По степени опасности нарушения ИБ делятся на две группы:
- нарушения, повлекшие за собой наступление нежелательных для компании последствий (утечку или уничтожение информации);
- нарушения, создавшие предпосылки нежелательных для компании последствий (угроза уничтожения или утраты информации).
Нарушение требований локальных нормативных документов по ИБ является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между компанией и сотрудниками. Степень ответственности за нарушение требований локальных нормативных актов в области ИБ определяется исходя из размера ущерба, причиненного компании. Руководители структурных подразделений компании несут персональную ответственность за обеспечение ИБ в возглавляемых ими подразделениях.
Настоящий документ – Концепция информационной безопасности – обязателен для ознакомления руководителями всех структурных подразделений компании.
I. ВВЕДЕНИЕ
Информационная безопасность (ИБ) есть защищенность, сохранность информационных ресурсов от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий и сбоев.
Общая задача ИБ состоит в минимизации ущерба, в предсказании и непрерывном предотвращении таких воздействий. ИБ, как важная компонента обеспечения устойчивости бизнеса, обеспечивается комплексом организационных, технологических и технических решений и систем. Основы видения и политика ИБ обозначаются настоящим документом, а именно:
• цели и пути создания системы защиты;
• объекты защиты и их характеристика;
• анализ рисков, описывающий финансовые потери, ущерб и потери по другим критериям;
• основные классы и источники угроз ИБ; вероятность угроз и уязвимость ресурсов;
• основные принципы и подходы к построению системы обеспечения ИБ, методы и средства.
II. ЦЕЛИ И ЗАДАЧИ
Целью системы защиты является обеспечение бесперебойной работы аппаратно-программных средств компании, непрерывная поддержка бизнес-процессов и документооборота, сохранность и достоверность информационных ресурсов, их защищенность от внутренних/внешних воздействий, а также при чрезвычайных обстоятельствах.
Пути достижения целей можно выделить в несколько обязательных направлений:
1. Организационно-административные мероприятия и регламенты:
- определение ответственности за работоспособность и сохранность ресурсов компании четырех групп сотрудников: а) руководителей компании за выделение средств на приобретение, развертывание систем, обучение специалистов, развитие и пр.; б) ИТ-специалистов за оперативное обеспечение работоспособности и управление ИТ; в) конечных пользователей; г) сотрудников охраны;
- определение статуса ИТ, как сервисно-технологического подразделения, предоставляющего услуги, и статуса других подразделений – потребителей услуг;
- обязательное планирование развития информационных ресурсов, технологий и защиты, для достижения устойчивости бизнеса и долговременных конкурентных преимуществ;
- централизация в ИТ-подразделении всех мероприятий и бюджетов по закупке, установке аппаратных и программных средств, работе с любыми внешними поставщиками ИТ-услуг;
- выработка политик пользования информационно-технологическими ресурсами, политик поддержки пользователей, политик на ИТ-работы (производственные, проектные, для экстренных ситуаций), других правовых норм и ответственности по ИБ для всех групп сотрудников (при приеме на работу, на период работы);
- контроль доступа пользователей к ИТ-ресурсам компании – принятие на работу и увольнение сотрудников с обязательным прохождением через ИТ-подразделение (собеседование, квалификация и пр.).
2. Надежность, живучесть, достоверность аппаратного и программного обеспечения:
- закупка оборудования и программного обеспечения только известных производителей и продавцов; использование лицензионного программного обеспечения и ресурсов;
- защита по питанию всего оборудования (ПК, маршрутизаторы и пр.), расположение серверной и коммуникационной техники в отдельно приспособленных помещениях с ограниченным доступом и климат контролем, наличие резервных мощностей для наиболее критичных узлов (например, использование серверов с резервированием);
- обязательное пользовательское тестирование, настройка нового оборудования и программного обеспечения в лабораторных условиях перед вводом в эксплуатацию;
- определение регламентов резервирования данных, периодическое резервное копирование и архивирование корпоративных данных;
- периодическое создание образов системного ПО серверов и рабочих станций для быстрого восстановления систем;
- физическое резервирование наиболее критичных серверов, создание кластеров и пр.
3. Работа с внешними поставщиками и подрядчиками, аутсорсинг:
- определение правил работы с поставщиками услуг и подрядчиками, выделение руководителя проекта со стороны заказчика;
- завершение всех проектных работ комплексным пользовательским тестированием, обучением пользователей и периодом опытной эксплуатации, устранение всех неопределенностей перед внедрением;
- выполнение всех ИТ-работ внутри компании только с представителем ИТ-подразделения;
- наличие альтернативных ресурсов для услуг, используемых в виде аутсорсинга (например, хостинг).
4. Защита от внешних и внутренних воздействий, ограничения прав, криптозащита:
- описание мероприятий, направленных на предотвращение утечки информации и несанкционированного доступа;
- определение правил доступа и работы сотрудников с информационной системой, в т.ч. ответственности по защите от вирусов;
- выбор технологий передачи информации, использование шифрования (при необходимости);
- выработка процедур контроля работы информационной системы (протоколирование событий, анализ протоколов, анализ сетевого трафика, анализ работы технических средств);
- непрерывный мониторинг – использование аппаратно-программных средств защиты (межсетевые экраны, антивирусные программы) и ручного мониторинга;
- физическая защита и защита помещений, техники и бумажной документации от посторонних органов и лиц.
III. ОБЪЕКТЫЗАЩИТЫ
Объектами защиты является вся информационно-технологическая инфраструктура компании, а именно, помещения, компьютерное, периферийное, сетевое оборудование и каналы связи, носители информации и программное обеспечение, данные и информация, функционирование документооборота и бизнес-процессов, внутрифирменная конфиденциальная информация, т.е. все элементы бизнеса, нарушение и доступ к которым ведут к ущербу и потерям бизнеса.
Подлежащая защите информация может находиться на бумажных носителях, в электронном виде, передаваться в виде электрических сигналов (телефон, телефакс, телекс), присутствовать в виде акустических и вибросигналов в воздушной среде помещений, записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны).
Здесь же ИБ конкретизируется в узком понимании – как комплекс инструментов по защите программно-технических средств. Она должна обеспечивать выполнение трех основных условий:
1. Программно-технические средства должны исправно работать в соответствии с установленной конфигурацией и настройками.
2. На программно-технических средствах должно выполняться только разрешенное программное обеспечение – любые другие программы, включая вирусы, троянские программы, руткиты и др. опасные программы, а также внешние программы не должны попадать и активизироваться в системе.
3. Доступ к внутренним ресурсам информационной системы должны иметь только авторизованные субъекты согласно своим правам.