Тема 14: Определение требований к защите ресурсов
Наибольшую сложность при решении вопросов обеспечения безопасности информационных технологий представляет задача определения требований к защите конкретной информации, ее носителей и процессов обработки. Ключом к решению данной задачи для общего случая служит учет интересов всех затрагиваемых технологией субъектов информационных отношений.
Определение требований к защищенности информации
Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна
Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.
Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть совершенно иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требования к обеспечению конфиденциальности платежных документов, как правило, стоят на третьем месте.
Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого, являются узость традиционного подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.
Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций, категорий) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности.
Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации и системы ее обработки).
В дальнейшем любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.
К одному типу будем относить информационные пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).
Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.
Примерный порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:
1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.
На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.
2. Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):
• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;
• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.
При определении уровня наносимого ущерба необходимо учитывать:
• стоимость возможных потерь при получении информации конкурентом;
• стоимость восстановления информации при ее утрате;
• затраты на восстановление нормального процесса функционирования АС и т.д.
3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).
Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице.
Категорирование защищаемых ресурсов
Категорирование ресурсов АС, подлежащих защите, предполагает:
• установление градаций важности (категории) обеспечения защиты ресурсов;
• отнесение конкретных ресурсов к соответствующим категориям.
Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности и имеет своими целями:
• создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, компьютеров) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
• типизацию принимаемых контрмер и распределения физических и аппаратно-программных средств защиты по компьютерам АС (рабочим станциям и серверам) и унификацию и настроек защитных механизмов.
Категории защищаемой информации
Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.
Категории конфиденциальности защищаемой информации:
• «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
• «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
• «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Категории целостности защищаемой информации:
•«ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение)
Категорирование защищаемых ресурсов
Категорирование ресурсов АС, подлежащих защите, предполагает:
• установление градаций важности (категории) обеспечения защиты ресурсов;
• отнесение конкретных ресурсов к соответствующим категориям.
Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности и имеет своими целями:
• создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, компьютеров) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
• типизацию принимаемых контрмер и распределения физических и аппаратно-программных средств защиты по компьютерам АС (рабочим станциям и серверам) и унификацию и настроек защитных механизмов.
Категории защищаемой информации
Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.
Категории конфиденциальности защищаемой информации:
• «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
• «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
• «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Категории целостности защищаемой информации:
•«ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;
•«НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функций);
• «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.
Категории функциональных задач
В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени (категории) доступности функциональных задач.
Требуемые степени доступности функциональных задач:
•«БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» - доступ к задаче должен ' обеспечиваться в любое время (задача решается постоянно, задержка
получения результата не должна превышать нескольких секунд или минут);
•«ВЫСОКАЯ ДОСТУПНОСТЬ» - доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
•«СРЕДНЯЯ ДОСТУПНОСТЬ» - доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
•«НИЗКАЯ ДОСТУПНОСТЬ» - временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата -несколько недель).
Категории компьютеров
Категории защиты компьютеров (рабочих станций и серверов) устанавливаются в зависимости от категорий конфиденциальности и целостности хранимой или обрабатываемой информации и категорий доступности решаемых на компьютерах задач.
Категория компьютера представляет собой триаду, включающую:
• максимальную категорию конфиденциальности, хранимой или обрабатываемой на компьютере информации;
• максимальную категорию целостности, хранимой или обрабатываемой на компьютере информации;
• максимальную категорию доступности задач, решаемых на компьютере. Например:
<"КОНФИДЕНЦИАЛЬНО", "ВЫСОКАЯ", "БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ">;
<"СТРОГО КОНФИДЕНЦИАЛЬНО", "НЕТ ТРЕБОВАНИЙ", "НИЗКАЯ ДОСТУПНОСТЬ">;
<"ОТКРЫТАЯ", "НИЗКАЯ", "СРЕДНЯЯ ДОСТУПНОСТЬ">.
Для компьютеров различных категорий определяются конкретные требования по обеспечению безопасности (по применению соответствующих вариантов обязательных мер и настроек защитных механизмов средств защиты).
Порядок определения категорий защищаемых ресурсов АС
Категорирование ресурсов автоматизированной системы (компьютеров, задач, информации) проводится на основе их инвентаризации и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.
Ответственность за составление и ведение перечней ресурсов АС организации возлагается:
• в части составления и ведения перечня компьютеров (с указанием их размещения, закрепления за подразделениями организации, состава и характеристик, входящих в его состав технических средств - формуляров компьютеров) - на подразделение автоматизации организации;
• в части составления и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на компьютерах (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отделы программирования, внедрения, сопровождения и эксплуатации ПО подразделения автоматизации организации.
Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных компьютеров (информационным ресурсам и задачам) возлагается на функциональные подразделения организации, которые непосредственно решают задачи на данных компьютерах, и на подразделение ОИБ (компьютерной безопасности).
Утверждение назначенных категорий ресурсов АС производится руководителем подразделения ОИБ.
Инициаторами категорирования компьютеров и получения соответствующих предписаний на эксплуатацию (формуляров ПЭВМ) должны выступать руководители подразделений организации, в которых используются данные ПЭВМ.
Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров - предписаний на эксплуатацию) защищенных рабочих станций и серверов АС организации в подразделениях организации осуществляется сотрудниками подразделения ОИБ.
Категорирование ресурсов АС организации может осуществляться последовательно для каждого конкретного компьютера в отдельности с последующим объединением и формированием общего перечня ресурсов АС организации, подлежащих защите.
• перечня информационных ресурсов АС организации, подлежащих защите;
• перечня подлежащих защите задач (совокупности формуляров задач), решаемых в АС организации;
• перечня подлежащих защите компьютеров (совокупности формуляров ПЭВМ), эксплуатируемых в организации.
На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретной ПЭВМ (установление категорий конфиденциальности и целостности конкретных видов информации). Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе происходит категорирование всех функциональных задач, решаемых на данной ПЭВМ.
На третьем этапе, устанавливается категория ПЭВМ, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.
Проведение информационных обследований и категорирования защищаемых ресурсов
Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС организации, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.
Для проведения анализа всех подсистем автоматизированной системы организации, проведения инвентаризации и категорирования ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты подразделения компьютерной безопасности и других подразделений организации (осведомленные в вопросах технологии автоматизированной обработки информации в организации).
Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений организации об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех компьютеров АС. Для оказания помощи на время работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
В ходе обследования конкретных подразделений организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.
Составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.
При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажения, фальсификации) или доступности (уничтожения, блокирования) может нанести ощутимый ущерб организации.
При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения
первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).
При составлении перечня и формуляров функциональных задач, решаемых в организации необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.
Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).
Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
Затем Перечень согласовывается с руководителями отделов подразделений автоматизации и ОИБ (компьютерной безопасности) и выдвигается на рассмотрение руководства организации. .
На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных с Управлением автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам не производится.
В дальнейшем, с участием специалистов Управления автоматизации и подразделения ОИБ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, на которых будет решаться данная задача, и для контроля правильности их установки.
На последнем этапе происходит категорирование компьютеров. Категория компьютера устанавливается, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера (триада) заносится в его формуляр.