Кто входит в состав системы обеспечения информационной безопасности корпоративной сети

Обновлено: 07.07.2024

1. Разновидности аналитических работ по оценке защищенности.

2. Модель и методика корпоративной системы защиты информации.

3. Формирование организационной политики безопасности.

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Лекция 2 Основные направления обеспечения безопасности информационных ресурсов

Лекция 2 Основные направления обеспечения безопасности информационных ресурсов Учебные вопросы:1. Информационные ресурсы и конфиденциальность информации.2. Угрозы конфиденциальной информации организации.3. Система защиты конфиденциальной

Вопрос 2. Модель и методика корпоративной системы защиты информации

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Вопрос 1. Особенности информационной безопасности банков

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Лекция 7 Теоретические основы информационной безопасности в информационно-телекоммуникационных сетях

Лекция 7 Теоретические основы информационной безопасности в информационно-телекоммуникационных сетях Учебные вопросы:1. Обобщенная модель процессов информационной безопасности2. Унифицированная концепция защиты

Лекция 8 Требования руководящих документов по обеспечению информационной безопасности и нсд

Лекция 8 Требования руководящих документов по обеспечению информационной безопасности и нсд Учебные вопросы:1. Основные положения по обеспечению ИБ2. Показатели защищенности средств вычислительной техники (СВТ)3. Классы защищенности автоматизированных

Лекция 10 Математические модели обеспечения безопасности информации

Лекция 10 Математические модели обеспечения безопасности информации Учебные вопросы:1. Назначение математических моделей обеспечения безопасности информации в АСУ.2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

Вопрос 1. Состояние вопросов обеспечения информационной безопасности

Вопрос 1. Состояние вопросов обеспечения информационной безопасности В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По

2.3. Место информационной безопасности в системе национальной безопасности России

2.3. Место информационной безопасности в системе национальной безопасности России В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской

4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы

4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

4.5. Международное сотрудничество России в области обеспечения информационной безопасности

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

7.6.1. Перспективные методы и средства информационной поддержки систем обеспечения качества продукции

7.6.1. Перспективные методы и средства информационной поддержки систем обеспечения качества продукции В условиях современного рынка перед российскими предприятиями, ориентированными как на внутренний рынок сбыта, так и на внешний, особенно остро встает проблема

Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: “Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?”. Давайте попробуем найти ответ на этот актуальный вопрос.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов 1 , Конституции и федеральным законам 2 , руководящим документам Гостехкомиссии России и ФАПСИ 3 , приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI 4 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

      обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

    Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

    Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

    Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

    Разновидности аналитических работ по оценке защищенности

    Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

    1) “Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков”;

    2)“Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании”;

    3) “Организационно-технологический анализ ИС компании”;

    4) “Экспертиза решений и проектов”;

    5) “Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации”;

    6) “Работы, поддерживающие практическую реализацию плана защиты”;

    7) “Повышение квалификации и переподготовка специалистов”.

    Давайте кратко рассмотрим каждое из них.

    Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов Гостехкомиссии при Президенте РФ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

    Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниих. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании).

    Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории “конфиденциально” на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности (ИБ) и положение о коммерческой тайне должны соответствовать действующему законодательству, а именно требованиям Конституции РФ, ст.ст. 128 и 139 Гражданского кодекса РФ, Федерального закона “Об информации, информатизации и защите информации”, Федерального закона “Об участии в международном информационном обмене”, других нормативных актов.

    Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем – требованиям по безопасности экспертно-документальным методом.

    Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:

        анализ документооборота компании категории “конфиденциально” на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;

      Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:

          разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;

        Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности.

        Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.

        Методика построения корпоративной системы защиты информации

        В соответствии со ст. 20 Федерального закона “Об информации, информатизации и защите информации” целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

        Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ 5 , обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов 6 .

        Для этого необходимо:

            отнести информацию к категории ограниченного доступа (служебной тайне) 7 ;

          При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 “Информационная технология – методы защиты – критерии оценки информационной безопасности”, стандарту ISO/IEC 17799 “Управление информационной безопасностью” и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации.

          Рис. 1. Модель построения корпоративной системы защиты информации

          Представленная модель защиты информации – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

          Рассматриваются следующие объективные факторы:

              угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

            Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

            Предлагаемая методика проведения аналитических работ позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

            В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона “Об информации, информатизации и защите информации” – информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона “О связи”), внешние сервисы и т.п.

            При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

            Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

            На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

            Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

            По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

            Формирование организационной политики безопасности

            Прежде чем предлагать какие-либо решения по системе информационной безопасности, предстоит разработать политику безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

            Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.

            Прежде всего необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут распределяться на правовые, технологические, технические и организационные.

            Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями “базовая”, “средняя”, “высокая”. Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.

            Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

            В общем виде разработка ТД включает:

                уточнение функций защиты;

              На этапе оценки достигаемой защищенности производится оценка меры гарантии безопасности информационной среды. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта. Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:

                  значительное число элементов информационной среды объекта, участвующих в процессе оценивания;

                В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния защищенности информационных активов компании, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

                Главной целью любой системы обеспечения информационной безопасности является обеспечение устойчивого функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной торговой и производственной деятельности всех подразделений предприятия.

