Общие понятия информационной безопасности


Определение и цели информационной безопасности.

В беседах со специалистами по защите информации зачастую обнаруживается, что взгляды и терминология в этой относительно новой области различаются иногда почти до противоположных. При прямом вопросе об определении информационной безопасности можно услышать такие разноуровневые термины, как "защита данных", "контроль использования", "борьба с хакерами" и т.д.

Между тем существуют сложившиеся определения самой информационной безопасности и примыкающего к ней круга понятий. Иногда они различаются у различных специалистов (или школ). Случается, в определениях просто используют синонимы, иногда — меняются местами даже целые группы понятий. Поэтому первоначально необходимо четко определиться, о чем же будет идти речь в данной статье. Хотя оба автора получали образование в области информационной безопасности совершенно независимо друг от друга, тем не менее их определения и понятия практически совпадают, поэтому было решено использовать именно данный подход. Для всей области знаний, охватываемой данной книгой, будет использоваться термин "информационная безопасность". Иногда, особенно в классификации зарубежных агентств по найму на работу, "информационная безопасность" рассматривается как один из подразделов общей безопасности, наряду с такими понятиями как "компьютерная безопасность", "сетевая безопасность", "безопасность телекоммуникаций", "безопасность данных".

На наш взгляд, понятие "информационная безопасность" более широкое, так как охватывает всё, что взаимодействует с информацией, и все вышеперечисленные понятия — это подразделы или отдельные направления информационной безопасности.



Информационная безопасность — это комплекс мероприятий, обеспечивающий для охватываемой им информации следующие факторы:

  • конфиденциальность — возможность ознакомится с информацией (именно с данными или сведениями, несущими смысловую нагрузку, а не с последовательностью бит их представляющих) имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями;
  • целостность — возможность внести изменение в информацию (опять речь идет о смысловом выражении) должны иметь только те лица, кто на это уполномочен;
  • доступность — возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени.


Иногда можно встретить определения перечисленных факторов в варианте от противного, например разглашение или раскрытие, модификация (изменение или искажение) и уничтожение или блокирование. Главное, чтобы не был искажен смысл, заложенный в указанных определениях.

Это не полный список факторов, выделены именно эти три понятия, поскольку они обычно встречаются практически во всех определениях информационной безопасности и не вызывают споров. На наш взгляд, необходимо включить дополнительные факторы и понять различие между ними, а именно:

  • учет, т. е. все значимые действия лица, выполняемые им в рамках, контролируемых системой безопасности (даже если они не выходят за рамки определенных для этого лица правил), должны быть зафиксированы и проанализированы;
  • неотрекаемость или апеллируемость (характерно для организаций, в которых функционирует обмен электронными документами с юридической, финансовой или другой значимостью), т. е. лицо, направившее информацию другому лицу, не может отречься от факта направления информации, а лицо, получившее информацию, не может отречься от факта ее получения.


Отличие между двумя этими факторами, возможно, видимое не сразу, заключается в следующем. Учет обычно ведется средствами электронных регистрационных журналов, которые используются в основном только уполномоченными службами, и его основное отличие — в регулярности анализа этих журналов. Апеллируемость обеспечивается средствами криптографии (электронно-цифровой подписью), и ее характерная черта — возможность использования в качестве доказательного материала во внешних инстанциях, например в суде, при наличии соответствующего законодательства.

Механизмы информационной безопасности


Перечисленные объективные факторы или цели информационной безопасности обеспечиваются применением следующих механизмов или принципов:

  • политика — набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности;
  • идентификация — определение (распознавание) каждого участника процесса информационного взаимодействия перед тем как к нему будут применены какие бы то ни было понятия информационной безопасности;
  • аутентификация — обеспечение уверенности в том, что участник процесса обмена информацией идентифицирован верно, т. е. действительно является тем, чей идентификатор он предъявил;
  • контроль доступа — создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровень этого доступа;
  • авторизация — формирование профиля прав для конкретного участника процесса информационного обмена (аутентифицированного или анонимного) из набора правил контроля доступа;
  • аудит и мониторинг — регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. Понятия "аудит" и "мониторинг" при этом несколько различаются, так как первое предполагает анализ событий постфактум, а второе приближено к режиму реального времени;
  • реагирование на инциденты — совокупность процедур или мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности;
  • управление конфигурацией — создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями информационной безопасности;
  • управление пользователями — обеспечение условий работы пользователей в среде информационного обмена в соответствии с требованиями информационной безопасности.


В данном случае под пользователями понимаются все, кто использует данную информационную среду, в том числе и администраторы;
управление рисками — обеспечение соответствия возможных потерь от нарушения информационной безопасности мощности защитных средств (то есть затратам на их построение);
обеспечение устойчивости — поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствии требованиям информационной безопасности в условиях деструктивных внешних или внутренних воздействий.

Таким образом, перечислено то, за счет чего достигаются определенные выше цели информационной безопасности (в некоторых источниках описанные принципы, например, аутентификация, переносятся в цели). На наш взгляд, аутентификация сама по себе не может быть целью информационной безопасности. Она является лишь методом определения участника информационного обмена, чтобы далее определить, какая, например, политика в отношении конфиденциальности или доступности должна быть применена к данному участнику.


Инструментарий информационной безопасности

Теперь рассмотрим, какие существуют средства или инструменты, которыми реализованы описанные принципы или механизмы. Естественно, что привести полный список здесь просто невозможно — он в значительной степени зависит от конкретной ситуации, в свете которой рассматривается тот или иной аспект информационной безопасности. Кроме того, возможно, кто-либо захочет переместить некоторые пункты из списка механизмов в список средств или наоборот. Наши рассуждения имеют следующий базис. Например, персонал занимается аудитом, который обеспечивает учет. Значит, персонал — это средство, аудит — механизм, а учет — цель. Или пароли, обеспечивающие аутентификацию, сохраняются в шифрованном виде, аутентификация предшествует, например, разрешению на модификацию. Значит, криптография — средство защиты паролей, пароли используются для механизма аутентификации, аутентификация предшествует обеспечению целостности.

Перечислим основные средства (инструменты) информационной безопасности:

  • персонал — люди, которые будут обеспечивать претворение в жизнь информационной безопасности во всех аспектах, то есть разрабатывать, внедрять, поддерживать, контролировать и исполнять;
  • нормативное обеспечение — документы, которые создают правовое пространство для функционирования информационной безопасности;
  • модели безопасности — схемы обеспечения информационной безопасности, заложенные в данную конкретную информационную систему или среду;
  • криптография — методы и средства преобразования информации в вид, затрудняющий или делающий невозможным несанкционированные операции с нею (чтение и/или модификацию), вместе с методами и средствами создания, хранения и распространения ключей — специальных информационных объектов, реализующих эти санкции;
  • антивирусное обеспечение — средство для обнаружения и уничтожения зловредного кода (вирусов, троянских программ и т. п.);
  • межсетевые экраны — устройства контроля доступа из одной информационной сети в другую;
  • сканеры безопасности — устройства проверки качества функционирования модели безопасности для данной конкретной информационной системы;
  • системы обнаружения атак — устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности;
  • резервное копирование — сохранение избыточных копий информационных ресурсов на случай их возможной утраты или повреждения;
  • дублирование (резервирование) — создание альтернативных устройств, необходимых для функционирования информационной среды, предназначенных для случаев выхода из строя основных устройств;
  • аварийный план — набор мероприятий, предназначенных для претворения в жизнь, в случае если события происходят или произошли не так, как было предопределено правилами информационной безопасности;
  • обучение пользователей — подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.


Возможно, некоторые понятия слишком укрупнены (криптография), некоторые, наоборот, детализированы (сканеры). Основной целью этого списка ставилось показать типовой набор, характерный для предприятия, которое развивает у себя службу информационной безопасности.

Основные направления информационной безопасности

Теперь осталось рассмотреть основные направления информационной безопасности, которые иногда различают между собой. Собственно, на наш взгляд их всего два — физическая и компьютерная безопасность.Однако, учитывая имеющиеся различия в определениях, можно охарактеризовать их следующим образом.

Физическая безопасность — обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию. Дополнительно сюда может быть включено понятие защиты самих пользователей информационной среды от физического воздействия злоумышленников, а также защиты информации невиртуального характера (твердых копий — распечаток, служебных телефонных справочников, домашних адресов сотрудников, испорченных внешних носителей и т. п.).

Компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) — обеспечение защиты информации в ее виртуальном виде. Возможно выделять этапы нахождения информации в среде, и по этим принципам разделять, например, компьютерную (на месте создания, сохранения или обработки информации) и сетевую (при пересылке) безопасность, но это, в принципе, нарушает комплексную картину безопасности. Единственное, с чем логично было бы согласиться, — это термин безопасность данных, или скорее, безопасность данных в рамках данного приложения. Дело в том, что в конкретном программном комплексе модель безопасности может быть реализована таким образом, что это потребует отдельного специалиста (или даже службы) по ее поддержанию. В этом случае возможно разделить понятия безопасность данных (конкретного приложения) и безопасность сети (всей остальной информационной среды).

Следующий этап предусматривает создание условий, чтобы мы говорили на одном языке, т. е. введение основного набора определений.

Терминология

Итак, для того, чтобы говорить на понятном всем языке, необходимо ввести ряд определений. Список преднамеренно несколько расширен, чем необходимо для данной книги, в том смысле что не все указанные здесь термины будут использоваться далее по тексту. С одной стороны, это сделано специально в помощь тем, кто будет в дальнейшем самостоятельно создавать нормативные, методические и иные материалы по информационной безопасности. Некоторые из этих документов, которые, возможно, будут носить сложный или технический характер, обязательно потребуется предварять разделом определений во избежание разночтений и искажения смысла. В этом случае можно будет взять за основу данный раздел и либо использовать определения, приведенные здесь, либо при необходимости модифицировать их.

Тщательная формулировка подобных определений особенно важна, когда организация, начинающая работу по развитию информационной безопасности, вступает в некие формализованные (например, договорные) отношения с субъектами, имеющими слабое представление о предмете (например, со своими клиентами, партнерами или поставщиками). Дело в том, что иногда даже простые и кажущиеся очевидными понятия, такие как информация или пароль, могут восприниматься по-разному и в дальнейшем стать предметами спора. С другой стороны, читателю нет необходимости запоминать все указанные здесь термины для успешного освоения материала статьи. По мере необходимости при дальнейшем использовании необходимые определения будут повторены, возможно, в более упрощенном варианте.

Информацией будем называть данные, представленные в том или ином виде, пригодном для хранения, обработки и/или передачи. Применительно к информационной безопасности с практической точки зрения удобно выделить следующие формы информации:

  • электронная (электрические сигналы, области намагничивания и т. п.);
  • печатная (распечатки, книги и т. п.);
  • визуальная (изображения на экране монитора, слайды, плакаты и т. п.);
  • аудиальная (разговор людей, звуковые автоинформаторы и т. п.).


Объектом будем называть собственно информационный ресурс, т. е. некий целостный набор информации, в который входят данные, объединенные общей темой, задачей, способом обработки и т. п.
Субъектом — пользователя информации или процесс, обрабатывающий данный набор информации (объект) и учитываемый, применительно к данному рассмотрению, в момент того или иного использования объекта.
Следовательно, объект — это некий пассивный, а субъект — активный участник процесса обмена информацией.
Информационная система — это некий потенциально открытый набор субъектов, воздействующих на набор объектов, причем субъекты одной системы обычно имеют общую цель или цели.
Информационное пространство — это совокупность информационных систем, взаимодействующих между собой, причем одна часть этих систем может иметь иные, в том числе прямо противоположные, интересы, чем другая.
Правила информационной безопасности — список разрешенных и/или запрещенных действий для субъектов информационной системы. Такие правила могут быть определены не только для человека (пользователя, администратора и т. д.), но и для процесса (например, процесса предоставления доступа на межсетевом экране).
Права (англ. rights) — набор разрешенных действий (правил) для данного субъекта, часть профиля субъекта.

