Положение о категорировании ресурсов информационной банковской системы. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности

От редакции

Любой вид деятельности человека можно представить как процесс, в результате которого появляется продукт, материальный или интеллектуальный, имеющий определенную ценность, то есть стоимость. Информация является одной из разновидностей таких ценностей, стоимость ее может оказаться настолько высокой, что ее потеря или утечка, даже частичная, способна поставить под вопрос само существование компании. Поэтому защита информации с каждым днем приобретает все большее значение, практически во всех более или менее крупных организациях существуют свои подразделения ИБ.

На рынке ИТ растет спектр предложений по обеспечению информационной безопасности. Как правильно сориентироваться в этом потоке предлагаемых продуктов? Как выбрать оптимальный по финансовым затратам вариант и учесть все потребности вашей компании? Какие критерии отбора применить? Ведь хотя служба ИБ любой организации или предприятия сама по себе ни интеллектуальных, ни материальных ценностей не производит, в ее необходимости и важности уже ни у кого нет сомнений, и на расходах на эту службу редко экономят.

Что необходимо сделать, чтобы затраты и уровень информационной безопасности компании были в оптимальном соотношении - этим вопросам посвящена данная публикация.

Введение

Мероприятия по обеспечению информационной безопасности (ИБ), как известно, не приносят доходов, с их помощью можно лишь уменьшить ущерб от возможных инцидентов. Поэтому очень важно, чтобы затраты на создание и поддержание ИБ на должном уровне были соразмерны ценности активов организации, связанных с ее информационной системой (ИС). Соразмерность может быть обеспечена категорированием информации и информационной системы, а также выбором регуляторов безопасности на основе результатов категорирования.

Категорирование информации и информационных систем

Присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Подобные инциденты могут помешать организации в выполнении возложенной на нее миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация.

Существуют три основных аспекта ИБ:

• доступность;
• конфиденциальность;
• целостность.

Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.

Размер ущерба удобно оценивать по трехуровневой шкале как низкий , умеренный или высокий ().

Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

• организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
• активам организации наносится незначительный ущерб;
• организация несет незначительные финансовые потери;
• персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный , если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

• компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
• активам организации причиняется значительный ущерб;
• компания несет значительные финансовые потери;
• персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий , если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

• компания теряет способность выполнять все или некоторые из своих основных функций;
• активам организации причиняется крупный ущерб;
• организация несет крупные финансовые потери;
• персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном web-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.

При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.

Минимальные (базовые) требования безопасности

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).

Рисунок 2. Уровни информационной безопасности

Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

Рисунок 3. Базовые требования безопасности к информации и ИС.

• Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
• В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
• Применительно к закупке систем и сервисов в компании необходимо:
  • выделить достаточный объем ресурсов для адекватной защиты ИС;
  • при разработке систем учитывать требования ИБ;
  • ограничивать использование и установку программного обеспечения;
  • обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
• В области сертификации, аккредитации и оценки безопасности в организации следует проводить:
  • постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
  • периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
  • разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
  • авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
• В области кадровой безопасности необходимо:
  • обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
  • обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
  • применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
• Организация должна обеспечить информирование и обучение сотрудников:
  • чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
  • чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
• В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
• С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
• В плане реагирования на нарушения информационной безопасности организация должна:
  • создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
  • обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам.
• С целью физической защиты организация должна:
  • предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
  • физически защищать оборудование и поддерживающую инфраструктуру ИС;
  • обеспечить должные технические условия для функционирования ИС;
  • защищать ИС от угроз со стороны окружающей среды;
  • обеспечить контроль условий, в которых функционирует ИС;
  • обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
• Для обеспечения протоколирования и аудита необходимо:
  • создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
  • обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
• В плане управления конфигурацией в компании следует:
  • установить и поддерживать базовые конфигурации;
  • иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация;
  • установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
• В области идентификации и аутентификации необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.

Кроме того, необходимо:

• Применительно к сопровождению:
  • осуществлять периодическое и своевременное обслуживание ИС;
  • обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
• Для защиты носителей:
  • защищать носители данных как цифровые, так и бумажные;
  • предоставлять доступ к данным на носителях только авторизованным пользователям;
  • санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
• С целью защиты систем и коммуникаций:
  • отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС;
  • применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
• Для обеспечения целостности систем и данных:
  • своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
  • защищать ИС от вредоносного программного обеспечения;
  • отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.

Выбор базового набора регуляторов безопасности с целью выполнения требований безопасности

Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.

Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов.

Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.

Регуляторы безопасности для минимального уровня ИБ

На минимальном уровне информационной безопасности целесообразно применять следующие административные регуляторы безопасности .

Рисунок 4. Регуляторы безопасности по уровням ИБ

• Оценка рисков: политика и процедуры.
  • официальной документированной политики оценки рисков, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов оценки рисков.
• Оценка рисков: категорирование по требованиям безопасности. Категорирование данных и информационной системы, документирование результатов, включая обоснование установленных категорий; документ заверяется руководством.
• Оценка рисков: проведение. Оценка рисков и возможного ущерба от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации и/или разрушения данных и/или информационной системы, включая ресурсы, управляемые внешними организациями.
• Оценка рисков: пересмотр результатов. Пересмотр результатов оценки рисков проводится либо с заданной частотой, либо после существенных изменений в ИС или поддерживающей инфраструктуре, либо после иных событий, способных заметно повлиять на уровень безопасности ИС или ее статус аккредитации.
• Планирование безопасности: политика и процедуры.
  • официальной документированной политики планирования безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов планирования безопасности.
• Планирование безопасности: план безопасности ИС. Разработка и реализация для информационной системы плана, в котором описаны требования безопасности для ИС и имеющиеся и планируемые регуляторы безопасности, служащие для выполнения этих требований; документ заверяется руководством.
• Планирование безопасности: изменение плана безопасности ИС. С заданной частотой пересматривается план безопасности ИС. В него вносятся изменения, отражающие изменения в компании и в ее информационной системе либо проблемы, выявленные при реализации плана или при оценке регуляторов безопасности.
• Планирование безопасности: правила поведения. В организации устанавливается и доводится до сведения пользователей ИС набор правил, описывающих обязанности и ожидаемое поведение по отношению к использованию информации и информационной системы. Прежде чем получить доступ к ИС и ее информационным ресурсам, пользователи подписывают подтверждение того, что они прочитали, поняли и согласны выполнять предписанные правила поведения.
• Планирование безопасности: оценка приватности. В компании проводится оценка выполнения в ИС требований приватности.
• Закупка систем и сервисов: политика и процедуры.
  • официальная документированная политика закупки систем и сервисов, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов закупки систем и сервисов.
• Закупка систем и сервисов: выделение ресурсов. Определение, документирование и выделение ресурсов, необходимых для адекватной защиты информационной системы в компании, являются частью процессов капитального планирования и управления инвестициями.
• Закупка систем и сервисов: поддержка жизненного цикла. Организация управляет информационной системой, применяя методологию поддержки жизненного цикла с учетом аспектов информационной безопасности.
• Закупка систем и сервисов: закупки. В контракты на закупку включаются требования и/или спецификации безопасности, основанные на результатах оценки рисков.
• Необходимо обеспечить наличие, защиту и распределение авторизованным должностным лицам компании адекватной документации на информационную систему и ее составные части.
• Закупка систем и сервисов: ограничения на использование программного обеспечения. Организация обеспечивает выполнение существующих ограничений на использование программного обеспечения.
• Закупка систем и сервисов: программное обеспечение, устанавливаемое пользователями. Необходимо проводить в жизнь явно сформулированные правила, касающиеся загрузки и установки пользователями программного обеспечения.
• Закупка систем и сервисов: аутсорсинг информационных сервисов. Необходимо следить, чтобы внешние организации, предоставляющие информационные сервисы, применяли адекватные регуляторы безопасности, соответствующие действующему законодательству и условиям контракта, а также отслеживать адекватность регуляторов безопасности.
• Сертификация, аккредитация и оценка безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики оценки безопасности, сертификации и аккредитации, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов оценки безопасности, сертификации и аккредитации.
• Сертификация, аккредитация и оценка безопасности: соединения с другими ИС. Авторизация компанией всех соединений своей информационной системы с другими ИС, находящимися вне границ аккредитации, и постоянное отслеживание/контроль этих соединений; подписание уполномоченными должностными лицами соглашения об установлении соединений между системами.
• Организация проводит оценку применяемых в ИС регуляторов безопасности, чтобы проверить, насколько корректно они реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
• Сертификация, аккредитация и оценка безопасности: календарный план мероприятий. В организации разрабатывается и с заданной частотой изменяется календарный план мероприятий. В нем описаны запланированные, реализованные и оцененные корректирующие действия, направленные на устранение всех недостатков, выявленных в процессе оценки регуляторов безопасности, и на уменьшение или устранение известных уязвимостей ИС.
• Сертификация, аккредитация и оценка безопасности: аккредитация. Компания явным образом санкционирует (осуществляет аккредитацию) ввод информационной системы в эксплуатацию и с заданной частотой, но не реже, чем раз в три года, проводит повторную аккредитацию.
• Сертификация, аккредитация и оценка безопасности: постоянный мониторинг. Постоянный мониторинг регуляторов безопасности в ИС.

Рисунок 5. Поддержание необходимого уровня безопасности

процедурных регуляторов безопасности .

• Кадровая безопасность: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:
  • официальной документированной политики кадровой безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов кадровой безопасности.
• Кадровая безопасность: категорирование должностей. С каждой должностью ассоциируется определенный уровень риска и устанавливаются критерии отбора кандидатов на эти должности. Целесообразно с заданной частотой пересматривать установленные уровни риска.
• Кадровая безопасность: отбор персонала. Прежде чем предоставить доступ к информации и информационной системе, проводится проверка лиц, нуждающихся в подобном доступе.
• Кадровая безопасность: увольнение. Увольняемый сотрудник лишается доступа к ИС, с ним проводят заключительную беседу, проверяют сдачу всего казенного имущества, в том числе ключей, идентификационных карт, пропусков, и убеждаются, что соответствующие должностные лица имеют доступ к официальным данным, созданным увольняемым сотрудником и хранящимся в информационной системе.
• Кадровая безопасность: перемещение персонала. При переходе сотрудника на другую должность организация пересматривает предоставленные ему права доступа к ИС и ее ресурсам, и осуществляет соответствующие действия, такие как изготовление новых ключей, идентификационных карт, пропусков, закрытие старых и заведение новых системных счетов, а также смена прав доступа.
• Кадровая безопасность: соглашения о доступе. Прежде чем предоставить доступ к информации и информационной системе сотруднику, нуждающемуся в подобном доступе, составляются соответствующие соглашения (например, о неразглашении информации, о надлежащем использовании ИС), а также правила поведения, компания обеспечивает подписание этих соглашений сторонами и с заданной частотой пересматривает их.
• Кадровая безопасность: требования безопасности к сотрудникам сторонних организаций. Организация устанавливает требования безопасности, в том числе роли и обязанности, к сотрудникам сторонних организаций (сервисных служб, подрядчиков, разработчиков, поставщиков информационных услуг и услуг управления системами и сетями) и отслеживает обеспечение сторонними организациями адекватного уровня информационной безопасности.
• Кадровая безопасность: санкции. В компании применяется формализованный процесс наказания сотрудников, нарушивших установленные политику и процедуры безопасности.
• Физическая защита: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:
  • официальная документированная политика физической защиты, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов физической защиты.
• Физическая защита: авторизация физического доступа. В организации составляются и поддерживаются в актуальном состоянии списки сотрудников, имеющих доступ в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными), выпускаются соответствующие удостоверения (бэйджи, идентификационные карты, интеллектуальные карты); соответствующие должностные лица с заданной частотой пересматривают и утверждают списки и удостоверения.
• Физическая защита: управление физическим доступом. Необходимо контролировать точки физического доступа, в том числе официально определенные точки входа/выхода, в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными). Следует проверять предоставленные сотрудникам права, прежде чем разрешить им доступ. Кроме того, контролируется доступ в помещения, официально считающиеся общедоступными, в соответствии с проведенной оценкой рисков.
• Отслеживается физический доступ к системе с целью выявления и реагирования на нарушения.
• Физический доступ к информационной системе контролируется аутентификацией посетителей перед разрешением войти в помещения, где расположены компоненты ИС (кроме помещений, официально считающихся общедоступными).
• В компании поддерживаются журналы посещений помещений (кроме тех, что официально считаются общедоступными), где фиксируются:
  • фамилия, имя посетителя и название организации;
  • подпись посетителя;
  • представленные документы (форму идентификации);
  • дата и время доступа (входа и выхода);
  • цель посещения;
  • фамилия, имя посещаемого лица и его организационная принадлежность; соответствующие должностные лица с заданной частотой просматривают журналы посещений.
• Физическая защита: аварийное освещение. В компании необходимо применять и поддерживать автоматические системы аварийного освещения, которые включаются при перебоях электропитания и покрывают аварийные выходы и пути эвакуации.
• Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний.
• Физическая защита: средства контроля температуры и влажности. Отслеживаются и поддерживаются в допустимых пределах температура и влажность в помещениях, содержащих компоненты ИС.
• Необходимо защищать ИС от затопления и протечек, возникающих из-за повреждения водопровода или в силу иных причин, обеспечивая доступность и исправность кранов, перекрывающих воду, и информируя соответствующих должностных лиц о расположении этих кранов.
• Физическая защита: доставка и вывоз. В организации контролируются доставка и вывоз компонентов информационной системы (аппаратное и программное обеспечения) и поддерживается информация о месте нахождения этих компонентов.
• Планирование бесперебойной работы: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:
  • официальная документированная политика планирования бесперебойной работы, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов планирования бесперебойной работы.
• Разрабатывается и реализуется план обеспечения бесперебойной работы информационной системы, в котором описываются роли, обязанности ответственных должностных лиц, указываются их контактные координаты. Кроме того, в плане прописываются действия, выполняемые при восстановлении ИС после повреждений и аварий. Соответствующие должностные лица пересматривают и утверждают этот план и доводят его до сведения сотрудников, ответственных за бесперебойную работу.
• Планирование бесперебойной работы: изменение плана обеспечения бесперебойной работы. С заданной частотой, но не реже одного раза в год, в организации пересматривается план обеспечения бесперебойной работы информационной системы, чтобы отразить изменения в структуре ИС или организации и/или устранить проблемы, выявленные при реализации, выполнении и/или тестировании плана.
• С заданной частотой проводится резервное копирование содержащихся в информационной системе пользовательских и системных данных (включая данные о состоянии ИС), резервные копии хранятся в местах, защищенных должным образом.
• В организации применяются механизмы и поддерживающие процедуры, позволяющие восстановить информационную систему после повреждений или аварий.
• Управление конфигурацией: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:
  • официальная документированная политика управления конфигурацией, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов управления конфигурацией.
• В компании разрабатываются, документируются и поддерживаются актуальная базовая конфигурация информационной системы, опись компонентов ИС и соответствующие данные об их владельцах.
• В компании:
  • утверждаются обязательные настройки для продуктов информационных технологий, применяемых в ИС;
  • устанавливаются настройки безопасности продуктов информационных технологий в наиболее ограничительный режим, совместимый с эксплуатационными требованиями;
  • документируются настройки;
  • обеспечиваются должные настройки всех компонентов информационной системы.
  • Сопровождение: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:
  • официальная документированная политика сопровождения, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов сопровождения.
• Планирование, осуществление и документирование повседневного, профилактического и регулярного сопровождения компонентов информационной системы в соответствии со спецификациями изготовителя или поставщика и/или организационными требованиями.
• Организация санкционирует, контролирует и отслеживает удаленно осуществляемую деятельность по сопровождению и диагностике.
• Сопровождение: персонал сопровождения. Необходимо поддерживать список лиц, авторизованных для осуществления сопровождения информационной системы. Только авторизованный персонал осуществляет сопровождение ИС.
• Целостность систем и данных: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:
  • официальной документированной политики целостности систем и данных, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов целостности систем и данных.
• Целостность систем и данных: устранение дефектов. Идентификация дефектов информационной системы, информирование о них и исправление.
• В компании реализуется в информационной системе защита от вредоносного программного обеспечения, включая возможность автоматических обновлений.
• Целостность систем и данных: сигналы о нарушениях безопасности и сообщения о новых угрозах. Необходимо регулярно отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для ИС, доводить их до сведения соответствующих должностных лиц и должным образом реагировать на них.
• Защита носителей: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:
  • официальной документированной политики защиты носителей, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов защиты носителей.
• Необходимо обеспечить, чтобы только авторизованные пользователи имели доступ к информации в печатной форме или на цифровых носителях, изъятых из информационной системы.
• Защита носителей: санация и вывод из эксплуатации. Организация:
  • санирует носители (как бумажные, так и цифровые) перед выводом из эксплуатации или передачей для повторного использования;
  • прослеживает, документирует и верифицирует деятельность по санации носителей;
  • периодически тестирует санирующее оборудование и процедуры, чтобы убедиться в корректности их функционирования.
• Реагирование на нарушения информационной безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики реагирования на нарушения информационной безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов реагирования на нарушения информационной безопасности.
• В компании формируются структуры для реагирования на нарушения информационной безопасности (группа реагирования), включая подготовку, выявление и анализ, локализацию, ликвидацию воздействия и восстановление после нарушений.
• Необходимо своевременно доводить информацию о нарушениях ИБ до сведения уполномоченных должностных лиц.
• Формирование структуры для выдачи рекомендаций и оказания помощи пользователям ИС при реагировании на нарушения ИБ и докладах о них; эта структура является неотъемлемой составной частью группы реагирования.
• Информирование и обучение: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики информирования и обучения сотрудников, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов информирования и обучения сотрудников.
• Информирование и обучение: информирование о проблемах ИБ. Следует обеспечить, чтобы до всех пользователей, включая руководителей, доводилась основная информация по проблематике ИБ, прежде чем этим пользователям будет предоставлен доступ к ИС; подобное информирование должно продолжаться и дальше с заданной частотой, но не реже, чем раз в год.
• Информирование и обучение: обучение по проблематике ИБ. Необходимо определить должностных лиц, играющих важную роль и имеющих ответственные обязанности по обеспечению информационной безопасности ИС, документировать эти роли и обязанности и обеспечить соответствующее обучение указанных лиц, прежде чем предоставить им доступ к ИС. Подобное обучение должно продолжаться и дальше с заданной частотой.
• Информирование и обучение: документирование обучения по проблематике ИБ. В компании документируется и отслеживается ход обучения каждого сотрудника по проблематике ИБ, включая вводный курс и курсы, специфичные для ИС.
• Информирование и обучение: контакты с группами и ассоциациями информационной безопасности. Целесообразно установить и поддерживать контакты с группами, форумами и ассоциациями, специализирующимися в области информационной безопасности, чтобы быть в курсе современного состояния ИБ, передовых рекомендуемых защитных средств, методов и технологий.

На минимальном уровне информационной безопасности рекомендуется применение следующих программно-технических регуляторов безопасности .

• Идентификация и аутентификация: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики идентификации и аутентификации, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов идентификации и аутентификации.
• Информационная система однозначно идентифицирует и аутентифицирует пользователей (или процессы, действующие от имени пользователей).
• Идентификация и аутентификация: управление идентификаторами. Организация управляет идентификаторами пользователей посредством:
  • уникальной идентификации каждого пользователя;
  • верификации идентификатора каждого пользователя;
  • получения официальной санкции от уполномоченных должностных лиц на выпуск идентификатора пользователя;
  • обеспечения выпуска идентификатора для нужного пользователя;
  • прекращения действия идентификатора пользователя после заданного периода отсутствия активности;
  • архивирования идентификаторов пользователей.
• Идентификация и аутентификация: управление аутентификаторами. Компания управляет аутентификаторами в информационной системе (токенами, сертификатами в инфраструктуре открытых ключей, биометрическими данными, паролями, ключевыми картами и т.п.) посредством:
  • определения начального содержимого аутентификаторов;
  • регламентацией административных процедур начального распространения аутентификаторов, замещения утерянных, скомпрометированных или поврежденных аутентификаторов, а также отзыва аутентификаторов;
  • изменения подразумеваемых аутентификаторов после установки информационной системы.
• Идентификация и аутентификация: отклик аутентификаторов. Информационная система скрывает эхо-отображение аутентификационной информации в процессе аутентификации, чтобы защитить эту информацию от возможного использования неавторизованными лицами.
• Идентификация и аутентификация: аутентификация по отношению к криптографическим модулям. Для аутентификации по отношению к криптографическим модулям информационная система применяет методы, удовлетворяющие требованиям стандартов на подобные модули.
• Управление доступом: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики управления доступом, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов управления доступом.
• Организация управляет счетами в информационной системе, включая их создание, активацию, модификацию, пересмотр (с заданной частотой), отключение и удаление.
• Информационная система проводит в жизнь присвоенные привилегии для управления доступом к системе в соответствии с применимой политикой.
• Управление доступом: неудачные попытки входа. Информационная система проводит в жизнь заданное ограничение на число последовательных неудачных попыток доступа со стороны пользователя в течение заданного промежутка времени, автоматически запирая счет или задерживая по заданному алгоритму выдачу приглашения на вход на заданное время при превышении максимально допустимого числа неудачных попыток.
• Управление доступом: предупреждение об использовании системы. Информационная система отображает официально одобренное предупреждающее сообщение об использовании системы, прежде чем предоставить доступ к ней, информируя потенциальных пользователей:
  • об организационной принадлежности системы;
  • о возможном мониторинге, протоколировании и аудите использования системы;
  • о запрете и возможном наказании за несанкционированное использование системы;
  • о согласии пользователя на мониторинг и протоколирование в случае использования системы; предупреждающее сообщение содержит соответствующие положения политики безопасности и остается на экране, пока пользователь не предпримет явных действий для входа в ИС.
• Управление доступом: надзор и просмотр. Организация надзирает и проверяет действия пользователей в отношении проведения в жизнь и использования имеющихся в ИС регуляторов доступа.
• Управление доступом: действия, разрешенные без идентификации и аутентификации . Определение конкретных действий пользователей, которые могут быть выполнены в информационной системе без идентификации и аутентификации.
• Документирование, отслеживание и контроль всех видов удаленного доступа к ИС (например, через модемные входы или через Интернет), включая удаленный доступ для выполнения привилегированных действий; соответствующие должностные лица санкционируют применение каждого вида удаленного доступа и авторизуют для его применения только тех пользователей, которым он необходим.
• Организация:
  • устанавливает ограничения на использование и руководит реализацией беспроводных технологий;
  • документирует, отслеживает и контролирует беспроводной доступ к ИС; соответствующие должностные лица санкционируют применение беспроводных технологий.
• Управление доступом: персональные информационные системы. Ограничение применения персональных информационных систем для производственных нужд, включая обработку, хранение и передачу производственной информации.
• Протоколирование и аудит: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:
  • официальной документированной политики протоколирования и аудита, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов протоколирования и аудита.
• Протоколирование и аудит: протоколируемые события. Информационная система генерирует регистрационные записи для заданных событий.
• Информационная система сохраняет в регистрационных записях достаточно информации, чтобы установить, какое событие произошло, что послужило источником события, каким оказался исход события.
• Протоколирование и аудит: ресурсы для хранения регистрационной информации. Необходимо выделять достаточный объем ресурсов для хранения регистрационной информации и конфигурировать протоколирование так, чтобы не допустить исчерпания этих ресурсов.
• В случае сбоя протоколирования или исчерпания ресурсов хранения регистрационной информации информационная система предупреждает соответствующих должностных лиц и предпринимает заданные дополнительные действия.
• Протоколирование и аудит: защита регистрационной информации. Информационная система защищает регистрационную информацию и средства протоколирования/аудита от несанкционированного доступа, модификации и удаления.
• Протоколирование и аудит: сохранение регистрационной информации. Следует сохранять регистрационную информацию в течение заданного времени, чтобы обеспечить поддержку расследований ранее произошедших нарушений информационной безопасности и выполнение требований действующего законодательства и организационных требований сохранения информации.
• Защита систем и коммуникаций: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:
  • официальной документированной политики защиты систем и коммуникаций, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
  • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов защиты систем и коммуникаций.
• Защита систем и коммуникаций: защита от атак на доступность. Информационная система защищает от атак на доступность заданных видов или ограничивает их воздействие.
• Информационная система отслеживает и контролирует коммуникации на своих внешних и ключевых внутренних границах ИС.
• Защита систем и коммуникаций: применение узаконенной криптографии. Если в информационной системе применяются криптографические средства, они должны удовлетворять требованиям действующего законодательства, технических регламентов, стандартов, руководящих и нормативных документов, отраслевых и организационных стандартов.
• Защита систем и коммуникаций: защита общедоступных систем. Информационная система обеспечивает целостность данных и приложений для общедоступных систем.

Дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ

Для умеренного уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.

• С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе.
• Планирование безопасности: планирование деятельности, связанной с безопасностью. Обеспечение должного планирования и координации деятельности, связанной с безопасностью и затрагивающей информационную систему, с целью минимизации отрицательного воздействия на работу и активы организации (в том числе на ее миссию, функции, имидж и репутацию).
• Закупка систем и сервисов: документация. Необходимо включать в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую функциональные свойства регуляторов безопасности, задействованных в информационной системе, достаточно детальную для того, чтобы сделать возможным анализ и тестирование регуляторов.
• Закупка систем и сервисов: принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности.
• Закупка систем и сервисов: тестирование безопасности разработчиком. Разработчик информационной системы формирует план тестирования и оценки безопасности, реализует его и документирует результаты; последние могут быть использованы для поддержки сертификации по требованиям безопасности и аккредитации поставленной ИС.
• Сертификация, аккредитация и оценка безопасности: оценка безопасности. С заданной частотой, но не реже, чем раз в год, целесообразно осуществлять оценку регуляторов безопасности в информационной системе, чтобы определить, насколько они корректно реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
• Сертификация, аккредитация и оценка безопасности: сертификация по требованиям безопасности. Оценка регуляторов безопасности в информационной системе для целей сертификации по требованиям безопасности осуществляется независимой сертифицирующей организацией.
• Физическая защита: контроль доступа к устройствам отображения информации. Контроль физического доступа к устройствам отображения информации с целью защиты последней от просмотра неавторизованными лицами.
• Физическая защита: мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств.
• Физическая защита: контроль посетителей. Обеспечение сопровождения посетителей и, если нужно, мониторинга их активности.
• Физическая защита: электрическое оборудование и проводка. Защита электрического оборудования и проводки для информационной системы от повреждений и разрушений.
• Физическая защита: аварийное отключение. Для определенных помещений, в которых концентрируются ресурсы информационной системы (центры обработки данных, серверные комнаты, машинные залы для мэйнфреймов и т.п.), следует обеспечить возможность отключения электропитания к любому отказавшему (например, из-за короткого замыкания) или оказавшемуся под угрозой (например, из-за разрыва водопровода) компоненту ИС, не подвергая при этом персонал опасности, сопряженной с доступом к оборудованию.
• Обеспечение краткосрочных источников бесперебойного питания, чтобы дать возможность аккуратно выключить информационную систему в случае нарушения основного электропитания.
• Физическая защита: противопожарная защита. Необходимо применять и поддерживать устройства/системы пожаротушения и обнаружения возгораний, автоматически срабатывающие в случае пожара.
• Физическая защита: запасная производственная площадка . Сотрудники организации на запасной производственной площадке применяют соответствующие регуляторы безопасности для ИС.
• Физическая защита: расположение компонентов информационной системы. Следует располагать компоненты информационной системы на отведенных площадях так, чтобы минимизировать потенциальный ущерб от физических рисков и угроз со стороны окружающей среды, а также возможность несанкционированного доступа.
• Планирование бесперебойной работы: план обеспечения бесперебойной работы. Организация координирует разработку плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
• В компании организуется обучение сотрудников их ролям и обязанностям по обеспечению бесперебойной работы информационной системы, а также с заданной частотой, но не реже, чем раз в год, проводятся тренировки для поддержания практических навыков.
• С заданной частотой, но не реже, чем раз в год, в организации тестируется план обеспечения бесперебойной работы информационной системы. Для этого применяются заданные тесты и тренировочные процедуры, чтобы определить эффективность плана и готовность организации к его выполнению. Соответствующие должностные лица проверяют результаты тестирования плана и инициируют корректирующие действия. Организация координирует тестирование плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
• Необходимо определить запасное место хранения и заключить необходимые соглашения, чтобы сделать возможным хранение там резервных копий данных информационной системы; запасное место хранения территориально должно быть удалено от основного, чтобы не подвергать его тем же опасностям.
• Определяется запасное место обработки данных, и инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основные средства обработки данных оказываются недоступными. Запасное место обработки данных территориально удалено от основного и, следовательно, не подвержено тем же опасностям. Определяются потенциальные проблемы с доступом к запасному месту обработки данных в случае широкомасштабных аварий или стихийных бедствий, намечаются явные действия по смягчению выявленных проблем. Соглашение о запасном месте обработки данных содержит обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности.
• Определяются основной и запасной источники телекоммуникационных услуг, поддерживающих информационную систему. Инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основной источник телекоммуникационных услуг оказывается недоступным. Соглашения об основном и запасном источниках телекоммуникационных услуг содержат обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности. Запасной источник телекоммуникационных услуг не разделяет единую точку отказа с основным источником.
• Планирование бесперебойной работы: резервное копирование. С заданной частотой в организации тестируются резервные копии, чтобы убедиться в надежности носителей и целостности данных.
• Управление конфигурацией: базовая конфигурация и опись компонентов информационной системы. При установке новых компонентов изменяются базовая конфигурация информационной системы и опись компонентов ИС.
• Документируются и контролируются изменения в информационной системе; соответствующие должностные лица санкционируют изменения ИС в соответствии с принятыми в организации политикой и процедурами.
• Управление конфигурацией: мониторинг изменений конфигурации . Необходимо отслеживать изменения в информационной системе и осуществлять анализ их воздействия на безопасность, чтобы определить эффект изменений.
• Организация проводит в жизнь физические и логические ограничения доступа, связанного с изменениями в информационной системе, и генерирует, сохраняет и пересматривает записи, отражающие все подобные изменения.
• Следует конфигурировать информационную систему так, чтобы обеспечить только необходимые возможности, и явным образом запретить и/или ограничить использование определенных функций, портов, протоколов и/или сервисов.
• Сопровождение: периодическое сопровождение. Поддерживается регистрационный журнал сопровождения информационной системы, в котором фиксируются:
  • дата и время обслуживания;
  • фамилия и имя лица, производившего обслуживание;
  • фамилия и имя сопровождающего, если это необходимо;
  • описание произведенных действий по обслуживанию ИС;
  • список удаленного или перемещенного оборудования (с идентификационными номерами).
• Организация санкционирует, контролирует и отслеживает применение средств сопровождения информационной системы и постоянно поддерживает эти средства.
• Сопровождение: своевременное обслуживание. Организация получает обслуживание и запчасти для заданных ключевых компонентов информационной системы в течение заданного промежутка времени.
• Целостность систем и данных: защита от вредоносного программного обеспечения. Централизованное управление механизмами защиты от вредоносного программного обеспечения.
• Целостность систем и данных: средства и методы мониторинга информационной системы. Применение средств и методов мониторинга событий в информационной системе, выявление атак и идентификация несанкционированного использования ИС.
• В информационной системе реализуется защита от спама.
• Целостность систем и данных: ограничения на ввод данных. Организация предоставляет право на ввод данных в информационную систему только авторизованным лицам.
• Целостность систем и данных: точность, полнота, достоверность и аутентичность данных . Информационная система проверяет данные на точность, полноту, достоверность и аутентичность.
• Целостность систем и данных: обработка ошибок. Информационная система явным образом выявляет и обрабатывает ошибочные ситуации.
• Целостность систем и данных: обработка и сохранение выходных данных. Выходные данные информационной системы обрабатываются и сохраняются в соответствии с принятыми в организации политикой и эксплуатационными требованиями.
• Защита носителей: метки носителей. Съемные носители данных и выходные данные ИС снабжаются внешними метками, содержащими ограничения на распространение и обработку этих данных; заданные типы носителей или аппаратных компонентов освобождаются от меток, поскольку остаются в пределах контролируемой зоны.
• Защита носителей: хранение носителей . Следует организовать физический контроль и безопасное хранение носителей данных, бумажных и цифровых, основываясь на максимальной категории, присвоенной данным, записанным на носителе.
• Защита носителей: транспортировка носителей. Контроль носителей данных, бумажных и цифровых, и ограничение отправки, получения, транспортировки и доставки носителей авторизованным лицам.
• Компания обучает сотрудников их ролям и обязанностям, связанным с реагированием на нарушения информационной безопасности ИС, и с заданной частотой, но не реже, чем раз в год, проводит тренировки для поддержания практических навыков.
• С заданной частотой, но не реже, чем раз в год, тестируются средства реагирования на нарушения информационной безопасности ИС, при этом используются заданные тесты и тренировочные процедуры, чтобы определить эффективность реагирования. Результаты документируются.
• Реагирование на нарушения информационной безопасности: реагирование. Для поддержки процесса реагирования на нарушения информационной безопасности применяются автоматические механизмы.
• Необходимо постоянно прослеживать и документировать нарушения информационной безопасности ИС.
• Реагирование на нарушения информационной безопасности: доклады о нарушениях. Применение автоматических механизмов для содействия докладам о нарушениях информационной безопасности.
• Реагирование на нарушения информационной безопасности: помощь. Применение автоматических механизмов, чтобы повысить доступность информации и поддержки, ассоциированной с реагированием на нарушения информационной безопасности.
• Идентификация и аутентификация: идентификация и аутентификация устройств. Информационная система идентифицирует и аутентифицирует определенные устройства, прежде чем установить с ними соединение.
• Управление доступом: управление счетами. Применение автоматических механизмов для поддержки управления счетами в информационной системе; информационная система автоматически терминирует временные и аварийные счета по истечении заданного для каждого типа счетов промежутка времени; информационная система автоматически отключает неактивные счета по истечении заданного промежутка времени.
• Управление доступом: проведение в жизнь. Информационная система обеспечивает, чтобы доступ к функциям безопасности (реализованным аппаратно и/или программно) и к защитным данным предоставлялся только авторизованным лицам (например, администраторам безопасности).
• Управление доступом: проведение в жизнь управления информационными потоками. Информационная система проводит в жизнь присвоенные привилегии для управления информационными потоками в системе и между взаимосвязанными системами в соответствии с принятой политикой безопасности.
• Управление доступом: разделение обязанностей. Информационная система проводит в жизнь разделение обязанностей посредством присвоения привилегий доступа.
• Управление доступом: минимизация привилегий. Информационная система проводит в жизнь наиболее ограничительный набор прав/привилегий доступа, необходимых пользователям (или процессам, действующим от имени этих пользователей) для выполнения их задач.
• Управление доступом: блокирование сеансов. Информационная система предотвращает дальнейший доступ к ИС посредством блокирования сеанса до тех пор, пока пользователь не восстановит доступ, применяя соответствующие процедуры идентификации и аутентификации.
• Управление доступом: терминирование сеансов. Информационная система автоматически терминирует сеанс по истечении заданного периода неактивности.
• Управление доступом: действия, разрешенные без идентификации и аутентификации. Организация разрешает выполнение действий без идентификации и аутентификации, только если они необходимы для достижения ключевых целей организации.
• Управление доступом: удаленный доступ. Применение автоматических механизмов, чтобы облегчить мониторинг и контроль методов удаленного доступа, шифрование - для защиты конфиденциальности сеансов удаленного доступа. Необходимо контролировать весь удаленный доступ в управляемой точке контроля доступа.
• Управление доступом: ограничения на беспроводной доступ. Применение аутентификации и шифрования для защиты беспроводного доступа к информационной системе.
• Управление доступом: мобильные устройства. Организация:
  • устанавливает ограничения на применение и разрабатывает руководства по использованию мобильных устройств;
  • документирует, отслеживает и контролирует доступ посредством подобных устройств к ИС; соответствующие должностные лица санкционируют использование мобильных устройств; применяются съемные жесткие диски или криптография для защиты данных, располагающихся в мобильных устройствах.
• Протоколирование и аудит: содержимое регистрационных записей. Информационная система обеспечивает возможность включения в регистрационные записи дополнительной, более детальной информации для протоколируемых событий, идентифицируемых по типу, месту или субъекту.
• Необходимо регулярно изучать/анализировать регистрационную информацию с целью выявления ненадлежащей или нетипичной активности, расследовать случаи подозрительной активности или предполагаемых нарушений, докладывать о результатах соответствующим должностным лицам и предпринимать необходимые действия.
• Информационная система предоставляет возможности редукции регистрационной информации и генерации отчетов.
• Протоколирование и аудит: метки времени. Информационная система предоставляет метки времени для использования при генерации регистрационных записей.
• Защита систем и коммуникаций: разделение приложений. Информационная система разделяет пользовательскую функциональность (включая сервисы пользовательского интерфейса) от функциональности управления ИС.
• Защита систем и коммуникаций: остаточная информация. Информационная система предотвращает несанкционированную и ненамеренную передачу информации через разделяемые системные ресурсы.
• Защита систем и коммуникаций: защита границ. Целесообразно физически размещать общедоступные компоненты информационной системы (например, общедоступные web-серверы) в отдельных подсетях с отдельными физическими сетевыми интерфейсами, предотвратить публичный доступ во внутреннюю сеть, за исключением должным образом контролируемого доступа.
• Информационная система защищает целостность передаваемых данных.
• Информационная система защищает конфиденциальность передаваемых данных.
• Защита систем и коммуникаций: разрыв сетевых соединений. Информационная система терминирует сетевое соединение в конце сеанса или по истечении заданного периода неактивности.
• Защита систем и коммуникаций: выработка криптографических ключей и управление ими. Информационная система применяет автоматические механизмы и вспомогательные процедуры или ручные процедуры для выработки криптографических ключей и управления ключами.
• Защита систем и коммуникаций: коллективные приложения. Информационная система запрещает удаленную активацию механизмов коллективных приложений (например, видео- или аудиоконференций) и предоставляет явные свидетельства их использования локальным пользователям (например, индикацию использования видеокамер или микрофонов).
• Защита систем и коммуникаций: сертификаты инфраструктуры открытых ключей. Организация разрабатывает и реализует политику для сертификатов и спецификацию сертификационной практики для выпуска сертификатов открытых ключей, используемых в информационной системе.
• Защита систем и коммуникаций: мобильный код. Организация:
  • устанавливает ограничения на применение и разрабатывает руководства по использованию технологий мобильного кода, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
  • документирует, отслеживает и контролирует использование мобильного кода в информационной системе; соответствующие должностные лица санкционируют использование мобильного кода.
• Защита систем и коммуникаций: протокол VoIP. Организация:
  • устанавливает ограничения на применение и разрабатывает руководства по использованию технологий VoIP, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
  • документирует, отслеживает и контролирует использование VoIP в информационной системе; соответствующие должностные лица санкционируют использование VoIP.
• Защита систем и коммуникаций: сервис безопасного поиска имен (уполномоченные источники). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внешним пользователям сервис поиска имен для доступа к информационным ресурсам организации через Интернет, обеспечивают атрибуты для аутентификации источника данных и контроля целостности данных, чтобы дать пользователям возможность получить гарантии аутентичности и целостности сообщений при получении данных в рамках сетевых транзакций.

Дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ

Для высокого уровня информационной безопасности рекомендуется применение следующих дополнительных и усиленных (по сравнению с умеренным уровнем) регуляторов безопасности.

Оценка рисков: сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы.

С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях организация изменяет список сканируемых уязвимостей информационной системы.

• Закупка систем и сервисов: документация. Следует включить в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую детали проектирования и реализации регуляторов безопасности, задействованных в информационной системе, со степенью подробности, достаточной для того, чтобы сделать возможным анализ и тестирование регуляторов (включая функциональные интерфейсы между компонентами регуляторов).
• Закупка систем и сервисов: управление конфигурацией разработчиком. Разработчик информационной системы создает и реализует план управления конфигурацией, контролирующий изменения системы в процессе разработки, прослеживающий дефекты безопасности, требующий авторизации изменений, и предоставляет документацию плана и его реализации.
• Физическая защита: контроль доступа к каналам передачи данных. Контролируется физический доступ к линиям распространения и передачи данных, принадлежащим ИС и расположенным в пределах охраняемых границ, чтобы предотвратить неумышленное повреждение, прослушивание, модификацию в процессе передачи, разрыв или физическое искажение линий.
• Физическая защита: мониторинг физического доступа. Применяются автоматические механизмы, чтобы обеспечить выявление потенциальных вторжений и инициирование реакции на них.
• Физическая защита: протоколирование доступа. Применяются автоматические механизмы, чтобы облегчить поддержку и просмотр регистрационных журналов.
• Физическая защита: аварийное электропитание. Необходимо обеспечить долгосрочные альтернативные источники электропитания для информационной системы, способные поддерживать минимальные требуемые эксплуатационные возможности в случае долговременного выхода из строя первичного источника электропитания.
• Физическая защита: противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний, автоматически извещающие о своей активации организацию и аварийные службы.
• Физическая защита: защита от затопления. Автоматические механизмы применяются, чтобы автоматически перекрыть воду в случае ее интенсивной утечки.
• Планирование бесперебойной работы: обучение. Моделирование событий включается в учебные курсы, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
• Планирование бесперебойной работы: тестирование плана обеспечения бесперебойной работы. План обеспечения бесперебойной работы тестируется на запасной производственной площадке, чтобы ознакомить сотрудников с имеющимися возможностями и ресурсами и оценить способность площадки поддерживать непрерывность функционирования.
• Планирование бесперебойной работы: запасные места хранения. Запасное место хранения конфигурируется так, чтобы облегчить своевременные и эффективные восстановительные действия; определяются потенциальные проблемы с доступом к запасному месту хранения в случае широкомасштабных аварий или стихийных бедствий и намечаются явные действия по смягчению выявленных проблем.
• Планирование бесперебойной работы: запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых эксплуатационных возможностей и готовности к использованию в качестве производственной площадки.
• Планирование бесперебойной работы: телекоммуникационные услуги. Запасной источник телекоммуникационных услуг должен быть в достаточной степени удален территориально от основного, чтобы не подвергаться тем же опасностям; основной и запасной источники телекоммуникационных услуг имеют адекватные планы обеспечения бесперебойной работы.
• Планирование бесперебойной работы: резервное копирование. Для восстановления функций информационной системы выборочно используются резервные копии как часть тестирования плана обеспечения бесперебойной работы. Резервные копии операционной системы и другого критичного для ИС программного обеспечения хранятся в отдельном месте или в огнеупорном контейнере, расположенном отдельно от эксплуатационного ПО.
• Планирование бесперебойной работы: восстановление информационной системы. Организация включает полное восстановление информационной системы как часть тестирования плана обеспечения бесперебойной работы.
• Управление конфигурацией: базовая конфигурация и опись компонентов информационной системы. Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы и опись компонентов ИС.
• Управление конфигурацией: контроль изменений конфигурации. Автоматические механизмы применяются, чтобы:
  • документировать предлагаемые изменения информационной системы;
  • извещать соответствующих должностных лиц;
  • привлекать внимание к не полученным своевременно утверждающим визам;
  • откладывать изменения до получения необходимых утверждающих виз;
  • документировать произведенные изменения информационной системы.
• Управление конфигурацией: ограничение доступа для изменений. Чтобы проводить в жизнь ограничения доступа и поддерживать протоколирование ограничивающих действий, применяются автоматические механизмы.
• Управление конфигурацией: настройки. Автоматические механизмы применяются для централизованного управления, применения и верифицирования настроек.
• Управление конфигурацией: минимизация функциональности. С заданной частотой пересматривается информационная система, чтобы идентифицировать и ликвидировать функции, порты, протоколы и иные сервисы, не являющиеся необходимыми.
• Сопровождение: периодическое сопровождение. Применяются автоматические механизмы, чтобы обеспечить планирование и проведение периодического сопровождения в соответствии с установленными требованиями, а также актуальность, точность, полноту и доступность регистрационных записей о необходимых и произведенных действиях по сопровождению.
• Сопровождение: средства сопровождения. Необходимо досматривать все средства сопровождения (например, диагностическое и тестовое оборудования), вносимые на территорию организации обслуживающим персоналом, на предмет видимых ненадлежащих модификаций. Следует проверять все носители, содержащие диагностические тестовые программы (например, программное обеспечение, используемое для сопровождения и диагностики систем), на предмет наличия вредоносного ПО, прежде чем носители будут применены в информационной системе. Проверке подвергается все оборудование, применяемое в целях сопровождения и способное сохранять информацию, чтобы удостовериться, что в оборудовании не записана принадлежащая организации информация или что оно должным образом санировано перед повторным использованием. Если оборудование не может быть санировано, оно остается на территории организации или уничтожается, за исключением случаев, явно санкционированных соответствующими должностными лицами.
• Сопровождение: удаленное сопровождение. Протоколируются все сеансы удаленного сопровождения, а соответствующие должностные лица просматривают регистрационный журнал удаленных сеансов. Установка и использование каналов удаленной диагностики отражаются в плане безопасности информационной системы. Сервисы удаленной диагностики или сопровождения допустимы только в том случае, если обслуживающая организация поддерживает в своей ИС по крайней мере тот же уровень безопасности, что и обслуживаемая.
• Целостность систем и данных: защита от вредоносного программного обеспечения. Информационная система автоматически изменяет механизмы защиты от вредоносного программного обеспечения.
• Целостность систем и данных: верификация функциональности безопасности. Информационная система в рамках технических возможностей, при старте или перезапуске системы, по команде уполномоченного пользователя и/или периодически с заданной частотой верифицирует корректность работы функций безопасности и извещает системного администратора и/или выключает или перезапускает систему в случае выявления каких-либо аномалий.
• Целостность систем и данных: целостность программного обеспечения и данных. Информационная система выявляет и защищает от несанкционированного изменения программного обеспечения и данных.
• Целостность систем и данных: защита от спама. Организация централизованно управляет механизмами защиты от спама.
• Защита носителей: доступ к носителям. Применяются либо посты охраны, либо автоматические механизмы для управления доступом к местам хранения носителей, обеспечения защиты от несанкционированного доступа, а также регистрации попыток доступа и доступа предоставленного.
• Реагирование на нарушения информационной безопасности: обучение. В учебные курсы включается моделирование событий, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
• Реагирование на нарушения информационной безопасности: тестирование. Для более тщательного и эффективного тестирования возможностей реагирования применяются автоматические механизмы.
• Реагирование на нарушения информационной безопасности: мониторинг. Автоматические механизмы применяются, чтобы способствовать прослеживанию нарушений безопасности, а также сбору и анализу информации о нарушениях.
• Идентификация и аутентификация: идентификация и аутентификация пользователей. Информационная система применяет многофакторную аутентификацию.
• Управление доступом: управление счетами. Применяются автоматические механизмы, чтобы обеспечить протоколирование и, при необходимости, уведомление соответствующих лиц о создании, модификации, отключении и терминировании счетов.
• Управление доступом: управление параллельными сеансами. Информационная система ограничивает число параллельных сеансов для одного пользователя.
• Управление доступом: надзор и просмотр . Автоматические механизмы применяются, чтобы облегчить просмотр пользовательской активности.
• Управление доступом: автоматическая маркировка. Информационная система маркирует выходные данные, используя стандартные соглашения об именовании, чтобы идентифицировать все специальные инструкции по распространению, обработке и распределению данных.
• Протоколирование и аудит: содержимое регистрационных записей. Информационная система обеспечивает возможность централизованного управления содержимым регистрационных записей, генерируемых отдельными компонентами ИС.
• Протоколирование и аудит: обработка регистрационной информации. Информационная система обеспечивает выдачу предупреждающего сообщения, когда доля занятого пространства, отведенного для хранения регистрационной информации, достигает заданного значения.
• Протоколирование и аудит: мониторинг, анализ и отчет о регистрационной информации. Применение автоматических механизмов, чтобы интегрировать мониторинг, анализ и отчет о регистрационной информации в общий процесс выявления и реагирования на подозрительную активность.
• Протоколирование и аудит: редукция регистрационной информации и генерация отчетов. Информационная система предоставляет возможность автоматической обработки регистрационной информации о требующих внимания событиях, основываясь на заданных критериях выбора.
• Защита систем и коммуникаций: изоляция функций безопасности. Информационная система изолирует функции безопасности от прочих функций.
• Защита систем и коммуникаций: целостность передаваемых данных. Применение криптографических механизмов для обеспечения распознавания изменений в данных в процессе передачи, если данные не защищены альтернативными физическими мерами (например, защитной системой распределения).
• Защита систем и коммуникаций: конфиденциальность передаваемых данных. Применение криптографических механизмов для предотвращения несанкционированного раскрытия информации в процессе передачи, если она не защищена альтернативными физическими мерами (например, защитной системой распределения).
• Защита систем и коммуникаций: сервис безопасного поиска имен (разрешение имен). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внутренним пользователям сервис поиска имен для доступа к информационным ресурсам, обеспечивают механизмы для аутентификации источника данных и контроля целостности данных, а также осуществляют эти действия по запросу клиентских систем.

Минимальные требования доверия для регуляторов безопасности

Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.

На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.

На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности.

Рисунок 6. Обеспечение информационной безопасности. Процессный подход.

На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов.

Заключение

Обеспечение информационной безопасности - сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.

Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (Банком).

Защищаемые ресурсы информационной банковской системы (ресурсы ИБС подлежащие защите) - информация, функциональные задачи, каналы передачи информации, рабочие места, подлежащие защите с целью обеспечения информационной безопасности Банка, его клиентов и корреспондентов.

Защищаемое рабочее место (РМ) - объект защиты (персональный компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемого:

• местоположением, а также степенью его физической доступности для посторонних лиц (клиентов, посетителей, сотрудников, не допущенных к работе с РМ и т.п.);

  составом аппаратных средств;

  составом программных средств и решаемых на нем задач (определенных категорий доступности);

  составом хранимой и обрабатываемой на РМ информации (определенных категорий конфиденциальности и целостности).

Формуляр РМ - документ установленной формы (Приложение 3), фиксирующий характеристики РМ (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на РМ задач и др.) и удостоверяющий возможность эксплуатации данного РМ (свидетельствующий о выполнении требований по защите обрабатываемой на РМ информации в соответствии с категорией данного РМ).

Защищаемая задача - функциональная задача, решаемая на отдельном РМ, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:

• совокупностью используемых при решении ресурсов (программных средств, наборов данных, устройств);

  периодичностью решения;

  максимально допустимым временем задержки получения результата решения задачи.

Формуляр задачи - документ установленной формы (Приложение 2), фиксирующий характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).

Защищаемый канал передачи информации - путь, по которому передается защищаемая информация. Каналы делятся на физические (от одного устройства к другому) и логические (от одной задачи к другой).

Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Доступность информации (задачи) - свойство системы обработки (среды), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

1. Общие положения

1.1. Настоящим Положением вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов информационной системы, подлежащих защите (отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба Банку, ее клиентам и корреспондентам в случае несанкционированного вмешательства в процесс функционирования ИБС и нарушения целостности или конфиденциальности обрабатываемой информации, блокирования информации или нарушения доступности решаемых ИБС задач).

1.2. Категорирование ресурсов (определение требований к защите ресурсов) ИБС является необходимым элементом организации работ по обеспечению информационной безопасности Банка и имеет своими целями:

создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, каналов, РМ) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по РМ ИБС и унификацию их настроек.

2. Категории защищаемой информации

2.1. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в ИБС, а также с учетом возможных путей нанесения ущерба Банку, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.

«ВЫСОКАЯ» - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (банковская тайна, персональные данные);

«НИЗКАЯ» - к данной категории относится конфиденциальная информация, не отнесенная к категории «ВЫСОКАЯ», ограничения на распространение которой вводятся решением руководства Банка в соответствии с предоставленными ей как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами;

«НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба Банку, ее клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства;

«НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба Банку, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства Банка (методами подсчета контрольных сумм, ЭЦП и т.п.);

«НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

2.2. С целью упрощения операций по категорированию задач, каналов и РМ категории конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: «жизненно важная», «очень важная», «важная» и «не важная». Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии с Таблицей 1.

Таблица 1

1 – «Жизненно важная» информация

2 – «Очень важная» информация

3 – «Важная» информация

4 – «Не важная» информация

3. Категории функциональных задач

3.1. В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени доступности функциональных задач.

Требуемые степени доступности функциональных задач:

«БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

«ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

«СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

3.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: «первая», «вторая», «третья» и «четвертая» (в соответствии с Таблицей 2).

Таблица 2

4. Требования по обеспечению безопасности каналов передачи защищаемой информации (категории каналов)

4.1. Требования по обеспечению безопасности (категории) логического канала передачи защищаемой информации определяются по максимальной категории двух задач, между которыми данный канал установлен.

5. Категории РМ

5.1. В зависимости от категорий решаемых на РМ задач устанавливаются четыре категории РМ: «A», «B», «C» и «D».

5.3. К группе РМ категории «B» относятся РМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном РМ, должны быть не ниже третьей и не выше второй.

5.4. К группе РМ категории «C» относятся РМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном РМ, должны быть не выше третьей.

Таблица 3

5.6. Требования по обеспечению безопасности РМ различных категорий (по применению соответствующих мер и средств защиты) приведены в Приложении 5.

6. Порядок определения категорий защищаемых ресурсов ИБС

6.1. Категорирование проводится на основе инвентаризации ресурсов информационной банковской системы (РМ, задач, информации) и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов ИБС, подлежащих защите.

6.2. Ответственность за составление и ведение перечней ресурсов ИБС возлагается:

в части составления и ведения перечня РМ (с указанием их размещения, закрепления за подразделениями Банка, состава и характеристик, входящих в его состав технических средств) - на Управление информационных технологий (далее УИТ);

в части составления и ведения перечня системных и прикладных (специальных) задач, решаемых на РМ (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отдел технического обеспечения УИТ.

6.3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных РМ (информационным ресурсам и задачам) возлагается на подразделения Банка, которые непосредственно решают задачи на данных РМ (владельцев информации), и отдел информационной безопасности.

6.4. Утверждение назначенных в соответствии с настоящим «Положением о категорировании ресурсов ИБС» категорий информационных ресурсов ИБС производится Председателем Правления Банка.

6.6. Категорирование ресурсов ИБС может осуществляться последовательно для каждого РМ в отдельности с последующим объединением и формированием единых перечней ресурсов ИБС подлежащих защите:

перечня информационных ресурсов ИБС, подлежащих защите (Приложение 2);

перечня подлежащих защите задач (совокупности формуляров задач);

перечня подлежащих защите РМ (совокупности формуляров РМ).

На первом этапе работ по категорированию ресурсов конкретного РМ производится категорирование всех видов информации, используемой при решении задач на данном РМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в «Перечень информационных ресурсов, подлежащих защите».

На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном РМ.

На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных РМ). 6.7. Переаттестация (изменение категории) информационных ресурсов ИБС производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.

Переаттестация (изменение категории) функциональных задач производится при изменении обобщенных категорий информационных ресурсов, используемых при решении данной задачи, а также при изменении требований к доступности функциональных задач.

Переаттестация (изменение категории) логических каналов производится при изменении категорий взаимодействующих задач.

Переаттестация (изменение категории) РМ производится при изменении категорий или состава решаемых на данных РМ задач.

6.8. Периодически (раз в год) или по требованию руководителей структурных подразделений Банка производится пересмотр установленных категорий защищаемых ресурсов на предмет их соответствия реальному положению дел.

7. Порядок пересмотра Положения

7.1. В случае изменения требований по защите РМ различных категорий пересмотру (с последующим утверждением) подлежит Приложение 5.

7.2. В случае внесения изменений и дополнений в «Перечень информационных ресурсов, подлежащих защите» пересмотру (с последующим утверждением) подлежит Приложение 4.

Приложение 1 - Методика категорирования защищаемых ресурсов

Настоящая методика предназначена для уточнения порядка проведения работ по категорированию защищаемых ресурсов в ИБС Банка в соответствии с «Положением о категорировании ресурсов информационной банковской системы». Категорирование предполагает проведение работ по обследованию подсистем ИБС и структурных подразделений Банка и выявлению (инвентаризации) всех ресурсов ИБС, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

1. Для проведения информационного обследования всех подсистем информационной системы Банка и проведения инвентаризации ресурсов ИБС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты отдела информационной безопасности и Управления информационных технологий Банка (осведомленные в вопросах технологии автоматизированной обработки информации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение Председателя Правления Банка, в котором, в частности, даются указания всем начальникам структурных подразделений Банка об оказании содействия и необходимой помощи рабочей группе в проведении работ по обследованию ИБС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.

2. В ходе обследования конкретных подразделений Банка и информационных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием ИБС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.

3. Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (Приложение 2). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.

4. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб Банку, ее клиентам или корреспондентам.

5. При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

6. Информация об оценках вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).

7. При составлении перечня и формуляров функциональных задач, решаемых в Банке необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). Оценки вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

8. Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

9. Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых им прав).

10. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения Банка (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите» (в колонки 2 и 3).

11. Затем Перечень согласовывается с руководителями Управления безопасности, УИТ и Отдела информационной безопасности и выдвигается на рассмотрение Комитета по управлению информационной безопасностью.

12. При рассмотрении Перечня Комитетом по управлению информационной безопасностью в него могут вноситься изменения и дополнения. Подготовленный вариант «Перечня информационных ресурсов, подлежащих защите» представляется на утверждение Председателю Правления Банка.

13. В соответствии с указанными в утвержденном «Перечне информационных ресурсов, подлежащих защите» категориями конфиденциальности и целостности определяется обобщенная категория каждого вида информации (в соответствии с таблицей 1 Положения о категорировании).

14. На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями операционных подразделений Банка и согласованных с Управлением безопасности и УИТ, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием ИБС (Таблица 2 Положения о категорировании ресурсов). Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным РМ не производится.

В дальнейшем, с участием специалистов УИТ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих РМ, на которых будет решаться данная задача, и для контроля правильности их установки.

15. Затем производится категорирование всех логических каналов между функциональными задачами. Категория канала устанавливается исходя из максимальной категории задач, участвующих во взаимодействии.

16. На последнем этапе происходит категорирование РМ. Категория РМ устанавливается, исходя из максимальной категории специальных задач, решаемых на нем (либо категории информации, используемой при решении общих задач). На одном РМ может решаться любое количество задач, категории которых ниже максимально возможной на данном РМ, не более чем на единицу. Информация о категории РМ заносится в формуляр РМ.

Проблему защиты информации сложно назвать надуманной. Со всех сторон мы слышим о взломах, вирусах, вредоносном программном обеспечении, атаках, угрозах, уязвимостях…

Информационная безопасность как система

Информационная безопасность - комплекс мер, среди которых нельзя выделить более важные. Информационную безопасность нельзя воспринимать иначе как комплекс. Здесь важно все! Нужно соблюдать меры защиты во всех точках сети, при любой работе любых субъектов с вашей информацией (под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и т.д. Способы реализации защиты мы в этой статье рассматривать не будем ввиду их огромного разнообразия.

Однако следует понимать, что обеспечить стопроцентную защиту невозможно. Вместе с тем нужно помнить: чем выше уровень защищенности, тем дороже система, тем более неудобной в использовании она получается для пользователя, что соответственно ведет к ухудшению защиты от человеческого фактора. Как пример вспомним, что чрезмерное усложнение пароля ведет к тому, что пользователь вынужден записывать его на бумажку, которую приклеивает к монитору, клавиатуре и пр.

Существует широкий спектр программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако стоит помнить, что самым уязвимым звеном в защите всегда остается человек ! Ведь работоспособность любого программного обеспечения зависит от качества его написания и грамотности администратора, который настраивает то или иное средство защиты.

Многие организации в связи с этим создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Вместе с тем нужно понимать, что нельзя взваливать на службу ИТ несвойственные ей функции. Об этом не раз уже говорилось и писалось. Итак, предположим, в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?

Начинать нужно с обучения сотрудников! И в дальнейшем сделать этот процесс регулярным. Обучение персонала основам защиты информации должно стать постоянной задачей отдела защиты информации. И делать это нужно не реже двух раз в год.

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности организации». Правильно ли это? На мой взгляд - нет. Перед тем как вы сядете писать этот огромный труд, вам нужно определиться со следующими вопросами:

• какую информацию вы обрабатываете?
• как ее классифицировать по свойствам?
• какими ресурсами вы обладаете?
• как распределена обработка информации по ресурсам?
• как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). О требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, в ряду общих требований к системам обработки информации.

Если такой взгляд еще можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо. Например, согласно требованиям украинского законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае, если эта информация не принадлежит государству).

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного копирования. Рассмотрим в качестве примера веб-сайт интернет-издания. На первом месте будет стоять, на мой взгляд, доступность и целостность информации, а не ее конфиденциальность. Оценивать и классифицировать информацию только с позиции и секретности по меньшей мере непродуктивно.

И объяснить это можно только узостью традиционного подхода к защите информации, отсутствием опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащих сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, назовем несколько категорий конфиденциальности и целостности защищаемой информации.

• совершенно конфиденциально - информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;
• конфиденциально - в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
• открытая - к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

• высокая - информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
• низкая - к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
• нет требований - к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

По степени доступности введем четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения:

• реальное время - доступ к задаче должен обеспечиваться в любое время;
• час - доступ к задаче должен осуществляться без существенных временны х задержек (задача решается каждый день, задержка не превышает несколько часов);
• день - доступ к задаче может обеспечиваться с существенными временны ми задержками (задача решается раз в несколько дней);
• неделя - временны е задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

Категорирование информации

1. Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
2. Категорирование всех задач, которые решаются на данном компьютере.
3. Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, нужно понять, что вы собираетесь защищать и какими ресурсами обладаете. Для этого необходимо провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите:

1. Для проведения инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В ее состав включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.
2. Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издается соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.
3. Для оказания помощи на время работы группы в подразделениях их руководителями должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
4. Данное распоряжение доводится под роспись всем руководителям соответствующих подразделений.
5. В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с применением компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях.
6. По окончании обследования составляется формуляр задач, решаемых в организации. Следует понимать, что одна и та же задача в разных подразделениях может называться по-разному и, наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств, применяемых при решении функциональных задач подразделения.

Следует учесть, что в ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Необходимо учитывать, что выявлять необходимо не только конфиденциальную информацию, но и ту, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе информации, обрабатываемой в организации, необходимо оценивать серьезность последствий, которые могут быть вызваны нарушением ее свойств. Для этого нужно проводить опросы (тестирование, анкетирование) работающих с ней специалистов. При этом в первую очередь стоит выяснить, кому выгодно незаконно использовать или воздействовать на эту информацию. Если не получается провести количественную оценку возможного ущерба, следует дать ему качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности при анализе задач, решаемых в организации, необходимо выявлять максимально допустимое время задержки результатов, периодичность их решения и серьезность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определенной степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав).

При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации.

По окончании анализа составляется «Список информационных ресурсов, подлежащих защите».

Затем данный список согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

По окончании данного этапа необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются (в плане доступности) все прикладные задачи, решаемые в подразделениях.

В дальнейшем с помощью специалистов службы ИТ и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) каждой задачи и внести в формуляр (конкретной задачи) сведения по группам пользователей данной задачи и указания по настройке применяемых при ее решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка имеющихся активных и пассивных сетевых ресурсов со списком оборудования (и его комплектности), закупленного организацией. Эта процедура реализуется с помощью соответствующего программного обеспечения, например Microsoft Sysytems Management Server. Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, создание фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и «логических бомб».

В связи с этим хотелось бы отдельно упомянуть о тенденции к использованию в нашей стране программного кода Open Source. Не спорю, это обеспечивает существенную экономию ресурсов. Однако, на мой взгляд, в таком случае проблема безопасности становится вопросом доверия уже не только к разработчику системы, но и к вашему администратору. А если вспомнить, сколько он получает, то нетрудно сделать вывод, что купить ваши секреты в данном случае намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит напомнить и о том, что большую часть успешных атак осуществили инсайдеры, то есть свои же сотрудники компании.

На мой взгляд, применять свободно распространяемое программное обеспечение при наличии потенциальной возможности нанесения серьезного ущерба можно лишь в случае, если оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие в нем логических бомб, всяческого рода закладок и «черных ходов». Причем организация-гарант должна нести материальную ответственность за свою гарантию, что, по-моему, невозможно. Однако выбор за вами.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше всего - электронной подписью разработчика). В дальнейшем при смене версий и появлении обновлений проверка программного обеспечения производится в обычном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате установки, цели, решаемых с помощью данного обеспечения задачах, фамилии и подписи лица, производившего установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации является анализ рисков организации, который должен стать основой для создания политики безопасности.

Категорирование защищаемых ресурсов –установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Упрощенный алгоритм оценки защищенности объекта информатизации:

Инвентаризация информационных ресурсов и выявление защищаемой информации

Выявлениеисточников потенциально возможных угроз

Выявлениеуязвимыхзвеньев объекта информатизации

Составлениеперечня потенциально возможных угроз

Оценка возм-тиреализации и опасности угроз , составление перечня актуальных угроз

1. Если в файле имеется защищаемая информация , то весь файл подлежит защите и файлу присваивается соответствующий уровень важности;

2. с позиций обеспечения ее конфиденциальности полностью определяетсяприсвоенным ей грифом секретности или конфиденциальности. Для конфиденциальной информации гриф конфиденциальности определяется в зависимости от того, какой круг лиц имеет право ознакомления с ней, и определяется преимущественно пользователем;

3. Градация критичности информации с позиции обеспечения ее целостности или доступности определяется пользователем и зависит от уровня и приемлемости затрат (времени, трудовых ресурсов, финансовых средств) на восстановление целостности или доступности информации;

4. Исполняемые файлы прикладных программ, запуск которых обусловливает доступ к файлам с данными пользователя, имеют не меньшую важность с позиции обеспечения как целостности, так и их доступности, чем сами файлы с данными пользователя;

5. Файлы информации, нарушение целостности или доступности которых приводит к срыву работы ОС, имеют большую важность с позиции обеспечения их целостности или доступности, чем остальные хранящиеся в системе файлы;

6. Если в помещении хранится конфиденциальная информация или помещение выделено для конфиденциальных переговоров, то считается, что распространяемая в ходе разговоров должностных лиц или при передаче по линиям связи информация имеет высший уровень конфиденциальности, предусмотренный для данного помещения, то есть, возможна утечка информации с наибольшим уровнем критичности для данного помещения.

создание нормативно-методической основы для дифференц-го подхода к защ. ресурсов автоматиз. системы на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС организации и унификацию их настроек.

«высокая » - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства РФ (банковская тайна, персональные данные);

«низкая » - к данной категории относится конфиденциальная информация, не отнесенная к категории «высокая», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ей как собственнику информации действующим законодательством правами;

«нет требований » - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«высокая » - к данной категории относится информация, несанкционированная модификация или фальсификация которой может привести к нанесению значительного прямого ущерба организации, ее клиентам и корреспондентам, целостность и аутентичность кот.должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;

«низкая » - к данной категории относится инфа, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства организации (методами подсчета контрольных сумм, ЭЦП и т.п.);

«нет требований » - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Требуемые степени доступности функциональных задач:

«беспрепятственная доступность » – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

«высокая доступность » – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

«средняя доступность » – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«низкая доступность » – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата – несколько недель).

Категории АРМ. В зависимости от категорий решаемых на АРМ задач устан-ся 4 категории АРМ: «A », «B », «C » и «D ». К группе АРМ категории «A» относятся АРМ, на кот.решается хотя бы одна функц. задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй. К группе АРМ категории «B» относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй. К группе АРМ категории «C» относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.

Михаил Коптенков | © М. Коптенков

Информационная безопасность – это состояние защищенности информационной среды. Информационная безопасность должна рассматриваться как комплекс мер, среди которых нельзя выделить более или менее важные . Понятие информационной безопасности тесно связано с понятием защиты информации, которое представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, т. е. процесс, направленный на достижение состояния информационной безопасности. Однако, прежде чем защищать информацию, необходимо определить, какую именно информацию следует защищать и в какой степени. Для этого применяется категорирование (классификация) информации, т. е. установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям. Таким образом, категорирование информации можно назвать первым шагом на пути к обеспечению информационной безопасности организации.

Исторически сложилось, что при классификации информации ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом требования по обеспечению доступности и целостности часто не учитываются или учитываются наравне с общими требованиями к системам обработки информации. Это неверный подход. Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой отсутствует, важнейшими свойствами являются: доступность, целостность и защищенность от неправомерного копирования . В качестве примера можно привести интернет-магазин, где важно постоянно поддерживать доступность к веб-сайту компании. Исходя из необходимости обеспечения различных уровней защиты информации можно ввести различные категории конфиденциальности, целостности и доступности.

1. Категории конфиденциальности защищаемой информации

Конфиденциальность информации – свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации.
Вводятся следующие категории конфиденциальности информации:
– – информация, являющаяся конфиденциальной в соответствии с требованиями законодательства, а также информация, ограничения на распространение которой введены решениями руководства организации, разглашение которой может привести к нанесению значительного ущерба деятельности организации.
– Конфиденциальная информация – информация, не являющаяся строго конфиденциальной, ограничения на распространение которой вводятся только решением руководства организации, разглашение которой может привести к нанесению ущерба деятельности организации.
– Открытая информация – к данной категории относится информация, обеспечения конфиденциальности которой не требуется.

2. Категории целостности информации

Целостность информации – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество (остаются неизменными по отношению к некоторому фиксированному состоянию).
Вводятся следующие категории целостности информации:
– Высокая – к данной категории относится информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба деятельности организации.
– Низкая – к данной категории относится информация, несанкционированная модификация которой может привести к нанесению умеренного или незначительного ущерба деятельности организации.
– Нет требований – к данной категории относится информация, к обеспечению целостности которой требований не предъявляется.

3. Категории доступности информации

Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Вводятся следующие категории доступности информации:
– – доступ к информации должен обеспечиваться в любое время (задержка получения доступа к информации не должна превышать нескольких секунд или минут).
– Высокая доступность – доступ к информации должен осуществляться без существенных временных задержек (задержка получения доступа к информации не должна превышать нескольких часов).
– Средняя доступность – доступ к информации может обеспечиваться с существенными временными задержками (задержка получения информации не должна превышать нескольких дней).
– Низкая доступность – временные задержки при доступе к информации практически не лимитированы (допустимая задержка получения доступа к информации – несколько недель).

Из вышеперечисленного видно, что категории конфиденциальности и целостности информации напрямую зависят от величины ущерба деятельности организации при нарушении этих свойств информации. Категории доступности в меньшей степени, но также зависят от величины ущерба деятельности организации. Для определения величины ущерба используется его субъективная оценка и вводится трехуровневая шкала: значительный ущерб, умеренный ущерб и низкий ущерб (или отсутствие ущерба).
низкий , если потеря доступности, конфиденциальности и/или целостности информации оказывает незначительное негативное воздействие на деятельность организации, ее активы и персонал.
Незначительность негативного воздействия означает, что:
- организация остается способной выполнять свою деятельность, но эффективность основных функций оказывается сниженной;
- активам организации наносится незначительный ущерб;
- организация несет незначительные финансовые потери.
Ущерб деятельности организации оценивается как умеренный , если потеря доступности, конфиденциальности и/или целостности оказывает серьезное негативное воздействие на деятельность организации, ее активы и персонал.
Серьезность негативного воздействия означает, что:
- организация остается способной выполнять свою деятельность, но эффективность основных функций оказывается существенно сниженной;
- активам организации причиняется значительный ущерб;
- компания несет значительные финансовые потери.
Потенциальный ущерб для организации оценивается как значительный , если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое (катастрофическое) негативное воздействие на деятельность организации, ее активы и персонал, т. е.:
- организация теряет способность выполнять все или некоторые из своих основных функций;
- активам организации причиняется крупный ущерб;
- организация несет крупные финансовые потери.
Таким образом, оценивая ущерб деятельности организации при нарушении конфиденциальности, целостности и доступности информации и на основании этого определяя категории информации, можно выделить три ее типа: наиболее критичная, критичная и некритичная.

Определение типа информации осуществляется путем сопоставления категорий этой информации.
В таблице 1 приведено определение типа информации.

Таблица 1: Определение типа информации

Таким образом, категорирование информации является первым шагом к обеспечению информационной безопасности организации, так как, прежде чем что-то защищать, в первую очередь, стоит определить, что именно требуется защищать и в какой степени. Категорировать следует и пользовательскую, и системную информацию, представленную как в электронной форме, так и на материальном носителе. Для определения типа защищаемой информации необходимо определить, какой ущерб организации будет причинен при потере конфиденциальности, целостности и доступности такой информации.
В дальнейшем, определив, к какому типу какая информация относится, можно применять различные меры по защите каждого типа информации. Это позволит не только структурировать обрабатываемые в организации данные, но и наиболее эффективно внедрить и использовать подсистему управления доступом к защищаемой информации, а также оптимизировать затраты на обеспечение информационной безопасности.

Список литературы:
1. Безмалый В., Служба защиты информации: первые шаги, 2008 г., http://www.compress.ru/Article.aspx?id=20512
2. Гладких А. А., Дементьев В. Е., Базовые принципы информационной безопасности вычислительных сетей. Ульяновск: УлГТУ, 2009. – 156 с.