Процедурный уровень обеспечения ИБ
Меры безопасности процедурного уровня ориентированы на людей. Именно люди формируют режим информационной безопасности, и они же являются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.
В отечественных организациях накоплен богатый опыт регламентирования и реализации процедурных (организационных) мер, но проблема состоит в том, что они пришли из "докомпьютерного" прошлого, поэтому требуют полной переоценки.
На процедурном уровне можно выделить следующие классы мер:
· управление персоналом;
· физическая защита;
· поддержание работоспособности;
· реагирование на нарушения режима безопасности;
· планирование восстановительных работ.
Управление персоналом
1. Составление описания должности.
Определяются компьютерные привилегии, ассоциируемые с должностью. Существует два общих принципа управления персоналом, которые следует иметь в виду:
- разделение обязанностей;
- минимизация привилегий.
Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. ("расщепление" пароля между двумя сотрудниками, разграничение прав администратора сети и администратора безопасности, разграничение прав при составлении финансовых документов – контролер, кассир).
Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей.
2. Прием и обучение сотрудника. Составление соглашений о неразглашении конфиденциальной информации, ознакомление с нормами и процедурами информационной безопасности.
3. Администрирование сотрудника, а также протоколирование и анализ его действий. Отслеживание и изменение привилегий, в том числе и при временных перемещениях пользователя и выполнения им обязанностей взамен сотрудника, ушедшего в отпуск, при иных обстоятельствах, когда полномочия нужно сначала предоставить, а через некоторое время взять обратно.
4. Ликвидация учетной записи пользователя Должна производиться максимально оперативно (в идеале – одновременно с извещением о наказании или увольнении) с изъятием мобильных средств, дисков, ключей шифрования.
Физическая защита
Безопасность информационной системы зависит от окружения, в котором она функционирует.
Меры физического управления доступом - контроль и при необходимости ограничение входа и выхода сотрудников и посетителей. Контролироваться может все здание организации и внутренние территории, а также отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п.
Противопожарные меры – еобходимость установки противопожарной сигнализации и автоматических средств пожаротушения.
Контроль поддерживающей инфраструктуры - систем электро-, водо- и теплоснабжения, кондиционеров и средств коммуникаций.
Защита от перехвата данных. Перехват данных может осуществляться самыми разными способами. Злоумышленник может подсматривать за экраном монитора, читать пакеты, передаваемые по сети, производить анализ побочных электромагнитных излучений и наводок (ПЭМИН) и т.д.
Защита портативных компьютеров от кражи. Их часто оставляют без присмотра, в автомобиле или на работе, и похитить такой компьютер совсем несложно. Специалисты настоятельно рекомендуют шифровать данные на жестких дисках таких компьютеров.
Поддержание работоспособности
Можно выделить следующие направления повседневной деятельности:
- поддержка пользователей (консультирование и оказание помощи при решении разного рода проблем, выявление проблем, связанных с информационной безопасностью);
- поддержка программного обеспечения (отслеживание установленного ПО, контроль за отсутствием неавторизованного изменения программ и прав доступа к ним с использованием утилит проверки и обеспечения целостности);
- конфигурационное управление (контроль и фиксирование изменений, вносимых в конфигурацию системы);
- резервное копирование (для восстановления программ и данных после аварий);
- управление носителями (ведение учета носителей, их физическая защита);
- документирование;
- регламентные работы (сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает).
Реагирование на нарушения режима безопасности
Реакция на нарушения режима безопасности преследует следующие главные цели:
- локализация инцидента и уменьшение наносимого вреда;
- выявление нарушителя;
- предупреждение повторных нарушений.
Необходимые действия сотрудников для достижении разных указанных целей различны. Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Последовательность действий должна быть спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.
Планирование восстановительных работ
Если реагирование на нарушения происходит во время осуществления атаки, то восстановительные работы начинаются сразу после окончания атаки (или другого происшествия) и основной целью данных мер является наиболее быстрое восстановление работоспособности системы.
Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Поэтому необходимо выявить критически важные функции, которые в организации должны выполняться несмотря ни на что.
Следующим моментом являетсяидентификация ресурсов, необходимые для выполнения критически важных функций. Данные ресурсы-это и персонал, и информационная инфраструктура, и физическая инфраструктура.
Желательно определить перечень возможных аварий и попытаться разработать их сценарии.