ТИБМЗИ 2010 Загинайлов
.pdf
Информационная безопасность
К О М П О Н Е Н Т Ы
Объекты |
|
Угрозы |
|
Политика |
|
Система |
ИБ |
|
объектам ИБ |
|
обеспечения |
|
обеспечения |
|
|
ИБ |
|
|||
|
|
|
|
|
ИБ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К О М П О Н Е Н Т Ы ИБ О Р Г А Н И З А Ц И И |
||||||
|
|
|
|
|
|
|
|
|
Угрозы |
|
Политика |
|
|
Активы |
|
|
|
ИБ |
|
Защитные |
|
|
|||||
|
Уязвимости |
|
|
|||
|
|
|
организации |
|
меры |
|
|
|
|
|
|
|
|
|
|
Риски |
|
|
|
|
|
|
|
|
|
|
|
Рисунок 4. 1 – Концептуальная модель информационной безопасности организации
С позиции управления информационной безопасностью организа-
ции информационная безопасность определяется, как свойство информации сохранять конфиденциальность, целостность и доступность.
С позиции безопасности системы информационных технологий, на которых основаны бизнес-процессы организации информационная
безопасность - это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Конфиденциальность - свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
Целостность- свойство сохранения правильности и полноты активов.
Доступность- свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
51
4.2 Объекты и угрозы информационной безопасности организации
Объекты обеспечения информационной безопасности. Объекты обеспечения информационной безопасности в контексте безопасности системы информационных технологий организации именуются активами.
Активы (А) - все, что имеет ценность для организации. Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства.
Могут существовать следующие типы активов (табл.4.1):
1. Информация/данные:
а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.);
б) информация в форме сообщений (информационные ресурсы - документы, закрепляющие права собственников организации на материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и.т.п.);
2. Информационная инфраструктура – ИТ, ИС, ИТКС (аппарат-
ные средства (например, компьютеры, принтеры), программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения), оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели), программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM)).
3.Продукция организации;
4.Услуги (например, информационные, вычислительные услуги).
5.Конфиденциальность и доверие при оказании услуг (например,
услуг по совершению платежей);
6.Персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллектуальной собственности и на доступ к информации и т.п.);
7.Правовой статус организации как объекта информационной сферы – юридического лица (права на объекты интеллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание
52
Табл.4.1 – Объекты обеспечения ИБ организации (активы)
Группы |
Непосредственные объекты (активы) |
объектов |
|
1. Информация |
а) информация в форме сведений (сведения об участ- |
/данные: |
никах организации, о состоянии рынка, престиж (имидж) |
|
организации и доброе имя участников организации и т.п.); |
|
б) информация в форме сообщений (документированная |
|
информация: документы, закрепляющие права собственников |
|
организации на материальные и нематериальные активы, доку- |
|
ментация бухгалтерского учёта, налоговые декларации, догово- |
|
ры на выполнение работ и оказание услуг, документация на вы- |
|
пускаемые изделия и.т.п.); |
|
в) информация (данные) - информационные ресурсы в |
|
информационных системах организации |
|
|
2. Объекты |
а) ИС и ИТКС (их информативные физические поля – |
информационной |
для ИОД) обеспечивающие бизнес-процессы организации; |
инфраструктуры |
б) ИТ и ИТТ, АСУ, системы связи и передачи данных, |
|
осуществляющие прием, обработку, хранение и передачу |
|
информации (например программное обеспечение и др.) |
|
в) помещения, предназначенные для ведения закры- |
|
тых переговоров, а также переговоров, в ходе которых огла- |
|
шаются сведения ограниченного доступа |
|
|
3. Интересы |
а) правовой статус организации как объекта информа- |
организации |
ционной сферы – юридического лица (права на объекты ин- |
|
теллектуальной собственности, на коммерческую тайну, на |
|
выполнение работ и оказание услуг, на доступ к общедоступ- |
|
ной информации государственных органов, и т.п., а также |
|
обязанности по предоставлению в уполномоченные государ- |
|
ственные органы сведений о результатах экономической дея- |
|
тельности, по предоставлению заинтересованным лицам до- |
|
кументов в случае направления заявки на участие в конкурсах |
|
и аукционах и т.п., ) |
|
б) персонал организации (его интересы по соблюдению |
|
режима персональных данных, права на объекты интеллекту- |
|
альной собственности и на доступ к информации и т.п.); |
|
в) интересы субъектов взаимодействия (партнёров) от- |
|
носительно активов (собственников (учредителей), инвесто- |
|
ры, заказчики и поставщики продукции и услуг ( в т.ч. лицен- |
|
зиары и правообладатели объектов интеллектуальной собст- |
|
венности), конфиденты коммерческой тайны |
|
|
4. Продукция |
а) продукция организации; |
и услуги |
б) услуги (например, информационные, вычислительные ус- |
|
луги); |
|
в) конфиденциальность и доверие при оказании услуг |
|
(например, услуг по совершению платежей). |
53
услуг, на доступ к общедоступной информации государственных органов, и т.п., а также обязанности по предоставлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п., )
Интересы организации в информационной сфере определяются совокупностью интересов субъектов организации и субъектов взаимодействия (партнёров) относительно активов:
1.Собственников (учредителей);
2.Руководителей организации (директора, менеджеры и др).
