Разработка политики безопасности организации в свете новейшей нормативной базы

3. Действия, связанные с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданий по безопасности.

4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации.

В настоящее время на рынке отсутствуют системы, которые предоставляли бы исчерпывающие средства для автоматизации всех перечисленных аспектов разработки политики безопасности. Наиболее широко представлены средства для автоматизации анализа рисков, а также для проверки соответствия информационной системы компании положениям того или иного стандарта.

Именно на последних системах в силу их относительной новизны, а также с учетом роли, которую они потенциально могут сыграть для популяризации соответствующих стандартов, стоит остановиться подробнее.

 

3.2. Система COBRA

Наиболее известный программный продукт, предназначенный для проверки выполнения требований стандарта ISO 17799, – это система COBRA производства компании C & A Systems Security Ltd. Помимо анализа соответствия информационной системы компании положениям стандарта, система обеспечивает также автоматизацию проведения анализа рисков.

Оценка соответствия системы положениям стандарта ISO 17799 производится следующим образом. Пользователю предлагается ответить на ряд вопросов из следующих групп (рис. 2):

Рисунок 2. – Группы вопросов, на основании которых производится оценка соответствия системы по стандарту ISO 17799

1. Классификация активов и управление ими. Под активами в данном случае понимаются материальные и информационные ценности, рассматриваются вопросы их учета и классификации.

2. Планирование непрерывности ведения бизнеса. Рассматриваются вопросы разработки планов непрерывного ведения бизнеса, их тестирования и распределения ответственности.

3. Управление компьютерами и операциями. Выделяется широкий перечень вопросов, связанных с управлением процессами и сервисами безопасности.

4. Соответствие. Рассматриваются вопросы соответствия информационной инфраструктуры различного рода требованиям, инструкциям и рекомендациям.

5. Безопасность персонала. Рассматриваются вопросы распределения ответственности по реализации положений политики безопасности между сотрудниками, а также порядок приема сотрудников.

6. Физическая безопасность и безопасность среды. Рассматриваются вопросы организации физической защиты на территории предприятия, охраны, контроля физического доступа, энергетической и противопожарной безопасности.

7. Организация безопасности.

Рассматриваются вопросы организации службы информационной безопасности на предприятии – в частности, создания форумов по безопасности, а также порядок взаимодействия со сторонними экспертами по безопасности и распределение ролей в ходе реализации мероприятий по защите информации между сотрудниками.

8. Политика безопасности. Вопросы данного раздела преследуют цель определить положение политики безопасности в системе мер по обеспечению информационной безопасности организации, а также позволяют оценить структуру этого документа и его применяемость на практике.

9. Управление доступом к системе. Рассматриваются вопросы контроля и разграничения доступа, а также категорирования защищаемой информации.

10. Разработка и поддержка системы. Рассматриваются вопросы обеспечения информационной безопасности системы на протяжении всего жизненного цикла. В частности, оцениваются применяемые технологии анализа рисков. Для ответа на очередной вопрос предлагается выбрать либо один, либо несколько возможных вариантов (рис. 3).

Рисунок 3. – Вопрос, предполагающий выбор единственного ответа.

Для значительной части вопросов имеются комментарии, поясняющие используемые понятия. На основании сведений, полученных в ходе выполнения всех вопросников или некоторой их части, COBRA автоматически генерирует отчет (рис. 4):

Рисунок 4. – Отчет, генерируемый системой COBRA

Структура отчета.

1. Введение. Содержит общую информацию о сгенерированном отчете.

2. Обзор проверки соответствия. В разделе детализируется информация об использованном вопроснике, выделяются использованные модули и категории вопросов.

3. Анализ несоответствий. Раздел содержит исчерпывающий анализ выявленных несоответствий с указанием ссылок на соответствующие разделы стандарта ISO 17799.

4. Требования по улучшению. Приводятся рекомендации по устранению обнаруженных несоответствий.

5. Перечень вопросов и ответов. Раздел содержит перечень вопросов, которые были использованы при построении отчета, и соответствующих ответов.

Проведенный анализ показывает, что система COBRA действительно позволяет реализовать исчерпывающую проверку соответствия информационной системы положениям стандарта ISO 17799.

Однако необходимо подчеркнуть, что COBRA ни в коей мере не претендует на то, чтобы заменить собой эксперта в области информационной безопасности. Действительно, достоверность результатов анализа, проведенного с помощью COBRA, полностью определяется адекватностью ответов на вопросники, которые, в свою очередь, требуют глубокого понимания механизмов обеспечения информационной безопасности, а также архитектуры и особенностей реализации подлежащей оценке информационной системы. Тем не менее в руках специалиста COBRA может стать удобным инструментом, позволяющим значительно ускорить процесс разработки и реализации неформальной политики безопасности.

Спартанский интерфейс программы не отличается особой изысканностью, однако навигация в большинстве случаев достаточно удобна и интуитивно понятна.

Наиболее серьезным препятствием для распространения системы в России является ее англоязычность, которая во многих случаях исключает возможность непосредственного использования сгенерированных отчетов.

 

3.3. КОНДОР: ISO 17799

Программный комплекс КОНДОР (разработчик – компания Digital Security) является русскоязычным аналогом COBRA-подобной системы, также предназначенной для оценки соответствия информационной системы положениям стандарта ISO 17799. Концепции этих двух пакетов совершенно аналогичны: на основании ответов на вопросы генерируется отчет.

Вопросы структурированы в следующие разделы:

● политика безопасности;

● организационные меры;

● управление ресурсами;

● безопасность персонала;

● физическая безопасность;

● управление процессами;

● контроль доступа;

● непрерывность бизнеса;

● соответствие системы;

● разработка систем.

По глубине анализа КОНДОР несколько проще, чем COBRA. Кроме того, возможности по анализу рисков у текущей версии системы отсутствуют.

В текущей версии есть определенные некорректности, впрочем, принципиально не снижающие ценность продукта. Так, в блоке «Политика безопасности» можно на первый же вопрос ответить, что политика безопасности в организации отсутствует – но разговор на этом не будет закончен, придется описывать подробные характеристики этой политики безопасности. Соответственно, при построении диаграммы в отчете полученные данные анализируются исключительно с количественной точки зрения – в приведенном на рис. 6 примере требования к несуществующей политики безопасности скорее выполнены, чем не выполнены.

Рисунок 6. – Политика безопасности отсутствует, однако выполнена большая часть требований к ней

Наименее проработанным, на наш взгляд, компонентом системы КОНДОР является генератор отчетов. Собственно отчет (рис. 5) представляет собой перечень разделов стандарта с указанием тех из них, с которыми выявлено соответствие.

Рисунок 5. – Отчет, сгенерированный системой КОНДОР

К некоторым из положений стандарта доступны краткие комментарии. Также имеется возможность построения диаграмм, показывающих степень соответствия системы требованиям стандарта. Какие либо рекомендации или выводы частично отсутствуют, что несколько снижает эффективность использования подобного рода отчетов.

Отдельной критики заслуживает интерфейс программы. Просмотр отчета достаточно неудобен и требует навигации в четырех направлениях, то же самое можно сказать о справочной системе.

При всем при этом, к очевидному достоинству системы КОНДОР по сравнению с COBRA является русскоязычный интерфейс.

 

3.4. CC Toolbox: автоматизация разработки формальной политики безопасности

Рассмотренные системы ориентированы исключительно на  проверку соответствия требованиям стандарта ISO 17799, что соответствует неформальному уровню разработки политики безопасности. Формальный уровень, в свою очередь, предполагает использование инструментария КОБИТ, и наиболее известным средством автоматизации в данном случае является пакет CC Toolbox.

Общий вид интерфейса пакет CC Toolbox представлен на рис. 7.

Рисунок 7. – Интерфейс системы CCTools

Система обеспечивает автоматизацию разработки двух типов документов:

● профилей защиты;

● заданий по безопасности.

Порядок работы с CC Toolbox во многом аналогичен продуктам COBRA и КОНДОР. Пользователю предлагается ответить на ряд вопросов, полностью специфицирующих все разделы профиля защиты или задания по безопасности.

На основании информации, полученной из анализа ответов на вопросы, генерируется соответствующий документ, который может быть экспортирован в html-формат или распечатан.

Поскольку требования КОБИТ в отличие от ISO 17799 являются формальными, проблемы полноты вопросников не возникает. Выбор компонентов КОБИТ осуществляется интуитивно понятным образом и в естественном порядке. Принятая концепция позволяет учитывать логические связи между разделами документа, что позволяет эффективным образом вносить изменения в процессе разработки профиля защиты или задания по безопасности.

Итак, пакет CC Toolbox может быть с успехом использован при формализации политики безопасности. Единственным ограничением является опять-таки англоязычность пакета. Однако с учетом аутентичности перевода отечественной версии КОБИТ можно предположить, что разработка русскоязычной версии не составит особого труда. Разработка такой версии продукта могла бы самым благоприятным образом повлиять на ход внедрения ГОСТ Р ИСО/МЭК 154082002 в нашей стране.

 

Заключение

На неформальном описательном уровне политики безопасности организации может быть успешно разработана на основании стандарта ISO 17799. Однако, хотя в ряде случаев результаты такого подхода оказываются вполне достаточными для координации мероприятий по комплексному обеспечению информационной безопасности организации, зачастую требуется формальное определение требований политики безопасности. Преимущества формального подхода очевидны:

● формальные положения политики безопасности допускают исчерпывающий анализ их полноты и непротиворечивости;

● облегчается процесс проверки соответствия объекта оценки положениям политики безопасности.

В качестве базы для формализации положений политики безопасности целесообразно выбрать КОБИТ. Указанный мета-стандарт содержит исчерпывающий комплекс требований, которые могут быть успешно использованы для построения разного рода стандартов, а значит, и для формализации неформально изложенных требований политики безопасности. Структура соответствующего документа ничем не регламентируется, однако целесообразно представлять политику безопасности организации как Профиль защиты объекта оценки «Информационная инфраструктура организации». Конкретные же инструкции по реализации положений политики безопасности можно рассматривать как Задание по безопасности этого же объекта оценки.

В настоящее время  на рынке отсутствуют системы, которые  предоставляли бы исчерпывающие  средства для автоматизации всех аспектов разработки политики безопасности. Наиболее широко представлены средства для автоматизации анализа рисков, а также для проверки соответствия информационной системы компании положениям того или иного стандарта.

Со становлением новейшей нормативной базы информационной безопасности сформировались основные требования к политики безопасности как концептуальному и общеорганизационному документу по информационной безопасности организации. Детальные требования к содержанию политики безопасности будут определены с выходом в свет отечественного прототипа стандарта ISO 17799, а также «Общей методологии оценки безопасности информационных технологий», однако вступивший в силу в текущем году ГОСТ 15408 предоставляет средства формализации основных положение политики безопасности.

Кроме того, в распоряжении экспертов уже имеется линейка инструментальных средств, позволяющих автоматизировать ряд формальных операций по разработке политики безопасности. Дальнейшее развитие подобных продуктов должно стать одним из факторов, способствующих успешному применению новейшей нормативно-правовой базы в области обеспечения информационной безопасности.

 

Библиографический список

1. Комментарии к Российскому стандарту ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» / Долинин М. Ю., Кобзарь М. Т., Лыков В. А. и др. – М.: ФГУП «ЦНИИАТОМИН- ФОРМ», 2003. – 38 с.
2. Айкимов, Д. Компьютерные преступления./ Сейгер, К., Фонсторх, У. - М.: Мир, 2009. – 352 с.
3. Алексеев, С.С. Государство и право/ С.С. Алексеев. – М.: Юридическая литература, 2010. – 189 с.
4. Алексенцев, А.И. Конфиденциальное делопроизводство. Издание 2-е - М: ООО «Журнал «Управление персоналом», 2013. – 200 с.
5. Боганов, Кристофер. Бизнес-разведка. Внедрение передовых технологий/ пер. с англ. К. Боган, М. Инглиш. – М.: Вершина, 2006. – 368 с.
6. Галатенко В. А. Основы информационной безопасности: Курс лекций. – М.: ИНТУИТ.ру, 2003. – 280 с.
7. Гарсиа, М. Проектирование и оценка систем физической защиты. Операционные системы. Основы и принципы: Третье издание. Пер. с англ. – М.: Мир, 2013г. – 386 с.
8. Доморев, В.В. Защита информации и безопасность компьютерных систем – Киев.: «ДиаСофт», 2009. – 453 с.
9. Зайчик, А.П. Справочник  по техническим средствам защиты информации и контроля технических каналов утечки информации/ А.П. Зайцев А.П., А.А. Шелупанов. – Томск: ТУСУР, 2004. – 204 с.
10. Конявский, В.А. Управление защитой информации на базе СЗИ НСД «Аккорд»/ А.В. Конявский. – М.: Радио и связь, 2009. – 325 с., ил. – ISBN 5-256-01494-3.
11. Корт, С.С. Теоретические основы защиты информации: учебное пособие/С.С. Корт. – М.: Гелиос АРВ, 2004. – 240 с.
12. Кулаков, В.Г., Защита информации в телекоммуникационных системах / Андреев, А.Б., Заряев, А.В. и др. - Воронеж: Воронежский институт МВД России, 2012. - 300 с.
13. Лукацкий, А.В. Обнаружение атак. - СПб.: БХВ-Петербург,  2011. - 624 с.
14. Марков, А.С.  Разработка политики безопасности в свете новейшей нормативной базы / Миронов С.В.,  Цирлов С.В. – М. Защита информации. Конфидент, 2004. – 9 с.
15. Медведовский И. Д. Программные средства проверки и создания политики безопасности. – SecurityLab, 2004. – http://www.securitylab.ru/42546.html.
16. Моторный, И.Д. Современный терроризм и оценка диверсионно-террористической уязвимости гражданских объектов. М: Издатель Шумилова И.И., 2004. - 106 с.
17. Орлов, В.А. Приборы наблюдения ночью и при ограниченной видимости/ В.А. Орлов, В.И. Петров. – М.: Военное издательство, 1989. – 254 с.
18. Петраков, А.В. Основы практической защиты информации/ А.В. Петраков. –  М.: Радио и связь, 2009. – 368с.
19. Романец, Ю.В., Защита информации в компьютерных системах и  сетях / Тимофеев, П.А., Шаньгин, В.Ф. - М.: Радио и связь, 2010. - 328 с
20. Таненбаум, Э. Компьютерные сети. - СПб.: Питер, 2002. - 848 с.
21. Торокин, А.А. Основы инженерно-технической защиты информации/ А.А. Торокин. – М.: “Ось-89”, 1998, 334 с.
22. Ярочкин, В.И. Информационная безопасность. - М.: Междунар. отношения, 2000. - 400 с.