в организации. Политики безопасности отдельных частей сети могут различаться. Так, организация вправе ограничить применение в корпоративной сети некоторых протоколов Интернета, не обеспечивающих безопасности.

Допустимый риск. Понятие риска различается от компании к компании. И часто допустимый риск выражается в длине паролей. На предприятии АВС пароли короче 10 символов рассматриваются как существенная угроза безопасности, а где-то вполне достаточно б символов.

Законы и инструкции, затрагивающие организацию. Компания должна соблюдать законы и порядки страны и региона, в котором работает. Для предприятия АВС в США требуется, чтобы управление сетью выполнялось в границах этой страны. Это влияет на проект системы безопасности, поскольку в этих странах необходимо создать децентрализованную структуру управления системой безопасности. Следует знать обо всех законах и инструкциях, которые затрагивают проект. Например, планируя внедрить стойкое шифрование в офисе в США, следует знать, что запрещено экспортировать технологии стойкого шифрования из США в страны, на которые распространяются соответствующие санкции (включая Россию и Украину).

Финансовые возможности организации. Если оптимальное решение не подкрепляется бюджетом, следует предложить альтернативное, удовлетворяющее бизнес-требованиям.

Навыки сотрудников. Проект системы безопасности предприятия АВС, возможно, содержит новые технологии, неизвестные сотрудникам компании. Необходимо выявить такие узкие места и определить, следует ли сотрудникам изучить такие технологии, или предприятию следует поручить поддержку технологии сторонним экспертам. В любом случае придется потратить деньги.

И, наконец, четвертая черта политики безопасности - в системе безопасности должны быть учены не только бизнес - факторы, но и технические требования. Большая часть из них относится, конечно, к работе специалистов по безопасности, но часть из них затрагивает и менеджеров, от которых потребуется ряд исходных данных. Это обычно:

Общие количество, размер и распределение ресурсов. Число и распределение пользователей и компьютеров задает порядок определения процедур безопасности в организации. Распределение ресурсов помогает предприятию АВС выявить состав сайтов, доменов и подразделений.

Производительность. Применение шифрования влияет на производительность. До создания плана безопасности (то –есть в Политике безопасности) предприятие АВС должно определить приемлемые уровни производительности при выполнении обычных сетевых задач. Производительность при этом не должна опускаться ниже допустимых пределов.

ГВС - соединения. План системы безопасности должен описывать порядок связи удаленных филиалов с центральным офисом. Следует определить, использовать ли выделенные линии связи, или организовать виртуальную сеть на базе туннельных протоколов. План должен определять уровень шифрования, требуемый для ГВС- соединений. В нем также следует указать, поддерживается ли туннельный протокол (если выбрано такое решение) изделиями сторонних поставщиков.

Загруженность ГВС-сетей. Проект может предусматривать связывание филиалов или удаленных отделений с центральным офисом по ГВС. Если такие соединения уже имеются, в плане надо учесть текущий порядок их использования. Не ограничивайтесь лишь указанием быстродействия ГВС -соединений. Необходим анализ текущей загрузки линий.

Порядок доступа к данным. Проект должен определять порядок доступа к данным в сети, в том числе протоколов, приложений, пользователей и компьютеров. Учет этих компонентов доступа позволяет обнаружить уязвимые места системы безопасности и обеспечить безопасность при обращении к данным.

Структура администрирования. Определение структуры администрирования позволяет оптимизировать структуру системы безопасности и административных групп компании. Знание структуры администрирования полезно и при определении порядка делегирования полномочий по управлению объектами и сетевыми ресурсами.

Существующий состав приложений. Новое ПО не всегда совместимо с более старыми приложениями. Составив список приложений, неспособных работать в новой сети, Вы предусмотрите обновления или изменения приложений, которые следует выполнить до перехода на новую систему. Проект должен перечислять процедуры тестирования и варианты перехода к совместимым версиям приложений.

Перечисленные технические требования затрагивают, в основном, план безопасности. Однако за безопасность нужно платить, и чаще всего – снижением эффективности или производительности. Поэтому в процессе выработки политики безопасности предприятия АВС имеет смысл составить в первом приближении план безопасности и более точно оценить издержки.

Политика безопасности предприятия АВС должна быть видимой по всей организации. Все сотрудники должны знать о ней, чтобы соблюдать ее правила. Предприятие должно использовать политику безопасности как руководство при разработке всех планов безопасности. Например, если она диктует использование самых совершенных форм для защиты данных, специалистам по защите информации придется разработать конфигурации на базе последних достижений криптографии (и поставить в известность менеджеров).

У предприятия АВС возникли проблемы из-за отсутствия политики безопасности. Оно должно разработать политику безопасности, определяющую методы, которые будут использованы для защиты ресурсов. Например, четко определить, какие уровни шифрования использовать для хранимых и передаваемых данных. Ресурсами, требующими защиты, являются данные, относящиеся к проектам, которые компания разрабатывает со своими клиентами. АВС должна гарантировать, что ее политика безопасности определяет способы борьбы с попытками взлома системы. Независимо от разрабатываемой политики безопасности компания должна гарантировать, что все служащие получат эту информацию, чтобы знать, что делать для поддержания политики безопасности.

Политика помогает разработчикам плана безопасности соблюсти условия безопасности организации.

ЗАДАНИЕ 5.9
Это задание преследует цели более полного усвоения основных черт политики безопасности.

Вас пригласили для создания политики безопасности крупной корпорации. Каким принципам Вы должны следовать? И каково основное содержание этой политики?

Принципы/содержание
политики безопасности


Да

Нет

Комментарий

Принцип предотвращения угроз







Принцип управления риском







Принципы Брюса Шнайера:

 Разделяйте информацию.

 Укрепите самое слабое звено.

 Обнаруживайте нападения.

 Анализируйте нападения.

 Будьте бдительны.

 Контролируйте контролеров.

 Устраните последствия нападения.







Цели и задачи организационных и технических мер обеспечения информационной безопасности.







Четко сформулированные нужды безопасности организации.







Выбор между функциональностью и безопасностью.







Выбор между удобством использования и безопасностью.







Выбор между затратами и функциональностью.







Учет всего спектра бизнес – требований.







Учет технических требований.






1   ...   12   13   14   15   16   17   18   19   ...   23