Практические проблемы обеспечения информационной безопасности
Успешное проведение работ, направленных на повышение степени защищенности объекта, зависит не только от владения общей методологией их проведения, наличия квалифицированных специалистов и необходимого инструментария. Часто достижению положительного результата мешают невидимые на первый взгляд "подводные камни", к встрече с которыми следует быть готовым заранее. Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности учреждения, увязывающей оперативные, оперативно-технические и организационные меры защиты.
Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также выработки политики информационной безопасности на предприятии. В конечном итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности.
Именно о работах по анализу риска и выработке рекомендаций и пойдет речь в этой лекции. Целью проведения работ является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка мер по предотвращению и ликвидации последствий нарушений режима безопасности.
Чтобы достичь данной цели, необходимо учитывать специфику конкретной организации. Кто принимает участие в проведении работ по исследованию информационной защищенности? Вопросы приема, передачи и обработки информации могут касаться большей части сотрудников организации.
Однако реально оказать влияние на информационную защищенность может технический персонал, способный понять все аспекты политики безопасности и ее реализации, а также руководители, способные влиять на проведение политики в жизнь. Реально это чаще всего сотрудники службы безопасности (информационной) и службы, отвечающей за автоматизацию процессов обработки информационных потоков.
При проведении работ могут применяться разнообразные методы: экспертно-документальный метод; метод интервьюирования персонала, имеющего отношение к доступу и обработке конфиденциальной информации; измерение и оценка уровней излучения для отдельных технических средств и каналов утечки информации; проверка функций или комплекса функций защиты информации с помощью тестирующих средств, а также путем их пробного запуска и наблюдения за их выполнением; попытки «взлома» систем защиты информации.
Проведение работ по анализу риска лучше всего поручить профессионалам: собственным профессиональным службам или фирмам, специализирующимся на деятельности в этой области. Успешное их проведение возможно при владении общей методологией проведения работ вышеописанными методами, наличии квалифицированных специалистов и инструментария. Но существуют и другие проблемы и «подводные камни», на которые обязательно нужно обратить внимание.
Это проблемы, выявленные на практике и слабо поддающиеся формализации. Это проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера.
Проблема 1 Отсутствие понимания у руководителей среднего и нижнего ранга, а также у персонала необходимости проведения работ по повышению уровня информационной безопасности. Дело в том, что на этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед предприятием. Вопросы безопасности при этом могут вызывать также и раздражение - они создают «ненужные» трудности.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
• появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющие пользование автоматизированной системой организации;
• необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
Указанная проблема является одной из основных. Все остальные вопросы так или иначе являются следствиями. Для ее преодоления важно решить следующие задачи:
1) повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров;
2) повысить уровень информированности персонала, в частности о стратегических задачах, стоящих перед организацией.
Проблема 2 Противостояние службы автоматизации и службы безопасности предприятия. Это вечная проблема, которая обусловлена родом деятельности и сферой влияния и ответственности этих структур внутри предприятия. Для ее иллюстрации обратимся к статистике. Качественный состав людей, непосредственно участвующих в процессе принятия решений, связанных с безопасностью. Суть проблемы в том, что реализация системы защиты - в руках технических специалистов, а ответственность за безопасность лежит на службе безопасности.
Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не хотят решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации. Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре предприятия механизм решения подобных споров.
Например, две «враждующие» службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документация должна четко и грамотно делить сферы влияния и ответственности подразделений.
Проблема 3 Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена. К сожалению, это реальность. Взаимоотношения между руководителями могут быть разными: и хорошими, и плохими, и никакими. Бывает, что при проведении работ по исследованию информационной защищенности то или иное должностное лицо видит личную заинтересованность в результатах этих работ.
И он оказывается прав: действительно, исследования - это достаточно сильный инструмент для решения собственных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как руководство к дальнейшим действиям. Они имеют большой вес, в особенности если работы проводились независимыми экспертами.
Таким образом, после завершения работ и включения «нужных» выводов в отчет появляется хорошая возможность опереться на него при случае. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже.
Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ. Такие ситуации нужно своевременно выявлять и ликвидировать на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы предприятия, а не личные.
Проблема 4 Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации. Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Генеральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации.
По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в части информационной безопасности, внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы.
План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений службы безопасности. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ.
В интересах того же генерального директора проконтролировать выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, не понести потери в результате отсутствия таковой.
Проблема 5 Низкая квалификация специалистов по защите информации. Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации на предприятии. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводит к сложностям при реализации рекомендованных мероприятий.
При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения. В принципе, процесс повышения квалификации должен быть непрерывным, так как меняется уровень технологических решений в АС, меняются подходы к обеспечению безопасности и, что особенно важно, меняется политика безопасности конкретного предприятия по мере его развития. Заключение Автору статьи неоднократно приходилось сталкиваться со всеми описанными выше проблемами при проведении компанией «Конфидент» подобных работ на объектах заказчика.
Практическая деятельность в данной области наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного их решения. Однако накопленный опыт подсказывает, что все рассмотренные вопросы успешно решаются при условии плотной совместной работы представителей предприятия-заказчика и фирмы-исполнителя, а также при возможности прямого взаимодействия непосредственного заказчика с руководством своей организации.
Главное - осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для конкретного предприятия. Определенно, наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности объекта. По данным Datapro Information Services Group и других организаций 75-85% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 15-25% нарушений совершаются лицами со стороны.
Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке к реализации технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.
Дата добавления: 2015-08-14; просмотров: 2031;