Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.
Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.
В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.
Обеспечение безопасности компьютерной информации.
Дополнительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.
Можно привести по этому поводу следующие общие рекомендации:
– в системе должен быть администратор безопасности;
– за каждое устройство должен быть назначен ответственный за его эксплуатацию;
– системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)
– жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
– если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
– установка любого программного обеспечения должна производиться только работником IT-службы;
– для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;
– должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.
Еще раз напомним о разумной достаточности и здравом смысле. Внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором он должен отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т. д. Можно предусмотреть процедуру удаления файлов под две росписи в журнале, да мало ли что еще взбредет в голову! Никто и никогда не будет выполнять такие вздорные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не только уместным, но и необходимым.
Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос должен быть выделен в отдельный раздел.
Подключение к Интернету обычно преследует следующие цели:
– получение информации из Интернета;
– размещение в Интернете своей информации о предоставляемых услугах, продаваемых товарах и т. д.
– организация совместной работы удаленных офисов или работников на дому.
В первых двух случаях идеальным с точки зрения безопасности было бы выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки администратора безопасности, который контролирует ее и пересылает дальше.
При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением являются виртуальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, представляющих также услуги по установке и настройке соответствующего программного обеспечения.
Несмотря на все принятые меры, нарушения информационной безопасности могут произойти. В политике безопасности должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.
Аудит безопасности.
Итак, вы разработали политику безопасности, претворили ее положения в жизнь. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены зря? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги, и, по крайней мере, два подхода к оценке.
Первый подход – оценка безопасности на качественном уровне. Проводящий оценку эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. В таком подходе нет ничего предосудительного, однако, субъективизм все же может присутствовать. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.
