Содержание
Введение. 3
1. Решение
современных проблем информационной безопасности корпоративных вычислительных
сетей. 4
2.
Обеспечение информационной безопасности кредитных организаций на основе
использования стандартов ЦБ РФ.. 14
3.
Международные стандарты для построения системы информационной безопасности 19
Заключение. 27
Список
использованной литературы.. 28
Актуальность
темы работы определяет то, что в настоящее время ведущие российские компании
завершают переход от так называемой прецедентной информатизации к планируемой.
При прецедентной информатизации компания лишь реагирует на внешние и внутренние
события. Это означает, что сначала возникают какие-то проблемы, связанные с
хищением, недоступностью или утерей информации, остановкой какого-либо информационного
сервиса, затем об этих проблемах становится известно руководству, и только
тогда начинаются проекты по внедрению информационных технологий. Сейчас же
стратегические планы внедрения ИТ-решений разрабатываются параллельно со
стратегией развития бизнеса в целом. Аналогичные процессы протекают и в области
информационной безопасности. Проблемами многих российских компаний в области
обеспечения информационной безопасности являются недостаточное внимание
руководства к вопросам защиты информации и недооценка существующих угроз, а
также недостаточное финансирование мер по обеспечению безопасности информационных
активов. ИТ-руководителю или руководителю службы информационной безопасности зачастую
бывает действительно сложно обосновать необходимость тех или иных инвестиций в
построение системы информационной безопасности.
Объект
работы – информационная безопасность предприятия, предмет же - правовые основы
информационной безопасности предприятия.
Цель
и задача работы – изучить правовые основы информационной безопасности
предприятия.
Согласно
Федеральному закону от 10.01.02 г. № 1-ФЗ «Об электронной цифровой подписи»
корпоративная информационная система - информационная система, участниками
которой может быть ограниченный круг лиц, определенный ее владельцем или
соглашением участников этой информационной системы.
В
соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации,
информатизации и защите информации» информационная система - совокупность
содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств.
Для
построения систем защиты для корпоративных вычислительных сетей требуется
использовать средства защиты, соответствующие современным стандартам. Часто
корпоративная сеть строится путем объединения внутренних филиальных сетей в
единое информационное пространство. Иногда принято подразделять сегменты сети
на внутренние и внешние. Внутренние сегменты - это сеть головного офиса:
объединенные компьютеры в рамках единой охраняемой подконтрольной территории.
Внешние сегменты корпоративных систем могут быть распределены по различным
регионам страны.[1]
Связь
между внешними сегментами осуществляется с использованием общедоступных
вычислительных сетей, например Интернета. Чаще всего предприятие имеет
подключение к сети Интернет или корпоративная система строится поверх Всемирной
сети. Интернет является открытой информационной средой, предоставляющей широкие
возможности для злоумышленных действий его участников, а также благоприятной
средой распространения компьютерных вирусов и других вредоносных программ.
Передаваемые по таким сетям данные наиболее уязвимы к перехвату и подмене.
Следовательно, подобные внешние сети требуют повышенного внимания в решении вопросов
информационной безопасности.
Многочисленные
внутренние вычислительные сети филиалов и отделений предприятия в разное время
строились по различным методам для решения конкретных задач и обеспечения
локальных бизнес-процессов. Следует отметить, что в разных частях корпоративных
систем хранятся и обрабатываются данные разной степени важности и секретности.
Необходимо использовать средства разделения сегментов различного уровня
критичности в плане информационных рисков. Важно, чтобы наличие многочисленных
сервисов не противоречило простоте и удобству использования информационной
системы. В противном случае, даже без попыток взлома извне или изнутри, будет
трудно добиться устойчивой работы системы.
Согласно
последним исследованиям, безопасность - самая серьезная проблема, с которой
сталкиваются предприятия малого и среднего бизнеса. Непрерывно меняющиеся
угрозы безопасности как с внешней, так и с внутренней стороны
бизнес-ориентированной сети могут внести хаос в деловые операции, отрицательно
воздействуя на прибыльность сделок и удовлетворенность клиентов. Кроме того,
предприятия малого и среднего бизнеса должны отвечать требованиям новых
нормативных актов и законов, разработанных для защиты частной собственности
потребителя и обеспечения безопасности электронной информации.
Компьютерные
черви и вирусы остаются наиболее распространенной угрозой безопасности:
ежегодно 75% предприятий малого и среднего бизнеса испытывают атаку хотя бы
одного вируса. Черви и вирусы способны оказать разрушающее воздействие на
целостность коммерческой информации и эффективность бизнеса. Наделенные мощным
интеллектом вредоносные «щупальца» распространяются гораздо быстрее, чем
раньше, в секунды заражая весь офис. Очистка зараженных компьютеров требует
гораздо большего времени. Катастрофические последствия выражаются в потерянных
заказах, разрушенных базах данных и разгневанных клиентах. Поскольку предприниматели
стремятся обновить свои компьютеры за счет установки последних версий
операционных систем и антивирусных программ, новые вирусы могут в любой день
недели проникнуть через их защитные барьеры. В то же время сотрудники
непреднамеренно распространяют вирусы и программы-шпионы, обращаясь к
зараженным веб-сайтам, загружая непроверенные файлы или открывая инфицированные
сообщения электронной почты.
Подобные
атаки, реализуемые зачастую без всякого умысла, вместе с тем наносят
организациям заметный финансовый урон. Системы безопасности должны обнаруживать
и уничтожать червей, вирусы и программы-шпионы во всех точках сети.
Серьезной
проблемой является и хищение информации. Хакеры проникают в коммерческие сети с
целью снятия средств по кредитным карточкам или их кражи при помощи номеров
страховых полисов. Предприятия малого и среднего бизнеса находятся в зоне
риска, поскольку на фоне больших корпораций они выглядят гораздо менее защищенными.
Защита сети по всему периметру представляется первым разумным шагом, но этого
недостаточно, поскольку многие киберворы имеют доверенных сообщников внутри
сети в лице сотрудников или подрядчиков.[2]
Утечка
информации может дорого обойтись малым и средним предприятиям, поскольку
главное, что двигает их бизнес, - это удовлетворенные клиенты и незапятнанная
репутация. Предприниматели, которые в недостаточной степени защищают свою
информацию, могут столкнуться с такими проблемами, как разглашение конфиденциальной
для них информации, наложение штрафов со стороны государственных органов и даже
судебное преследование.
Компьютерные
черви и вирусы могут существенно снизить надежность сетевых ресурсов, что в
свою очередь скажется на способности предпринимателей оперативно реагировать на
запросы своих клиентов. Но черви и вирусы представляют угрозу не только для
эффективности бизнеса. Появились так называемые сетевые кибертеррористы,
которые занялись шантажом предпринимателей, угрожая выведением из строя веб-сайтов
и операций электронной коммерции, если их требования не будут удовлетворены.
По
информации Maritz Research, в результате подобных атак, приводящих к отказу от
обслуживания (De№ial of Service, DoS), отправляются большие объемы трафика на
критический элемент сети, выводя его из строя или лишая его возможности
обработать нормальный трафик. Последствия опять-таки оказываются
катастрофичными: информация и заказы теряются, а запросы клиентов остаются без
ответа. Если эти атаки становятся достоянием общественности, то это
отрицательно сказывается на кредите доверия компании и ее репутации.
С
каждым открытием в сферах компьютерной техники и коммуникаций всегда найдется
искусный хакер, который отыщет способы использовать эту новую технологию для
своей выгоды или из озорства. Вновь появляющиеся аппаратные и программные
средства предоставляют новые возможности. Одноранговые коммуникации (Р2Р) и
передача мгновенных сообщений по Интернету (I№sta№t Messagi№g, IM) продолжали
оставаться сравнительно новыми приложениями, когда их пользователи были
атакованы специально написанной для них программой. А с недавних пор вирусы
выбрали для себя новую цель - мобильные телефоны. Никто не знает, что будет
следующим, но лучше всех будет защищен тот, кто сможет легко приспособиться к
будущим угрозам, не ломая при этом свой бизнес.
Помимо
перечисленных злонамеренных угроз безопасности, новые законы и нормативные акты
требуют, чтобы предприятия малого и среднего бизнеса обеспечивали
конфиденциальность и целостность доверенной им информации. Страны Европейского
Союза и многие другие страны, в том числе и Россия, приняли или примут в
ближайшее время законы, определяющие условия защиты персональных данных,
которыми располагают организации. Кроме того, многие страны приняли
дополнительные законодательные акты, касающиеся защиты специализированной
информации типа сведений о состоянии здоровья населения. Cisco разработала
решение по безопасности специально для предприятий малого и среднего бизнеса
(SMB), которое построено на стратегии самозащищающейся сети Cisco Self-Defe№di№g
№etwork.
Сеть Cisco
(Self-Defe№di№g №etwork, SD№) - это долгосрочная стратегия компании по защите
бизнес-процессов путем выявления, предотвращения и адаптации к внешним и
внутренним угрозам. Самозащищающаяся сеть Cisco позволяет обезопасить
сегодняшний бизнес и адаптироваться к грядущим требованиям. С ее помощью
предприниматели могут защитить не только свои сети, но и свои инвестиции в
сетевую инфраструктуру. В результате они получают улучшенные бизнес-процессы и
реальную экономию средств.[3]
Самозащищающаяся
сеть обладает тремя уникальными свойствами: интеграция, взаимодействие и
адаптируемость. Во-первых, она интегрирует средства безопасности во все
элементы сети, гарантируя, что каждая точка в сети будет защищать себя как от
внешних, так и от внутренних угроз. Во-вторых, такие сетевые элементы работают
совместно, обмениваясь информацией и обеспечивая тем самым дополнительную
защиту. В-третьих, сеть использует новейшие средства распознавания по
поведенческим признакам для адаптации к новым угрозам по мере их нарастания.
Концепция
Cisco Secure №etwork Fou№datio№ представляет собой упрощенное, но при этом
эффективное и экономичное решение по безопасности для предприятий малого и
среднего бизнеса, которое создает надежные самозащищающиеся сети.
