информационная безопасность
Необходимость применения комплекса технических и орга-низационных мер, предотвращающих возможность случайной утраты или раскрытия информации, зависит от коммерческой значимости различных ее видов. Организационные меры помимо типовых положений информационной безопасности должны включать в себя тщательное редактирование содержания презентаций, публикаций и докладов на конференциях, подбор доверенного персонала, повышение его осведомленности в области информационной безопасности, разработку нормативной документации, повышающей эффективность работы, а не препятствующей ей. В рамках работы с НИОКР технические меры должны включать жесткий контроль информационных потоков. В этих данных заинтересованы другие потребители — конкурирующие компании и другие разработчики технологий — конкурирующие технологические организации. Для обеспечения информационной безопасности недостаточно только технических мер, необходимы значительные усилия и в других областях, прежде всего в области управления персоналом.
В разработке организационно-правовой документации по информационной безопасности целесообразно придерживаться стандартов серии BS ISO/IEC 27002 и 2700х, а также других международных стандартов и практик (например, NIST, PCI DSS), требований российского законодательства (например, по защите коммерческой или государственной тайны), рекомендаций ФСТЭКи ФСБ России.
Стандарт BS ISO/IEC 27002, разработанный в 2005 г. Международным институтом стандартов (IEC) с целью унификации требований по созданию систем защиты информации, в качестве различных типов информации выделяет электронные файлы (программные файлы, массивы данных), бумажные документы (распечатанные материалы, рукописные записи, фотографии), записи (видео, аудио), взаимодействие (переговоры, различные сообщения).Под защитой информации понимается прежде всего сохранение полноты, надежности, целостности, достоверности, кон-фиденциальности информации. То есть защита информации обеспечивает предупреждение несанкционированного доступа к информации; создание условий, ограничивающих распространение информации; ограждение права собственника на владение и распоряжение информацией; предотвращение утечки, хищения, утраты, несанкционированного уничтожения, копирования, модификации, искажения, блокирования, разглашения информации, несанкционированных и непреднамеренных воздействий на нее и т.д.
Угроза безопасности — совокупность условий и факторов, со-здающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированным и/или непреднамеренным воздействием на нее. К угрозам относятся нарушения:
физической целостности информации;
логической структуры информации;
содержания информации;
конфиденциальности информации;
права собственности информации и др.
Для того чтобы обезопасить свой бизнес, необходимо разработать и утвердить правила, регулирующие информационную безопасность, и строго их придерживаться. Информационная безопасность — это не программа, которую можно скачать/купить и получить готовую к использованию систему безопасности. Ее создание — длительный и сложный процесс, состоящий из множества элементов, и малейшая уязвимость в любом из них может привести к существенному ослаблению всей системы.
Обеспечение защиты информации представляет собой комплексную проблему, поскольку угрозы нарушения свойств безопасности информации относятся к самым различным аспектам деятельности организации, как к чисто техническим, так и к исключительно «гуманитарным».
Уровень угроз не остается постоянным. Они возрастают по мере продвижения НИОКР от по- исковых работ к реализации, поскольку увеличиваются объемы материалов, число людей, владеющих информацией, повышается мотивация конкурентов получить сведения о результатах.Один из наиболее важных вопросов — определение того, что должно быть защищено. В соответствии со стандартом ISO 17799 эффективная защита информации должна включать меры, направленные на защиту и непосредственно информации, и инфраструктуры, в которой размещена защищаемая информация (компьютерные сети системы и функции, которые позволяют работать с информацией). Определение типов защищаемой информации — одна из основных функций доку-мента «Политика информационной безопасности компании», с которым должны быть ознакомлены все пользователи системы. Под политикой безопасности понимают набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. Политика безопасности организации включает множество условий, при которых пользователи системы могут получить доступ к ее ресурсам без потери свойств безопасности этой системы. С одной стороны, политика безопасности информирует пользователей о том, как правильно эксплуатировать систему, с другой — определяет обязательные для системы механизмы безопасности. Некоторые политики безопасности применяются ко всем пользователям системы, тогда как другие принимают во внимание только основные приложения или тип информации. Политика безопасности системы может состоять из множества частных политик, направленных на конкретные аспекты защиты информации. Ее могут составлять как политики, направленные непосредственно на защиту от угроз информации, — политики разграничения доступа, так и вспомогательные политики, соответствующие таким функциям защиты, как идентификация/аутентификация, аудит, резервное копирование и т.д.
Одновременно с разработкой политики информационной бе-зопасности необходимо сформулировать требования к системам безопасности.
На общем уровне они включаются в политику ин-формационной безопасности, на более низком — в регламенты, процедуры, положения и инструкции. Для формулирования требований стандарт BS ISO/IEC 27002 рекомендует выполнить следующие действия:оценить риск — выделить главные угрозы безопасности и уязвимости, определить вероятность нежелательного инцидента безопасности, вызванного каждой из них, после чего оценить потенциальное воздействие каждого инцидента на организацию. Это поможет точно определить уникальные информационные потребности безопасности и требования для организации;
провести анализ правовых аспектов — изучить все юридические, в том числе договорные условия, необходимые, для взаимодействия организации, ее торговых партнеров, подрядчиков и поставщиков; выбрать все информационные требования безопасности, которые должны быть реализованы. Это поможет определить уникальные юридические информационные потребности безопасности организации и требования;
изучить существующую практику работы с информацией, проверить собственные принципы обработки информации, цели и требования. Это поможет определить и усовершенствовать уникальные информационные требования по безопасности организации.
Методические аспекты разработки и использования технических методов защиты информации хорошо разработаны (о регламенте обеспечения информационной безопасности техническими методами см. 4.8 данной главы).
Менее разработаны и более сложны в использовании нетехнические методы, связанные с человеческим фактором. Человеческий фактор — наиболее уязвимое звено в системе обеспечения безопасности организации, выполняющей НИОКР. Очевидны угрозы, исходящие от доверчивых пользователей, которые запускают файлы ClickMeNow.exe, открывают и запускают неизвестные им приложения в письмах, реагируют на все предложения, содержащиеся в спаме, устанавливают «слабые» пароли, по забывчивости покидают рабочие места без процедуры блокирования, некорректно определяют правила разграничения доступа и т.д.
Еще большую угрозу представляют недобросовестные сотрудники компаний, передающие конфиденциальную информацию конкурентам. Проблема осложняется тем, что результаты исследований сильно персонифицированы, т.е. тесно связаны и порой неотделимы от их разработчиков, в связи с чем уход со- трудников из компании может обернуться полной остановкой проекта. К нетехническим средствам защиты информации отно-сятся:разработка и имплементация общей политики и стратегии информационной безопасности;
разработка и внедрение регламентов, регулирующих работу с информацией;
постоянный контроль работы с информацией;
обязательное расследование инцидентов по информационной безопасности;
повышение эффективности использования правовых методов охраны интеллектуальной собственности;
постоянная работа по деперсонификации информации путем тщательного документирования результатов НИОКР;
использование специальных процедур при приеме и увольнении персонала (например, заключение договора о конфиденциальности) ;
работа, направленная на удержание персонала (повышение квалификации, рост заработной платы в зависимости от квалификации и другие средства и методы).
Одним из важнейших аспектов информационной безопасности являются организационные принципы выполнения проектов по созданию и эксплуатации систем защиты. С одной стороны, эти принципы аналогичны принятым правилам эффективного менеджмента проектов. С другой стороны — информационная безопасность выдвигает свои требования и одно из них — четкость менеджмента. Стандарт ISO/IEC 27002 рекомендует соблюдать следующие принципы:
персонификация ответственности (назначение ответственного за информационную безопасность);
четкая формулировка целей и задач проектов;
жесткий контроль сроков и результатов;
контроль инцидентов по безопасности;
налаживание технического процесса управления уязвимос- тями;
обеспечение процесса образования и понимания сути работы по управлению безопасностью;
обеспечение непрерывности работы управления безопасностью;
обеспечение уважения прав интеллектуальной собственности;
защиталичной информации.
Стандарт ISO/IEC 27002 выделяет следующие факторы успеха в области информационной безопасности организации:
заинтересованность топ-менеджмента в программе безопасности и поддержка с его стороны;
согласие финансового управления финансировать информационные действия управления безопасностью организации;
совместимость подхода к информационной безопасности с корпоративной культурой организации;
соответствие информационной политики безопасности, ее целей и действий деловым целям организации;
понимание организацией собственных уникальных информационных потребностей безопасности;
понимание организацией центральной роли управления рисками в программе безопасности и необходимости ихоценки;
разъяснение информационной программы безопасности всем менеджерам и служащим и понимание ими важности этого документа;
правильное распределение информации, объясняющей информационную политику безопасности и стандарты всем служащим и другим заинтересованным сторонам;
обеспечение соответствующего обучения правилам и принципам безопасности;
' налаживание эффективного информационного процесса управления инцидентами безопасности;
поощрение персонала к обратной связи, к внесению предложений по улучшению программы информационной безопасности;
развитие уравновешенного и всестороннего способа измерить работу вашей программы информационной безопасности.
Построение систем защиты информации — сложная задача, объединяющая в себе большое число разноплановых задач: аналитических, технических и организационно-правовых.
Подходить к ней следует с надлежащей ответственностью, точно определив, что и от чего защищать, выбрав методы защиты (причем не толь- ко технические), если необходимо, проведя работу с персоналом, и, безусловно, строго контролируя процесс построения системы на каждом этапе, так как любая оплошность может привести к очень серьезным негативным последствиям. Основная трудность реализации систем защиты состоит в том, что они должны удовлетворять двум группам противоречивых требований. С одной стороны, обеспечивать надежную защиту находящейся в системе информации (что можно сформулировать в виде двух конкретных задач: 1) исключение случайной и преднамеренной выдачи информации посторонним лицам и 2) разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала, с другой стороны, — не создавать заметных неудобств в процессе работы с использованием ресурсов системы.