Структура правових актів

Вимоги інформаційної безпеки повинні органічно включатися в ус рівні законодавства, у тому числі й у конституційне законодавство, основ неоподатковуваних мінімумів доходів громадян (17 грн. з 1996 року; тобто штраф у розмірі від 153 до 306 грн.).

Вчинення «господарюючими суб’єктами - юридичними особами та їх об’єднаннями» дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, тягне за собою накладання на них Антимонопольним комітетом України, його територіальними відділен-нями штрафів у розмірі до 3% виручки від реалізації товарів, виконання робіт, надання послуг господарюючого суб’єкта за останній звітний рік, що передував року, в якому накладається штраф. У разі, якщо обчислення виру-чки господарюючого суб’єкта неможливе або виручка відсутня, штрафи, за-значені у частині першій цієї статті, накладаються у розмірі до п’яти тисяч неоподатковуваних мінімумів доходів громадян (тобто до 85 тис. грн.).

Вчинення дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, «юридичними особами, їх об’єднаннями та об’єднаннями громадян, що не є господарюючими суб ’єктами», тягне за собою накладання на них Антимонопольним комітетом України, його територіальними відділеннями штрафів у розмірі до двох тисяч неоподатковуваних мінімумів доходів громадян (тобто до 34 тис. грн.).

2.6 ПРАВОВІ НОРМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ І ЗАХИСТУ ІНФОРМАЦІЇ НА ПІДПРИЄМСТВІ

Правові норми забезпечення безпеки і захисту інформації на конкре­тному підприємстві (фірмі, організації) формулюються у сукупності устано­вчих, організаційних і функціональних документів.

Вимоги забезпечення безпеки і захисту інформації формулюються в Статуті (установчому договорі) у вигляді таких положень:

• підприємство має право визначати склад, обсяг і порядок захисту відомостей конфіденційного характеру, вимагати від своїх співро­бітників забезпечення їх збереження і захисту від внутрішніх і зов­нішніх загроз;

• підприємство зобов’язане забезпечити збереження конфіденційної інформації.

Такі вимоги надають право адміністрації підприємства:

• створювати організаційні структури із захисту конфіденційної ін­формації;

• видавати нормативні і розпорядчі документи, що визначають по­рядок виділення відомостей конфіденційного характеру і механіз­ми їхнього захисту;

• включати вимоги щодо захисту інформації в договори з усіх видів господарської діяльності;

• вимагати захисту інтересів підприємства з боку державних і судо­вих інстанцій;

• розпоряджатися інформацією, що є власністю підприємства, з ме­тою отримання вигоди і недопущення економічного збитку колек­тиву підприємства і власнику засобів виробництва;

• розробити “Перелік відомостей, які становлять конфіденційну тає­мницю’'.

Вимоги правової забезпеченості захисту інформації передбачаються в колективному договорі. Колективний договір повинний містити такі вимоги.

Розділ “Предмет договору”

Адміністрація підприємства (у тому числі й адміністрація самостій­них підрозділів) ЗОБОВ'ЯЗУЄТЬСЯ забезпечити розробку і здійснення за­ходів щодо визначення і захисту конфіденційної інформації.

Трудовий колектив бере на себе зобов’язання дотримуватися встано­влених на підприємстві вимог щодо захисту конфіденційної інформації.

Адміністрація зобов’язана врахувати вимоги щодо захисту конфіден­ційної інформації в правилах внутрішнього розпорядку.

Розділ “Кадри. Забезпечення дисципліни праці”

Адміністрація зобов’язується притягувати до адміністративної і кри­мінальної відповідальності, згідно з чинним законодавством, порушників вимог щодо захисту комерційної таємниці.

Правила внутрішнього трудового розпорядку для робітників та слу­жбовців підприємства доцільно доповнити такими вимогами.

Розділ Порядок прийому і звільнення робітників та службовців'’’’

При вступі робітника чи службовця на роботу чи переведенні його у встановленому порядку на іншу роботу, зв’язану з конфіденційною інфор­мацією підприємства, а також при звільненні адміністрація зобов’язана проінструктувати працівника чи службовця з правилами збереження комер­ційної таємниці з оформленням письмового зобов’язання про її нерозголо- шення.

Адміністрація підприємства має право приймати рішення про усу­нення від робіт осіб, що порушують установлені вимоги щодо захисту кон­фіденційної інформації.

Розділ “Основні обов ’язки робітників та службовців”

Робітники та службовці зобов’язані дотримуватися вимог норматив­них документів щодо захисту конфіденційної інформації підприємства.

Розділ “Основні обов ’язки адміністрації”

Адміністрація підприємства, керівники підрозділів зобов’язані:

• забезпечити строге збереження конфіденційної інформації, постій­но здійснювати організаційну і виховну профілактичну роботу, спрямовану на захист секретів підприємства;

• включити в посадові інструкції і положення обов’язки щодо збе­реження конфіденційної інформації;

• неухильно виконувати вимоги Статуту, колективного договору, трудових договорів, правил внутрішнього трудового розпорядку й інших організаційних і господарських документів у частині забез­печення економічної й інформаційної безпеки.

Зобов’язання конкретного співробітника, робітника чи службовця в частині захисту інформації обов’язково повинні бути застережені в трудо­вому договорі (контракті). Незалежно від форми (усної чи письмової) укла­дання договору підпис робітника на наказі про прийом на роботу підтвер­джує його згоду з умовами договору. Вимоги щодо захисту конфіденційної інформації можуть бути застережені в тексті договору, якщо договір уклада­ється в письмовій формі. Якщо ж договір укладається в усній формі, то ді­ють вимоги щодо захисту інформації, які випливають з нормативно- правових документів підприємства. При укладанні трудового договору й оформленні наказу про прийом на роботу нового співробітника визначається поінформованість його про порядок захисту інформації підприємства. Це створює необхідний елемент включення даної Особи в механізм забезпечен­ня інформаційної безпеки.

Використання договорів про нерозголошення таємниці - зовсім не самостійний захід для її захисту. Не слід думати, що після підписання такої угоди з новим співробітником таємниця буде збережена. Це тільки попере­дження співробітнику, що в справу вступає система заходів щодо захисту інформації і правова основа. Далі задача - не допустити втрати комерційних секретів.

2.7 УКРАЇНСЬКЕ ЗАКОНОДАВСТВО В ГАЛУЗІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Відповідно до ст. 41 “Конституції” інформація є предметом держав­ної охорони, яка забезпечується Законом України “Про інформацію”, Зако­ном України “Про захист інформації в автоматизованих системах” та ст. 361-363 Кримінального Кодексу України. Крім цих документів до нормати­вно-правової бази, яка регулює інформаційні правовідносини, належать на­ведені нижче положення та інструкції.

“Положення про технічний захист в Україні”, затверджено поста­новою Кабінету Міністрів України від 09.09.94 р. № 632.

Положення визначає об’єкт захисту та мету технічного захисту інфо­рмації (ТЗІ), структуру та основні завдання складових частин системи ТЗІ. порядок та організацію комплексного технічного захисту інформації з об­меженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ.

Постанова Кабінету Міністрів України від 13.01.95 р. № 24 “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94 р. № 80”, “Яро введення в дію Закону України “Про захист інфор­мації в автоматизованих системах” та статті 34 Закону України “Про Державну таємницю”.

“Положення про порядок видачі суб'єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності”, затверджено постановою Кабінету Міністрів України від 17.05.94 р. № 316.

Положення визначає види діяльності, на які передбачено законодав­чими актами України видачу спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій.

“Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням”, затверджена наказом ДСТСЗІ від 26.05.94 р. № 46, зареєстровано в Мінюсті України 01.06.94 р. № 120\329.

Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ з виробництва та сервісного обслуговування систем і засобів, виконання робіт, надання послуг, що забезпечують технічний захист інформації.

“Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних докумен­тів системи технічного захисту інформації', затверджено наказом ДСТСЗІ від 01.07.96 р. № 44, зареєстровано в Мінюсті України 18.07.96 р. № 366\1391.

Положення визначає порядок розроблення, погодження, затверджен­ня, реєстрації та виконання нових, перегляду та скасування чинних міжвідо­мчих нормативних документів технічного характеру (норми, методики, по­ложення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але є обов’язковими для виконання всіма центральними місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства; підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації.

До загальнодержавних нормативних актів з питань захисту інформа­ції відносять такі стандарти.

Державний стандарт України. ДСТУ 3396.0-96. Захист інформації.

Технічніш захист інформації. Основні поняття. Затверджено наказом Держстандарту України від 11.10.96 р. № 423, введено в дію 01.01.97 р.

Стандарт установлює об’єкт захисту, мету, основні організаційно- технічні поняття технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також етапи побудови системи захисту інформації та категорії нормативних документів з ТЗІ.

Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності та підпорядкування, громадян - суб’єктів підприємницької діяль­ності, органів державної влади, органів місцевого самоврядування, військо­вих частин всіх формувань, представництв України за кордоном, які володі­ють, користуються та розпоряджаються інформацією, що підлягає технічно­му захисту.

Державний стандарт України. ДСТУ 3396.1-96. Захист інформації Технічний захист інформації. Порядок проведення робіт Затверджено наказом Держстандарту України від 19.12.96 р. № 51, введено в дію 01.01.97р.

Цей стандарт установлює вимоги до порядку проведення робіт з техніч­ного захисту інформації, який за наказом керівника підприємства передбачає:

• організацію проведення обстеження;

• організацію розроблення системи захисту інформації;

• реалізацію організаційних заходів захисту;

• реалізацію первинних технічних заходів захисту;

• реалізацію основних технічних заходів захисту;

• прийняття, визначення повноти та якості робіт.

Для участі в роботах, надання методичної допомоги, оцінюванні повноти та якості реалізації заходів захисту⁷ можуть залучатися спеціалісти з ТЗІ сторонніх організацій, які мають ліцензію органу, уповноваженого Кабі­нетом Міністрів України.

Державний стандарт України. ДСТУ 3396.2-97. Захист інформації.

Технічний захист інформації. Терміни та визначення. Затверджено наказом Держстандарту України від 11.04.97 р. № 200, введено в дію 01.01.98р.

Цей стандарт установлює терміни та визначення понять у сфері тех­нічного захисту інформації.

Терміни, регламентовані у цьому стандарті, обов’язкові для викорис­тання в усіх видах організаційної та нормативної документації, а також для робіт зі стандартизації і рекомендовані для використання у довідковій та на­вчально-методичній літературі, що належить до сфери технічного захисту інформації.

Терміни стандарту є обов’язковими для використання підприємства­ми та установами усіх форм власності і підпорядкування, громадянами - суб’єктами підприємницької діяльності, міністерствами (відомствами), центральними і місцевими органами державної виконавчої влади, військо­вими частинами всіх військових формувань, представництвами України за кордоном, які володіють, використовують та розпоряджаються інформацією, що становить державну чи іншу передбачену законом таємницю або є кон­фіденційною інформацією, яка належить державі.

Державний стандарт України. ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держста­ндарту України від 29.07.93 р. № 116.

Стандарт установлює порядок розроблення, побудови, викладу, офо­рмлення, узгодження, затвердження, позначання та державної реєстрації те­хнічних умов на продукцію (послуги), що виготовляється в усіх галузях на­родного господарства України, крім розроблюваної та виготовленої на замо­влення Міністерства оборони, а також змін до них.

Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян - суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності.

Державні будівельні норми України. ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Затверджено наказом Держкоммістобудування України від 02.09.96 р. № 156 і введено в дію 01.01.97 р.

Стандарт установлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель і споруд об’єктів, де є необ­хідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися органі­заціями, які мають відповідні ліцензії Держкоммістобудування України, або іншими організаціями, які мають ліцензії Держкомсекретів України, відпо­відно до завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних і будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю.

Норми можуть бути використані суб’єктами, професійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави.

Цілу низку нормативних документів підготовлено Департаментом спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України, який у 2007 році перетворено у Державну службу спеціального зв’язку і захисту інформації.

Нормативний документ системи ТЗІ. ТРЕОТ-95. “Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок”, за­тверджено наказом ДСТСЗІ від 09.06.96 р. № 25.

Нормативний документ системи ТЗІ. ТРАС-96. “Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи”, затверджено наказом ДСТСЗІ від 03.07.96 р. № 47.

Нормативний документ системи ТЗІ. НД ТЗІ 1.6-001-96. “Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗГ, затверджено наказом ДСТСЗІ від 26.07.96 р. №51.

Нормативний документ системи ТЗІ. “Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ а також продукції, яка містить їх у своєму складГ, затверджено наказом ДСТСЗІ від 31.05.95 р. № 13 і зареєстровано в Мінюсті України 12.07.95 р. № 215\751.

2.8 ЗАРУБІЖНЕ ЗАКОНОДАВСТВО В ГАЛУЗІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Законодавчий рівень інформаційної безпеки найбільше забезпечений у США, де нараховується близько 500 законодавчих актів.

Ключову роль грає “Закон про інформаційну безпеку” (Computer Security Act of1987, Public Law 100-235 (H.R. 145), January 8, 1988). Його мета - реалізація мінімально достатніх дій щодо забезпечення безпеки інформації у федеральних комп’ютерних системах, без обмежень всього спектра можливих дій.

На початку Закону називається конкретний виконавець - Національний інститут стандартів і технологій (NIST), що відповідає за випуск стандартів і положень, спрямованих на захист від знищення і несанкціонованого доступу до інформації, а також від крадіжок і фальсифікацій, що здійснюються за до­помогою комп’ютерів. Таким чином, увага приділяється як регламентації дій фахівців, так і підвищенню інформованості всього суспільства. Державні установи, що зберігають і обробляють персональні дані, несуть відповідальність за порушення таємниці приватного життя “суб’єкта даних”, як мовиться в Законі. У матеріальному виразі відповідальність обмежена верхньою межею в 250 тисяч німецьких марок.

У законодавстві Великобританії є сімейство так званих добровільних стандартів 55 7799, що допомагають організаціям на практиці сформувати програми безпеки.

У сучасному світі глобальних мереж законодавча база повинна бути узгоджена з міжнародною практикою. В цьому плані повчальний приклад Аргентини.

В 1996 році в Аргентині був заарештований системний оператор електронної дошки оголошень. Йому ставилися в провину систематичні вторгнення в комп’ютерні системи ВМС США, НАСА, а також у комп’ютерні системи Бразилії, Чилі, Кореї, Мексики і Тайваню. Проте, його відпустили без офіційного висування звинувачень, оскільки за аргентинським законодавством вторгнення в комп’ютерні системи не вважається злочином.

