Полная и абсолютная безопасность недостижима. Правда, теоретически усиливать ее можно сколько угодно, но каждый следующий процент снижения риска обходится дороже предыдущего. Поскольку угрозы многочисленны, задача минимизации суммарной опасности является оптимизационной, и для ее решения требуется комплексный подход. Какой же смысл вкладывают в это понятие практики?
«Перефразируя
высказывание классика системотехники 70х годов прошлого века, комплексный подход
к защите информации напоминает “честность в политике”, — говорит руководитель
дирекции спецработ компании “Оптимаинтеграция” Андрей Филинов. — Все кандидаты
утверждают, что это их главный принцип, но никто не в состоянии внятно растолковать
избирателям, в чем таковой принцип заключается».
Совсем общая формулировка может быть, наверное, такой: обеспечить оптимальную защиту для данных условий — которые у каждой организации, разумеется, свои. «Комплексный подход к обеспечению безопасности информации важен именно потому, что бюджеты компаний не безграничны, — отмечает Владислав Максимов, менеджер по связям с общественностью компании “Элвисплюс”. — Комплекс мер необходимо спроектировать таким образом, чтобы парировать как раз те угрозы, которые актуальны для данной информационной системы (точнее, для конкретного объекта информатизации)».
Нулевой цикл строительства
Нельзя принести на предприятие систему безопасности — ее требуется спроектировать и построить, используя ту или иную методику. Различные определения методов, позволяющих осуществить комплексный подход к защите информации, можно найти в руководящих документах ФСТЭК (Федеральная служба по техническому и экспортному контролю, или Гостехкомиссия) России, в национальных и международных стандартах, в рекомендациях ISO/IEC и многих других источниках. «Не стоит терять время на поиск “самого правильного” из них, — советует Андрей Филинов из “Оптимаинтеграции”. — Просто выберите наиболее подходящее с точки зрения собственной практики». Если говорить о компании «Оптима», то она в своей деятельности руководствуется в первую очередь нормативной базой ФСТЭК России и государственными стандартами РФ. Это совершенно естественно, учитывая, что основные заказчики компании — российские крупные предприятия и государственные организации. С другой стороны, если фирма, пусть даже номинально отечественная, ориентирована на международный рынок, то вполне вероятно, что при построении системы безопасности будет целесообразно взять за основу, скажем, рекомендации ISO/IEC.
В любом случае начинать нужно с анализа угроз — от чего, собственно, предстоит защищаться? Андрей Филинов выделяет здесь три пункта:
- выявить и учесть существующие риски, оценить пределы возможного ущерба для
защищаемого объекта;
- оценить вероятность реализации каждого риска, а также внешние и внутренние
условия, способные ее повысить или, наоборот, снизить;
- в соответствии со сделанными оценками рисков, вероятности и тяжести последствий — выделить и ранжировать перечень реальных (эффективных) угроз безопасности информации.
Далее следует понять, чем располагает заказчик для обеспечения безопасности. Для этого нужно:
- оценить возможности и средства противодействия выявленным угрозам, их эффективность
и приемлемость для защищаемого объекта;
- оценить возможности объединения средств защиты и определить принципы их
взаимодействия в составе единого комплекса;
- оценить организационные и кадровые ресурсы объекта и их готовность к участию
в обеспечении информационной безопасности;
- сопоставить пределы стоимости доступных защитных мер с оценкой вероятного ущерба.
Не исключено, что у организации уже имеется определенная — может быть, вполне серьезная — система обеспечения безопасности. Владислав Максимов специально говорит о ее изучении как о важной составной части комплексного обследования защищенности. Необходимо систематизировать существующие информационные ресурсы; проанализировать имеющиеся нормативные и организационнораспорядительные документы, относящиеся к порядку функционирования корпоративной ИС и защите информации; выяснить, насколько им соответствуют реальные принципы работы ИС, ее структура, состав и механизмы защиты, а затем оценить эффективность этих механизмов, для чего существуют специализированные инструменты. Кроме того, эксперты отмечают необходимость изучения роли персонала и мер по разграничению доступа к информации в зависимости от категории и класса защищенности ресурса.
Стратегия и концепция
На основе перечня средств и мер защиты, признанных приемлемыми, продолжает Андрей Филинов, вырабатывается новая (или корректируется имеющаяся) стратегия обеспечения безопасности информации. Эта стратегия представляет собой документ, определяющий как построение, так и последующую эксплуатацию системы защиты и действующий, тем самым, в течение всего периода существования защищаемого объекта. Далее создается организационнотехническая концепция защиты информации. При этом должны соблюдаться принципы достаточности, равнопрочности, непрерывности и управляемости защиты, легитимности принимаемых мер безопасности и т. д. Срок действия концепции обычно не превышает периода до очередной значительной модернизации системы защиты.
Затем концепция дополняется оценками финансовых, временны’х и иных затрат. На этой стадии ее почти всегда приходится корректировать, так как и бюджет, и время, и другие ресурсы ограниченны. Главное здесь — не отклониться от одобренной стратегии ИБ, которая в споре между ИТподразделением и финансовым департаментом выступает одновременно и как арбитражный кодекс, и как своего рода последний аргумент для обеих сторон. Состязательность на этой стадии работ, по мнению Андрея Филинова, очень полезна, поскольку «…способствует отысканию баланса между желанием сэкономить время и деньги и стремлением защититься “на все сто”».
После этого в соответствии с утвержденной концепцией обеспечения ИБ проектируется, создается и внедряется новая система защиты информации или модернизируется уже имеющаяся.
По мнению Андрея Филинова («Оптимаинтеграция»), стратегия ИБ необходима как ориентир при переходе от замысла к практическому исполнению. В силу того, что любой объект защиты в той или иной мере уникален, эта стратегия в каждом конкретном случае будет получаться специфической, эффективной именно для него. Можно создать и некие универсальные общие стратегии ИБ — в специальной литературе регулярно появляются новинки на эту тему, но в реальной практике они полезны лишь как умственное упражнение или в качестве шаблонов. Практикующие специалисты пользуются такими шаблонами, чтобы ускорить процесс выработки очередного экземпляра стратегии ИБ, но это не отменяет их обязанности выполнить все действия, предусмотренные базовой методологией проектирования. Единого же «рецепта изготовления» с неизменным списком компонентов для стратегии ИБ предложить нельзя. Сходным образом этапы разработки стратегии могут быть установлены по согласованному выбору разработчика и заказчика как угодно, лишь бы документ был вовремя выпущен, принят и правильно понят. Тогда он принесет практическую пользу при обсуждении бюджетов и поиске конкретных путей реализации (технической или организационной) целей и задач защиты.
И всетаки есть этап, который присутствует в жизненном цикле любой стратегии ИБ, — это период ее применения. Защищенность объекта является состоянием, которое необходимо постоянно поддерживать, а стратегия — специализированным документом, напоминающим о принципах, правилах и способах поддержания этого состояния в течение длительного времени. Поэтому очень важно не забыть о стратегии ИБ после того, как созданная система защиты вступит в строй.
Защита и охрана
Предприятия и организации должны заботиться — и действительно заботятся — как об информационной, так и о физической безопасности: понятно, что одна без другой мало чего стоит. Но, как правило, защитой (информационной) и охраной (физической) ведают разные люди, работающие в слабо связанных между собой подразделениях. «Инструментарий и методы этих видов деятельности слишком различны, чтобы все их уместить в одной голове», — замечает Андрей Филинов.
Во взаимоотношениях между «двумя безопасностями» он выделяет три сценария. При наилучшем технические средства защиты различного назначения вместе с мерами пообеспечению охраны и режима безопасности образуют согласованный комплекс в масштабе организации, предприятия или отдельно взятого объекта. В менее удачном, но все еще приемлемом случае они, как две системы мер, сосуществуют независимо, но поддерживают по отношению одна к другой согласованный уровень гарантированной защиты, определяемый в специальном документе. Третий, категорически неприемлемый вариант — это когда механизмы обеспечения физической и информационной безопасности препятствуют эффективному функционированию друг друга или имеют противоречащие цели и задачи.
Каким образом разделить зоны ответственности между службами физической и информационной безопасности, чтобы они по крайней мере не мешали, а по возможности и помогали друг другу? Практика здесь может быть самой разной, а универсального решения явно не существует. «Мы занимаемся этой тематикой постоянно, для многих заказчиков, и каждый раз новые рекомендации бывают не похожи на предыдущие, — рассказывает Андрей Филинов. — Иногда ответ на вопрос о правильном распределении зон ответственности требует до нескольких человекомесяцев работы системных аналитиков и проектировщиков». По его наблюдениям, среди заказчиков сейчас пользуется популярностью объединение автоматизированных систем охраны территории и средств аутентификации информационной системы предприятия — впрочем, это скорее способ получить дополнительные преимущества по отдельным параметрам защищенности и удобству управления доступом, нежели решение о разделении или совмещении зон ответственности. В основном же все решения о зонах ответственности и о взаимодействии этих служб сегодня являются чисто организационными, для автоматизации в этой сфере остается широкое и почти не тронутое поле.
