На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Управление защитой информации

 

 

«BEST OF SECURITY», №24 (январь, 2008)

bos.dn.ua

 

В. Домарев

 

Выбрать надежные средства защиты информации, отвечающие всем требованиям, это только полдела. Дальше необходимо настроить их так, чтобы все требования в части политики безопасности выполнялись так, как и было задумано (и зафиксировано в плане защиты). Кроме того, необходимо постоянно контролировать работу ИС (информационной системы).

В принципе, все это достаточно очевидно. Однако задачи настройки средств защиты, управления ими и контроля функционирования ИС в каждом конкретном случае решаются по-своему. Подходы к решению этих задач зависят от конкретных условий, поэтому приведем лишь основные положения, которыми следует руководствоваться при организации управления защитой ИС.
Если каждый пользователь работает автономно, решает только индивидуальные задачи и обрабатывает лишь собственные данные, то изоляция пользователей и индивидуальная защита позволят надежно оградить обрабатываемую информацию от угроз. Однако на практике такая ситуация встречается редко. Почти всегда существует необходимость совместного решения различных задач или совместного анализа каких-либо данных, обмена информацией.
Это означает, что в системе существует информация, используемая несколькими пользователями. Это обстоятельство порождает проблему взаимного недоверия: если несколько пользователей имеют одинаковые права на какой-либо набор данных, то кто будет отвечать, если с ним что-либо случится?
Вообще, наличие любых совместно используемых ресурсов, тем более доступных для модификации, создает предпосылки нарушения политики безопасности.
Как этого избежать или свести до минимума возможность нарушения политики безопасности, или, в крайнем случае, вовремя устранить последствия нарушения, пойдет речь далее.

Принципы организации и контроля системы защиты

Настройка средств защиты, управление системой защиты и осуществление контроля функционирования ИС — все это составляющие одной задачи — реализации политики безопасности.

Управление средствами защиты включает в себя несколько задач, и их правильное решение способствует успешному функционированию ИС в целом. При этом, как правило, ни одна из крайностей — тотальная защита или полное ее отсутствие — не способствует оптимальной работе.
Настройка средств защиты информации необходима для приведения их в соответствие с разработанным планом. При настройке добавленных средств защиты необходимо особое внимание уделить вопросам проверки их совместимости с используемыми прикладными программами.
Управление системой защиты состоит в периодическом внесении изменений в базу данных защиты, содержащую сведения о пользователях, допущенных к работе в системе, их правах доступа к различным объектам системы и др.

Особое внимание при управлении системой защиты необходимо обратить на:

— документированность всех изменений в базе данных защиты. Лучше всего организовать систему заявок от должностных лиц организации на разрешение доступа тому или иному сотруднику организации к какому-либо ресурсу системы. При этом ответственность за допуск сотрудника возлагается на соответствующее лицо, подписавшее заявку;
— периодическое резервное копирование базы данных защиты во избежание утраты их актуальной копии в случае сбоя (отказа) оборудования.
Контроль над функционированием ИС заключается в слежении за опасными событиями, анализе причин, которые привели к их возникновению, и устранении последствий.

Как правило, задачи управления и контроля решаются административной группой, личный и количественный состав которой зависит от конкретных условий. Обычно в эту группу входят: администратор безопасности, менеджер безопасности и операторы. Далее мы более подробно рассмотрим характеристики этой административной группы и функциональные обязанности входящих в нее сотрудников.
Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным, взятым из зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа (управление программами и другими средствами контроля доступа, защита портов, криптозащита и т. д.) и около 2/3 — административная (разработка документов, связанных с защитой ИС, процедур проверки системы защиты и т. д.).

Рациональное сочетание этих мер помогает поддерживать адекватную защиту ИС и способствует уменьшению вероятности нарушений политики безопасности.

Администратор безопасности среднего и крупного банка на техническую работу тратит более 60% своего времени, а оставшиеся 40% уходят на решение административных задач. Это объясняется тем, что:

— количество сотрудников, входящих в административную группу, недостаточно для выполнения всех возложенных на группу обязанностей. Такое положение дел следует из недооценки руководящим составом организации роли и места обеспечения безопасности собственной ИС;
— производятся частые изменения программных средств, предназначенных для обработки информации (до 3–5 раз за одну неделю). Это связано с тем, что, как правило, крупные коммерческие банки содержат собственный штат программистов. А программисты находят и устраняют ошибки в программном обеспечении или дорабатывают программы в соответствии с требованиями аналитиков банка и затем обновляют программы;
— периодически изменяется штатно-должностное расписание (приходят новые сотрудники, уходят старые). Это приводит к тому, что иногда приходится за неделю добавлять (удалять) в систему (из системы)
5–7 пользователей. Если система невелика — все не так сложно, а если ежедневно в ней работает одновременно более 100 человек с более чем 200 программными модулями, половина из которых обновляется, задача становится неимоверно тяжелой;
— отсутствуют программные средства, облегчающие деятельность администратора, поэтому администраторам приходится либо мириться с такой ситуацией, либо разрабатывать необходимые программные средства.

Реализация политики безопасности

Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни ОС) и, наконец, нижний уровень этой структуры представлен аппаратными средствами защиты. На всех уровнях, кроме верхнего, должны быть реализованы требования политики безопасности, за что, собственно, и отвечают механизмы защиты.
В различных системах механизмы защиты могут быть реализованы по-разному; их конструкция определяется общей концепцией системы. Однако одно требование должно выполняться неукоснительно: эти механизмы должны адекватно реализовывать требования политики безопасности.

