Подходы к обеспечению информационной безопасности

Рассмотрены услуги, предлагаемые компанией «Арт-мастер» по трем направлениям деятельности: разработка комплексных систем защиты информации, проведение аудита информационной безопасности, внедрение систем информационной безопасности.

В настоящее время, когда все без исключения организации используют информационные системы для передачи, хранения и обработки информации, очень велика вероятность утечки конфиденциальных данных. Иначе говоря, кража важной информации, халатность сотрудников, саботаж, атаки хакеров могут нанести весьма существенный удар как по финансам, так и по имиджу любой компании. В связи с этим возникла необходимость защиты информации именно при ее обработке в информационно-телекоммуникационных системах (ИТС). Вопросы правовой защиты информации в Украине регулируются следующими нормативными документами:

  • Закон Украины "Об информации";
  • Закон Украины "О защите информации в информационно-телекоммуникационных системах";
  • Закон Украины "О государственной тайне";
  • постановление Кабинета Министров Украины №373 "Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах";
  • а также нормативные документы Государственной службы специальной связи и защиты информации Украины (ГС-ССЗИУ) (до 2007 года Департамент специальных телекоммуникационных систем и защиты информации Службы безопасности Украины).

Также утверждена концепция закона Украины "О доступе к информации".

Согласно ст. 28 Закона Украины "Об информации", информация по режиму доступа делится на открытую и информацию с ограниченным доступом. Согласно ст. 30 этого же закона, информация с ограниченным доступом по правовому режиму делится на конфиденциальную и секретную информацию. Информация с ограниченным доступом может принадлежать как государству, так и физическому или юридическому лицу. Необходимость защиты информации, принадлежащей государству, или информации, необходимость защиты которой определена законом, с помощью комплексных систем защиты информации (КСЗИ) определена в ст. 8 Закона Украины "О защите информации в информационно-телекоммуникационных системах".

КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

КСЗИ представляют собой совокупность организационных мероприятий (неотъемлемая составляющая построения любой КСЗИ) и инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа (выполняются по мере необходимости).

К организационным мероприятиям относятся:

  • создание концепции информационной безопасности;
  • составление должностных инструкций для пользователей и обслуживающего персонала;
  • создание правил администрирования компонент информационной системы, учета, хранения, копирования, уничтожения носителей информации, идентификации пользователей;
  • разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
  • обучение пользователей правилам информационной безопасности.

При необходимости, в рамках организационных мероприятий создается служба защиты информации, режимно-пропускной отдел, а также может проводиться реорганизация существующих в организации систем делопроизводства и хранения документов.

Инженерно-технические мероприятия включают в себя выбор и использование специальных технических средств, используемых для защиты информации. К техническим средствам относятся как программные, так и аппаратные решения. К программным относятся средства антивирусной защиты, межсетевые экраны, средства разграничения доступа к информации и ресурсам, средства резервного копирования и другие. К аппаратным средствам - межсетевые экраны (аппаратные), маршрутизаторы, коммутаторы, средства генерации шумовых сигналов, сетевые фильтры и многие другие. Вид и количество выбираемых средств зависит от необходимого уровня защиты информации.

Работы по созданию КСЗИ являются лицензированным видом деятельности. Это означает, что для проведения работ по созданию таких систем необходимо иметь лицензию на проведение работ в сфере технической защиты информации. Перечень таких организаций доступен на сайте ГСССЗИУ www.dsszzi.gov.ua.

Объектом защиты КСЗИ является информация, в любом виде и форме ее представления. В зависимости от конкретной ИТС, информация может быть представлена в виде материального объекта, акустического или электромагнитного поля. В соответствии с этим, при построении КСЗИ используются различные средства и методы защиты информации.

Процесс построения КСЗИ можно разбить на следующие этапы:

  • Формирование общих требований к КСЗИ.
  • Разработка политики безопасности информации в ИТС.
  • Разработка технического задания на построение КСЗИ.
  • Разработка проекта КСЗИ.
  • Введение КСЗИ в действие.
  • Сопровождение КСЗИ.

Формирование общих требований

На этом этапе необходимо обосновать необходимость создания КСЗИ на основании требований к защите информации, определенных в нормативных документах. Проводится обследование среды функционирования ИТС, которое включает обследование физической среды, среды пользователей, информационной среды и технологии обработки информации. Результаты обследования оформляются в виде акта. По результатам обследования составляется перечень объектов, подлежащих защите, модель угроз информации и модель нарушителя. Используя модель угроз и модель нарушителя, проводится анализ рисков, а по его результатам определяется общая структура КСЗИ и требования к средствам защиты, которые планируется использовать при ее построении.

