RSS
Внутренний аудит информационной безопасности
Описана методика ревизии информационной безопасности в организации, включающая такие основные направления проверки, как обработка персональных данных, защита конфиденциальной информации и локально-вычислительной сети, использование программного обеспечения.
Рекомендациями по стандартизации Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" понятие безопасности информации раскрывается как состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность.
Конфиденциальность - свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц. Целостность - неизменность информации в процессе ее передачи или хранения. Доступность - свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Объектами защиты информации являются информация, данные, ресурсы, носители информации, аппаратное обеспечение, программное обеспечение и коммуникации. Методы защиты: правовые, технические и организационные (регламентация взаимодействия на нормативно-правовой основе организации). Обратим внимание в первую очередь на организационно-правовую защиту, так как она менее затратная. Эта защита предусматривает наличие локально-нормативного документа; принципиальных, физических и логических схем информационного пространства организации; требований к информационному обмену (кто отвечает за разграничение доступа к информационным ресурсам, за настройку правил доступа на межсетевых экранах).
Многие организации используют информацию, которую необходимо защищать или по требованию законодательства (персональные данные), либо по требованию бизнеса, который стремится выжить в условиях жесточайшей конкуренции (коммерческая тайна). Далее по тексту будем использовать емкий термин "конфиденциальная информация". Но не в каждой организации имеется штат специалистов, которые смогут выявить брешь в системе защиты, закрыть слабые места и выполнить целый комплекс требований законодательства. Возникает вопрос, как имеющимися силами оценить существующее положение дел. Ведь аудит у специализированных организаций стоит довольно дорого. При этом, как правило, в этих организациях разрабатывается собственная методика, которая не раскрывается.
В связи с изложенным представляется целесообразным рассмотреть возможность самостоятельного проведения ревизии информационной безопасности. В рамках данной статьи аудит - это плановые проверки состояния системы, в нашем случае - системы информационной безопасности. Аудит позволяет не только однозначно идентифицировать проблему, но и разработать, а также реализовать мероприятия по устранению нежелательной ситуации. Аудит безопасности информации - это один из эффективных способов обеспечить безопасность информации внутри организации без излишних затрат или других убытков, связанных со случаями нарушения безопасности.
Напомним, что в результате невыполнения требований законодательства относительно обеспечения защиты персональных данных первые лица организаций могут быть привлечены к административной и уголовной ответственности. Аудит представляет собой процесс проверки наличия реализации в существующей системе установленных требований. Требований бывает множество.
Алгоритм аудита заключается в следующем:
- оценке текущего состояния, принятии решения по устранению рисков;
- выполнении решений по устранению рисков;
- контроле за выполнением решений по устранению рисков;
- оценке рисков.
В ходе оценки рисков следует установить, насколько точно и в каком объеме выполняются требования законодательства на предприятии, например по обработке конфиденциальной информации. Отсутствия некоторых требований в законодательстве могут быть компенсированы законами элементарной логики.
В ходе аудита осуществляется проверка по нескольким направлениям.
Для контроля за обработкой персональных данных необходимо ответить на следующие вопросы:
1. Обрабатываются ли персональные данные в организации?
2. Каков вид обработки персональных данных - автоматизированная, смешанная или без использования средств автоматизации обработка персональных данных?
3. Какие локально-нормативные документы регламентируют порядок обработки персональных данных? Соответствуют ли локально-нормативные документы организации требованиям законодательств?
4. Зарегистрирована ли организация в качестве оператора обработки персональных данных и кто выступает субъектом обработки персональных данных?
5. Получены ли у субъектов персональных данных согласия на обработку в письменной форме?
6. Соответствуют ли категории персональных данных, на которые получено согласие, категориям персональных данных, обрабатываемым в организации?
7. Соответствует ли количество согласий количеству субъектов персональных данных, которые должны давать такие согласия?
8. Удовлетворяет ли форма письменного согласия на обработку персональных данных субъекта обработки требованиям российского законодательства?
9. Какие информационные системы обработки персональных данных действуют в организации? Какое количество субъектов персональных данных обрабатывается в них? Какое количество субъектов персональных данных обрабатывается без использования средств автоматизации?
10. Обрабатываются ли персональные данные граждан, не связанных с организацией трудовыми отношениями? Если да, то какие категории персональных данных и каких граждан обрабатываются в организации?
11. Какая информация о работниках обрабатывается в организации? Существует ли перечень категорий персональных данных, обрабатываемых в организации? Есть ли необходимость обработки всех категорий персональных данных в организации?
12. Проведена ли классификация информационных систем обработки персональных данных в организации? Циркулируют ли персональные данные между информационными системами обработки персональных данных? Между какими системами циркулируют персональные данные? Какие категории персональных данных передаются по каналам связи? Каким образом обеспечивается защита каналов связи и циркулирующих по этим каналам персональных данных?
13. Проведены ли мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах?
14. Назначен ли работник или подразделение, ответственные за обеспечение безопасности персональных данных?
15. Проинформированы ли лица, обрабатывающие персональные данные, о факте обработки ими персональных данных, категориях персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации?
16. Обособлены ли персональные данные от иной информации? Фиксируются ли на одном материальном носителе персональные данные, цели обработки которых заведомо несовместимы? Есть ли письменные расписки об ознакомлении, соответствует ли количество расписок количеству лиц, обрабатывающих персональных данных?
17. Есть ли в организации типовые формы документов, характер информации в которых предполагает (или допускает) включение в них персональных данных?
18. Ведутся ли журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится организация?
19. Осуществляется ли обработка персональных данных таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальные носители) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ? Если да, то какие мероприятия для этого проводятся? Если не проводятся, то по какой причине? Соблюдаются ли при хранении материальных носителей условия, обеспечивающие сохранность персональных данных и исключающие не санкционированный к ним доступ? Как обеспечиваются такие условия? Кто ответственный за реализацию указанных мер, каким документом предусмотрена ответственность?
Для определения текущего состояния защиты конфиденциальной информации в организации необходимо получить ответы на вопросы:
1. Есть ли в организации информация, содержащая коммерческую тайну?
2. Есть ли в организации сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам?
3. Введен ли в организации документ, регламентирующий оборот конфиденциальной информации?
4. Введен ли в организации режим конфиденциальной информации? Если да, то определен ли перечень такой информации? Ограничен ли доступ к ней? Производится ли учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым такая информация была предоставлена или передана? Регулируются ли отношения по использованию конфиденциальной информации работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров? Наносится ли на материальные носители (документы), содержащие конфиденциальную информацию, гриф "Коммерческая тайна" с указанием обладателя этой информации?
5. Есть ли в организации конфиденциальная информация, переданная контрагентами? Если есть, то на каком основании передана данная информация? Какие меры по ее охране предусмотрены контрагентом? Какие меры принимаются для защиты информации контрагентов? Достаточны ли эти меры? Соответствуют ли они уровню защиты, оговоренному всеми сторонами?
Заметим, что мероприятия по охране конфиденциальности информации в рамках трудовых отношений должны отвечать требованиям Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (в ред. от 24.07.2007), а именно:
- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
6. Соответствует ли количество расписок количеству работников, допущенных до конфиденциальной информации?
Чтобы установить уровень защиты локально-вычислительной сети (далее - ЛВС) в организации, целесообразно ответить на вопросы:
- какие локально-нормативные документы регулируют безопасность локально-вычислительной системы в организации;
- контролируется ли порядок допуска работников к работе в ЛВС; если контролируется, то совпадает ли количество заявок на доступ к ЛВС с количеством допущенных к работе в ЛВС;
- каким образом контролируется деятельность работников в ЛВС;
- на основании каких документов предоставляется доступ к ЛВС контрагентам;
- совпадает ли количество контрагентов, допущенных к работе в ЛВС организации, с количеством контрагентов, фактически находящихся в ЛВС организации;
- каким образом контролируется деятельность контрагентов в ЛВС;
- существует ли реальная необходимость доступа контрагентов в ЛВС организации, есть ли возможность без ущерба для деятельности организации отключить контрагентов от ЛВС организации;
- каким образом защищается ЛВС организации при взаимодействии с ЛВС контрагентов;
- насколько политика взаимодействия ЛВС организации (настройки межсетевого экрана, граничного маршрутизатора и т.п.) и ЛВС контрагентов соответствует реальным потребностям в межсетевом взаимодействии; есть ли необходимость добавить или удалить правила взаимодействия;
- каков порядок получения доступа к ресурсам ЛВС работниками организации и работниками контрагентов;
- применяются ли дополнительные программные и аппаратные средства для защиты конфиденциальной информации в ЛВС;
- соответствует ли количество использующихся информационных систем количеству комплектов документов на внедрение информационных систем.
Текущее состояние использования программного обеспечения (далее - ПО), защищенного законом об авторском праве, характеризуют ответы на вопросы:
- соответствует ли количество рабочих станций количеству лицензий на клиентские версии операционных систем;
- совпадает ли количество серверов и лицензий на серверные версии операционных систем;
- соответствует ли количество лицензий на остальные программные продукты (далее - ПП) количеству ПП, обнаруженных в ходе выборочной проверки;
- проводились ли ранее мероприятия по упорядочиванию наименований и копий используемых ПП; каковы результаты данных мероприятий;
- как в организации отслеживается наличие контрафактного программного обеспечения.
Получив ответы на поставленные вопросы, представляется возможным достаточно полно оценить состояние системы информационной безопасности в организации. На основании анализа полученных данных разрабатываются мероприятия для устранения выявленных нарушений. Главная задача аудита - обратить внимание клиента на проблемные участки и предложить план совершенствования работы.
Необходимо также помнить, что выше представлен общий перечень вопросов, не учитывающий специфики обследуемого объекта. Поэтому данный перечень должен быть дополнен вопросами, характеризующими состояние информационной безопасности в конкретной организации.
Например, сначала нужно убедиться, что в организации существует перечень конфиденциальной информации. Затем проанализировать, насколько корректно подготовлен перечень, проверить его полноту и актуальность. Необходимо учитывать, что никакой внешний аудитор не сможет качественнее специалистов самой организации актуализировать этот перечень.
Исследуя физическую, логическую и принципиальную схемы корпоративной или локальной сети (информационное пространство организации), следует обратить внимание на то, сколько имеется точек соприкосновения с другими сетями, для чего эти контакты нужны, какие правила настроены на межсетевых экранах и т.д. Необходим постоянный контроль с целью устранять периодически возникающие каналы утечки информации или направления неэффективной траты средств на ПО. Вполне возможна ситуация, когда доступ к сети организации появится у тех, кому он не предназначен (например, при сдаче помещения в аренду забыли отключить розетку сети).
Для построения информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- защиту объектов (информация) информационной системы;
- защиту процессов, процедур и программ обработки информации;
- защиту каналов связи;
- подавление побочных электромагнитных излучений;
- управление системой защиты.
Наличие в организации долгосрочной стратегии развития информационного пространства и перечня разрабатываемых, внедряемых и внедренных информационных систем позволит обнаружить, что некоторые ПП, возможно, могут дублироваться или быть в перспективе не востребованы. При разработке автоматизированных комплексов или автоматизированных систем целесообразно решать вопросы, касающиеся получения исключительных прав на ПП, иначе организация изначально ставит себя в долгосрочную зависимость от разработчика. Передача исключительных прав собственности подразумевает передачу кодов на ПП специалистам организации-заказчика. Дополнительным положительным моментом для организации-заказчика является возможность проверки кода на наличие ошибок.
Отдельно стоит затронуть вопрос защиты информационного пространства от наличия в нем контрафактной продукции. Контроль за установленным в организации ПО может осуществляться в том числе с помощью автоматизированного инструмента выявления контрафактного ПО, которое позволяет провести инвентаризацию ПО, более отчетливо и точно представить положение дел, убедиться в существовании в организации контрафактной продукции.
Заметим, что наличие контрафактной продукции у руководителя организации создает риск привлечения к уголовной ответственности, предусмотренной ч. 2 ст. 146 УК РФ. Незаконное использование объектов авторского права или смежных прав наказывается штрафом в размере до 200 тыс. руб., или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, или направлением на обязательные работы на срок от 180 до 240 часов, или лишением свободы на срок до двух лет. Для организации возникают риски применения административных мер, предусмотренных п. 1 ст. 7.12 КоАП РФ, а именно привлечения к административной ответственности с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.
В зависимости от масштабов применяемых санкций существует угроза остановки деятельности как отдельных подразделений, так и всей организации в целом. Необходимо обратить особое внимание на те случаи, когда ПО передается или берется в аренду. Важную роль играют формулировки договора, например передача ПО в аренду отличается от передачи права пользования. Известно, что практически каждый производитель устанавливает свою индивидуальную политику использования ПО, которая отражена в лицензионном соглашении. Таким образом, вопрос должен решаться индивидуально в каждом конкретном случае.
Если в организации выявлено использование контрафактного ПО, то целесообразно принять следующие меры:
- обеспечить выявление и прекращение использования контрафактного ПО, включая самовольно установленное пользователями (игры, фильмы, музыка, другое ПО, не связанное с выполнением служебных обязанностей);
- ввести в регулярную практику проведение работы по выявлению контрафактного ПО и назначить ответственных лиц.
Для предотвращения несанкционированной установки ПО пользователями следует:
- сформировать перечень базового ПО, устанавливаемого на персональные компьютеры в организации;
- оформить порядок установки дополнительного ПО;
- определить ответственность пользователей за самостоятельную установку ПО;
- минимизировать количество пользователей с правами "администратор", позволяющими самостоятельно устанавливать ПО;
- провести разъяснительную работу среди пользователей корпоративной вычислительной сети (информационные рассылки);
- разработать мероприятия по приобретению лицензионного ПО.
С целью устранения нарушений, выявленных в ходе аудита, могут быть приняты решения:
- привлечь стороннюю организацию;
- ввести в штат организации специалистов, которые будут на постоянной основе заниматься выявленными проблемами;
- наделить дополнительной ответственностью, например, IT-специалистов; как показывает практика, это решение должно приниматься с особой осторожностью.
Р.Н.Сучков
Начальник сектора производственного контроля контрольно-ревизионного
управления компании ОАО "Томскнефть" ВНК, член НП "Институт внутренних аудиторов"
И.В.Сафронов
Начальник отдела информационно-технической безопасности управления экономической безопасности ОАО "Томскнефть" ВНК
Рекомендациями по стандартизации Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" понятие безопасности информации раскрывается как состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность.
Конфиденциальность - свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц. Целостность - неизменность информации в процессе ее передачи или хранения. Доступность - свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Объектами защиты информации являются информация, данные, ресурсы, носители информации, аппаратное обеспечение, программное обеспечение и коммуникации. Методы защиты: правовые, технические и организационные (регламентация взаимодействия на нормативно-правовой основе организации). Обратим внимание в первую очередь на организационно-правовую защиту, так как она менее затратная. Эта защита предусматривает наличие локально-нормативного документа; принципиальных, физических и логических схем информационного пространства организации; требований к информационному обмену (кто отвечает за разграничение доступа к информационным ресурсам, за настройку правил доступа на межсетевых экранах).
Многие организации используют информацию, которую необходимо защищать или по требованию законодательства (персональные данные), либо по требованию бизнеса, который стремится выжить в условиях жесточайшей конкуренции (коммерческая тайна). Далее по тексту будем использовать емкий термин "конфиденциальная информация". Но не в каждой организации имеется штат специалистов, которые смогут выявить брешь в системе защиты, закрыть слабые места и выполнить целый комплекс требований законодательства. Возникает вопрос, как имеющимися силами оценить существующее положение дел. Ведь аудит у специализированных организаций стоит довольно дорого. При этом, как правило, в этих организациях разрабатывается собственная методика, которая не раскрывается.
В связи с изложенным представляется целесообразным рассмотреть возможность самостоятельного проведения ревизии информационной безопасности. В рамках данной статьи аудит - это плановые проверки состояния системы, в нашем случае - системы информационной безопасности. Аудит позволяет не только однозначно идентифицировать проблему, но и разработать, а также реализовать мероприятия по устранению нежелательной ситуации. Аудит безопасности информации - это один из эффективных способов обеспечить безопасность информации внутри организации без излишних затрат или других убытков, связанных со случаями нарушения безопасности.
Напомним, что в результате невыполнения требований законодательства относительно обеспечения защиты персональных данных первые лица организаций могут быть привлечены к административной и уголовной ответственности. Аудит представляет собой процесс проверки наличия реализации в существующей системе установленных требований. Требований бывает множество.
Алгоритм аудита заключается в следующем:
- оценке текущего состояния, принятии решения по устранению рисков;
- выполнении решений по устранению рисков;
- контроле за выполнением решений по устранению рисков;
- оценке рисков.
В ходе оценки рисков следует установить, насколько точно и в каком объеме выполняются требования законодательства на предприятии, например по обработке конфиденциальной информации. Отсутствия некоторых требований в законодательстве могут быть компенсированы законами элементарной логики.
В ходе аудита осуществляется проверка по нескольким направлениям.
Для контроля за обработкой персональных данных необходимо ответить на следующие вопросы:
1. Обрабатываются ли персональные данные в организации?
2. Каков вид обработки персональных данных - автоматизированная, смешанная или без использования средств автоматизации обработка персональных данных?
3. Какие локально-нормативные документы регламентируют порядок обработки персональных данных? Соответствуют ли локально-нормативные документы организации требованиям законодательств?
4. Зарегистрирована ли организация в качестве оператора обработки персональных данных и кто выступает субъектом обработки персональных данных?
5. Получены ли у субъектов персональных данных согласия на обработку в письменной форме?
6. Соответствуют ли категории персональных данных, на которые получено согласие, категориям персональных данных, обрабатываемым в организации?
7. Соответствует ли количество согласий количеству субъектов персональных данных, которые должны давать такие согласия?
8. Удовлетворяет ли форма письменного согласия на обработку персональных данных субъекта обработки требованиям российского законодательства?
9. Какие информационные системы обработки персональных данных действуют в организации? Какое количество субъектов персональных данных обрабатывается в них? Какое количество субъектов персональных данных обрабатывается без использования средств автоматизации?
10. Обрабатываются ли персональные данные граждан, не связанных с организацией трудовыми отношениями? Если да, то какие категории персональных данных и каких граждан обрабатываются в организации?
11. Какая информация о работниках обрабатывается в организации? Существует ли перечень категорий персональных данных, обрабатываемых в организации? Есть ли необходимость обработки всех категорий персональных данных в организации?
12. Проведена ли классификация информационных систем обработки персональных данных в организации? Циркулируют ли персональные данные между информационными системами обработки персональных данных? Между какими системами циркулируют персональные данные? Какие категории персональных данных передаются по каналам связи? Каким образом обеспечивается защита каналов связи и циркулирующих по этим каналам персональных данных?
13. Проведены ли мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах?
14. Назначен ли работник или подразделение, ответственные за обеспечение безопасности персональных данных?
15. Проинформированы ли лица, обрабатывающие персональные данные, о факте обработки ими персональных данных, категориях персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации?
16. Обособлены ли персональные данные от иной информации? Фиксируются ли на одном материальном носителе персональные данные, цели обработки которых заведомо несовместимы? Есть ли письменные расписки об ознакомлении, соответствует ли количество расписок количеству лиц, обрабатывающих персональных данных?
17. Есть ли в организации типовые формы документов, характер информации в которых предполагает (или допускает) включение в них персональных данных?
18. Ведутся ли журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится организация?
19. Осуществляется ли обработка персональных данных таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальные носители) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ? Если да, то какие мероприятия для этого проводятся? Если не проводятся, то по какой причине? Соблюдаются ли при хранении материальных носителей условия, обеспечивающие сохранность персональных данных и исключающие не санкционированный к ним доступ? Как обеспечиваются такие условия? Кто ответственный за реализацию указанных мер, каким документом предусмотрена ответственность?
Для определения текущего состояния защиты конфиденциальной информации в организации необходимо получить ответы на вопросы:
1. Есть ли в организации информация, содержащая коммерческую тайну?
2. Есть ли в организации сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам?
3. Введен ли в организации документ, регламентирующий оборот конфиденциальной информации?
4. Введен ли в организации режим конфиденциальной информации? Если да, то определен ли перечень такой информации? Ограничен ли доступ к ней? Производится ли учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым такая информация была предоставлена или передана? Регулируются ли отношения по использованию конфиденциальной информации работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров? Наносится ли на материальные носители (документы), содержащие конфиденциальную информацию, гриф "Коммерческая тайна" с указанием обладателя этой информации?
5. Есть ли в организации конфиденциальная информация, переданная контрагентами? Если есть, то на каком основании передана данная информация? Какие меры по ее охране предусмотрены контрагентом? Какие меры принимаются для защиты информации контрагентов? Достаточны ли эти меры? Соответствуют ли они уровню защиты, оговоренному всеми сторонами?
Заметим, что мероприятия по охране конфиденциальности информации в рамках трудовых отношений должны отвечать требованиям Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (в ред. от 24.07.2007), а именно:
- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
6. Соответствует ли количество расписок количеству работников, допущенных до конфиденциальной информации?
Чтобы установить уровень защиты локально-вычислительной сети (далее - ЛВС) в организации, целесообразно ответить на вопросы:
- какие локально-нормативные документы регулируют безопасность локально-вычислительной системы в организации;
- контролируется ли порядок допуска работников к работе в ЛВС; если контролируется, то совпадает ли количество заявок на доступ к ЛВС с количеством допущенных к работе в ЛВС;
- каким образом контролируется деятельность работников в ЛВС;
- на основании каких документов предоставляется доступ к ЛВС контрагентам;
- совпадает ли количество контрагентов, допущенных к работе в ЛВС организации, с количеством контрагентов, фактически находящихся в ЛВС организации;
- каким образом контролируется деятельность контрагентов в ЛВС;
- существует ли реальная необходимость доступа контрагентов в ЛВС организации, есть ли возможность без ущерба для деятельности организации отключить контрагентов от ЛВС организации;
- каким образом защищается ЛВС организации при взаимодействии с ЛВС контрагентов;
- насколько политика взаимодействия ЛВС организации (настройки межсетевого экрана, граничного маршрутизатора и т.п.) и ЛВС контрагентов соответствует реальным потребностям в межсетевом взаимодействии; есть ли необходимость добавить или удалить правила взаимодействия;
- каков порядок получения доступа к ресурсам ЛВС работниками организации и работниками контрагентов;
- применяются ли дополнительные программные и аппаратные средства для защиты конфиденциальной информации в ЛВС;
- соответствует ли количество использующихся информационных систем количеству комплектов документов на внедрение информационных систем.
Текущее состояние использования программного обеспечения (далее - ПО), защищенного законом об авторском праве, характеризуют ответы на вопросы:
- соответствует ли количество рабочих станций количеству лицензий на клиентские версии операционных систем;
- совпадает ли количество серверов и лицензий на серверные версии операционных систем;
- соответствует ли количество лицензий на остальные программные продукты (далее - ПП) количеству ПП, обнаруженных в ходе выборочной проверки;
- проводились ли ранее мероприятия по упорядочиванию наименований и копий используемых ПП; каковы результаты данных мероприятий;
- как в организации отслеживается наличие контрафактного программного обеспечения.
Получив ответы на поставленные вопросы, представляется возможным достаточно полно оценить состояние системы информационной безопасности в организации. На основании анализа полученных данных разрабатываются мероприятия для устранения выявленных нарушений. Главная задача аудита - обратить внимание клиента на проблемные участки и предложить план совершенствования работы.
Необходимо также помнить, что выше представлен общий перечень вопросов, не учитывающий специфики обследуемого объекта. Поэтому данный перечень должен быть дополнен вопросами, характеризующими состояние информационной безопасности в конкретной организации.
Например, сначала нужно убедиться, что в организации существует перечень конфиденциальной информации. Затем проанализировать, насколько корректно подготовлен перечень, проверить его полноту и актуальность. Необходимо учитывать, что никакой внешний аудитор не сможет качественнее специалистов самой организации актуализировать этот перечень.
Исследуя физическую, логическую и принципиальную схемы корпоративной или локальной сети (информационное пространство организации), следует обратить внимание на то, сколько имеется точек соприкосновения с другими сетями, для чего эти контакты нужны, какие правила настроены на межсетевых экранах и т.д. Необходим постоянный контроль с целью устранять периодически возникающие каналы утечки информации или направления неэффективной траты средств на ПО. Вполне возможна ситуация, когда доступ к сети организации появится у тех, кому он не предназначен (например, при сдаче помещения в аренду забыли отключить розетку сети).
Для построения информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- защиту объектов (информация) информационной системы;
- защиту процессов, процедур и программ обработки информации;
- защиту каналов связи;
- подавление побочных электромагнитных излучений;
- управление системой защиты.
Наличие в организации долгосрочной стратегии развития информационного пространства и перечня разрабатываемых, внедряемых и внедренных информационных систем позволит обнаружить, что некоторые ПП, возможно, могут дублироваться или быть в перспективе не востребованы. При разработке автоматизированных комплексов или автоматизированных систем целесообразно решать вопросы, касающиеся получения исключительных прав на ПП, иначе организация изначально ставит себя в долгосрочную зависимость от разработчика. Передача исключительных прав собственности подразумевает передачу кодов на ПП специалистам организации-заказчика. Дополнительным положительным моментом для организации-заказчика является возможность проверки кода на наличие ошибок.
Отдельно стоит затронуть вопрос защиты информационного пространства от наличия в нем контрафактной продукции. Контроль за установленным в организации ПО может осуществляться в том числе с помощью автоматизированного инструмента выявления контрафактного ПО, которое позволяет провести инвентаризацию ПО, более отчетливо и точно представить положение дел, убедиться в существовании в организации контрафактной продукции.
Заметим, что наличие контрафактной продукции у руководителя организации создает риск привлечения к уголовной ответственности, предусмотренной ч. 2 ст. 146 УК РФ. Незаконное использование объектов авторского права или смежных прав наказывается штрафом в размере до 200 тыс. руб., или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, или направлением на обязательные работы на срок от 180 до 240 часов, или лишением свободы на срок до двух лет. Для организации возникают риски применения административных мер, предусмотренных п. 1 ст. 7.12 КоАП РФ, а именно привлечения к административной ответственности с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.
В зависимости от масштабов применяемых санкций существует угроза остановки деятельности как отдельных подразделений, так и всей организации в целом. Необходимо обратить особое внимание на те случаи, когда ПО передается или берется в аренду. Важную роль играют формулировки договора, например передача ПО в аренду отличается от передачи права пользования. Известно, что практически каждый производитель устанавливает свою индивидуальную политику использования ПО, которая отражена в лицензионном соглашении. Таким образом, вопрос должен решаться индивидуально в каждом конкретном случае.
Если в организации выявлено использование контрафактного ПО, то целесообразно принять следующие меры:
- обеспечить выявление и прекращение использования контрафактного ПО, включая самовольно установленное пользователями (игры, фильмы, музыка, другое ПО, не связанное с выполнением служебных обязанностей);
- ввести в регулярную практику проведение работы по выявлению контрафактного ПО и назначить ответственных лиц.
Для предотвращения несанкционированной установки ПО пользователями следует:
- сформировать перечень базового ПО, устанавливаемого на персональные компьютеры в организации;
- оформить порядок установки дополнительного ПО;
- определить ответственность пользователей за самостоятельную установку ПО;
- минимизировать количество пользователей с правами "администратор", позволяющими самостоятельно устанавливать ПО;
- провести разъяснительную работу среди пользователей корпоративной вычислительной сети (информационные рассылки);
- разработать мероприятия по приобретению лицензионного ПО.
С целью устранения нарушений, выявленных в ходе аудита, могут быть приняты решения:
- привлечь стороннюю организацию;
- ввести в штат организации специалистов, которые будут на постоянной основе заниматься выявленными проблемами;
- наделить дополнительной ответственностью, например, IT-специалистов; как показывает практика, это решение должно приниматься с особой осторожностью.
Р.Н.Сучков
Начальник сектора производственного контроля контрольно-ревизионного
управления компании ОАО "Томскнефть" ВНК, член НП "Институт внутренних аудиторов"
И.В.Сафронов
Начальник отдела информационно-технической безопасности управления экономической безопасности ОАО "Томскнефть" ВНК
Другие новости по теме:
Неавтоматизированная обработка персональных данных Неавтоматизированная обработка персональных данных в России и международное ... Разработка положения о защите персональных данных: что необходимо учесть? Реализация положений федерального закона 152 ФЗ "О защите персональных дан ... Построение систем обработки персональных данных Закон "О защите персональных данных": ответы на вопросы