- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.4.5 Выводы. Как построить защищенную информационную систему?
Подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:
1. законодательного (законы, нормативные акты, стандарты) |
2. административного (действия общего характера, предпринимаемые руководством организации) |
3. процедурного (меры безопасности, реализуемые персоналом) |
4. программно-технического (конкретные технические меры) |
Полный комплекс мероприятий по обеспечению ИБ включает в себя:
1 обследование защищенности информационной системы |
2 анализ рисков |
3 проектирование подсистем информационной безопасности |
4 создание комплексных систем информационной безопасности |
5 поставка аппаратных и программных средств |
6 поддержка и сопровождение на всех этапах жизненного цикла информационной системы |
7 подготовка информационных систем к аттестации |
8 консалтинг по вопросам информационной безопасности |
I. Обследование защищенности информационной системы
На этапе обследования проводится изучение информационной системы и ее компонент, организация работы пользователей. Выявляются информационные ресурсы и информационные потоки, категории обрабатываемой информации.
Обследование начинается с определения сферы (границ) системы управления ИБ и конкретизации целей ее создания. Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно система управления ИБ должна строиться именно в этих границах.
Описание границ системы выполняется по следующему плану:
Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.
Размещение средств вычислительной техники и поддерживающей инфраструктуры.
Ресурсы информационной системы, подлежащие защите. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов:
средства вычислительной техники
данные
системное и прикладное программное обеспечение
Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.
В результате подготавливается документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, и приведена система критериев для оценки их ценности.
II. Анализ рисков42
При анализе рисков оцениваются угрозы и уязвимости, выбирается комплекс контрмер, обеспечивающий достаточный уровень защищенности. Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.
В зависимости от уровня жесткости требований к режиму информационной безопасности, возможны два варианта проведения анализа рисков: базовый и полный.
Базовый вариант анализа рисков является наименее трудоемким. Он применяется, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. Анализ рисков производится по упрощенной схеме и предполагает рассмотрение стандартного набора наиболее распространенных угроз безопасности без оценки вероятностей этих угроз.
Полный вариант анализа рисков применяется в случае повышенных требований в области информационной безопасности. В отличие от базового варианта, в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимости ресурсов. Как правило, проводится анализ стоимость/эффективность нескольких вариантов защиты.
Минимальные требованиям к режиму информационной безопасности. Минимальным требованиям соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.
Повышенные требования к режиму информационной безопасности . В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ недостаточен. Для того чтобы сформулировать дополнительные требования, необходимо:
определить ценность ресурсов
к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы
оценить вероятность угроз
определить уязвимость ресурсов
предложить решение, обеспечивающее необходимый уровень ИБ
III. Проектирование подсистем безопасности
Проектирование начинается с разработки политики безопасности - совокупности документированных управленческих решений, направленных на защиту информации.
Определение политики ИБ должно сводиться к следующим практическим шагам:
Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
управление доступом к средствам вычислительной техники (СВТ), программам и данным
антивирусную защиту
вопросы резервного копирования
проведение ремонтных и восстановительных работ
информирование об инцидентах в области ИБ
Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
Структуризация контрмер по уровням:
административные меры (действия общего характера, предпринимаемые руководством организации)
процедурные меры (меры безопасности, реализуемые персоналом)
программно-технические меры (конкретные технические меры)
Определить порядок сертификации на соответствие стандартам в области ИБ.
Определить порядок контроля за реализацией политики безопасности. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
В соответствии с разработанной политикой безопасности проектируется подсистема безопасности. На этапе проектирования вырабатываются решения, обеспечивающие сочетание административных, процедурных, программно-технических мер. После проектирования производится установка необходимых программно-технических компонент, выпуск рабочей и эксплуатационной документации, обучение администраторов безопасности и персонала.
IV. Создание комплексных систем информационной безопасности.
При обеспечении ИБ существует два аспекта: формальный - определение критериев, которым должны соответствовать защищенные информационные технологии, и практический - определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии. Практические правила обеспечения ИБ на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Режим ИБ должен обеспечиваться на процедурном уровне путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты. Меры физической защиты реализуют:
1. cистемы охранной сигнализации и периметральные системы |
2. системы пожарной сигнализации и автоматического пожаротушения |
3. системы телевизионного наблюдения |
4. системы контроля доступа |
5. оборудование контрольно-пропускных пунктов |
На программно-техническом уровне: применением апробированных и сертифицированных решений, стандартного набора контрмер: резервное копирование, антивирусная защита, парольная защита, межсетевые экраны, шифрование данных и т.д.
Зачастую организация уже имеет работающую информационную систему и требуется модифицировать отдельные элементы подсистемы безопасности. В этом случае предлагаются следующие отработанные решения:
1 системы резервного копирования |
2 системы идентификации и аутентификации пользователя |
3 подсистемы криптографической защиты информации |
4 системы активного аудита информационной безопасности |
5 построение виртуальной собственной сети (VPN) |
6 информационные шлюзы и экраны в корпоративных сетях |
7 разработку внешних шлюзов безопасности |
V. Поддержка и сопровождение
Обслуживание подсистемы безопасности включает: установку новых версий ПО, модернизацию аппаратных средств, комплексную модернизацию подсистемы информационной безопасности в связи с изменившимися требованиями или модернизацией информационной системы.
Одной из форм сопровождения подсистем безопасности является периодическое проведение независимого аудита подсистемы на соответствие международным стандартам. Как показывает практика - это одно из наиболее действенных средств поддержания должного уровня информационной безопасности.
Мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта.
Документация должна содержать:
1. политику безопасности |
2. границы защищаемой системы |
3. оценки рисков |
4. управление рисками |
5. описание инструментария управления ИБ |
6. документ, в котором оценивается соответствие требованиям международных стандартов поставленных целей в области ИБ и средств управления ИБ |
Внутренняя проверка соответствия системы управления ИБ требованиям международных стандартов состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения? Затем проводится независимая проверка, по окончании ее представляется отчет, в котором отражаются следующие моменты:
1. достигнуты ли декларированные цели в области ИБ |
2. соответствуют ли выбранные подходы к обеспечению режима ИБ политике и стандартам в области безопасности |
3. должным ли образом документированы все аспекты процедур обеспечения ИБ |