- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Цели создания системы обеспечения информационной безопасности
Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, её носители и процессы обработки.
Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Обеспечение информационной безопасности — это непрерывный процесс, основное содержание которого составляет управление рисками через управление людьми, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи АС, — являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только её функциональность (эффективность решения задач), но и её безопасность.
Уровень информационной безопасности организации существенно зависит от деятельности следующих категорий сотрудников и должностных лиц организации (см. Рис. 2.8.1):
сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;
программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);
сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;
системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
сотрудников подразделения защиты информации, оценивающих состояние безопасности ИТ, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам обеспечения безопасности ИТ (аналитиков), внедряющих иадминистрирующих специализированные дополнительные средства защиты (администраторов безопасности);
руководителей организации, определяющих цели и задачи функционирования АС, направления её развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.
Кроме того, на безопасность ИТ организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удалённо.
Субъекты, влияющие на состояние безопасности ИТ
Влияние на безопасность информационных технологий со стороны руководства организации
Руководство принимает стратегические решения по вопросам обеспечения безопасности ИТ и утверждает основные документы, регламентирующие порядок функционирования и развития АС, обеспечивающий безопасную обработку и использование защищаемой информации
Руководство определяет критичность процессов, ресурсов и степень их защиты, а также координирует деятельность по управлению и распределению обязанностей по обеспечению безопасности ИТ между службами безопасности и автоматизации.
Без понимания руководством важности решения проблемы безопасности ИТ и поддержки комплекса мер обеспечения безопасности ИТ - эффективную систему обеспечения безопасности создать нельзя.
Руководство должно признать комплекс мер по обеспечению безопасности ИТ частью производственного процесса.
Как сказано в стандарте ISO 27002 (BS 7799) высшее руководство должно поставить чёткую цель и показать свою поддержку и заинтересованность в вопросах безопасности ИТ, распространение политики безопасности ИТ среди сотрудников организации. В организации должны проводиться регулярные совещания руководства по вопросам корректировки политики безопасности ИТ и координации действий персонала.
Чтобы добиться понимания и осознания важности проблем безопасности ИТ необходимо осуществлять постоянное воздействие на руководителей, показывая актуальность данной проблемы — учить (информировать, образовывать) на чужих и собственных примерах (инцидентах). В этих целях можно использовать различные меры и способы, например такие как:
извлечение максимальной пользы из любых случившихся инцидентов с акцентом на важность решений вопросов по обеспечению безопасности ИТ;
организация собственных показательных мероприятий (например, демонстрация слабости парольной защиты). Проведение подобных мероприятий требует предварительного согласования с руководством, документального оформления и осторожности при реализации.
демонстрация реальных документов других организаций по вопросам обеспечения безопасности ИТ.
Влияние на безопасность информационных технологий со стороны Службы безопасности
Наиболее значимым звеном, оказывающим влияние на безопасность ИТ организации, являются аналитики и администраторы средств защиты, контроля и управления безопасностью.
Аналитики отвечают за анализ состояния безопасности ИТ, определение требований к защищённости различных подсистем АС и выбор методов и средств защиты.
Администраторы средств защиты, контроля и управления безопасностью отвечают за эффективное применение специализированных средств защиты.
Влияние на безопасность информационных технологий со стороны подразделения автоматизации
Наиболее существенное влияние на безопасность ИТ организации в подразделении автоматизации оказывают специалисты подразделений разработки, внедрения и сопровождения ПО, эксплуатации технических средств и общего программного обеспечения, системные администраторы.
Программисты осуществляют разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации. Влияние программистов может быть непреднамеренным (ошибки) и преднамеренным (закладки, люки). Практика показывает, что ошибки кода всегда присутствуют в любой программе.
Подразделение внедрения и сопровождения ПО обеспечивает нормальное функционирование прикладных программ (задач).
Подразделение эксплуатации обеспечивает нормальную работу и обслуживание технических (вычислительных средств и средств телекоммуникации) и общего (системного) программного обеспечения.
Администраторы серверов, приложений, баз данных и т.п. отвечают за эффективное применение штатных средств защиты и разграничения доступа всех используемых ОС и СУБД.
Для обеспечения безопасности ИТ необходимо повышение ответственности на основе регламентации процессов разработки, отладки и внедрения ПО (необходимо разделить сотрудников на группы разрабатывающих, тестирующих, внедряющих и сопровождающих ПО и регламентировать их взаимодействие). Кроме того, также необходимо обеспечить чёткое разделение и регламентацию обязанностей администраторов служб автоматизации и безопасности.
Влияние на безопасность информационных технологий со стороны сотрудников структурных подразделений организации
Сотрудники структурных подразделений (конечные пользователи системы) решают свои функциональные задачи с применением средств автоматизации. Совершение ошибок пользователями способствует порождению угроз, которые затем могут быть использованы злоумышленниками для нанесения вреда организации и её сотрудникам. К числу таких угроз можно отнести:
создание предпосылок к осуществлению несанкционированного доступа со стороны других лиц (уязвимостей, каналов проникновения) к критичным ресурсам системы;
разглашение (утечка) конфиденциальной информации (сведений, составляющих коммерческую тайну организации, персональных данных, паролей и др.);
заражение рабочих станций вирусами, «троянскими» и другими вредоносными программами (внедрение вредоносных и шпионских кодов);
создание помех для (или остановка) основных производственных процессов.
Способы нанесения ущерба организации (они же возможные цели злоумышленников):
порча или утрата материального имущества (технических средств);
искажение или утрата файлов с важной (ценной, чувствительной)информацией;
потеря конкурентных преимуществ в результате разглашения сведений,составляющих коммерческую тайну;
дезорганизация или снижение эффективности производственных процессов (нарушение работоспособности подсистем);
непроизводительные траты ресурсов (материальных, информационных, операционных, рабочего времени и др.);
судебные иски к организации, к её руководителям и сотрудникам (со стороны государственных органов, других юридических и физических лиц);
потеря деловой репутации организации (с последующей потерей клиентов, партнёров и т.п.);
физический или моральный ущерб персоналу (сотрудникам) организации или третьим лицам.
Выполнение сотрудниками ряда ограничительных мероприятий существенно повышает безопасность ИТ. Смысл безопасности ИТ - жёсткая регламентация всей деятельности сотрудников, сочетающаяся с высокой исполнительской дисциплиной. Необходимо учитывать, что регламентация деятельности сотрудников (непосредственно не подчинённых службе безопасности) может привести к конфликтам, поэтому дополнительные функции сотрудников должны быть чётко определены в соответствующих утверждённых руководством инструкциях.