Безпека інформаційних технологій.

Розділ 1. Основи безпеки інформаційних технологій

 

Тема 1.3. Структура і задачі органів, що здійснюють захист інформації.

Лекція №5. Структура та завдання служби інформаційної безпеки .

Час - 2 години

 

Питання лекції:

Структура і задачі органів, що здійснюють захист інформації *

Перелік задач, що розв'язують служби інформаційної безпеки. *

Визначення інформаційних і технічних ресурсів, що підлягають захисту (102) *

Здійснення контролю цілісності і керування системою захисту (702) *

Типовий перелік задач служби інформаційної безпеки (002) *

Організаційно-правовий статус служби (002) *

Структура служби інформаційної безпеки (002) *

Створення служби інформаційної безпеки (002) *

 

 

Література:

    1. Закон України "Про захист інформації в автоматизованих системах";
    2. НД ТЗІ Загальні положення щодо захисту інформації в КС від несанкціонованого доступу
    3. НД ТЗІ Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу
    4. НД ТЗІ Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі
    5. НД ТЗІ 1.1-003-99. Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Структура і задачі органів, що здійснюють захист інформації

Під поняттям “структурні органи” мається на увазі служба інформаційної безпеки. Найчастіше це лише трохи співробітників.

Опишемо склад, призначення і функції структури органів відповідно до запропонованого підходу. Отже необхідно розглянути зміст групи елементів матриці.

Заздалегідь відзначимо, що СТРУКТУРА повинна:

При цьому СТРУКТУРА повинна вирішувати задачі забезпечення безпеки інформації на ЕТАПАХ (100 – 700), по відповідних НАПРЯМКАХ (010 – 050).

При описі загальних (не прив'язаних до конкретної СЗИ) питань, важко витримати строгі вимоги запропонованої класифікації. Тому виходячи з бажання зробити матеріал більш цікавим і доступної для читача, неминучі деякі “вільності” у викладі.

БАЗА

Зрозуміло, основні положення політики безпеки повинні бути закріплені у відповідних розпорядницьких документах, склад і зміст яких визначаються специфікою об'єкта. Однак, як правило, жодна організація не зможе обійтися без положень про комерційну таємницю, про захист інформації, про адміністратора безпеки мережі, про розмежування прав доступу до інформації, що міститься в автоматизованих системах; правил допуску в приміщення, де виробляється обробка критичної інформації; порядку проведення службового розслідування по факті порушення правил безпеки.

ЗАХОДИ

Основу політики безпеки складає перелік обов'язкових заходів, спрямованих на вироблення плану дій по інформаційному захисті об'єкта: визначення складу служби по захисту інформації (СЗИ), її місце в організаційній структурі підприємства, сфера її компетенції, права і повноваження, варіанти дій у різних ситуаціях щоб уникнути конфліктів між підрозділами.

Роботи з оснащення і підтримки діяльності СЗИ, створення системи розпорядницьких документів входять у комплекс організаційних мір, на основі якого може бути досягнуть високий рівень безпеки інформації. Проте, перераховані міри не дозволять на належному рівні підтримувати функціонування системи захисту без цілого ряду організаційно-технічних заходів. Їхній повний перелік занадто широкий для того, щоб цілком приводити його в даній статті, скажемо лише, що їхнє проведення дозволяє вчасно виявляти нові канали витоку інформації, уживати заходів по їх нейтралізації, удосконалюванню системи захисту й оперативно реагувати на порушення режиму безпеки.

ЗАСОБИ

Використання якісних комерційних інструментів (наприклад, засобів сканування безпеки, на зразок ISS Internet Scanner) гарантує, що в автоматизованій системі буде знайдена більшість уразливих місць, оскільки, на відміну від вільно розповсюджуваних систем тестування, у комерційних системах сканування інформація про “діри” у системах безпеки компонентів комп'ютерної системи обновляється досить оперативно — у міру їхнього перебування спеціальними групами експертів в області інформаційної безпеки.

Правильно відпрацьована методика проведення робіт з ЗИ дає гарантію, що нічого важливого в їхньому ході упущено не буде і жоден аспект інформаційної безпеки не залишиться без уваги.

Перелік задач, що розв'язують служби інформаційної безпеки.

Служба інформаційної безпеки повинна брати участь у роботах по створенню корпоративної системи з початку її проектування до моменту введення в експлуатацію. Разом з тим, уже працюючу систему необхідно періодично обстежувати на предмет виявлення нових слабостей і ризиків.

Зневага безпекою корпоративних систем і надія “на либонь” неминуче приводять до великих фінансових утрат від реалізації внутрішніх чи зовнішніх погроз. По оцінках і даним опитувань, проведених SANS Institute, збиток тільки від однієї атаки на корпоративну систему для банківського і IT-секторів економіки США (де безпеки приділяється особлива увага) складає в середньому близько 500 тис. доларів.

