Современные информационные
технологии/ 4.Информационная безопасность.
Ковальська М.О.
Національний гірничий університет, Україна
АНАЛІЗ СТРУКТУРИ ДОКУМЕНТІВ, ЩО СТАНОВЛЯТЬ ПОЛІТИКУ БЕЗПЕКИ
Інформаційна безпека відіграє важливу
роль у формуванні процесу впровадження нових інформаційних технологій в усі
сфери життя українського суспільства та людства в цілому. Великомасштабне
використання обчислювальної техніки та телекомунікаційних систем, збільшення
обсягів інформації, що оброблюється, а також поширення кола користувачів
приводить до якісно нових можливостей несанкціонованого здобуття інформації.
Політика інформаційної безпеки є однією
з вагомих складових комплексної системи захисту інформації. Для подальшого
аналізу структури документів, які становлять політику безпеки, нам потрібно чітко
сформулювати визначення політики безпеки. Для цього скористаємося
нормативно-правовою базою України в сфері захисту інформації.
Згідно з НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу» під політикою безпеки інформації слід
розуміти набір законів, правил, обмежень, рекомендацій і т. ін., які
регламентують порядок обробки інформації і спрямовані на захист інформації від
певних загроз. Термін "політика безпеки" може бути застосовано щодо
організації, автоматизованих систем (АС), операційних систем (ОС), послуги, що
реалізується системою (набору функцій) і т. ін. Чим дрібніше об'єкт, відносно
якого застосовується даний термін, тим конкретнішими і формальнішими стають
правила. Далі для скорочення замість словосполучення "політика безпеки
інформації" може використовуватись словосполучення «політика безпеки».
Політика безпеки інформації в АС є частиною загальної
політики безпеки організації і може успадковувати, зокрема, положення державної
політики у галузі захисту інформації. Для кожної АС політика безпеки інформації
може бути індивідуальною і залежати від технології обробки інформації, що
реалізується, особливостей ОС, фізичного середовища і від багатьох інших
чинників.
Політика безпеки повинна визначати ресурси АС, які
потребують захисту, зокрема встановлювати категорії інформації, оброблюваної в
АС. Мають бути сформульовані основні загрози для ОС, персоналу, інформації
різних категорій і вимоги до захисту від цих загроз. Як складові частини
загальної політики безпеки інформації в АС мають існувати політики забезпечення
конфіденційності, цілісності і доступності оброблюваної інформації.
Відповідальність персоналу за виконання положень політики безпеки має бути
персоніфікована.
В НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації
в комп’ютерних системах від несанкціонованого доступу» дається менш коротке
визначення, але від того не менш змістовне: Політика безпеки інформації (information
security policy)–сукупність законів,правил,обмежень, рекомендацій, інструкцій тощо,
які регламентують порядок обробки інформації [5].
Під політикою безпеки інформації розуміється вище описане
визначення. Під час розробки політики безпеки повинні бути враховані технологія
обробки інформації, моделі порушників і загроз, особливості ОС, фізичного
середовища та інші чинники. В АС може бути реалізовано декілька різних політик
безпеки, які істотно відрізняються. Політика безпеки
має бути розроблена таким чином, щоб вона не потребувала частої модифікації
(потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди
доцільно вказувати конкретну назву чи версію програмного продукту).
В
НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі» докладно описується
розробка політики безпеки інформації в інформаційно-телекомунікаційних системах (ІТС), в якій
зазначаються усі етапи оформлення політики безпеки. Вона може розроблятись для
ІТС в цілому або, якщо мають місце особливості функціонування окремих
компонентів комплексної системи захисту інформації (КСЗІ), для окремої компоненти, для окремої функціональної задачі,
або ж для окремої технології обробки інформації тощо.
Отже під політикою безпеки ми будемо розуміти сукупність
законів, правил, набір вимог, обмежень, рекомендацій, інструкцій тощо, які
регламентують порядок обробки інформації і спрямовані на захист інформації від
певних видів загроз.
Повернімося до аналізу структури політики безпеки за НД ТЗІ 1.4-001-2000: структурно до
політики безпеки (документів, що її складають) повинні входити наступні
розділи:
-
загальний, у якому визначається
відношення керівництва АС (організації) до проблеми безпеки інформації;
-
організаційний, у якому наводиться
перелік підрозділів, робочих груп, посадових осіб, що відповідають за роботи у сфері
захисту інформації, їх функції, викладаються підходи, що застосовуються до
персоналу (опис посад з точки зору безпеки інформації, організація навчання та
перепідготовки персоналу, порядок реагування на порушення режиму безпеки та
ін.);
-
класифікаційний, де визначаються
матеріальні та інформаційні ресурси, які є у наявності в АС, та необхідний
рівень їхнього захисту;
-
визначення порядку доступу до інформації;
-
розділ, у якому визначається підхід
щодо керування робочими станціями, серверами, мереженим обладнанням тощо;
-
висвітення питання фізичного захисту;
-
висвітення питання захисту інформації від витоку
технічними каналами;
-
розділ, де викладено порядок розробки
та супроводження системи, модернізації апаратного та програмного забезпечення;
-
розділ, який регламентує порядок проведення відновлювальних
робіт і забезпечення неперервного функціонування (АС);
-
юридичний розділ, у якому приводиться
підтвердження відповідності політики безпеки законодавству України [6].
