Организация системы защиты информации
Добрый день, уважаемые коллеги.
Организация системы защиты информации сейчас - во время стремительного развития информационных технологий и вхождения их практически во все сферы жизни - стала неотъемлемой частью этого развития.
Не хочу отвлекать ваше внимание на лирику, основные вопросы организации защиты информации мы обязательно рассмотрим в рамках этой статьи, так что у кого мало времени можно перейти к непосредственному рассмотрению вопроса. А у кого его совсем нет - сразу к выводам.
С теми же из вас, у кого есть лишняя минута, хотел поделиться своими мыслями в контексте рассматриваемого вопроса.
Наш сайт был запущен в 2012 году. Его основной целью стало помочь сориентироваться в динамично развивающейся отрасли, такой как защита информации. Мы постарались подобрать для вас наиболее востребованную информацию, сгруппировать ее для более удобного повседневного использования. Подобрали основную нормативную базу по направлениям, которые курируют ФСБ, ФСТЭК, Роскомнадзор. Подготовили образцы организационно-распорядительных документов (инструкции, приказы, журналы и другие типовые формы). Разработали сервис автоматического определения класса защиты и уровня защищенности, для ГИС и ИСПДн соответственно. И многое другое, с чем вы можете ознакомиться на сайте.
На дворе конец 2017 года и мне стало интересно, что сейчас пишут по вопросу организации системы защиты информации. И каково же было мое удивление, когда я понял, что на основной массе интернет ресурсов изложено все грамотно и правильно по сути вопроса, но, на мой субъективный взгляд, упущена сама система. Ведь для человека, который озадачился вопросом - как организовать систему защиты информации - главное уяснить четкую структуру. А структура на самом деле очень проста и я постараюсь в этой статье раскрыть ее. Как это получится - оценивать только вам. Сразу отмечу, что для зарегистрированных пользователей есть возможность комментировать статьи, задавать вопросы, ну, и конечно, без критики никак. Как говорится - «в споре рождается истина», поэтому буду отвечать всем, по мере сил и возможностей.
Итак, что же нам необходимо понимать когда мы собираемся построить систему защиты чего бы то ни было - будь то организация защиты информации в информационных системах или системах электронного документооборота, ГИС, ИСПДн и т.д.
- Защите подлежит вся инфраструктура организации, предприятия, учреждения, в которой циркулирует информация.
- Существует всего 2 основных направления организации защиты информации, это: организационные меры защиты информации и техническая защита информации.
- Выделяются 3 основных критерия безопасности. Это: конфиденциальность, целостность и доступность. Раньше (до выхода постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 о целостности и доступности) очень часто забывали эти свойства безопасности информации, которые необходимо обеспечить, да и теперь многие не учитывают... Их обеспечение требуется не только в ГИС и это стоит понимать.
- Решение о необходимости организации системы защиты информации принимается либо на основании требования того или иного закона РФ, либо исходя из необходимости защиты с целью снижения собственных рисков.
- Вопросы защиты информации координируются 3-мя ведомствами, это: ФСБ, ФСТЭК и Роскомнадзор.
Теперь давайте рассмотрим более подробно данные пять пунктов.
- Почему я на первое место поставил казалось бы очевидное?!
Дело в том, что за долгие годы работы в области защиты информации я столкнулся с тем, что это все понимают, но когда дело касается защиты конкретной информационной системы, зачастую специалисты по защите рассматривают ее как-то слишком обособленно.
В лучшем случае защищаемую систему техническими мерами отделят от сети организации и проведут ряд простейших мер по технической защите (парольная защита и антивирусная защита). Но ведь очевидно, что эти меры хоть и существенно снижают риски, но никак не защищают от действий некомпетентного сотрудника, допущенного к обработке информации, выхода из строя техники, стихийных бедствий.
Некоторые из вас могут сказать, что очень дорого обеспечить защиту информации, приняв во внимание все риски, и она зачастую этого не стоит. Но на самом деле все не так страшно и дорого. Именно с этой мыслью мы и переходим к рассмотрению второго пункта.
- Как мы уже и говорили, существуют 2 основные меры по защите информации (кстати, и не только информации). Представленный ниже алгоритм в целом подходит при организации защиты чего угодно, вплоть до физической защиты объекта или охраняемого лица.
- Организационные меры защиты. Как бы кто не относился (очень часто иронично), но организационные меры - это основа, что обусловлено двумя факторами: во-первых, это не так дорого, а во-вторых, как минимум где-то должно быть написано зачем, какие, кем и - наконец - как применяются технические меры защиты. Как грамотно построить эту часть работы, я думаю, удобней рассмотреть в отдельной статье. Собственно здесь.
- Технические меры защиты - как правило, применяются как в случае невозможности обеспечить защиту организационными мерами (например, перехват информации передаваемой по каналам связи), так и в качестве дополнительной меры, усиливающей, а иногда определяющей эффективность той или иной организационной меры. Например, организационная мера «запрещено посещать сайты развлекательной тематики и сайты, не связанные с выполнением должностных обязанностей», «открывать почтовые сообщения, направленные из сомнительных источников» и т.д. Согласитесь, этого не достаточно, чтобы обеспечить антивирусную защиту, поэтому, как правило, используют средства антивирусной защиты. Кстати, использование антивирусных средств также подкрепляется организационными мерами. Например, разрабатывается и утверждается инструкция по использованию антивирусных средств. Нельзя не согласиться с тем, что все эти меры не гарантируют защиту от вирусов, но существенно снижают вероятность их появления и распространения.
При построении системы защиты необходимо понимать, что абсолютно защищенных систем не бывает, и наша с вами задача выстроить эту систему так, чтобы она не останавливала саму работу, существенно снижала вероятность нарушения того или иного критерия безопасности. Как достичь этого баланса мы попытаемся рассмотреть в следующей статье.
3.Что касается основных критериев безопасности информации, здесь сложно что-либо дополнить, кроме того, что нельзя зацикливаться исключительно на обеспечении конфиденциальности, потому как нарушение целостности или доступности той или иной информации может привести к не менее тяжелым последствиям. Например, неначисление заработной платы, начисление не тому, или не в полном объеме. Это как банальный, приземленный пример.
4.Теперь нам необходимо поговорить о том, в соответствии с чем мы будем защищать информацию. Для правильного понимания вопроса я хочу остановиться на понятии информации ограниченного доступа. Это понятие введено 149 ФЗ. Можно ознакомиться здесь. Это информация доступ, к которой ограничен Федеральным Законом. На сайте вы можете ознакомиться с перечнем информации ограниченного доступа со ссылкой на закон. Если проанализировав информацию, которая циркулирует в вашей организации, вы понимаете, что информации, которую вы должны защищать по закону нет (такого практически не бывает - персональные данные сотрудников есть везде), но вам нужна правовая основа для введения тех или иных ограничений, возложение ответственности на сотрудников - ФЗ о коммерческой тайне вам поможет. Есть замечательный принцип в защите коммерческой тайны: вы принимаете меры по защите (тратите на это деньги) исходя исключительно из риска финансовых и репутационных потерь, которые могут быть, если не обеспечить защиту информации.
5. Ну, и для общего понимания и для того, чтобы Вам проще было ориентироваться в многообразии нормативных актов и ведомственных регламентов, необходимо понимать кто из регуляторов за какое направление отвечает (в контексте рассматриваемого вопроса).
- ФСБ (защита ГТ, криптографическая защита);
- ФСТЭК (техническая защита информации ограниченного доступа, в том числе и ГТ);
- Роскомнадзор (защита прав субъектов персональных данных).
Это очень общий, укрупненный перечень полномочий, в каких-то аспектах перемежающийся. Но этого достаточно, чтобы легко ориентироваться в руководящих документах.
ГОСТы я особенно не учитываю: в основном их требования уже заложены в НПА регуляторов. Но если кому-то надо что-то подсмотреть, то вам сюда.
Подводя итог - что мы имеем сухим остатком: для организации системы защиты информации нам необходимо применить комплекс мер организационно и технического характера с учетом вероятности реализации угроз различным свойствам безопасности с учетом требований законодательства и регуляторов.
Общее описание системы защиты информации формируется и излагается в Концепции обеспечения безопасности информации. С примером Концепции можно ознакомиться по ссылке.
В следующих статьях, как я и обещал, мы остановимся непосредственно на организационных мерах защиты информации и технической защите информации.