Учебное пособие: Интеллектуальные компьютерные технологии защиты информации

Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, в Генеральном штабе Министерства обороны и в университете существенно разные требования к конфиденциальности.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.

1.2.1.2 Кто делает политику?

Политика безопасности должна стать результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например отделу технического обслуживания) может быть поручено проведение политики (или некоторой ее части) в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.

1.2.1.3 Кого затрагивает политика?

Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы или администраторы безопасности обязаны ликвидировать слабые места в защите и следить за работой всех систем.

Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть подразделение информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Однако к разработке политики безопасности следует привлечь также специалистов по аудиту и управлению, физической безопасности, информационным системам и т.п. Тем самым будет подготовлена почва для понимания и одобрения политики.

1.2.1.4 Распределение ответственности

Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для решения каждого вида проблем существует ответственное лицо.

В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего ресурса. Пользователь, допустивший компрометацию своего ресурса, увеличивает вероятность компрометации ресурсов, которыми владеют другие пользователи.

Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню. Администраторы безопасности - еще более высокий уровень обеспечения информационной безопасности.

1.2.2 Оценка рисков

1.2.2.1 Общие положения

Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом.

Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, «штатных» злоумышленников значительно больше.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Полное рассмотрение проблемы анализа рисков будет дано ниже. Тем не менее в следующих пунктах будут затронуты два этапа процесса анализа рисков:

• идентификация активов,

• идентификация угроз.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.

1.2.2.2 Идентификация активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

• Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы.

• Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.

• Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в видерезервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям.

• Люди: пользователи, обслуживающий персонал.