Категорирование защищаемых ресурсов –установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Упрощенный алгоритм оценки защищенности объекта информатизации:

Инвентаризация информационных ресурсов и выявление защищаемой информации

Выявлениеисточников потенциально возможных угроз

Выявлениеуязвимыхзвеньев объекта информатизации

Составлениеперечня потенциально возможных угроз

Оценка возм-тиреализации и опасности угроз , составление перечня актуальных угроз

1. Если в файле имеется защищаемая информация , то весь файл подлежит защите и файлу присваивается соответствующий уровень важности;

2. с позиций обеспечения ее конфиденциальности полностью определяетсяприсвоенным ей грифом секретности или конфиденциальности. Для конфиденциальной информации гриф конфиденциальности определяется в зависимости от того, какой круг лиц имеет право ознакомления с ней, и определяется преимущественно пользователем;

3. Градация критичности информации с позиции обеспечения ее целостности или доступности определяется пользователем и зависит от уровня и приемлемости затрат (времени, трудовых ресурсов, финансовых средств) на восстановление целостности или доступности информации;

4. Исполняемые файлы прикладных программ, запуск которых обусловливает доступ к файлам с данными пользователя, имеют не меньшую важность с позиции обеспечения как целостности, так и их доступности, чем сами файлы с данными пользователя;

5. Файлы информации, нарушение целостности или доступности которых приводит к срыву работы ОС, имеют большую важность с позиции обеспечения их целостности или доступности, чем остальные хранящиеся в системе файлы;

6. Если в помещении хранится конфиденциальная информация или помещение выделено для конфиденциальных переговоров, то считается, что распространяемая в ходе разговоров должностных лиц или при передаче по линиям связи информация имеет высший уровень конфиденциальности, предусмотренный для данного помещения, то есть, возможна утечка информации с наибольшим уровнем критичности для данного помещения.

создание нормативно-методической основы для дифференц-го подхода к защ. ресурсов автоматиз. системы на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС организации и унификацию их настроек.

«высокая » - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства РФ (банковская тайна, персональные данные);

«низкая » - к данной категории относится конфиденциальная информация, не отнесенная к категории «высокая», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ей как собственнику информации действующим законодательством правами;

«нет требований » - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«высокая » - к данной категории относится информация, несанкционированная модификация или фальсификация которой может привести к нанесению значительного прямого ущерба организации, ее клиентам и корреспондентам, целостность и аутентичность кот.должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;

«низкая » - к данной категории относится инфа, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства организации (методами подсчета контрольных сумм, ЭЦП и т.п.);

«нет требований » - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Требуемые степени доступности функциональных задач:

«беспрепятственная доступность » – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

«высокая доступность » – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

«средняя доступность » – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«низкая доступность » – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата – несколько недель).

Категории АРМ. В зависимости от категорий решаемых на АРМ задач устан-ся 4 категории АРМ: «A », «B », «C » и «D ». К группе АРМ категории «A» относятся АРМ, на кот.решается хотя бы одна функц. задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй. К группе АРМ категории «B» относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй. К группе АРМ категории «C» относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.

Михаил Коптенков | © М. Коптенков

Информационная безопасность – это состояние защищенности информационной среды. Информационная безопасность должна рассматриваться как комплекс мер, среди которых нельзя выделить более или менее важные . Понятие информационной безопасности тесно связано с понятием защиты информации, которое представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, т. е. процесс, направленный на достижение состояния информационной безопасности. Однако, прежде чем защищать информацию, необходимо определить, какую именно информацию следует защищать и в какой степени. Для этого применяется категорирование (классификация) информации, т. е. установление градаций важности обеспечения безопасности информации и отнесение конкретных информационных ресурсов к соответствующим категориям. Таким образом, категорирование информации можно назвать первым шагом на пути к обеспечению информационной безопасности организации.

Исторически сложилось, что при классификации информации ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом требования по обеспечению доступности и целостности часто не учитываются или учитываются наравне с общими требованиями к системам обработки информации. Это неверный подход. Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой отсутствует, важнейшими свойствами являются: доступность, целостность и защищенность от неправомерного копирования . В качестве примера можно привести интернет-магазин, где важно постоянно поддерживать доступность к веб-сайту компании. Исходя из необходимости обеспечения различных уровней защиты информации можно ввести различные категории конфиденциальности, целостности и доступности.

1. Категории конфиденциальности защищаемой информации

Конфиденциальность информации – свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации.
Вводятся следующие категории конфиденциальности информации:
– – информация, являющаяся конфиденциальной в соответствии с требованиями законодательства, а также информация, ограничения на распространение которой введены решениями руководства организации, разглашение которой может привести к нанесению значительного ущерба деятельности организации.
– Конфиденциальная информация – информация, не являющаяся строго конфиденциальной, ограничения на распространение которой вводятся только решением руководства организации, разглашение которой может привести к нанесению ущерба деятельности организации.
– Открытая информация – к данной категории относится информация, обеспечения конфиденциальности которой не требуется.

2. Категории целостности информации

Целостность информации – свойство, при выполнении которого данные сохраняют заранее определенный вид и качество (остаются неизменными по отношению к некоторому фиксированному состоянию).
Вводятся следующие категории целостности информации:
– Высокая – к данной категории относится информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба деятельности организации.
– Низкая – к данной категории относится информация, несанкционированная модификация которой может привести к нанесению умеренного или незначительного ущерба деятельности организации.
– Нет требований – к данной категории относится информация, к обеспечению целостности которой требований не предъявляется.

3. Категории доступности информации

Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Вводятся следующие категории доступности информации:
– – доступ к информации должен обеспечиваться в любое время (задержка получения доступа к информации не должна превышать нескольких секунд или минут).
– Высокая доступность – доступ к информации должен осуществляться без существенных временных задержек (задержка получения доступа к информации не должна превышать нескольких часов).
– Средняя доступность – доступ к информации может обеспечиваться с существенными временными задержками (задержка получения информации не должна превышать нескольких дней).
– Низкая доступность – временные задержки при доступе к информации практически не лимитированы (допустимая задержка получения доступа к информации – несколько недель).

Из вышеперечисленного видно, что категории конфиденциальности и целостности информации напрямую зависят от величины ущерба деятельности организации при нарушении этих свойств информации. Категории доступности в меньшей степени, но также зависят от величины ущерба деятельности организации. Для определения величины ущерба используется его субъективная оценка и вводится трехуровневая шкала: значительный ущерб, умеренный ущерб и низкий ущерб (или отсутствие ущерба).
низкий , если потеря доступности, конфиденциальности и/или целостности информации оказывает незначительное негативное воздействие на деятельность организации, ее активы и персонал.
Незначительность негативного воздействия означает, что:
- организация остается способной выполнять свою деятельность, но эффективность основных функций оказывается сниженной;
- активам организации наносится незначительный ущерб;
- организация несет незначительные финансовые потери.
Ущерб деятельности организации оценивается как умеренный , если потеря доступности, конфиденциальности и/или целостности оказывает серьезное негативное воздействие на деятельность организации, ее активы и персонал.
Серьезность негативного воздействия означает, что:
- организация остается способной выполнять свою деятельность, но эффективность основных функций оказывается существенно сниженной;
- активам организации причиняется значительный ущерб;
- компания несет значительные финансовые потери.
Потенциальный ущерб для организации оценивается как значительный , если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое (катастрофическое) негативное воздействие на деятельность организации, ее активы и персонал, т. е.:
- организация теряет способность выполнять все или некоторые из своих основных функций;
- активам организации причиняется крупный ущерб;
- организация несет крупные финансовые потери.
Таким образом, оценивая ущерб деятельности организации при нарушении конфиденциальности, целостности и доступности информации и на основании этого определяя категории информации, можно выделить три ее типа: наиболее критичная, критичная и некритичная.

Определение типа информации осуществляется путем сопоставления категорий этой информации.
В таблице 1 приведено определение типа информации.

Категория конфиденциальности информации	Категория целостности информации	Категория доступности информации	Тип информации
Строго конфиденциальная информация	*	*
*	Высокая	*	Наиболее критичная информация
*	*	Беспрепятственная доступность	Наиболее критичная информация
Конфиденциальная информация	*	*	Критичная информация
*	Низкая	*	Критичная информация
*	*	Высокая доступность	Критичная информация
Открытая информация	Нет требований	Средняя доступность	Некритичная информация
Открытая информация	Нет требований	Низкая доступность	Некритичная информация

Таблица 1: Определение типа информации

Таким образом, категорирование информации является первым шагом к обеспечению информационной безопасности организации, так как, прежде чем что-то защищать, в первую очередь, стоит определить, что именно требуется защищать и в какой степени. Категорировать следует и пользовательскую, и системную информацию, представленную как в электронной форме, так и на материальном носителе. Для определения типа защищаемой информации необходимо определить, какой ущерб организации будет причинен при потере конфиденциальности, целостности и доступности такой информации.
В дальнейшем, определив, к какому типу какая информация относится, можно применять различные меры по защите каждого типа информации. Это позволит не только структурировать обрабатываемые в организации данные, но и наиболее эффективно внедрить и использовать подсистему управления доступом к защищаемой информации, а также оптимизировать затраты на обеспечение информационной безопасности.