Меры по реализации и сопровождению политики безопасности в значительной степени зависят от конкретных условий, поэтому приведем лишь некоторые общие рекомендации (опуская анализ риска и составление плана защиты):

Оптимизация хранения и обработки информации. Информацию в системе необходимо размещать таким образом, чтобы свести до минимума вероятность несанкционированного доступа. Это означает, что информацию, с одной стороны, следует организовать так, чтобы ее удобно было обрабатывать тем, кто должен с ней работать, а с другой, — чтобы к ней нельзя было получить доступ тем, кому это не разрешено.
Реализация принципов минимума привилегий и что надо знать. Каждый пользователь должен иметь настолько мало привилегий, насколько это возможно без ущерба для работоспособности системы. Эти принципы — ключевые при определении полномочий пользователей и организации защиты наборов данных.

Разделение ответственности между пользователями. Каждый должен нести персональную ответственность за свои действия, при этом защиту следует организовать так, чтобы действия пользователей были как можно более независимыми. В тех случаях, когда это невозможно, и, следовательно, возникает проблема взаимного подозрения, следует использовать средства контроля.

Контроль над наиболее ценной информацией. Для предотвращения утечки или модификации наиболее ценной информации и сохранения работоспособности ИС необходимо постоянное слежение за наиболее опасными событиями. Кроме того, необходимы регулярные проверки средств защиты и наиболее ценных объектов ИС.

Регулярный пересмотр положений политики безопасности и отражающих ее планов, используемых стандартов, своевременное внесение изменений, контроль над тем, чтобы средства защиты всегда были адекватны требованиям политики безопасности. В частности, к этим мерам относится своевременное добавление и особенно удаление пользователей, отмена некоторых привилегий и т. д.
Взаимодействие с административными группами других ИС для координирования действий и проведения единой политики безопасности, затрагивающей общие аспекты обработки информации.

Это лишь самые общие рекомендации, справедливые для управления практически любой системой. Однако их точное соблюдение поможет сохранить работоспособность ИС в кризисных ситуациях, которые не так уж редки. Далее мы более подробно остановимся на мерах контроля над работой системы.
Для успешного решения основных задач административной группы, которые были перечислены, полезно учитывать следующие факторы:
Тип управления защитой. Управление может быть централизованным и децентрализованным. В зависимости от этого функциональные обязанности каждого сотрудника административной группы распространяются на всю систему или на какую-то ее часть.

Выбираемый тип управления целиком зависит от организационной структуры ИС и сложившейся технологии обработки информации.
Уверенность в безопасности. Администратор должен точно представлять себе все элементы защиты, степень уверенности пользователей в возможностях системы защиты, возможные угрозы системе и средства их предупреждения и т. д.

Возможности средств защиты. Для успешного решения задач управления защитой ИС административная группа должна использовать современные средства защиты, позволяющие гибко реагировать на все требования жизни.

Возможности администратора. Администратор безопасности — лицо в своем роде исключительное, должен быть представительным, респектабельным, иметь возможность взаимодействия с подразделениями и должностными лицами организации для более эффективного выполнения своих обязанностей.

Административная группа управления защитой

Организация группы управления защитой информации, включающей специалистов в этой области — одна из наиболее важных задач управления защитой ИС. Иногда эту группу называют группой информационной безопасности.

В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руководства, но и участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Более того, все их распоряжения, касающиеся этой области, обязательны к исполнению сотрудниками всех уровней и организационных звеньев. Кроме того, организационно эта группа должна быть обособлена от всех отделов или групп, занимающихся управлением самой системой, программированием и другими относящимися к системе задачами во избежание возможного столкновения интересов.

Несмотря на то что обязанности и ответственность сотрудников группы информационной безопасности варьируются в разных учреждениях, можно выделить несколько основных положений, которым должны соответствовать функциональные обязанности во всех организациях.
В обязанности сотрудников группы информационной безопасности входят:

Управление доступом пользователей системы к данным, включая установку и периодическую смену паролей, управление средствами защиты коммуникаций и криптозащиту передаваемых, хранимых и обрабатываемых данных.

Разработка планов защиты и контроль над их соблюдением, а также контроль над хранением резервных копий.
Доведение до пользователей изменений в области защиты, которые имеют к ним отношение, обучение персонала и пользователей ИС.
Взаимодействие со службой менеджмента ИС по вопросам защиты информации.

Совместная работа с представителями других организаций по вопросам безопасности — непосредственный контакт или консультации с партнерами или клиентами.

Тесное сотрудничество и дружественные отношения со службой менеджмента и администрацией ИС.
Расследование причин нарушений защиты.

Координация действий с аудиторской службой, совместное проведение проверок.
Постоянная проверка соответствия принятых в организации правил безопасности обработки информации существующим правовым нормам, контроль над соблюдением этого соответствия.

Поддержание хороших отношений с теми отделами, чьи задачи могут (по каким-то особым причинам) выполняться в обход существующих правил.
Естественно, все эти задачи не под силу одному человеку, особенно если организация (компания, банк и др.) довольно велика. Более того, в группу управления защитой могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

1. Сотрудник группы безопасности
В его обязанности входят обеспечение должного контроля над защитой наборов данных и программ, помощь пользователям, организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема ИС имеет своего сотрудника группы безопасности.
2. Администратор безопасности системы
В его обязанности входят ежемесячное опубликование нововведений в области защиты (новых стандартов), контроль над выполнением планов непрерывной работы, восстановление системы после сбоев, хранение резервных копий.
3. Администратор безопасности данных
В его обязанности входят реализация и изменение средств защиты данных, контроль над состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
4. Руководитель (начальник) группы по управлению обработкой информации и защитой
В его обязанности входят разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль над выполнением плана восстановления и общее руководство административными группами в подсистемах ИС (при децентрализованном управлении).
Существует несколько вариантов детально разработанного штатного расписания такой группы, в которые включен перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы.

(Продолжение следует)

 

 
 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru