Составление плана мероприятий по улучшению защищённости объекта информатизации

Лабораторная работа 7.

Опубликовано Denis Zakharov от 7 Ноября 2021

Цель работы: изучить методику составления плана мероприятий по улучшению защищённости объекта информатизации.

Теоретическая часть

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз. План защиты информации решается достаточно эффективно применением в основном организационных мер. К ним относятся: режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации

Главная цель создания СЗИ — достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.

Организация — это совокупность элементов (людей, органов, подразделений) объединенных для достижения какой-либо цели, решения какой-либо задачи на основе разделения труда, распределения обязанностей и иерархической структуры.

СЗИ относится к системам организационно-технологического (социотехнического) типа, т. к. общую организацию защиты и решение значительной части задач осуществляют люди (организационная составляющая), а защита информации осуществляется параллельно с технологическим процессами ее обработки (технологическая составляющая). Серьезным побудительным мотивом к проведению перспективных исследований в области защиты информации послужили те постоянно нарастающие количественные и качественные изменения в сфере информатизации, которые имели место в последнее время и которые, безусловно, должны быть учтены в концепциях защиты, информации.

Организация защиты информации

С приемлемой степенью точности классифицируем информацию по важности для последующего выбора средств защиты и определения прав доступа. За точку отсчета, к примеру, можно принять требования закона РФ "О персональных данных", выполнение которых он обязывает практически все компании. Это позволяет определить относительную важность всей информации и, впоследствии, определить необходимые средства для ее защиты, обеспечивающие не только требования закона, но и противодействие интересам последних групп потенциальных и реальных пользователей.

    Перечисленные ранее действия вполне по силам заинтересованным сотрудникам предприятия, имеющим соответствующие полномочия, но, поскольку они не являются специалистами в сфере защиты информации и информационной безопасности, остаются исключения:
  • настройка конфигураций программно-технических средств обеспечивает их функционирование и не отвечает требованиям безопасности;
  • традиционная (исторически сложившаяся) архитектура сети, как правило, не обеспечивает необходимую защиту информационных ресурсов и технологий их обработки;
  • нельзя проверять самого себя - решения сотрудников могут содержать ошибки;
  • технический персонал не владеет полной информацией о степени важности различных данных;
  • технический персонал не может оценивать целесообразность принятых административных решений.

Следующий шаг – увязываем полученные данные. Начнем с программно-технических средств. Убеждаемся, что параметры операционных систем (OC) рабочих станций, как правило и к сожалению, соответствуют настройке поставщика ОС, а все изменения, если и производились, были сделаны с единственной целью обеспечения требуемого функционирования. То же самое относится и к штатным службам и прочим сервисам, в том числе и действующим на серверах предприятия, что недопустимо. К примеру, пароли поставщиков оборудования, оставленные по умолчанию – частая причина дискредитации систем аутентификации и авторизации, предоставляющая полный доступ с максимальными правами любому желающему в самых защищенных системах. Отключение бездействующих и ненужных служб, как одного из требований повышения защищенности систем, без точных знаний их назначения может привести к непредсказуемым последствиям – от переустановки операционных систем до потери данных. Настройки телекоммуникационного оборудования не менее важны, т.к. неверно сконфигурированные профили и функции также могут привести к перехвату управления. Эти обстоятельства диктуют новые условия продолжения работы, а дальнейшие шаги требуют привлечения специалистов для согласованной работы по защите информации. Придется обратиться к специализированной компании для выполнения комплекса работ, перечисленных в предыдущем абзаце. Преимущества такого выбора описаны и хорошо известны. Приведем основные – персонал привлеченной компании обладает штатом экспертов с уникальным объемом знаний и практическим опытом в смежных областях ИТ-сферы:

  • информационная безопасность и защита информации, в т.ч. моделирование процессов, анализ рисков и угроз;
  • прочие ИТ-технологии и средства.

Итак, исключительные обстоятельства преодолены, часть специфических функций возложена на провайдера информационной безопасности, в частности, предложения по применению и выбор технических средств защиты информации при реальной необходимости. Настраиваем программно-технические средства по предоставленным рекомендациям, приводим в соответствие архитектуру корпоративной системы, внедряем политику парольной защиты, разделяем и/или изолируем независимые информационные и бизнес-процессы, внедряем разграничение прав доступа к информационным ресурсам. Попутно выясняем потрясающие скрытые штатные возможности наличных программно-технических средств - журналы регистрации системных событий, функции текущего аудита, системы обнаружения и предупреждения вторжений, защитное ПО, возможности шифрованного хранения и передачи данных, возможности перераспределения нагрузки, контентной фильтрации, управления внутренним и внешним трафиком и многое другое. Задействуем все необходимое для построения "эшелонированной" обороны от "условного" противника.

Следует заметить, что предложенная последовательность действий - фактическая квинтэссенция нашего опыта по организации информационной безопасности предприятий с различными формами собственности, разных сфер деятельности и разной величины - от нескольких рабочих мест в одном помещении до территориально распределенной структуры с полуторатысячным коллективом. Деньги считают все одинаково. Безусловно, подобный подход имеет некоторые недостатки с точки зрения построения комплексной системы управления информационной безопасностью, но это уже другая задача, а преимущества рассмотренного решения очевидны:

  • достигнута поставленная цель - конфиденциальная информация защищена ;
  • значительная часть работ выполнена штатным заинтересованным персоналом;
  • документировано текущее состояние информационной системы предприятия;
  • предложенный подход позволил избежать неоправданной бюрократической волокиты с распределением обязанностей при выполнении работ;
  • предельно снижены затраты на достижение цели;
  • создана логически увязанная система защиты информации;
  • создана база для построения системы информационной безопасности;
  • существенно повышен уровень экономической безопасности предприятия.
Следует оценить и следующий факт - при настройке программно- технических средств использованы передовые методики и рекомендации, разработанные различными отечественными и зарубежными ведомствами, специализированными в сфере защиты информации и информационной безопасности, в том числе и военизированными.

Контрольные вопросы

Дайте определение объекта информатизации.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов, в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Какая главная цель создания СЗИ?

— ее надежность

Назовите последовательность шагов для улучшения защищенности объекта информатизации.

  • Классифицируем информацию по важности;
  • Выявление доступности информации, подлежащей защите;
  • Увязывание полученных данные;
  • Учёт исключительных обстоятельств;
  • Настраивойка программно-технические средств по предоставленным рекомендациям;
    • Приведение в соответствие архитектуру корпоративной системы;
    • Внедрение политики парольной защиты;
    • Разделение и/или изоляция независимых информационных и бизнес-процессы;
    • Внедрение разграничения прав доступа к информационным ресурсам;
  • Разработка и внедрение организационно-административных мер, регулирующих правила работы с информационными ресурсами и действия персонала в нештатных ситуациях.

Какие исходные данные используются для составления плана по улучшению защищённости объекта информатизации?

  • архитектура телекоммуникационных сетей;
  • операционные системы и штатные сервисы;
  • прикладное программное обеспечение, приложения;
  • защитное программное обеспечение;
  • технические программные средства защиты информации;

Какими документами должен руководствоваться специалист по защите информации при составлении плана мероприятий по улучшению защищённости объекта информатизации?

  • Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006