Список литературы:
1. Безмалый В., Служба защиты информации: первые шаги, 2008 г., http://www.compress.ru/Article.aspx?id=20512
2. Гладких А. А., Дементьев В. Е., Базовые принципы информационной безопасности вычислительных сетей. Ульяновск: УлГТУ, 2009. – 156 с.

Проблему защиты информации сложно назвать надуманной. Со всех сторон мы слышим о взломах, вирусах, вредоносном программном обеспечении, атаках, угрозах, уязвимостях…

Информационная безопасность как система

Информационная безопасность - комплекс мер, среди которых нельзя выделить более важные. Информационную безопасность нельзя воспринимать иначе как комплекс. Здесь важно все! Нужно соблюдать меры защиты во всех точках сети, при любой работе любых субъектов с вашей информацией (под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и т.д. Способы реализации защиты мы в этой статье рассматривать не будем ввиду их огромного разнообразия.

Однако следует понимать, что обеспечить стопроцентную защиту невозможно. Вместе с тем нужно помнить: чем выше уровень защищенности, тем дороже система, тем более неудобной в использовании она получается для пользователя, что соответственно ведет к ухудшению защиты от человеческого фактора. Как пример вспомним, что чрезмерное усложнение пароля ведет к тому, что пользователь вынужден записывать его на бумажку, которую приклеивает к монитору, клавиатуре и пр.

Существует широкий спектр программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако стоит помнить, что самым уязвимым звеном в защите всегда остается человек ! Ведь работоспособность любого программного обеспечения зависит от качества его написания и грамотности администратора, который настраивает то или иное средство защиты.

Многие организации в связи с этим создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Вместе с тем нужно понимать, что нельзя взваливать на службу ИТ несвойственные ей функции. Об этом не раз уже говорилось и писалось. Итак, предположим, в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?

Начинать нужно с обучения сотрудников! И в дальнейшем сделать этот процесс регулярным. Обучение персонала основам защиты информации должно стать постоянной задачей отдела защиты информации. И делать это нужно не реже двух раз в год.

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности организации». Правильно ли это? На мой взгляд - нет. Перед тем как вы сядете писать этот огромный труд, вам нужно определиться со следующими вопросами:

• какую информацию вы обрабатываете?
• как ее классифицировать по свойствам?
• какими ресурсами вы обладаете?
• как распределена обработка информации по ресурсам?
• как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). О требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, в ряду общих требований к системам обработки информации.

Если такой взгляд еще можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо. Например, согласно требованиям украинского законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае, если эта информация не принадлежит государству).

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного копирования. Рассмотрим в качестве примера веб-сайт интернет-издания. На первом месте будет стоять, на мой взгляд, доступность и целостность информации, а не ее конфиденциальность. Оценивать и классифицировать информацию только с позиции и секретности по меньшей мере непродуктивно.

И объяснить это можно только узостью традиционного подхода к защите информации, отсутствием опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащих сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, назовем несколько категорий конфиденциальности и целостности защищаемой информации.

• совершенно конфиденциально - информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;
• конфиденциально - в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
• открытая - к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

• высокая - информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
• низкая - к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
• нет требований - к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

По степени доступности введем четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения:

• реальное время - доступ к задаче должен обеспечиваться в любое время;
• час - доступ к задаче должен осуществляться без существенных временны х задержек (задача решается каждый день, задержка не превышает несколько часов);
• день - доступ к задаче может обеспечиваться с существенными временны ми задержками (задача решается раз в несколько дней);
• неделя - временны е задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

Категорирование информации

1. Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
2. Категорирование всех задач, которые решаются на данном компьютере.
3. Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, нужно понять, что вы собираетесь защищать и какими ресурсами обладаете. Для этого необходимо провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите:

1. Для проведения инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В ее состав включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.
2. Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издается соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.
3. Для оказания помощи на время работы группы в подразделениях их руководителями должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
4. Данное распоряжение доводится под роспись всем руководителям соответствующих подразделений.
5. В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с применением компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях.
6. По окончании обследования составляется формуляр задач, решаемых в организации. Следует понимать, что одна и та же задача в разных подразделениях может называться по-разному и, наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств, применяемых при решении функциональных задач подразделения.

