Службы ИТ и ИБ: проблемы взаимоотношений

"Кто владеет информацией, тот владеет миром"

Уинстон Черчилль

Процесс развития общества привел к рождению новой среды - информационного пространства или киберпространства. Информационное пространство, подобно иным объективным явлениям, существует самостоятельно, независимо от замыслов и воли людей, участвовавших в его создании. Киберпространство развивается по собственным законам и преобразует жизнь человечества, создавая новый фактор существования - виртуальную реальность.

В середине 90-х годов предыдущего века стало ясно, что Internet не только может использоваться как альтернативный канал получения информации, но и приносить экономическую выгоду. Развитие компьютерной техники, средств телекоммуникаций, миниатюризация аппаратуры привели к развитию информационной инфраструктуры нового поколения. Конкуренция и высокая инвестиционная привлекательность обеспечили лавинообразный рост числа предприятий и организаций, использующих инфраструктуру и технологии Internet как каналы получения информации, необходимой для успешной экономической деятельности. И сразу встал вопрос о защите и этих каналов, и информации, т.е. об информационной безопасности.

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам или пользователям информации.

Вопросы обеспечения ИБ исследуются в разных странах достаточно давно. На сегодня уже сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного (законы, нормативные акты, стандарты);
  • административного (действия общего характера, предпринимаемые руководством организации);
  • процедурного (меры безопасности, реализуемые персоналом);
  • программно-технического (конкретные технические меры).

При обеспечении ИБ используют два аспекта:

  • формальный - определение критериев, которым должны соответствовать защищенные информационные технологии;
  • практический - определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Существенное увеличение числа участников экономической деятельности и перенесение ее части в информационное пространство приводит к тому, что вопросы безопасности организации бизнеса приобретают новое содержание.

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы:

  • Определение политики ИБ
  • Определение сферы (границ) системы управления ИБ и конкретизация целей ее создания
  • Оценка рисков
  • Управление рисками
  • Выбор контрмер, обеспечивающих режим ИБ
  • Аудит системы управления ИБ

На базе информационных технологий Internet появилась возможность реализации новых, более эффективных моделей ведения бизнеса, которые, в свою очередь, оказывают влияние на информационную структуру киберпространства.

В современных жестких условиях экономической деятельности постоянно растущая конкуренция рассматривает задачу информационного обеспечения бизнеса как первоочередную. Это связано еще и с тем, что динамика развития организаций и предприятий должна соответствовать требованиям времени. Активными участниками процессов информационного обмена становятся не только отдельные пользователи, но и все типы внешних по отношению к ним структур (от клиентов до государственных структур).

Традиционными каналами получения информации, необходимой для успешной деятельности организаций, до недавнего времени являлись: телефон, почта, телеграф и средства массовой информации.

Рост количества и качества средств предоставления информации и самой сети Internet позволил к концу тысячелетия сформировать информационную инфраструктуру Internet как экономически целесообразный канал реализации информационных потребностей предприятий и организаций.

Корпоративные сети, организованные на основе принципов и технологий Internet, получили название intranet. Использование технологий Internet/intranet для обеспечения доступа к каким-либо информационным ресурсам подразумевает существование следующих компонентов:

  • IP-сети с поддержкой базового набора услуг по передаче данных с единой политикой адресации, маршрутизации и поддерживаемым сервисом DNS;
  • стандартного протокола взаимодействия между информационным сервером и универсальным клиентом для доступа к информационному содержанию сервера (протокола HTTP);
  • информационного сервера (Web-сервера), обеспечивающего хранение гипертекстовых документов и предоставляющего доступ к ним по стандартному протоколу через IP-сеть;
  • универсального клиента (браузера) - пользовательской программы, обеспечивающей просмотр гипертекстовых документов на имеющейся программно-аппаратной платформе.


Проблемы управления информационной безопасностью

Для рассмотрения проблем управления ИБ сначала определим основные термины и понятия.

Информация - объект, который имеет значение для организации, и поэтому должен быть надлежащим образом защищен.

Информация может быть в разных формах, написана, напечатана, сохранена в электронном виде, передана по электронной почте, показана в фильме. Она включает:

  • Документы и бумаги
  • Электронные данные
  • Программное обеспечение или системы и сети, в которых хранится, обрабатывается и передается информация
  • Интеллектуальная информация (знание)
  • Физические предметы, для которых информация предназначена, компоненты или их использование для этого.

Сущность ИБ - защитить объекты информации организации и процессы бизнеса, которые их поддерживают в контексте:

  • Конфиденциальности - информацию могут увидеть только те, кто авторизован для доступа.
  • Целостности - точность и полнота информации и методов обработки гарантирована.
  • Доступности - информация и ассоциированные объекты доступны по требованию авторизованных пользователей.
  • Наблюдаемости - фиксирование деятельности пользователей и процессов использования пассивных объектов, а также однозначного установления идентификаторов, причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия.

Международным сообществом установлено 9 принципов обеспечения безопасности информационных систем и сетей:

  1. Awareness. Участники должны сознавать необходимость безопасности информационных систем и сетей, и то, что можно сделать для усиления безопасности.
  2. Responsibility. Все участники ответственны за безопасность ИС и сетей.
  3. Response. Участники должны действовать одновременно и совместно для защиты, обнаружения и реакции на инциденты безопасности.
  4. Ethics. Участники должны соблюдать законные интересы друг друга.
  5. Democracy. Безопасность ИС и сетей должна быть совместима с главными ценностями демократического общества.
  6. Risk assessment. Участники должны проводить оценку риска.
  7. Security design and implementation. Участники должны рассматривать безопасность как важнейший элемент ИС и сетей.
  8. Security management. Участники должны использовать исчерпывающий подход к управлению безопасностью.
  9. Reassessment. Участники должны пересматривать и переоценивать безопасность ИС и сетей и проводить соответствующие модификации политики безопасности, практики, оценок и процедур.

Защита информационных объектов является важнейшей задачей организации. Вместе с тем, как показывает опыт, в настоящее время руководители отделов информационных технологий и информационной безопасности все чаще и чаще оказываются перед такими вопросами: кто за что отвечает и кто что должен делать; как правильно определить обязанности этих служб таким образом, чтобы обеспечить максимальный эффект от взаимодействия и прекратить часто возникающую никому не нужную вражду.

Проблема взаимоотношений этих двух служб зачастую усиливается оттого, что начальник отдела ИБ, непосредственно подчиняющийся первому лицу в организации, не имеет элементарного ИТ-образования и пытается диктовать свои условия не путем поиска взаимопонимания, а исключительно "силовыми методами".

На самом деле должно быть совсем не так. Изначально начальник подразделения ИБ, равно как и все сотрудники данного подразделения, должен быть высокопрофессиональным ИТ-инженером. При этом оптимально, если отдел ИБ вначале добивается авторитета за счет своих профессиональных знаний, а уж потом начинает требовать выполнения тех или иных распоряжений. При этом достигается понимание того, что эти распоряжения действительно отдаются специалистами, прекрасно разбирающимися в ИТ-технологиях. В таком случае распоряжения выполняются гораздо быстрее и охотнее, а главное, не встречают противодействия со стороны подразделения ИТ.


Распределение функций по обеспечению защиты информации между подразделениями

Реализация подразделениями и отдельными сотрудниками организации функций по защите информации (ЗИ) должна осуществляться в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами и т.п.).

Приведенное далее структурное деление и наименование подразделений являются условными и введены с целью конкретизации положений технологии управления информационной безопасностью.

Технология предусматривает взаимодействие и реализацию определенных функций по ЗИ следующими подразделениями и должностными лицами организации.


Служба информационной безопасности (отдел защиты информации)

Выполнение различных мероприятий по созданию и поддержанию работоспособности системы защиты должно быть возложено на специальную службу - службу информационной безопасности.

Служба информационной безопасности должна представлять собой систему штатных подразделений и внештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.

На основе утвержденной системы организационно-распорядительных документов данное подразделение должно выполнять следующие основные действия:

  • определять критерии, по которым различные рабочие места (РМ) относятся к той или иной категории по требуемой степени защищенности, и оформлять их в виде "Положения об определении требований по защите ресурсов";
  • определять типовые конфигурации и настройки программно-аппаратных средств защиты информации для РМ различных категорий (требуемых степеней защищенности);
  • по заявкам руководителей подразделений (используя формуляры РМ и формуляры задач) проводить анализ возможности решения (а также совмещения) указанных задач на конкретных РМ (с точки зрения обеспечения безопасности) и принимать решения об отнесении РМ к той или иной группе по степени защищенности;
  • совместно с отделом технического обслуживания службы ИТ проводить работы по установке на РМ программно-аппаратных средств защиты информации;
  • согласовывать и утверждать предписания на эксплуатацию (формуляры) РМ, подготовленные в подразделениях организации;
  • обеспечивать проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;
  • определять организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования автоматизированной системы.


Служба ИТ (отдел эксплуатации и отдел телекоммуникаций)

  • по заявкам руководителей подразделений (используя формуляры РМ и формуляры задач) проводит анализ возможности решения указанных задач на конкретных РМ и уточняет содержание необходимых для этого изменений в конфигурации аппаратных и программных средств РМ;
  • на основе утвержденных заявок начальников подразделений установленным порядком производит:
    1. установку (развертывание, обновление версий) программных средств, необходимых для решения на РМ конкретных задач (используя полученные в фонде алгоритмов и программ (ФАП) дистрибутивы и формуляры задач);
    2. удаление (затирание) программ, необходимость в использовании которых отпала;
    3. установку (развертывание) новых РМ (ПК) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на РМ конкретных задач;
    4. изъятие или замену ПК (отдельных устройств, узлов, блоков), необходимость в использовании которых отпала, предварительно осуществляя установленным порядком затирание остаточной информации на изымаемых носителях;
    5. принимает участие в заполнении (корректировке сведений) формуляров РМ и выдаче предписаний к эксплуатации РМ;
  • в своей деятельности сотрудники отдела эксплуатации руководствуются "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств РМ автоматизированной системы организации".


Служба ИТ (фонд алгоритмов и программ - ФАП)

  • ведет общий перечень задач, решаемых в автоматизированной системе (АС) организации;
  • по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;
  • совместно с отделами разработки и сопровождения службы ИТ и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;
  • хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;
  • осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания службы ИТ лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на РМ АС организации по заявкам начальников отделов.


Все управления и отделы (структурные подразделения) организации

Определяют:

  • функциональные задачи, которые должны решаться в подразделении с использованием РМ АС организации;
  • все необходимые изменения в конфигурации РМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств РМ автоматизированной системы организации";
  • заполняют формуляры РМ и представляют их на утверждение в отдел защиты информации;
  • обеспечивают надлежащую эксплуатацию установленных на РМ средств защиты информации.

Таким образом, роль отдела защиты информации заключается в определении стратегии безопасности, создании требований по настройке программного обеспечения с точки зрения безопасности (как системного, так и прикладного) и проверке правильности соответствующей настройки. Естественно, здесь мы не говорим о таких специфичных для отдела ЗИ задачах, как создание базы организационных документов, обучение пользователей, настройка аппаратно-программных средств обеспечения безопасности и т.д.

Вместе с тем, начальникам служб защиты информации следует понимать, что только во взаимодействии со службами ИТ и физической безопасности возможно построение действительно надежной системы защиты информации.

Владимир БЕЗМАЛЫЙ

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Al

На мой взгляд, какая-то нереальная сказка. Если это где-то внедрено, то не представляю, как этот монстр может эффективно работать, оправдывая затраты на его содержание.

Работая в своё время в достаточно большой международной корпорации в ИТ сфере, я там такого не видел. Наверное, потому, что там это решено более разумно. При этом очень безопасно.

 

Аватар пользователя VladB

Поверьте, может и работает. То что вы не видите суслика, не означает что его нет!

Аватар пользователя mike

Не знаю, как у кого, а у меня впечатление от этих публикаций по безопасности, как от виртуальной халвы: "Халва-халва-халва..." 

Аватар пользователя VladB

Ха! Естественно. Ведь нужно не только читать, но и делать что-то. А вот делать особо не торопятся, ибо нужны деньги, желание, да и мозги!

Наверное, не "служба информационной безопасности", а "служба обеспечения безопасности информации", и не "отдел защиты информации", а "отдел по защите информации".... Ну а если требуются рекомендации по созданию системы менеджмента информационной безопасности (общепринятый термин, вроде, хотя мне не очень он нравится), то начинать надо плясать от печки - стандарта 27001. Разумеется, тема слишком широка, чтобы сунуть ее в одну статью.