КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ И ЕЁ СОДЕРЖАНИЕ

1. Выработка общей точки зрения по вопросу обеспечения безопасности предприятия между руководством предприятия, его сотрудниками и фирмами, привлекаемыми для организации безопасности, производства работ по техническому основанию объекта и др.

2. Создание основы для организации режимов, обеспечивающих безопасность и принятие управляющих решений по финансированию соответствующих программ и мероприятий защиты.

3. Улучшение имиджа предприятия и роста прибыли за счёт обеспечения высокого качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

В ходе разработки концепции безопасности обычно выделяют ТРИ основных этапа.

см. параграф 4.5.

2. Составление схемы (плана) охраны объекта с указанием маршрутов движения сотрудников и клиентов, расположения постов охраны, распределения функций между постами охраны и техническими средствами усиления безопасности.

3. Разработка рекомендаций по организации контрольно-пропускного режима с иерархией доступа различных категорий клиентов и сотрудников в помещения с разной степенью режимности.

4. Оценка необходимости защиты и принципов защиты коммуникаций.

5. Определение необходимости усиления защищенности объекта техническими средствами (укрепление стройконструкций, системы охранной сигнализации, телевизионное наблюдение, устройство контроля и регистрации и т д.) и составление скелетной схемы технического оснащения.

6. Оценка необходимости разработки системы предотвращения утечки информации с объекта.

7. Определение принципа локализации возможного ущерба от происшествий в чрезвычайных ситуациях.

8. Выработка рекомендаций по порядку взаимодействия с правоохранительными организациями в угрожающих ситуациях и при расследовании происшествий.

9. Составление ориентировочной сметы расходов на выполнение необходимых проектных, монтажных и других работ с указанием ориентировочной стоимости потребного оборудования и расходов на эксплуатацию или просто определение максимально допустимых пределов расхода средств на эти цели.

10. Определение организаций, которые могут быть привлечены для осуществления мероприятий по организации защиты объекта.

В зависимости от характера работы предприятия и его структурной организации в концепцию могут включаться и другие разделы.

Среди них можно отметить следующие:

1) система мер противодействия попыткам преступных элементов и организованных групп осуществлять угрозы в отношении персонала, клиентов, имущества материальных и интеллектуальных ценностей (защита от налетов, проникновения взломом и прочих угроз криминального характера);

2) информационное и правовое обеспечение интересов предприятия (деловая разведка, помощь в возврате кредитов, ускоренная подготовка и проведение арбитражных процессов и т п.);

3) проверочные мероприятия в отношении клиентов, персонала и кандидатов работу и расследование происшествий.

Концепция оформляется в виде пакета документов, подписанных разработчиком, руководителем службы безопасности(при необходимости и представителями других служб) и утверждается руководителем предприятия.

После разработки концепции безопасности целесообразно разработать политики безопасности для его отдельных функциональных подсистем.

В первую очередь такую политику безопасности следует разработать для информационной инфраструктуры, функционирующей на предприятии, — его автоматизированной информационной системы (ИС).

5.3. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

5.3.1. Назначение политики безопасности

В целом задача построения системы защиты информации, способной противостоять трем основным группам угроз, является достаточно сложной, решается каждого конкретного случая и не всегда считается разрешимой. При этом отдельным вопросом остается оптимальность и адекватность созданной системы защиты информации, поставленным целям.

Одновременно система защиты должна, по возможности, удовлетворять следующим противоречащим друг другу принципам:

1) система защиты носит вспомогательный характер, по сравнению с основным направлением деятельности ИС;

2) система защиты не должна ограничивать обмен информацией для выполнения основных функций ИС;

3) система защиты должна надежно защищать всю имеющуюся в ИС ценную информацию от всех возможных угроз.

При принятии решений по созданию политики безопасности ИС руководство организации сталкивается с проблемой выбора вариантов решений по организации защиты информации на основе учета принципов деятельности организации, соотношения важности целей и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Таким образом, реальная система защиты должна быть компромиссом между эффективностью основного функционирования ИС и защитой информации в ней, а также между материальными затратами на защиту и стоимостью самих защищаемых технологических и информационных ресурсов. Для реализации такого компромисса и вводят понятие политики безопасности.

Политика безопасности — это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной ИС (организации, подразделении и т п.).

На практике политика безопасности трактуется как совокупность документированных административных решений, направленных на обеспечение безопасности информационных ресурсов ИС.

В данном контексте любая система защиты является реализацией политики безопасности. Говорят, что система является гарантированно защищенной, если ее система защиты при заданных условиях реализует все правила политики безопасности. При этом следует учитывать, что реализация опасностей для ценной информации в ИС может быть следствием не только неадекватной системы защиты, но и неправильно сформулированной политики безопасности.

Для конкретной ИС политика безопасности зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т. д.

Создание политики должно учитывать следующие направления защиты:

• защита объектов информационной системы;

• защита процессов, процедур и программ обработки информации;

• защита каналов связи;

• подавление побочных электромагнитных излучений и наводок;

• управление системой защиты.

Очевидно, что каждое из указанных направлений должно быть детализировано в зависимости от особенностей структуры ИС.

Кроме этого, политика информационной безопасности (ПИБ) должна описывать следующие этапы создания СЗИ:

1. определение информационных и технических ресурсов, подлежащих защите;

2. выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. определение требований к системе защиты;

5. осуществление выбора средств защиты информации и их характеристик;

6. внедрение и организация использования выбранных мер, способов и средств защиты;

7. осуществление контроля целостности и управление системой защиты.

При разработке и проведении в жизнь ПИБ целесообразно руководствоваться

следующими принципами:

1) невозможность миновать защитные средства

(означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через средства защита информации (СЗИ), не должно быть «тайных» модемных входов или тестовых ланий, идущих в обход);

2) усиление самого слабого звена

(надежность любых СЗИ определяется самым слабым звеном, часто таким звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер);

3) недопустимость перехода в открытое состояние

(означает, что при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняют свои функции, либо должны полностью блокировать доступ);

4) минимизация привилегий

(предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей);

5) разделение обязанностей

(предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс, это особенно важно для предотвращения злонамеренных или неквалифицированных действий системного администратора);

6) многоуровневая защита

(предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался; за средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией управление доступом и, как последний рубеж, протоколирование и аудит; эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий);

7) разнообразие защитных средств

(рекомендуется организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления СЗИ);

8) простота и управляемость информационной системы

(определяет возможность формального или неформального доказательства корректности реализации механизмов защиты, только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование);

9) обеспечение всеобщей поддержки мер безопасности

(носит нетехнический актер, рекомендуется с самого начала предусмотреть комплекс мер, направленна обеспечение лояльности персонала мерам защиты, на постоянное обучение, теоретическое и, главное, практическое).

5.3.2. Содержание политики безопасности

Результатом выработки политики безопасности является высокоуровневый документ, в котором излагаются цели, задачи, принципы и способы достижения информационной безопасности.

Данный документ составляет методологическую основу практических мер (процедур) по реализации ИБ и содержит следующие группы сведений:

• основные положения информационной безопасности;

• область применения;

• цели и задачи обеспечения ИБ;

• распределение ролей и ответственности;

• общие обязанности.

Основные положения определяют важность обеспечения ИБ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

Областью применения политики безопасности являются основные активы и подсистемы ИС, подлежащие защите. Типовые активы: персонал, информационное и программно-аппаратное обеспечение ИС, в отдельных случаях информационная инфраструктура.

Цели и задачи обеспечения ИБ вытекают из функционального назначения ИС.

Например, в некоторых ИС на первое место ставится соблюдение конфиденциальности информации.

Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем.

Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.

Типовыми целями могут быть:

- обеспечение уровня безопасности, соответствующего нормативным документам;

- достижение экономической целесообразности в выборе защитных мер;

- обеспечение соответствующего уровня безопасности в конкретных функциональных областях ИС;

- реализация подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;

- выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы ИС и др.

Если ИС не является изолированной, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.

В указанном документе могут быть конкретизированы некоторые стратегические принципы безопасности, вытекающие из целей и задач.

Таковыми являются стратегии действий в случае нарушения политики безопасности, взаимодействия с внешними организациями, прессой и др.

В качестве примера можно привести две стратегия ответных действийна нарушение безопасности:

• «защититься и продолжить», когда оказывается максимальное противодействие нарушению;

• «выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания.

Политика безопасности затрагивает всех пользователей ИС (обслуживающий персонал и собственно пользователей). Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам ИС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов — что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей.

Следует указать, какое из правил умолчания на использование ресурсов принято, а именно:

• что явно не запрещено, то разрешено