Несанкционированным будем считать такое действие, которое производится субъектом (или частью субъекта), для которого данное действие не определено как разрешенное (либо определено как запрещенное) правилами информационной безопасности.



Средство работы с информацией — устройство информационного обеспечения, с помощью которого производится или обеспечивается работа в информационной системе.
Угроза — возможность реализации нарушения того или иного правила информационной безопасности.
Уязвимость (англ. vulnerability) — незащищенность или ошибка в объекте или информационной системе, которая приводит или может привести к возникновению угрозы.
Атака — практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости.
Авария — незлоумышленное происшествие неординарного характера, несущее деструктивное воздействие на объект или информационную систему.
Пользователь — человек, субъект информационной системы, выполняющий в ней бизнес-функции, т. е. использующий объект в целях производства.
Администратор — человек, субъект информационной системы, создающий условия для работы в ней пользователей.
Контролер — субъект (не обязательно человек!) информационной системы, контролирующий использование информационной системы пользователями и администраторами в соответствии с предопределенными правилами (правилами информационной безопасности).
Злоумышленник — человек, субъект информационной системы, преследующий корыстные или деструктивные цели, противоречащие бизнес-целям системы.
Идентификатор (имя, логин) — набор символов, представляющий уникальное наименование данного объекта или субъекта в данной (в другой системе имя может повториться) информационной системе. Позволяет однозначно идентифицировать пользователя при входе его в систему, определить его права в ней, фиксировать действия и т. п.
Пароль (англ. password) — секретная последовательность символов, связанная с субъектом и известная только ему, позволяющая его аутентифицировать, т. е. подтвердить соответствие реальной сущности субъекта предъявляемому им при входе идентификатору.

Профиль (англ. profde) — набор установок и конфигураций, специфичный для данного субъекта или объекта и определяющий его работу в информационной системе.
Шифрование (англ. encryption) — процесс приведения информации в форму, при которой невозможно или существенно затруднено извлечение из нее осмысленных данных без обладания специфическими дополнительными знаниями (ключом).
Дешифрование (расшифрование) (англ. decryption) — процесс, обратный процессу шифрования, т. е. восстановление с помощью соответствующего ключа информации в исходной форме, позволяющей извлечь из нее смысловые данные.
Криптоанализ — набор методов и средств для выполнения (или сам процесс) дешифрования информации без обладания необходимым ключом.
Электронный документ — набор данных в электронном представлении, который может быть путем стандартных преобразований представлен в понятном человеку виде, в том числе как документ на бумаге; является неделимой единицей обмена информацией, т. е. он может быть передан (получен) либо не передан (не получен) только целиком; состоит из элементов, называемых реквизитами документа.
Закрытый ключ (приватный ключ, секретный ключ) — секретная последовательность байт, предназначенная для формирования субъектом электронной цифровой подписи для электронных документов.
Открытый ключ (публичный ключ) — последовательность байт, связанная с закрытым ключом и предназначенная для проверки электронно-цифровой подписи у электронных документов. Открытый ключ должен быть в распоряжении проверяющей стороны.

В этой главе умышленно дается не совсем полное определение закрытого и открытого ключей. Данные определения скорее наиболее прикладные, так как указанные ключи чаще всего используются для электронной цифровой подписи. Эти термины необходимо вводить в тех случаях, когда распределяется ответственность за сохранность секретных ключей и возникает необходимость своевременного представления открытых. Подробно использованию всех видов ключей, а также шифрованию и алгоритмам ЭЦП посвящена часть Кданной книги.

