|
|
@@ -0,0 +1,99 @@
|
|
|
+# Категорирование информационных ресурсов
|
|
|
+## П1.3.100 Категорирование информационных ресурсов
|
|
|
+
|
|
|
+### Введение
|
|
|
+> *Информационная безопасность* – это состояние защищенности информационной среды. Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Однако, прежде чем защищать информацию, необходимо определить, какую именно информацию следует защищать и в какой степени. Для этого применяется категорирование (классификация) информации, т. е. установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям. Таким образом, категорирование информации можно назвать первым шагом на пути к обеспечению информационной безопасности организации.
|
|
|
+
|
|
|
+Исторически сложилось, что при классификации информации ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом требования по обеспечению доступности и целостности часто не учитываются. Это неверный подход. Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации важнейшими свойствами являются доступность и целостность. Исходя из необходимости обеспечения различных уровней защиты информации можно ввести различные категории конфиденциальности, целостности и доступности.
|
|
|
+
|
|
|
+### 1. Категории целостности информации**
|
|
|
+Существуют три основных аспекта ИБ: **доступность, конфиденциальность и целостность**. Нарушения ИБ могут затрагивать лишь часть этих аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности. Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий.
|
|
|
+
|
|
|
+> *Целостность информации* – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество. Вводятся следующие категории целостности информации: Высокая – к данной категории относится информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба деятельности организации. Пример: Бухгалтерская отчетность, исходный код программного обеспечения банковской системы.
|
|
|
+
|
|
|
+**Низкая** – к данной категории относится информация, несанкционированная модификация которой может привести к нанесению умеренного или незначительного ущерба деятельности организации.
|
|
|
+Пример: Внутренняя база знаний технической поддержки.
|
|
|
+**Нет требований** – к данной категории относится информация, к обеспечению целостности которой требований не предъявляется.
|
|
|
+Пример: Кэшированные данные веб-страниц.
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности
|
|
|
+
|
|
|
+Потенциальный ущерб для организации оценивается как:
|
|
|
+
|
|
|
+**Низкий**, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие.
|
|
|
+Пример: Организация остается способной выполнять свою миссию, но эффективность основных функций оказывается заметно сниженной.
|
|
|
+
|
|
|
+**Умеренный**, если потеря оказывает серьезное вредоносное воздействие.
|
|
|
+Пример: Компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной; организации причиняется значительный ущерб.
|
|
|
+
|
|
|
+**Высокий**, если потеря оказывает тяжелое или катастрофически вредоносное воздействие.
|
|
|
+Пример: Компания теряет способность выполнять все или некоторые из своих основных функций; активам организации причиняется крупный ущерб.
|
|
|
+
|
|
|
+Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов.
|
|
|
+
|
|
|
+### 2. Минимальные (базовые) требования безопасности
|
|
|
+> **Минимальные (базовые)** требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы.
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 2. Уровни информационной безопасности
|
|
|
+
|
|
|
+Минимальные требования безопасности охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 3. Базовые требования безопасности к информации и ИС.
|
|
|
+
|
|
|
+Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
|
|
|
+
|
|
|
+Примеры минимальных требований:
|
|
|
+
|
|
|
+Оценка рисков: В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу.
|
|
|
+Планирование безопасности: Необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС.
|
|
|
+Кадровая безопасность: Обеспечить надежность должностных лиц, занимающих ответственные посты; обеспечить защиту информации при увольнении или перемещении сотрудников.
|
|
|
+Управление доступом: Обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям. Протоколирование и аудит: Создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной активности. Физическая защита: Предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу.
|
|
|
+
|
|
|
+### 3. Выбор базового набора регуляторов безопасности с целью выполнения требований безопасности
|
|
|
+Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности. Регуляторы безопасности подразделяются на: административные, процедурные и программно-технические.
|
|
|
+
|
|
|
+Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.
|
|
|
+
|
|
|
+Регуляторы безопасности для минимального уровня ИБ (примеры):
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 4. Регуляторы безопасности по уровням ИБ
|
|
|
+
|
|
|
+Оценка рисков: Разработка официальной документированной политики оценки рисков. Категорирование данных и информационной системы, документирование результатов.
|
|
|
+Планирование безопасности: Разработка и реализация для информационной системы плана безопасности. Установление и доведение до сведения пользователей ИС набора правил поведения. Закупка систем и сервисов: Определение и выделение ресурсов, необходимых для адекватной защиты информационной системы. Включение в контракты на закупку требований безопасности.
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 5. Поддержание необходимого уровня безопасности
|
|
|
+
|
|
|
+### 4. Дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ
|
|
|
+> Для **умеренного** уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.
|
|
|
+
|
|
|
+Примеры регуляторов для умеренного уровня:
|
|
|
+
|
|
|
+Оценка рисков: сканирование уязвимостей. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе. Закупка систем и сервисов: принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности.
|
|
|
+Физическая защита: мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. Планирование бесперебойной работы: тестирование плана. С заданной частотой тестируется план обеспечения бесперебойной работы информационной системы.
|
|
|
+
|
|
|
+### 5. Дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ
|
|
|
+На **высоком** уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.
|
|
|
+
|
|
|
+Примеры регуляторов для высокого уровня:
|
|
|
+
|
|
|
+Оценка рисков: сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы.
|
|
|
+Физическая защита: мониторинг физического доступа. Применяются автоматические механизмы, чтобы обеспечить выявление потенциальных вторжений и инициирование реакции на них.
|
|
|
+Планирование бесперебойной работы: запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых эксплуатационных возможностей и готовности к использованию в качестве производственной площадки.
|
|
|
+Управление конфигурацией: Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы.
|
|
|
+
|
|
|
+### 6. Минимальные требования доверия для регуляторов безопасности
|
|
|
+Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Эти процессы и действия выполняются для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты.
|
|
|
+
|
|
|
+> На **минимальном** уровне необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.
|
|
|
+> На** умеренном** уровне дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов.
|
|
|
+> На **высоком** уровне необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.
|
|
|
+
|
|
|
+
|
|
|
+Рисунок 6. Обеспечение информационной безопасности. Процессный подход.
|
|
|
+
|
|
|
+*Заключение:* Категорирование информационных ресурсов является отправной точкой для построения целостной и эффективной системы информационной безопасности, позволяя сопоставить уровень защищенности информационной системы с ценностью обрабатываемой в ней информации и потенциальным ущербом от нарушения ее безопасности.
|
