Уровни конфиденциальности информации

Класс	Тип информации	Описание	Примеры
	Открытая информация	Общедоступная информация	Информационные бро­шюры, сведения, публи­ковавшиеся в СМИ
	Внутренняя информация	Информация, недоступ­ная в открытом виде, но не несущая никакой опасности при ее раскрытии	Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справоч­ник фирмы
	Конфиденциальная информация	Раскрытие информации ведет к значительным потерям на рынке	Реальные финансовые данные, планы, проек­ты, полный набор све­дений о клиентах, ин­формация о бывших и нынешних проектах с нарушениями этиче­ских норм
	Секретная информация	Раскрытие информации приведет к финансовой гибели компании	(зависит от ситуаций)

При работе с информацией 1-го класса конфиденциальности ре­комендуется выполнение следующих требований:

— осведомление сотрудников о закрытости данной информации;

— общее ознакомление сотрудников с основными возможными методами атак на информацию;

— ограничение физического доступа;

— полный набор документации по правилам выполнения опера­ций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

— расчет рисков атак на информацию;

— поддержание списка лиц, имеющих доступ к данной инфор­мации;

— по возможности выдача подобной информации под расписку (в том числе электронную);

— автоматическая система проверки целостности системы и ее средств безопасности;

— надежные схемы физической транспортировки;

— обязательное шифрование при передаче по линиям связи;

— схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

— детальный план спасения либо надежного уничтожения ин­формации в аварийных ситуациях (пожар, наводнение, взрыв);

— защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

— криптографическая проверка целостности информации.

Функции каждого человека, так или иначе связанного с конфи­денциальной информацией в организации, можно классифициро­вать и в некотором приближении формализовать. Подобное, общее описание функций носит название роли. В зависимости от разме­ров организации некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности пред­приятия. Он проводит расчет и перерасчет рисков, ответствен за поиск самой свежей информации об обнаруженных уязвимостях в используемом программном обеспечении и в целом в стандарт­ных алгоритмах.

Владелец информации — лицо, непосредственно работающее с данной информацией. Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных).

Поставщик аппаратного и программного обеспечения — обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в по­ставляемых им продуктах.

Разработчик системы и (или) программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодей­ствовать со специалистами по информационной безопасности.

Руководитель подразделения является промежуточным звеном между операторами и специалистами по информационной безо­пасности. Его задача — своевременно и качественно инструктиро­вать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Ру­ководители подразделений должны быть осведомлены обо всей поли­тике безопасности организации, но доводить до сведения подчинен­ных только те ее аспекты, которые непосредственно их касаются.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов в организации. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

— определение того, какие данные и насколько серьезно необ­ходимо защищать;

— определение того, кто и какой ущерб может нанести органи­зации в информационном аспекте;

— вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности в организации. Они получили об­разные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших ка­питальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы — злоумышленник. Ваши дей­ствия?» То есть служба информационной безопасности, основыва­ясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки инфор­мации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо за­щищать. Далее следует изучение текущего состояния системы ин­формационной безопасности с целью определения, что из класси­ческих методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится класси­фикация всех информационных объектов на классы в соответ­ствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение того, насколько серьезный ущерб мо­жет принести организации раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность та­кой атаки». Существует множество схем вычисления рисков, оста­новимся на одной из самых простых[4].

Ущерб от атаки может быть представлен неотрицательным числом:

1. — раскрытие информации принесет ничтожный моральный и финансовый ущерб организации;
2. — ущерб от атаки есть, но он незначителен, основные финансовые операции и положение организации на рынке не затронуты;
3. — финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально;
4. — значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов;
5. — потери очень значительны, организация на период до года те­ряет положение на рынке. Для ввосстановления положения требуются крупные финансовые займы;
6. — организация прекращает существование.

Вероятность атаки представляется неотрицательным числом:

1. — данный вид атаки отсутствует;
2. — реже, чем раз в год;
3. — около 1 раза в год;
4. — около 1 раза в месяц;
5. — около 1 раза в неделю;
6. — практически ежедневно.

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Затем составляется таблица рисков организации (табл. 8.3).

Таблица 8.3

Таблица рисков организации

Описание атаки	Ущерб	Вероятность	Риск (= Ущерб * Вероятность)
Спам (переполнение почтового ящика)
Копирование жесткого дис­ка из центрального офиса
…	…	…
Итого

 

На этапе анализа таблицы рисков задаются некоторым макси­мально допустимым риском, например значением 7. Сначала про­веряется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит, данная строка — это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7x2 = 14) с интегральным риском (ячейка «Ито­го»). Если интегральный риск превышает допустимое значение, значит, набирается множество мелких погрешностей в системе бе­зопасности, которые в сумме не дадут организации эффективно работать. В этом случае из строк выбираются те, которые дают са­мый значительный вклад в значение интегрального риска, и произ­водится попытка их уменьшить или устранить полностью.

На самом ответственном этапе производится собственно разра­ботка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объек­тивные проблемы, которые могут встать на пути реализации поли­тики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпора­ции, этические нормы общества.

После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае когда финансовые вло­жения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задава­лись максимально допустимым риском 7, и увеличение его на один или два пункта.

Завершается разработка политики безопасности ее утвержде­нием у руководства организации и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и как следствие модификация политики безопасности организации должны произ­водиться раз в два года.