ЕСТЬ РЕШЕНИЕ Защита информационных ресурсов. Когда требует законодательство и когда не хочется рисковать ДИРЕКТОР ПО БЕЗОПАСНОСТИ Роман Идов, компания «SearchInform» Особого внимания требует защита тех информационных ресурсов, которые требует защищать действующее законодательство или которые подвержены неприемлемым для организации рискам. Самое сложное здесь – это, пожалуй, определиться с тем, что именно требует усиленной защиты. Впрочем, сами способы защиты тоже нельзя оставлять без внимания. ЗАКОНОДАТЕЛЬНЫЙ ЭКСКУРС Для начала, конечно же, неплохо ознакомиться, каким законодательством регулируются вопросы защиты информационных ресурсов. Помимо широко обсуждаемого в последнее время закона «О персональных данных», существует ряд других федеральных законодательных актов, требованиями которых нельзя пренебречь при организации системы защиты данных. Первым, конечно, стоит упомянуть Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот закон является базовым в области информационных технологий, а потому особенных практических рекомендаций от него ждать не стоит. Но ознакомиться с его текстом тому, кто специализируется на сфере обеспечения информационной безопасности, просто необходимо. Еще один сугубо теоретический, но от этого не менее важный документ – это Национальный стандарт 46 РФ «Защита информации. Основные термины и определения». Помимо них, в обязательном порядке стоит ознакомиться с такими документами, как Федеральный закон «О связи», Федеральный закон «О государственной тайне», Федеральный закон «О коммерческой тайне». Все эти законы регулируют ту сферу, в которой работает специалист по информационной безопасности, и по этой причине тому, кто претендует на звание подобного специалиста, необходимо быть с ними знакомым. Впрочем, все эти законы, будучи чрезвычайно важными в смысле регулирования правового поля, в котором осуществляется защита информации, не несут в себе тех практических рекомендаций и требований, которые оказывают наибольшее влияние на работу безопасника. Поэтому необходимо найти время и на изучение текстов второй группы законов. На них остановлюсь несколько подробнее. Федеральный закон «О защите персональных данных», пожалуй, известен сегодня не только специалистам по информационной безопасности, но и большинству рядовых граждан. Данный закон, среди прочего, определяет требования к информационным системам обработки персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним. Несколько менее «раскручен» Федеральный закон «О противодействии неправомерному использованию инсайдерской информации». Как отмечают юристы, это ЕСТЬ РЕШЕНИЕ Федеральный закон «О защите персональных данных», пожалуй, известен сегодня не только специалистам по информационной безопасности, но и большинству рядовых граждан. достаточно новый для российского правового поля Федеральный закон. Он определяет сведения, относящиеся к инсайдерской информации, обозначает перечень лиц, относящихся к инсайдерам, а также действия, относящиеся к манипулированию рынком. Также он устанавливает меры противодействия неправомерному использованию инсайдерской информации и манипулированию рынком и перечень запрещенных способов использования инсайдерской информации, обязанность и порядок ее раскрытия. Помимо этого, существует целый ряд индустриальных стандартов, регулирующих вопросы обеспечения информационной безопасности в конкретных областях. Так, к примеру, Федеральный закон «Об архивном деле» регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности. А те, кто работает в банковской сфере, наверняка сталкивались с таким документом, как Стандарт Банка России. Не стоит также забывать о том, что существует ряд международных стандартов, которые придется выполнять, если ваше руководство вдруг захочет украсить компанию сертификатами, свидетельствующими о ее высоком уровне и привлекающими крупных клиентов. Впрочем, сертификация в сфере ИБ – это тема особая, и, кроме банковской сферы и государственных организаций, мало кому по-настоящему интересная. С большинством из упомянутых законодательных актов можно ознакомиться по ссылкам: www.searchinform.ru/main/full-text-search-informationsecurity-laws.html и www.s-director.ru/docs/2.html НЕПРИЕМЛЕМЫЕ РИСКИ Для того чтобы понять, какие риски приемлемы, а какие – нет, их сначала необходимо оценить. Вы можете обратиться к консалтерам, которые сделают все за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешевый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов. В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и ее возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространенные методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объема статистических данных. После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить 47 РЕКЛАМА (495) 766 41 45 ЕСТЬ РЕШЕНИЕ вряд ли сможет стать серьезным препятствием для «любопытствующих», однако от излишне любознательных сотрудников и юных дарований-«хакеров» это весьма действенная защита. В последнее время появляется тенденция к усилению защиты, основанной на разграничении прав, инструментами мониторинга действий пользователя. Чаще всего таким средством выступает DLP-система с пассивным контролем (не блокирующая передаваемую информацию), хотя, например, в банковской сфере могут применяться и более сложные решения. как произведение трех величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета. На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы. ЭТАП ЗАЩИТЫ Конечно, достаточно сложно обобщить в одной статье весь спектр требований, которые предъявляют законодательные акты, а также дополнить их теми решениями, которые родила сама практика обеспечения информационной безопасности в различных организациях. Поэтому постараемся выделить самое основное. Практически для всех видов информационных ресурсов основными средствами их защиты являются следующие: • шифрование данных; • шифрование каналов связи; • разграничение прав доступа. В то время как криптографические средства защиты необходимо применять аккуратно (см. еще один Федеральный закон, № 128-ФЗ «О лицензировании отдельных видов деятельности»), разграничение доступа – это тот реальный способ защитить себя от лишних неприятностей, который может в неограниченных количествах использовать любая организация. Конечно, в случае, если корпоративными данными заинтересуются слишком уж всерьез, система разграничения прав доступа НЕМНОГО ПРАКТИКИ Под конец приведем пример использования DLP-системы для защиты одного из самых важных информационных активов организации – паролей от корпоративных информационных ресурсов. Причиной несанкционированного доступа к ним может стать не только злой умысел сотрудника, который специально передает пароль от такого ресурса своему сообщнику, но и банальная халатность. Ведь при пересылке идентификационных данных по незащищенным каналам существует риск того, что эти данные попадут в руки злоумышленников. Поэтому служба информационной безопасности должна отслеживать появление паролей от корпоративных информационных ресурсов в перехваченном корпоративном трафике. При поиске переданных паролей удобно воспользоваться функциями DLP-системы, например, «Контура информационной безопасности SearchInform», с обычным фразовым поиском, выбрав в качестве поисковых запросов сами пароли, либо фразы «логин пароль» и «login password». Из всех каналов передачи информации наиболее вероятна утечка паролей по таким каналам, как электронная почта, Skype, ICQ, MSN, Jabber, HTTP. Риск утечки паролей через внешние носители информации или распечатываемые на принтере документы не слишком велик, однако для полной уверенности можно контролировать на предмет утечки паролей и эти каналы, хотя это увеличит нагрузку на базу. В случае обнаружения утечки паролей необходимо провести срез активности пользователя для выяснения, являются ли его действия намеренным нарушением политики информационной безопасности или простой халатностью. Если, к примеру, пароли по незащищенным каналам пересылались новому сотруднику, необходимо разъяснить опасность подобного способа передачи информации. 49