Следует учесть, что в ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Необходимо учитывать, что выявлять необходимо не только конфиденциальную информацию, но и ту, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе информации, обрабатываемой в организации, необходимо оценивать серьезность последствий, которые могут быть вызваны нарушением ее свойств. Для этого нужно проводить опросы (тестирование, анкетирование) работающих с ней специалистов. При этом в первую очередь стоит выяснить, кому выгодно незаконно использовать или воздействовать на эту информацию. Если не получается провести количественную оценку возможного ущерба, следует дать ему качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности при анализе задач, решаемых в организации, необходимо выявлять максимально допустимое время задержки результатов, периодичность их решения и серьезность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определенной степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав).

При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации.

По окончании анализа составляется «Список информационных ресурсов, подлежащих защите».

Затем данный список согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

По окончании данного этапа необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются (в плане доступности) все прикладные задачи, решаемые в подразделениях.

В дальнейшем с помощью специалистов службы ИТ и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) каждой задачи и внести в формуляр (конкретной задачи) сведения по группам пользователей данной задачи и указания по настройке применяемых при ее решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка имеющихся активных и пассивных сетевых ресурсов со списком оборудования (и его комплектности), закупленного организацией. Эта процедура реализуется с помощью соответствующего программного обеспечения, например Microsoft Sysytems Management Server. Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, создание фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и «логических бомб».

В связи с этим хотелось бы отдельно упомянуть о тенденции к использованию в нашей стране программного кода Open Source. Не спорю, это обеспечивает существенную экономию ресурсов. Однако, на мой взгляд, в таком случае проблема безопасности становится вопросом доверия уже не только к разработчику системы, но и к вашему администратору. А если вспомнить, сколько он получает, то нетрудно сделать вывод, что купить ваши секреты в данном случае намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит напомнить и о том, что большую часть успешных атак осуществили инсайдеры, то есть свои же сотрудники компании.

На мой взгляд, применять свободно распространяемое программное обеспечение при наличии потенциальной возможности нанесения серьезного ущерба можно лишь в случае, если оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие в нем логических бомб, всяческого рода закладок и «черных ходов». Причем организация-гарант должна нести материальную ответственность за свою гарантию, что, по-моему, невозможно. Однако выбор за вами.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше всего - электронной подписью разработчика). В дальнейшем при смене версий и появлении обновлений проверка программного обеспечения производится в обычном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате установки, цели, решаемых с помощью данного обеспечения задачах, фамилии и подписи лица, производившего установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации является анализ рисков организации, который должен стать основой для создания политики безопасности.

Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (Банком).

Защищаемые ресурсы информационной банковской системы (ресурсы ИБС подлежащие защите) - информация, функциональные задачи, каналы передачи информации, рабочие места, подлежащие защите с целью обеспечения информационной безопасности Банка, его клиентов и корреспондентов.

Защищаемое рабочее место (РМ) - объект защиты (персональный компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемого:

• местоположением, а также степенью его физической доступности для посторонних лиц (клиентов, посетителей, сотрудников, не допущенных к работе с РМ и т.п.);

  составом аппаратных средств;

  составом программных средств и решаемых на нем задач (определенных категорий доступности);

  составом хранимой и обрабатываемой на РМ информации (определенных категорий конфиденциальности и целостности).

Формуляр РМ - документ установленной формы (Приложение 3), фиксирующий характеристики РМ (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на РМ задач и др.) и удостоверяющий возможность эксплуатации данного РМ (свидетельствующий о выполнении требований по защите обрабатываемой на РМ информации в соответствии с категорией данного РМ).

Защищаемая задача - функциональная задача, решаемая на отдельном РМ, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:

• совокупностью используемых при решении ресурсов (программных средств, наборов данных, устройств);

  периодичностью решения;

  максимально допустимым временем задержки получения результата решения задачи.

Формуляр задачи - документ установленной формы (Приложение 2), фиксирующий характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).

Защищаемый канал передачи информации - путь, по которому передается защищаемая информация. Каналы делятся на физические (от одного устройства к другому) и логические (от одной задачи к другой).

Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Доступность информации (задачи) - свойство системы обработки (среды), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

1. Общие положения

1.1. Настоящим Положением вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов информационной системы, подлежащих защите (отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба Банку, ее клиентам и корреспондентам в случае несанкционированного вмешательства в процесс функционирования ИБС и нарушения целостности или конфиденциальности обрабатываемой информации, блокирования информации или нарушения доступности решаемых ИБС задач).

1.2. Категорирование ресурсов (определение требований к защите ресурсов) ИБС является необходимым элементом организации работ по обеспечению информационной безопасности Банка и имеет своими целями:

создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, каналов, РМ) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по РМ ИБС и унификацию их настроек.

2. Категории защищаемой информации

2.1. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в ИБС, а также с учетом возможных путей нанесения ущерба Банку, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.

«ВЫСОКАЯ» - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (банковская тайна, персональные данные);

«НИЗКАЯ» - к данной категории относится конфиденциальная информация, не отнесенная к категории «ВЫСОКАЯ», ограничения на распространение которой вводятся решением руководства Банка в соответствии с предоставленными ей как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами;

«НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба Банку, ее клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства;

«НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба Банку, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства Банка (методами подсчета контрольных сумм, ЭЦП и т.п.);

«НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

2.2. С целью упрощения операций по категорированию задач, каналов и РМ категории конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: «жизненно важная», «очень важная», «важная» и «не важная». Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии с Таблицей 1.

Таблица 1

1 – «Жизненно важная» информация

2 – «Очень важная» информация

3 – «Важная» информация

4 – «Не важная» информация

3. Категории функциональных задач

3.1. В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени доступности функциональных задач.

Требуемые степени доступности функциональных задач:

«БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

«ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

«СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

3.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: «первая», «вторая», «третья» и «четвертая» (в соответствии с Таблицей 2).

Таблица 2

Определение категории функциональной задачи
Обобщенная категория информации	Требуемая степень доступности задачи
	«Беспрепятственная доступность»	«Высокая доступность»	«Средняя доступность»	«Низкая доступность»
«Жизненно важная»	1	1	2	2
«Очень важная»	1	2	2	3
«Важная»	2	2	3	3
«Не важная»	2	3	3	4

4. Требования по обеспечению безопасности каналов передачи защищаемой информации (категории каналов)

4.1. Требования по обеспечению безопасности (категории) логического канала передачи защищаемой информации определяются по максимальной категории двух задач, между которыми данный канал установлен.

5. Категории РМ

5.1. В зависимости от категорий решаемых на РМ задач устанавливаются четыре категории РМ: «A», «B», «C» и «D».

5.3. К группе РМ категории «B» относятся РМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном РМ, должны быть не ниже третьей и не выше второй.

5.4. К группе РМ категории «C» относятся РМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном РМ, должны быть не выше третьей.

Таблица 3

5.6. Требования по обеспечению безопасности РМ различных категорий (по применению соответствующих мер и средств защиты) приведены в Приложении 5.

6. Порядок определения категорий защищаемых ресурсов ИБС

6.1. Категорирование проводится на основе инвентаризации ресурсов информационной банковской системы (РМ, задач, информации) и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов ИБС, подлежащих защите.

6.2. Ответственность за составление и ведение перечней ресурсов ИБС возлагается:

в части составления и ведения перечня РМ (с указанием их размещения, закрепления за подразделениями Банка, состава и характеристик, входящих в его состав технических средств) - на Управление информационных технологий (далее УИТ);

в части составления и ведения перечня системных и прикладных (специальных) задач, решаемых на РМ (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отдел технического обеспечения УИТ.

6.3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных РМ (информационным ресурсам и задачам) возлагается на подразделения Банка, которые непосредственно решают задачи на данных РМ (владельцев информации), и отдел информационной безопасности.

6.4. Утверждение назначенных в соответствии с настоящим «Положением о категорировании ресурсов ИБС» категорий информационных ресурсов ИБС производится Председателем Правления Банка.

6.6. Категорирование ресурсов ИБС может осуществляться последовательно для каждого РМ в отдельности с последующим объединением и формированием единых перечней ресурсов ИБС подлежащих защите:

перечня информационных ресурсов ИБС, подлежащих защите (Приложение 2);

перечня подлежащих защите задач (совокупности формуляров задач);

перечня подлежащих защите РМ (совокупности формуляров РМ).

На первом этапе работ по категорированию ресурсов конкретного РМ производится категорирование всех видов информации, используемой при решении задач на данном РМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в «Перечень информационных ресурсов, подлежащих защите».

На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном РМ.

