Современные информационные
технологии/4.Информационная безопасность
Студент Бай А.В., доцент Пархоменко И.И.
Национальный
авиационный университет
Политика безопасности корпоративной сети: разработка и
реализация
Обеспечение комплексной безопасности является необходимым условием
функционирования корпоративной сети любой компании. Эта «комплексность» заключается, прежде всего, в
продуманности, сбалансированности защиты, разработке четких
организационно-технических мер и обеспечении контроля над их исполнением. Рассмотрим подробнее
этапы правильного составления политики безопасности корпоративной сети.
Подготовительный этап
Вначале необходимо провести аудит информационных процессов сети, выявить
критически важную информацию, которую необходимо защищать. Иногда к решению
задачи подходят однобоко, полагая, что защита заключается в обеспечении
конфиденциальности информации. При этом упускается из виду необходимость
обеспечения защиты информации от подделки, модификации, парирования угроз
нарушения работоспособности системы. Аудит информационных процессов должен
заканчиваться определением перечня конфиденциальной информации предприятия,
участков, где эта информация обращается, допущенных к ней лиц, а также
последствий утраты (искажения) этой информации.
После реализации этого этапа становится ясно, что защищать, где защищать и
от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут
выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя
поделать: придется принять как данность. Различным угрозам безопасности можно
присвоить значение вероятности их реализации. Умножив вероятность реализации
угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого
следует приступать к разработке политики безопасности.
Содержание политики безопасности
Политика безопасности – документ «верхнего» уровня, в
котором должны быть указаны:
·
лица, ответственные за безопасность
функционирования фирмы;
·
полномочия и ответственность отделов
и служб в отношении безопасности;
·
организация допуска новых
сотрудников к информационным ресурсам;
·
правила
разграничения допуска сотрудников к информационным ресурсам;
·
организация
пропускного режима, регистрации сотрудников и посетителей;
·
использование
программно-технических средств защиты;
·
другие
требования общего характера.
Таким
образом, политика безопасности корпоративной сети — это организационно-правовой
и технический документ одновременно. При его составлении надо всегда опираться
на принцип разумной достаточности и не терять здравого смысла. Этот принцип
означает, что затраты на обеспечение безопасности информации должны быть не
больше, чем величина потенциального ущерба от ее утраты. Анализ рисков,
проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в
первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную
информацию участки. Если в качестве ограничений выступает суммарный бюджет
системы обеспечения безопасности, то задачу распределения этого ресурса можно
поставить и решить как условную задачу динамического программирования.
Особое
внимание в
политике безопасности следует уделить разграничению зоны ответственности между
службой безопасности и IT-службой предприятия. Зачастую сотрудники службы
безопасности, в силу низкой технической грамотности, не осознают важности
защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь
«творческими» личностями, как правило, стараются игнорировать требования службы
безопасности. Кардинально решить эту проблему можно было бы, введя должность
СЕО по информационной безопасности. Ему подчинялись бы обе службы.
В
политике безопасности корпоративной сети не стоит детализировать должностные
обязанности сотрудников. Они должны разрабатываться на основе политики, но не
внутри нее.
Обеспечение
безопасности компьютерной информации
Серьезное
внимание в политике безопасности уделяется вопросам обеспечения безопасности
информации при ее обработке в автоматизированных системах: автономно работающих
компьютерах и локальных сетях. Необходимо установить, как должны быть защищены
серверы, маршрутизаторы и другие устройства сети, определить порядок
использования сменных носителей информации, их маркировки, хранения, порядок
внесения изменений в программное обеспечение.
Безусловно,
внедрение любой защиты приводит к определенным неудобствам пользователя. Однако
эти неудобства не должны быть существенными, иначе человек станет игнорировать
правила. При необходимости организации распределенной работы сотрудников фирмы
наиболее приемлемым решением считаются виртуальные частные сети (VPN). В
настоящее время известно множество отечественных фирм-разработчиков,
представляющих услуги по установке и настройке соответствующего программного
обеспечения.
Несмотря
на все принятые меры, нарушения информационной безопасности могут иметь место.
В политике безопасности следует обязательно предусмотреть меры ликвидации этих
последствий, восстановления нормальной работоспособности фирмы, минимизации
причиненного ущерба. Большое значение здесь имеет применение средств резервирования
электропитания, вычислительных средств, данных, а также правильная организация
документооборота.
Аудит безопасности
Для оценки состояния безопасности необходима
разработка некоторого набора правил или стандарта в области безопасности
информационных систем. Набор таких правил уже существует, и представлен в виде
международного стандарта ISO 17799 - стандарт, позволяющий дать количественную
оценку информационной безопасности. Этот документ был принят международным
институтом стандартов в конце 2002 года на основе ранее разработанного
Великобританией стандарта BS7799. Стандарт
ISO 17799 позволяет получить количественную оценку комплексной безопасности
фирмы. Этот процесс настолько формализован, что существует программное
обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей
компании. Это программное обеспечение представляет собой, по существу,
вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей
полномочия на проведение сертификации на соответствие этому стандарту, и та
присылает вам соответствующий знак и процент соответствия стандарту.
Литература