Таким чином, за нормативно-правовою базою України в сфері
захисту інформації структура політики безпеки має складатися з 10 основних
розділів.
Розглянемо та проаналізуємо основні міжнародні підходи до
формування структури документів політики безпеки. Одним з основних міжнародних
стандартів інформаційної безпеки є сімейство міжнародних стандартів системи
управління інформаційною безпекою 27000, що розроблюються ІSO/ІEC JTC 1/SC 27.
Це сімейство містить у собі міжнародні стандарти, які визначають вимоги до
систем управління інформаційною безпекою, управління ризиками, метрики і
виміри, а також посібник із впровадження.
Даний стандарт підготовлений з метою забезпечення моделі для
створення, настроювання, керування, моніторингу, контролю, підтримки і
поліпшення системи управління інформаційною безпекою (СУІБ). Він містить у собі
до 15 розділів, що охоплюють всі основні аспекти забезпечення безпеки
інформації. Перерахуємо основні з них: Терміни та визначення, Основні положення,
Політика безпеки, Організація захисту, Класифікація і контроль ресурсів,
Безпека персоналу, Фізична безпека і безпека навколишнього середовища, Керування
комунікаціями й операціями, Контроль доступу, Розробка і супровід систем, Керування
безперервністю бізнесу, Дотримання вимог законодавства й т. ін.
За цим стандартом документована політика безпеки повинна
бути затверджена керівництвом, опублікована й доведена до усіх співробітників
організації. Політика повинна встановлювати підхід до керування інформаційною
безпекою в організації та підкреслюватись схваленням керівництва. Як мінімум, у
політику повинні бути включені наступні розділи:
-
Визначення інформаційної безпеки,
перелік її складових;
-
Положення про наміри керівництва –
підтримка цілей і принципів інформаційної безпеки;
-
Коротке роз'яснення політики безпеки,
принципів її побудови і стандартів у цій області;
-
Відповідність політики вимогам, що
мають особливе значення для організації;
-
Відповідність положень політики
місцевому і міжнародному законодавству;
-
Навчання персоналу з питань безпеки;
-
Виявлення і блокування вірусів, інших
шкідливих програм;
-
Безперервність ведення бізнесу;
-
Наслідки порушення політики безпеки;
-
Включення в посадові обов'язки
керівників відповідальності за забезпечення інформаційної безпеки, включаючи
звіти про інциденти.
Однією з найпростіших структур
організації документів політики безпеки є структура кореневої та підлеглої
політики. Коренева політика безпеки – частина, у якій зазначені всі документи
політики безпеки. Саме в ній описується основний список підлеглих політик, що
будете розроблятися в майбутньому, стосовно питань паролів, електронної пошти
та інші. Підлегла політика є окремою складовою політики безпеки, в ній перелічуються
основні ресурси, що потрібно захищати, та методи, якими слід захищати.
Одним з підходів, які часто зустрічаються в міжнародній
практиці по організації структури документів політики безпеки є схематично
зображена піраміда (Рисунок 1), яка складається з корпоративної політики,
процедур та стандартів. Саме така структура використовується компанією IBM для організації систем захисту.
Корпоративна політика визначає, що саме потрібно захищати, позиції і наміри
керівництва щодо інформації, яку захищають. Після створення корпоративної
політики створюються серія стандартів та документи, які описують порядок
застосування корпоративної політики безпеки в межах авторизації, ідентифікації,
контролю доступу та інші. Саме стандарти під впливом різноманітних загроз
найчастіше можуть змінюватись. При цьому вони реалізуються за допомогою практик
або процедур. Практики являються реалізацією стандартів в операційних,
інформаційних системах. В них деталізуються сервіси операційних систем, порядок
розроблення облікових записів й т.д., тоді як процедури документують процеси
запитів й підтвердження доступу к певним сервісам.
Рисунок 1 –
Структура політики безпеки
В компанії Symantec
досить схожа схема, але різниця в тому, що головне питання, яке визначає
політика безпеки, – навіщо захищати саме цю інформацію? Стандарти описують, що
саме захищати, які наміри має компанія для реалізації й управління безпекою
інформації. Процедури, тобто як саме
компанія буде виконувати вимоги, описані в політиці та стандартах. Для кращої
наочності зобразимо все вище описане на Рисунку 2.
Рисунок 2 – Різниця політик, стандартів
й процедур
Розглянемо ще одну з основних структур
документів політики безпеки, яка містить в собі:
-
опис основних
цілей та задач захисту інформації;
-
визначення
ставлення керівництва компанії до політики безпеки;
-
обґрунтування
шляхів реалізації політики безпеки;
-
визначення ролей і
обов'язків відповідальних за організацію режиму інформаційної безпеки в
компанії;
-
визначення
необхідних правил і норм безпеки;
-
визначення
відповідальності за порушення політики;
-
визначення порядку
перегляду і контролю положень політики безпеки.
Отже, у вище описаній схемі основними
розділами є цілі, задачі та методи захисту інформації на об’єкті. Саме ця схема
повсякчас використовується Sun
Microsystems для створення і підтримки життєдіяльності політики безпеки
даної організації.
З точки зору компанії Cisco Systems, розробку політики безпеки
слід починати з оцінки ризиків й створення робочої групи з реагування на
інциденти. Якщо саме так робити, то схема політики безпеки матиме вигляд, зображений на Рисунку 3:
- головна політика безпеки, в якій
зображені основні цілі й задачі організації режиму інформаційної безпеки,
проводиться аналіз ризику;
- політика використання, яка містить
усі основні ролі й обов’язки співробітників компанії;
- політика допустимого використання для
партнерів – інформування партнерів організації, яка саме інформація їм
доступна;
- політика допустимого використання для
адміністраторів, описання процедур адміністрування облікових записів
співробітників й можливих привілеїв, інформація щодо паролів, вірусів й т.п.;
Рисунок 3 – Схема політики безпеки Cisco Systems
Організація SANS знайшла свій підхід в визначенні політики безпеки. Верхній
рівень – політики, середній – керівництва й стандарти, нижній – процедури. Далі
документи розбиваються на наступні основні категорії:
-
твердження
керівництва про підтримку політики інформаційної безпеки;
-
основні політики
компанії;
-
функціональні
політики;
-
обов'язкові
стандарти (базові);
-
посібники, що
рекомендуються;
-
деталізовані
процедури.
Стандарти деталізують розходження у
налаштуванні безпеки в окремих операційних системах, додатках і базах даних.
Керівництва представляють із себе рекомендації, необов'язкові до виконання дії
по попередженню проблем, пов'язаних з різними аспектами інформаційної безпеки. Процедури
– детальні покрокові інструкції, які співробітники
зобов'язані неухильно виконувати.
Ми розглянули основні питання стосовно
політики безпеки інформації – сукупність законів, правил, обмежень,
рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
Також вивчили різноманітні підходи в структурах документів, що становлять політику
інформаційної безпеки. Основною тенденцією є ієрархічна система – політики,
стандарти, процедури, але з вище описаного витікає те, що під однією й тією ж
назвою у кожному з підходів розуміються різні значення. Наприклад, політика
може описувати, що саме захищати або ж навіщо саме цю інформацію слід захищати.
Варто звернути увагу на рекомендацію
щодо аварійного плану в стандарті ISO/IEC 27001:2005, адже в будь якому випадку
слід передбачити документ, присвячений тому, що саме слід робити, якщо
відбудеться порушення інформаційної безпеки.
Вдалою, з точки зору зручності
реалізації та доступності сприйняття, є структура документів ПІБ компанії Symantec. В даній частині описується
спочатку навіщо саме цю інформацію захищати, що захищати і як захищати. На наш
погляд структура документів Sun
Microsystems та Cisco Systems є
одним з найбільш деталізованих підходів до створення політики безпеки
інформації, адже саме в них підкреслюється необхідність оцінки ризиків,
визначення необхідних правил і норм безпеки та ін. При відсутності необхідності
створювати досить громіздку та велику за об’ємом політику безпеки слід
скористатися найпростішим підходом організації документів політики безпеки кореневої та підлеглої політики. Даний
підхід відрізняється зручністю та легкістю організації.
Таким чином кожна з висвітлених
структур має свої переваги щодо організації документів політики інформаційної
безпеки. І лише при детальному визначенні усіх цілей та потреб, висунутих до
створення політики безпеки, чітко можна сформулювати, яка саме структура зручна
в тому чи іншому випадку.
ЛІТЕРАТУРА:
1. Галицин
В. К., Левченко Ф. А. Некоторые вопросы оптимизации структур и методов
управления информационными системами. – Киев, 2000. – 456 с.
2. Литвиненко
О. В., Бінько І. Ф., Потіха В. М. Інформаційний простір як чинник забезпечення
національних інтересів України. – Київ, 1998. – 147 с.
3.
Правові основи охорони
інформації / В. Ф. Авраменко, Г. О. Брудний, С. І.
Жлобін та ін.; За ред. В. О. Хорошка. – Київ, 2003. – 176 с.
4.
НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в
комп’ютерних системах від несанкціонованого доступу»
5.
НД ТЗІ 1.1-003-99. «Термінологія в
галузі захисту інформації в комп’ютерних системах від несанкціонованого
доступу»
6.
НД ТЗІ 1.4-001-2000 «Типове
положення про службу захисту інформації в автоматизованій системі»
7.
Державна служба спеціального зв’язку та захисту інформації України
(Електрон. ресурс) // http://dstszi.gov.ua/
8.
Научный центр интернет-технологий INTERTECH ( Електрон. ресурс) // http://www.intertech.ru