Разработка политики безопасности

Работы этого этапа включают в себя выбор способов противодействия наиболее значимым угрозам, формирование общих требований, правил, ограничений по использованию защищенной технологии обработки информации, отдельных мер и средств защиты информации, а также документальное оформление политики информационной безопасности.

Политика информационной безопасности или политика безопасности представляет собой документально оформленный набор требований, правил, ограничений и рекомендаций, при соблюдении которых может быть обеспечен заданный уровень защиты информации. Политика безопасности может быть представлена как в виде одного документа, так и в виде нескольких документов, с составлением их перечня.

Также на этом этапе возможно уточнение модели угроз информации, которая включает в себя модель нарушителя.

Разработка технического задания на построение КСЗИ

Техническое задание на построение КСЗИ представляет собой организационно-технический документ, в котором описываются порядок создания КСЗИ, требования к КСЗИ, ее компонентам и подсистемам, требования к документации КСЗИ. Требования к порядку разработки, содержанию технического задания и его разделов описаны в нормативном документе в сфере технической защиты информации (НД ТЗИ) 3.7-001-99. Техническое задание на построение КСЗИ необходимо согласовывать с заказчиком и ГСССЗИУ.

Разработка проекта КСЗИ

Проект КСЗИ разрабатывается на основании технического задания. Проект КСЗИ содержит обоснование и принятие решений, которые позволяют реализовать требования технического задания, обеспечить совместимость разных компонентов КСЗИ, а также разных способов и средств защиты информации. Документация, разрабатываемая в рамках проекта, также содержит инструкции и положения относительно управления КСЗИ и взаимодействия ее компонентов, документацию, необходимую для проведения тестирования, пуско-наладочных работ и испытаний КСЗИ.

Проект КСЗИ состоит из 3-х частей: эскизный, технический и рабочий. Допускается исключать эскизный проект и объединять технический и рабочий проекты в один – технорабочий проект.

Введение КСЗИ в действие

На этом этапе завершается разработка необходимой документации, создается служба защиты информации (если она не была создана раньше), создается План защиты, проводится обучение пользователей работе с КСЗИ, комплектация КСЗИ, проводятся строительно-монтажные и пуско-наладочные работы, проводится аттестация КСЗИ, предварительные испытания КСЗИ, опытная эксплуатация. План защиты – это совокупность документов, в соответствии с которыми осуществляется организация защиты информации на всех этапах жизненного цикла ИТС. В некоторых случаях план защиты оформляется одним документом. Для построения КСЗИ в ИТС используются только специальные технические средства, имеющие действующий сертификат соответствия или экспертное заключение. Предварительные испытания проводятся в соответствии с программой и методикой испытаний, а результаты оформляются в виде протокола испытаний. После проведения строительно-монтажных работ создается комиссия для принятия выполненных работ. При успешном завершении опытной эксплуатации принимается решение о представлении КСЗИ на государственную экспертизу. Государственная экспертиза проводится с целью проверки соответствия КСЗИ техническому заданию и требованиям НД ТЗИ и возможности введения КСЗИ в эксплуатацию. При успешном прохождении государственной экспертизы, КСЗИ получает аттестат соответствия, чем подтверждается возможность обработки в ИТС информации с ограниченным доступом.

Сопровождение КСЗИ

На данном этапе проводятся работы по организационному обеспечению функционирования КСЗИ и управлению средствами защиты информации, в соответствии с Планом защиты и эксплуатационной документацией на компоненты КСЗИ, гарантийному и послегарантийному техническому обслуживанию средств защиты информации.

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Аудит информационной безопасности – это системный процесс получения качественных и количественных показателей, по которым можно судить о степени защищенности информации в организации.

Целью проведения аудита информационной безопасности является получение полной и объективной оценки защищенности информационной сети, локализация имеющихся проблем и разработка эффективной программы построения системы обеспечения информационной безопасности организации.

Аудит информационной безопасности бывает трех видов: активный, экспертный и на соответствие стандартам информационной безопасности.

Активный аудит

По своей сути активный аудит является сбором информации о состоянии системы защиты ИТС с помощью специального программного обеспечения (в том числе сканеров уязвимостей) и специальных методов. Под состоянием системы защиты ИТС понимаются только параметры и настройки, использование которых может позволить нарушителю проникнуть в сеть компании и нанести ей урон.
При проведении данного вида аудита, аудитор на время становится нарушителем, то есть пытается провести атаку, имея в своем распоряжении лишь те сведения, которые сможет раздобыть реальный нарушитель в открытых источниках. Для моделирования реальной ситуации используется максимальный набор всевозможных видов и типов атак, который ограничивается только временем проведения аудита, используемыми средствами и квалификацией аудитора. Не стоит опасаться, что при выявлении уязвимости ИТС заказчика будет нанесен ущерб, так как аудитор лишь моделирует атаки, показывая реальность их осуществления.

Активный аудит необходимо проводить периодически, так как со временем появляются все новые и новые средства и методы проникновения в ИТС, находятся недостатки в существующем программном обеспечении и не всегда администраторы успевают их закрывать или, хотя бы, контролировать.

Активный аудит можно разделить на внешний и внутренний.

Внешний активный аудит моделирует действия внешнего, по отношению к ИТС, нарушителя. При проведении этого вида аудита выполняются следующие действия:

  • определение доступных из внешних сетей IP-адресов заказчика;
  • сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов;
  • определение версий сервисов и служб сканируемых хостов;
  • изучение маршрутов прохождения трафика к хостам заказчика;
  • сбор информации об ИТС заказчика из открытых источников;
  • анализ полученных данных с целью выявления уязвимостей.

Внутренний активный аудит аналогичен внешнему, только при его проведении моделируется ситуация внутреннего нарушителя, то есть пользователя ИТС, со всеми присущими ему правами и ограничениями.

В результате проведения активного аудита Заказчик получает информацию обо всех уязвимостях, оценку степени их критичности, методах и средствах их устранения, сведения об общедоступной информации сети заказчика, которая может быть использована нарушителем при атаке. Также вырабатываются рекомендации по усовершенствованию системы защиты для повышения уровня защиты информации до необходимого и оценочную стоимость проведения необходимых работ.

Проведение аудита поможет получить перечень каналов утечки информации в организации, рекомендации по нейтрализации этих каналов, перечень угроз и оценку критичности каждой угрозы, избежать материального ущерба, связанного с кражей конфиденциальной информации, а также нематериальных потерь, таких как репутация организации, потеря деловых партнеров и клиентов.

Экспертный аудит

Экспертный аудит – это аудит информационной безопасности, который выявляет недостатки ИТС на основе личного опыта экспертов, проводящих аудит. Экспертный аудит включает в себя активный аудит.

В ходе проведения экспертного аудита проводится обследование ИТС, включающее обследование информационной, физической и технологической среды, а также среды пользователей.

При анализе информационной среды оцениваются такие параметры, как виды и характеристики информации, циркулирующей в ИТС, особенности технологии обработки информации, схемы информационных потоков, режимы доступа к информации и другие параметры.

При обследовании физической среды оцениваются территориальное размещение организации (как самого здания, так и помещений внутри него), наличие контролируемой территории, наличие видеонаблюдения и систем контроля доступа к этажам, помещениям и зданию в целом, наличие пожарной и охранной сигнализации, наличие систем жизнеобеспечения, которые имеют выход за пределы контролируемой территории и другие параметры.

Анализ технологической среды включает оценку общей структурной схемы ИТС и ее компонентов, конфигурацию программных и технических средств и их связи между собой, виды и характеристики каналов связи, наличие распорядительной документации и резервного оборудования, наличие процедуры резервного копирования и другие факторы.

При анализе среды пользователей учитывается наличие распорядительных документов, регламентирующих деятельность отделов и сотрудников компании, наличие отдела защиты информации, его функции и полномочия, количественный и должностной состав компании, разграничение полномочий сотрудников к информации и ресурсам компании, и другие факторы.

В рамках проведения экспертного аудита может проводиться тестирование на проникновение в ИТС.

Результатом экспертного аудита информационной безопасности является общая оценка защищенности корпоративной информационной системы организации, основывающаяся на анализе рисков и перечне обнаруженных уязвимостей. По результатам аудита формируется отчет, разрабатываются рекомендации для нейтрализации выявленных уязвимостей и приводится оценочная стоимость их выполнения.

Аудит на соответствие стандартам информационной безопасности

При проведении этого вида аудита реальное состояние информационной безопасности компании сопоставляется с требованиями по безопасности, описанными в выбранном стандарте.

В Украине нет собственных стандартов, описывающих требования к информационной безопасности, поэтому аудит проводится на соответствие международным стандартам ISO/IEC.

Отчет, составляемый по результатам проведения данного вида аудита, содержит такую информацию:

  • степень соответствия проверяемой ИТС выбранному стандарту;
  • степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
  • количество и категории полученных несоответствий и замечаний;
  • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
  • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании;
  • перечень политик, инструкций, руководств, положений, необходимость кото рых определена в стандартах и рекомендации по их разработке.

После выбора вида аудита необходимо уделить внимание выбору аудитора. Аудитором должна быть организация, имеющая многолетний опыт проведения аудитов, профессионализм Исполнителя, подтвержденный квалификацией его сотрудников. Ошибочно считать, что аудит может быть проведен "своими силами", то есть сотрудниками организации, так как это не даст необходимого уровня объективности, и вряд ли сотрудники компании имеют необходимые опыт, навыки и квалификацию.

Подводя, итог необходимо отметить, что аудит особенно необходим развивающимся компаниям, так как он обеспечит своевременное выявление угроз информационной безопасности, каналов утечки информации и соответствующее реагирование на выявленные уязвимости. Вовремя проведенный аудит информационной безопасности поможет избежать ущерба.

СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В коммерческих организациях часто присутствует множество конфиденциальной информации, которую необходимо защищать, но требования по ее защите не определены в нормативных документах. По законодательству Украины требования по защите конфиденциальной информации, принадлежащей физическому или юридическому лицу, определяются ее владельцем. Если решение о необходимости защиты информации уже принято, возникает вопрос, как и чем ее защищать. Здесь на помощь приходит система информационной безопасности (СИБ).

СИБ – это эффективное решение, направленное на обеспечение защиты критичной информации от разглашения, утечки и несанкционированного доступа путем проведения комплекса взаимосвязанных организационных мероприятий и внедрения технических средств защиты. К критичной информации относится персональная, финансовая, договорная, технологическая, информация о заказчиках и другая информацая, представляющая ценность для ее владельца и потеря которой может нанести ему как материальный, так и нематериальный ущерб.

Основной задачей СИБ является снижение до допустимого уровня или полное исключение финансовых потерь организации при нарушении конфиденциальности, целостности или доступности информации. СИБ призвана защищать информацию организации как от внутренних (инсайдеров), так и от внешних нарушителей.

В рамках организационных мероприятий разрабатываются документы, определяющие обязанности, правила работы с информацией и ее носителями, действия в случае чрезвычайных ситуаций сотрудников Заказчика.

Технические средства защиты – совокупность специальных средств, предназначенных для обеспечения безопасности информации. Технические средства защиты могут быть программными, аппаратными и программно-аппаратными. Выбор конкретных средств защиты зависит от необходимого уровня защиты информации. К техническим средствам защиты информации относятся оборудование для организации защищенных подключений, межсетевые экраны, разделение сети на сегменты, средства антивирусной защиты, системы обнаружения атак, средства анализа защищенности, средства шифрования, в том числе и электронной цифровой подписи и другие.

Важным компонентом как при построении СИБ и КСЗИ, так и при проведении аудита информационной безопасности является выбор исполнителя. Критериями при выборе исполнителя являются:

  • наличие международных сертификатов, подтверждающих профессионализм его сотрудников;
  • наличие многолетнего опыта в проведении данных работ;
  • наличие сертифицированной системы управления качеством (ISO/IEC 9001: 2000), которая обеспечит соответствие конечного продукта (КСЗИ, СИБ, результаты аудита) мировым требованиям;
  • наличие сертифицированной системы управления информационной безопасностью (ISO/IEC 27001: 2005), которая дает уверенность в том, что исполнитель имеет опыт не только по внедрению систем для внешних организаций, но и эффективно поддерживает работоспособность своей СИБ;
  • наличие у исполнителя собственной внедренной СИБ;
  • наличие лицензий государственного образца, дающие право исполнителю выполнять работы в сфере технической и криптографической защите информации.

Компания "Арт-мастер" выполняет весь перечень услуг в рамках описанных направлений, используя для этого передовые технологии и средства в сфере информационной безопасности (в том числе услугу цифровой подписи). Также компания "Арт-мастер" полностью удовлетворяет все требования к исполнителю, что подтверждается многочисленными внедренными и отлично функционирующими решениями.

— Артем Неповека, специалист по технической защите информации ООО "Арт-мастер"

2008.10.27
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".