- •1. До приема на работу – описание должности.
- •2. До заведения системного счета – обучение.
- •3. В процессе работы – администрирование.
- •3. При увольнении - ликвидация системного счета.
- •1 Часть. Практические правила по управлению информационной
- •7. Реализация и проверка выбранных мер .
- •8. Оценка остаточных рисков – возврат к п. 5
- •1. Удаленное чтение.
- •2. Доверенные субъекты.
- •3. Функционирование во времени.
1 Часть. Практические правила по управлению информационной
безопасностью. Предназначен для руководителей и сотрудников, отвечающих за планирование, реализацию и поддержание системы информационной безопасности.
Основные группы мероприятий по обеспечению ИБ:
политика безопасности;
общеорганизационные аспекты защиты;
классификация активов и управление ими;
безопасность персонала;
физической безопасности и безопасность окружающей среды;
администрирование систем и сетей;
управление доступом к системам и сетям;
разработка и сопровождение информационных систем;
управление бесперебойной работой организации;
контроль соответствия требованиям.
ПОЛИТИКА БЕЗОПАСНОСТИ
Введение – озабоченность высшего руководства проблемами ЗИ, основные цели защиты информации, модель угроз, принципы организации защиты информации.
Организационная структура ИБ - описание подразделений, комиссий, групп и т.д., отвечающих за работы в области ИБ.
Классификация – идентификация информационных активов (описание имеющихся в организации материальных и информационных ресурсов и необходимого уровня их защиты).
Управление персоналом - меры безопасности, применяемые к персоналу
(описание должностей с точки зрения ИБ, организация обучения персонала, порядок реагирования на нарушения ИБ и т.п.);
ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ ВЕРХНИЙ УРОВЕНЬ
Организация физической защиты – охрана периметра, противопожарные меры и др.;
Управление ИТ-инфраструктурой – описание подхода к управлению компьютерами и компьютерными сетями;
Управление доступом – общий подход и правила разграничения доступа к производственной информации;
Управление информационными системами - описание порядками разработки и сопровождения систем;
Обеспечение надежности – описание раздела, описывающего меры, направленные на обеспечение непрерывной работы организации.
ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ. СРЕДНИЙ УРОВЕНЬ.
вопросы по отдельным аспектам ИБ, важные для различных эксплуатируемых в организации систем. Например:
отношение к передовым (но, возможно, недостаточно проверенным) технологиям;
доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз
использование домашних компьютеров
применение пользователями неофициального программного обеспечения
И т.д.
Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации)
Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ (Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами )
Позиция организации по данному аспекту (полный запрет, процедура приемки и т.п.).
Роли и обязанности (кто дает разрешение, кто контролирует и т.п. ).
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.
ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ НИЖНИЙ УРОВЕНЬ
Политика безопасности нижнего уровня относится к конкретным информационным сервисам.
Включает два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации.
ПРОГРАММА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ
Верхний (центральный) уровень: Возглавляет лицо, отвечающее за информационную безопасность организации
управление рисками (оценка рисков, выбор эффективных средств защиты);
координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
стратегическое планирование;
контроль деятельности в области информационной безопасности.
И т.д.
Программа верхнего должна официально приниматься и поддерживаться руководством, иметь определенный штат и бюджет
Нижний (служебный) уровень: Цель - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов
какие следует использовать механизмы защиты;
как закупаются и устанавливаются технические средства;
Как осуществляется повседневное администрирование;
Как отслеживается состояние слабых мест
Лекция 7 (26.10.12)
ПРОГРАММА БЕЗОПАСНОСТИ. Синхронизация с жизненным циклом системы
Инициация. Выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.
Оценка критичности сервиса и обрабатываемой с его помощью информации
какого рода информация предназначается для обслуживания новым сервисом?
каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
есть ли какие-либо особенности нового сервиса (например, распределенность компонентов), требующие принятия специальных процедурных мер?
каковы требования к персоналу, имеющие отношение к безопасности (квалификация, благонадежность)?
каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?
Закупка. Составляются спецификации с учетом требований безопасности, прорабатываются варианты и выполняется собственно закупка.
Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией.
Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.
Обращается внимание на корректность конфигурирования, необходимость доп. регуляторов процедурного уровня. В конце - тестирование
Эксплуатация. Сервис работает, администрируется, модифицируется.
Требуется отслеживать изменения, соблюдение правил эксплуатации, проводить периодические проверки безопасности функционирования.
Выведение из эксплуатации. Переход на новый сервис.
Затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные
При работе с данными обратить внимание на возможность последующего их использования (носители)
Управление рисками. Общие принципы
Цель. Определить ситуации в процессе функционирования ИС, при которых ущерб окажется неприемлемо высок, и принять экономически оправданные меры защиты.
Актуально для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными.
Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или без анализа рисков на основе типовых решений
Уровень риска - функция вероятности реализации некоторой угрозы (использующей некоторые уязвимые места), и величины возможного ущерба.
Включает циклически чередующиеся действия, согласованные с ЖЦ ИС:
оценка (переоценка),
связанная с измерением рисков;
выбор эффективных и экономичных защитных средств (нейтрализация рисков).
Действия по отношению у рискам.
Ликвидация риска (устранение причины)
Уменьшение риска (за счет дополнительных защитных мер, в т.ч. замена риска)
Принятие риска (план действий на случай реализации)
Переадресация риска (страхование)
Управление рисками. Подготовительные этапы
1. Выбор анализируемых объектов и уровня детализации.
Для небольшой организации можно проанализировать всю инфраструктуру. Для крупной – придется чем-то жертвовать. Важно иметь карту ИС. Уязвимым может оказаться каждый компонент информационной системы
2. Выбор методологии. Необходимо получить количественную оценку риска, ответив на два вопроса: приемлемы ли существующие риски, если нет, то какие защитные средства стоит использовать.
Типичная оптимизационная задача.
Принципиальная трудность - в неточности исходных данных.
3. Идентификация активов. Анализ защищаемых ресурсов и ценностей организации, имеющих отношение к безопасности информации. Главный результат – детальная информационная структура организации и способы ее использования: Сеть, Аппаратура, Программные активы, Данные.
В каких узлах сети хранится ПО, и из каких узлов используется
Классификация данных по типам уровню конфиденциальности, места хранения, обработки, способы доступа.
Программные активы: ОС, ППО, инструментальные средства управления сетью и ИС
Сеть: оборудование – в аппаратные активы, ПО – в программные активы
4.Анализ угроз. На практике угроз гораздо больше, чем можно представить в обобщенном списке, многие имеют некомпьютерный характер.
Отказы, сбои, ошибки, поломки, повреждения
Побочные ЭМИ и наводки
Злонамеренные действия
Стихийные действия и побочные влияния
Угрозы возникают на разных этапах: в процессе эксплуатации, на заводе, во время ремонта и т.д.
5.Оценка рисков . Многообразие методик. Значимость экспертного подхода.
Дать количественную оценку вероятности Pi осуществления угрозы: Например, в баллах: 1 – низкая, 2 – средняя, 3 – высокая. Аналогично по ущербу Cj: 1-незначительный, 2-средний, 3 – высокий. В произведении Pi * Cj : {(1, 2), (3, 4), (6, 9)}
Существуют и более тонкие методики.
Важно: Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.
6. Выбор защитных мер . Рассматриваются недопустимо высокие риски
Учет не только прямых расходов на ПО и оборудование, но и расходов на внедрение, обучение, сопровождение
Комплексность целей: один механизм безопасности для нескольких прикладных сервисов
Совместимость с организационной и программно-аппаратной средой