Электронная цифровая подпись (ЭЦП) (англ. digital signature) — блок данных определенного формата, формируемый на основе закрытого ключа, находящегося в распоряжении только уполномоченного субъекта, однозначно сопоставляемый с конкретным электронным документом и используемый для проверки аутентичности (авторства) и целостности данного электронного документа.
Корректная электронная цифровая подпись — электронная цифровая подпись электронного документа, дающая положительный результат при ее проверке соответствующим открытым ключом.
Модель безопасности — набор принципов, схем и механизмов (иногда с указанием конкретных средств и инструментов), предназначенных для обеспечения информационной безопасности в данной конкретной информационной системе.
Ошибка — непреднамеренная, не планируемая заранее акция (в виде действия или бездействия), совершаемая субъектом (пользователем или процессом), которая представляет или может представлять угрозу информационной безопасности.
Зловредная программа — исполняемый программный модуль, скрипт, макрос или прочий программный код, созданный с целью нарушения информационной безопасности. Задачей зловредной программы ставится: минимально — несанкционированное использование части информационных ресурсов, максимально — приобретение полного контроля над объектом или информационной системой с целью ее дальнейшего несанкционированного использования. К зловредным программам относят вирусы и троянские программы.
Вирус — зловредная программа, основным свойством которой является возможность автоматического размножения (возможно, с самомодификацией) и распространения на новые информационные системы без контроля со стороны создателя. Обычно основной целью вирусов является выполнение деструктивных действий, хотя встречаются вирусы, созданные для развлечения. Чаще всего никакой материальной выгоды создатель вируса от его функционирования не получает, но иногда, например, в рамках промышленной конкурентной борьбы, создание вирусов может быть оплачено заказчиком.
Троянская программа, троян, троянский конь (англ. trojari) — зловредная программа, зачастую включающая в себя клавиатурный шпион и выполняющая несанкционированные пользователем и недокументированные действия, порой даже с функциями удаленного управления со стороны злоумышленника, созданная с целью намеренного нарушения информационной безопасности данной системы. Часто при этом троянские программы маскируют несанкционированную деятельность выполнением ряда полезных для пользователя документированных действий.

С развитием сетевых технологий появились троянские программы, проникающие в систему по принципу компьютерных вирусов. Подобные гибриды используют в целях злоумышленника свойства и первого и второго класса зловредных программ. Наиболее сложные из них, будучи "выпушенными на свободу" где-либо в сети предприятия и размножаясь как обычный вирус, могут со временем добраться до своей основной цели, которая, возможно, хорошо защищена от прямых атак извне. После этого троян выполняет свою задачу по нарушению безопасности и информирует создателя о том, что его задача выполнена.Примитивные варианты троянских программ могут делать мелкие пакости типа рассылки от имени пользователя, неосторожно запустившего программу, угроз или ругательств другим пользователям сети.