3.Персонал организации.
4.Инвесторы.
5.Заказчики продукции и услуг.
6.Поставщики продукции и услуг ( в т.ч. лицензиары и правообладатели объектов интеллектуальной собственности)
7.Конфиденты коммерческой тайны.
Угрозы информационной безопасности организации. С поняти-
ем угрозы неразрывно связаны понятия: инцидент информационной безопасности, уязвимость, риск:
угроза (T)- потенциальная причина инцидента, который может нанести ущерб системе или организации;
инцидент информационной безопасности (I) - любое непредви-
денное или нежелательное событие, которое может нарушить деятельность или информационную безопасность;
уязвимость (V) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами;
риск (R) - потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
4.3 Политика обеспечения информационной безопасности организации
В качестве основы действенной безопасности системы ИТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер.
54
В пределах организации соблюдается иерархия политик безопасности ( рис.4.2) от бизнес - политики организации в целом до политики безопасности конкретной ИТ (ИТТ).
|
Политика |
|
Политика |
|
Политика |
|
|
маркетинга |
|
безопасности ор- |
|
ИТТ |
|
|
организации |
|
ганизации |
|
организации |
|
|
|
|
|
|
|
|
Другие политики |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Политика |
|
|
|
|
|
|
информационной |
|
|
|
|
|
|
безопасности |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Политика |
|
|
|
|
|
|
безопасности |
|
|
|
|
|
|
ИТТ |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
Политика безопасности ИТТ конкретного подразделения или конкретной ИТТ
Рис.4.2 - Иерархия политик информационной безопасности в организации
Политика ИБ организации – это правила и процедуры (методы), которые следует соблюдать для достижения целей обеспечения информационной безопасности.
Цель: Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами.
55
Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопасности организации должна отражать более широкий круг аспектов политики организации, включая аспекты, которые касаются прав личности, законодательных требований и стандартов. Должна быть оформлена документально.
Политика безопасности информационных (информационно – телекоммуникационных) технологий - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационных (информационно-телекоммуникационных) технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Политика безопасности ИТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТ организации. Необходимо выработать и сохранять политику безопасности ИТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТ.
4.4 Система обеспечения информационной безопасности организации.
В логике стандарта ГОСТ Р ИСО/МЭК 13335-2006 система обес-
печения информационной безопасности организации может быть определена как совокупность защитных мер направленных на исключение или снижение до приемлемого уровня рисков, связанных с угрозами конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Состав элементов системы обеспечения информационной безопасности приведен на рис.4.3
Защитная мера (S) - сложившаяся практика, процедура или механизм обработки риска. Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.
Множество защитных мер определено в части 4 « Выбор защитных мер» ГОСТ Р ИСО/МЭК 13335, которая является руководством по выбору защитных мер с учетом потребностей и проблем безопасности организации.
Защитная мера может выполнять много функций безопасности и,
56
наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение, сдерживание, обнаружение,
Система обеспечения информационной безопасности
организации
Система менеджмента информационной безопасности (СМИБ) организации
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Субъекты |
|
|
|
|
|
|
Система |
|||||||
|
|
обеспечения |
|
|
|
менеджмента безопасности |
|||||||||||
|
|
|
ИБ |
|
|
|
|
|
системы ИТ |
||||||||
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Организаци- |
|
|
деятельнос |
|
|
Специальные |
|
|||||||||
|
|
||||||||||||||||
|
деятельнос |
|
|
|
|
|
деятельнос |
|
|||||||||
|
онные |
|
|
Физические |
|
|
защитные |
|
|||||||||
|
защитные |
|
|
защитные |
|
|
|
меры |
|
||||||||
|
меры |
|
|
|
меры |
|
|
(технического |
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
характера) |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.4.3 - Система обеспечения информационной безопасности организации
ограничение, исправление, восстановление, мониторинг, осведомление.
Области, в которых могут использоваться защитные меры, включают в себя: физическую среду; техническую среду (аппаратнопрограммное обеспечение и средства связи); персонал; администрирование.
Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие
57
ущерба культурной и социальной среде, в которой функционирует организация. Такими специфическими защитными мерами являются: политики и процедуры; механизмы контроля доступа; антивирусное программное обеспечение; шифрование; цифровая подпись; инструменты мониторинга и анализа; резервный источник питания; резервные копии информации.
Защитные меры связаны с работой аппаратных средств и механизмов, а также с процедурами, которые должны соблюдаться персоналом в организации.
Всё множество мер разделяется на три группы (рис.4.3).