2.9 СТАНДАРТИ І СПЕЦИФІКАЦІЇ В ГАЛУЗІ БЕЗПЕКИ ІНФОРМАЦІЙНИХ СИСТЕМ

Особливе місце на законодавчому рівні займають стандарти і специ­фікації, до яких належать:

• оцінні стандарти, спрямовані на класифікацію інформаційних си­стем і засобів захисту за вимогами безпеки;

• технічні специфікації, що регламентують різні аспекти реалізації засобів захисту.

Оцінні стандарти виділяють найважливіші, з погляду інформаційної безпеки, аспекти ІС, які виконують роль архітектурних специфікацій. Інші технічні специфікації визначають, як будувати ІС указаної архітектури.

“Помаранчева книга ” як оцінний стандарт

Історично першим оцінним стандартом, що набув значного поширення і зробив величезний вплив на базу стандартизації інформаційної безпеки у багатьох країнах, став стандарт Міністерства оборони США “Критерії оці­нювання довірених комп ’ютерних систем”.

Дана праця, звана найчастіше за кольором обкладинки “Помаранчевою книгою”, була вперше опублікована в серпні 1983 року. В ній мова йде не про безпечні, а про довірені системи, тобто системи, яким можна надати певний ступінь довіри. У “Помаранчевій книзі” наведено таке поняття без­печної системи:

Безпечна система - це така система, в якій за допомогою відповідних засобів здійснюється керування доступом до інформації в такий спосіб, що тільки належним чином авторизовані особи або процеси, що діють від їх імені, отримують право читати, записувати, створювати і видаляти інформацію.

Очевидно, що абсолютно безпечних систем не існує, це абстракція. Є сенс оцінювати лише ступінь довіри, яку можна надати тій чи іншій системі.

Довірена система - це система, що використовує достатні апаратні і програмні засоби для забезпечення одночасного оброблення інформації різного ступеня секретності групою користувачів без порушення права доступу.

Звернемо увагу, що у “Помаранчевій книзі” і безпека, і довіра оціню­ються виключно з погляду управління доступом до даних, що є одним із засобів забезпечення конфіденційності і цілісності. Питання доступності не піднімається.

Ступінь довіри оцінюється за двома критеріями: політика безпеки і рівень гарантованості.

Політика безпеки - це набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію.

Зокрема, правила визначають, в яких випадках користувач може опе­рувати конкретними наборами даних. Чим вищий ступінь довіри системі, тим суворішою та гнучкішою повинна бути політика безпеки. Політика без­пеки - це аспект захисту, що містить аналіз можливих загроз і вибір заходів протидії.

Рівень гарантованості - це міра довіри, яка може бути надана архітектурі і реалізації ІС.

Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Довірена система повинна фіксувати всі події, що сто­суються безпеки. Ведення протоколів повинно доповнюватися аудитом (аналізом реєстраційної інформації).

Мета підзвітності - в кожен момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:

• ідентифікація і автентифікація;

• надання довіреного шляху;

• аналіз реєстраційної інформації.

Звичайний спосіб ідентифікації - введення імені користувача при вході в систему. Стандартний засіб перевірки достовірності (автентифікації) користувача - пароль.

Аналіз реєстраційної інформації (аудит) має справу з подіями, які так або інакше стосуються безпеки системи.

Технічна специфікація Х.800

Основний зміст цього стандарту трактує питання інформаційної без­пеки розподілених систем, зокрема, специфічні мережеві функції (сервіси) безпеки, а також необхідні для їх реалізації захисні механізми.

Виділяються такі сервіси безпеки і виконувані ними ролі.

Автентифікація. Даний сервіс забезпечує перевірку достовірності партнерів по спілкуванню і перевірку достовірності джерела даних. Автен­тифікація партнерів використовується при встановленні з’єднання і періоди­чно під час сеансу. Вона служить для запобігання таким загрозам, як маска­рад і повторення попереднього сеансу зв’язку.

Управління доступом. Забезпечує захист від несанкціонованого ви­користання ресурсів, доступних у мережі

Конфіденційність даних. Забезпечує захист від несанкціонованого отримання інформації. Окремо виділяється конфіденційність трафіку (це за­хист інформації, яку можна одержати, аналізуючи мережеві потоки даних).

Цілісність даних поділяється на підвиди залежно від того, який тип спілкування використовують партнери - з встановленням з’єднання чи без нього, захищаються всі дані чи тільки окремі поля, чи забезпечується відно­влення у разі порушення цілісності.

Безвідмовність (неможливість відмовитися від виконаних дій) забез­печує два види послуг: безвідмовність з підтвердженням достовірності дже­рела даних і безвідмовність з підтвердженням доставки.

Адміністрування засобів безпеки включає розповсюдження інфор­мації, необхідної для роботи сервісів і механізмів безпеки, а також збирання і аналіз інформації про їх функціонування. Прикладами можуть служити розповсюдження криптографічних ключів, установлення значень параметрів захисту, ведення реєстраційного журналу і т.п.

Стандарт ІБО/ІЕС15408

Цей стандарт є найповнішим і найсучаснішим серед стандартів - “Критерії оцінювання безпеки інформаційних технологій” (виданий 1 грудня 1999 року), який часто називають “Загальними критеріями”.

“Загальні критерії"’ визначають інструменти оцінювання безпеки ІС і порядок їх використання.

3.1 ОСНОВНІ КЛАСИ ОРГАНІЗАЦІЙНИХ ЗАХОДІВ

Організаційний захист забезпечує:

· організацію охорони та режиму;

· роботу з персоналом;

· роботу з документацією та іншими носіями інформації;

· використання технічних засобів безпеки;

· інформаційно-аналітичну діяльність щодо виявлення внутрішніх та зовнішніх загроз підприємницькій діяльності.

Організаційний захист - це регламентація виробничої діяльності і взаємин виконавців на нормативно-правовій _w і! 1 основі, що виключає чи істотно утрудняє неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх і зовнішніх загроз.

В українських компаніях накопичено багатий досвід регламентації і реалізації організаційних (процедурних) заходів, але вони прийшли з “до- комп’ютерного” минулого і тому потребують переоцінювання.

Важливим є усвідомлення ступеня залежності сучасного суспільства від комп'ютерної обробки даних. Суспільству потрібно роз'яснювати не тільки переваги, але і небезпеки, пов'язані з використанням інформаційних технологій. Акцент у забезпеченні ІБ слід робити не на військовій або кри­мінальній стороні справи, а на цивільних аспектах, пов'язаних з підтримкою нормального функціонування апаратного і програмного забезпечення, тобто концентруватися на питаннях доступності і цілісності даних.

Організаційні заходи поділяються на:

· управління персоналом;

· фізичний захист;

· підтримка працездатності;

· реагування на порушення режиму безпеки;

· планування відновлювальних робіт.

Управління персоналом

Управління персоналом починається зі складання опису посади, а по­тім з прийому нового співробітника на роботу. Вже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення ком­п'ютерних привілеїв, що асоціюються з посадою. Існує два загальні принци­пи, які варто мати на увазі: розділення обов'язків та мінімізація привілеїв.

Принцип розділення обов’язків зобов'язує так розподіляти ролі і від­повідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, процедурні обмеження дій суперкористува- ча. Можна штучно “розділити” пароль суперкористувача, повідомивши пе­ршу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії з адміністрування ІС вони зможуть виконати тільки удвох, що знижує вірогідність помилок і зловживань.

Принцип мінімізації привілеїв полягає у виділенні користувачам тіль­ки тих прав доступу, які необхідні їм для виконання службових обов’язків. Призначення цього принципу очевидне - зменшити збиток від випадкових або навмисних некоректних дій.

Попереднє складання опису посади дозволяє оцінити її критичність і спланувати процедуру перевірки і відбору кандидатів. Чим відповідальніша посада, тим ретельніше потрібно перевіряти кандидатів: навести довідки про них, можливо, поговорити з колишніми товаришами по службі тощо. Подіб­на процедура може бути тривалою і дорогою, тому немає сенсу додатково ускладнювати її. В той же час, не можна зовсім відмовлятися від поперед­ньої перевірки, щоб випадково не взяти на роботу людину з криміналь­ним минулим або психічним захворюванням.

Коли кандидат визначений, він повинен пройти навчання або, при­наймні, його слід детально ознайомити із службовими обов’язками, а також з нормами і процедурами інформаційної безпеки. Бажано, щоб заходи безпе­ки були їм засвоєні до вступу на посаду і до введення його системного раху­нка з вхідним ім'ям, паролем і привілеями.

З моменту введення системного рахунка починається його адмініст­рування, а також протоколювання й аналіз дій користувача. Поступово змі­нюється оточення, в якому працює користувач, його службові обов'язки і т.п. Все це вимагає відповідної зміни привілеїв. Технічну складність пред­ставляють тимчасові переміщення користувача, виконання ним обов’язків замість співробітника, що пішов у відпустку, та інші обставини, коли повно­важення потрібно спочатку надати, а через деякий час скасувати. В такі пе­ріоди профіль активності користувача різко змінюється, що створює труд­нощі при виявленні підозрілих ситуацій. Певної обережності треба дотриму­ватися і при видачі нових постійних повноважень, не забуваючи ліквідову­вати старі права доступу.

Ліквідація системного рахунка користувача, особливо у разі конфлік­ту між співробітником і організацією, повинна проводитися максимально оперативно. Можливо і фізичне обмеження доступу до робочого місця. Зро­зуміло, якщо співробітник звільняється, у нього потрібно прийняти все його комп'ютерне господарство і, зокрема, криптографічні ключі, якщо викорис­товувалися засоби шифрування.

В зв’язку з кризовою ситуацією в економіці компанія Microsoft наполегливо рекомендує компаніям та організаціям використовувати шифрування важливих даних та закривати доступ до внутрішньої мережі для звільнених або таких, що будуть звільнені, співробітників.

Управління співробітниками розповсюджується також на осіб, що працюють за контрактом (наприклад, фахівців фірми-постачальника, що до­помагають запустити нову систему). Відповідно до принципу мінімізації привілеїв, їм потрібно виділити рівно стільки прав, скільки необхідно, і ска­сувати ці права відразу після закінчення контракту. Проблема, проте, поля­гає в тому, що на початковому етапі впровадження “зовнішні” співробітники адмініструватимуть “місцевих”, а не навпаки. Тут на перший план виходить кваліфікація персоналу організації та його здатність швидко навчатися. Ва­жливі і принципи вибору ділових партнерів.

Іноді зовнішні організації беруть на обслуговування і адмініструван­ня відповідальні компоненти комп’ютерної системи, наприклад, мережеве устаткування. Нерідко адміністрування виконується у віддаленому режимі.

Взагалі кажучи, це створює в системі додаткові вразливі місця, які необхід­но компенсувати посиленим контролем засобів віддаленого доступу або на­вчанням власних співробітників.

Отже, проблема навчання - одна з основних з погляду інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї органі­зації, він не може прагнути до досягнення сформульованої в ній мети. Не знаючи заходів безпеки, він не зможе їх дотримувати. Навпаки, якщо спів­робітник знає, що його дії протоколюються, він, можливо, утримається від порушень.

3.1.2 Фізичний захист

Безпека ІС залежить від оточення, в якому ця ІС функціонує. Необ­хідно вжити заходів для захисту будівель і прилеглої території, інфраструк­тури, обчислювальної техніки, носіїв даних.

Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як “безперервність захисту у просторі та часі”. Фізичний захист здійснюється за такими напрямками:

· фізичне управління доступом;

· протипожежні заходи;

· захист інфраструктури;

· захист від перехоплення даних;

· захист мобільних систем.

Заходи фізичного управління доступом дозволяють:

• контролювати і, в разі необхідності, обмежувати вхід і вихід спів­робітників і відвідувачів;

• виключити можливості таємного проникнення на територію та у приміщення сторонніх осіб;

• забезпечити зручність контролю проходу і переміщення співробіт­ників і відвідувачів;

Прибиральниця просить у директора банку:

- Чи не могли б Ви дати мені ключі від сховища? А то мені доводиться кожен день по 20 хвилин морочитися зі шпилькою, щоб його відкрити та прибратися.

• створити окремі виробничі зони за типом конфіденційних робіт із самостійними системами доступу;

• контролювати дотримання часового режиму праці і перебування на території персоналу фірми;

• організувати і підтримувати надійний пропускний режим.

Важливо зробити так, щоб відвідувачі, по можливості, не мали безпо­середнього доступу до комп’ютерів або, в крайньому випадку, потурбувати­ся про те, щоб від вікон і дверей не були видимими екрани моніторів і прин­тери. Необхідно, щоб відвідувачів на вигляд можна було відрізнити від спів­робітників.

Протипожежні заходи мають розробляти і реалізовувати професіо­нали пожежники. Однак, у будь-якому разі, основним заходом є встанов­лення протипожежної сигналізації і автоматичних засобів пожежогасіння.

До підтримуючої інфраструкту ри відносять системи електро-, во- до- і теплопостачання, кондиціонери і засоби комунікацій. До них застосовні ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для за­безпечення цілісності потрібно захищати устаткування від крадіжок і пош­коджень. Для підтримки доступності слід вибирати устаткування з максима­льним часом напрацювання на відмову, дублювати важливі вузли і завжди мати під рукою запчастини.

Перехоплення даних може здійснюватися найрізноманітнішими способами. Зловмисник може підглядати за екраном монітора, читати паке­ти, передані по мережі, здійснювати аналіз побічних електромагнітних ви­промінювань і наведень тощо. Захист від перехоплення даних можна забез­печити використанням криптографії, максимальним розширенням контро­льованої території, контролем лінії зв’язку (наприклад, укладати їх в надув­ну оболонку з виявленням проколювання). Однак найрозумніше - усвідоми­ти, що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.

Основна загроза мобільним і портативним комп’ютерам - це їхнє викрадення. Тому важливо не залишати їх без нагляду в автомобілі або на роботі.

Сумна статистика останніх інцидентів показую всю ненадійність захисту мобільних систем:

- В 2008 р. мобільний комп’ютер з секретними даними було вкрадено з автомобіля однієї з перших осіб Пентагону.

- З липня по жовтень 2007 p. Bank of Ireland, другий за величиною банк в Ірландії, втратив чотири ноутбуки з іменами громадян країни, їх адресами, відомостями про банківські рахунки та медичною інформацією.

- У вересні 2008 р. з Національного банку Канади серед робочого дня грабіжник виніс ноутбук з даними тисяч клієнтів іпотечної програми.

За статистикою в аеропортах СІ1ІА губиться близько 20 тис. ноутбуків та мобільних телефонів, причому лише за половиною з них повертаються.

Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, ухвалюючи рішення про закупівлю джерела безперебій­ного живлення, необхідно врахувати якість електроживлення в будівлі, за­йманій організацією, характер і тривалість збоїв електроживлення, вартість доступних джерел і можливі втрати від аварій (поломка техніки, припинення роботи організації тощо). В той же час, у багатьох випадках рішення очеви­дні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вар­тість реалізації багатьох заходів (наприклад, установлення звичайного замка на двері серверної кімнати) мала або явно менша, ніж можливий збиток.

