Организационые меры обеспечения защиты информации

В. Гайкович, Д. Ершов

Этой статьей мы открываем серию публикаций, посвященных практическим вопросам обеспечения безопасности информации в автоматизированных системах. Материал, положенный в основу этих публикаций, получен в процессе практической деятельности специалистов АО НИП "Информзащита" по обеспечению информационной безопасности различных организаций и разработке программных и технических средств защиты информации.

Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах (АС), единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

• появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

• необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

• принятие только организационных мер обеспечения безопасности информации в АС;

• использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и как правило не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в АС применение любых ТСЗИ только усиливает существующий беспорядок.

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:

• создать специальное подразделение, обеспечивающее разработку правил эксплуатации автоматизированной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку ТСЗИ (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.);

• разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;

• внедрить данную технологию путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).

При создании подразделения информационной безопасности надо учитывать, что для эксплуатации средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования ТСЗИ. В то же время, разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой автоматизированной системы организации.

Поэтому, для минимизации расходов на разработку и внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ.

Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации. Не столько даже тех, в которых работают конечные пользователи автоматизированной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники. Поэтому разрабатываемая технология обеспечения информационной безопасности должна обеспечивать:

• дифференцированный подход к защите различных АРМ и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач);

• унификацию вариантов применения средств защиты информации на АРМ с одинаковыми требованиями к защите;

• реализацию разрешительной системы доступа к ресурсам АС;

• минимизацию, формализацию (в идеале автоматизацию), реальную выполнимость рутинных операций и согласованность действий различных подразделений по реализации требований разработанных положений и инструкций, не создавая больших неудобств при решении сотрудниками своих основных задач;

• учет динамики развития автоматизированной системы, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ;

• минимизацию необходимого числа специалистов отдела защиты информации.

Надо совершенно четко понимать, что соблюдение необходимых требований по защите информации, препятствующих осуществлению несанкционированных изменений в системе, неизбежно приводит к усложнению процедуры правомочной модификации АС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой АС.

Научно-инженерным предприятием "Информзащита" накоплен значительный опыт предоставления заказчикам услуг по разработке и внедрению технологии обеспечения информационной безопасности.

Основу данной технологии составляет продуманная система определения требуемых степеней (категорий) защищенности ресурсов АС. НИП "Информзащита" располагает пакетом документов, необходимым для разработки и внедрения данной технологии на объектах заказчика. В данный пакет документов входят:

• Концепция обеспечения информационной безопасности. Данный документ определяет общую систему взглядов в организации на проблему защиты информации в АС и пути решения этой проблемы с учетом накопленного опыта и современных тенденций ее развития.

• Положение о категорировании. Данный документ определяет порядок категорирования защищаемых ресурсов и требования по защите ресурсов различных категорий.

• План защиты АС. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также незаконного вмешательства в процесс функционирования конкретной АС. План защиты включает описание технологии обработки данных в защищаемой подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации системы, необходимый набор инструкций должностным лицам (инструкция пользователю АС, инструкция администратору безопасности АС и т.д.), определяет порядок взаимодействия подразделений и должностных лиц при внесении изменений в списки пользователей и программно-аппаратную конфигурацию АРМ, а также определяет распределение обязанностей и порядок составления, ведения и использования формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в процессе развития АС.

Концептуальная модель системы организационно-распорядительных документов по защите информации и формуляров защищаемых ресурсов приведена на рис.1.

картинка

 


Страница сайта http://www.silicontaiga.ru
Оригинал находится по адресу http://www.silicontaiga.ru/home.asp?artId=6269