Визначення інформаційних і технічних ресурсів, що підлягають захисту (102)

Для рішення цієї задачі необхідно розглянути функції органів (обличчя), відповідальних за визначення інформації (зведень) і засобів, що підлягають захисту:

Сучасна система безпеки інформації була розроблена для документів у виді "твердих копій". Вся облікова інформація, така як вхідний номер, обліковий номер, дата документа, кількість сторінок, відноситься до "твердих копій".

В останні кілька років інформаційні технології розвивалися з разючою швидкістю. Оптимісти-користувачі цих нових технологій вважають, що папір буде замінена електронним розподілом і збереженням інформації. Однак безпека інформації, незалежно від того, який носій - паперовий чи електронний використовується, тісно зв'язана з загальним керуванням потоками інформації. Якщо в організації мається чіткий розподіл обов'язків, потоки інформації добре організовані, міри безпеки інформації застосувати легко.

На жаль, частіше буває так, що міри безпеки інформації стають і мірами розподілу потоків інформації. Це може привести до досить громіздких процедур і викликати враження в співробітників, що міри безпеки ускладнюють їхню роботу.

Якщо кому-небудь прийдеться створювати систему безпеки інформації, рекомендується спочатку придивитися до процедур розподілу інформації в цій організації.

Ідеально організація повинна мати відділ (режимний) для прийому і відправлення всіх документів, повинні бути ясні інструкції, що як входять документи повинні розписуватися співробітникам, і як потрібно готувати і затверджувати вихідні документи.

Система збереження повинна забезпечувати те, що вся інформація з визначених питань доступна і постійно обновляється. Усі передачі документів повинні реєструватися у відповідних журналах, щоб чи прийом передача документа були документально підтверджені, і було ясно, відкіля він чи прийшов куди направляється. На кожнім документі повинний бути вхідний чи обліковий номер і дата. З запису повинне бути видно, кому документ розписаний і де він знаходиться в будь-який момент часу, у тому числі коли він підшитий на збереження. Якщо такі правила діють незалежно від ступеня таємності інформації, то заходу для безпеки інформації буде ввести легко.

Здійснення контролю цілісності і керування системою захисту (702)

План захисту вимагає щорічного перегляду з обліком зовнішньої обстановки, що змінюється. Такий термін цілком достатній для своєчасного внесення необхідних змін, але тільки в тому випадку, якщо не виникають причини для позачергового перегляду: реорганізація організаційно-штатної структури підприємства, зміни територіального розташування чи компонентів архітектури автоматизованої системи, модифікація використовуваного програмного чи забезпечення обчислювальної техніки.

Коли намічені міри прийняті, необхідно перевірити їхню дієвість, наприклад, зробити автономне і комплексне тестування програмно-технічного механізму захисту. Якщо перевірка показує, що в результаті проробленої роботи залишкові ризики знизилися до прийнятного рівня, то можна намічати дату найближчої переоцінки, якщо ні, варто проаналізувати допущені помилки і провести повторну оцінку ризиків.

Типовий перелік задач служби інформаційної безпеки (002)

Нижче приведений зразковий перелік задач служби інформаційної безпеки, якому можна використовувати на початковому етапі створення подібних служб, чи підрозділів відповідального співробітника.

Основною задачею служби інформаційної безпеки є визначення напрямку розвитку і підтримки зусиль організації, націлених на захист інформації від несанкціонованого ознайомлення, зміни, чи руйнування відмовлення в доступі. Це досягається шляхом упровадження відповідних правил, інструкцій і вказівок.

Служба інформаційної безпеки відповідає за розробку і виконання планів по забезпеченню інформаційної безпеки, що стосуються наступних напрямків:

- Розробка і видання правил (інструкцій і вказівок) по забезпеченню безпеки, що відповідають загальним правилам роботи організації і вимогам до обробки інформації.

- Упровадження програми забезпечення безпеки, включаючи класифікацію ступеня таємності інформації (якщо така мається) і оцінку діяльності.

- Розробка і забезпечення виконання програми навчання й ознайомлення з основами інформаційної безпеки в масштабах всієї організації.

- Розробка і супровід переліку мінімальних вимог до процедур контролю за доступом до всіх комп'ютерних систем, незалежно від їхнього розміру.

- Добір, упровадження, перевірка й експлуатація відповідних методик планування відновлення роботи для всіх підрозділів організації, що приймають участь в автоматизованій обробці найважливішої інформації.

- Розробка і впровадження процедур перегляду правил забезпечення інформаційної безпеки, а також робочих програм, призначених для підтримки правил, інструкцій, стандартів і вказівок організації.