Организационные защитные меры. К ним относятся:
-Политика обеспечения безопасности ИТ организации (Политика обеспечения безопасности системы ИТ, управление безопасностью ИТ (учреждение комитета по безопасности ИТ и назначения лица (уполномоченного по безопасности ИТ), ответственного за безопасность каждой системы ИТ), распределение ответственности и полномочий, организация безопасности ИТ, идентификация и определение стоимости активов, одобрение систем ИТ);
-Проверка соответствия безопасности установленным требова-
ниям (соответствие политики обеспечения безопасности ИТ защитным мерам, соответствие законодательным и обязательным требованиям);
-Обработка инцидента (отчет об инциденте безопасности, отчет
ослабых местах при обеспечении безопасности, отчет о нарушениях в работе программного обеспечения, управление в случае возникновения инцидента);
-Персонал (обязанности, соглашение о конфиденциальности, обучение, дисциплина, ответственность);
-эксплуатационные вопросы (оборудование ИТ и связанных с ним систем, управление резервами, документация, техобслуживание, мониторинг изменений, записи аудита и регистрация, Тестирование безопасности, управление носителями информации, обеспечение стирания памяти, распределение ответственности и полномочий, корректное использование программного обеспечения, управление изменениями программного обеспечения).
-Планирование непрерывности бизнеса (стратегия непрерывности бизнеса, план непрерывности бизнеса, проверка и актуализация плана непрерывности бизнеса, дублирование).
Физические защитные меры (должны применяться к зданиям, зонам безопасности, местам размещения ЭВМ и офисным помещениям). К физическим мерам относятся:
-материальная защита (защитные меры, применяемые для защи-
58
ты здания, включают в себя заборы, управление физическим доступом (пропускные пункты), прочные стены, двери и окна);
-противопожарная защита ( средства обнаружение огня и дыма, охранной сигнализации и подавления очага возгорания);
-защита от воды/других жидкостей (защита в случае возникно-
вения угрозы затопления);
-защита от стихийных бедствий (защищены от удара молнии и оснащены защитой от грозового разряда);
-защита от хищения (идентификация и инвентаризация ресурсов, проверка охраной и администраторами носителей конфиденциальной информации, выносимого оборудования, (например, съемных и сменных дисках, флэш-накопителях, оптических дисках, гибких дисках и др.)).
-энергоснабжение и вентиляция (альтернативный источник энер-
госнабжения и бесперебойного питания, поддержание допустимой температуры и влажности);
-прокладка кабелей ( защищены от перехвата информации, повреждения и перегрузки. Проложенные кабели должны быть защищены от случайного или преднамеренного повреждения).
Специальные защитные меры (меры технического характера).
Идентификация и аутентификация (на основе некоторой инфор-
мации, известной пользователю (пароли), на основе того, чем владеет пользователь (карточки (жетоны), смарт-карты с запоминающим устройством (ЗУ) или микропроцессором) и персонального идентификационного номера - PIN кода), на основе использования биометрических характеристик пользователя (отпечатки пальцев, геометрия ладони, сетчатка глаз, а также тембр голоса и личная подпись).
Логическое управление и аудит доступа для:
-ограничения доступа к информации, компьютерам, сетям, приложениям, системным ресурсам, файлам и программам;
-регистрации подробного описания ошибок и действий пользователя в следе аудита и при анализе записей для обнаружения и исправления нарушений при обеспечении безопасности.( Политика управления доступом, Управление доступом пользователя к ЭВМ, Управление доступом пользователя к данным, услугам и приложениям, Анализ и актуализация прав доступа, Контрольные журналы).
Защита от злонамеренных кодов: (вирусы; черви; троянские кони
(Сканеры, Проверки целостности, Управление обращением съемных носителей, Процедуры организации по защитным мерам (руководящие указания для пользователей и администраторов).
Управление сетью (Операционные процедуры (документация опе-
59
рационных процедур и установление порядка действий для реагирования на значительные инциденты безопасности), Системное планирование, Конфигурация сети (документирование, межсетевая защита), Разделение сетей (физическое и логическое), Мониторинг сети, Обнаружение вторжения.
Криптография (математический способ преобразования данных для обеспечения безопасности - помогает обеспечивать конфиденциальность и/или целостность данных, неотказуемость). С использование криптографии может осуществляться:
-защита конфиденциальности данных (с учётом законодательных и обязательных требований),
защита целостности данных (хэш-функции, цифровые подписи и/или другие),
- неотказуемость, -аутентичность данных,
-управление ключами (генерирование, регистрацию, сертификацию, распределение, установку, хранение, архивирование, отмену, извлечение и уничтожение ключей).
Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Выделяется три основных способа выбора защитных мер:
-согласно типу и характеристикам системы ИТ;
-согласно общим оценкам проблем и угроз безопасности;
-в соответствии с результатами детального анализа рисков.
4.5 Модель безопасности информационных технологий организации
Безопасность системы информационных технологий организации - это многоплановая организация процессов защиты, которую можно рассматривать с различных точек зрения. Взаимосвязь компонентов безопасности, показывающая, как активы могут подвергаться воздействию нескольких угроз, одна из которых является основой для модели, представлена на рисунке 4.3.
Набор угроз постоянно меняется и, как правило, известен только частично. Также со временем меняется и окружающая среда, и эти изменения способны повлиять на природу угроз и вероятность их возникновения.
Модель безопасности отображает:
окружающую среду, содержащую ограничения и угрозы, кото-
60