ОИБ. основы информ. безопасности. Учебное пособие Томск

116
Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый – для 1Г, третий – 1В, второй
– 1Б, самый высокий – первый, применяемый для безопасного взаимодействия АС класса
1А с внешней средой
Требования, предъявляемые к МЭ, не исключают требований, не исключают требований, предъявляемых к СВТ и АС в соответствии с руководящими документами
Гостехкомиссии
России
«Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться. Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса. Для
АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
- при обработке информации с грифом «секретно» - не ниже 3 класса;
- при обработке информации с грифом «совершенно секретно» - не ниже 2 класса;
- при обработке информации с грифом «особой важности» - не ниже 1 класса.
Таким образом, фактически, обмен информацией, составляющей государственную тайну, между автоматизированными системами классов 1Д – 1А или при наличии такой системы только на одном конце, данным документом не предусмотрен.
Перечень показателей по классам защищенности МЭ
Таблица 6.3.
Показатели защищенности
Классы защищенности
5 4
3 2
1
Управление доступом (фильтрация данных и трансляция адресов)
+
+
+
+
=
Идентификация и аутентификация
-
-
+
=
+
Регистрация
-
+
+
+
=
Администрирование: идентификация и аутентификация
+
=
+
+
+
Администрирование: регистрация
+
+
+
=
=
Администрирование: простота использования
-
-
+
=
+
Целостность
+
=
+
+
+
Восстановление
+
=
=
+
=
Тестирование
+
+
+
+
+
Руководство администратора защиты
+
=
=
=
=
Тестовая документация
+
+
+
+
+
Конструкторская (проектная) документация
+
=
+
=
+
Обозначения:
« - » - нет требований к данному классу;
« + » - новые или дополнительные требования;
« = » - требования совпадают с требованиями к МЭ предыдущего класса

117
6.2. Административный уровень
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Административный уровень является основой практического построения интегрированной системы, определяющей генеральное направление работ по обеспечению безопасности информации (ОБИ).
Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по информационной защите АС.
Практические мероприятия по созданию системы ОБИ, включают следующие этапы:
- Разработка политики безопасности.
- Проведение анализа рисков.
- Планирование обеспечения информационной безопасности.
- Планирование действий в чрезвычайных ситуациях.
- Подбор механизмов и средств обеспечения информационной безопасности.
- Собственно первые два этапа обычно трактуются как выработка политики безопасности и составляют административный уровень системы ОБИ предприятия.
- Третий и четвертый этапы заключаются в разработке процедур безопасности, на этих этапах формируется уровень планирования системы ОБИ, этот уровень так же можно назвать процедурным.
На последнем этапе практических мероприятий определяется программно-
технический уровень системы ОБИ.
6.2.1. Политика безопасности
В «Оранжевой книге» политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности (ПБ) трактуется несколько шире
— как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.
Данный документ представляет методологическую основу практических мер
(процедур) по реализации ОБИ и содержит следующие группы сведений.
- Основные положения информационной безопасности.
- Область применения.
- Цели и задачи обеспечения информационной безопасности.
- Распределение ролей и ответственности.
- Общие обязанности.
Основные положения определяют важность ОБИ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
Областью применения политики безопасности являются основные активы и подсистемы АС, подлежащие защите. Типовыми активами являются программно- аппаратное и информационное обеспечение АС, персонал, в отдельных случаях информационная инфраструктура предприятия.
Цели, задачи, критерии ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится

118 соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем.
Для информационных хранилищ актуальным может быть обеспечение целостности данных и т.д. Здесь указываются законы и правила организации, которые следует учитывать при проведении работ по ОБИ.
Типовыми целями могут быть следующие:
- обеспечение уровня безопасности, соответствующего нормативным документам предприятия;
- следование экономической целесообразности в выборе защитных мер;
- обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;
- обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации и др.
Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.
В рассматриваемом документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности предприятия и сторонних организаций, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности:
- «выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!);
- «защититься и продолжить», когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению.
Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить так называемые политические вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями.
Для этого определяется круг лиц, имеющий доступ к подсистемам и сервисам
АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов — что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать какое из правил умолчания на использование ресурсов принято в организации, а именно:
- что явно не запрещено, то разрешено или
- что явно не разрешено, то запрещено.
Одним из самых уязвимых мест в ОБИ является распределение прав доступа. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам — централизованная или децентрализованная, или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. Целесообразно детально описать практические процедуры наделения пользователей правами. Здесь следует указать должностных лиц, имеющих административные привилегии и пароли для определенных сервисов.
Права и обязанности пользователей определяются применительно к безопасному использованию подсистем и сервисов АС. При определении прав и обязанностей администраторов следует стремиться к некоторому балансу между правом пользователей на тайну и обязанностью администратора контролировать нарушения безопасности.

119
Важным элементом политики является распределение ответственности. Политика не может предусмотреть всего, однако она должна для каждого вида проблем найти ответственного.
Обычно выделяется несколько уровней ответственности. На первом уровне каждый пользователь обязан работать в соответствии с политикой безопасности
(защищать свой счет), подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Системные администраторы отвечают за защиту соответствующих информационно-вычислительных подсистем.
Администраторы сетей должны обеспечивать реализацию организационно-технических мер, необходимых для проведения в жизнь политики безопасности АС. Более высокий уровень - руководители подразделений отвечают за доведение и контроль положений политики безопасности.
С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней (как правило, выделяют два-три уровня).
Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное вниманию уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности; стратегическому планированию и контролю; внешним взаимодействиям и другим вопросам, имеющим общеорганизационный характер.
На указанном уровне формулируются главные цели в области информационной безопасности (определяемые сферой деятельности предприятия): обеспечение конфиденциальности, целостности и/или доступности [2].Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.
Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры АС организации, например, обрабатывающие секретную или критично важную информацию.
Т.е. к среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения (ПО), последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.
Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности.
Позиция организации по данному аспекту. Продолжая пример с неофициальным
ПО, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте.
Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики

120 безопасности. Например, если для использования неофициального ПО сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное ПО использовать нельзя, следует знать, кто следит за выполнением данного правила.
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности АС, администратор корпоративной сети.
Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности.
Данный уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне.
Понятно, что на данном уровне определяются конкретные цели, частные критерии и показатели информационной безопасности, определяются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т.п. Здесь из конкретных целей выводятся (обычно формальные) правила безопасности, описывающие, кто, что и при каких условиях может делать или не может. Более детальные и формальные правила упростят внедрения системы и настройку средств ОБИ.
На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации (в рамках, конечно, управленческого уровня, но не технического).
За политику безопасности нижнего уровня отвечают системные администраторы.
Британский стандарт
BS
7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
- вводный раздел, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
- организационный раздел, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
- классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
- раздел, освещающий вопросы физической защиты; управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
- раздел, описывающий правила разграничения доступа к производственной информации;
- раздел, характеризующий порядок разработки и сопровождения систем;
- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
- юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
В рамках разработки политики безопасности проводится анализ рисков. Это делается с целью минимизации затрат на ОБИ. Основной принцип безопасности: затраты

121 на средства защиты не должны превышать стоимости защищаемых объектов. При этом если ПБ оформляется в виде высокоуровневого документа, описывающего общую стратегию, то анализ рисков (как приложение) оформляется в виде списка активов, нуждающихся в защите.
6.2.2. Анализ рисков
Управление рисками (или их анализ) рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Управление рисками и выработка собственной ПБ, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество бумаг, во втором достаточно определиться лишь с несколькими параметрами.
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).
Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
- оценка рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
- ликвидация риска;
- уменьшение риска (за счет использования дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих условиях);
- переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на несколько этапов, рисунок 6.2.

122
Выбор анализируемых объектов и степени детализации
Выбор методологии оценки рисков
Идентификация активов
Анализ угроз и уязвимости защиты
Оценка рисков
Выбор защитных мер
Реализация и проверка выбранных мер
Оценка остаточного риска
Рис. 6.2. Алгоритм анализа рисков
Два последних этапа (реализация и проверка выбранных мер, оценка остаточного риска) относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков. Уже перечисление этапов показывает, что управление рисками – процесс циклический. По существу, последний этап – это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.