Проведение информационных обследований и категорирования защищаемых ресурсов

Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС организации, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

Для проведения анализа всех подсистем автоматизированной системы организации, проведения инвентаризации и категорирования ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаютсяспециалисты подразделения обеспечения безопасности ИТ и других подразделений организации (осведомленные в вопросах технологии автоматизированной обработки информации в организации).

Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений организации об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех компьютеров АС. Для оказания помощи на время работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.

В ходе обследования конкретных подразделений организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.

Составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.

При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажения, фальсификации) или доступности (уничтожения, блокирования) может нанести ощутимый ущерб организации.

При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).

При составлении перечня и формуляров функциональных задач, решаемых в организации необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).

Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

Затем Перечень согласовывается с руководителями подразделений автоматизации и обеспечения безопасности ИТ (компьютерной безопасности) и выдвигается на рассмотрение руководства организации.

На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных с подразделением автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам не производится.

В дальнейшем, с участием специалистов подразделений автоматизации и обеспечения безопасности ИТ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, на которых будет решаться данная задача, и для контроля правильности их установки.

На последнем этапе происходит категорирование компьютеров. Категория компьютера устанавливается, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера (триада) заносится в его формуляр.

Раздел II - Тема 15:

Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем автоматизированной системы

План защиты информации

Планы защиты информации разрабатываются с целью конкретизации положений Концепции безопасности ИТ для конкретных подсистем АС и должны содержать следующие сведения:

· описание подсистемы АС как объекта защиты: назначение, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;

· цель защиты и пути обеспечения безопасности ресурсов подсистемы АС и циркулирующей в ней информации;

· перечень значимых угроз безопасности и наиболее вероятных путей нанесения ущерба подсистеме АС;

· основные требования к организации процесса функционирования подсистемы АС и мерам обеспечения безопасности обрабатываемой информации;

· требования к условиям применения и определение зон ответственности установленных в системе штатных и дополнительных технических средств защиты;

· основные правила, регламентирующие деятельность пользователей и персонала по вопросам обеспечения безопасности в подсистеме.

План обеспечения непрерывной работы и восстановления

План обеспечения непрерывной работы и восстановления (ПОНРВ) определяет основные меры, методы и средства сохранения (поддержания) работоспособности АС при возникновении различных кризисных ситуаций, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности АС и ее основных компонентов. Кроме того, он описывает действия различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий и минимизации наносимого ущерба.