Что должно быть защищено

На первых нескольких страницах этой книги неоднократно повторялось, что политика информационной безопасности должна обеспечивать защиту выполнения задач компании или защиту делового процесса. Эти повторения делались по причине того, что общепринятой ошибкой является подход к компьютерам и программному обеспечению с технической точки зрения вместо того, чтобы выяснить, с какой целью они были вообще закуплены. Как мы помним, компьютеры являются средством для обработки интеллектуальной собственности компании, диски предназначены для хранения этой собственности, а сети — для свободного перемещения этой информации и участия ее во всех бизнес-процессах. Если мы примем это во внимание, то сможем разработать логичную, действенную политику безопасности.

Аппаратные средства и программное обеспечение

Средствами обеспечения бизнес-процессов являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности. Поэтому важно провести полную инвентаризацию системы, включая карту сети. Существует множество способов проведения инвентаризации или создания карты сети. Независимо от используемых методов необходимо удостовериться, что задокументировано ей. Ниже следует примерный перечень аппаратных средств и программного обеспечения, которые необходимо инвентаризовать. Возможно, для вашей системы этот список окажется неполным, вам следует самостоятельно решить, каким образом его модифицировать, чтобы он соответствовал задачам вашей компании.

Примерный инвентаризационный список

Аппаратные средстваПрограммное обеспечение
  • центральные процессоры
  • платы
  • клавиатуры
  • терминалы
  • рабочие станции
  • персональные компьютеры
  • принтеры
  • дисководы
  • коммуникации
  • терминальные серверы
  • маршрутизаторы
  • диагностическое оборудование
  • исходные программы
  • объектные программы
  • утилиты
  • диагностические программы
  • операционные системы
  • связные программы

Один из способов составления карты сети заключается в определении потоков информации в каждой системе. Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес-процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры по обеспечению живучести системы. В свою очередь, с помощью этой схемы можно определить, где должна храниться информация, включая базы данных, как эта информация должна перемещаться в системе, дублироваться, контролироваться и регистрироваться администратором.

Внекомпьютерные ресурсы

Инвентаризация, как и правила информационной безопасности, должна охватывать не только аппаратные средства и программное обеспечение. Должен еще быть перечень программной документации, документации на аппаратные средства, системы, административную инфраструктуру, а также прочая документация, описывающая все технологические процессы. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показывать области, которые могут быть атакованы. Следует помнить, что бизнес-процессы могут быть объектами как индустриального шпионажа, так и хакеров и оскорбленных служащих.

Схемы информационных потоков и живучести системы

Живучесть — это способность системы выполнять свои задачи и важные процессы во время атак, повреждений и аварийных ситуаций. Она основывается на исследованиях, проведенных координационным центром CERT (www.cert.org) университета Карнеги Меллон. Эти исследования показывают, что вместо того, чтобы использовать традиционную модель защиты типа крепости, сети нужно рассматривать как несвязанные независимые объекты с определенными маршрутами коммуникаций и специфическими надежными взаимосвязями.

Анализ системы на предмет живучести включает в себя определение требований к сети, предъявляемых со стороны особенностей ведения бизнеса, архитектуру сети, насколько она удовлетворяет этим требованиям, а также поиск компромиссных решений для обеспечения того, чтобы средства, обеспечивающие живучесть системы, не нарушали бизнес-процесс. Частью такого анализа является исследование потоков информации в системе. Исследование этих потоков и анализ критических процессов помогут выявить точки, в которых должны быть усилены меры защиты, а также показать, какие ограничения на архитектуру системы накладываются требованиями технологии.

Для получения дополнительной информации об исследованиях CERT на живучесть см. Приложение Б "Ресурсы".

Подобным образом должна быть проведена инвентаризация всех формуляров, бланков особого учета организации и других материалов с названием организации, используемых в качестве официальных бумаг. Использование бланков счет-фактур и бланков организации может дать кому-то возможность имитировать официальную деятельность компании и использовать информацию для похищения денег или даже дискредитации организации. Поэтому необходимо учитывать все эти бланки во время инвентаризации, чтобы можно было разработать правила защиты этих активов.

Учет трудовых ресурсов

Наиболее важным и ценным ресурсом компании является персонал, который работает и хранит активы компании, учтенные при инвентаризации. Учет персонала, задействованного в технологическом процессе компании и имеющего доступ к системам, данным и внекомпьютерным ресурсам, обеспечит понимание того, какие правила информационной безопасности необходимо разработать.

Учет персонала можно упростить вплоть до составления типовой схемы организации компании. Но может оказаться весьма обременительным включение тысячи или даже нескольких сотен служащих в один большой документ. Более того, структурные схемы организации пользуются дурной славой негибких документов, не предполагающих изменений или роста в структуре компании. Помимо этого, в инвентаризационный документ может быть включен тип работы, выполняемой подразделением, наряду с уровнем доступа служащих этих подразделений к данным предприятия. Например, если у компании имеется крупный отдел продаж, то создание структурной схемы этого подразделения с указанием имени каждого сотрудника, может спровоцировать самолюбивые устремления служащих, а сама схема перестанет служить по своему прямому назначению. Так что будет лучше, если структурная схема будет включать "Отдел продаж", помеченный отдельным номером, где точно может быть и не указана работа продавцов.

Положительный аспект такой реализации заключается в том, что руководство будет понимать, кто работает в организации и в каком подразделении. В качестве одного из этапов этого процесса руководство может увидеть дублирование работ, определить сильные и слабые стороны персонала, а также выявить узкие места в организационной структуре. Такой анализ похож на анализ живучести сетей с той разницей, что он проводится в социальной сфере. Руководителям не нужно напоминать, что они должны руководствоваться результатами такого анализа.