В статье рассматриваются основные проблемы поддержания актуальности систем защиты информации предприятия, для чего необходим анализ защищенности системы, а так же приведены направления для аналитической деятельности в организации.
Ключевые слова: защита информации, информационная безопасность, аналитическая деятельность, организационная документация аналитический отчет
В настоящее время информационные технологии развиваются гораздо быстрее, чем разрабатывается и обновляется нормативно-правовая база и руководящая документация, действующие на территории Российской Федерации. Поэтому для поддержания актуальной системы защиты информации, на предприятии необходимо также применять методики, описанные в международных стандартах, таких как ISO 15408 (Общие критерии оценки безопасности ИТ), 17799 (Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности), 9001 (Системы менеджмента качества. Требования), при этом эффективно оценивать информационные риски и сопоставлять их с экономическими возможностями предприятия.
Постоянный мониторинг и анализ системы защиты информации позволяет всегда иметь представление о её текущем состоянии и вырабатывать рекомендации для устранения выявленных недостатков. Рассмотрим подробнее что же такое «Анализ системы защиты информации» и для чего он применяется. Одно из его определений [1] — это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами защиты информации, в том числе данных о состоянии работы по выявлению возможных каналов утечки информации, о причинах и обстоятельствах, способствующих утечке и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности предприятия». Следовательно, аналитическая работа предназначена для выработки комплекса мер и рекомендаций, которые направлены на предотвращение нарушения свойств защищаемой информации (таких как конфиденциальность, целостность и доступность), важной для предприятия, а также эта работа обязана включать в себя прогнозирование действий вероятного злоумышленника.
Аналитические работы в области защиты информации на предприятии могут проводиться по направлениям, которые приведены в курсе лекций А. В. Артемова [2]. Рассмотрим каждое из них:
1) «Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков». Данный пункт предполагает оценку соответствия типовым требованиям международных стандартов ISO, требованиям документации ФСТЭК и требованиям предприятия-заказчика. Сюда же включается анализ документооборота, работы, основанные на анализе рисков, и различные инструментальные исследования, например исследование информационной системы или сети на предмет наличия уязвимостей.
2) «Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании». Разработка рекомендаций может проводиться на различных уровнях организации безопасности, как на общеорганизационном — например дополнение политики безопасности предприятия, концепции защиты информации — так и на низком — например частный вариант защиты определенного типа охраняемой информации на предприятии.
3) «Организационно-технологический анализ ИС компании». Данный анализ предполагает оценку на соответствие требованиям нормативно-правовой базы Российской Федерации по отношению к системе защиты информации предприятия в области организационно-технологических норм и проверку документооборота предприятия категорий «Для служебного пользования» и «Конфиденциально» на соответствие требованиям организационной документации в области информационной безопасности предприятия. При этом данная документация (например, такие документы как политика информационной безопасности предприятия, перечень обрабатываемой информации, перечень информационных систем и. т.д.) должна соответствовать действующему законодательству, разрабатываемому органами исполнительной власти Российской Федерации. Основным регулятором деятельности в данной сфере выступает ФСТЭК.
4) «Экспертиза решений и проектов». Данный пункт очень важен для обеспечения бесперебойного и правильного функционирования системы защиты информации так как в нем рассматривается соответствие проекта техническому заданию и определение его качества.
5) «Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации». Анализ документооборота должен проводиться на соответствие требованиям организационной документации в области информационной безопасности предприятия. Поставка типовых комплектов организационно-распорядительной документации, в свою очередь, должна производиться в соответствии с актуальными рекомендациями по защите информации.
6) «Работы, поддерживающие практическую реализацию плана защиты». Из широкого спектра работ можно выделить 3 основных направления:
- разработка и поставка комплекта организационно-распорядительной документации в области защиты информации предприятия в соответствии с требованиями законодательства Российской Федерации и рекомендациями контролирующих органов;
- разработка проектов модернизации системы защиты информации предприятия на основе рекомендаций, сделанных на основе аналитического исследования системы защиты информации;
- подготовка предприятия к аттестации на соответствие требованиям руководящих документов Российской Федерации и международных стандартов ISO 15408, 17799, 9001.
7) «Повышение квалификации и переподготовка специалистов». Самой главной уязвимостью в любой информационной системе всегда является человек. Обучение специалистов и персонала сильно снижает риск утечки информации, важной для предприятия. Для достижения этой цели рекомендуется проводить курсы повышения квалификации, тренинги для поддержания знаний сотрудников на актуальном уровне.
Для поддержания высокого уровня защищенности рекомендуется проводить переоценку состояния безопасности при каждом внесении изменений, в систему защиты, а также проводить ежегодный контроль.
По итогу проведенных исследований составляется аналитический отчет. Он может дополняться различными схемами, диаграммами, таблицами и иными графическими материалами, которые поясняют результат проделанной работы.
Согласно СТР-К [3] в аналитическом отчете отображаются следующие направления:
Для составленных отчетов предъявляется ряд общих требований, таких как: простота, грамотность и четкость материала, логичность, наличие глубокого анализа событий. Однако самым важным требованием является уровень подачи материала: для руководства необходимо наиболее широко осветить проблему, но не перегружать техническими подробностями, для рядовых сотрудников — наоборот, необходимо как можно подробнее описать конкретную проблему и способы решения.
В настоящее время аналитические исследования системы защиты информации предприятия — это мощный инструмент для контроля и поддержания данной системы в актуальном состоянии. Данные исследования позволяют всесторонне оценить систему защиты и точечно направить усилия по исправлению найденных уязвимостей.
Литература:
- «Защита информации и организация аналитической работы на предприятии» URL: http://all-ib.ru/content/analiz-raboti/analiz_raboti_part_1.html;
- Артемов А. В., «Информационная безопасность. Курс лекций». — Litres, 2015.;
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Москва 2001;
- Петренко С. А., «Методика построения корпоративной системы защиты информации» URL: http://bre.ru/security/18867.html;