- Участь в описі, конструюванні, створенні і придбанні систем з метою дотримання правил безпеки при автоматизації виробничих процесів.

-Вивчення, оцінка, вибір і впровадження появляющихся апаратних і програмних засобів, функцій і методик забезпечення інформаційної безпеки, застосовних для комп'ютерних систем організації.

При необхідності на службу інформаційної безпеки покладається виконання інших обов'язків:

- Формування вимог до системи захисту в процесі створення ИС;

- Участь у проектуванні системи захисту, її іспитах і прийманні в експлуатацію;

-Планування, організація і забезпечення функціонування системи захисту інформації в процесі функціонування ИС;

- Розподіл між користувачами необхідних реквізитів захисту;

- Спостереження за функціонуванням системи захисту і її елементів;

- Організація перевірок надійності функціонування системи захисту;

- Навчання користувачів і персоналу ИС правилам безпечної обробки інформації;

- Контроль за дотриманням користувачами і персоналом ИС установлених правил звертання з інформацією, що захищається, у процесі її автоматизованої обробки;

- Вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.

Організаційно-правовий статус служби (002)

- чисельність служби захисту повинна бути достатньої для виконання всіх перерахованих функцій;

- служба захисту повинна підкорятися тому обличчю, що у даній установі несе персональну відповідальність за дотримання правил звертання з інформацією, що захищається;

- штатний склад служби захисту не повинний мати інших обов'язків, зв'язаних з функціонуванням ИС;

- співробітники служби захисти повинні мати право доступу в усі приміщення, де встановлена апаратура ИС і право припиняти автоматизовану обробку інформації при наявності безпосередньої погрози для інформації, що захищається;

- керівнику служби захисти повинний бути наданий право забороняти включення в число діючих нові елементи ИС, якщо вони не відповідають вимогам захисту інформації;

- служба захисту інформації повинна мати всі умови, необхідні для виконання своїх функцій.

Структура служби інформаційної безпеки (002)

У структуру служби безпеки (002) можуть входити:

Умовно співробітників служби інформаційної безпеки можна розділить по функціональними обов'язками наприклад:

Співробітник групи безпеки. У його обов'язку входить забезпечення належного контролю за захистом наборів даних і програм, допомога користувачам і організація загальної підтримки груп керування захистом і менеджменту у своїй зоні відповідальності. При децентралізованому керуванні кожна підсистема ИС має свого співробітника групи безпеки.

Адміністратор безпеки системи. У його обов'язку входить щомісячне опублікування нововведень в області захисту, нових стандартів, а також контроль за виконанням планів безупинної роботи і відновлення (при необхідності) і за збереженням резервних копій.

Адміністратор безпеки даних. У його обов'язку входить реалізація і зміна засобів захисту даних, контроль за станом захисту наборів даних, жорсткість захисту в разі потреби, а також координування роботи з іншими адміністраторами.

Керівник групи. У його обов'язку входить розробка і підтримка ефективних заходів захисту при обробці інформації для забезпечення схоронності даних, устаткування і програмного забезпечення; контроль за виконанням плану відновлення і загальне керівництво адміністративними групами в підсистемах ИС (при децентралізованому керуванні).

У невеликих організаціях функції керівника служби звичайно виконує або глава фірми, або його заступник.

Кількісний склад служби безпеки різний і залежить, насамперед, від можливостей самої фірми. Можливі різні варіанти складу такої групи. Крім того, перелік необхідних знань і навичок, а також функціональних обов'язків обличчя, що входять у групу захисту інформації може істотно відрізнятися в залежності від призначення структури і задач, розв'язуваних у конкретної ИС.

На жаль сучасному етапі віддається перевага фізичній і технічній охороні, час “оперативників” і аналітиків тільки починається.

Створення служби інформаційної безпеки (002)

Подумати про створення служби безпеки необхідно відразу, як тільки з'явилася реальна небезпека благополучному розвитку фірми (витік “закритої” інформації, нанесення матеріального чи фінансового збитку, погрози чи керівництву співробітникам), якщо обсяг зведень, що складають комерційну таємницю, значнийі і ваші партнери вимагають забезпечити безпеку співробітництва.

Однак не усякій фірмі під силу нести витрати по забезпеченню ефективної системи безпеки, тому, насамперед, необхідно провести економічне обґрунтування її створення.

У розвитих країнах на зміст служб безпеки виділяється до 20% чистого прибутку в рік. Таким чином, якщо фірма “заробляє” п'ять мільйонів у рік, той один мільйон може бути витрачений на службу безпеки.

Як же раціонально розподілити витрати? Практика діяльності деяких фірм у цій області показує, що на зміст фізичної охорони витрачається до 50%, на технічне оснащення до 30%, на інші нестатки служби безпеки до 20% засобів, що витрачаються.

Не секрет, що керівники дуже великих виробничих і комерційних організацій містять охорону чисельністю в трохи стільник людин. Оцінивши витрати на послуги охоронців, оплату керівників служби безпеки, придбання технічних засобів і оснащення захисту (охоронна і пожежна сигналізація, блокувальні замки, генератори шуму, криптографічна апаратура і т.д.) економісти можуть легко підрахувати, у скількох обійдеться зміст служби безпеки і зробити відповідні висновки про доцільність її створення.

Частина підприємців воліє формувати службу безпеки з професіоналів — співробітників органів безпеки, підрозділів розвідки, МВС. Однак сторони не завжди знаходять загальну мову. Наприклад, підприємець, що діє на грані закону і підбирає в службу безпеки тих, хто його “прикриє” у важку хвилину, не може розраховувати на мовчання кожного зі своїх співробітників, зв'язаних із правоохоронними органами. Тому деякі керівники фірм жадають від прийнятих на роботу припинення всіх ділових контактів з органами безпеки і міліції.

Не заважає навести довідки про особистість найманого в службу безпеки, запросити характеристики з колишніх місць роботи, одержати рекомендації від облич, що заслуговують довіри. Ефективний спосіб перевірки — іспитовий термін з відповідними дорученнями для кандидатів. У цей же час можна підготувати і провести кілька необразливих експериментів, у ході яких ви упевнитеся в необхідних для цієї роботи якостях випробуваного, наприклад: відмінному знанні законодавства; гарній професійній і фізичній підготовці; критичному творчому мисленні; здатності швидко і глибоко аналізувати події і т.д.

Поки ж лише найбільш далекоглядні підприємці розуміють, що своєчасне одержання достовірної інформації про клієнтів, передбачуваних партнерах і конкурентів, а також забезпечення безпеки угод кваліфікованими фахівцями приносить найбільший ефект.

Не секрет, що “прогорілі” на великих угодах керівники фірм намагаються найняти “крутих” хлопців для надання фізичного і психологічного впливу на несумлінного партнера, його родину і повернути в такий спосіб утрачені мільйони. Однак, як показує практика, ці спроби, що часто волочуть кримінальна відповідальність, — даремна витрата часу і засобів. Тому головний принцип роботи служби безпеки — попередження подібних ситуацій. Власне, на цьому принципі заснований і розподіл служби безпеки по групах, що забезпечує безпеку особистості (керівників, персоналу фірми і членів їхніх родин); захист матеріальної бази і комерційних таємниць фірми.

Служба безпеки захищає приміщення офісів, устаткування і техніку, транспорт, землю, на якій здійснюється виробничі чи комерційна діяльність і т.п. Аналізує, хто з конкурентів може займатися вимаганням і шантажем.

Не менш важливе значення має захист зв'язків з партнерами, економічного становища на ринку. До числа способів захисту економічної бази фірми відносяться аудиторські перевірки, висновок угод по факті постачання товарів і т.п.

Запобігання розкрадань майна і цінностей фірми забезпечується, крім роботи з персоналом, контролем і захистом від несанкціонованого проникнення в приміщення, до вантажів, цінностям, носіям інформації.

У зв'язку з тим, що до 80% випадків витоку інформації і втрати документів відбувається з вини персоналу, служба безпеки (СБ) самим уважним образом проводить роботу з підбору і перевірці співробітників, навчає їх роботі із секретною інформацією.

СБ може мати відкриту і закриту області діяльності. Робота відкритого характеру зв'язана з підтримкою офіційних контактів із представниками інших підприємств, пресою, персоналом фірми. Закрита діяльність звичайно не афішується. Це, як правило, схована перевірка персоналу, виконання різних конфіденційних доручень керівництва фірми.

Економічно виправдано для невеликих фірм, з метою для забезпечення безпеки залучати спеціалізовані організації, за допомогою яких професійно визначається обсяг послуг по захисту інформації і приймаються необхідні міри.

З метою надання тиску на співробітників, що ігнорують прийнятий порядок захисту інформації, потрібні чіткі і добре продумані правила, що визначають міри забезпечення безпеки інформаційних технологій.

Однак одні лише правила не вирішать усіх проблем. Найкращі правила не мають ніякої цінності, якщо люди, що повинні їхній дотримувати, не підозрюють про їхнє чи існування не мають ні найменшого бажання що-небудь починати.

Розробка правил може бути однієї з основних функцій служби інформаційної безпеки.

Служба інформаційної безпеки являє собою підрозділ, призначений для організації робіт зі створення системи захисту інформації і наступного забезпечення її функціонування.