Закладка (аппаратная, программная) — зловредная функциональность (программа), реализованная как одна из скрытых функций системы или объекта. В отличие от троянских программ, попадающих в систему извне, создается в подавляющем большинстве разработчиками системы. Дополнительно встречаемые термины — "задняя дверь", люк (англ. trapdoor — недокументированная функция, заложенная разработчиком при создании системы/объекта и не ликвидированная по каким-либо причинам, логическая бомба — срабатывание функции происходит при выполнении определенных условий).
Доверительное состояние системы — состояние, при котором поведение системы в плане информационной безопасности точно соответствует спецификации, в системе не функционируют зловредные программы, не было и не существует возможности несанкционированного доступа к данным на чтение и/или модификацию.
ПИН — персональный идентификационный номер, цифровой идентификатор, присваиваемый объекту или субъекту. Иногда используется как аналог пароля, например, в системах пластиковых карт.
Токен (англ. token) — в общем случае носитель данных, параметров безопасности своего владельца. Обычно некий внешний энергонезависимый носитель, предназначенный для хранения длинных паролей, криптографических ключей и другой информации по безопасности, которую человек не способен сохранять в своей памяти. Доступ к данным токена дополнительно может быть защищен паролем или ПИН;
Системный мусор (англ. system garbage) — набор данных, используемых системой или объектом для работы и не предназначенный для постороннего анализа, но по каким-либо причинам попавший в распоряжение третьих лиц. Представляет интерес для злоумышленников, так как может хранить данные об особенностях функционирования системы, косвенную информацию о конфиденциальных данных или даже пароли и криптографические ключи.
В связи с эти термином необходимо упомянуть понятие дамп памяти (англ. memory dump) — "снимок" состояния оперативной памяти устройства, используемый для выяснения причин сбоев при выходе системы из строя. Обычно создается и хранится в виде файла на дисковом носителе. В случае попадания к злоумышленникам может нанести очень серьезный урон безопасности системы.
Постороннее программное обеспечение — программное обеспечение, не авторизованное к использованию в данном информационном пространстве и не зарегистрированное уполномоченными службами.

Ряд используемых далее терминов, напрямую не связанных с информационной безопасностью, перенесены в Глоссарий, с тем чтобы не загромождать данную главу слишком большим количеством информации.Дополнительно необходимо отметить появление в тексте слов "организация", "корпорация", которые являются синонимами слова "предприятие" в смысле тематики данной книги. Кроме того, будут встречаться термины "бизнес-процесс", "бизнес-логика". В данном случае слово "бизнес" означает "то, что предопределено целями производства данного предприятия".

Задачи и принципы организации службы информационной безопасности


В этой главе речь пойдет о необходимых бюрократических процессах формирования службы безопасности на предприятии, предназначенных, скорее, для руководителей службы или для тех, кто профессионально занимается стратегией и тактикой структурного развития организации. Поэтому читатели, более интересующиеся техническими аспектами, могут смело переходить к главе 4 - cоздание службы безопасноти.

Для тех, кто все-таки решит прочитать эту главу, отметим, что решение вопросов и проблем, описываемых здесь, может оказаться полезным для предотвращения производственных конфликтов и несогласованностей, которые могут возникнуть в силу специфики функционирования службы информационной безопасности.


Задачи службы информационной безопасности

Несмотря на, казалось бы, прямую очевидность задач службы информационной безопасности ("служба безопасности должна обеспечивать безопасность — что же еще?"), возникает множество вопросов, не бросающихся в глаза на первый взгляд. Разобьем эти вопросы или проблемы на следующие группы:

  • размещение службы информационной безопасности;
  • взаимодействие ее с другими службами;
  • иерархия подчинения.


Иначе говоря, следует определить, где в штатной структуре предприятия должна размещаться служба информационной безопасности, как она будет взаимодействовать с другими подразделениями (особенно с подразделением информационных технологий), сколько начальников должно стоять между руководителем службы безопасности и директором предприятия.

Существует ряд рекомендаций по вопросам размещения, взаимодействия и подчинения службы безопасности, как продвинутые, в основном западные, ориентированные на электронный мир, так и старые, еще советские, пришедшие от первых отделов. На наш взгляд, эти процедуры очень зависят от множества факторов конкретного предприятия, быть может даже таких, как сложившиеся неформальные взаимоотношения между сотрудниками. Если во главу угла на предприятии ставится эффективность работы службы информационной безопасности, то такие аспекты невозможно не учитывать. Чтобы не очерчивать жестких рамок для всего этого, предлагаем просто рассмотреть проблемы и ответить для себя на возникающие вопросы. Из полученных ответов станет ясно, как и где должна располагаться служба информационной безопасности на организационном дереве предприятия.

Чем должна заниматься служба безопасности?

  • Администрировать имеющиеся средства безопасности (межсетевые экраны, антивирусные пакеты, системы обнаружения атак и пр.)?
  • Разрабатывать модели и схемы защиты информации, принимать решения о приобретении новых средств безопасности?
  • Контролировать работу пользователей информационного пространства предприятия?
  • Каких групп — только конечных пользователей или также и администраторов систем?
  • Куда направлен основной фокус внимания службы — на внутренних пользователей (по статистике больше всего нарушений информационной безопасности — как умышленно, так и неумышленно — проистекает изнутри предприятия) или на защиту от доступа из внешнего информационного пространства?


Без сомнения, вопросы информационной безопасности должны учитываться в каждом из перечисленных пунктов. Однако прикладное применение может быть различным и зависеть от множества причин, которые обычно не предусмотрены западными рекомендациями, например таких как нехватка квалифицированного персонала.

Примером различных решений могут быть две следующие ситуации: служба информационной безопасности только производит анализ ситуации, разработку модели и принимает решение о необходимости приобретения средства защиты, а его администрирование производится в рамках обычной работы подразделения информационных технологий. Противоположный вариант — приобретение средств защиты производится в рамках общей стратегии развития информационных технологий предприятия, а конкретные работы по установке и поддержке средства защиты производит служба информационной безопасности.

Как происходит взаимодействие со службой информационных технологий, а конкретно с администраторами сетей и систем?

  • Специалисты информационной безопасности имеют полный контроль над информационной системой, равный правам администратора системы.
  • Специалисты по безопасности принимают частичное участие в администрировании системы, например в настройке прав пользователей.
  • Специалисты по безопасности имеют доступ в информационной системе ко всем объектам, но имеют право только читать сведения о них.
  • Специалисты информационной безопасности не имеют доступа в систему, используют для контроля работы администраторов регистрационные журналы, конфигурационные отчеты и т. п.


Все эти варианты указаны преднамеренно, так как вопрос взаимоотношений службы безопасности и, скажем, администратора локальной сети может быть очень напряженным, особенно если служба только создается, а администратор уже несколько лет выполнял свои функции.

  • Как быть, если администратор действительно честно работает долгое время, а специалисты по безопасности только пришли в организацию, но требуют значительных прав в системе для себя и ограничения прав администратора? Что делать, если администратор в этом случае решил покинуть организацию?
  • А что если квалификация специалистов по безопасности по конкретной информационной системе значительно ниже, чем у администратора, и они могут, при наличии определенных прав, внести помехи в работу системы?
  • Что если система устроена таким образом, что для того, чтобы контролировать администратора, необходим полный контроль над всей системой?

Вопросов больше, чем ответов, решение необходимо принимать с учетом всех этих проблем.

Возможно, болезненный процесс передачи или разделения прав придется растянуть на продолжительный период, пока специалисты службы безопасности не приобретут соответствующий опыт, а администраторы постепенно не привыкнут к частичному, а затем и полному контролю.

Сколько ступеней принятия решения по вопросам информационной безопасности должно существовать?

Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово "безопасность" реагирует немедленным визированием всех документов).Если процесс согласования решения чересчур распределен по руководителям и растянут во времени, есть риск, что произойдет запаздывание в принятии жизненно важного решения (впрочем, как и для любой другой службы). Кроме того, если представители точек согласования не компетентны в вопросе безопасности, то много времени непродуктивно будет потрачено на выяснение проблем и согласование мнений.

  • Согласован ли процесс принятия решения по информационной безопасности с общей стратегией развития информационных технологий?
  • Не будут ли в информационном пространстве предприятия установлены средства защиты, которые внесут помехи в работу других информационных систем?


В данном случае существуют конкретные рекомендации, которые советуют подчинять службу информационной безопасности не напрямую директору, а некоему комитету по безопасности, в котором будут присутствовать, с одной стороны, специалисты, способные оценить качество предлагаемого решения, с другой — руководители, способные утвердить принятое решение к обязательному исполнению.

Обновлено: 11.03.2015