Информационная безопасность » Задачи и принципы организации

Контроль функционирования службы

admin — Thu, 28 Aug 2008 13:12:01 +0000

Тем, кто собирается контролировать работу службы информационной безопасности, следует в первую очередь ознакомиться с организационной структурой предприятия и местом в ней службы безопасности. Далее следует опираться на имеющийся опыт проверки работы других предприятий и подразделений либо на логическое мышление. В конце концов, все организационные схемы, в том числе и оптимальные, придумывают люди, и человек с аналитическим складом ума может разобраться в их принципах.
Если при проведении проверки возникают вопросы в целесообразности организации работы именно сложившимся способом, необходимо получить разъяснения, на основании чего было принято решение именно такое. Вполне возможно, что это обусловлено спецификой работы предприятия. В разделах данной главы для специалистов был обозначен круг вопросов, которые следует определить при формировании службы, повторим их кратко в форме, необходимой для проведения проверки:
□ в рамках какой структуры функционирует служба информационной безопасности;
□ кому подчиняется служба и как происходит принятие решений;
□ как соотносятся друг с другом служба информационной безопасности и подразделение информационных технологий;
□ к каким информационным системам имеет доступ служба безопасности и с какими правами, как эти права соотнесены с правами администратора системы;
□ каковы правила информационной безопасности для разных категорий пользователей;
□ принимает ли участие служба безопасности в разработке проектов по новым информационным системам;
□ как контролируется статус работника (принят на работу, уволен, болен, в отпуске, в командировке и т. п.).
При ответах на эти вопросы необходимо выяснить, почему было сделано именно так, а не иначе и как можно оптимизировать функционирование службы.

Оценка эффективности службы информационной безопасности

admin — Thu, 28 Aug 2008 13:11:18 +0000

Дополнительный интересный вопрос, который может быть поднят в связи с деятельностью службы информационной безопасности, — это ее эффективность.
Рано или поздно этот вопрос в большей или меньшей степени должен заинтересовать каждого руководителя, которому подотчетен менеджер службы информационной безопасности.
Если, например, возможно представить доказательства, что службой безопасности было предотвращено десять атак с потенциальной угрозой ущерба по 20 тысяч долларов каждая, то все просто. А если не происходит никаких инцидентов — это показатель хорошей или плохой работы службы?
Один из способов оценки результативности службы основан на технологии управления рисками, которая будет рассмотрена ниже. Другой способ (который может быть применен, впрочем, не только для службы информационной безопасности, но и для любой ИТ-службы) предложен General Services Administration’s (GSA) Office of Governmentwide Policy (США) (Бюро правительственной политики по управлению общими службами) в книге “Восемь шагов к эффективному развитию и использованию средств измерения производительности в информационных технологиях” (Eight Steps To Develop and Use Information Technology Performance Measures Effectively). Выдержки из этого документа представлены в разд. “Восемь шагов к эффективному развитию и использованию средств измерения производительности в информационных технологиях (ИТ)”этой главы.

Сфера охвата персонала

admin — Thu, 28 Aug 2008 13:10:45 +0000

Казалось бы, чего проще — сфера действия информационной безопасности, в том числе и правила политики безопасности, едины для всех. И это справедливо. Вот только для всех ли эти правила должны быть одинаковы? Например, нормальным требованием безопасности является запрет для пользователей загружать из Интернета исполняемые модули. А для специалистов по информационным технологиям? Откуда им брать обновления и заплаты для информационных систем? Очевидно, что правила должны быть дифференцированными для таких случаев.
Другой пример — доступ к письмам электронной почты. Вопрос о том, можно ли уполномоченным сотрудникам службы безопасности просматривать электронную почту работников предприятия, продолжает обсуждаться. Следует учесть, что если организация предоставляет своим сотрудникам определенные ресурсы, она должна иметь возможность контроля их использования. Допустим, этот вопрос решен положительно, и работники службы безопасности имеют право просматривать электронную почту пользователей. Означает ли это, что они имеют право следить за перепиской директора и его заместителей? А за почтой своего собственного начальника? Чтобы не нарушать общие правила такими негласными исключениями, следует заранее оговорить сферу применения правил безопасности.
Еще один важный вопрос, возникающий в связи с персоналом организации, — это осведомленность службы безопасности о текущем статусе каждого из работников. В идеале служба безопасности должна принимать участие в приеме на работу (если не в принятии решения о приеме, то в инструктаже по нормативным документам и правилам), увольнении с должности (подписании обходного листа), а также периодически получать информацию об отпусках, командировках, болезнях и прочих данных.

Сфера охвата информационных систем

admin — Thu, 28 Aug 2008 13:10:05 +0000

Для полного контроля ситуации в информационном пространстве служба информационной безопасности должна иметь необходимые знания обо всех информационных системах, объектах и субъектах. Однако как быть в следующих ситуациях.
□ Данная конкретная информационная система для своего функционирования уже предусматривает разделение административных функций между двумя персонами, контролирующими друг друга.
□ Функции данной информационной системы, с одной стороны, достаточно специфичны и требуют серьезной подготовки для ее администрирования и/или контроля, а, с другой стороны, слишком незначительны в рамках предприятия для того, чтобы содержать (обучать) двух администраторов для ее контроля.
□ Информационная система имеет вид “черного ящика”: все работы по ее администрированию выполняются внешним провайдером, который не может допустить посторонних к этому процессу.
Если в третьей ситуации возможна организация соответствующего распределения ответственности в рамках контракта на поставку услуг, то с первыми двумя случаями дело обстоит сложнее. Возможно, придется назначить отдельного специалиста по безопасности данной информационной системы из имеющихся администраторов и подчинить его (полностью или частично) службе информационной безопасности или комитету, о котором шла речь выше. Возможно, придется выделить понятия “прикладной безопасности”, оставив ее в ведении службы, администрирующей данную систему, и “системной безопасности” (то есть безопасности взаимодействия данной системы с остальными), которую отдать общей службе информационной безопасности. Возможно, будет достаточно предоставить службе информационной безопасности доступ к упомянутым электронным регистрационным журналам, файлам конфигураций, учету пользователей и т. д.
Однако для всех трех ситуаций мы бы рекомендовали разработать процедуру отчета администраторов систем перед службой информационной безопасности. Детализацию и периодичность отчетов можно согласовывать дополнительно, в зависимости от конкретной системы, но службе безопасности следует иметь полную картину работы всех систем информационного пространства.
Другая проблема, приводящая иногда к выпадению отдельных аспектов из сферы деятельности службы информационной безопасности, — это представление о ней только как о компьютерной службе. Это допустимо, но тогда необходимо подумать о следующем.
□ Кто в организации курирует вопросы безопасности телефонной связи (сотовые телефоны, мини-АТС, факсимильную связь)? Безопасно ли уничтожение бумажных отчетов предприятия? Как защитищены источники электроэнергии и т. п.?
Если всем этим занимаются отдельные службы, то следует также продумать вопросы связи их со службой информационной безопасности. Если же есть необходимость передать контроль над ними в службу информационной безопасности, то следует добавить и необходимое число сотрудников, провести их соответствующее обучение.

Сколько ступеней принятия решения по вопросам информационной безопасности должно существовать?

admin — Thu, 28 Aug 2008 13:09:36 +0000

□ Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово “безопасность” реагирует немедленным визированием всех документов). □ Если процесс согласования решения чересчур распределен по руководителям и растянут во времени, есть риск, что произойдет запаздывание в принятии жизненно важного решения (впрочем, как и для любой другой службы). Кроме того, если представители точек согласования не компетентны в вопросе безопасности, то много времени непродуктивно будет потрачено на выяснение проблем и согласование мнений.
□ Согласован ли процесс принятия решения по информационной безопасности с общей стратегией развития информационных технологий? Не будут ли в информационном пространстве предприятия установлены средства защиты, которые внесут помехи в работу других информационных систем?
В данном случае существуют конкретные рекомендации, которые советуют подчинять службу информационной безопасности не напрямую директору, а некоему комитету по безопасности, в котором будут присутствовать, с одной стороны, специалисты, способные оценить качество предлагаемого решения, с другой — руководители, способные утвердить принятое решение к обязательному исполнению.

Как происходит взаимодействие со службой информационных технологий, а конкретно с администраторами сетей и систем?

admin — Thu, 28 Aug 2008 13:08:29 +0000

□ Специалисты информационной безопасности имеют полный контроль над информационной системой, равный правам администратора системы.
□ Специалисты по безопасности принимают частичное участие в администрировании системы, например в настройке прав пользователей.
□ Специалисты по безопасности имеют доступ в информационной системе ко всем объектам, но имеют право только читать сведения о них.
□ Специалисты информационной безопасности не имеют доступа в систему, используют для контроля работы администраторов регистрационные журналы, конфигурационные отчеты и т. п.
Все эти варианты указаны преднамеренно, так как вопрос взаимоотношений службы безопасности и, скажем, администратора локальной сети может быть очень напряженным, особенно если служба только создается, а администратор уже несколько лет выполнял свои функции. Как быть, если администратор действительно честно работает долгое время, а специалисты по безопасности только пришли в организацию, но требуют значительных прав в системе для себя и ограничения прав администратора? Что делать, если администратор в этом случае решил покинуть организацию? А что если квалификация специалистов по безопасности по конкретной информационной системе значительно ниже, чем у администратора, и они могут, при наличии определенных прав, внести помехи в работу системы? Что если система устроена таким образом, что для того, чтобы контролировать администратора, необходим полный контроль над всей системой? Вопросов больше, чем ответов, решение необходимо принимать с учетом всех этих проблем.
Возможно, болезненный процесс передачи или разделения прав придется растянуть на продолжительный период, пока специалисты службы безопасности не приобретут соответствующий опыт, а администраторы постепенно не привыкнут к частичному, а затем и полному контролю.

Чем должна заниматься служба безопасности?

admin — Thu, 28 Aug 2008 13:06:55 +0000

□ Администрировать имеющиеся средства безопасности (межсетевые экраны, антивирусные пакеты, системы обнаружения атак и пр.)?
□ Разрабатывать модели и схемы защиты информации, принимать решения о приобретении новых средств безопасности?
□ Контролировать работу пользователей информационного пространства предприятия? Каких групп — только конечных пользователей или также и администраторов систем?
□ Куда направлен основной фокус внимания службы — на внутренних пользователей (по статистике больше всего нарушений информационной безопасности — как умышленно, так и неумышленно — проистекает изнутри предприятия) или на защиту от доступа из внешнего информационного пространства?
Без сомнения, вопросы информационной безопасности должны учитываться в каждом из перечисленных пунктов. Однако прикладное применение может быть различным и зависеть от множества причин, которые обычно не предусмотрены западными рекомендациями, например таких как нехватка квалифицированного персонала.
Примером различных решений могут быть две следующие ситуации: служба информационной безопасности только производит анализ ситуации, разработку модели и принимает решение о необходимости приобретения средства защиты, а его администрирование производится в рамках обычной работы подразделения информационных технологий. Противоположный вариант — приобретение средств защиты производится в рамках общей стратегии развития информационных технологий предприятия, а конкретные работы по установке и поддержке средства защиты производит служба информационной безопасности.

Задачи службы информационной безопасности

admin — Thu, 28 Aug 2008 13:05:40 +0000

Несмотря на, казалось бы, прямую очевидность задач службы информационной безопасности (“служба безопасности должна обеспечивать безопасность — что же еще?”), возникает множество вопросов, не бросающихся в глаза на первый взгляд. Разобьем эти вопросы или проблемы на следующие группы:
□ размещение службы информационной безопасности;
□ взаимодействие ее с другими службами;
□ иерархия подчинения.
Иначе говоря, следует определить, где в штатной структуре предприятия должна размещаться служба информационной безопасности, как она будет взаимодействовать с другими подразделениями (особенно с подразделением информационных технологий), сколько начальников должно стоять между руководителем службы безопасности и директором предприятия.

Существует ряд рекомендаций по вопросам размещения, взаимодействия и подчинения службы безопасности, как продвинутые, в основном западные, ориентированные на электронный мир, так и старые, еще советские, пришедшие от первых отделов. На наш взгляд, эти процедуры очень зависят от множества факторов конкретного предприятия, быть может даже таких, как сложившиеся неформальные взаимоотношения между сотрудниками. Если во главу угла на предприятии ставится эффективность работы службы информационной безопасности, то такие аспекты невозможно не учитывать.
Чтобы не очерчивать жестких рамок для всего этого, предлагаем просто рассмотреть проблемы и ответить для себя на возникающие вопросы. Из полученных ответов станет ясно, как и где должна располагаться служба информационной безопасности на организационном дереве предприятия.