EASvZI/Лекции/П1.3.100_Категорирование_информационных_ресурсов/Гуркин.md

Категорирование информационных ресурсов

П1.3.100 Категорирование информационных ресурсов

Введение

Информационная безопасность – это состояние защищенности информационной среды. Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Однако, прежде чем защищать информацию, необходимо определить, какую именно информацию следует защищать и в какой степени. Для этого применяется категорирование (классификация) информации, т. е. установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям. Таким образом, категорирование информации можно назвать первым шагом на пути к обеспечению информационной безопасности организации.

Исторически сложилось, что при классификации информации ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом требования по обеспечению доступности и целостности часто не учитываются. Это неверный подход. Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации важнейшими свойствами являются доступность и целостность. Исходя из необходимости обеспечения различных уровней защиты информации можно ввести различные категории конфиденциальности, целостности и доступности.

1. Категории целостности информации**

Существуют три основных аспекта ИБ: доступность, конфиденциальность и целостность. Нарушения ИБ могут затрагивать лишь часть этих аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности. Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий.

Целостность информации – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество. Вводятся следующие категории целостности информации: Высокая – к данной категории относится информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба деятельности организации. Пример: Бухгалтерская отчетность, исходный код программного обеспечения банковской системы.

Низкая – к данной категории относится информация, несанкционированная модификация которой может привести к нанесению умеренного или незначительного ущерба деятельности организации. Пример: Внутренняя база знаний технической поддержки. Нет требований – к данной категории относится информация, к обеспечению целостности которой требований не предъявляется. Пример: Кэшированные данные веб-страниц.

Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как:

Низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие. Пример: Организация остается способной выполнять свою миссию, но эффективность основных функций оказывается заметно сниженной.

Умеренный, если потеря оказывает серьезное вредоносное воздействие. Пример: Компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной; организации причиняется значительный ущерб.

Высокий, если потеря оказывает тяжелое или катастрофически вредоносное воздействие. Пример: Компания теряет способность выполнять все или некоторые из своих основных функций; активам организации причиняется крупный ущерб.

Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов.

2. Минимальные (базовые) требования безопасности

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы.

Рисунок 2. Уровни информационной безопасности

Минимальные требования безопасности охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

Рисунок 3. Базовые требования безопасности к информации и ИС.

Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.

Примеры минимальных требований:

Оценка рисков: В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Планирование безопасности: Необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС. Кадровая безопасность: Обеспечить надежность должностных лиц, занимающих ответственные посты; обеспечить защиту информации при увольнении или перемещении сотрудников. Управление доступом: Обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям. Протоколирование и аудит: Создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной активности. Физическая защита: Предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу.

3. Выбор базового набора регуляторов безопасности с целью выполнения требований безопасности

Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности. Регуляторы безопасности подразделяются на: административные, процедурные и программно-технические.

Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.

Регуляторы безопасности для минимального уровня ИБ (примеры):

Рисунок 4. Регуляторы безопасности по уровням ИБ

Оценка рисков: Разработка официальной документированной политики оценки рисков. Категорирование данных и информационной системы, документирование результатов. Планирование безопасности: Разработка и реализация для информационной системы плана безопасности. Установление и доведение до сведения пользователей ИС набора правил поведения. Закупка систем и сервисов: Определение и выделение ресурсов, необходимых для адекватной защиты информационной системы. Включение в контракты на закупку требований безопасности.

Рисунок 5. Поддержание необходимого уровня безопасности

4. Дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ

Для умеренного уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.

Примеры регуляторов для умеренного уровня:

Оценка рисков: сканирование уязвимостей. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе. Закупка систем и сервисов: принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности. Физическая защита: мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. Планирование бесперебойной работы: тестирование плана. С заданной частотой тестируется план обеспечения бесперебойной работы информационной системы.

5. Дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ

На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.

Примеры регуляторов для высокого уровня:

Оценка рисков: сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы. Физическая защита: мониторинг физического доступа. Применяются автоматические механизмы, чтобы обеспечить выявление потенциальных вторжений и инициирование реакции на них. Планирование бесперебойной работы: запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых эксплуатационных возможностей и готовности к использованию в качестве производственной площадки. Управление конфигурацией: Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы.

6. Минимальные требования доверия для регуляторов безопасности

Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Эти процессы и действия выполняются для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты.

На минимальном уровне необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям. На** умеренном** уровне дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. На высоком уровне необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами.

Рисунок 6. Обеспечение информационной безопасности. Процессный подход.

Заключение: Категорирование информационных ресурсов является отправной точкой для построения целостной и эффективной системы информационной безопасности, позволяя сопоставить уровень защищенности информационной системы с ценностью обрабатываемой в ней информации и потенциальным ущербом от нарушения ее безопасности.