На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных РМ). 6.7. Переаттестация (изменение категории) информационных ресурсов ИБС производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.

Переаттестация (изменение категории) функциональных задач производится при изменении обобщенных категорий информационных ресурсов, используемых при решении данной задачи, а также при изменении требований к доступности функциональных задач.

Переаттестация (изменение категории) логических каналов производится при изменении категорий взаимодействующих задач.

Переаттестация (изменение категории) РМ производится при изменении категорий или состава решаемых на данных РМ задач.

6.8. Периодически (раз в год) или по требованию руководителей структурных подразделений Банка производится пересмотр установленных категорий защищаемых ресурсов на предмет их соответствия реальному положению дел.

7. Порядок пересмотра Положения

7.1. В случае изменения требований по защите РМ различных категорий пересмотру (с последующим утверждением) подлежит Приложение 5.

7.2. В случае внесения изменений и дополнений в «Перечень информационных ресурсов, подлежащих защите» пересмотру (с последующим утверждением) подлежит Приложение 4.

Приложение 1 - Методика категорирования защищаемых ресурсов

Настоящая методика предназначена для уточнения порядка проведения работ по категорированию защищаемых ресурсов в ИБС Банка в соответствии с «Положением о категорировании ресурсов информационной банковской системы». Категорирование предполагает проведение работ по обследованию подсистем ИБС и структурных подразделений Банка и выявлению (инвентаризации) всех ресурсов ИБС, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

1. Для проведения информационного обследования всех подсистем информационной системы Банка и проведения инвентаризации ресурсов ИБС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты отдела информационной безопасности и Управления информационных технологий Банка (осведомленные в вопросах технологии автоматизированной обработки информации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение Председателя Правления Банка, в котором, в частности, даются указания всем начальникам структурных подразделений Банка об оказании содействия и необходимой помощи рабочей группе в проведении работ по обследованию ИБС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.

2. В ходе обследования конкретных подразделений Банка и информационных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием ИБС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.

3. Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (Приложение 2). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.

4. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб Банку, ее клиентам или корреспондентам.

5. При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

6. Информация об оценках вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).

7. При составлении перечня и формуляров функциональных задач, решаемых в Банке необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). Оценки вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

8. Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

9. Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых им прав).

10. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения Банка (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите» (в колонки 2 и 3).

11. Затем Перечень согласовывается с руководителями Управления безопасности, УИТ и Отдела информационной безопасности и выдвигается на рассмотрение Комитета по управлению информационной безопасностью.

12. При рассмотрении Перечня Комитетом по управлению информационной безопасностью в него могут вноситься изменения и дополнения. Подготовленный вариант «Перечня информационных ресурсов, подлежащих защите» представляется на утверждение Председателю Правления Банка.

13. В соответствии с указанными в утвержденном «Перечне информационных ресурсов, подлежащих защите» категориями конфиденциальности и целостности определяется обобщенная категория каждого вида информации (в соответствии с таблицей 1 Положения о категорировании).

14. На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями операционных подразделений Банка и согласованных с Управлением безопасности и УИТ, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием ИБС (Таблица 2 Положения о категорировании ресурсов). Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным РМ не производится.

В дальнейшем, с участием специалистов УИТ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих РМ, на которых будет решаться данная задача, и для контроля правильности их установки.

15. Затем производится категорирование всех логических каналов между функциональными задачами. Категория канала устанавливается исходя из максимальной категории задач, участвующих во взаимодействии.

16. На последнем этапе происходит категорирование РМ. Категория РМ устанавливается, исходя из максимальной категории специальных задач, решаемых на нем (либо категории информации, используемой при решении общих задач). На одном РМ может решаться любое количество задач, категории которых ниже максимально возможной на данном РМ, не более чем на единицу. Информация о категории РМ заносится в формуляр РМ.

Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой :

1. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.

2. Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.

Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.

1. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.

2. Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.

Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.

План защиты

Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:

1. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.

3. Ответственность. Список ответственных сотрудников и зон ответственности.

4. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.

5. Пересмотр положений плана, которые должны периодически пересматриваться.

Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.

Положения о безопасности

При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения :

1. никто, кроме руководства, не может принять основополагающих решений в области политики компьютерной безопасности;

2. никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности;

3. никакая внешняя организация или группа специалистов жизненно не заинтересованы в экономической эффективности мер безопасности.

К области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранимых и обрабатываемых компьютерной системой. Во многих случаях существует путаница между понятиями конфиденциальности (секретности) и важности информации.