Определить политику информационной безопасности
Политика информационной безопасности является планом высокого уровня, который определяет цели и задачи системы информационной безопасности. Она не представляет собой директивы, нормативы, инструкции или средства управления и реализации. Она является исходным первичным документом, обеспечивающим планирование всей программы безопасности так же, как спецификация определяет номенклатуру выпускаемых изделий или входящих деталей и сборок. Практически политика сводится к определению перечня и разработке необходимых руководящих документов, а также основных положений, включая управление доступом, антивирусную защиту, вопросы резервного копирования, проведения регламентных и восстановительных работ, информированию об инцидентах в области информационной безопасности.
Установить границы управления информационной безопасностью
Описание этих границ включает в себя описание существующей структуры организации и изменений, которые предполагается внести в связи с созданием системы информационной безопасности, размещение вычислительных средств и поддерживающей инфраструктуры, перечень ресурсов корпоративной сети, подлежащих защите (средства вычислительной техники, данные, системное и прикладное программное обеспечение), технология обработки информации в КИС.
Провести анализ рисков
Риск — это вероятный ущерб, который понесет компания в результате раскрытия, модификации, утраты или недоступности своей информации. Риск зависит от двух факторов: стоимости информации и защищенности корпоративной сети, в которой она обрабатывается. Анализ рисков помогает понять, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты. Исходя из определения риска для проведения анализа рисков требуются следующие данные об информационной системе: перечень ценной информации с указанием уровня ее критичности, сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.
Для получения этой информации необходимо провести инвентаризацию информационных ресурсов и оценку их стоимости. Результатом является перечень информации по ее критичности для бизнеса. Для упрощения данной работы рекомендуется разделить всю информацию на три вида:
— информация, являющаяся коммерческой тайной (доступна только для ограниченного круга лиц);
— конфиденциальная (доступная только для сотрудников компании);
— информация общего доступа.
Информация, являющаяся коммерческой тайной — это информация, которая является секретной в том понимании, что она в целом или в определенной форме и совокупности ее составляющих является и должна являться неизвестной и не легкодоступной. Она имеет коммерческую ценность и является предметом соответствующих мер по ее сбережению и секретности. Как правило, к коммерческой тайне на предприятии относят:
а) сведения делового характера — каналы поставок, сбыта товара и услуг, списки поставщиков, потребителей, тексты деловой переписки и договоров;
б) в сфере основной производственной деятельности — сведения о перспективах развития, штатное расписание, база данных клиентов, контрагентов, партнеров (и тому подобное), сведения об обработанных и наработанных заказах, сведения, предоставленные клиентами (контрагентами), разного рода «ноу-хау», технологические схемы, изобретения и рационализаторские предложения, промышленные образцы;
в) в сфере финансов — имущественное состояние, бюджет и обороты, операции по банковским счетам, сведения о финансовых, кредитных и иных операциях;
г) в сфере договорных отношений — условия договоров, сведения о ценах, сроках и условия исполнения договорных обязательств;
д) в иных сферах — сведения о номерах домашних телефонов и адресах работников и членов их семей, местонахождение руководителей, учредителей и членов их семей, текущие и стратегические планы развития предприятия, конфликтные ситуации и другие внутренние отношения.
К конфиденциальной информации, обычно относят учредительные документы, бухгалтерские данные, не вошедшие в перечень сведений составляющих коммерческую тайну, сведения о численности и составе работников, их заработной плате и иных выплатах, анкетные, медицинские и тому подобные данные сотрудников, а также иные документы, не подлежащие широкой огласке.
Вся другая информация, не подпадающая под коммерческую тайну и конфиденциальную информацию, относится к информации общего доступа как для сотрудников предприятия, так и для посторонних лиц.
В соответствии с уровнем критичности информации производится ее оценка, которая зависит от многих факторов, но в первую очередь от капитализации компании.
Определить защищенность КИС
Описать угрозы и уязвимости КИС и, исходя из их критичности и вероятности реализации, оценить уровень защищенности. Угрозы могут быть как внешние, так и внутренние. Типовой перечень угроз по методу CRAMM следующий: несанкционированный доступ, маскарадинг (использование чужих идентификаторов), внедрение вредоносного или злонамеренного программного обеспечения, ошибки в маршрутизации, неисправности оборудования, неисправности электропитания и кондиционеров, сбои системного, сетевого и прикладного программного обеспечения, ошибки пользователей, пожар, затопление и природные катаклизмы, нехватка персонала, кражи, преднамеренные несанкционированные действия, терроризм и пр.
Оценить информационные риски
Классическая формула оценки информационных рисков:
ИР = ВРУ * КИ,
где ИР — информационные риски;
ВРУ — вероятность реализации угрозы;
КИ — критичность информации.
Основными факторами при определении вероятности реализации являются частота возникновения угрозы и простота ее реализации, а критичность определятся ценностью данной информации и возможным ущербом для компании в случае нарушения ее конфиденциальности, целостности и доступности.
Категорировать информационные ресурсы по уровню риска
Это позволит определить порядок снижения рисков. В любом случае максимальные риски следует снижать в первую очередь.
Определить уровень приемлемого риска
К сожалению, условия функционирования информационной системы не позволяют полностью исключить риск, и руководство компании должно учитывать это, чтобы возникновение чрезвычайной ситуации не стало нерешаемой проблемой. Для снижения уровня риска необходимо внедрить контрмеры: организационные, технические, программные и программно-аппаратные.
Определить меры по управлению рисками
Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня, исходя из произведенного ранее категорирования по уровню риска. Возможно несколько подходов:
— Уменьшение риска. Многие риски могут быть существенно уменьшены путем использования простых и доступных контрмер. К примеру, правильное назначение, хранение и смена паролей снижает риск несанкционированного доступа.
— Уклонение от риска. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сети со стороны пользователей Интернет.
— Изменение характера риска. Например, оборудование можно застраховать, а со специализированной организацией заключить договор о сопровождении СВТ и компенсации ущерба, вызванного нештатными ситуациями.
— Принятие риска. Многие риски не могут быть уменьшены до нуля или пренебрежительно малой величины. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Такой риск приходится принимать как есть.
В дальнейшем мы подробно рассмотрим контрмеры, обеспечивающие базовый уровень информационной безопасности КИС.
| 