3.1.3 Підтримка працездатності

Відсутність заходів, спрямованих на підтримку працездатності ІС, призводить до найбільшої небезпеки. Ненавмисні помилки системних адмі­ністраторів і користувачів загрожують пошкодженням апаратури, руйнуван­ням програм і даних, а, у кращому разі, вони створюють проломи в захисті, які роблять можливою реалізацію загроз.

Недооцінювання чинників безпеки в повсякденній роботі - проблема багатьох організацій. Дорогі засоби безпеки втрачають сенс, якщо вони по­гано документовані, конфліктують з іншим програмним забезпеченням, а пароль системного адміністратора не змінювався тривалий час.

Напрямками повсякденної діяльності є:

• підтримка користувачів - це перш за все, консультування і на­дання допомоги при вирішенні різного роду проблем. Іноді в організаціях створюють для цієї мети спеціальний “довідковий стіл”, але частіше цим займається системний адміністратор. Доцільно фіксувати питання користувачів, щоб виявляти їх типові помилки і розробляти пам'ятки з рекомендаціями;

З документації до бухгалтерської програми:

«Програма NN має складну структуру, тому для спрощення роботи з NN надається спеціальна навчальна програма на даний

момент не розроблена»

• підтримка програмного забезпечення - один з найважливіших засобів забезпечення цілісності інформації. Перш за все, необхідно стежити за тим, яке програмне забезпечення встановлено на ком­п'ютерах. Якщо користувачі встановлюватимуть програми на свій розсуд, це може призвести до зараження шкідливим ПЗ. Другий аспект підтримки ПЗ - контроль за відсутністю неавторизованої зміни програм і права доступ}’ до них. Сюди ж можна віднести пі­дтримку еталонних копій програмних систем;

• конфігураційне управління дозволяє контролювати і фіксувати зміни, що вносяться до програмної конфігурації. Перш за все, необ­хідно застрахуватися від випадкових або непродуманих модифіка­цій, вміти, як мінімум, повертатися до попередньої робочої версії;

• резервне копіювання необхідне для відновлення програм і даних після аварій. Потрібно налагодити розміщення копій в безпечному місці, захищеному від несанкціонованого доступу, пожеж, витоків, тобто від усього, що може призвести до крадіжки або пошкоджен­ня носіїв. Доцільно мати декілька екземплярів резервних копій і частину з них зберігати поза територією організації, захищаючись таким чином від крупних аварій і подібних інцидентів;

• управління носіями необхідно для забезпечення фізичного захис­ту і обліку носіїв електронної інформації та друкарських копій. Управління носіями повинно забезпечувати конфіденційність, ці­лісність і доступність інформації, що зберігається поза комп'ютер­ною системою;

• документування - невід'ємна частина інформаційної безпеки. Важливо, щоб документація була актуальною, відображала саме поточний стан подій, причому в несуперечливому вигляді. До збе­рігання одних документів (що містять, наприклад, аналіз вразли­вих місць системи і загроз) можна застосовувати вимоги забезпе­чення конфіденційності, до інших, таких як план відновлення після аварій, - вимоги цілісності і доступності (у критичній ситуації план необхідно знайти і прочитати);

• регламентні роботи - дуже серйозна загроза безпеці. Співробіт­ник, що здійснює регламентні роботи, дістає винятковий доступ до системи, і на практиці дуже важко проконтролювати, які саме дії він здійснює. Тут на перший план виходить ступінь довіри до тих, хто виконує ці роботи.

3.1.4 Реагування на порушення режиму безпеки

Програма безпеки, прийнята організацією, повинна передбачати набір оперативних заходів, спрямованих на виявлення і нейтралізацію порушень режиму інформаційної безпеки. Важливо, щоб послідовність дій була сплано­вана наперед, оскільки заходи потрібно вживати терміново та скоординовано.

Реагування на порушення режиму безпеки має забезпечити:

• локалізацію інциденту і зменшення шкоди, що завдається;

• виявлення порушника;

• попередження повторних порушень.

В організації повинна бути людина, доступна 24 години на добу (осо­бисто, по телефону або електронній пошті), яка відповідає за реагування на порушення. Всі повинні знати координати цієї людини і звертатися до неї при перших ознаках небезпеки. Загалом, як при пожежі, потрібно знати, ку­ди дзвонити, і що робити до приїзду пожежної команди.

Співробітники відділу захисту інформації приходять і виходять , а хакери залишаються(наслідок девізу Джоунза) «Закони Мерфідля інформаційної безпеки» А.В.Лукацький.

Часто вимога локалізації інциденту і зменшення шкоди, що завдаєть­ся, вступає в конфлікт з бажанням виявити порушника. В політиці безпеки організації пріоритети повинні бути розставлені наперед.

Щоб запобігти повторним порушенням, необхідно аналізувати кожен інцидент, виявляти причини, накопичувати статистику. Які джерела шкідли­вого ПЗ? Які користувачі мають звичай вибирати слабкі паролі? На подібні питання і повинні дати відповідь результати аналізу.

Необхідно відстежувати появу нових вразливих місць і якнайшвидше ліквідовувати асоційовані з ними вікна небезпеки. Хтось в організації пови­нен займатися цим процесом, вживати короткострокових заходів і коректу­вати програму безпеки для вживання довгострокових заходів.

3.1.5 Планування відновлювальних робіт

Жодна організація не застрахована від серйозних аварій, викликаних природними причинами, діями зловмисника, халатністю або некомпетентні­стю. В той же час у кожній організації є функції, які керівництво вважає критично важливими і які повинні виконуватися, не дивлячись ні на що. Планування відновлювальних робіт дозволяє підготуватися до аварій, змен­шити збиток від них і зберегти здатність до функціонування хоч би в міні­мальному обсязі.

Заходи інформаційної безпеки розділяються на групи, залежно від то­го, спрямовані вони на попередження, виявлення чи ліквідацію наслідків атак. Більшість заходів носить попереджувальний характер. Оперативний аналіз реєстраційної інформації і деякі аспекти реагування на порушення (так званий активний аудит) служать для виявлення і відбиття атак.

Планування відновлювальних робіт відносять до останньої з трьох перерахованих груп. Процес планування відновлювальних робіт складається з таких етапів:

• виявлення критично важливих функцій організації, встановлення пріоритетів;

• ідентифікація ресурсів, необхідних для виконання критично важ­ливих функцій;

• визначення переліку можливих аварій;

• розробка стратегії відновлювальних робіт;

• підготовка до реалізації вибраної стратегії;

• перевірка стратегії.

Плануючи відновлювальні роботи, слід усвідомлювати те, що повніс­тю зберегти функціонування організації не завжди можливо. Необхідно ви­явити критично важливі функції, без яких організація втрачає свою особли­вість, і, навіть, серед критичних функцій розставити пріоритети, щоб найш­видше і з мінімальними витратами відновити роботу після аварії.

Ідентифікуючи ресурси, необхідні для виконання критично важли­вих функцій, слід пам'ятати, що багато з них має некомп'ютерний характер. На даному етапі бажано підключати до роботи фахівців різного профілю, здатних у сукупності охопити всі аспекти проблеми. Критичні ресурси, за­звичай, відносять до однієї з категорій:

• персонал;

• інформаційна інфраструктура;

• фізична інфраструктура.

Складаючи списки відповідальних фахівців, слід враховувати, що де­які з них можуть безпосередньо постраждати від аварії (наприклад, від по­жежі), хтось може знаходитися в стані стресу, частина співробітників, мож­ливо, буде позбавлена можливості потрапити на роботу (наприклад, у разі масових безладів). Бажано мати деякий резерв фахівців або наперед визна­чити канали, якими можна на певний час залучити додатковий персонал.

Інформаційна інфраструктура складається з таких елементів:

• комп’ютери;

• програми і дані;

• інформаційні сервіси зовнішніх організацій;

• документація.

Потрібно підготуватися до того, що на запасному місці, куди органі­ зація буде евакуйована після аварії, апаратна платформа може відрізнятися від базової. Відповідно, слід продумати заходи підтримки сумісності з про­грамою і даними.

До фізичної інфраструктури належать будівлі, інженерні комунікації, засоби зв'язку, оргтехніка і багато іншого. Комп’ютерна техніка не може працювати в поганих умовах, без стабільного електроживлення тощо.

Аналізуючи критичні ресурси, доцільно врахувати часовий профіль їх використання. Більшість ресурсів потрібні постійно, але в деяких потреба може виникати тільки в певні періоди (наприклад, в кінці місяця або року при складанні звіту).

При визначенні переліку можливих аварій потрібно спробувати розробити їх сценарії.

Стратегія відновлювальних робіт повинна базуватися на наявних ресурсах і не бути дуже накладною для організації. При розробці стратегії доцільно провести аналіз ризиків, яким піддаються критичні функції, і спро­бувати вибрати найбільш економічне рішення. Стратегія повинна передба­чати не тільки роботу за тимчасовою схемою, але і повернення до нормаль­ного функціонування.

Підготовка до реалізації вибраної стратегії полягає у розробці плану дій в екстрених ситуаціях і після їх закінчення, а також у забезпеченні деякої надмірності критичних ресурсів. Останнє можливо і без великих ви­трат засобів, якщо укласти з однією або декількома організаціями угоди про взаємну підтримку у разі аварій. Ті, хто не постраждав, надають частину своїх ресурсів у тимчасове користування постраждалим.

Надмірність забезпечується також заходами резервного копіювання, зберіганням копій в декількох місцях, представленням інформації в різних видах (на папері та у файлах) тощо.

Має сенс укласти угоду з постачальниками інформаційних послуг про першочергове обслуговування в критичних ситуаціях або укладати угоди з декількома постачальниками. Однак такі заходи вимагають певних витрат.

Перевірка стратегії проводиться шляхом аналізу підготовленого плану, вжитих і намічених заходів.

Поиск по сайту: