Вовкоріз А. В.
Національний гірничий
університет
Управління
інформаційною безпекою в
інформаційній
телекомунікаційній системі студентського гуртожитку
вищого
учбового закладу з детальною розробкою
політики
безпеки інформації
Так виходить, що інформаційній безпеці таких об'єктів як гуртожиток
керівництво навчальних закладів найчастіше часу не приділяє. А тим часом вона
заслуговує найпильнішої уваги, з огляду на діяльність студентів, що найчастіше
здійснюється за допомогою комп'ютерної техніки. Наслідки такого відношення
можуть бути різними. При самому несприятливому варіанті розвитку подій втрати
можуть бути зв'язані як з порушенням конфіденційності інформації, так і з
банальною крадіжкою обладнання. Слід зазначити, що в певних випадках
відповідальність може лягти й на керівництво. І першим кроком до ліквідації цих
неприємних наслідків є грамотна розробка системи управління інформаційною
безпекою (СУІБ).
У даній статті будуть розглянуті основні принципи побудови СУІБ для
гуртожитків навчальних закладів з урахуванням їх специфіки.
Застосування моделі ПРПД до
процесів СУІБ
Розробка СУІБ здійснюється на основі міжнародного стандарту ISO 27001.
Відповідно до цього документу система управління інформаційною безпекою повинна містити в собі організаційну структуру,
політики, планування, посадові обов'язки, практики, процедури, процеси й
ресурси. Створення й експлуатація СУІБ вимагає застосування такого ж підходу,
як і будь-яка інша система керування. Використовувана в ISO 27001 для опису
СУІБ модель передбачає безперервний цикл заходів: планування, реалізація,
перевірка, дія (ПРПД).
Процес безперервного вдосконалювання звичайно вимагає первісного
інвестування: документування діяльності, формалізація підходу до керування
ризиками, визначення методів аналізу й виділення ресурсів. Ці міри
використовуються для приведення циклу в дію. Вони не обов'язково повинні бути
завершені, перш ніж будуть активізовані стадії перегляду.
На стадії планування забезпечується правильне завдання контексту й масштабу
СУІБ, оцінюються ризики інформаційної безпеки, пропонується відповідний план
обробки цих ризиків. У свою чергу, на стадії реалізації впроваджуються ухвалені
рішення, які були визначені на стадії планування. На стадіях перевірки й дії
підсилюють, виправляють і вдосконалюють рішення по безпеці, які вже були
визначені й реалізовані.
Один з
варіантів організаційної структури СУІБ
Оскільки система управління інформаційною безпекою - це якийсь механізм,
звід правил, по яких повинні функціонувати всі процеси управління безпекою,
отже, для її впровадження потрібно визначити необхідні процедури, описати
правила їхнього функціонування й впровадити в інформаційний простір гуртожитку.
Ці, здавалося б, нехитрі дії на практиці викликають багато проблем і питань.
Етапи розробки й впровадження
системи керування інформаційною безпекою
Процес розробки й впровадження системи керування інформаційною безпекою
містить у собі наступні етапи.
Перший - ухвалення рішення на рівні керівництва про створення системи
управління. На цьому етапі варто визначити, буде керівництво займатися цим
саме, або ж покладе дані зобов'язання на студентів. У кожному разі повинне бути
визначене відповідальна особа.
На другому етапі - розробки системи управління - варто виконати наступні
кроки:
провести інвентаризацію активів (беруть участь всі жителі гуртожитку так чи
інакше пов'язані з інформаційним простором);
виконати категорування активів (виконується призначеною особою);
виконати технологічний аудит захищеності інформаційної системи з виявленням
погроз і уразливостей інформаційної
системи (виконується призначеною особою);
оцінити інформаційні ризики (виконується призначеною особою);
розробити план управління інформаційними ризиками (виконується
консультантами або співробітниками);
розробити бази нормативних документів по інформаційній безпеці (виконується
призначеною особою).
І, нарешті, у рамках впровадження системи управління потрібно домогтися
повного виконання всіх документів по інформаційній безпеці, налагодити процес
на основі PDCA-моделі, організувати ведення записів і оцінку ефективності
процесів системи управління (виконується призначеною особою).
Визначення необхідних
процедур системи управління ІБ
Система управління розробляється на основі міжнародних стандартів по
керуванню інформаційною безпекою ISO 27001 і ISO 17799, які являють собою набір
процедур по управлінню й забезпеченню безпеки інформаційних ресурсів. Однак
перераховані процедури не є обов'язковими для виконання у всіх організаціях,
тому що проходження всім процедурам може бути економічно недоцільно й
неефективно. Таким чином, насамперед, варто визначити, які процедури доцільно
виконувати в конкретному випадку. Природно, що для цього варто зрозуміти, які з
активів вимагають захисту й у якому ступені. Це завдання вирішують за допомогою
аналізу інформаційних ризиків, у процесі якого визначаються всі цінні активи,
їхня критичність, а також погрози й уразливості, що діють на інформаційні
активи.
У процесі аналізу інформаційних ризиків можна зіткнутися, наприклад, з
такими складностями. По-перше, необхідність вибору найбільш актуального
алгоритму оцінки ризиків. Подібних алгоритмів не так багато, і всі вони, у тім
або іншому ступені, засновані на методиках оцінки матеріальних ризиків.
По-друге, категорування інформаційних активів. Основною складністю в цьому
процесі є те, що учасники процесу, як правило, утрудняються визначити вартість
інформації. Фахівцям з інформаційної безпеки, як правило, потрібно пояснити
фахівцям, що працюють із інформацією, що від них потрібно, а також розробити методики
й критерії категорування інформації. Варто помітити, що визначення вартості
активів дійсно дуже складний процес. Однак для оцінки інформаційних ризиків
досить оцінити вартість активів приблизно, тобто проаранжувати ресурси відносно
один одного. Для цього можна, наприклад, використовувати шкалу із трьох-п'яти
рівнів. Крім цього, особам, що оцінюють вартість активів, варто докладно
описати, що від них потрібно. Наприклад, буде набагато зрозуміліше фраза
«визначите збиток, що понесе користувач від однієї години відсутності доступу
до даного інформаційного активу», ніж «визначите збиток по доступності даного
інформаційного активу».
По-третє, визначення ймовірності реалізації погроз і уразливостей. При
визначенні погроз і уразливостей інформаційної системи, як правило, значних
труднощів не виникає (можливо, крім визначення границь безлічі погроз і уразливостей,
що, як відомо, нескінченно). Однак визначити ймовірність реалізації погроз і уразливостей
- набагато більше складне завдання. Для її спрощення можна використовувати трьохрівневу
шкалу для ймовірності, тому що визначити рівень імовірності реалізації (низький,
середній або високий) набагато простіше, ніж визначити ймовірність реалізації у
відсотках. Крім цього, імовірність уразливості можна розбити на параметри, її складові,
тоді оцінка буде куди простіше. Наприклад, імовірність реалізації уразливості
оцінюється, у тому числі, на основі простоти реалізації уразливості й
доступності ресурсу, на якому існує дана уразливість.
На основі результатів аналізу інформаційних ризиків визначається перелік
активів, що вимагають захисти, а також необхідний рівень їхньої захищеності.
Отже, можна визначити, які із процедур, викладених в ISO 17799, є непридатними,
а які неактуальні за результатами аналізу інформаційних ризиків. Таким чином,
виходить перелік процедур, необхідних для забезпечення безпеки коштовних
активів. Даний перелік варто відбити в Положенні про застосовність. Це
документ, у якому перераховані всі процедури з ISO 17799 з позначкою, чи
виконуються вони в гуртожитку, і якщо не виконуються, то зазначено чому.
Після визначення переліку процедур треба для кожної процедури описати
правила її виконання, періодичність та ін. Природно, що такі правила варто
відбити у відповідних документах (документування процедур - одне з основних
вимог стандарту ISO 27001). Необхідно відзначити тільки те, що основним і
провідним документом є «Політика безпеки», у якій перераховані всі процедури,
визначена відповідальність користувачів за забезпечення інформаційної безпеки,
а також позиція керівництва.
Розмежування
відповідальності з забезпечення безпеки
Всі процедури забезпечення безпеки повинні бути адресними, тобто для кожної
процедури повинен бути визначений список користувачів, її виконуючих, а також
перелік інформаційних ресурсів, для яких потрібно її виконання. Природно, що
відповідні користувачі повинні бути ознайомлені з документами. Крім цього, для
підтвердження виконання документів потрібно регулярно виконувати перевірки дій
цих користувачів.
Оцінка ефективності процедур системи управління інформаційною безпекою
необхідна для того, щоб визначити, чи виконується процедура на практиці
належним чином і які поліпшення потрібно впровадити у виконання процедури.
Оцінка ефективності, як правило, виконується за результатами перевірок.
Перевірки можуть являти собою як різні опитування учасників інформаційної
діяльності, так і перевірки настроювань і конфігурації інформаційних ресурсів,
а також просте спостереження за захистом об’єкту (як правило, актуально для
фізичної безпеки).
За результатами оцінки ефективності виявляється, чи потрібне впроваджувати
коригувальної дії для вдосконалювання процедури або виконання процедури
перебуває на необхідному рівні.
Процесний
підхід управління інформаційною безпекою
Розробити правила управління й забезпечення безпеки й домогтися їхнього
виконання в компанії - першорядна, але не єдине завдання системи управління.
Набагато важливіше «настроїти» циклічність всіх процесів управління безпекою,
тобто необхідно, щоб всі процедури системи управління (і, як наслідок, сама
система управління) послідовно проходили основні етапи - планування,
впровадження, оцінка ефективності, удосконалювання. Таким чином, система
управління буде працювати на основі PDCA-моделі, що буде означати відповідність
стандарту ISO 27001 і, що важливіше, безперервні контрольованість і
вдосконалювання системи управління.
Позиція
керівництва гуртожитку
При розробці й впровадженні системи управління інформаційною безпекою не
варто забувати про одну з найважливіших умов її ефективного функціонування -
участь керівництва в цьому процесі. З огляду на той факт, що забезпечення
безпеки є другорядною діяльністю для користувачів, а також що для
функціонування деяких процедур системи управління їм доводиться виконувати
складні завдання (наприклад, визначення вартості інформаційних ресурсів),
природно, що потрібно забезпечити грамотну мотивацію користувачів. Як правило,
студенти помітно охоче підходять до виконанню процедур системи управління
інформаційною безпекою, якщо це надходить від керівництва гуртожитком. Роль
керівництва полягає як у постановці завдання забезпечення й управління безпекою
користувачами й контролі над її виконанням, так і у виконанні всіх правил
забезпечення безпеки.
Таким чином, підготовка системи управління інформаційною безпекою
проходження - досить трудомістке завдання. І головна проблема полягає в тім, що
систему управління необхідно постійно підтримувати. Все коло зацікавлених осіб
(а це часто всі проживаючі в гуртожитку) повинні знати й чітко виконувати всі
необхідні дії, бути залученими в процес. А процеси системи управління - усе без
винятку - повинні регулярно контролюватися й перевірятися. Тільки тоді система
управління буде досить ефективної, щоб протистояти будь-яким змінам і
залишатися надійної, працездатної й ефективної.
Варто також відзначити момент перевірки системи, оскільки від якості й
частоти її проведення може відповідно понизиться або підвищиться якість всієї
системи.
Перевірки можуть проводитися в будь-який час і з будь-якою періодичністю
залежно від конкретної ситуації. У деяких системах вони повинні бути убудовані
в автоматизовані процеси з метою забезпечення негайного виконання й реагування.
Для інших процесів реагування потрібно тільки у випадку інцидентів безпеки,
коли в захищені інформаційні ресурси були внесені зміни або доповнення, а також
коли відбулися зміни погроз і уразливостей. Необхідні щорічні або іншої
періодичності перевірки або аудити, щоб гарантувати, що система управління в
цілому досягає своїх цілей.
ЛІТЕРАТУРА:
А. А. Садердинов, В. А. Трайнёв,
А. А. Федулов «Информационная безопасность предприятия» ИТК Дашков и К,2005. – 336 с.:
Е. Б. Белов, В. Лось, Р. В.
Мещеряков , Д. А. Шелупанов «Основы информационной безопасности» Горячая линия – Телеком, 2006. – 544 с.:
Петренко С. А., Симонов С. В.
«Управление информационными рисками. Экономически оправданная безопасность» ДМК
Пресс, 2004. - 384 с.: