Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы:
Определение политики ИБ должно сводиться к следующим практическим шагам:
1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
3. Структуризацию контрмер по уровням.
4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах.
Описание границ системы рекомендуется выполнять по следующему плану:
В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.
На данном этапе должна быть поставлена задача оценки рисков и обоснованы требования к методике оценки рисков. Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.
Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.
В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо:
Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов:
Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.
От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры:
Многие риски не могут быть уменьшены до пренебрежимо малой величины.
На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска.
В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления.
Должен быть предложен комплекс мер, структурированных по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Предложенный комплекс строится в соответствии с выбранной стратегией управления рисками. Если проводится полный вариант анализа рисков, для каждого риска оценивается эффективность комплекса контрмер.
Целью проведения аудита является проверка соответствия выбранных контрмер декларированным в политике безопасности целям. В результате должен быть создан документ "Ведомость соответствия", в котором содержится анализ эффективности контрмер. Основные разделы этого документа: