СОЗДАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННО БЕЗОПАСНОСТЬ

В последнее время большинство российских компаний хорошо осознали важность создания системы управления информационной безопасностью предприятия. Клиентам важно знать, что соблюдается конфиденциальность их персональных и деловых данных. Инвесторам нужна уверенность в том, что бизнес и информационные активы организации защищены. Деловые партнеры надеются на функционирование компании без сбоев, которые могут быть вызваны ошибками в работе информационных систем, умышленными или неумышленными действиями персонала, вредоносным программным обеспечением и другими факторами. В целом, процесс управления безопасностью отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры безопасности.

Подход к построению систем управления ИБ, включая разработку процессов обеспечения ИБ, базируется на следующих методических рекомендациях и директивах:

• рекомендации ITIL (Information Technology Infrastructure Library, лучший мировой опыт в области организации работы ИТ-службы), а также модели управления ИТ-ресурсами и ИТ-сервисами Microsoft Operations Framework (MOF);
• рекомендацииMicrosoft service management function (SMF);
• стандарт ISO 27001.

Модель СУИБ формализуется в едином комплексе нормативных документов, в который входят:

1. концепция обеспечения ИБ;
2. политика информационной безопасности;
3. положение об информационной безопасности компании;
4. план обеспечения непрерывной работы и восстановления работоспособности информационной системы в кризисных ситуациях;
5. правила работы с защищаемой информацией;
6. журнал учета внештатных ситуаций;
7. план защиты информационных систем компании;
8. положение о правах доступа к информации;
9. инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к информационным ресурсам компании;
10. инструкция по внесению изменений в состав и конфигурацию технических и программных средств информационных систем;
11. аналитический отчет о проведенной проверке системы информационной безопасности;
12. положение о распределении прав доступа пользователей информационных систем;
13. положение по учету, хранению и использованию носителей ключевой информации;
14. план обеспечения непрерывности ведения бизнеса;
15. положение по резервному копированию информации;

Одной из наиболее ответственных и сложных задач, которые необходимо решить в процессе создания СУИБ, является проведение анализа рисков ИБ в отношении активов организации в выбранной области деятельности и принятие высшим руководством решения, о выборе мер противодействия обнаруженным рискам.

В процессе анализа рисков осуществляются следующие работы:

• идентификация всех активов в рамках выбранной области деятельности;
• определение ценности идентифицированных активов;
• идентификация угроз и уязвимостей для идентифицированных активов;
• оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении идентифицированных активов;
• выбор критериев принятия рисков;
• подготовка плана обработки рисков.

Выполнение всех указанных задач обычно осуществляется в соответствии с разрабатываемой процедурой анализа рисков, в которой определена методология и отражены организационные аспекты по каждой из задач.

Для полноценного анализа рисков на предприятии проведем ряд следующих мероприятий:

• анализ программно-аппаратных средств защиты Центра;
• анализ технических каналов утечки информации.

Рассмотрим перечень защитных мер для защиты от программных закладок:

• DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
• IP-адреса назначаются вручную администраторами,. DHCP не используется.
• На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC- и IP-фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCPSYN запросы.
• На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
• На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCPSYN Cookie.
• В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
• В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.

Данный вариант построения сети является самым подходящим с точки зрения обеспечения защиты информации хоть и более сложен и требует больших трудозатрат для реализации и поддержания.

При рассмотрении технических каналов утечки информации необходимо выделить три основные группы:

1. Первая группа – акустический и виброакустический каналы. Разговор можно подслушать: если через приоткрытую дверь, форточку или окно – канал утечки называется акустическим, а если с помощью стакана или докторского либо электронного стетоскопа через стенку, то виброакустическим.
2. Вторая группа – электроакустические каналы. Тоже утечка речи, но за счет преобразования звука в электрический сигнал, например, в динамиках системы оповещения, телефонов и т. д.

Следует отметить, что защита от утечки информации по этим каналам в соответствии с требованиями руководящих документов необходима при защите секретной информации, а для персональных данных – только тогда, когда используется так называемый голосовой ввод информации или ее воспроизведение с помощью аппаратуры звукоусиления.

3. Третья группа – побочные электромагнитные излучения и наводки (ПЭМИН). Требует более серьезного отношения, чем две предыдущие, поскольку защиту персональных данных от утечки за счет ПЭМИН руководящие документы требуют выполнять в полном объеме.

Таким образом, необходимо блокировать следующие технические каналы утечки информации: акустические и виброакустические; за счет акустоэлектрических преобразований; за счет побочных электромагнитных излучений и наводок.

В заключении следует отметить, что построение эффективной системы информационной безопасности в компании – это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании топ-менеджмент компании, ИТ-специалистов, консультантов по данной тематике, технических специалистов.

Список литературы:

1. Информационная безопасность [Текст]: учеб. пособие для студентов СПО / В. П. Мельников, С. А. Клейменов, А. М. Петраков. - 8-е изд., испр. – Москва: Академия, 2013. - 331, [1] с. - (Среднее профессиональное образование. Информатика и вычислительная техника). – студенты СПО. - ISBN 978-5-7695-9954-5: 566-50.
2. Машкина И.В. Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий: Дисс. д-ра техн. наук. – Изд. ГОУ ВПО Уфимский государственный авиационный технический университет, 2009. - 332 с.
3. Омельянчук А. Анализ угроз при проектировании систем технических средств охраны // Технологии защиты. 2008. №3 – 37-41 с.
4. Технические средства информатизации [Текст]: учеб. для СПО / Е. И. Гребенюк, Н. А. Гребенюк. - 8-е изд., стер. - Москва: Академия, 2013. – 349, [1] с. – (Среднее профессиональное образование. Информатика и вычислительная техника). - студенты СПО. - ISBN 978-5-4468-0149-7: 547-80.
5. Трунова А. А. Анализ каналов утечки конфиденциальной информации в информационных системах предприятий // Молодой ученый. – 2016. - №3. 69-72с.
6. Хорев А. А Техническая защита информации: учеб. пособие для студентов вузов. В 3-х т. Т. 1. Технические каналы утечки информации. М.: НПЦ «Аналитика», – 2010. 436 с.