- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Политика безопасности организации
Политика безопасности организации в области ИТ - это совокупность документируемых решений в виде программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, чётко регламентирующих все аспекты деятельности организации в области безопасности ИТ.
Основная цель политики безопасности — информирование пользователей, сотрудников и руководства о наложенных на них обязательных требованиях по защите технологии и информационных ресурсов.
Все документально оформленные решения, формирующие политику безопасности ИТ, должны быть утверждены руководством и опубликованы. Все сотрудники организации должны быть ознакомлены с политикой безопасности ИТ. Концептуальные вопросы политики безопасности организации целесообразно изложить в «Концепции обеспечения безопасности в автоматизированной системе организации».
Основные составляющие политики безопасности ИТ:
определение целей политики безопасности;
определение принципов обеспечения и границ применяемости политикибезопасности;
краткое разъяснение (дайджест) политики безопасности;
соответствие законодательным актам и стандартам;
определение правил приобретения информационных технологий, которыеотвечают требованиям безопасности;
определение политики обеспечения непрерывности работы и восстановления АС;
определение политики конфиденциальности стандартных сервисов (электронная почта (ЭП), Интернет, VPN, мобильные пользователи);
определение политики аутентификации (пароли, рекомендации по аутентификации удалённых субъектов и использованию аутентифицирующих устройств);
определение политики разграничения доступа и привилегии для различныхкатегорий сотрудников (пользователей, системных администраторов, администраторов безопасности, руководителей);
обнаружение и блокирование вирусов и других вредоносных програм м;
определение порядка разработки и сопровождения АС;
обучение персонала по вопросам безопасности ИТ;
защита от недекларированных возможностей ПО;
ликвидация последствий нарушения политики безопасности и ответственность нарушителей;
ссылки на более детальные документы по безопасности ИТ (положения, инструкции);
аудит и обновление политики безопасности.
К сожалению, на практике после внедрения в организациях систем обеспечения безопасности информационных технологий иногда имеют место быть некоторые недостатки, среди которых можно выделить типовые:
отсутствие необходимой организационной основы, обеспечивающей согласованные действия подразделений организации по выработке и реализации единой политики безопасности ИТ;
отсутствие в организационно-штатной структуре организации специального подразделения, непосредственно ответственного за решение вопросов обеспечения безопасности ИТ в организации, за разработку и внедрение в организации единой технологии управления безопасностью ИТ;
неполнота и противоречивость нормативно-правовой базы организации по вопросам обеспечения безопасности ИТ, слабая увязка существующих организационно-распорядительных документов с реальными потребностями и требованиями законодательства Российской Федерации;
отсутствие системного подхода к обеспечению безопасности ИТ организации, при котором была бы обеспечена комплексная защита информации на всех этапах жизненного цикла АС и технологических циклов её обработки и передачи.
Для оценки текущего состояния ИТ в организации (насколько имеющиеся ИТ-средства и процессы эффективны «сами по себе» (с точки зрения ИТ) и для реализации бизнес- процессов, насколько безопасна имеющаяся ИТ-инфраструктура, какова стоимость ИТ для организации в терминах общей стоимости владения (ТСО) и каков возврат инвестиций, вложенных в ИТ-инфраструктуру, для бизнеса (ROI)) и получения ответа на вопрос «что делать, если текущее положение дел не устраивает?» можно воспользоваться существующими различными методиками и моделями зрелости или оптимизации ИТ- инфраструктуры, предлагаемыми известными исследовательскими и консалтинговыми организациями в области ИТ. Среди таких методик можно назвать Infrastructure Maturity Model (Gartner Group), Architecture Maturity Model (MTI), Infrastructure Optimization Model (Microsoft) и ряд других. Набор сервисов в моделях зрелости часто называют уровнем зрелости. Например, в Infrastructure Maturity Model (Gartner Group) определены четыре уровня зрелости (в сфере обеспечения ИБ):
0-й уровень:
информационной безопасностью в компании никто не занимается,руководство компании не осознает важности проблем информационнойбезопасности;
финансирование отсутствует;
информационная безопасность реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита,разграничение доступа к ресурсам и сервисам).
1-й уровень:
информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепцияинформационной безопасности, политика) развития системы обеспечения информационной безопасности компании;
финансирование ведётся в рамках общего ИТ - бюджета;
информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.
2-й уровень:
информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационная безопасности для производственных процессов, есть утверждённая руководством программа развития системы обеспечения информационной безопасности компании;
финансирование ведётся в рамках отдельного бюджета
информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, системы обнаружения вторжений (IDS), средства анализа защищённости, средства однократной аутентификации (SSO), инфраструктура открытых ключей (PKI) и организационные меры (внутренний и внешний аудит, анализ рисков, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3-й уровень:
информационная безопасность является частью корпоративной культуры, назначен старший администратор по вопросам обеспечения информационной безопасности (CISA);
финансирование ведётся в рамках отдельного бюджета
информационная безопасность реализуется средствами второго уровня плюс система управления информационной безопасностью, группа реагирования на инциденты нарушения информационной безопасности (CSIRT), соглашение об уровне сервиса (SLA).