- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
7.3. Обязанности пользователей
Цель. Предотвратить несанкционированный доступ пользователей.
Часть 1. Важным условием поддержания режима ИБ является помощь зарегистрированных пользователей. Пользователи должны знать свои обязанности по обеспечению контроля доступа, особенно в части использования паролей и защиты пользовательского оборудования.
Часть 2. Аудиторам надлежит проверить знание пользователями своих обязанностей и фактическое их выполнение.
7.4. Управление доступом к сети
Цель. Предотвратить несанкционированный доступ к сервисам, включенным в сеть.
Часть 1. Подключение сервисов в сеть следует контролировать, чтобы защитить другие сетевые сервисы. К числу средств контроля должны относиться:
-
интерфейсы между сетевыми сервисами;
-
механизмы аутентификации удаленных пользователей и оборудования;
-
контроль доступа пользователей к информационным системам.
Часть 2. Аудиторы должны убедиться, что пользователи имеют доступ только к тем сервисам, которые им необходимы. Если проводится политика управления маршрутизацией, требуется выяснить, как она реализуется на практике.
7.5. Управление доступом к компьютерам
Цель. Предотвратить несанкционированный доступ к компьютерам.
Часть 1. Доступ следует предоставлять только зарегистрированным пользователям. Многопользовательские системы должны:
-
идентифицировать и проверять подлинность пользователей, а также, если это потребуется, терминал и/или местонахождение пользователя;
-
фиксировать удачные и неудачные попытки входа;
-
предоставить систему управления паролями, которая обеспечивает выбор надежных паролей;
-
в случае надобности ограничивать длительность сеансов работы пользователей.
Существуют также более мощные и дорогостоящие системы управления доступом, обращение к которым оправдано в ситуации высокого риска нарушения режима безопасности.
Часть 2. Аудиторы должны проверить как минимум применение парольной защиты: периодичность смены паролей, использование общих паролей, длину и структуру паролей. При необходимости контролируются прочие механизмы: идентификация терминалов для некоторых соединений, система сигнализации о попытках несанкционированного доступа.
7.6. Управление доступом к приложениям
Цель. Предотвратить несанкционированный доступ к информации, хранимой в информационных системах.
Часть 1. Для управления доступом к прикладным системам и данным нужны средства логического контроля доступа. Доступ к программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
-
контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в организации;
-
обеспечивать защиту от несанкционированного доступа утилит, которые способны обойти средства системного контроля;
-
не нарушать защиту других систем, с которыми они разделяют информационные ресурсы.
Часть 2. Аудиторам следует проверить существующие ограничения на доступ.
7.7. Слежение за доступом к системам и их использованием
Цель. Выявить несанкционированные действия.
Часть 1. Чтобы выяснить, как осуществляется политика управления доступом, необходимо проводить текущий контроль системы. Это требуется для определения эффективности принятых мер и установления соответствия политики управления доступом существующей практике.
Часть 2. Аудиторам следует убедиться, что политика управления доступом отвечает существующей практике.
Раздел 8. Разработка и сопровождение информационных систем