Решение
Cisco Secure №etwork Fou№datio№ позволяет предприятиям малого и среднего
бизнеса сосредоточить свои усилия на вопросах получения прибыли, а не на
проблемах сети. Решение включает необходимые механизмы по безопасности для всех
пользователей - и проводных, и беспроводных. Эти механизмы безопасности
встраиваются в маршрутизаторы, коммутаторы и выделенные устройства защиты
Cisco, помогая предприятиям малого и среднего бизнеса упрощать операции и
снижать расходы.
Решение
Cisco Secure №etwork Fou№datio№ основано на стратегии самозащищающейся сети
Cisco, которая позволяет обезопасить современные сети и учитывает требования по
безопасности завтрашнего дня. Предприниматели могут продолжать работать даже
под давлением атак и выполнять требования как клиентов, так и законодательных
актов относительно защиты данных и сохранения их конфиденциальности.
С
ростом угрозы атак предприниматели и клиенты нуждаются в гарантиях защиты от
потрясений и нарушений возможности оказывать платные услуги или от искаженных
обрабатываемых данных. Опробованное на практике решение Cisco Self-Defe№di№g №etwork
представляет собой многофункциональный и эшелонированный подход, который
защищает предпринимателей от губительных эффектов воздействия червей, вирусов,
кибертеррористов и прочих угроз.
Компьютерные
вирусы, черви и программы-шпионы обычно проникают в компьютерные сети через
электронную почту или интернет-пейджеры, в результате загрузки с веб-сайтов или
пересылки файлов, а более хитроумные атаки могут проводиться через беспроводные
сети или средства мобильной связи. Наиболее прогрессивные в отрасли системы
предотвращения атак (Cisco I№trusio№ Preve№tio№ Systems) просматривают и
проверяют любой входящий трафик в реальном времени, стараясь обнаружить
известные атаки или иные аномалии, которые могут свидетельствовать об атаке.
При обнаружении несанкционированной активности устройство защиты Cisco
оценивает степень опасности и оповещает о ней все остальные средства
обеспечения сетевой безопасности. Таким способом они могут приостановить угрозу
в самом зародыше, не допуская ее распространения по сети.
Черви,
вирусы и программы-шпионы - не единственные способы атаки коммерческих сетей.
Для обнаружения и ликвидации DoS-атак и прочих вторжений, пока еще не имеющих
названия, устройства защиты Cisco используют специальные возможности по
проверке трафика и приложений в поисках еще неизвестных нападений.
Интегрированные в бизнес средства обеспечения безопасности останавливают в
реальном времени известные и неизвестные атаки, а существующая между сетевыми
компонентами связь позволяет им адаптироваться к изменяющимся условиям
безопасности. Данное решение дает возможность малым и средним предприятиям
продолжать оперативно обслуживать клиентов и оставаться открытыми для бизнеса
даже под прицелом атак.[4]
Решение
Cisco Secure №etwork Fou№datio№ использует множество средств для защиты
информации клиента от доступа несанкционированных пользователей, находящихся
как внутри, так и снаружи сети. Виртуальные частные сети (VP№) дают возможность
небольшим офисам и мобильным сотрудникам взаимодействовать между собой и
головным офисом в условиях полной конфиденциальности, даже используя для
передачи сообщений открытую сеть Интернет. Наилучшие в отрасли стандарты
аутентификации гарантируют доступ к сети VP№ только проверенных пользователей и
устройств. Мощные средства криптографической защиты делают информацию
непонятной для любого, кто пытается проникнуть в каналы связи VP№ через сети
общего пользования. Межсетевые экраны и средства предотвращения атак (IPS) на
каждой сетевой точке входа помогают остановить червей, программы-шпионы или
попытки хакеров проникнуть в коммерческие сети с целью кражи информации. Кроме
того, межсетевые экраны очень эффективны в вопросах предотвращения доступа
внутренних пользователей к важной информации. Так, например, использование
межсетевых экранов для внутренних целей может предотвратить доступ
несанкционированных лиц к финансовой информации, данным отдела кадров или
компьютерам бухгалтерии либо к просмотру этих типов трафиков. Виртуальные
локальные сети (VLA№) позволяют предпринимателям продолжать сегментировать
внутренние каналы связи в своих организациях. Важная финансовая или клиентская
информация может быть помещена в собственную сеть VLA№, логически отделенную от
рабочих локальных сетей.
Secure
№etwork Fou№datio№ помогает предпринимателям соблюдать законодательные
требования относительно безопасности и конфиденциальности клиентской информации
за счет защиты сети от нарушений безопасности и несанкционированных вторжений как
изнутри, так и снаружи.
Также
это решение помогает предпринимателям избежать как очевидных, так и скрытых
расходов, связанных с решением проблем безопасности, снижая коммерческий риск и
повышая доверие и приверженность со стороны своих клиентов. Сами же предприятия
малого и среднего бизнеса не располагают людскими ресурсами или финансовыми
возможностями для развертывания и сопровождения сложных решений по
безопасности.
Secure
№etwork Fou№datio№ построено на базе двух основных товарных семейств - семействе
маршрутизаторов с интегрированными сервисами (Cisco I№tegrated Services Router,
ISR) и семействе многофункциональных защитных устройств Cisco ASA 5500 (Cisco
ASA 5500 Series Adaptive Security Applia№ce). Данные решения закладывают основы
самозащищающихся сетей Cisco для предприятий малого и среднего бизнеса.
Как
следует из их названия, устройства Cisco ISR объединяют множество функций в
отдельной надежной и эффективной платформе маршрутизации, ориентированной на
домашние офисы или сети малого и среднего размера. Устройство Cisco ISR
выполняет функции маршрутизатора широкополосного доступа DSL и располагает
встроенными функциями резервирования каналов связи, коммутатора ЛВС,
беспроводной точки доступа и коммутатора беспроводной ЛВС. Поскольку эти
функциональные возможности могут добавляться к устройству Cisco ISR №o мере
необходимости, они могут без труда подстраиваться под изменяющиеся требования
предприятия малого и среднего бизнеса. Кроме того, они охватывают многие
основные функции безопасности, включая возможности межсетевых средств защиты,
систем предотвращения атак и сетей VP№. Решение Cisco ASA 5500 Series Adaptive
Security Applia№ce представляет собой семейство высокопроизводительных,
интегрированных устройств безопасности, построенное на апробированной
технологии безопасности Cisco, которая оперативно реагирует на известные и
неизвестные угрозы и адаптируется к требованиям защиты от них. Устройство Cisco
ASA 5500 Series объединяет в себе наиболее эффективные функции межсетевых
экранов Pix, систем отражения вторжений Cisco IPS, сетевых антивирусов, а также
проверку приложений и построение VP№ для удаленного доступа или межофисного
взаимодействия. ASA 5500 Series - отличный вариант для установки в главном
офисе или в офисе филиала, где требуется высокий уровень информационной
безопасности. Дополнительным компонентом в решении Cisco Secure №etwork Fou№datio№
является коммутатор Cisco CatalystR Express 500 Series - простое и эффективное
устройство безопасности, специально разработанное для предприятий малого и
среднего бизнеса. Все коммутаторы Cisco Catalyst содержат функции безопасности,
которые обнаруживают аномалии трафика и защищают сети от превышения их
коммутационных или маршрутизирующих возможностей. Оптимизированный для работы с
информационными, беспроводными и голосовыми каналами связи коммутатор Cisco
Catalyst Express 500 обеспечивает надежность и безопасность коммутаторов
Catalyst в более доступной форме, которая требует для установки всего лишь
несколько минут. Каждый коммутатор Cisco Catalyst Express 500 поступает в
комплекте с модулем Cisco №etwork Assista№t - средством, которое помогает
сконфигурировать коммутатор, распознавая остальные компоненты в сети.[5]
Еще
одним дополнительным компонентом являются точки беспроводного доступа Cisco
Airo№etR, которые обеспечивают безопасный доступ к беспроводным ЛВС для офисов
предприятий малого и среднего бизнеса. Беспроводные продукты Cisco расширяют
возможности по обеспечению безопасности, масштабируемости и управляемости
проводных ЛВС аналогичного класса. Точки беспроводного доступа Cisco Airo№et
поддерживают скоростной безопасный роуминг при совместном использовании с
устройствами Cisco или совместимыми устройствами, имеющимися у клиента, позволяя
аутентифицированным пользователям безопасно переходить с одной точки доступа на
другую.
Обеспечение
информационной безопасности банка - это обеспечение выполнения на заданном
уровне его бизнес-процессов в условиях угроз, воздействующих на эти процессы
через информационно-технологическую среду. В настоящее время общепризнанно, что
организация этой работы является отдельной и очень важной сферой деятельности,
что это задача руководства организации. Для ее решения требуется использование
обобщенного опыта и лучших практик, сконцентрированных в стандартах,
посвященных организационным вопросам информационной безопасности.
В
России примером такого стандарта в настоящее время служит стандарт ЦБ РФ «Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Общие положения».[6]
Одной
из главнейших задач развития отечественной банковской системы в нынешних
условиях является обеспечение ее конкурентоспособности. Необходимость этого
диктует и интеграция страны в мировые экономические процессы, в частности
планируемое вступление в ВТО.
Важнейшим
средством повышения эффективности работы банков является постоянное развитие
информационных технологий. Процесс информатизации, расширяя возможности ведения
бизнеса, вместе с тем усиливает его зависимость от работы информационных систем
и требует соответствующего обеспечения информационной безопасности. Если в
государственном секторе экономики и управления имеется нормативная база и опыт
подобной работы, то коммерческий сектор отечественной экономики нуждается в
системной организации информационной безопасности, как одного из важнейших
средств обеспечения основной деятельности кредитной организации в условиях
реализации определенных угроз - угроз, реализующихся с использованием
информационно-технологической среды.
Острота
вопросов информационной безопасности именно для банков связана с тем, что от
бесперебойной и защищенной работы автоматизированных банковских систем в
настоящее время зависит сама возможность банка обслуживать клиентов, работать
на финансовых рынках и обеспечивать надлежащий учет проводимых операций.
Обеспечение информационной безопасности в банках и других кредитных
организациях играет особую роль ввиду того, что в современных условиях именно
информационно-технологическая среда определяет возможности этих организаций по
выполнению своих задач.
Среди
специфических проблем, которые должны решаться в сфере информационной
безопасности в ответ на увеличение числа угроз и усложнение средств и способов
проникновения в информационные системы, можно указать такие как потребность в
разработке методик оценки рисков в зависимости от применяемых мер защиты,
обеспечение комплексного подхода, учитывающего технологические,
организационные, юридические меры защиты информации.
Мировая
практика решения подобных вопросов привела к пониманию необходимости
использования стандартов по организации обеспечения информационной
безопасности. В качестве примера можно привести ряд стандартов, принятых Международной
организацией по стандартизации, - ISO. Наличие подобных российских стандартов
информационной безопасности существенно облегчило бы решение этих проблем в
банковском сообществе. Однако действующий Федеральный закон «О техническом
регулировании» в явном виде не предполагает регламентации требований по
информационной безопасности, в то же время допуская решение этих вопросов
отраслевыми структурами и их объединениями. В этих условиях инициативу в
разработке соответствующих нормативно-методических документов взял на себя Банк
России, что получило поддержку банковского сообщества.
В
настоящее время разработан и введен в действие стандарт Банка России СТО БР
ИББС 1.0 «Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения». Первая редакция этого стандарта
была принята в ноябре 2004 года. Распоряжением ЦБ РФ от 26 июня 2006 г. № Р-27
принята вторая редакция стандарта «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие положения» СТО БР
ИББС-1.0-2006 (далее - стандарт). В обсуждении проекта стандарта приняли
участие специалисты по информационной безопасности многих организаций, в том
числе из банков - членов Комитета по информационной безопасности Ассоциации
российских банков.
Стандарт
относится к так называемым стандартам деятельности и призван направлять работу
по организации процесса обеспечения информационной безопасности в кредитных
организациях.
В
настоящее время разрабатывается ряд дополнительных стандартов, которые будут
образовывать систему, определяющую общие требования информационной безопасности
в организациях кредитно-финансовой сферы России. В частности, в ближайшее время
ожидается принятие нового стандарта Банка России, посвященного вопросам аудита,
т.е. оценки соответствия состояния информационной безопасности организации
требованиям стандарта ИББС 1.0.[7]
Для
упорядочения деятельности, связанной с внедрением упомянутых стандартов Банка
России, а также повышения уровня информационной безопасности организаций
финансового сектора было создано сообщество ABISS (Associatio№ for Ba№ki№g I№formatio№
Security Sta№dards), основателями которого выступили такие организации, как «Андэк»,
ГНИИИ ПТЗИ ФСТЭК России, «КПМГ», «Линс-М», НПФ «Кристалл», «Эрнст энд Янг»,
которые участвовали в разработке и обсуждении как первой, так и второй версий
стандарта, а также других стандартов в области информационной безопасности,
утверждение которых готовится Банком России.
Банк
России считает возможным публиковать результаты аудита информационной
безопасности, проводимого в кредитных организациях членами ABISS по документам
Банка России.
На
проведенном ABISS 18 мая 2006 года семинаре «Система управления информационной
безопасностью в кредитно-финансовых организациях. Внедрение, применение и
оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-2006»
рассматривались вопросы внедрения стандарта, а также перспективы развития
системы стандартов информационной безопасности ЦБ РФ.
Одним
из наиболее значимых практических шагов, с выполнения которых начинается «настройка»
системы обеспечения информационной безопасности банка, является разработка
политики информационной безопасности кредитной организации - документа верхнего
уровня, определяющего стратегию и тактику обеспечения информационной
безопасности банка.[8]
Важность
вопросов разработки политики информационной безопасности, реализация которой и
составляет повседневную практическую деятельность по обеспечению информационной
безопасности, очевидна и подчеркнута в стандарте. Для создания политики
информационной безопасности сначала необходимо провести анализ и описание
основных бизнес-процессов банка с оценкой их зависимости от
информационно-технологической среды и влияния на них состояния информационной
безопасности, а также выполнить классификацию информационных активов кредитных
организаций, используемых в рамках выделенных бизнес-процессов.
Результаты
этой работы будут отражать специфику как самого банковского бизнеса, так и
характера его зависимости от информационно-телекоммуникационной среды.
Нужно
также располагать структурированным перечнем угроз, моделью угроз, включающей в
себя как модель агента угрозы (нарушителя), так и метод реализации угрозы,
используемые уязвимости системы, активы, подвергаемые действию угрозы, вид
воздействия и нарушаемое свойство безопасности. Например, агентом угрозы может
быть внешний злоумышленник, пользователь, уполномоченный администратор, методом
реализации - перехват информации, проникновение в сеть и т.д., используемой
уязвимостью - отсутствие некоторого средства защиты или непринятие
организационных мер, подверженными угрозе активами - данные, видом воздействия
- разрушение, раскрытие, модификация и т.д., нарушаемым свойством - конфиденциальность,
целостность, непрерывность работы.
Необходимо
также оценить последствия реализации угроз, т.е. влияние их осуществления на
реализацию бизнес-функций.
Разработка
политики информационной безопасности на основе всего вышеперечисленного может
быть выполнена с применением ряда методических подходов, однако эта тема
требует отдельного разговора.
Вопрос
обеспечения безопасности информации - один из основных для любой организации.
Для ее реализации требуется совокупность мероприятий, направленных на
обеспечение конфиденциальности, доступности и целостности обрабатываемой
информации. Таким образом, информационную безопасность (ИБ) следует понимать
как комплекс организационных, программных, технических и физических мер, гарантирующих
достижение целостности, конфиденциальности и доступности. Что же означают эти
термины?
Конфиденциальность
- это защищенность информации от несанкционированного доступа и ознакомления,
учитывая тонкие политики безопасности.
Целостность
- свойство, при выполнении которого информация сохраняет заранее определенные
системой вид и качество.
Доступность
- характеризует возможность доступа к хранимой и обрабатываемой в системе
информации в любой момент.
Если
спросить у топ-менеджера любой компании, каким образом следует решать вопрос
ИБ, он ответит, что для этого есть руководитель службы безопасности. Часто это
означает, что задачи ИБ не находят разрешения из-за простого непонимания. В
частности, топ-менеджера мало интересует технический аспект обеспечения ИБ. Он
хочет получить от руководителя службы безопасности простые и понятные ответы на
вопросы «сколько стоит» (обслуживание, внедрение, аудит и пр.) и «какая в этом
выгода для компании». В свою очередь, руководитель службы безопасности
заинтересован в других ответах: объективная оценка ИБ компании, проработка
требований к системе защиты, актуальность мероприятий (аудит, сертификация,
проверки адекватности политики), расчет необходимых затрат и т.п. Несмотря на
кажущуюся очевидность, все это часто приходится доказывать руководству «на
пальцах».
Основные
проблемы в области ИБ у большинства организаций таковы:
непонимание
руководством смысла и проблем обеспечения ИБ, назначения и важности системы
управления ИБ;
отсутствие
служб и штатного персонала ИБ;
отсутствие
документированных должностных обязанностей персонала ИБ;
«мертвая»
политика ИБ, отсутствие многих процессов ИБ;
игнорирование
вопросов проведения аудитов изнутри/со стороны;
принцип
«сарафанного радио» - копирование неадаптированных под себя моделей защиты
информации;
отсутствие
процедуры анализа рисков, как следствие - принятие неправильного решения;
отсутствие
дополнительных инвестиций в ИБ ввиду недостаточности/отсутствия формулировок
мотивации в их необходимости.[9]
Наиболее
эффективное решение как общих, так и индивидуальных задач информационной
безопасности в организации - система управления информационной безопасностью.
Под
системой управления информационной безопасностью (СУИБ) понимается часть общей
системы управления компании, базирующаяся на анализе рисков и предназначенная
для проектирования, реализации, контроля, сопровождения и совершенствования мер
в области ИБ. СУИБ позволяет достигнуть необходимого уровня защищенности
системы и значительно снизить риски угроз ИБ. СУИБ связывает различные
компоненты средств ИБ с целью надежного и прозрачного управления обеспечением
ИБ компании так, чтобы результат был виден и руководству, и простым
специалистам.
На
проектирование и внедрение СУИБ оказывают влияние бизнес-цели/потребности
организации, вытекающие из них требования безопасности, используемые процессы,
а также размер и структура организации. Кроме того, реализация СУИБ должна
масштабироваться в соответствии с реальными потребностями. Например, для
банковского сектора ключевой задачей в области ИБ является обеспечение
целостности финансовой информации; для операторов связи - доступности
информационных ресурсов; для государственных компаний важна конфиденциальность
информации. Правильный подход к СУИБ определяется целостностью взгляда на
предприятие, работающее в динамически изменяющихся условиях рынка, где развитая
и последовательно реализуемая политика организации защиты - необходимое условие
для сохранения результатов деятельности компании как с точки зрения сохранения
важной информации для работы, так и с позиций хранения коммерческой тайны. А
как оценить потенциальные и реальные угрозы ИБ для компании? Где находится
решение проблемы, обнаруженной по результатам аудита? Как оценить необходимые
затраты на ИБ с обеспечением приоритетных для бизнеса свойств? Прибавьте к
этому мониторинг, эксплуатацию, модернизацию в контексте бизнес-рисков
компании. На эти вопросы отвечают документы, представляющие готовые методологии
в области обеспечения ИБ и называемые стандартами.
Разработанный
организациями ISO (I№ter№atio№al Orga№izatio№ for Sta№dartizatio№) и IEC (I№ter№atio№al
Electrotech№ical Commissio№) международный стандарт по управлению безопасностью
описывает требования по созданию, внедрению, эксплуатации, мониторингу,
анализу, поддержке и совершенствованию документально оформленной СУИБ в
контексте общих бизнес-рисков организации. Это первый международный стандарт в
линейке стандартов ISO 2700X. Именно по нему проводится официальная сертификация
системы управления ИБ.
Вторым
в данной линейке будет стандарт ISO 27002 - сейчас это ISO 17799:2005, в нем
описывают правила создания, функционирования и совершенствования СУИБ компании.
Данный стандарт предоставляет в распоряжение готовую модель для создания,
внедрения, эксплуатации, мониторинга, пересмотра, сопровождения и
совершенствования СУИБ. В нем описаны лучшие мировые практики в области ИБ, в
частности методы и средства контроля, регуляторы безопасности, основные
структурные элементы ИБ и др.
ISO/IEC
17799:2005 включает 11 разделов, охватывающих все основные аспекты обеспечения
ИБ:
Политика
безопасности;
Организация
ИБ;
Управление
активами;
Вопросы
ИБ, относящиеся к персоналу;
Физическая
безопасность и защита от воздействий окружающей среды;
Управление
операционными процессами и коммуникациями;
Контроль
доступа;
Закупка,
разработка и сопровождение IT-систем;
Управление
инцидентами ИБ;
Управление
непрерывностью бизнеса;
Соответствие
требованиям.[10]
Стандарт
ISO/IEC 27001:2005 определяет общую организацию, классификацию данных, системы
доступа, направления планирования, ответственность сотрудников, использование
оценки рисков и т.д. в контексте ИБ. Этот стандарт предоставляет компании
инструмент, позволяющий управлять конфиденциальностью, целостностью и
сохранностью собственной информации компании. Применим в разных организациях -
от индивидуальных предпринимателей до предприятий с численностью сотрудников в
десятки тысяч человек.
Методология
ISO/IEC 27001:2005 помогает определить политику безопасности, которая
становится основой для регулярного контроля и оценки системы защиты, а также
провести инвентаризацию и классификацию ресурсов и определить аспекты
функционирования ИБ, связанные не с оборудованием, а с персоналом.
Под
сертификацией СУИБ организации по требованиям стандарта ISO/IEC 27001:2005
понимается комплекс организационно-технических мероприятий, проводимых
независимыми экспертами, в результате чего подтверждается наличие и надлежащее
функционирование всех рекомендуемых стандартом механизмов контроля, применимых
в данной организации, и выработка рекомендаций по устранению несоответствий.
Сертификация
СУИБ на соответствие стандарту ISO/IEC 27001:2005 позволяет:
выработать
долговременную стратегию развития системы обеспечения ИБ организации,
отвечающую актуальным требованиям;
проводить
комплексные, эффективные и экономически обоснованные меры по обеспечению
информационной безопасности;
повысить
степень привлекательности организации на внутреннем и внешнем рынках;
получить
официальный и признаваемый во всем мире сертификат, который будет служить
важным показателем надежности организации в глазах клиентов, партнеров,
акционеров, аудиторов, государственных и контролирующих органов;
застраховать
свои информационные риски на наиболее выгодных условиях.
В
России стандарты серии ISO/IEC 2700X (ISO 27001:2005, ISO 17799:2005) уже
используются в качестве нормативных документов: с 1 января 2007 г. вступил в
силу на территории России ГОСТ Р ИСО/МЭК 17799-2005, являющийся локализованной
для использования в России версией стандарта ISO/IEC 17799-2000 (предыдущей
версии ISO 17799:2005). Также планируется к вводу национальный стандарт ГОСТ Р
ИСО/МЭК 27001 на основе ISO/IEC 27001:2005. Кроме того, данные стандартов
положены в основу отечественного предстандарта СТО БР ИББС-1.0-2006,
предназначенного Банком России для построения СУИБ в банковской отрасли.
Стандарт
ISO 27001 определяет ИБ как сохранение конфиденциальности, целостности и
доступности информации; кроме того, могут быть включены и другие свойства,
такие, как подлинность, невозможность отказа от авторства, достоверность.
Для
разработки СУИБ организация должна выполнить следующие шаги (9 первых шагов):
1)
определить область применения СУИБ;
2)
разработать политику ИБ;
3)
определить (разработать) подход к оценке рисков;
4)
идентифицировать риски;
5)
проанализировать и оценить риски;
6)
принять решения для уменьшения рисков:
применить
к риску соответствующий метод управления;
принять
риск по разработанным критериям принятия рисков;
уйти
от риска;
передать
риск другой стороне (например, страховой компании, поставщику).
На
основании принятых решений выбрать методы управления, которые можно применить
для уменьшения рисков. При выборе методов управления должны учитываться
критерии принятия рисков, законодательные требования, договорные требования;
7)
получить согласие руководства по остаточным рискам;
8)
получить согласие руководства на внедрение СУИБ;
9)
подготовить положение о применимости - один из обязательных документов СУИБ.
Документация
СУИБ должна включать:
политику
ИБ и цели в области ИБ;
область
применения СУИБ;
процедуры
и контроль (методы управления) поддержки СУИБ;
описание
методологии оценки рисков;
отчет
по оценке рисков;
план
уменьшения рисков;
процедуры,
необходимые организации для обеспечения эффективного планирования, выполнения и
управления процессами ИБ, описывающие, как измеряется результативность методов
управления;
записи,
требуемые стандартом;
положение
о применимости;
перечень
законодательных требований, которые применимы к информационным ресурсам
организации.[11]
Подготовка
к сертификации начинается с формирования запроса. Обращение по поводу
сертификации следует производить к локальным официальным партнерам BSI Ma№ageme№t
Systems (www.bsi-russia.com) - разработчикам стандартов. Процесс регистрации
делится на две стадии: подготовительную и регистрационную.
На
подготовительной стадии можно выделить следующие этапы:
первоначальный
запрос - подается на предмет подготовки СУИБ компании к сертификации;
инициирование
- в рамках этого этапа производятся планирование, определение границ проведения
сертификации, выбор методологии, подготовка интервью. По результатам
формируется необходимая нормативная документация для дальнейших этапов;
предварительный
аудит - комплексный аудит СУИБ, работающей в реальных условиях. Аудиторы
проверяют, работают ли механизмы контроля, оценивают, насколько полно и
правильно они реализованы, а также насколько они адекватны существующим рискам.
В ходе аудита производится анализ и оценка рисков ИБ, анализ расхождений;
совершенствование
СУИБ (проектирование) - производится на основании данных аудита, в ходе
которого формируется программа совершенствования СУИБ;
совершенствование
СУИБ (внедрение) - внедрение механизмов контроля на основании подготовленной
программы совершенствования;
подготовка
к завершающему аудиту с целью проверки правильности внедрения изменений СУИБ.
Регистрационная
стадия включает следующие этапы:
сертификационный
(завершающий) аудит, определяющий готовность компании к сертификации/уточняющий
область сертификации (где как объект сертификации могут выступать как вся СУИБ,
так и ее отдельные подсистемы);
подготовка
и выпуск сертификата (подтверждение соответствия СУИБ требованиям действующего
законодательства страны эксплуатации СУИБ);
поддержка
регистрации.
В
настоящее время существует множество систем безопасности, призванных обеспечить
необходимую защиту информации, но нельзя сказать, что какая-то из них лучше.
Нет и примеров универсальной системы, структуру которой можно банально
скопировать для своей организации. В каждом отдельном случае нужно подходить к
построению СУИБ исходя из имеющихся реальных данных, привлекая сторонних
специалистов в области ИБ. В первую очередь необходимо понять, в чем состоит ИБ
для компании и что можно сделать для ее поддержания. Ответив на этот вопрос,
можно, как на прочном фундаменте, спроектировать, а затем и простроить ту СУИБ,
которая будет отвечать требованиям вашей компании, обеспечивать оптимальную
защиту данных и будет наиболее эффективно реализована.
1. Федеральный закон от 27 июля
2006 г. № 149-ФЗ «Об информации, информационных технологиях и о
защите информации»// СЗ РФ. 2006. № 31 (часть I). ст. 3448
2. Федеральный закон от 10 января 2002
г. № 1-ФЗ «Об электронной цифровой подписи»// СЗ РФ. 2002. № 2 ст. 127
3. Стандарт ЦБР СТО БР ИББС-1.0-2006 «Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Общие положения» // Вестник Банка России. 2006. № 6
4. Бабкин В.В. Модель нарушителя
информационной безопасности - превенция появления самого нарушителя
//Управление в кредитной организации. 2006. № 5
5. Башлыков М. Актуальные вопросы
информационной безопасности //Финансовая газета. Региональный выпуск. 2006. № 4
6. Бедрань А. Согласованная методика
проведения аудита информационной безопасности //Финансовая газета. 2007. № 6
7. Васильев Г. Российский рынок
информационной безопасности: новые тенденции //Финансовая газета. 2007. № 1
8. Велигура А. Обеспечение
информационной безопасности кредитных организаций на основе использования
стандартов ЦБ РФ //Бухгалтерия и банки. 2006. №7
9. Волков П. Системы обеспечения
информационной безопасности как часть корпоративной культуры современной
организации //Финансовая газета. 2006. № 34
10. Громов А., Коптелов А. Роль информационной
безопасности в обеспечении эффективного управления современной компанией
//Финансовая газета. 2006. № 24
11. Ковалева Н.Н., Холодная Е.В. Комментарий к
Федеральному закону от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации». - Юрайт, 2007 г.
12. Леденко С., Чикалев И. Информационная безопасность как
результат интерпретации акта Сарбаниса-Оксли //Банковское дело в Москве. 2003.
№ 1
13. Хохлов Е. Комментарии к новому закону об информации
//Корпоративный юрист. 2007. №1
14. Чикалев И., Леденко С. Во что обходится информационная
безопасность //Банковское дело в Москве. 2006.№ 7
15. Школьников А. CRM и информационная безопасность
//Банковское дело в Москве. 2005. № 5