О журнале
Рекомендации
Методика реорганизации корпоративной системы информационной безопасности
Петренко С.А.
С.А. Петренко
Рассмотрим, какие цели преследует любая система обеспечения информационной безопасности организации, какие задачи обеспечения информационной безопасности необходимо решить и какие основные направления политики безопасности должны быть реализованы.
Главной целью любой системы обеспечения информационной безопасности является обеспечение устойчивого функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной торговой и производственной деятельности всех подразделений предприятия. Еще одной целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Для достижения названных целей необходимо решить следующие основные задачи:
- отнесение информации к категории ограниченного доступа (служебной или коммерческой тайне);
- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению их нормального функционирования и развития;
- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявление негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.
При выполнении практических работ по реорганизации системы безопасности может быть принята следующая модель построения системы информационной безопасности, основанная на адаптации "Общих критериев" ISO 15408 (ОК) и проведении анализа информационных рисков (рис.1).
Рис. 2. Алгоритм оценивания рисков.
Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология — методы защиты — критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью" и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.
Представленная модель – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Здесь рассматриваются следующие объективные факторы:
- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
- риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной безопасности организации предлагается первоначально провести анализ информационных рисков. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Основные элементы предлагаемой методики
Теперь рассмотрим основные этапы предлагаемой методики реорганизации корпоративной системы обеспечения информационной безопасности.
Определение границ исследования
В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.
Построение модели информационной технологии
При построении названной модели должны быть учтены все функциональные взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.
Эта модель, в соответствие с предлагаемой методикой, может быть построена следующим образом: для выделенных ресурсов определяется их ценность как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
Выбор контрмер
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты. Управление рисками
Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Оценка достигаемой защищенности
В завершение работ можно будет определить меру гарантии безопасности информационной среды предприятия, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. При этом адекватность оценки основывается на:
- вовлечении в процесс оценки большего числа элементов информационной среды предприятия;
- глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;
- строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Методология анализа информационных рисков организации
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления информационной безопасностью (ИБ).
Процесс оценивания рисков может содержать следующие этапы (рис. 2):
- описание объекта и мер защиты;
- идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);
- анализ угроз информационной безопасности;
- оценивание уязвимостей;
- оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
- оценивание рисков.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация и зависит от:
- показателей ценности ресурсов;
- вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);
- степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);
- существующих или планируемых средств обеспечения ИБ.
Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.
Проектирование системы обеспечения информационной безопасности организации
Проектирование системы обеспечения информационной безопасности предприятия может развиваться по следующему сценарию.
Построение профиля защиты
На этом этапе разрабатывается план проектирования системы защиты информационной среды предприятия. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты. Необходимым элементом работы является утверждение допустимого риска объекта защиты.
Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий.
Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.
Формирование организационной политики безопасности
Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.
Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.
Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности и наоборот. Шагами построения организационной политики безопасности являются:
- внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
- определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается на предприятии.
Условия безопасного использования ИТ
Предполагается, что система обеспечения безопасности предприятия, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.
Выделяются следующие виды условий безопасного использования ИТ:
- физические условия;
- условия для персонала;
- условия соединений.
Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.
Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.
Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.
Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается на предприятии.
Формулирование целей безопасности объекта
В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности предприятия, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).
Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.
Определение функциональных требований безопасности
Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.
На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.
Требования гарантии достигаемой защищенности
Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.
Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями "базовая", "средняя", "высокая".
Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.
Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.
Формирование перечня требований
Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
В общем виде разработка ТД включает:
- уточнение функций защиты;
- выбор архитектурных принципов построения СИБ;
- разработку логической структуры СИБ (четкое описание интерфейсов);
- уточнение требований функций обеспечения гарантоспособности СИБ;
- разработку методики и программы испытаний на соответствие сформулированным требованиям.
Оценка достигаемой защищенности
На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.
Базовые положения методики должны предполагать, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:
- значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
- расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
- строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Заключение
Разработанная методика реорганизации корпоративной системы обеспечения информационной безопасности была апробирована на ряде реальных объектов информатизации заказчиков и позволила:
- полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности;
- избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
- оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
- обеспечить проведение работ в сжатые сроки;
- представить обоснование для выбора мер противодействия;
- оценить эффективность контрмер, сравнить различные варианты контрмер и выбрать оптимальный вариант по соотношению стоимость/качество.
Петренко Сергей Анатольевич - ведущий сотрудник ООО "Конфидент", г. Санкт-Петербург, кандидат технических наук.
© Информационное общество, 2002, вып. 1, сc. 29-33.