На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Политика информационной безопасности предприятия. Общий подход к выбору технического средства защиты компьютерной
информации предприятия

Ранее мы подробно рассмотрели вопросы построения технических средств защиты информации от НСД, в частности — добавочных средств защи­ты. Общем случае были определены их цели и задачи.
Вместе с тем, применение технических средств может обеспечить эффек­тивную защиту только в совокупности с организационными мероприя­тиями. Таким образом, комплексный подход к защите информации сле­дует рассматривать как в узком (изложен в предыдущих главах), так и в широком (комплексирование организационных и технических мер защиты информации) смыслах. В данной главе рассмотрим вопросы комплекси-рования в широком смысле.
В рамках данного исследования необходимо ответить на следующие воп­росы, возникающие при построении системы защиты корпоративной сети предприятия:
» С чего начать построение системы защиты?
» Как определить цели и задачи организационных и технических мер
защиты информации? » Как выбрать (либо спроектировать) средство добавочной защиты, наилучшим образом отвечающее потребностям предприятия?
Попробуем дать ответы на эти вопросы.
Понятие и содержание политики информационной безопасности предприятия
Под политикой информационной безопасности предприятия в общем случае будем понимать совокупность распорядительных документов, рег­ламентирующих все аспекты обработки информации на предприятии.
Проиллюстрируем, какие же аспекты в общем случае должны найти свое отражение в политике информационной безопасности предприятия.
Перечень и классификация обрабатываемой на предприятии информации
Прежде всего, необходимо определиться с тем, какая информация обраба­тывается на предприятии и как она может быть классифицирована (секрет­ная, конфиденциальная, служебная тайна, ограниченного доступа и др.). Не определив, что защищать, невозможно в принципе решать вопрос о том, как защищать.
При классификации информации необходимо учитывать формализованные
признаки ее отнесения к какой-либо категории, например, к секретной или
конфиденциальной. При выявлении соответствующих признаков обрабаты­ваемой информации автоматически задаются формализованные требования к ее защите. Например, для обработки секретных данных требования к за­щите информации в автоматизированной системе задаются классом защи­щенности не ниже 1В, а для обработки конфиденциальных данных - не ниже 1Г [2] (заметим, что в общем случае рассматриваем ОС, позволяющие использовать компьютер нескольким пользователям).
Концепция обеспечения информационной безопасности предприятия техническими мерами защиты
Концепция обеспечения информационной безопасности задает основ­ные принципы обработки классифицированной информации на пред­приятии и ее технической защиты. В общем случае эта концепция дол­жна включать:
1. Порядок обработки защищаемой информации на предприятии -
определяется, какая информация обрабатывается вручную, какая с использованием средств вычислительной техники, какая информа­ция предназначена для внутреннего использования, какая предпо­лагает обмен вне предприятия и т.д.
2. Характеристику вычислительных средств предприятия, применяе­мых для обработки информации, требующей защиты. Сюда отно­сятся архитектурные принципы построения корпоративной сети, используемые информационные технологии, ОС, приложения и т.д.
377
Часть VII. Специальные вопросы защиты от НСД
3. Характеристику предполагаемого использования вычислительных средств для обработки защищаемой информации -- где хранится, где и как обрабатывается, каким образом вводится и выводится, как передается по сети и т.д. Таким образом, эта характеристика позволяет выявить объекты корпоративной сети (компьютеры, ин­формационные потоки и т.д.), требующие защиты. Результатом этого
будут сформулированные требования к распределению ресурсов за­щищаемых объектов (компьютеров) между субъектами доступа -разграничительная политика доступа к ресурсам.
4. Характеристику распределения всей совокупности задач управле­ния функционированием корпоративной сети (в том числе, защи­щаемыми объектами), каким-либо образом влияющих на безопас­ность защищаемой информации:
• задачи защиты информации;
• задачи системного и иного администрирования;
• задачи инсталляции ПО;
• задачи обработки информации и т.д.
Здесь концептуально должно быть задано распределение задач между всеми субъектами доступа к защищаемой информации: сотрудники
службы безопасности, администраторы (безопасности, системный,
приложений, в частности СУБД, сети и т.д.), пользователи (воз­можно с предоставлением каких-либо привилегий отдельным груп­пам пользователей), сотрудники службы эксплуатации, начальники
подразделений и т.д.
В рамках решения данной совокупности задач определяется потен­циальный злоумышленник, то есть, от кого же следует защищать
информацию. Данные субъекты должны исключаться из схемы уп­равления функционированием корпоративной сети, прежде всего,
из схемы управления информационной безопасностью.
Результатом должна быть разработка концепции администрирова­ния информационной безопасности корпоративной сети предприя­тия. При этом должны быть определены субъекты (сотрудники службы безопасности, администратор безопасности и т.д.) и объек­ты (рабочие станции, серверы, информационные технологии и т.д.) администрирования. Для объектов, где обрабатывается защищаемая информация, должны учитываться соответствующие формализован­ные требования.
В качестве замечания отметим, что нами в предыдущих главах обосно­вывалась целесообразность централизованной схемы администрирова­ния, которая состоит в следующем: сотрудники службы безопасности по представлению начальников подразделений формируют разграни­чительную политику доступа к ресурсам, безопасности осуществляет непосредственное управление системой защиты (реали-
зует разграничительную политику доступа техническими средствами защиты информации и контролирует ее выполнение пользователями). Остальные субъекты исключаются из схемы администрирования. Им либо вообще не дается доступ к настройкам технических средств за­щиты в принципы, либо он возможен только при непосредственном контроле со стороны администратора безопасности (данные задачи должны решаться техническими средствами защиты).
5. Требования к технологии защиты информации, включающие:
• требования к механизмам защиты в части реализации заданной
разграничительной политики доступа к ресурсам;
• требования к механизмам защиты в части противодействия НСД определенных потенциальных злоумышленников. Данные требо­вания должны выдвигаться с учетом существующей статистики и потенциальных возможностей осуществления угроз, создаваемых определенными потенциальными злоумышленниками;
• требования к механизмам, реализующим выбранную схему управ­ления (администрирования) техническими средствами защиты ин­формации.
В качестве замечания отметим, что если защищаемая информация
подпадает под формальные признаки, то при разработке требований
к технологии защиты информации должны быть учтены соответству­ющие формализованные требования к механизмам защиты (в част­ности, для защиты от НСД, регламентируемые документами [1, 2].
6. Характеристику взаимодействия субъектов с целью формирования, задания и контроля разграничительной политики доступа к ресур­сам. При этом определяется:
• порядок назначения и изменения прав доступа субъекта к ресурсу;
• порядок их задания в конфигурационных файлах средств техни­ческой защиты;
• порядок контроля за выполнением субъектами заданных разграни­чений и порядок принятия решений при обнаружении фактов НСД;
• порядок проведения регламентных работ, инсталляции       и т.д.
7. Инструкции всех субъектов доступа к конфиденциальной инфор­мации, где должны быть определены их права, обязанности, ответ­ственность за нарушение разграничительной политики доступа.
Данные инструкции должны быть доведены (за подписью) до каж­дого субъекта доступа к защищаемой информации, т.к. невозможно обеспечить защиту, не формализовав их возможные действия и ответственность за НСД к информации.
Концепция обеспечения информационной безопасности предприятия организационными мерами защиты
Поскольку книга посвящена вопросам технической защиты информации от НСД, не станем подробно останавливаться на рассмотрении данного вопроса. Это самостоятельный вопрос, требующий отдельного изложения. Здесь же отметим, что в рамках данного документа регламентируются все организационные мероприятия, реализуемые с целью защиты информации: » порядок контроля доступа в помещения;
» порядок работы с внешними носителями (выдача пользователям, хра­нение, утилизация) и др.
Заметим, что организационные меры должны рассматриваться в совокуп­ности с возможностями (требованиями) средств технической защиты и
соответствующим образом их дополнять.
При этом, в общем случае политика информационной безопасности дол­жна рассматривать задачу обеспечения информационной безопасности на
предприятии куда шире, чем представлено выше. Здесь рассматриваются задачи политики только в части регламентирования вопросов защиты ин­формации от НСД исследуемыми в работе средствами (ряд вопросов, в частности, защита от побочных электромагнитных излучений и т.д., нами
в работе оставлен без внимания).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика