Что собой представляет политика информационной безопасности

Однажды мне позвонил клиент и попросил прийти к нему в офис. Когда я пришел, он попросил меня установить брандмауэр, чтобы обезопасить свою сеть. Перед тем. как устанавливать брандмауэр, я поинтересовался о политике безопасности компании. Он с любопытством посмотрел на меня и спросил: "А зачем она мне нужна?".

В годы повального увлечения Internet такой ответ скорее является правилом, чем исключением. В организациях проводится продуманная политика управления персоналом, документация которой иногда занимает гору бумаги, но нет никакой политики информационной безопасности. Если же такая политика и разрабатывалась, то, в лучшем случае, вам вручат 5 листов бумаги, в которых описаны активы корпорации с многомиллионным оборотом.

Также как кадровая политика подразумевает наличие четких правил, которым должны подчиняться служащие и администраторы, политика информационной безопасности определяет, каким образом компания хочет обеспечить безопасность информационных активов. Необходимо запомнить один из важнейших постулатов: информация является активами компании. Не всегда руководство компании осознает ценность информационных активов, которыми обладает, но конкуренты вполне могут заплатить тысячи и даже миллионы долларов, чтобы изучить или даже похитить эти активы.

Демонстрация усилий по управлению качеством

Желая угодить заказчику, компании демонстрируют, что их технологии соответствуют стандартам управления качеством продукции. Международная организация по стандартизации (International Standards Organization - ISO) 9001 описывает стандарты управления качеством в технологических и бизнес-процессах. Если компания хочет получить определенный уровень аккредитации, ее политика будет напрвлена на внедрение программы безопасности, отвечающей установленным стандартам управления качеством.

Каким образом нужно разрабатывать правила безопасности

Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики. Заключается ли цель в защите компании и ее взаимодействия с клиентами? Или же необходимо обеспечить защиту потока данных в системе? В любом случае, на первом этапе необходимо определиться в том, что нужно защищать и почему именно это должно быть защищено.

Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, телекоммуникаций, правоприменения и т.д. Перед тем как начинать процесс разработки правил, нужно определить, какие системы и технологические процессы являются важными для выполнения задач компании. Это поможет определить, сколько и каких правил должно быть разработано для успешной деятельности компании. В конце концов с целями нужно определиться, чтобы точно знать, что все стороны деятельности компании охвачены разрабатываемыми правилами.

Когда необходимо иметь разработанные правила безопасности

Лучше всего разработать правила еще до того, как появится первая проблема с безопасностью. Если осуществить это заранее, то администраторы безопасности будут понимать, что именно необходимо защищать и какие меры нужно предпринимать. Кроме того, всегда легче разработать политику для развивающейся инфраструктуры, чем пытаться модифицировать уже существующий режим экономической деятельности.

Критическая оценка, утверждение и претворение в жизнь

Любой корпоративный документ обычно подвергается критической оценке. Правила информационной безопасности - это документы различные по содержанию. В процессе рецензирования должны рассматриваться не только технические аспекты безопасности, но и юридические аспекты, поскольку это имеет непосредственное отношение к организации. До начала разработки правил любого уровня должно быть проведено детальное обследование объекта. Понятно, что предварительное обследование должно быть выполнено разработчиками правил безопасности, и лишь после этого должно выполняться обследование на более низких уровнях. Если в компании есть СIO (Chief Information Officer — руководитель информационной службы компании), то он должен быть в составе комиссии по обследованию объекта. Руководители департаментов или руководители отделов, которые будут иметь непосредственное отношение к разработке правил, также могут участвовать в рецензировании и делать комментарии. И. наконец, поскольку неразбериха в делах никому не нравится, юристы корпорации также должны принимать в этом участие. Юристы понимают раздел правил безопасности, касающийся правоприменения, и знают, каким образом придать правилам законною силу.

Процесс утверждения представляет собой простое одобрение руководством окончательной версии документа. Их утверждение должно состояться после рецензирования. Однако если руководство не благословит эти документы, их эффективность будет ограничена.

И, наконец, после того как правила будут написаны, утверждены, и администраторы получат необходимые инструкции, политика начнет претворяться в жизнь. Если отдельные правила не будут приведены в исполнение, это нарушит целостность всей политики. Это происходит точно так же, как и при невыполнении законов в обществе. Зачем проходить через процесс создания политики безопасности, если ее постановления игнорируются? Правила должны выполняться неукоснительно.

О политике информационной безопасности

Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности. Политика не представляет собой ни директиву, ни норматив, ни инструкции, ни средства управления, Политика описывает безопасность в обобщенных терминах без специфических деталей. Она обеспечивает планирование всей программы безопасности так же, как спецификация определяет номенклатуру выпускаемой продукции. Когда люди заявляют, что технологический процесс не является частью политики, всегда появляются вопросы. Технологический процесс представляет собой детальное описание всех действий. А политика представляет собой изложение целей, которые должны быть достигнуты внедрением этого технологического процесса. Для описания политики используются общие термины, так что политика не оперирует способами реализации. Например, если политика определяет единственное решение производителя для единственного контракта, то в компании возникнут трудности, когда появится необходимость модернизации для создания новой продукции. Несмотря на то, что при разработке политики может потребоваться технологическая документация, сама технологическая документация не должна являться частью политики.

Оценка риска/Анализ или аудит

Единственный способ понять инфраструктуру заключается в полной оценке риска, анализе рисковых ситуаций или полном аудите предприятия. Выполнив все это, разработчики основ политики безопасности смогут хорошо разобраться в информационных технологиях организации. Несмотря на то, что эта работа не доставляет удовольствие, она помогает авторам документов политики всесторонне понять архитектуру системы.

Для оценки степени риска организация может захотеть провести тестирование на преодоление защиты. Это тестирование должно быть выполнено и во внутренней, и во внешней сети, чтобы проверить каждую точку доступа и выявить неизвестные пока точки доступа. Такая всесторонняя оценка позволяет вникнуть в конфигурацию сети. Эта информация будет использована для определения конфигурации , правил доступа в сеть и других правил. Кроме того, такая оценка выявит, насколько сеть обеспечивает выполнение задач организации.

Некоторые администраторы полагают, что они могли бы исследовать систему, определить степень риска и провести инвентаризацию предприятия сами, без посторонней помощи. Несмотря на то. что они, возможно, и могли бы выполнить соответствующую работу всегда лучше пригласить для этого кого-то со стороны. Главная причина заключается в том, что люди извне не знают систему, излюбленных приемов работы и другой информации, которая могла бы подтолкнуть их к предвзятому мнению. Сторонний представитель может прийти в компанию и исследовать системы глазами хакеров. Здесь мы видим широкое поле для творчества. Давайте посмотрим, какая будет от этого польза? Сторонние представители могут выявить уязвимые места, слабости защиты и другие проблемы, которые следует учесть при разработке правил информационной безопасности.

Почему нужно нанимать людей со стороны для оценки степени риска?

Некоторые полагают, что сделать оценку степени риска могут их собственные профессионалы в области систем и защиты информации. Позволим себе не согласиться с этим мнением. Несмотря на то, что люди, работающие в компании, могут быть весьма компетентными, они слишком близко знакомы с технологическим процессом, чтобы суметь отличить технический риск от технологического. Люди извне не обладают такой информацией, поэтому они не будут предвзято утверждать, мол "так должно быть — и точка".

При выборе внешней компании для оценки степени риска, нужно быть уверенным, что ее представители обладают самой последней информацией в сфере защиты и достаточно оснащены технически, чтобы суметь сделать полную оценку степени риска. Они должны понимать, что риски касаются всех аспектов информационной технологии. Поскольку специализированные компании делают это ежедневно, они лучше понимают, какой результат следует ожидать при выполнении своих тестов. Эта объективная точка зрения будет неоценимой для формирования политики безопасности компании.

Определите, какие правила необходимо разработать

Правила информационной безопасности не должны быть единым документом. Чтобы упростить пользование ими, правила могут быть включены в несколько документов. Именно с той же целью эта книга, вместо того чтобы представить сплошной перечень формулировок, разбита на отдельные, объединенные смыслом, главы. Поэтому не стремитесь описать политику компании одним документом, просто разработайте необходимые вам руководящие документы и назовите их главами описания политики информационной безопасности. Тогда их будет легче понимать, легче внедрять и проще организовать изучение этих документов, поскольку каждому аспекту политики безопасности будет посвящен свой собственный раздел. Небольшие разделы также легче корректировать и обновлять.

Сколько различных правил безопасности необходимо разработать? Не хотелось бы отвечать вопросом на вопрос, но, тем не менее, сколько различных видов деятельности и задач поставлено перед вами вашим бизнесом? Для каждой системы, обеспечивающей ваш бизнес, и каждой подзадачи, на которые может быть разбита глобальная цель вашего бизнеса, необходимо разработать отдельный документ. Абсолютно нормально разрабатывать антивирусную защиту отдельно от правил использования Internet. Общепринятая ошибка заключается в попытках втиснуть описание политики безопасности в один документ, который обрисовывает только общие принципы. В результате появляется обширный документ, с которым очень трудно работать, который, возможно, никогда не будет прочитан и не получит никакой поддержки. На рис. 1.1 представлен примерный перечень разрабатываемых правил информационной безопасности.

Рис. 1.1. Примерный список систем, поддерживающих бизнес, для которых разрабатываются правила безопасности

Человечество накопило массу доказательств того, что люди не в состоянии сосредоточить внимание на чем-то одном длительное время. Увы, правила информационной безопасности не являются захватывающей темой. Следовательно, сжатое изложение правил с ясными формулировками и логическим обоснованием в четко скомпанованном документе дадут шанс этому документу быть прочитанным. И не стоит стараться ошеломить свою аудиторию.

Почему важно работать по правилам информационной безопасности

Несмотря на то, что политика не отвечает на вопрос, каким образом должны достигаться технологические цели, все же, определив должным образом, что необходимо обезопасить, мы тем самым обеспечиваем надлежащее управление процессом. В правилах безопасности описано, что должно быть защищено и какие ограничения накладываются на управление. Несмотря на то. что в них не обсуждается ни номенклатура производимого продукта, ни производственные циклы, все же правила безопасности помогут лучше ориентироваться и при выборе продукта, и при выборе путей развития компании. Реализация требований политики обеспечит более высокую защищенность всей системы.

Когда в разработке политики информационной безопасности принимает участие руководство, это говорит о том, что руководство приветствует идею создания политики безопасности, наделяя доверием всю программу безопасности. Поддержка руководства всегда важна. Без поддержки руководства служащие не станут воспринимать политику серьезно. Поэтому, если не иметь поддержку вышестоящего руководства, программа внедрения политики безопасности будет обречена на неудачу еще до окончания ее разработки.

Как получить поддержку руководства

Вначале нужно подобрать соответствующую аргументацию. Нужно доказать руководству, что системы обработки информации и сама информация стоят немалых денег. Можно продемонстрировать, каким образом постороннее лицо или обиженный чем-то собственный сотрудник может с легкостью получить доступ к важной информации, а это может привести к большим экономическим потерям. Можно показать результаты исследований, статьи и даже эту книгу. Но если это их не убедит, то можно подождать до первой беды.

Руководство может заявить, что каждый должен нести ответственность за безопасность на своем участке работы. Такой подход может иметь успех, но только короткий период времени, потому что при этом не происходит развитие компании. Если один отдел использует один стандарт, а другой отдел использует друтой стандарт, то возможность их взаимодействия станет проблематичной. Работа по единым правилам гарантирует, что в организации используются одни и те же стандарты, когда дело касается безопасности. Такая слаженность дает возможность работать организации как единому механизму, облегчает взаимоотношения с клиентами, и вообще поднимает значение информационной защиты всей системы.

И, наконец, политика информационной безопасности поможет наладить четкую работу. Мы живем в правовом обществе. Если пытаться внедрять правила, которые не написаны четко, то нужно быть готовым к судебным разбирательствам. Если вы решите уволить служащего за нарушение правил безопасности, которые никогда не существовали в письменном виде, не были вручены служащему, одним словом не были внедрены в организации, то этот служащий может подать в суд на компанию. Это звучит неприятно, но будет еще неприятней, когда придет повестка в суд.

После прорыва защиты

После прорыва защиты внедрение установок политики безопасности подобно усилиям закрыть двери коровника, когда корова уже убежала. Несмотря на то. что вроде бы уже слишком поздно, в коровнике еще могут быть коровы, которых можно сохранить. Не стоит думать, что раз это уже случилось, больше оно не повторится. Поскольку один раз это уже произошло, оно вполне может произойти снова.

Если вы приступили к разработке политики безопасности после того, как защита была взломана, не нужно фокусировать свое внимание на той части системы, в которой был прорыв защиты. Хотя и эту часть системы нужно учесть в вашей разработке, тем не менее, ее нужно рассматривать как одну из многих критичных с точки зрения защиты частей. Нужно всегда рассматривать проблему вцелом и никогда не фокусировать внимание на отдельной детали. Только таким способом можно разработать удовлетворительную политику информационной безопасности.

и не описывают, каким образом

1. Правила, составляющие политику безопасности
Не заменяют инструкции и стандарты.
Не являются производственными директивами и средствами управления.
Описывают безопасность в общих терминах и не описывают, каким образом ее осуществлять.
2. Правила важны для
Обеспечения качественного управления.
Выбора номенклатуры выпускаемой продукции и общего процесса развития.
Демонстрации поддержки руководства.
Устранения препятствий.
Обеспечения последовательной и полной защиты вместо разрозненных усилий.
3. Правила должны быть разработаны
До возникновения проблем с безопасностью.
Для устранения препятствий в бизнесе.
После прорыва защиты.
Для документального подтверждения соответствия стандартам качества и управления качеством (например, ISO 9001).
4. Правила должны быть разработаны путем
Определения объема и целей разработки руководящих документов.
Определения того, какие правила должны быть разработаны.
Оценки степени риска или EDP (electronic data processing— электронная обработка данных) аудита.
Выполнения тщательного обследования объекта, утверждения и претворения в жизнь инструкций.

Соответствие документации

Правительственные чиновники, подрядчики государственных заказов, те, кто нанят подрядчиками для выполнения государственных заказов и сотрудники прочих предприятий, работающих в государственном секторе экономики, должны обеспечивать надежную и безопасную работу систем на своих предприятиях. Правительство и другие заказчики испытывают все большую потребность в четко определенных правилах информационной безопасности. Даже в самом начале нового проекта наличие наработок в области политики безопасности демонстрирует заказчику, что он имеет дело с серьезным партнером, способным обеспечить защиту и своих информационных активов, и активов заказчика.

Создается впечатление, что требования правительства к безопасности постоянно меняются. Единственное, что остается постоянным — это требования, устанавливаемые правительственными службами к подрядчикам касательно следования правилам безопасности. Если компания работает с правительством, ее первой заботой должно быть наличие политики безопасности, начиная с заключения соглашения и выполнения правовых норм, и заканчивая претворением проекта в жизнь.

Уменьшение степени риска

Как известно, бизнес не возможен без риска. Для уменьшения степени риска принимаются меры предосторожности. При разработке политики безопасности анализируются бизнес-процессы и применяются лучшие методы для обеспечения их защиты. Это также может уменьшить потери, понесенные компанией, в случае утери важной информации.

Информационная безопасность и защита компьютеров от вирусов стали неотъемлемой частью вечерних новостей. Это значит, что правовые органы серьезно взялись за борьбу с преступлениями в сфере электронной обработки информации. Все больше дел поступает в суды, чтобы распространить писанные законы на совершенно новый вид преступлений, совершенных в электронном мире. Компании, не имеющие четко разработанных правил, обнаружили, что им стало трудно выяснять отношения в суде, так как суд рассматривает только четкие формулировки. Компании, которые разработали четкие правила безопасности еще до того, как им пришлось столкнуться с необходимостью защищать свои права в суде, имеют несомненное преимущество.

Новая экономика предусматривает страховые надбавки на электронную информацию. Электронная информация и компьютеры, на которых она обрабатывается, стали неотъемлемой частью бизнеса, поэтому компании стремятся застраховать эти активы. В свою очередь, страховые компании интересуются политикой безопасности и методами ее реализации компаниями. Первый вопрос, который вам зададут при заключении договора страхования, будет касаться именно политики безопасности. Только зная политику безопасности страхуемых компаний, сами страховые компании могут определить политику страхования. Страховым компаниям известно, что без разработанной политики безопасности компания не знает степень защищенности своих активов, и, соответственно, страховать операции таких компаний слишком рискованно.

И, наконец, политика безопасности, в которую включены методики разработки программного обеспечения, будет стимулировать разработку более защищенных систем. Руководствуясь такими принципами и стандартами, разработчик сможет работать согласно установленным нормативам, испытатели систем будут знать, какие результаты должны быть получены, а администраторы будут понимать, что требуется от конкретного технологического процесса. Развитие компании по индивидуальному проекту всегда требует больших материальных затрат и ответственного отношения к работе. Путем разработки и внедрения правил разработки программного обеспечения, а также предоставив разработчикам нормативы разработки, риск в бизнесе может быть значительно уменьшен.

Анализ данных защиты

Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).

Аппаратные средства и программное обеспечение

Средствами обеспечения бизнес-процессов являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности. Поэтому важно провести полную инвентаризацию системы, включая карту сети. Существует множество способов проведения инвентаризации или создания карты сети. Независимо от используемых методов необходимо удостовериться, что задокументировано ей. Ниже следует примерный перечень аппаратных средств и программного обеспечения, которые необходимо инвентаризовать. Возможно, для вашей системы этот список окажется неполным, вам следует самостоятельно решить, каким образом его модифицировать, чтобы он соответствовал задачам вашей компании.

Архивное хранение резервных копий

Кое-кто считает, что последняя задача, которую нужно решить при создании резервных копий, это то, как сохранять носители информации или защитить данные. В качестве одного из этапов контроля и учета операций с данными должно стать особое сообщение во время работы. Если при повседневной работе не обеспечиваются меры по защите данных, то вам стоит самостоятельно разработать правила защиты.

При рассмотрении архивирования резервных копий в первую очередь нужно определить, где будут храниться эти данные: на месте эксплуатации или вне систем? Некоторые организации имеют хранилища для хранения магнитных лент и дисков. В этом случае достаточно иметь правила хранения резервных копий на месте эксплуатации. В противном случае в создании реальных правил может помочь изучение повседневной и наиболее производительной работы.

Несколько лет назад автор извлек магнитную ленту из хранилища, где его компания хранила резервные ленты. Это хранилище было специально спроектировано для хранения 9-дорожечной ленты на срок до 6 лет и поддерживалось в надлежащих условиях. Вышеупомянутая лента была записана 18 месяцами ранее. Автор установил ленту в локальный накопитель и попытался считать ее содержимое. После промотки всего лишь нескольких десятков метров накопитель выдал сообщение об ошибке, и система отказалась считывать ленту.

Сделав еще несколько безуспешных попыток прочитать разные ленты, автор просмотрел регистрационный журнал службы архивации и обнаружил, что специалист по эксплуатации системы настраивал головки накопителей уже после того, как кто-то пожаловался на то, что не может прочитать ленту, присланную клиентом. Несмотря на необходимые настройки, ленты, записанные за три месяца до даты ремонта, были нечитабельны. Если бы эту проблему предусмотрели заранее, то был бы шанс восстановить данные. К несчастью, никаких правил работы с данными или проверки резервных копий не существовало. Руководствуясь этим, автор стал настаивать на том. чтобы внести в правила предложение проводить тестирование архива.

Это привело к возникновению других вопросов: Почему хранилище оказалось заполненным архивами шестилетней давности? Нужно ли нам хранить данные в течение шести лет? Этой компании они были нужны, но необходимо ли другим организациям сохранять информацию столь долгий срок? Если нет, какой срок хранения назначить? В случаях, когда максимальное время хранения дольше, чем время жизни носителя (стандартное время жизни магнитной ленты составляет около двух лет), то, возможно, необходимо установить порядок, который предписывал бы использование носителей однократной записи. Отметим выражение "носитель однократной записи". Вспомним урок из главы 1 "Что собой представляет политика информационной безопасности". Если в правилах не записаны конкретные средства для хранения резервных копий, то есть правила безопасности описаны лишь общими терминами, это позволит людям создать архивы на основе оптимальной технологии. Это позволит воспользоваться новейшими технологиями, на основе которых можно архивировать данные на более долгий срок.

Что должно быть защищено

На первых нескольких страницах этой книги неоднократно повторялось, что политика информационной безопасности должна обеспечивать защиту выполнения задач компании или защиту делового процесса. Эти повторения делались по причине того, что общепринятой ошибкой является подход к компьютерам и программному обеспечению с технической точки зрения вместо того, чтобы выяснить, с какой целью они были вообще закуплены. Как мы помним, компьютеры являются средством для обработки интеллектуальной собственности компании, диски предназначены для хранения этой собственности, а сети — для свободного перемещения этой информации и участия ее во всех бизнес-процессах. Если мы примем это во внимание, то сможем разработать логичную, действенную политику безопасности.

Компьютерные преступления

Когда автор писал этот раздел, он просмотрел три различных инструкции для прокуроров, основанные на различных подходах к тому, что подпадает под определение компьютерное преступление. В каждой инструкции делается попытка увязать локальные прецеденты (судебные определения и заключения) с действующим законом. Единственное, в чем они последовательны, это непоследовательность их требований.

Понятие компьютерного преступления в различных судебных округах отличается. Даже в Соединенных Штатах каждый из федеральных судебных округов может по-разному интерпретировать один и тот же закон. Для компании из Ныо-Иорка правовые нормы могут быть совсем не те, что для компании в Силиконовой Долине. Способ определить, что дозволено в этой области, заключается в переговорах с окружным судьей, генеральным прокурором или адвокатом. Они знают судей и принятые стандарты доказательств, чтобы успешно выиграть дело.

Однако, правило, по которому компании следует докладывать обо всех случаях криминальной деятельности, может не отвечать интересам компании. Возьмем хотя бы историю банка, в чьи системы проникли хакеры и похитили около 11 миллионов долларов! Этот банк сразу же принял решение не докладывать об инциденте судебным органам, опасаясь негативной реакции прессы. Имея в активах миллиарды долларов, было нетрудно списать 11 миллионов на убытки.

Однажды этот банк должен был доложить о понесенном убытке в связи с другим судебным иском. Как только пресса узнала, каким образом банк потерял 11 миллионов, этой негативной рекламы стало достаточно, чтобы повлиять на курс акций и вызвать дополнительное расследование со стороны федеральных инспекторов. В результате возникла проблема в связях с общественностью, что обошлось довольно дорого.

К определению того, о чем докладывать, а о чем не стоит, нужно относиться серьезно. Правила, устанавливающие порядок в этой сфере, должны обсуждаться на уровне высшего исполнительного руководства, которое несет ответственность за свои решения при возникновении проблем. С другой стороны, запись о том, что руководство должно принимать решения в этом конкретном случае, вынудит их рассмотреть все правила информационной безопасности. По их реакции можно будет определить, насколько серьезно руководство относится к этой проблеме. Па этой стадии разработки правил неплохо бы знать, насколько реальна поддержка руководства.

Лицензирование COTS

Правила лицензирования коммерческого программного обеспечения COTS (commercial off-the-shelf) должны учитывать, что в большинстве случаев организации не владеют правом собственности на программное обеспечение или данные, регламентированным соответствующими лицензиями. Лицензии COTS разрешают использование программного обеспечения с определенными ограничениями. Это означает, что все правила COTS базируются на соблюдении существующих лицензий.

Индустрия программного обеспечения расширяет правоприменение процедур лицензирования с помощью альянса производителей коммерческого программного обеспечения BSA (Business Software Alliance). Используя обычно сведения, поступающие от недовольных служащих, BSA проводит аудит и докладывает о лицензионном статусе собственнику программного обеспечения. После расследования BSA поддерживает компанию в судебных процессах против компаний, нарушивших законы о хранении и использовании информации.

Строгие правила COTS предусматривают периодический просмотр лицензионных соглашений, нормативов на приобретение прав собственности, подтверждений лицензий на программное обеспечение, а также протоколов регистрации продукции, поступивших от производителей. Кроме того, должны быть разработаны правила, определяющие права копирования, а также установлен строгий контроль за этими ресурсами и отчетность за них.

Обсуждая политику COTS, автор не раз слышал одно широко распространенное суждение: "Лицензии на программное обеспечение являются собственностью и должны рассматриваться в качестве таковой". Эта идея не нова. Такие лицензии представляют собой материальную собственность с определенной стоимостью, которая может быть подсчитана и обесценена так же, как и станочный парк в рабочих цехах. Таким подходом будет доволен финансовый директор компании, если он или она будет учитывать стоимость программного обеспечения при определении суммы амортизационных отчислений на оборудование, установки и материалы.

Обработка данных

Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.

А как насчет использования данных третьей стороны, которые могут быть конфиденциальными и запатентованными? Большинство источников информации связаны соглашениями о совместном использовании и контроле информации, которые входят в условия приобретения данных. При учете информационной базы организации в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах также необходимо определить, кто работает с данными и на каких условиях собираются и. возможно, распространяются эти данные.

Учет и обработка внешних данных

Данными от внешних источников может являться любая информация, предоставленная источником вне компании. Всякий раз, когда эти данные поступают, они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Независимо от того, являются ли эти данные обычной информацией или последней версией программного продукта, необходимо предусмотреть механизмы для соблюдения соглашений, согласно которым приобретаются и используются эти данные.

Одним из довольно сложных вопросов является сбор информации из источников с общедоступной информацией, которая при работе объединяется с другой информацией. Для служащих не составляет труда вырезать и вставлять информацию с Web-узлов и других источников во внутреннюю документацию. Поскольку согласно стандартам законного использования это вполне легитимно, служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно, если эта информация цитируется дословно.


Они, конечно, должны сами это знать. Тем не менее, это должно быть установлено правилами и быть включено в программу предупредительной безопасности.

Поскольку информацию, используемую организацией, используют совместно и другие компании, организация может также захотеть совместно использовать их информацию. Независимо от того, является ли это соглашением о партнерстве или каким-то иным видом деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве интеллектуальной собственности. В разрабатываемые правила информационной безопасности могут быть включены следующие пункты, касающиеся защиты рассредоточенной интеллектуальной собственности.

Использование информации компании в неделовых целях

Определение требований, касающихся использования интеллектуальной собственности

Передача информации третьей стороне

1. Соглашения о конфиденциальности

2. Полностью открытая информация

Защита открытой информации

Довольно сложно предугадать, как сложатся обстоятельства бизнеса, и что можно разглашать и на каких условиях, но в правилах должны быть учтены эти процессы. Один из способов выяснить их влияние на политику безопасности заключается в том, чтобы разобраться, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации адвокаты, работающие в комиссии, могли бы собрать все эти соглашения и замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя.

Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то, что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики руководства должны определить, каким образом маркировать данные согласно их уровням защиты.Это оказывается необходимым во многих случаях. В частности, персонал, работающий с информацией здравоохранения, является кандидатом номер один для маркировки защиты.

Определение целей политики

Теперь, поскольку мы уже знаем, что собой представляют правила информационной безопасности, и располагаем поддержкой руководства, следующим этапом будет выяснение, что именно необходимо защитить. Этот вопрос выходит за рамки аппаратных средств и программного обеспечения, а охватывает всю систему целиком. Очень важно понять суть деловых операций, которые сопровождают технологический процесс. Разработанные нами документы политики безопасности могут остаться на пыльной полке, если они будут препятствовать компании заниматься своим бизнесом.

Определение лиц, от которых необходимо установить защиту

Определение доступа представляет собой процесс выяснения, каким образом осуществляется доступ к каждой системе и компоненту сети. Сеть может иметь систему для обеспечения сетевой аутентификации и другие вспомогательные системы поддержки наподобие intranet. Но необходимо выяснить, все ли системы имеют доступ такого типа? Каким образом предоставлять доступ к данным при обмене информацией между системами? Поняв, как распределяется доступ к информационным ресурсам, можно определить, на кого должны распространяться правила информационной безопасности. Ниже представлены некоторые соображения о праве доступа к данным.

Санкционированный и несанкционированный доступ к ресурсам и/или информации Непреднамеренное и/или несанкционированное разглашение информации Общая схема проведения работ Ошибки в программах и ошибки пользователей

В первую очередь необходимо определить, кто может иметь доступ к ресурсам и на каких условиях. Например, доступ к данным, касающимся трудовых ресурсов, может предоставляться только персоналу, которому разрешен доступ к кадровой информации, но не всем сотрудникам компании. При разработке правил безопасности может быть предусмотрен прямой доступ к кадровой информации, но при этом в них должно быть определено, что означает выражение "прямой доступ". Правилами, естественно, может быть предусмотрено ограничение доступа тем, кто вообще не должен иметь право доступа'к таким данным.

После определения круга лиц, которые могут иметь право доступа, необходимо подумать над тем, какими должны быть механизмы правоприменения и наказания за несанкционированный доступ. Будет ли организация применять закон? Какие дисциплинарные меры будут применяться по отношению к служащим, которые нарушили установленные правила? Что можно сделать с точки зрения закона?

Законное основание действий компании очень важно. В нашем противоречивом обществе важно конкретно обосновывать виды нарушений установленных правил. В некоторых правилах достаточно указать, что служащие могут быть уволены и "преследоваться в судебном порядке с полным применением законных мер". Однако в других формулировках может потребоваться специфический язык, разъясняющий соответствующие законы. Поэтому при разработке правил безопасности было бы неплохо пригласить в состав комиссии юриста.

Этот совет распространяется и на внешний доступ к системам организации. Употребив выражение "внешний доступ", мы говорим об ограничении доступа не только посредством Internet. Доступ можно получить и через виртуальные частные сети (VPN — Virtual Private Network), частные сети, наподобие клиентской сети, которая использует ретрансляцию кадров (Frame Relay) или модемы. Необходимо определить эти точки доступа, а также разработать правила получения права доступа к ним. Поскольку правила, определяющие права доступа, являются весьма важной основой безопасности любой организации, эта тема полностью раскрыта в главе 5 "Аутентификация и безопасность сетей".

По причине того, что нынешний цикл развития программного обеспечения приходится на так называемую "эру Интернета", всем нам приходится считаться с общими для всех изъянами программного обеспечения и общими ошибками пользователей. Речь идет о непреднамеренных вторжениях в защиту сети, которые могут помешать работе по выполнению важных задач. Хотя довольно сложно заранее предусмотреть, что делать в случае отказа в работе или обнаружения ошибок, все же необходимо провести и такой вид анализа. Один из способов рассмотрения непреднамеренного создания проблем и возможных вторжений в системы заключается в использовании метода анализа живучести сети (SNA Method — Survivable Network Analis Method). Для получения более подробной информации о методе SNA см. Приложение Б.

Анализ живучести сети

При анализе сети на живучесть с использованием метода SNA вначале проводятся три этапа, а именно: сбор данных о системе, определение основных характеристик и предварительная оценка уязвимых элементов системы. Эти три этапа очень важны для аналитика — они помогают выяснить сущность целевого назначения работы этих систем и находить необходимые компромиссные решения в проекте системы. В методе SNA для анализа того, как применяется сеть, исследуется архитектура сети и рабочие сценарии.

Суть метода SNA заключается в необходимости определения двух типов рабочих сценариев сети:

1. Стандартные рабочие сценарии (NUS — normal usage scenarios);

2. Рабочие сценарии вторжения (IUS— intrusion usage scenarios).

При анализе NUS определяется, каким образом должна использоваться система и ее компоненты в "нормальных" условиях. Таким образом, все, что не является нормальным, может рассматриваться при анализе вторжения. IUS можно использовать для определения потенциальных воздействий на систему при успешных атаках или аварийных ситуациях. Этот тип анализа очень полезен для понимания того, каким образом компоненты сети взаимодействуют в системе.

Персонал и данные персонала

Организация может набирать персонал и собирать информацию о персонале различными способами. Эти способы затрагивают и общение по электронной почте, в процессе которого собирается информация с WеЬ-узлов. Компании, которые занимаются продажей товаров и услуг, могут собирать данные о клиентах на основе заказов/входных сообщений или звонков в отдел обслуживания покупателей. Даже объявления о продаже или наведение справок потенциальными покупателями могут дать информацию об отдельном лице или компании. Независимо от того, каким образом приобретены эти данные, для каждого типа данных должны быть сформулированы правила, касающиеся использования этих данных.

Политика секретности и государственная политика в Соединенных Штатах

В то время, когда писалась эта книга, создатели государственной политики в Вашингтоне обсуждали практику сбора и обработки данных о персонале в течение цикла их деловой деятельности. В недавних сводках новостей Федеральная торговая комиссия (FTC — Federal Trade Commission) рекомендовала, чтобы конгресс одобрил законы, требующие раскрывать, каким образом компании используют информацию, которую собирают путем доступа к Web-узлам. Этот вопрос встал на повестку после выяснения того, что многие Web-узлы не проводят политику секретности и не соблюдают правила информационной безопасности, описанные ниже.

В настоящее время директивы FTC о секретности представляют собой всего лишь рекомендации и не являются частью государственного законодательства. По просьбе FTC Конгресс рассмотрел эти предложения. По причине множества спорных вопросов прогнозируется, что обсуждение этих предложений затянется очень надолго.

Один из таких вопросов заключается в том, каким образом внедрять политику безопасности, когда ваша организация функционирует вне страны. Компании США, которые занимаются бизнесом в Европе, например, должны соблюдать строгие правовые нормы, охраняющие неприкосновенность личной жизни в Германии и Скандинавии. Несмотря на то, что эти нормы могут быть непопулярными внутри вашей организации, при работе вне Соединенных Штатов следование им может оказаться очень полезным.


Подробная информация об этом содержится в Приложении Б.

Когда речь идет о соблюдении правил секретности, нужно установить, что не только организация должна обеспечивать соблюдение конфиденциальности информации, касающейся служащих или клиентов, но и сами служащие должны соблюдать права конфиденциальности организации. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации не может быть доступным без предварительного согласия.

Дать определение политики секретности не так легко. Поскольку правила представляют собой лишь указания, а не являются рабочими инструкциями, некоторые организации предпочитают определять, что необходимо защитить в рабочей документации. Один из наилучших способов разграничить эти понятия, заключается в том, чтобы выяснить, что должно быть включено в правила соблюдения секретности, и составить одну или несколько общих формулировок. Эти формулировки и являются правилами. Таким образом вопрос о том, как обрабатывать информацию, относится уже к области технологии.

Права интеллектуальной собственности и политика безопасности

Каждая организация независимо от ее функций имеет интеллектуальную собственность, которую необходимо защищать. Даже если организация не проводит политику информационной безопасности, она, возможно, имеет разработанные правила и процедуры для защиты ее интеллектуальной собственности. Однако разные организации определяют эту собственность по-разному. Например, компания, являющаяся ценообразователем на рынке, будет защищать технологические процессы от разоблачения их конкурентами, чтобы те не выяснили, какие проводятся меры для снижения уровня цен.

Для большинства профессионалов информационной безопасности разработка правил защиты интеллектуальной собственности, является одной из самых сложных задач. Не только такие правила влияют на бизнес-процессы, но и совокупность правовых нормативов интеллектуальной собственности, которые могут различаться в разных штатах и странах. Когда планируется и разрабатывается политика в определенной области, весьма разумно проконсультироваться с юристом, который специализируется в данной области. На предварительных стадиях планирования стоит рассмотреть несколько вопросов, касающихся правил защиты интеллектуальной собственности.

Кто владеет правами интеллектуальной собственности? Выдача патента, авторских прав и других прав интеллектуальной собственности должны быть регламентированы правилами независимо от того, какое отношение они имеют к информационной безопасности, к корпоративному руководству или управлению персоналом. Изложение этих понятий в виде согласованных правил может обеспечить прочную основу для защиты собственности компании в суде, если это будет необходимо.

Что собой представляют права на программы и документацию? После того, как установлено право на интеллектуальную собственность, следует разобраться, какие права имеют служащие на программы, технологические процессы и документацию? Раз служащие могут иметь доступ к технической документации, в которой описываются новейшие бизнес-технологии или планы модернизации, в правила должно быть включено предупреждение, чтобы они не выносили эту документацию с предприятия и не обсуждали эту информацию с другими. Правилами также можно определить права доступа к документам или процессам.

Всем источникам информации должно быть присвоено авторство. С помощью графического интерфейса пользователя GUI (Graphical User Interface), а также всемирной "паутины" WWW (World Wide Web), путем копирования из окна броузера в окно, открытое редактором или любым другим текстовым процессором можно легко получать информацию. Иногда это даже слишком просто. Копирование чужих документов и включение их в свои документы без ссылки на авторов является плагиатом. Конечно, можно использовать отдельные кусочки из чужих документов по принципу "когда от многого берешь немножко - это не кража, а просто бережка", но все-таки лучше и эти кусочки сопровождать ссылками на подлинного автора. В правилах может быть сказано, что компания не будет закрывать глаза на плагиат, несмотря на то, что стандарты установления авторства определяются лишь руководствами по стилю.

Присвоение авторских прав в интеллектуальной собственности. Если работа защищена патентом, авторскими правами или условиями неразглашения, она должна сопровождаться соответствующей информацией. Не будем цитировать судебные решения, которые были вынесены не в пользу собственников интеллектуальной собственности, когда те не регистрировали свои права и не приняли своевременных мер по защите своих прав. Некоторые компании считают, что достаточно того, что все напечатанные материалы содержат на каждой странице слова "Собственность компании" ("Company Confidential"). В этих вопросах могут помочь юристы, которые специализируются на законах об интеллектуальной собственности.

Работая с интеллектуальной собственностью, независимо от того, является ли она собственной разработкой организации или приобретена, необходимо четко знать свои права на эту собственность, подтвержденные договором. Например, многие программы позволяют пользователю создавать одну копию с целью резервирования, но не позволяют работу нескольких копий одновременно. Что касается печатных работ, здесь все еще действует закон "от многого немножко", который позволяет делать ограниченное количество копий для персонального пользования. Поскольку печатные материалы используются и для производственных целей, необходимо посоветоваться с юристом о том, каким образом разрешено их использовать.

Технический персонал и интеллектуальная собственность

Существует множество городских легечд, связанных с использованием и защитой интеллектуальной собственности. Один из моих знакомых говорит, что способ обеспечения авторского права без заполнения необходимых бумаг заключается в отправлении десяти копий работы себе по почте. Почтового штемпеля на нераспечатанных конвертах, мол, будет достаточно для фиксирования даты и места выполнения работы.

Технический персонал имеет тенденцию наивно верить, что с помощью этих легенд они смогут заработать много денег. Позже они обнаруживают, что эти схемы не обеспечивают защиту. Интеллектуальная собственность является таким запутанным предметом, что мифы и легенды не должны служить руководством в обеспечении защиты наиболее важных активов организации. Лучше вместо этого переговорить с юристом, который специализируется в этой области. Юрист объяснит, что эти десять конвертов только пополнят казну почтовой службы.

Примерный инвентаризационный список

Аппаратные средства	Программное обеспечение
центральные процессоры платы клавиатуры терминалы рабочие станции персональные компьютеры принтеры дисководы коммуникации терминальные серверы маршрутизаторы диагностическое оборудование	исходные программы объектные программы утилиты диагностические программы операционные системы связные программы

Один из способов составления карты сети заключается в определении потоков информации в каждой системе. Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес-процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры по обеспечению живучести системы. В свою очередь, с помощью этой схемы можно определить, где должна храниться информация, включая базы данных, как эта информация должна перемещаться в системе, дублироваться, контролироваться и регистрироваться администратором.

Реагирование на инциденты и судебные разбирательства

Автор этой книги подписался и получает по электронной почте все информационные листки, касающиеся информационной безопасности. В этих сообщениях описываются различные подробности изъянов и других уязвимых мест в защите, которые могут создать проблемы с безопасностью систем и сетей. Некоторые из них представляют интерес для всех, в то время как другие касаются только пользователей продукции конкретного производителя. Большинство из них содержат информацию, представленную пользователями, а некоторые содержат информацию производителя. Автор понимает, что то количество информационных листков, на которое он подписался, чрезмерно для администраторов, но поскольку он работает с клиентами, ему необходимо получать последние сведения в полном объеме.

Однажды, сидя у себя, вы находите просчет в разработанной системе безопасности, и если бы хакер или злонамеренный служащий использовал этот просчет и атаковал систему, то это бы привело к нарушению работы сети организации. Вместо того чтобы забросить эту информацию, постарайтесь опубликовать ее.

Некоторые люди понимают, что информирование об инцидентах является важной службой в сообществе Internet. Поэтому они начинают докладывать о проблемах, которые обнаруживают. Многие организации этого сообщества ввели у себя правило сообщать об инцидентах. Можно отправлять информацию более чем 30 различным организациям, которые занимаются реагированием на инциденты. Чтобы помочь этим службам, ваша организация могла бы проводить политику реагирования на инциденты, поддерживая связь с одной (или несколькими) группой (группами) обработки информации об инцидентах через одного ответственного за эту работу. Возложив ответственность за это дело на одного человека (можно с дублером), можно передавать информацию с единственного официального источника, так что она не будет потеряна в море сообщений.

Координационный центр CERT

Дедушкой всех подразделений реагирования на инциденты является Координационный центр CERT (CERT/CC) в Карнеги Мэллон университете в Питсбурге (Computer Emergency Response Team - группа реагирования на нарушения компьютерной защиты в сети Internet). Основанная в 1988 году как бригада компьютерной "скорой помощи" в кооперации с Департаментом безопасности компании Internet Worm, CERT/CC собирает информацию об инцидентах, касающихся компьютерной безопасности и, проведя исследования, определяет, нужно ли об этой проблеме широко оповещать. Несмотря на то, что методы CERT/CC рассматриваются как несколько спорные, они обеспечивают ценные услуги обществу. CERT/CC является не только службой реагирования на инциденты. В Приложении Б представлен список и других его услуг.

Резервирование, архивация и уничтожение информации

Правила обработки зарезервированной на внешних носителях или внесистемных устройствах информации должны быть столь же строги, как и в отношении обработки доступной оперативной информации. Резервные данные могут содержать финансовую информацию, историю взаимодействий с клиентами и даже копии текущих рабочих документов. Если не обеспечить защиту данных, один бог знает, что могло бы случиться, если бы конкуренты получили и проанализировали эту информацию. А что, если они обнаружат данные, от которых необходимо избавиться? Поэтому правила резервирования должны отражать сами процессы архивирования данных и предоставить инструкции, в которых будет определено, от каких данных и в какое время необходимо избавляться.

В этой главе обсуждались цели

В этой главе обсуждались цели и задачи, определяющие, что именно нужно защищать. Эти цели относятся не только к аппаратным средствам и программному обеспечению, составляющим систему, но и охватывают весь технологический процесс при подготовке производства. Ваша способность обеспечить поддержку решений политики безопасности определит успех документа.
1. Выясните, что должно быть защищено.
Аппаратные средства. Центральные процессоры, платы, клавиатура, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы и маршрутизаторы.
Программное обеспечение. Исходные программы, объектные программы, утилиты, диагностические программы, операционные системы и коммуникационные программы.
Данные. Текущие, хранимые централизовано, автономные архивы, резервные копии, регистрационные журналы, базы данных, а также передаваемые по каналам связи.
Документация. Программная, на аппаратные средства, на системы, и документация внутреннего делопроизводства.
Расходные материалы. Бумага, бланки, красящая лента и магнитные носители.
2. Определите, от кого нужно защищаться.
От несанкционированного доступа к ресурсам и/или к информации.
От непреднамеренного и/или несанкционированного раскрытия информации.
От ошибок в программном обеспечении и ошибок пользователей.
3. Анализ безопасности данных.
Обработка данных (целостность и конфиденциальность).
Работа со сторонней конфиденциальной запатентованной информацией (кто предоставил и на каких условиях).
Защита открытых данных (соглашения о конфиденциальности и записи о полной открытости информации).
Кадры и данные о персонале (право на неприкосновенность личной жизни и правила раскрытия).
Правила лицензирования COTS (периодический просмотр, регистрация, свидетельство о соблюдении правовых норм, копирование).
4. Резервные копии, архивное хранение и уничтожение данных.
Резервирование. Что резервировать, когда, каким методом, насколько часто резервировать и как часто пересматривать процедуры резервирования.
Архивное хранение резервных копий. Выбор между хранением на месте эксплуатации и хранением на внесистемных носителях, защита архива, документирование, тестирование, период хранения.
Уничтожение данных. Ответственное лицо и система контроля.
5. Правила защиты интеллектуальной собственности.
Информация как важные активы компании.
Выдача патента, авторских прав и других прав интеллектуальной собственности.
Ссылки на источники информации.
Присвоение авторских прав интеллектуальной собственности.
Защита прав интеллектуальной собственности (наблюдение и надлежащее обеспечение).
6. Реагирование на инциденты и судебные процессы.
Отчетность об инцидентах и стратегия реагирования.
Назначение ответственного лица.
Работа с поставщиками услуг в сфере реагирования на инциденты и с бригадами реагирования.
7. Компьютерные преступления.
Понимание того, что компьютерные преступления реально зависят от законодательных мер.
Определение того, о каких инцидентах стоит докладывать, а о каких не стоит.
Работа в законодательном поле.

Соображения резервирования

Почему организация дублирует информацию вне своих компьютеров? Для восстановления системы после выхода из строя? Для сохранения важных данных? Хочет ли организация хранить копию состояния системного программного обеспечения? Как часто выполняется резервирование? Осуществляется ли это ежедневно, еженедельно или же раз в месяц? Каким образом это делается? Как часто происходит сверка и пересмотр этого процесса?

Как ответить на эти вопросы, чтобы резервирование обеспечило быстрое восстановление важных бизнес-процессов после аварийного отказа? В описание всего бизнес-процесса необходимо включать процессы восстановления и обработки информации, необходимой для обеспечения его поддержки. Эти сведения помогут ответить на эти вопросы и установить правила этой работы.

Общепринятая ошибка при разработке правил резервирования заключается в предоставлении специальных опций в пакете программного обеспечения, используемого компанией. Определяя, каким образом резервирование поддерживает бизнес-процесс, разработчики правил должны постараться ограничить документ, описывающий, что должно быть сделано, и не конкретизировать процессы резервирования до уровня предоставления специальных опций. Ниже следует несколько вопросов, на которые стоит обратить внимание при рассмотрении правил резервирования.

1. Какие данные должны быть зарезервированы?

Только пользовательские данные?

Вся система?

Вся база данных или файлы журналов?

2. Как часто необходимо проводить резервирование?

3. Каким образом должно выполняться резервирование: автоматически, путем многократного копирования или путем пересылки данных?

4. Как часто необходимо пересматривать процедуры резервирования?

5. Где лучше сохранять резервную информацию: на месте эксплуатации или на внесистемных носителях? Каким образом обеспечить защиту памяти, хранящей резервные копии на месте эксплуатации?

6. Кому разрешить выполнение резервирования?

Кому предоставить право доступа к резервным данным?

Кому разрешить восстанавливать эти данные?

Стратегия реагирования на инциденты

Другой аспект работы с инцидентами заключается в реагировании на них. Реагирование на инциденты необходимо, когда обнаружен несанкционированный доступ в сеть: когда бригада реагирования обращается к организации и сообщает, что возникла проблема, и им нужно войти в компьютеры организации; или когда кто-нибудь обращается в службу связи с общественностью с сообщением, что в операционной системе или программном обеспечении, которым пользуется организация, имеется проблема.

Подобно отчетности об инцидентах, правилами реагирования на инциденты должна быть определена одна точка для контакта. Это контактное лицо должно отвечать за сбор всех сообщений и готовить меры реагирования на них независимо от того, кто их присылает. Естественно, контактное лицо должно определять, имеет ли сообщение об инциденте какое-то отношение к организации. Правилами безопасности этому лицу могут быть определены полномочия на выполнение всех необходимых действий для решения любой проблемы, возникающей на основе этих сообщений, а также дано право привлекать необходимых специалистов к исследованию этой проблемы.

Работа с независимыми бригадами реагирования подобна работе с любыми независимыми службами за исключением того, что исполнитель работ, заключая с вами договор, может потребовать, чтобы ваша организация работала через отдельное контактное лицо. Например, ваша организация может захотеть, чтобы реагированием на инциденты занимался сотрудник безопасности. Ну, а исполнитель работ может пожелать работать непосредственно с системными администраторами организации, минуя сотрудника безопасности. Разрешение на это требует незначительной корректировки правил, и это должно быть сделано, чтобы обеспечить тесное сотрудничество с бригадой реагирования.

Учет трудовых ресурсов

Наиболее важным и ценным ресурсом компании является персонал, который работает и хранит активы компании, учтенные при инвентаризации. Учет персонала, задействованного в технологическом процессе компании и имеющего доступ к системам, данным и внекомпьютерным ресурсам, обеспечит понимание того, какие правила информационной безопасности необходимо разработать.

Учет персонала можно упростить вплоть до составления типовой схемы организации компании. Но может оказаться весьма обременительным включение тысячи или даже нескольких сотен служащих в один большой документ. Более того, структурные схемы организации пользуются дурной славой негибких документов, не предполагающих изменений или роста в структуре компании. Помимо этого, в инвентаризационный документ может быть включен тип работы, выполняемой подразделением, наряду с уровнем доступа служащих этих подразделений к данным предприятия. Например, если у компании имеется крупный отдел продаж, то создание структурной схемы этого подразделения с указанием имени каждого сотрудника, может спровоцировать самолюбивые устремления служащих, а сама схема перестанет служить по своему прямому назначению. Так что будет лучше, если структурная схема будет включать "Отдел продаж", помеченный отдельным номером, где точно может быть и не указана работа продавцов.

Положительный аспект такой реализации заключается в том, что руководство будет понимать, кто работает в организации и в каком подразделении. В качестве одного из этапов этого процесса руководство может увидеть дублирование работ, определить сильные и слабые стороны персонала, а также выявить узкие места в организационной структуре. Такой анализ похож на анализ живучести сетей с той разницей, что он проводится в социальной сфере. Руководителям не нужно напоминать, что они должны руководствоваться результатами такого анализа.

Уничтожение данных

"Разгребание мусора" является общепринятой практикой индустриального шпионажа для поиска ценной информации. Коллега, с которым автор книги работал в данной области, рассказывал потрясающие истории о том. чего только не выбрасывали в утиль некоторые компании. Однажды ему выпала необыкновенная удача. Он собрал более двух дюжин бобин с магнитной лентой из мусорной корзины конкурента, на которых содержалась конфиденциальная информация компании.

Каким образом организация удаляет данные? Если это делается путем выбрасывания лент без стирания записанной на них информации, то собиратели мусора непременно обнаружат секреты компании. Определение процедуры утилизации данных имеет такую же важность, как и определение того, какие данные выбрасывать. Необходимо быть уверенным, что правилами четко определены процедуры удаления или утилизации данных, а также установлены требования к обеспечению того, что данные не смогут быть считаны.

Один из способов обеспечения гарантий того, что установленные правила будут выполняться, заключается в том, чтобы возложить ответственность по утилизации данных на одно лицо, а контроль за этим процессом — на другое лицо. Правила должны гарантировать, что работа будет вестись согласно регулярному расписанию и по жестким инструкциям, а также обе ответственные стороны смогут обеспечить контроль над тем, чтобы лица, не предусмотренные этими правилами, не смогли получить доступ к данным.

Внекомпьютерные ресурсы

Инвентаризация, как и правила информационной безопасности, должна охватывать не только аппаратные средства и программное обеспечение. Должен еще быть перечень программной документации, документации на аппаратные средства, системы, административную инфраструктуру, а также прочая документация, описывающая все технологические процессы. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показывать области, которые могут быть атакованы. Следует помнить, что бизнес-процессы могут быть объектами как индустриального шпионажа, так и хакеров и оскорбленных служащих.

Схемы информационных потоков и живучести системы

Жизучесть— это способность системы выполнять свои задачи и важные процессы во время атак, повреждений и аварийных ситуаций. Она основывается на исследованиях, проведенных координационным центром CERT (www.cert.org) университета Карнеги Меллон. Эти исследования показывают, что вместо того, чтобы использовать традиционную модель защиты типа крепости, сети нужно рассматривать как несвязанные независимые объекты с определенными маршрутами коммуникаций и специфическими надежными взаимосвязями.

Анализ системы на предмет живучести включает в себя определение требований к сети, предъявляемых со стороны особенностей ведения бизнеса, архитектуру сети, насколько она удовлетворяет этим требованиям, а также поиск компромиссных решений для обеспечения того, чтобы средства, обеспечивающие живучесть системы, не нарушали бизнес-процесс. Частью такого анализа является исследование потоков информации в системе. Исследование этих потоков и анализ критических процессов помогут выявить точки, в которых должны быть усилены меры защиты, а также показать, какие ограничения на архитектуру системы накладываются требованиями технологии.

Для получения дополнительной информации об исследованиях CERT на живучесть см. Приложение Б "Ресурсы".

Подобным образом должна быть проведена инвентаризация всех формуляров, бланков особого учета организации и других материалов с названием организации, используемых в качестве официальных бумаг. Использование бланков счет-фактур и бланков организации может дать кому-то возможность имитировать официальную деятельность компании и использовать информацию для похищения денег или даже дискредитации организации. Поэтому необходимо учитывать все эти бланки во время инвентаризации, чтобы можно было разработать правила защиты этих активов.

Аудит и контроль

Аудит и контроль важны при внедрении и контроле за соблюдением требований безопасности. Однако если эта работа не будет составной частью бизнес-процесса, то есть вероятность того, что эти меры никогда не будут осуществлены. Необходимо осознать, что эта работа является контролем качества выполнения программы информационной безопасности. В результате работа по обеспечению внутреннего аудита средств управления информационной системы, будет выполняться постоянно, а не отдельными кавалерийскими наскоками.

Позже в этой книге мы поговорим о проведении независимой экспертизы. Однако в этой главе мы ограничились рассмотрением функций того, кто организовывает и следит за проведением такой экспертизы.

Интеграция информационной безопасности в бизнес-процесс организации

Основной целью распределения обязанностей по защите информации является интеграция информационной безопасности в среду бизнеса. В качестве одного из этапов этой интеграции необходимо определить должности, которые обеспечивают безопасность всей работы. Например, один из способов осуществления этого заключается в распределении обязанностей и контроля над активами организации путем координирования работы каждого, включая ответственных за информацию и материально ответственных сотрудников. При таком подходе, не возникнет двусмысленностей относительно того, кто, за что и когда отвечает.

Еще одним аспектом исследований является вопрос, каким образом организовано управление безопасностью в организации. Обычно в организации формируется главная группа управления информационной безопасностью. Главная группа отвечает за внедрение и контролирует исполнение правил безопасности и процедур. Будем рассматривать подход, принятый для неограниченных систем (см. главу 2 "Определение целей политики"), когда главная группа управления информационной безопасностью назначает администраторов безопасности для многопользовательских систем, в которых имеется большое число подразделений. Тогда в каждом подразделении будет свой собственный сотрудник безопасности или посредник, который будет помогать внедрению программы безопасности подразделения. Таким образом можно обеспечить более тесное сотрудничество тех, кто следит за безопасностью, с пользователями Это похоже на институт участковых милиционеров, принятый в милиции.

Тесное сотрудничество сотрудников службы безопасности с остальным персоналом будет полезным и при управлении связями в реальном времени со сторонними организациями. Но утроза безопасности исходит не только от собственных служащих, но и от клиентов, поставщиков, а также от каждого, кто, подключаясь к информационным активам организации, имеет возможность нарушить правила безопасности. Посредники должны отвечать за обучение перечисленных выше аутсайдеров, а также контролировать их деятельность и стимулировать ее.


Так работают в небольших организациях. Во многих из них, особенно в сторонних организациях, немногочисленный персонал делят на "отделы", в которых один человек назначается посредником со службой безопасности.

Тем не менее, это не лучшее решение. Некоторые люди, работающие в организации достаточно большой период времени, могут найти способы разобраться в тонкостях работы системы и злоупотребить этим в каких-то своих целях. Единственный способ предотвратить это заключается в том, чтобы не допускать пребывание сотрудника продолжительное время в роли посредника по безопасности, например, не более одного-двух лет. По завершению этого срока они передают свою работу кому-нибудь другому. Другой способ заключается в том, чтобы установить порядок проверок и учета. Система снабжения организации является одним из управляемых процессов. Даже несмотря на то, что большая часть закупок проходит этап утверждения руководством, часто такое утверждение проходит формально, и оплата проходит без последующих уведомлений. Зато посредник безопасности в бухгалтерии будет следить за нарушениями в порядке закупок и отгрузки заказов.

Один ревизор поделился впечатлениями о своей работе, которую все считают очень сложной. Мало кто способен выполнять эту работу. Ревизор должен знать все тонкости бизнеса, особенности клиентов и поставщиков, знать старые и новые правила делопроизводства, а также - денежные потоки организации. Только зная все это, ревизор сможет разобраться в счет-фактурах и заявках на закупки и определить, нет ли в них каких-то нарушений.

И последним аспектом, который следует учесть в процессе реализации программы защиты информации, является цикл развития программного обеспечения. Независимо от того, разрабатывалось ли программное обеспечение собственными силами или организацией-подрядчиком, или же были закуплены коммерческие программные продукты (COTS - Commercial Off-The-Shelf), целью должно быть создание безопасных систем, в которых можно бы было легко локализовать ошибки или попытки вторжения.Внедрение стандартов кодирования и тестирования также будет содействовать обеспечению качественных производственных процессов. Более того, использование такой парадигмы как живучесть, также может стать основой для проектирования программного обеспечения, с которым не будет проблем при развертывании или в процессе эксплуатации.

Комитет по управлению информационной безопасностью

Один из способов перебросить мост между двумя группами заключается в создании Комитета по управлению информационной безопасностью. В обязанности этого комитета будет входить контроль за изменениями в планировании бизнеса и определение того, каким образом правила информационной безопасности должны отражать эти изменения. Другой целью этого комитета может быть анализ производственных процессов и обеспечение гарантий соответствия их правилам безопасности, а также удовлетворение запросов на исключения из этих правил.

Чтобы комитет работал успешно, необходимо, чтобы в него входили специалисты различного профиля, наподобие состава группы, которая разрабатывает документы, определяющие политику безопасности. Однако разница в том, что этот комитет должен состоять исключительно из представителей руководства, которые будут понимать суть политики безопасности с позиций и экономических, и технических перспектив. Техническое руководство должно осознавать суть проблем бизнеса и иметь доступ к информации для того, чтобы оказывать помощь в принятии правильных решений по вопросам безопасности. Необязательно каждому члену комитета быть руководителем исполнительного уровня, но было бы неплохо, чтобы в комитете были представители и исполнительного персонала.

Конкретные задачи информационной безопасности

Единственным способом, гарантирующим, что любой из работающих в настоящее время в организации или принимаемый на работу служащий, или пользователь будет знать, что обеспечение безопасности является частью его или ее работы, является включение соответствующих записей в должностные инструкции. Изложение функциональных обязанностей и требований безопасности в должностных инструкциях демонстрирует сотруднику важность информационной безопасности и заставляет осознать, что она является неотъемлемой частью его работы. После того, как эти обязанности и требования введены в должностные инструкции, к ним начинают относиться с пониманием того, что они влияют на оценку профессиональной пригодности работника.

Сторонние подрядчики, поставщики или другие лица, которые предоставляют услуги непосредственно в сети компании, должны включать подобные формулировки в свои рабочие предписания (SOW). Как и в случае с собственными служащими, такие записи документально подкрепляют обязательства компании, а также заставляет подрядчиков и поставщиков строго следовать правилам требований безопасности организации, так как по этим показателям будет оцениваться качество предоставляемых ими услуг.

Обязанности ответственных за информацию

Если организация приняла решение распределить права на информацию, необходимо рассмотреть, какие обязанности имеют ответственные за информацию лица. Инструкции, изложенные в правилах безопасности, должны определять круг ответственных за информацию лиц, кому разрешен доступ к особым средствам управления информацией. Слово "особые" подразумевает, что ответственные за информацию имеют доступ к таким средствам управления, с которыми не могут работать все остальные. Подобные формулировки правил могут быть составлены и для администрирования средств управления доступом в рамках тех функций, которые дозволены администратору.

Самая важная обязанность ответственного за информацию заключается в разрешении и отмене права доступа к информации компании. При разработке правил, которые связаны с правом доступа к информации, необходимо учитывать, что в правилах должна быть регламентирована работа и самого ответственного за информацию. Кроме того, в правилах доступа к информации необходимо оговорить возможность восстановления данных и функций управления доступом. Например, в правилах могут быть следующие формулировки.

Если ответственное за информацию лицо будет отсутствовать, то нужно назначить кого-то, кто будет действовать от его имени.

Пароли, используемые при управлении информацией, в свою очередь должны содержать пароль или ключ, с помощью которого можно получить доступ к этим паролям в случае, если с ответственным за информацию что-то случится.

Должны существовать механизмы для замены ответственного за информацию.

Следует помнить, что рассматриваемые механизмы являются частью правил безопасности. Нужно избегать соблазна регламентировать последовательность действий ответственного за информацию.

Обязанности руководства

Обязанность руководства заключается не только в материально-технической и организационной поддержке. Недостаточно одного благословения программы информационной безопасности: руководство должно признать программу частью производственного процесса. Признание руководством программы информационной безопасности частью производственного процесса показывает, что отношение руководства к ней точно такое же, как и к другим задачам, стоящим перед организацией.

Обычно, когда такое говорят представителям руководства, их это шокирует и приводит в ужас. Прежде всего, они не обучались технологии или основам информационной безопасности. Им объясняют, что они и не должны понимать, как это работает, но им необходимо быть уверенными, что их бизнес надежно защищен, а решения безопасности не мешают бизнес-процессу. Руководство намечает определенные цели для организации, а большинство профессионалов в сфере безопасности и информационных систем не желают понимать или вникать в эти нюансы. Это не нападки на руководство или на технический персонал, но годы разногласий и непонимания настроили две эти группы враждебно по отношению друг к другу.

Обе группы должны понимать, что безопасность не является чем-то таким, что может быть сложено в красивую папку и поставлено на полку. Она является целью, за осуществление которой должны бороться обе эти стороны. Это становится ясно после анализа степени риска, стоимости и требований гарантии защищенности доступа к информации. Руководящий состав должен нести ответственность за проведение анализа и возложение обязанностей на технический персонал, отвечающий за внедрение правил информационной безопасности.

Обязанности в области информационной безопасности

Те, кто читает эту книгу с первой главы, вероятно, хотел бы, чтобы она сразу начиналась с описания разработки правил безопасности. Однако перед тем как начать разрабатывать правила безопасности, необходимо получить ясное понимание ролей и обязанностей отдельных лиц в организации по отношению к безопасности. Как уже говорилось в первых двух главах, для успеха программы информационной безопасности поддержка руководства является наиболее важным моментом. Наряду с этой поддержкой должна быть и ответственность за дальнейшее участие в этой программе. В этой главе расписываются обязанности руководства и тех, кто претворяет программу в жизнь. Понимание роли этих групп необходимо для успешной реализации программы безопасности. Глава заканчивается обсуждением контрольного инструктажа и материально-технического обеспечения.

Обучение и поддержка в области защиты информации

После разработки правил безопасности необходимо организовать обмен мнениями между разработчиками, руководством и каждым сотрудником организации, чтобы всем разъяснить предписания политики и ее значение. На этом заключительном этапе планирования необходимо запланировать обучение персонала. Это обучение необходимо каждому, кто имеет доступ к компьютерам и сетям компании. Сотрудники должны располагать необходимыми записями, включая программу обучения и сам курс обучения, а также все утвержденные документы принятых корпоративных правил безопасности.

Руководство должно не только выделить время на обучение, оно должно всячески поощрять его. Автор был привлечен в одну компанию для проведения обучения в специально выделенное время, а именно, когда служащие не были заняты с клиентами или не были больны, они должны были посещать занятия. Предписания политики позволяли не выплачивать служащим жалованье до тех пор, пока они не пройдут курс обучения или не просмотрят его на видеопленке. Необязательно доходить до таких крайностей, но такой способ дает гарантию 100%.

