Informacijos ir informacinių sistemų skirstymas į kategorijas. Bazinio informacijos saugumo lygio užtikrinimas
Michailas Koptenkovas | © M. Koptenkovas
Informacijos saugumas – tai informacinės aplinkos saugumo būklė. Informacijos saugumas turėtų būti vertinamas kaip priemonių visuma, tarp kurių neįmanoma išskirti daugiau ar mažiau svarbių. koncepcija informacijos saugumas yra glaudžiai susijęs su informacijos saugumo samprata – tai veikla, kuria siekiama užkirsti kelią saugomos informacijos nutekėjimui, neleistinai ir netyčiniam poveikiui jai, t.y., procesas, kurio tikslas yra pasiekti informacijos saugumo būklę. Tačiau prieš saugant informaciją būtina nustatyti, kokia informacija ir kokia apimtimi turi būti saugoma. Tam naudojamas informacijos skirstymas į kategorijas (klasifikavimas), t.y., informacijos saugumo užtikrinimo svarbos gradacijų nustatymas ir konkrečių informacijos išteklių priskyrimas atitinkamoms kategorijoms. Taigi informacijos suskirstymą į kategorijas galima vadinti pirmuoju žingsniu siekiant užtikrinti organizacijos informacinį saugumą.
Istoriškai, kai informacija yra įslaptinta, ji iškart pradedama klasifikuoti pagal slaptumo (konfidencialumo) lygį. Tuo pačiu metu dažnai neatsižvelgiama į prieinamumo ir vientisumo užtikrinimo reikalavimus arba į juos atsižvelgiama kartu su bendraisiais informacijos apdorojimo sistemų reikalavimais. Tai neteisingas požiūris. Daugelyje sričių konfidencialios informacijos dalis yra palyginti nedidelė. Atvirai informacijai, kurios atskleidimo žala nėra, svarbiausios savybės yra: prieinamumas, vientisumas ir apsauga nuo neteisėto kopijavimo. Pavyzdys – internetinė parduotuvė, kurioje svarbu, kad įmonės svetainė visada būtų prieinama. Atsižvelgiant į poreikį užtikrinti skirtingus informacijos apsaugos lygius, galite įvesti skirtingas konfidencialumo, vientisumo ir prieinamumo kategorijas.
1. Saugomos informacijos konfidencialumo kategorijos
Informacijos konfidencialumas yra informacijos savybė, rodanti būtinybę įvesti apribojimus asmenų, turinčių prieigą prie šios informacijos, ratui.
Įvedamos šios informacijos konfidencialumo kategorijos:
– - informacija, kuri pagal įstatymų reikalavimus yra konfidenciali, taip pat informacija, kurios sklaidos apribojimai įvedami organizacijos vadovybės sprendimais, kurios atskleidimas gali padaryti didelę žalą organizacijos veiklai.
– Konfidenciali informacija- informacija, kuri nėra griežtai konfidenciali, kurios platinimo apribojimai įvedami tik organizacijos vadovybės sprendimu, kurios atskleidimas gali sukelti žalą organizacijos veiklai.
– atvira informacijaĮ šią kategoriją įtraukta informacija, kurios nereikalaujama laikyti konfidencialia.
2. Informacijos vientisumo kategorijos
Informacijos vientisumas – tai savybė, kai duomenys išlaiko iš anksto nustatytą formą ir kokybę (nelieka nepakitusios tam tikros fiksuotos būsenos atžvilgiu).
Įvedamos šios informacijos vientisumo kategorijos:
– Aukštas- šiai kategorijai priskiriama informacija, kurios neteisėtas pakeitimas ar klastojimas gali sukelti didelę žalą organizacijos veiklai.
– Žemas- šiai kategorijai priskiriama informacija, kurios neteisėtas pakeitimas gali sukelti vidutinę ar nedidelę žalą organizacijos veiklai.
– Jokių reikalavimų- ši kategorija apima informaciją, kurios vientisumui užtikrinti nėra jokių reikalavimų.
3. Informacijos prieinamumo kategorijos
Prieinamumas yra informacijos būsena, kai subjektai, turintys teisę susipažinti su ja, gali netrukdomi ja naudotis.
Pateikiamos šios informacijos prieinamumo kategorijos:
– – prieiga prie informacijos turi būti suteikta bet kuriuo metu (delsimas gauti prieigą prie informacijos neturėtų viršyti kelių sekundžių ar minučių).
– Didelis prieinamumas– prieiga prie informacijos turėtų būti vykdoma be didelių vėlavimų (delsimas gauti informaciją neturėtų viršyti kelių valandų).
– Vidutinis prieinamumas– prieiga prie informacijos gali būti suteikta gerokai vėluojant (informacijos gavimo vėlavimas neturėtų viršyti kelių dienų).
– mažas prieinamumas- informacijos gavimo vėlavimai yra praktiškai neriboti (leistinas vėlavimas gauti informaciją yra kelios savaitės).
Iš to, kas išdėstyta, matyti, kad informacijos konfidencialumo ir vientisumo kategorijos tiesiogiai priklauso nuo žalos, padarytos organizacijos veiklai, dydžio pažeidus šias informacijos savybes. Prieinamumo kategorijos mažesniu mastu, bet priklauso ir nuo organizacijos veiklai padarytos žalos dydžio. Žalos dydžiui nustatyti naudojamas subjektyvus jos vertinimas ir įvedama trijų lygių skalė: didelė žala, vidutinė žala ir maža žala (arba be žalos).
trumpas jei informacijos prieinamumo, konfidencialumo ir (arba) vientisumo praradimas turi mažai įtakos Neigiama įtaka apie organizacijos veiklą, jos turtą ir personalą.
Nereikšmingas neigiamas poveikis reiškia, kad:
- organizacija išlieka pajėgi vykdyti savo veiklą, tačiau sumažėja pagrindinių funkcijų efektyvumas;
- organizacijos turtui padaryta nedidelė žala;
- organizacija patiria nedidelių finansinių nuostolių.
Organizacijos veiklai padaryta žala įvertinta kaip saikingai jei prieinamumo, konfidencialumo ir (arba) vientisumo praradimas turi rimtą neigiamą poveikį organizacijos veiklai, turtui ir personalui.
Nepageidaujamo poveikio sunkumas reiškia, kad:
- organizacija išlieka pajėgi vykdyti savo veiklą, tačiau ženkliai sumažėja pagrindinių funkcijų efektyvumas;
- padaroma didelė žala organizacijos turtui;
- įmonė patiria didelių finansinių nuostolių.
Galima žala organizacijai įvertinta kaip reikšmingas jei prieinamumo, konfidencialumo ir (arba) vientisumo praradimas turi didelį (katastrofišką) neigiamą poveikį organizacijos veiklai, jos turtui ir personalui, t.y.:
- organizacija praranda galimybę atlikti visas ar kai kurias pagrindines savo funkcijas;
- smarkiai sugadintas organizacijos turtas;
- organizacija patiria didelių finansinių nuostolių.
Taigi, įvertinus žalą organizacijos veiklai informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo atveju ir tuo remiantis nustatant informacijos kategorijas, galima išskirti tris informacijos tipus: kritiškiausią, kritiškiausią ir nekritiškas.
Informacijos tipo apibrėžimas atliekamas lyginant šios informacijos kategorijas.
1 lentelėje apibrėžiamas informacijos tipas.
Informacijos privatumo kategorija | Informacijos vientisumo kategorija | Informacijos prieinamumo kategorija | Informacijos tipas |
---|---|---|---|
Griežtai konfidenciali informacija | * | * | |
* | Aukštas | * | Svarbiausia informacija |
* | * | Netrukdomas prieinamumas | Svarbiausia informacija |
Konfidenciali informacija | * | * | Kritinė informacija |
* | Žemas | * | Kritinė informacija |
* | * | Didelis prieinamumas | Kritinė informacija |
atvira informacija | Jokių reikalavimų | Vidutinis prieinamumas | Nekritinė informacija |
atvira informacija | Jokių reikalavimų | mažas prieinamumas | Nekritinė informacija |
1 lentelė. Informacijos tipo apibrėžimas
Taigi informacijos skirstymas į kategorijas yra pirmas žingsnis siekiant užtikrinti organizacijos informacijos saugumą, nes prieš ką nors apsaugant pirmiausia reikia nustatyti, ką tiksliai ir kiek reikia saugoti. Suskirstykite naudotojo ir sistemos informaciją, pateiktą kaip nurodyta elektronine forma, taip pat ant medžiagos nešiklio. Norint nustatyti saugotinos informacijos tipą, būtina nustatyti, kokią žalą patirs organizacija, jei praras tokios informacijos konfidencialumą, vientisumą ir prieinamumą.
Ateityje, nustačius, kuriam informacijos tipui priklauso, galėsite taikyti įvairias priemones kiekvieno tipo informacijai apsaugoti. Tai leis ne tik struktūrizuoti organizacijoje tvarkomus duomenis, bet ir efektyviausiai įdiegti bei panaudoti prieigos prie saugomos informacijos valdymo posistemį, taip pat optimizuoti informacijos saugumo kaštus.
Bibliografija:
1. V. Bezmaly, Informacijos saugumo tarnyba: pirmieji žingsniai, 2008 m., http://www.compress.ru/Article.aspx?id=20512
2. Gladkikh A. A., Dementiev V. E., Pagrindiniai kompiuterių tinklų informacijos saugumo principai. Uljanovskas: UlGTU, 2009. - 156 p.
vieta, taip pat jos fizinio prieinamumo pašaliniams asmenims (klientams, lankytojams, darbuotojams, kuriems draudžiama dirbti su RM ir kt.) laipsnis;
aparatinės įrangos sudėtis;
programinės įrangos sudėtis ir joje sprendžiamos užduotys (tam tikros prieinamumo kategorijos);
RM saugomos ir apdorojamos informacijos sudėtis (tam tikros konfidencialumo ir vientisumo kategorijos).
sprendžiant naudojamų išteklių rinkinys (programinė įranga, duomenų rinkiniai, įrenginiai);
sprendimo priėmimo dažnumas;
didžiausias leistinas delsos laikas problemos sprendimo rezultatui gauti.
Saugoma informacija (informacija, kuriai taikoma apsauga)- informacija (informacija), kuri yra nuosavybės objektas ir kuri yra saugoma pagal teisės aktų ir kt. norminiai dokumentai arba pagal informacijos savininko (Banko) nustatytus reikalavimus.
Saugomi informacijos ištekliai bankų sistema(IBS ištekliai turi būti apsaugoti)- informacija, funkcinės užduotys, informacijos perdavimo kanalai, saugomos darbo vietos, siekiant užtikrinti Banko, jo klientų ir korespondentų informacijos saugumą.
apsaugotas darbo vieta(RM)- apsaugos objektas ( Asmeninis kompiuteris su atitinkamu programinės įrangos ir duomenų rinkiniu), kuriam pripažįstamas poreikis nustatyti reguliuojamą informacijos apdorojimo būdą ir apibūdinamas:
RM forma- nustatytos formos dokumentas (3 priedas), fiksuojantis RM charakteristikas (vietą, techninės ir programinės įrangos konfigūraciją, RM išspręstų užduočių sąrašą ir kt.) ir patvirtinantis galimybę eksploatuoti šią RM (įrodantis RM tvarkomos informacijos apsaugos reikalavimų įvykdymas pagal šios RM kategoriją).
Apsaugota užduotis- atskirame RM išspręsta funkcinė užduotis, kuriai pripažįstamas poreikis nustatyti reguliuojamą informacijos apdorojimo būdą ir apibūdinamas:
Užduočių forma- nustatytos formos dokumentas (2 priedas), fiksuojantis užduoties ypatybes (jos pavadinimas, paskirtis, tipas, sprendžiant panaudoti ištekliai, šios užduoties vartotojų grupės, jų prieigos prie užduoties išteklių teisės ir kt.).
Apsaugotas informacijos perdavimo kanalas- saugomos informacijos perdavimo būdas. Kanalai skirstomi į fizinius (iš vieno įrenginio į kitą) ir loginius (iš vienos užduoties į kitą).
Informacijos privatumas- informacijai subjektyviai nustatyta (priskiriama) charakteristika (savybė), nurodanti būtinybę įvesti apribojimus subjektų (asmenų), turinčių prieigą prie šios informacijos, rato ir suteikiama sistemos (aplinkos) gebėjimo šią informaciją laikyti paslaptyje. iš subjektų, kurie neturi prieigos teisių Su ja.
Informacijos vientisumas- informacijos savybė, kurią sudaro jos egzistavimas neiškreipta forma (nekintama tam tikros fiksuotos jos būsenos atžvilgiu).
Informacijos prieinamumas (tikslai)- apdorojimo sistemos (aplinkos), kurioje cirkuliuoja informacija, savybė, pasižyminti galimybe laiku netrukdomai suteikti subjektams juos dominančios informacijos (jei subjektai turi atitinkamas prieigos teises) ir atitinkamos automatizuotos parengties. paslaugų (funkcinių užduočių) iki paslaugų užklausų iš subjektų visada, kai iškyla poreikis į juos kreiptis.
1. Bendrosios nuostatos
1.1. Šis reglamentas nustato išteklių kategorijas (apsaugos užtikrinimo svarbos laipsnius) ir nustato saugotinų informacinės sistemos išteklių skirstymo į kategorijas (priskyrimo atitinkamoms kategorijoms, atsižvelgiant į žalos Bankui, jo klientams laipsnį) tvarką. ir korespondentams neteisėtai kišimosi į TVM veikimo procesą ir pažeidžiant tvarkomos informacijos vientisumą ar konfidencialumą, užblokavus informaciją ar pažeidus IHD sprendžiamų užduočių prieinamumą).
1.2. Išteklių skirstymas į kategorijas (išteklių apsaugos reikalavimų apibrėžimas) TVS yra būtinas darbo organizavimo elementas siekiant užtikrinti Banko informacijos saugumą ir turi šiuos tikslus:
diferencijuoto požiūrio į išteklių apsaugą norminio ir metodinio pagrindo sukūrimas automatizuota sistema(informacija, užduotys, kanalai, PM) pagal jų klasifikaciją pagal rizikos laipsnį, jei pažeidžiamas jų prieinamumas, vientisumas ar konfidencialumas;
RM IŠL išteklių apsaugai skirtų organizacinių priemonių tipizavimas ir techninės bei programinės įrangos išteklių paskirstymas ir jų nustatymų suvienodinimas.
2. Saugomos informacijos kategorijos
2.1. Remiantis poreikiu suteikti įvairaus lygio apsaugą skirtingi tipai TVM saugomą ir tvarkomą informaciją, taip pat atsižvelgiant į galimi būdai darant žalą Bankui, jo klientams ir korespondentams, įvedamos trys saugomos informacijos konfidencialumo ir trys saugomos informacijos vientisumo kategorijos.
„AUKŠTA“ – ši kategorija apima neįslaptintą informaciją, kuri yra konfidenciali pagal galiojančių teisės aktų reikalavimus Rusijos Federacija(banko paslaptis, asmens duomenys);
„ŽEMAS“ – šiai kategorijai priskiriama „AUKŠTAI“ neklasifikuojama konfidenciali informacija, kurios platinimo apribojimai nustatomi Banko vadovybės sprendimu, atsižvelgiant į jai, kaip informacijos savininkui (įgaliotam asmeniui), suteiktas Banko vadovo sprendimu. galiojančius teisės aktus;
„NO REIKALAVIMAI“ – į šią kategoriją patenka informacija, kuri nėra būtina konfidencialumui užtikrinti (platinimo apribojimai).
„AUKŠTA“ – į šią kategoriją įeina informacija, kurios neteisėtas pakeitimas (iškraipymas, sunaikinimas) ar klastojimas gali sukelti didelę tiesioginę žalą Bankui, jo klientams ir korespondentams, kurios vientisumas ir autentiškumas (šaltinio autentifikavimas) turi būti užtikrintas. garantuotais būdais (pavyzdžiui, elektroniniu skaitmeniniu parašu) pagal galiojančių teisės aktų privalomus reikalavimus;
„ŽEMAS“ – šiai kategorijai priskiriama informacija, kurios neteisėtas pakeitimas, ištrynimas ar suklastojimas gali padaryti nedidelę netiesioginę žalą Bankui, jo klientams ir korespondentams, kurios vientisumas (o prireikus ir autentiškumas) turi būti užtikrinamas pagal Banko 2014 m. Banko vadovybės sprendimas (kontrolinės sumos skaičiavimo metodai, EDS ir kt.);
„JOKIŲ REIKALAVIMŲ“ – ši kategorija apima informaciją, kurios vientisumas (ir autentiškumas) nėra būtinas.
2.2. Siekiant supaprastinti užduočių, kanalų ir PM skirstymo į kategorijas operacijas, sujungiamos saugomos informacijos konfidencialumo ir vientisumo kategorijos ir nustatomos keturios apibendrintos informacijos kategorijos: „gyvybiškai svarbi“, „labai svarbi“, „svarbi“ ir „nesvarbi“. “. Informacija priskiriama vienai ar kitai apibendrintai kategorijai pagal jos konfidencialumo ir vientisumo kategorijas pagal 1 lentelę.
1 lentelė
1 – „Gyvybiška“ informacija
2 – „Labai svarbi“ informacija
3 – „Svarbi“ informacija
4 – „Nesvarbi“ informacija
3. Funkcinių užduočių kategorijos
3.1. Atsižvelgiant į funkcinių užduočių sprendimo dažnumą ir didžiausią leistiną vėlavimą gauti jų sprendimo rezultatus, įvedami keturi būtini funkcinių užduočių prieinamumo laipsniai.
Reikalingi funkcinių užduočių prieinamumo laipsniai:
„NEMOKAMAS PRIEINAMUMAS“ – prieiga prie užduoties turi būti suteikta bet kuriuo metu (užduotis sprendžiama nuolat, delsimas gauti rezultatą neturi viršyti kelių sekundžių ar minučių);
„AUKŠTAS PRIEINAMUMAS“ – prieiga prie užduoties turi būti atlikta be didelių laiko uždelsimų (užduotis sprendžiama kasdien, delsimas gauti rezultatą neturi viršyti kelių valandų);
„VIDUTINIS PRIEINAMUMAS“ – prieiga prie užduoties gali būti suteikiama su dideliais laiko vėlavimais (užduotis sprendžiama kartą per kelias dienas, delsimas gauti rezultatą neturi viršyti kelių dienų);
„ŽEMAS PRIEINAMUMAS“ – laiko vėlavimai pasiekti užduotį yra praktiškai neriboti (užduotis išsprendžiama kelių savaičių ar mėnesių laikotarpiu, leistinas rezultato gavimo vėlavimas yra kelios savaitės).
3.2. Atsižvelgiant į apibendrintą saugomos informacijos kategoriją, naudojamą sprendžiant problemą ir reikalingą užduoties prieinamumo laipsnį, nustatomos keturios funkcinių užduočių kategorijos: „pirma“, „antra“, „trečia“ ir „ketvirta“ (pagal 2 lentelė).
2 lentelė
Funkcinės užduoties kategorijos apibrėžimas | ||||
---|---|---|---|---|
Apibendrinta informacijos kategorija | Būtinas užduoties prieinamumas | |||
„Netrukdomas prieinamumas“ | "Aukštas prieinamumas" | "Vidutinis prieinamumas" | „Žemas prieinamumas“ | |
"gyvybiškas" | 1 | 1 | 2 | 2 |
"Labai svarbus" | 1 | 2 | 2 | 3 |
"Svarbu" | 2 | 2 | 3 | 3 |
"Nesvarbu" | 2 | 3 | 3 | 4 |
4. Saugomos informacijos perdavimo kanalų saugumo užtikrinimo reikalavimai (kanalų kategorijos)
4.1. Saugomos informacijos perdavimo loginio kanalo saugumo reikalavimai (kategorijos) nustatomi pagal maksimalią dviejų užduočių, tarp kurių nustatomas šis kanalas, kategoriją.
5. RM kategorijos
5.1. Priklausomai nuo RM išspręstų užduočių kategorijų, nustatomos keturios RM kategorijos: „A“, „B“, „C“ ir „D“.
5.3. „B“ kategorijos RM grupei priklauso RM, kurie išsprendžia bent vieną antrosios kategorijos funkcinę užduotį. Kitų šioje RM išspręstų užduočių kategorijos neturėtų būti žemesnės už trečiąją ir ne aukštesnės nei antroji.
5.4. „C“ kategorijos RM grupei priklauso RM, kurie išsprendžia bent vieną trečiosios kategorijos funkcinę užduotį. Kitų šiame RM išspręstų užduočių kategorijos neturėtų būti aukštesnės nei trečioji.
3 lentelė
5.6. Įvairių kategorijų RM saugos užtikrinimo reikalavimai (dėl atitinkamų priemonių ir apsaugos priemonių taikymo) pateikti 5 priede.
6. Saugomų TVM išteklių kategorijų nustatymo tvarka
6.1. Suskirstymas į kategorijas atliekamas remiantis informacinės bankininkystės sistemos išteklių (RM, užduočių, informacijos) inventorizacija ir apima saugotinų TVM išteklių sąrašų (formų rinkinių) sudarymą ir paskesnį priežiūrą (atnaujinimą).
6.2. Atsakomybė už CHD išteklių sąrašų sudarymą ir tvarkymą tenka:
dėl RM sąrašo sudarymo ir tvarkymo (nurodant jų buvimo vietą, priskyrimą Banko padaliniams, jo techninių priemonių sudėtį ir charakteristikas) - Departamentui. informacines technologijas(toliau – UIT);
dėl RM išspręstų sistemos ir taikomųjų (specialiųjų) užduočių sąrašo sudarymo ir tvarkymo (nurodant jiems sprendžiant naudojamų išteklių sąrašus - įrenginius, katalogus, failus su informacija) - skyriui. Techninė pagalba WIT.
6.3. Už konfidencialumo, vientisumo, prieinamumo užtikrinimo reikalavimų nustatymą ir atitinkamų kategorijų priskyrimą konkretiems RM ištekliams (informacijos ištekliams ir užduotims) atsako Banko padaliniai, tiesiogiai sprendžiantys RM duomenų užduotis (informacijos savininkai) ir informacijos saugos skyrius.
6.4. TVM informacinių išteklių kategorijas, priskirtas pagal šiuos „TVM išteklių skirstymo į kategorijas nuostatus“, tvirtina Banko valdybos pirmininkas.
6.6. IBS išteklių skirstymas į kategorijas gali būti atliekamas nuosekliai kiekvienai RM atskirai, vėliau sujungiant ir formuojant vieningus saugotinų IBS išteklių sąrašus:
saugotinų TVM informacijos išteklių sąrašas (2 priedas);
saugotinų užduočių sąrašas (užduočių formų rinkinys);
saugomų RM sąrašas (RM formų rinkinys).
Pirmajame darbo, skirto konkretaus RM išteklių skirstymo į kategorijas, etape suskirstoma į kategorijas visų tipų informacija, naudojama sprendžiant tam tikros RM problemas. Apibendrintos informacijos kategorijos nustatomos pagal nustatytas konkrečių informacijos rūšių konfidencialumo ir vientisumo kategorijas. Saugotini informaciniai ištekliai yra įtraukti į „Saugotinų informacijos išteklių sąrašą“.
Antrajame etape, atsižvelgiant į anksčiau nustatytas apibendrintas informacijos, naudojamos sprendžiant užduotis, kategorijas ir užduočių prieinamumo laipsnio reikalavimus, vyksta visų šioje RM išspręstų funkcinių užduočių suskirstymas į kategorijas.
Ketvirtajame etape, remiantis sąveikaujančių užduočių kategorijomis, nustatoma loginių kanalų, skirtų informacijai perduoti tarp funkcinių užduočių (skirtinguose RM), kategorija. 6.7. TVM informacinių išteklių pakartotinis sertifikavimas (kategorijų keitimas) atliekamas pasikeitus atitinkamos informacijos savybių (konfidencialumo ir vientisumo) apsaugos užtikrinimo reikalavimams.
Funkcinių užduočių pakartotinis sertifikavimas (kategorijų keitimas) vykdomas, kai keičiamos apibendrintos informacijos išteklių, naudojamų sprendžiant šį uždavinį, kategorijos, taip pat kai keičiasi funkcinių užduočių prieinamumo reikalavimai.
Keičiant sąveikaujančių užduočių kategorijas, atliekamas loginių kanalų resertifikavimas (kategorijų keitimas).
RM pakartotinis sertifikavimas (kategorijų keitimas) atliekamas, kai keičiamos RM duomenimis išspręstų užduočių kategorijos ar sudėtis.
6.8. Periodiškai (kartą per metus) arba Banko struktūrinių padalinių vadovų prašymu yra peržiūrimos nustatytos saugomų išteklių kategorijos, ar jos atitinka realią padėtį.
7. Nuostatų tikslinimo tvarka
7.1. Pasikeitus įvairių kategorijų RM apsaugos reikalavimams, 5 priedas gali būti tikslinamas (su vėlesniu patvirtinimu).
7.2. Jei "Saugotinų informacijos išteklių sąraše" daromi pakeitimai ir papildymai, 4 priedas gali būti peržiūrėtas (su vėlesniu patvirtinimu).
1 priedas – Saugomų išteklių skirstymo į kategorijas metodika
Ši metodika skirta išaiškinti saugomų išteklių skirstymo į kategorijas Banko TVS tvarką pagal „Informacinės bankininkystės sistemos išteklių skirstymo į kategorijas nuostatus“. Klasifikavimas apima darbą, skirtą TVM posistemiams ir Banko struktūriniams padaliniams išnagrinėti bei visų saugomų TVM išteklių identifikavimui (inventorizacijai). Žemiau pateikiama apytikslė šių darbų įgyvendinimo konkrečių veiksmų seka ir pagrindinis turinys.
1. Visų Banko informacinės sistemos posistemių informacinei apklausai ir saugotinų TVM išteklių inventorizacijai atlikti sudaroma speciali darbo grupė. Į šią grupę įeina banko Informacijos saugumo departamento ir Informacinių technologijų departamento specialistai (išmanantys automatizuoto informacijos apdorojimo technologijas). Suteikti reikiamą statusą darbo grupė, išleidžiamas atitinkamas Banko valdybos pirmininko įsakymas, kuriame visų pirma duoti nurodymai visiems banko struktūrinių padalinių vadovams teikti pagalbą ir būtiną pagalbą darbo grupei atliekant koronarinės širdies ligos tyrimo darbus. arterijų liga. Teikti pagalbą grupės darbo padaliniuose metu šių padalinių vadovams turėtų būti skirti darbuotojai, turintys išsamią informaciją apie informacijos apdorojimą šiuose padaliniuose.
2. Atliekant konkrečių Banko padalinių ir informacijos posistemių tyrimą, identifikuojami ir aprašomi visi funkciniai uždaviniai, sprendžiami naudojant TVM, taip pat visų rūšių informacija (informacija), naudojama sprendžiant šias problemas padaliniuose.
3. Sudaromas bendras funkcinių užduočių sąrašas ir kiekvienai užduočiai sudaroma (pradedama) forma (2 priedas). Šiuo atveju reikia turėti omenyje, kad ta pati užduotis skirtinguose skyriuose gali būti vadinama skirtingai, ir atvirkščiai, skirtingos užduotys gali turėti tą patį pavadinimą. Kartu vedama programinių priemonių (bendrųjų, specialiųjų), naudojamų sprendžiant padalinio funkcines užduotis, apskaita.
4. Nagrinėjant posistemes ir analizuojant užduotis, atskleidžiami visų tipų įeinantys, išeinantys, saugomi, apdorojami ir kt. informacija. Būtina nustatyti ne tik informaciją, kuri gali būti klasifikuojama kaip konfidenciali (bankinės ir komercinės paslaptys, asmens duomenys), bet ir informaciją, kuri saugoma dėl jos vientisumo pažeidimo (iškraipymo, klastojimo) ar prieinamumo (sunaikinimo, blokavimo). ) gali padaryti apčiuopiamos žalos Bankui, jo klientams ar korespondentams.
5. Identifikuojant visų tipų posistemiuose cirkuliuojančią ir apdorojamą informaciją, pageidautina įvertinti pasekmių, kurios gali kilti dėl jos savybių (konfidencialumo, vientisumo) pažeidimų, sunkumą. Norint gauti pirminius tokių pasekmių sunkumo įvertinimus, patartina atlikti specialistų, dirbančių su šia informacija, apklausą (pavyzdžiui, anketos forma). Kartu būtina išsiaiškinti, kam ši informacija gali būti įdomi, kaip gali ją paveikti ar neteisėtai panaudoti, kokias pasekmes tai gali sukelti.
6. Informacija apie galimos žalos sąmatas įrašoma specialiose formose (3 priedas). Jei neįmanoma kiekybiškai įvertinti galimos žalos, atliekamas kokybinis įvertinimas (pvz.: mažas, vidutinis, didelis, labai didelis).
7. Rengiant Banke spręstinų funkcinių užduočių sąrašą ir formas, būtina išsiaiškinti jų sprendimo dažnumą, maksimalų leistiną uždelsimo gauti užduočių sprendimo rezultatus ir pasekmių, kurias gali kilti pažeidimai, sunkumą. jų prieinamumas gali sukelti (užblokuoti užduočių sprendimo galimybę). Tikėtinos žalos sąmatos įrašomos specialiose formose (3 priedas). Jei neįmanoma kiekybiškai įvertinti galimos žalos, atliekamas kokybinis įvertinimas.
8. Visi tyrimo metu nustatyti, Skirtingos rūšys informacija įrašoma į „Saugotinų informacijos išteklių sąrašą“.
9. Nustatoma (o po to nurodoma Sąraše), kuriai paslapčiai (bankinės, komercinės, paslapties nesudarančios asmens duomenų) priklauso kiekviena iš nustatytų informacijos rūšių (remiantis galiojančių teisės aktų reikalavimais ir jiems suteiktas teises).
10. Pirminiai pasiūlymai dėl konkrečių informacijos rūšių konfidencialumo ir vientisumo užtikrinimo kategorijų vertinimo tikslinami su vadovais (vadovančiais specialistais) struktūrinis vienetas Bankas (remiantis jų asmeniniais vertinimais dėl galimos žalos dėl informacijos konfidencialumo ir vientisumo savybių pažeidimo). Informacijos kategorijų vertinimo duomenys įrašomi į „Saugotinų informacijos išteklių sąrašą“ (2 ir 3 skiltyse).
11. Tada Sąrašas derinamas su Apsaugos departamento IT ir informacijos saugos skyriaus vedėjais ir teikiamas svarstyti Informacijos saugumo valdymo komitetui.
12. Informacijos saugumo valdymo komitetui svarstydamas Sąrašą, jis gali būti keičiamas ir papildomas. Parengta „Saugotinų informacinių išteklių sąrašo“ redakcija teikiama tvirtinti banko valdybos pirmininkui.
13. Pagal patvirtintame „Saugotinų informacijos išteklių sąraše“ nurodytas konfidencialumo ir vientisumo kategorijas, kiekvienai informacijos rūšiai nustatoma apibendrinta kategorija (pagal Reglamento dėl skirstymo į kategorijas 1 lentelę).
14. Kitas žingsnis – funkcinių užduočių skirstymas į kategorijas. Remiantis Banko veiklos padalinių vadovų nustatytais prieinamumo reikalavimais, suderintais su Saugos ir IT departamentu, visos specialiosios (taikomos) funkcinės užduotys, sprendžiamos TVS naudojančiuose padaliniuose, yra suskirstytos į kategorijas (Išteklių skirstymo į kategorijas nuostatų 2 lentelė). ). Informacija apie specialiųjų užduočių kategorijas įrašoma į užduočių formas. Bendrųjų (sisteminių) užduočių ir programinių įrankių, esančių už konkrečios RM ribų, skirstymas į kategorijas neatliekamas.
Ateityje, dalyvaujant IT specialistams, būtina išsiaiškinti kiekvienos užduoties informacijos ir programinės įrangos išteklių sudėtį ir į jos formą įrašyti informaciją apie užduočių vartotojų grupes bei instrukcijas, kaip nustatyti jai sprendžiant naudojamas apsaugos priemones ( leidimus vartotojų grupėms pasiekti išvardytus užduočių išteklius). Ši informacija bus naudojama kaip nuoroda į atitinkamos RM apsaugos priemonių nustatymus, dėl kurių bus nuspręsta duota užduotis, ir patikrinti jų įrengimo teisingumą.
15. Tada atliekamas visų loginių kanalų suskirstymas tarp funkcinių užduočių. Kanalo kategorija nustatoma pagal maksimalią sąveikoje dalyvaujančių užduočių kategoriją.
16. Paskutiniame etape RM suskirstoma į kategorijas. RM kategorija nustatoma pagal maksimalią joje išspręstų specialiųjų užduočių kategoriją (arba informacijos, naudojamos sprendžiant bendrąsias užduotis, kategoriją). Viename RM galima išspręsti bet kokį skaičių užduočių, kurių kategorijos yra mažesnės už didžiausią įmanomą konkretų RM, ne daugiau kaip viena. Informacija apie RM kategoriją įvedama RM formoje.
Informacijos saugumo problemą vargu ar galima pavadinti toli siekiančia. Iš visų pusių girdime apie įsilaužimus, virusus, kenkėjiškas programas programinė įranga, atakos, grasinimai, pažeidžiamumas...
Informacijos saugumas kaip sistema
Informacijos saugumas – tai visuma priemonių, tarp kurių neįmanoma išskirti svarbesnių. Informacijos saugumas negali būti suvokiamas kitaip, kaip kompleksas. Čia viskas svarbu! Apsaugos priemonių būtina laikytis visuose tinklo taškuose, bet kuriame subjektų darbe su Jūsų informacija (šiuo atveju subjektas reiškia sistemos vartotoją, procesą, kompiuterį ar informacijos apdorojimo programinę įrangą). Kiekvienas informacijos šaltinis, nesvarbu, ar tai būtų vartotojo kompiuteris, organizacijos serveris ar tinklo įranga, turi būti apsaugotas nuo visų rūšių grėsmių. Failų sistemos, tinklas ir kt. turi būti apsaugoti. Šiame straipsnyje mes nenagrinėsime apsaugos įgyvendinimo būdų dėl didžiulės jų įvairovės.
Tačiau reikia suprasti, kad šimtaprocentinės apsaugos užtikrinti neįmanoma. Tuo pačiu reikia atsiminti: kuo aukštesnis saugumo lygis, tuo brangesnė sistema, tuo nepatogu ją naudoti vartotojui, o tai atitinkamai veda prie apsaugos nuo žmogiškojo faktoriaus pablogėjimo. Pavyzdžiui, prisiminkime, kad per didelis slaptažodžio sudėtingumas lemia tai, kad vartotojas yra priverstas jį užrašyti ant popieriaus lapo, kurį priklijuoja prie monitoriaus, klaviatūros ir pan.
Yra daugybė programinės įrangos, skirtos informacijos saugumo problemoms spręsti. tai antivirusines programas, ugniasienės, įmontuoti įrankiai Operacinės sistemos ir daug daugiau. Tačiau verta atsiminti, kad pažeidžiamiausia apsaugos grandis visada yra žmogus! Galų gale, bet kurios programinės įrangos našumas priklauso nuo jos rašymo kokybės ir administratoriaus, konfigūruojančio tam tikrą apsaugos įrankį, raštingumo.
Daugelis organizacijų šiuo atžvilgiu kuria informacijos apsaugos tarnybas (skyrius) arba nustato atitinkamas užduotis savo IT skyriams. Tačiau reikia suprasti, kad tai uždrausta apmokestinti IT paslaugą jai neįprastomis funkcijomis. Apie tai jau daug kartų kalbėta ir rašyta. Tarkime, kad jūsų organizacijoje yra informacijos saugos skyrius. Ką daryti toliau? Kur pradėti?
Pradėkite nuo darbuotojų mokymo! Ir ateityje, kad šis procesas būtų reguliarus. Informacijos saugos pagrindų personalo mokymas turėtų būti nuolatinė informacijos saugos skyriaus užduotis. Ir tai reikia daryti bent du kartus per metus.
Daugelis vadovų stengiasi nedelsiant gauti dokumentą, pavadintą „Organizacijos saugumo politika“ iš informacijos saugos skyriaus. Ar tai teisinga? Mano nuomone - ne. Prieš sėsdami rašyti šio didžiulio darbo, turite nuspręsti dėl šių klausimų:
- kokią informaciją apdorojate?
- kaip suskirstyti pagal savybes?
- kokius resursus turi?
- Kaip informacijos apdorojimas paskirstomas tarp išteklių?
- kaip klasifikuoti išteklius?
Informacijos klasifikacija
Istoriškai, kai tik iškeliamas informacijos įslaptinimo klausimas (pirmiausia tai taikoma valstybei priklausančiai informacijai), ji iškart pradedama klasifikuoti pagal slaptumo (konfidencialumo) lygį. Reikalavimai, užtikrinantys prieinamumą, vientisumą, stebimumą, jei jie prisimena, tada praeina, daugelyje bendrųjų reikalavimų informacijos apdorojimo sistemoms.
Jeigu tokį požiūrį dar galima kažkaip pateisinti būtinybe užtikrinti valstybės paslaptis, tai perkėlimas į kitą dalykinę sritį atrodo tiesiog juokingai. Pavyzdžiui, pagal Ukrainos teisės aktų reikalavimus informacijos savininkas nustato jos konfidencialumo lygį (jei ši informacija nepriklauso valstybei).
Daugelyje sričių konfidencialios informacijos dalis yra palyginti nedidelė. Atvirai informacijai, kurios atskleidimo žala yra nedidelė, svarbiausiomis savybėmis gali būti tokios savybės kaip prieinamumas, vientisumas ar apsauga nuo neteisėto kopijavimo. Kaip pavyzdį paimkime internetinio leidinio svetainę. Visų pirma, mano nuomone, bus informacijos prieinamumas ir vientisumas, o ne jos konfidencialumas. Informacijos vertinimas ir klasifikavimas tik pozicijų ir slaptumo požiūriu yra bent jau neproduktyvus.
Ir tai galima paaiškinti tik tradicinio požiūrio į informacijos apsaugą siaurumu, patirties stoka užtikrinant neslaptos (konfidencialios) informacijos prieinamumą, vientisumą ir stebimumą.
Saugomos informacijos kategorijos
Atsižvelgdami į būtinybę užtikrinti organizacijoje saugomos ir tvarkomos informacijos (kurioje nėra valstybės paslaptį sudarančios informacijos) skirtingus apsaugos lygius, įvardinsime kelias saugomos informacijos konfidencialumo ir vientisumo kategorijas.
- visiškai konfidenciali- informacija, pripažinta konfidencialia pagal įstatymų reikalavimus, arba informacija, kurios platinimo apribojimas buvo nustatytas vadovybės sprendimu dėl to, kad jos atskleidimas gali sukelti rimtų finansinių ir ekonominių pasekmių organizacijai. iki bankroto;
- konfidencialiai- šiai kategorijai priskiriama informacija, kuri nėra klasifikuojama kaip „visiškai konfidenciali“, kurios platinimo apribojimai įvedami vadovybės sprendimu, atsižvelgiant į jai, kaip informacijos savininkui, galiojančių teisės aktų suteiktas teises dėl kad jo atskleidimas gali sukelti didelių nuostolių ir organizacijos konkurencingumo praradimą (padaryti didelę žalą jos klientų, partnerių ar darbuotojų interesams);
- atviras– Į šią kategoriją įeina informacija, kurios nereikalaujama laikyti konfidencialia.
- aukštas- informacija, kurios neteisėtas pakeitimas ar klastojimas gali sukelti didelę žalą organizacijai;
- žemas- šiai kategorijai priskiriama informacija, kurios neteisėtas pakeitimas gali sukelti nedidelę žalą organizacijai, jos klientams, partneriams ar darbuotojams;
- jokių reikalavimų- ši kategorija apima informaciją, kurios vientisumui ir autentiškumui užtikrinti nėra jokių reikalavimų.
Pagal prieinamumo laipsnį pristatome keturias kategorijas, atsižvelgiant į funkcinių problemų sprendimo dažnumą ir didžiausią leistiną delsą gauti jų sprendimo rezultatus:
- realiu laiku- prieiga prie užduoties turėtų būti suteikta bet kuriuo metu;
- valandą- prieiga prie užduoties turėtų būti atlikta be daug laiko s x vėlavimai (užduotis sprendžiama kiekvieną dieną, vėlavimas neviršija kelių valandų);
- dieną- prieiga prie užduoties gali būti suteikta per daug laiko s mi vėlavimai (užduotis sprendžiama kas kelias dienas);
- savaitė- laikinas s Prieiga prie užduoties nevėluojama (užduoties sprendimo laikotarpis yra kelios savaitės ar mėnesiai, leistinas delsimas gauti rezultatą – kelios savaitės).
Informacijos skirstymas į kategorijas
- Visų tipų informacijos, naudojamos sprendžiant problemas konkrečiuose kompiuteriuose, suskirstymas į kategorijas (konfidencialumo, vientisumo ir tam tikros rūšies informacijos prieinamumo kategorijų nustatymas).
- Visų šiame kompiuteryje išspręstų užduočių suskirstymas į kategorijas.
- Remiantis maksimaliomis apdorojamos informacijos kategorijomis, nustatoma kompiuterio, kuriame ji apdorojama, kategorija.
Išteklių inventorius
Prieš kalbėdami apie informacijos apsaugą organizacijoje, turite suprasti, ką ketinate apsaugoti ir kokius išteklius turite. Norėdami tai padaryti, būtina atlikti visų saugotinos organizacijos automatizuotos sistemos išteklių inventorizaciją ir analizę:
- Sudaroma speciali darbo grupė, kuri atlieka inventorizaciją ir saugotinų išteklių skirstymą į kategorijas. Jame yra skyriaus specialistai kompiuterių saugumas ir kiti organizacijos padaliniai, galintys padėti apsvarstyti automatizuoto informacijos apdorojimo technologiją organizacijoje.
- Tam, kad sukurta grupė turėtų reikiamą organizacinį ir teisinį statusą, yra išduodamas atitinkamas organizacijos vadovybės įsakymas, kuriame nurodoma, kad visi atitinkamų organizacijos padalinių vadovai turi teikti pagalbą ir būtiną pagalbą darbo grupei analizuojant 2014 m. visų kompiuterių išteklių.
- Teikti pagalbą grupės darbo metu padaliniuose, jų vadovams turėtų būti skirti darbuotojai, turintys išsamią informaciją apie automatizuoto informacijos apdorojimo šiuose padaliniuose klausimus.
- Šį įsakymą pasirašo visi atitinkamų padalinių vadovai.
- Organizacijos ir automatizuotų posistemių tyrimo (analizės) metu identifikuojamos ir aprašomos visos funkcinės užduotys, sprendžiamos naudojant kompiuterius, taip pat visų rūšių informacija, naudojama šioms užduotims spręsti padaliniuose.
- Apklausos pabaigoje sudaroma užduočių, kurias reikia spręsti organizacijoje, forma. Reikėtų suprasti, kad ta pati užduotis skirtinguose skyriuose gali būti vadinama skirtingai ir, atvirkščiai, skirtingos užduotys gali turėti tą patį pavadinimą. Kartu vedama programinių priemonių, naudojamų sprendžiant padalinio funkcines užduotis, apskaita.
Pažymėtina, kad apklausa identifikuoja visų tipų informaciją (gaunamą, siunčiamą, saugomą, apdorojamą ir kt.). Reikėtų nepamiršti, kad būtina nustatyti ne tik konfidencialią informaciją, bet ir tą, kurios vientisumo ar prieinamumo pažeidimas gali padaryti didelę žalą organizacijai.
Analizuojant organizacijoje tvarkomą informaciją, būtina įvertinti pasekmių, kurias gali sukelti jos savybių pažeidimas, sunkumą. Tam reikia atlikti su juo dirbančių specialistų apklausas (testavimą, apklausą). Tokiu atveju visų pirma vertėtų išsiaiškinti, kam naudinga neteisėtai panaudoti ar daryti įtaką šiai informacijai. Jei neįmanoma kiekybiškai įvertinti galimos žalos, jai turi būti suteiktas kokybinis įvertinimas (maža, didelė, labai didelė).
Norint suprasti prieinamumo kategorijas analizuojant organizacijoje sprendžiamas užduotis, būtina nustatyti maksimalų leistiną rezultatų delsimo laiką, jų sprendimo dažnumą ir pasekmių sunkumą, jei jų prieinamumas pažeidžiamas (blokavimo užduotys).
Analizės metu kiekvienai informacijos rūšiai turėtų būti priskiriamas tam tikras konfidencialumo laipsnis (etiketė) (remiantis galiojančių teisės aktų reikalavimais ir organizacijai suteiktomis teisėmis).
Tuo pačiu, siekiant įvertinti konkrečių informacijos rūšių konfidencialumo kategoriją, struktūrinio padalinio vadovams (vadovaujantiems specialistams) pateikiami asmeniniai įvertinimai dėl galimos žalos dėl informacijos konfidencialumo ir vientisumo pažeidimo.
Baigus analizę sudaromas „Saugotinų informacijos išteklių sąrašas“.
Tada šis sąrašas derinamas su IT ir kompiuterių saugos skyrių vadovais ir pateikiamas svarstyti organizacijos vadovybei.
Pabaigoje šis etapas būtina suskirstyti funkcines užduotis. Remiantis organizacijos padalinių vadovų nustatytais prieinamumo reikalavimais, suderintais su IT tarnyba, visos skyriuose sprendžiamos taikomųjų programų užduotys yra suskirstytos į kategorijas (prieinamumo požiūriu).
Ateityje, padedant IT paslaugų specialistams ir informacijos saugos skyriui, būtina išsiaiškinti kiekvienos užduoties išteklių (informacijos, programinės įrangos) sudėtį ir į formą (konkrečios užduoties) suvesti informaciją apie grupes. šios užduoties naudotojai ir instrukcijos, kaip nustatyti jai išspręsti naudojamas apsaugos priemones (pavyzdžiui, vartotojų grupių leidimų prieiga prie išvardytų užduočių išteklių). Ateityje, remiantis šia informacija, bus sukonfigūruoti kompiuterių, kuriuose bus sprendžiama ši užduotis, apsaugos įrankiai.
Kitas žingsnis yra kompiuterių skirstymas į kategorijas. Kompiuterio kategorija nustatoma pagal maksimalią jame atliekamų užduočių kategoriją ir maksimalias sprendžiant šias užduotis naudojamos informacijos konfidencialumo ir vientisumo kategorijas. Informacija apie kompiuterio kategoriją įvedama į jos formą.
Resursų inventorizavimo sąvoka apima ne tik esamų aktyvių ir pasyvių tinklo resursų derinimą su organizacijos įsigytos įrangos sąrašu (ir jos išsamumu). Ši procedūra įgyvendinama naudojant atitinkamą programinę įrangą, pvz., „Microsoft Systems Management Server“. Tai taip pat apima tinklo žemėlapio su visų galimų prisijungimo taškų aprašymu, naudojamos programinės įrangos sąrašu, organizacijoje naudojamos licencijuotos programinės įrangos standartų fondo sukūrimą, mūsų algoritmų ir programų fondo sukūrimą. nuosavas dizainas.
Pažymėtina, kad programinę įrangą galima leisti veikti tik po to, kai informacijos saugos skyrius patikrins, ar ji atitinka nustatytas užduotis ir ar nėra visokių žymių ir „loginių bombų“.
Šiuo atžvilgiu atskirai norėčiau paminėti atvirojo kodo programinės įrangos kodo naudojimo tendenciją mūsų šalyje. Nesiginčiju, tai leidžia žymiai sutaupyti išteklių. Tačiau, mano nuomone, šiuo atveju saugumo problema tampa ne tik sistemos kūrėjo, bet ir Jūsų administratorės pasitikėjimo klausimu. Ir jei prisimenate, kiek jis gauna, tada nesunku padaryti išvadą, kad tokiu atveju daug lengviau ir pigiau nusipirkti savo paslaptis, nei vykdyti tiesioginį išorinį puolimą. Verta priminti, kad daugumą sėkmingų atakų įvykdė viešai neatskleista informacija, tai yra jų pačių įmonės darbuotojai.
Mano nuomone, vienintelis būdas naudoti atvirojo kodo programinę įrangą, galinčią sukelti rimtą žalą, yra tada, kai ji jums pateikiama sukompiliuota forma ir su skaitmeniniu organizacijos parašu, garantuojančiu, kad nėra loginių bombų, visų rūšių žymių. ir "galinės durys". Be to, garanto organizacija turi prisiimti finansinę atsakomybę už savo garantiją, o tai, mano nuomone, yra neįmanoma. Tačiau pasirinkimas yra jūsų.
Po patikrinimo etaloninė programinė įranga įvedama į algoritmų ir programų fondą (prie referencinės kopijos turi būti pridėtas kontrolinės sumos failas, o geriausia – kūrėjo elektroninis parašas). Ateityje, kai keičiamos versijos ir atsiranda atnaujinimų, programinė įranga tikrinama įprastu būdu.
Ateityje informacija apie įdiegtą programinę įrangą, įdiegimo datą, paskirtį, šios programinės įrangos pagalba išspręstas užduotis, programas įdiegusio ir sukonfigūravusio asmens vardai ir parašai įrašomi į kiekvieno kompiuterio formą. Sukūrusi tokias formas, informacijos saugos tarnyba turi užtikrinti reguliarų tikrosios situacijos atitikties formai patikrinimą.
Kitas žingsnis kuriant informacijos saugos paslaugą – organizacijos rizikos analizė, kuri turėtų tapti pagrindu kuriant saugumo politiką.
skirstymas į kategorijas saugomi ištekliai - įvertindamas apsaugos svarbą išteklių (kategorijų) ir konkrečių išteklių priskyrimą atitinkamoms kategorijoms.
Supaprastintas balų skaičiavimo algoritmas informacinio objekto saugumas:
Inventorius informacijos ištekliai ir saugomos informacijos identifikavimas
Šaltinių identifikavimas potencialus grasinimai
Pažeidžiamų saitų nustatymas informatizacijos objektas
Sąrašas potencialus grasinimai
Įvertinimas galima įgyvendinimas ir pavojus grasinimai , sudarydamas dabartinių grėsmių sąrašą
1. Jei į failą prieinama saugoma informacija , tada visas failas yra apsaugotas ir bylai priskiriamas atitinkamas svarbos lygis;
2. užtikrinimo požiūriu privatumas pilnai nustatoma pagal jam priskirtą slaptumą arba privatumą. Konfidencialiai informacijai konfidencialumo etiketė nustatoma atsižvelgiant į tai, koks asmenų ratas turi teisę su ja susipažinti, ir pirmiausia nustato vartotojas;
3. Informacijos kritiškumo gradacija užtikrinimo požiūriu vientisumas arba prieinamumas vartotojo apibrėžtas ir priklauso nuo išlaidų (laiko, darbo išteklių, finansinių išteklių) lygio ir priimtinumo siekiant atkurti informacijos vientisumą ar prieinamumą;
4. Vykdomieji taikomųjų programų failai, kurių paleidimas suteikia prieigą prie vartotojo duomenų rinkmenų, yra ne mažiau svarbūs tiek vientisumo, tiek jų prieinamumo užtikrinimo požiūriu nei patys vartotojo duomenų failai;
5. Informacinės bylos, kurių vientisumo ar prieinamumo pažeidimas sukelia OS sutrikimą, jų vientisumo ar prieinamumo užtikrinimo požiūriu turi didesnę reikšmę nei kiti sistemoje saugomi failai;
6. Jeigu patalpose saugoma konfidenciali informacija arba patalpos skiriamos konfidencialioms deryboms, tai laikoma, kad pokalbių metu paskleista informacija pareigūnai arba kai perduodama ryšio linijomis, informacija turi aukščiausio lygiošioje patalpoje numatytas konfidencialumas, tai yra, šiai patalpai galimas aukščiausio kritiškumo lygio informacijos nutekėjimas.
skirtingo požiūrio į apsaugą norminio ir metodinio pagrindo sukūrimas. automatizavimo ištekliai. sistemos, pagrįstos jų klasifikavimu pagal rizikos laipsnį, jei pažeidžiamas jų prieinamumas, vientisumas ar konfidencialumas;
organizacinių priemonių, kurių buvo imtasi, tipizavimas ir aparatinės bei programinės įrangos išteklių paskirstymas resursų apsaugai organizacijos AS darbo vietoje ir jų nustatymų suvienodinimas.
« aukštas » - ši kategorija apima neįslaptintą informaciją, kuri yra konfidenciali pagal galiojančių Rusijos Federacijos teisės aktų reikalavimus (banko paslaptis, asmens duomenys);
« žemas „- šiai kategorijai priskiriama konfidenciali informacija, kuri nėra priskiriama „aukštai“, kurios platinimo apribojimai įvedami organizacijos vadovybės sprendimu, atsižvelgiant į jai, kaip informacijos savininkui, galiojančių teisės aktų suteiktas teises;
« jokių reikalavimų » – į šią kategoriją patenka informacija, kuri nėra būtina konfidencialumui užtikrinti (platinimo apribojimai).
« aukštas » - į šią kategoriją įeina informacija, kurios neteisėtas pakeitimas ar klastojimas gali sukelti didelę tiesioginę žalą organizacijai, jos klientams ir korespondentams, kurios vientisumas ir tikrumas turi būti užtikrinamas garantuotais būdais pagal privalomus galiojančių teisės aktų reikalavimus. ;
« žemas „- šiai kategorijai priskiriama infa, kurios neteisėtas pakeitimas, pašalinimas ar falsifikavimas gali sukelti nedidelę netiesioginę žalą organizacijai, jos klientams ir korespondentams, kurių vientisumas (ir, jei reikia, autentiškumas) turi būti užtikrintas vadovaujantis sprendimu. organizacijos valdymo (kontrolinių sumų apskaičiavimo metodai, EDS ir kt.);
« jokių reikalavimų » - šioje kategorijoje yra informacija, kurios vientisumui (ir autentiškumui) užtikrinti nėra jokių reikalavimų.
Reikalingi prieinamumo lygiai funkcinės užduotys:
« netrukdomas prieinamumas » - prieiga prie užduoties turi būti suteikta bet kuriuo metu (užduotis sprendžiama nuolat, delsimas gauti rezultatą neturi viršyti kelių sekundžių ar minučių);
« didelis prieinamumas » - prieiga prie užduoties turėtų būti atlikta be didelių laiko uždelsimų (užduotis sprendžiama kasdien, delsimas gauti rezultatą neturi viršyti kelių valandų);
« vidutinis prieinamumas » - prieiga prie užduoties gali būti suteikiama su dideliais laiko vėlavimais (užduotis sprendžiama kartą per kelias dienas, delsimas gauti rezultatą neturėtų viršyti kelių dienų);
« mažas prieinamumas » - laiko vėlavimai pasiekiant užduotį yra praktiškai neriboti (užduotis išsprendžiama kelių savaičių ar mėnesių laikotarpiu, leistinas delsimas rezultatui gauti – kelios savaitės).
Kategorijos AWP. Priklausomai nuo darbo vietoje sprendžiamų užduočių kategorijų, yra 4 darbo vietų kategorijos: “ A », « B », « C "ir" D “. Sugrupuoti AWP kategoriją "A" apima darbo vietas, kuriose išspręsta bent viena funkcija. pirmos kategorijos užduotis. Kitų šioje darbo vietoje išspręstų užduočių kategorijos neturėtų būti žemesnės už antrąją. Sugrupuoti AWP kategoriją "B" apima darbo vietas, kuriose išspręsta bent viena antrosios kategorijos funkcinė užduotis. Kitų šioje darbo vietoje sprendžiamų užduočių kategorijos turi būti ne žemesnės kaip trečioji ir ne aukštesnės kaip antroji. Sugrupuoti AWP kategoriją "C" apima darbo vietas, kuriose išspręsta bent viena trečios kategorijos funkcinė užduotis. Kitų šioje darbo vietoje išspręstų užduočių kategorijos neturėtų būti aukštesnės nei trečioji. Sugrupuoti AWP kategoriją "D" apima darbo vietas, kuriose sprendžiamos tik ketvirtos kategorijos funkcinės užduotys.
Informacijos saugumo problemą vargu ar galima pavadinti toli siekiančia. Visur girdime apie įsilaužimus, virusus, kenkėjiškas programas, atakas, grėsmes, pažeidžiamumą... Ir kiekvieną kartą, kai turime pagalvoti, ar viskas daroma dėl mūsų saugumo? Ar galime ramiai miegoti? Pabandykime išsiaiškinti, kaip prasideda informacijos saugos tarnybos darbas.
Informacijos saugumas kaip sistema
Informacijos saugumas – tai visuma priemonių, tarp kurių neįmanoma išskirti daugiau ar mažiau svarbių. O kitaip to negalima suvokti. Čia viskas svarbu! Saugos priemonių turi būti laikomasi visuose tinklo taškuose, kai kokie nors subjektai dirba su Jūsų informacija (šiuo atveju subjektas suprantamas kaip sistemos vartotojas, procesas, kompiuteris ar informacijos apdorojimo programinė įranga). Kiekvienas informacijos šaltinis, nesvarbu, ar tai būtų vartotojo kompiuteris, organizacijos serveris ar tinklo įranga, turi būti apsaugotas nuo visų rūšių grėsmių. Turi būti apsaugotos failų sistemos, tinklas ir tt Apsaugos įgyvendinimo būdų šiame straipsnyje nenagrinėsime dėl didžiulės jų įvairovės.
Neįmanoma užtikrinti 100% apsaugos. Kartu reikia suprasti, kad kuo aukštesnis saugumo lygis, tuo sistema brangesnė ir tuo vartotojui tampa nepatogu naudotis, o tai natūraliai pablogina apsaugą dėl žmogiškojo faktoriaus įtakos. . Pavyzdžiui, pernelyg sudėtingas slaptažodis leidžia vartotojams klijuoti slaptažodžio lipdukus ant monitorių, klaviatūrų ir pan. Verta prisiminti faktą, kad, pasak kai kurių Vakarų tyrinėtojų, iki 45% laiko vartotojų palaikymo tarnyba praleidžia atkurdama vartotojų prarastus slaptažodžius!
Yra daugybė programinės įrangos, skirtos informacijos saugumo problemoms spręsti: antivirusinė programinė įranga, ugniasienės, įmontuoti operacinės sistemos įrankiai ir daug daugiau. Tačiau pažeidžiamiausia apsaugos grandis yra žmogus, nes bet kokios programinės įrangos veikimas priklauso nuo jos rašymo kokybės, nuo atitinkamo apsaugos įrankio administratoriaus raštingumo, nuo vartotojų, dirbančių su šia programine įranga, drausmės lygio. . Šiuo atžvilgiu daugelis organizacijų sukuria informacijos apsaugos tarnybas (skyrius) arba nustato atitinkamas užduotis savo IT skyriams. Tačiau IT paslaugos apmokestinti jai neįprastomis funkcijomis neįmanoma. Tai jau buvo pasakyta ne kartą. Juk jei informacijos saugą patikėsite IT skyriui, tai šios užduotys bus atliekamos arba paskutinės, arba nukentės nuo pagrindinių jo užduočių. Ir visa tai įvyks tik tuo atveju, jei jūsų IT skyrius supras, ką ir kaip turi daryti.
Tarkime, kad jūsų organizacijoje yra informacijos saugos skyrius. Ką daryti toliau? Kur pradėti?
Pradėti reikia nuo informacijos saugos skyriaus darbuotojų mokymų, o ateityje tai padaryti įprastu procesu (jie turi būti mokomi bent du kartus per metus). Už nuolatinio personalo mokymą informacijos saugos pagrindų yra atsakingas informacijos saugos skyrius, kuris taip pat turėtų būti vykdomas bent du kartus per metus.
Daugelis vadovų iš karto nori gauti dokumentą iš informacijos saugos skyriaus, pavadintą „Organizacijos saugumo politika“. Ar tai teisinga? Mano nuomone - ne. Prieš pradėdami rašyti šį didžiulį darbą, turite atsakyti į šiuos klausimus:
- kokią informaciją apdorojate?
- kaip suskirstyti pagal savybes?
- kokius resursus turi?
- Kaip informacijos apdorojimas paskirstomas tarp išteklių?
- kaip klasifikuoti išteklius?
Informacijos klasifikacija
Istoriškai, kai tik iškeliamas informacijos įslaptinimo klausimas (pirmiausia tai taikoma valstybei priklausančiai informacijai), ji iškart pradedama klasifikuoti pagal slaptumo (konfidencialumo) lygį. Tuo pačiu metu, jei jie atsimena prieinamumo, vientisumo, stebimumo užtikrinimo reikalavimus, tada kartu su bendraisiais informacijos apdorojimo sistemų reikalavimais.
Jei toks požiūris vis dar gali būti kažkaip pateisinamas valstybės informacijos atžvilgiu, tai perkelti ją į kitą dalykinę sritį yra tiesiog juokinga.
Daugelyje sričių konfidencialios informacijos dalis yra palyginti nedidelė. Atvirai informacijai, kurios atskleidimo žala yra nedidelė, svarbiausios savybės yra tokios kaip prieinamumas, vientisumas ir apsauga nuo neteisėto kopijavimo. Paimkime pavyzdžiu internetinio leidinio svetainę, kuriai, mano nuomone, prioritetas bus informacijos prieinamumas ir vientisumas, o ne jos konfidencialumas.
Jei informaciją vertinsime ir klasifikuosime tik iš slaptumo pozicijos, tai sukels nesėkmę. Pagrindinės tokio elgesio priežastys – tradicinio požiūrio į informacijos apsaugą siaurumas, patirties stoka užtikrinant neslaptos (konfidencialios) informacijos prieinamumą, vientisumą ir stebėjimą. Pagal įstatymo reikalavimus informacijos savininkas nustato jos konfidencialumo lygį (jei ši informacija nepriklauso valstybei).
Saugomos informacijos kategorijos
Remdamiesi poreikiu užtikrinti organizacijoje saugomos ir tvarkomos informacijos (kurioje nėra valstybės paslaptį sudarančios informacijos) skirtingus apsaugos lygius, įvesime kelias konfidencialumo kategorijas ir kelias saugomos informacijos vientisumo kategorijas.
- Suvisiškai konfidenciali- informacija, pripažinta konfidencialia pagal įstatymų reikalavimus, arba informacija, kurios platinimo apribojimai nustatyti vadovybės sprendimu ir kurios atskleidimas gali sukelti rimtų finansinių ir ekonominių pasekmių organizacijai; iki bankroto;
- konfidencialiai- šiai kategorijai priskiriama informacija, kuri nepateko į „visiškai konfidencialią“ kategoriją, kurios platinimo apribojimai buvo įvesti vadovybės sprendimu, atsižvelgiant į jai, kaip informacijos savininkui, suteiktus galiojančius teisės aktus. teisės aktai, kurių atskleidimas gali sukelti didelių nuostolių ir organizacijos konkurencingumo praradimo (padaryti didelę žalą jos klientų, partnerių ar darbuotojų interesams);
- atviras– Į šią kategoriją įeina informacija, kurios nereikalaujama laikyti konfidencialia.
- inaukštas- informacija, kurios neteisėtas pakeitimas ar klastojimas gali sukelti didelę žalą organizacijai;
- žemas- šiai kategorijai priskiriama informacija, kurios neteisėtas pakeitimas gali sukelti nedidelę žalą organizacijai, jos klientams, partneriams ar darbuotojams;
- jokių reikalavimų- ši kategorija apima informaciją, kurios vientisumui ir autentiškumui užtikrinti nėra jokių reikalavimų.
Pagal prieinamumo laipsnį pristatome keturias kategorijas, atsižvelgiant į funkcinių problemų sprendimo dažnumą ir didžiausią leistiną delsą gauti jų sprendimo rezultatus:
- realiu laiku- prieiga prie užduoties turėtų būti suteikta bet kuriuo metu;
- valandą- prieiga prie užduoties turėtų būti atlikta be ilgo laiko s x vėlavimai (užduotis sprendžiama kiekvieną dieną, vėlavimas neviršija kelių valandų);
- dieną- prieiga prie užduoties gali būti suteikta per daug laiko s mi vėlavimai (užduotis sprendžiama kas kelias dienas);
- savaitė- laikinas s Prieiga prie užduoties nevėluojama (užduoties sprendimo laikotarpis yra kelios savaitės ar mėnesiai, leistinas delsimas gauti rezultatą – kelios savaitės).
Informacijos skirstymas į kategorijas
- Visų tipų informacijos, naudojamos sprendžiant problemas konkrečiuose kompiuteriuose, suskirstymas į kategorijas (konfidencialumo, vientisumo ir tam tikros rūšies informacijos prieinamumo kategorijų nustatymas).
- Visų šiame kompiuteryje išspręstų užduočių suskirstymas į kategorijas.
- Remiantis maksimaliomis apdorojamos informacijos kategorijomis, nustatoma kompiuterio, kuriame ji apdorojama, kategorija.
Išteklių inventorius
Prieš kalbėdami apie informacijos apsaugą organizacijoje, turėtumėte aiškiai apibrėžti, ką ketinate apsaugoti ir kokius išteklius turite? Tam būtina atlikti visų saugotinos organizacijos automatizuotos sistemos išteklių inventorizavimo ir analizės darbus. Norėdami tai padaryti, turite atlikti šiuos darbus:
- Sudaroma speciali darbo grupė, kuri atlieka inventorizaciją ir saugotinų išteklių skirstymą į kategorijas. Joje dirba kompiuterių saugos skyriaus ir kitų organizacijos padalinių specialistai, galintys padėti svarstyti apie automatizuoto informacijos apdorojimo technologiją organizacijoje.
- Tam, kad sukurta grupė turėtų reikiamą organizacinį ir teisinį statusą, yra išduodamas atitinkamas organizacijos vadovybės įsakymas, kuriame nurodoma, kad visi atitinkamų organizacijos padalinių vadovai turi teikti pagalbą ir būtiną pagalbą darbo grupei analizuojant 2014 m. visų kompiuterių išteklių.
- Pagalbos teikimui grupės darbo metu padaliniuose jų vadovai turėtų skirti darbuotojus, turinčius išsamią informaciją apie automatizuoto informacijos apdorojimo šiuose padaliniuose klausimus.
- Su šiuo įsakymu supažindina (pasirašo) visų padalinių vadovai.
- Organizacijos ir automatizuotų posistemių tyrimo (analizės) metu identifikuojamos ir aprašomos visos funkcinės užduotys, sprendžiamos kompiuterių pagalba, bei visų rūšių informacija, naudojama šioms užduotims spręsti padaliniuose.
- Apklausos pabaigoje kiekvienai organizacijoje išspręstai užduočiai sudaroma forma. Reikia suprasti, kad ta pati užduotis skirtinguose skyriuose gali būti vadinama skirtingai, ir atvirkščiai – skirtingos užduotys gali turėti tą patį pavadinimą. Kartu vedama programinių priemonių, naudojamų sprendžiant padalinio funkcines užduotis, apskaita.
Apklausa identifikuoja visų tipų informaciją (gaunamą, siunčiamą, saugomą, apdorotą ir kt.). Būtina atsižvelgti ne tik į konfidencialią informaciją, bet ir informaciją, kurios vientisumo ar prieinamumo pažeidimas gali padaryti didelę žalą organizacijai.
Analizuojant organizacijoje tvarkomą informaciją, būtina įvertinti pasekmių, kurias gali sukelti jos savybių pažeidimas, sunkumą. Tam reikia atlikti su juo dirbančių specialistų apklausas (testavimą, apklausą). Kartu reikėtų išsiaiškinti, kam naudinga neteisėtai panaudoti šią informaciją ar daryti jai įtaką. Jei negalite kiekybiškai įvertinti galimos žalos, atlikite kokybinį įvertinimą (maža, didelė, labai didelė).
Norint suprasti prieinamumo kategorijas, būtina, analizuojant organizacijoje sprendžiamas užduotis, išsiaiškinti maksimalų leistiną rezultatų delsimo laiką, jų sprendimo dažnumą ir pasekmių sunkumą, jei jų pasiekiamumas pažeidžiamas (užduočių blokavimas). ).
Analizės metu kiekvienai informacijos rūšiai turėtų būti priskiriamas tam tikras konfidencialumo laipsnis (etiketė) (remiantis galiojančių teisės aktų reikalavimais ir organizacijai suteiktomis teisėmis). Tuo pačiu, siekiant įvertinti konkrečių informacijos rūšių konfidencialumo kategoriją, struktūrinio padalinio vadovų (vadovaujančių specialistų) prašoma asmeninių vertinimų dėl galimos žalos dėl informacijos konfidencialumo ir vientisumo pažeidimo.
Baigus analizę sudaromas „Saugotinų informacijos išteklių sąrašas“. Tada derinamas su IT ir kompiuterių saugos skyrių vadovais ir pateikiamas svarstyti organizacijos vadovybei.
Toliau turite suskirstyti funkcines užduotis į kategorijas. Remiantis organizacijos padalinių vadovų nustatytais prieinamumo reikalavimais, suderintais su IT tarnyba, visos skyriuose sprendžiamos taikomųjų programų užduotys yra suskirstytos į kategorijas. Informacija apie taikomų užduočių kategorijas įrašoma į užduočių formas. Reikėtų pažymėti, kad sistemos užduočių ir programinės įrangos neįmanoma suskirstyti į kategorijas, neatsižvelgiant į konkrečius kompiuterius ir taikomųjų programų užduotis.
Ateityje, dalyvaujant IT tarnybos ir informacijos saugos skyriaus specialistams, būtina išsiaiškinti kiekvienos užduoties išteklių (informacijos, programinės įrangos) sudėtį ir į konkrečios užduoties formą įvesti informaciją apie vartotojų grupes. šios užduoties ir jai išspręsti naudojamų apsaugos įrankių nustatymo instrukcijos (pavyzdžiui, vartotojų grupių leidimų prieiga prie išvardytų užduočių išteklių). Ateityje, remiantis šia informacija, bus sukonfigūruoti kompiuterių, kuriuose bus sprendžiama ši užduotis, apsaugos įrankiai.
Kitas žingsnis yra kompiuterių skirstymas į kategorijas. Kompiuterio kategorija nustatoma pagal maksimalią jame atliekamų užduočių kategoriją ir maksimalias informacijos, naudojamos atliekant šias užduotis, konfidencialumo ir vientisumo kategorijas. Informacija apie kompiuterio kategoriją įvedama į jos formą.
Išteklių inventoriaus sąvoka apima ne tik jūsų turimų aktyvių ir pasyvių tinklo išteklių suderinimą su organizacijos įsigytos įrangos sąrašu (ir jos išsamumu) (tam galite naudoti atitinkamą programinę įrangą, pvz., Microsoft Systems Management Server). Tai taip pat apima tinklo žemėlapio su visų galimų prisijungimo taškų aprašymu, naudojamos programinės įrangos sąrašu, organizacijoje naudojamų licencijuotų programinės įrangos standartų fondu ir mūsų pačių sukurtų algoritmų ir programų fondu.
Pažymėtina, kad programinę įrangą galima leisti veikti tik po to, kai informacijos saugos skyrius patikrins, ar ji atitinka nustatytas užduotis ir ar nėra visokių žymių ir „loginių bombų“.
Šiuo atžvilgiu norėčiau atkreipti dėmesį į mūsų šalyje pasirodžiusią tendenciją naudoti atvirojo kodo programos kodą. Nesiginčiju, tai leidžia žymiai sutaupyti išteklių. Tačiau, mano nuomone, šiuo atveju saugumo klausimas tampa pasitikėjimo klausimu ne tik sistemos kūrėjui, bet ir Jūsų administratoriui. O jei prisimenate, kiek uždirba jūsų administratorius, nesunku padaryti išvadą, kad daug lengviau ir pigiau nusipirkti savo paslaptis, nei vykdyti tiesioginę išorinę ataką. Verta paminėti ir tai apie Daugumą sėkmingų atakų įvykdė viešai neatskleista informacija, tai yra jų pačių įmonės darbuotojai.
Mano nuomone, nemokamą programinę įrangą galite naudoti tik tuo atveju, jei ji jums pateikiama sukompiliuota forma ir su skaitmeniniu organizacijos parašu, kuris garantuoja, kad nėra loginių bombų, įvairių žymių ir užpakalinių durų. Be to, organizacija turi būti finansiškai atsakinga už savo garantiją, o tai, mano nuomone, neįmanoma. Tačiau pasirinkimas yra jūsų.
Po patikrinimo etaloninė programinė įranga įvedama į algoritmų ir programų fondą (prie nuorodos kopijos turi būti pridėtas kontrolinės sumos failas arba dar geriau – kūrėjo elektroninis parašas). Ateityje, kai keičiamos versijos ir atsiranda atnaujinimų, programinė įranga yra tikrinama nustatyta tvarka.
Ateityje į kiekvieno kompiuterio formą įrašoma informacija apie įdiegtą programinę įrangą, jos įdiegimo datą, tikslus, jos pagalba išspręstas užduotis, taip pat programas įdiegusių ir konfigūravusių asmenų pavardės ir parašai. Informacijos saugos tarnyba, sukūrusi tokias formas, turi užtikrinti reguliarų tikrosios padėties atitikties formai tikrinimą.
Ypač norėčiau apsvarstyti tokį sunkų dalyką kaip personalo „inventorizacija“. Kai buvo sukurta jūsų organizacija, visai ne faktas, kad buvo samdomi darbuotojai, kurie suprato, ką ir kaip daryti. Todėl būtina pasitikrinti žinias ir apmokyti personalą. Lygiagrečiai su žinių patikrinimu, privaloma pasirašytinai supažindinti darbuotojus su atitinkamais Baudžiamojo kodekso straipsniais, kad juos pažeidę darbuotojai suprastų, ką daro.
Kitas žingsnis kuriant informacijos saugos paslaugą – organizacijos rizikos analizė, apibrėžianti saugumo politiką.
Išvada
Baigę aprašytą darbą gausite pradinius duomenis saugos politikos, kuri bus paremta atitinkamais tarptautiniais standartais, rašymui.