Следует помнить, что разработав большое число различных правил безопасности, нужно позаботиться, чтобы все они были применимы в ваших конкретных условиях. Это означает, что невозможно спланировать программу обучения персонала как "одну для всех". Планы обучения должны быть тесно согласованы с политикой безопасности организации. Необходимо также понимать, что не каждому служащему необходимо обучение по всем аспектам безопасности. Например, персоналу технического сопровождения не нужно изучать правила безопасности, установленные для разработчиков программного обеспечения. При разработке планов и программ изучения правил безопасности следует обеспечить, чтобы каждый аспект правил безопасности был изучен соответствующим персоналом.

Понятие управления безопасностью и применения закона

Во время написания этой книги стало известно, что Microsoft, якобы, подверглась атаке хакеров из-за океана. В сообщениях говорилось, что предположительно, хакеры использовали для внедрения в программы вирусы "троянский конь" и смогли извлечь исходные тексты программ, разработанных Microsoft. Имели место и другие известные вторжения и последующее преследование злоумышленников. К сожалению, за исключением нескольких особых случаев, большинство правонарушителей так и не были пойманы.

По сравнению с другими сферами применения закона юриспруденция компьютерных преступлений и информационной безопасности находится в зачаточном состоянии. Как и во времена Дикого Запада, преступники изобретают новые преступления, а полиция должна решать новые проблемы. Прежде всего, проблемы касаются юрисдикции. Среда Internet, многонациональные корпорации и бурный рост всемирных коммуникаций делает условными границы между штатами, провинциями, странами и континентами. Даже если будут найдены злоумышленники, причинившие ущерб компании Microsoft, и выяснится, что они из-за океана, то, собственно, законы какой страны применять по отношению к этим правонарушителям?

Под чью юрисдикцию это подпадало?

В 1999 году компьютерные студенты на Филиппинах создали вирус, который атаковал популярную коммерческую почтовую программу, что причинило убытки на миллионы долларов, исходя из предполагаемых затрат на восстановление программного обеспечения. Когда эксперты вычислили, что сообщения с вирусами приходили с Филиппин, министерство юстиции Соединенных Штатов стало работать вместе с должностными лицами Филиппин, чтобы арестовать хакеров. Представители министерства юстиции заявили, что их юрисдикция распространяется на все преступления, даже если злоумышленники являются гражданами Филиппин. Но власти Филиппин не смогли арестовать преступников, поскольку на Филиппинах не существовало закона, согласно которому можно бы было предъявить обвинения хакерам.

Между Соединенными Штатами и Филиппинами заключен договор об экстрадиции, но достаточно ли он эффективен для того, чтобы хакеры предстали перед судом в Соединенных Штатах? До сих пор хакеры обвиняются в преступлении, но все еще пребывают на Филиппинах. Пройдет немало времени, прежде чем дипломаты осознают, какой вред наносят компьютерные преступления и заключат эффективные договоры, способные защитить национальные и международные инфраструктуры.

Другая проблема заключается в том, чтобы понять, как повлияло на закон появление компьютеров. Несмотря на то, что существует много законов, касающихся компьютерных преступлений, все они написаны и приспособлены для бумажного мира. Даже, несмотря на то, что существуют законы, отражающие развитие телефонии, правоведы все еще набираются опыта, оставляя нас среди множества разнообразных и противоречивых законов.

Но все это сказано не для того, чтобы вы опустили руки, столкнувшись с преступлениями такого рода. Наоборот, необходимо готовиться к тяжелым битвам, чтобы виновные в преступлении все-таки предстали перед судом. Первое, что нужно сделать — это изучить законодательство. Ясно, что администраторы и персонал службы безопасности раньше не изучали законодательство, но существует множество источников, из которых можно узнать, какую защиту обеспечивает закон (ссылки можно найти в Приложении Б "Ресурсы").

Иной важный аспект законодательства заключается в определении того, что требуется в юрисдикции для предъявления обвинения в преступлении. Законы различны не только в разных странах: в различных судебных округах США федеральный закон также применяется по-разному. К сожалению, федеральные окружные суды напоминают феодальные поместья; прецеденты в одном из них никак не влияют на другие до тех пор, пока дело не дойдет до Верховного Суда. Это означает, что необходимо понимать, какие нормы права действуют в округе, в котором будет рассматриваться ваше дело.

Один из лучших способов определить, какие действуют правовые нормы, проконсультироваться у местных юристов. Среди профессионалов в области физической безопасности общепринято обсуждать свои планы с полицией и прокуратурой. Тем не менее, за исключением ФБР, сотрудничества с национальным центром безопасности инфраструктур (NIPC— National Infrastructure Protection Center), может и не получиться, поскольку они могут и не понимать, как можно оказать помощь.

Нуждаемся ли мы в NIPC?

Национальной центр безопасности инфраструктур был организован в 1998 году на основании указа президента, в качестве службы, в которой правоохранительные органы могли бы получать информацию о том, как обеспечивать безопасность появляющихся важных информационных инфраструктур. Несмотря на такую благородную концепцию, кое-кто считает, что ФБР не должно собирать и хранить такую информацию. Некоторые даже с содроганием вспоминают времена Гувера (J.Edgar Hoover), когда в архивах хранились файлы с компрометирующей информацией. Нужно ли привлекать ФБР, если будут собираться данные такого рода?

Работая пока не очень уверенно, NIPC уже предоставил массу полезной информации службам, следящим за соблюдением закона. Программа NIPC InfraGuard разработана для того, чтобы объединить усилия государственною и частного секторов экономики для защиты информационных ресурсов. Успех этого мероприятия зависит от развития сотрудничества в экономике. Тот, кто хочет получить больше информации о NIPC, может посетить Web-сайт www.nipc.gov.

Главное, на чем нужно сосредоточить внимание после совершения преступления — сбор улик. Поэтому, в качестве этапа предварительной подготовки, ознакомьтесь с правилами сбора свидетельских показаний. Эти правила изложены в инструкциях, которыми руководствуются прокуроры при представлении этих показаний в суде. Поэтому, правила информационной безопасности нужно разрабатывать на основании этих инструкций, чтобы уметь правильно обработать данные, системы, сети и системные журналы после того, как было совершено преступление. Это нужно представить в виде четких руководств, прилагаемых к правилам, работая по которым можно быть уверенным в надлежащей защите улик. Нельзя забывать, что без предоставления соответствующих доказательств прокурор может использовать формулировку "за недостатком улик", и преступники окажутся на свободе.

Право на информацию

Одной из самых сложных задач руководства или комитета по управлению является распределение ответственности за информационные ресурсы или средства управления ими, что также называется правом на информацию. Лицо, которому предоставлено право на информацию, становится ответственным за сохранность информационных активов согласно установленным правилам.

Для многих людей право на информацию представляет собой довольно непростую концепцию. В традиционной модели безопасности данные и средства управления ими хранятся на серверах под бдительным надзором администратора или администраторов. Администратор должен понимать, как функционирует система, и как установить средства управления доступом. Проблемы начинаются тогда, когда администратор вынужден иметь дело с набором разнотипных средств управления большим числом разнотипных серверов, баз данных, средств хранения данных или, проще говоря, "ресурсов". Чтобы поддерживать ощущение порядка, администратор следует правилам, пытаясь привести их к единому знаменателю, как-то удовлетворяющему каждой из обслуживаемых им систем.

В этом сценарии типа "безразмерная подгонка на все случаи" администратор устанавливает классификацию, степень важности и средства управления доступом к информации согласно своим представлениям о работе. Нет гарантий того, что эти атрибуты будут соответствовать правилам безопасности в отношении каждого, кто имеет доступ к информации. Могут возникнуть конфликты между пользователями, требующими доступ к информации, и администраторами, которые приняли ошибочные решения.

В качестве альтернативного метода можно было бы предоставлять право на данные и на средства управления. Ответственный за информацию отвечал бы за предоставление доступа к данным и определял бы, каким образом будет осуществляться управление данными. Для управления информационными активами ответственный за информацию работал бы с администраторами безопасности и/или системными администраторами. Он сам бы определял степень важности и классифицировал информацию вместо того, чтобы оставлять это на попечение администратора.


В результате управление информационными активами соответствовало бы нуждам ответственного за информацию.

Ответственный за информацию отвечал бы за отклонения от общепринятой практики обработки информации. Если запрос на получение информации требует действий, нарушающих существующие правила, то в таком случае ответственный за информацию будет отвечать за принятые отклонения от правил и за возможные последствия. В некоторых организациях от ответственного за информацию требуют письменного запроса на отклонения от правил, а также он должен подписать заявление о полной ответственности в случае возникновения потенциальных проблем. Поскольку никто не хочет излишне рисковать карьерой из-за такой ответственности, запросы на отклонения от правил появляются нечасто.

Обратная сторона права на информацию заключается в том, что ответственный за информацию должен обеспечивать доступ к информации в соответствии с требованиями правил безопасности. Более того, некоторые ответственные за информацию считают, что несправедливо требовать от них полной ответственности и заставлять рисковать своей карьерой, поэтому они нарушают инструкции и игнорируют правила. Изначально ответственный за информацию должен осознавать ответственность за информацию, которой он или она наделен. Единственный способ решить эту проблему заключается в надлежащем обучении вопросам безопасности, в поддержке руководства и последовательном строгом контроле за соблюдением требований.

Другая проблема, связанная с правом на информацию заключается в том, что эта схема хорошо работает только в таких организациях, где данные можно распределить среди потенциальных ответственных за информацию. Автор книги не замечал, чтобы такая схема хорошо работала в маркетинговых организациях или в таких компаниях, где данные полностью интегрированы в среде. Право на информацию также может стать проблемой в небольших организациях, в которых недостаточно людей для поддержания этой концепции. Одна из компаний, с которой сотрудничал автор, сделала каждого из 20 служащих совладельцами данных.Несмотря на то, что это было сделано, в первую очередь, в целях поддержки морального состояния, такая мера также помогала поддерживать целостность данных.

Если вашу организацию не удовлетворяет предложенная концепция права на информацию, можно откорректировать правила так, чтобы они предусматривали создание ответственных комитетов. Такие небольшие комитеты выполняют ту же работу, что и ответственные за информацию, но ответственность несет не одно лицо, а группа лиц. Еще лучше, когда весь комитет является ответственной стороной. В этом случае при появлении запросов на отклонение от правил создается ситуация, требующая дополнительных проверок и согласований.

Привлечение консультантов по защите информации

Привлечение внешних ресурсов стало основой деятельности компьютерной индустрии с тех пор, как компании стали предлагать компьютерную обработку информации на мощных компьютерах в режиме разделения времени. Современные внешние ресурсы могут обеспечить компании обработку любого рода информации, включая и обеспечение защиты информации.

Ниже представлены серьезные аргументы в пользу привлечения консультантов или независимых компаний, специализирующихся на защите информации. При определении целей политики безопасности в отношении внешнего окружения необходимо рассмотреть несколько вопросов.

Работа с собственным отделом информационной, безопасности. Даже в том случае, когда защита информации проводится независимыми организациями или для этой работы примечены консультанты со стороны, настоятельно рекомендуется, чтобы в организации существовал хотя бы небольшой собственный отдел безопасности, пусть его штат состоит хотя бы из одного специалиста по информационной безопасности. Информационная безопасность требует доверительных взаимоотношений между пользователями и теми, кто проводит в жизнь политику безопасности. Для некоторых довольно трудно преодолеть психологический барьер и доверить это дело сторонним специалистам.

Разработать четкие инструкции. В любом договоре со сторонними организациями или с подрядчиками необходимо четко оговорить функциональные обязанности и ответственность этих аутсайдеров. Но бывает, что высшие интересы организации не позволяют предоставлять свободный доступ аутсайдерам к информационным активам организации. Поэтому, в каждый договор со сторонними организациями, обеспечивающими защиту информации, должны быть внесены рабочие предписания (SOW —statement of work), являющиеся четкими инструкциями для работы. SOW не должны быть документами, определяющими политику безопасности, но их инструкции должны быть утверждены руководством.

Определение обязанностей. Другой аспект SOW заключается в определении ответственности сторонних специалистов или подрядчиков за работу, связанную с информационной безопасностью организации. В правилах безопасности необходимо определить ответственность каждого, кто связан с информационной безопасностью организации.

Прочие аспекты защиты информации

Для успеха любой программы защиты информации необходимо охватить ею всю деятельность организации. Программой защиты информации должны быть охвачены рабочие инструкции и должностные обязанности каждого, кто занят в данном бизнесе, описания рабочих процессов, а также методы аудита и сопровождения.

Распределение прав на информацию

Первое правило при распределении прав на информацию заключается в том, чтобы заинтересовать ответственного за информацию, сделав его собственником этих данных. Другими словами, ответственным за финансовую информацию должен быть кто-то, кто подчинен финансовому директору. Такое распределение сделать непросто. Не стоит создавать массу различных подразделений, если это не согласуется с бизнес-процессом. Это также означает, что отдел информатизации не должен являться ответственным за всю информацию, разве что это необходимо для таких операций, как конфигурирование системы, идентификация пользователей, службы именования доменов и т.п.

На одном из этапов этого процесса необходимо переговорить с заинтересованными сторонами. Обсудив право на информацию с теми, кто имеет к ней непосредственное отношение, можно выяснить их соображения по этому поводу. Они могут даже предложить идеи касательно того, как распределить или систематизировать ответственность за информацию.

Права на информацию должны быть распределены на основе систематизации информационных активов верхнего уровня. Можно использовать те же результаты систематизации информации, которая была проведена во время подготовительных работ (описанных в главе 1 "Что собой представляет политика информационной безопасности"). Мы рекомендуем использовать систематизацию верхнего уровня, так как в этом случае не будет слишком много лиц, ответственных за информацию. Это может потребовать дополнительного анализа того, кто и за какую информацию должен отвечать, но ограничение числа ответственных лиц даст возможность управлять этим процессом. Таким образом, в соответствии с классификатором информации каждый важный вид информации должен иметь назначенного ответственного за этот вид информации.

Для успеха программы защиты информации

Для успеха программы защиты информации поддержка руководства имеет решающее значение. Наряду с заявленной поддержкой должна быть и ответственность за успешное проведение в жизнь этой программы. Особое значение мы придаем назначению ответственных руководителей и роли того персонала, кто реализует административные меры внедрения правил безопасности. Программа безопасности будет иметь успех, если персонал и руководители будут хорошо знать свои функции и будут готовыми к решительным действиям. А этого можно добиться только в том случае, если каждый будет хорошо знать правила безопасности, пройдя полный курс по программе изучения информационной безопасности.
1. Обязанности руководства.
Участие и поддержка Комитета по управлению информационной безопасностью.
Право на информацию включает распределение обязанностей по управлению информационными активами: назначаются ответственные за информацию, которые классифицируют информацию по степени ее важности и допускают отклонения в ее обработке от общепринятой практики.
Разработка и согласование с руководством планов зашиты информации.
2. Роль отдела информационной безопасности.
Правилами должно быть установлено, что отдел информационной безопасности полностью отвечает за внедрение и сопровождение в организации правил информационной безопасности, а также стандартов, инструкций и процедур.
Этот отдел отвечает за обучение, использование административных мер и покровительство со стороны руководства.
При привлечении сторонних организаций или консультантов по информационной безопасности отдел обеспечивает их работу по инструкциям, принятым для работы собственным отделом информационной безопасности.
3. Прочие аспекты защиты информации.
Что касается внедрения информационной безопасности в бизнес-процесс, необходимо распределить обязанности и ответственность за управление активами компании, координировать деятельность каждого, включая ответственных за информацию и материально-ответственных лиц.
Назначить администратора безопасности для всех многопользовательских систем, а в каждом подразделении выделить посредника по информационной безопасности.
Определить ответственных за безопасность обмена информацией со сторонними организациями в реальном времени.
Принять меры для судебного пересмотра платежей по закупкам и продажам, проведенным с нарушениями закона.
Включить положения об ответственности за соблюдение норм безопасности в должностные инструкции и в договоры со сторонними организациями, и следить за их соблюдением.
Что касается аудита и контроля, то ключевую роль занимает включенный в бизнес-процесс внутренний аудит средств управления информационными системами.
4. Право на информацию и ответственность за ее сохранность.
При распределении прав на информацию отдел информационных систем не назначается ответственным за информацию за исключением той информации, с которой он непосредственно работает. Распределение прав на информацию должно быть проведено только после инвентаризации верхнего уровня информационных активов. Должен быть назначен, по крайней мере, один ответственный за каждый из основных типов информации.
К распределению обязанностей по обеспечению безопасности информационных активов относится и определение дозволенных средств управления и методов администрирования этих средств. Необходимо иметь инструкции для предоставления и лишения прав доступа к информационным активам компании, а также для восстановления информации в случае ее потери.
5. Понятия управления безопасностью и применения закона.
Знать и сознательно соблюдать законы и правила в пределах своих юридических прав.
Соблюдать правила сбора улик и обеспечить юридические гарантии принятия их судом.
Предварительно планировать взаимодействие компании с органами правосудия и прокуратурой, чтобы на этой основе обрабатывать данные и проводить расследование в случае совершения преступления.
6. Обучение и поддержка информационной безопасности.
Обучаться должны все работники, имеющие доступ к компьютерам и сетям компании. Служащие должны подписать обязательства с требованиями пройти обучение, а также иметь на руках документ, подтверждающий прохождение курса

обучения.
Руководство должно выделить время на обучение и способствовать его проведению.
Обучение должно отвечать требованиям политики безопасности.

Роль отдела информационной безопасности

Отдел информационной безопасности отвечает за внедрение и сопровождение всего спектра документов, составляющих правила информационной безопасности организации. стандартов, инструкций и руководств. Этот отдел проводит обучение персонала основам безопасности и контролирует, чтобы каждый сотрудник знал свою роль в проведении политики безопасности. Короче говоря, отдел информационной безопасности обеспечивает механизмы, поддерживающие программу безопасности, намеченную политикой.

Этот отдел должен поддерживать баланс между образованием и административным принуждением. Установить такой баланс довольно сложно. В правилах безопасности для этого отдела должны быть четко определены все обязанности. Отдел должен рассматриваться как партнер в бизнесе, поскольку если он будет заниматься исключительно применением административных мер, то он будет попросту внушать страх. Страх может вызвать негативную реакцию, что будет препятствовать внедрению правил информационной безопасности.

Глава 12 "Согласование и внедрение", как видно из названия, посвящена согласованию и административным мерам как неотъемлемым компонентам обучения основам информационной безопасности. Те, кто до начала разработки правил безопасности хочет иметь больше информации о роли обучения, могут заглянуть вперед и прочитать эту главу.

Инструктаж по вопросам безопасности

Невозможно переоценить важность инструктажа и образования вообще для проведения в жизнь политики безопасности. После разъяснения предписаний политики и инструктажа всех, кого она затрагивает, касательно их роли в ее проведении, служащие будут воспринимать политику безопасности как неотъемлемую часть своей работы. Но добиться этого нелегко. Одна из проблем состоит в том, что уже более десяти лет ведущие компании-производители при выпуске своей продукции демонстрируют свою полную незаинтересованность в вопросах безопасности. В результате выпускается продукция, которая не соответствует полностью стандартам безопасности, а ее применение не позволяет эффективно реализовывать программу информационной безопасности. Эта дихотомия может сбить с толку.

Техническое обучение в области безопасности строится на развитых общественных связях. Организация могла бы нанять в отдел безопасности технически подготовленного специалиста по связям с общественностью. Это лицо занималось бы организацией переподготовки, развитием отношений отдела с пользователями и действовало бы в качестве посредника между пользователями и отделом. Используя опыт такого специаписта по связям с общественностью, можно поднять уровень пользователей в вопросах защиты информации на соответствующий требованиям отдела уровень.

Согласование планов информационной безопасности

При обсуждении обязанностей и служебного соответствия руководителей необходимо уделить внимание тому, как руководство следит за соблюдением правил, а также, как оно реагирует на нарушения правил. Эти условия касаются не только поддержки руководства. Необходимо обсудить роли, которые будет выполнять руководство на арене информационной безопасности.

При проведении обучения присутствие представителей руководства может быть эпизодическим и нерегулярным по сравнению с присутствием прочего персонала компании. Но не стоит разделять руководителей на какие-то категории, лучше посмотреть, нельзя ли объединить их в едином плане безопасности. Постарайтесь сделать руководство активным участником. Если нет необходимости контролировать системные журналы или проводить независимые проверки (хотя это могло бы быть неплохой идеей), руководство может быть привлечено к организации совещаний, а также к рассмотрению дел служащих, которые нарушили правила безопасности. Если же проблемы затрагивают правовые аспекты, члены руководящего состава должны стать активными участниками расследования.

Такой метод бывает трудно преподнести нетехническому руководящему составу. Даже в процессе автоматизации бизнес-процессов руководство, которое не понимает технологии, старается спрятаться за спины технического персонала или консультантов. Несмотря на то, что информационная безопасность на самом деле не является техническим вопросом, все выглядит именно так. Один из способов включить руководство в процесс разработки политики безопасности заключается в том, чтобы сделать руководство ответственным за эти процессы подобно наделению правом на информацию управляющих нижнего уровня. Сделав их ответственными за безопасность, можно быть уверенным, что их деятельность сразу станет плодотворной, а вопросы безопасности не будут попадать под сукно в их кабинетах или гибнуть в проволочках различных управленческих комитетов. Для этого звена руководства, чьи амбиции нуждаются в постоянной подпитке, назначение ответственности будет весьма кстати.

---

---