                Еще одной целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

                Основными задачами любой системы информационной безопасности предприятия являются:

                · отнесение информации к категории ограниченного доступа (служебной или коммерческой тайне);

                · прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

                · создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

                · создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

                · создание условий для максимально возможного возмещения и локализаций ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

                Политики информационной безопасности

                Основные понятия политик безопасности

                Политика информационной безопасности компании – это формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе. При этом различают:

                · общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и информационно-технологической стратегией компании;

                · частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими информационно-технологическими системами и службами компании.

                В соответствии с рекомендациями ведущих международных стандартов в области планирования информационной безопасности и управления ею политики безопасности должны содержать следующее:

                · предмет, основные цели и задачи политики безопасности;

                · условия применения политики безопасности и возможные ограничения;

                · описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;

                · права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;

                · порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

                Актуальность разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:

                · минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;

                · обеспечение безопасного, доверенного и адекватного управления предприятием;

                · планирование и поддержка непрерывности бизнеса;

                · повышение качества деятельности по обеспечению информационной безопасности;

                · снижение издержек и повышение эффективности инвестиций в информационную безопасность;

                · повышение уровня доверия к компании со стороны акционеров, партнеров, уполномоченных государственных органов и др.

                Успешное выполнение перечисленных задач проблематично. Это связано с. возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях.

                При разработке политик безопасности важно иметь в виду:

                · для достижения разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационно-управленческие аспекты планирования информационной безопасности и управления ею;

                · политики безопасности российских компаний не должны противоречить отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ;

                · при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации;

                · при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации. Следование этим требованиям позволит устранить существующие технические барьеры для отечественных компаний в торговле и обеспечения конкурентоспособности продукции;

                · использование в политиках безопасности современных подходов и принципов обеспечения информационной безопасности, основанных на лучшем мировом и отечественном опыте. Это позволит выработать концептуальную схему обеспечения информационной безопасности, а также требуемые модели постановки проблем в области управления информационной безопасностью и предложить разумно достаточные решения этих проблем;

                · при отражении в разрабатываемых политиках безопасности отечественных компаний экономического подхода к планированию информационной безопасности и управлению ею на основе концепции управления рисками рекомендуется обратить внимание на методы прикладного информационного анализа; расчета потребительского индекса; расчета добавленной экономической стоимости; определения исходной экономической стоимости; управления портфелем активов; оценки действительных возможностей; поддержки жизненного цикла искусственных систем; расчета системы сбалансированных показателей; расчета совокупной стоимости владения; функционально-стоимостного анализа;

                · при разработке детальных технических политик безопасности следует определить техническую архитектуру корпоративных систем защиты конфиденциальной информации компаний, в частности: определить цели создания технической архитектуры корпоративной системы защиты информации; разработать эффективную систему обеспечения информационной безопасности на основе управления информационными рисками; рассчитать совокупности детализированных показателей для оценки соответствия информационной безопасности заявленным целям; выбрать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния; реализовать требуемые методики мониторинга и управления информационной безопасностью;

                · политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и применения соответствующими органами управления, руководством служб безопасности, руководством служб информационно-технологического обеспечения отечественных компаний.

                Современный рынок средств защиты информации можно условно разделить на две группы:

                · средства защиты для государственных структур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов(государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;

                · средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ и некоторых международных стандартов.

                Например, к защите конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования.

                1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры внутренней сети, а также проведение анализа защищенности интернет-узла, использование средств антивирусной защиты и централизованное управление, должны производиться на основании действующих рекомендаций Гостехкомиссии РФ.

                2. Автоматизированные системы организации должны обеспечивать защиту информации от несанкционированного доступа в соответствии с действующим руководящим документом Гостехкомиссии РФ.

                3. Средства вычислительной техники, программные средства автоматизированных систем должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.

                4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.

                5. Информационные системы должны удовлетворять требованиям действующего ГОСТ по защищенности информационных систем в рамках заданных профилей защиты.

                6. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей - Virtual Private Network (VPN), должны быть легитимны (т.е. соответствовать действующему законодательству).

                7. Обязательным является использование средств электронно-цифровой подписи (ЭЦП) для подтверждения подлинности документов.

                8. Для использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей, средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).

                9. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований информационной безопасности.

                10. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.

                Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства, например, средства защиты от несанкционированного доступа, межсетевые экраны и пр.

                Средства защиты информации для коммерческих структур более многообразны и включают в себя средства:

                · управления обновлениями программных компонент;

                · обнаружения вторжений и аномалий;

                · резервного копирования и архивирования;

                · централизованного управления безопасностью;

                · контроля деятельности сотрудников в сети Интернет;

                · анализа защищенности информационных систем;

                · защиты от спама;

                · инфраструктуры открытых ключей и пр.

                Можно привести следующую краткую характеристику основных средств защиты информации.

                1. Средства управления обновлениями.

                Внедрение средств управления обновлениями программных компонент автоматизированных систем, например Microsoft Software Update Services, позволяет уменьшить объем интернет-трафика предприятия в целом, так как становится возможным организовать и контролировать необходимые обновления программных компонент автоматизированных систем предприятия с одной точки – выделенного внутреннего сервера. При этом предприятие получает следующие преимущества:

                · уменьшаются расходы по оплате трафика;

                · увеличивается надежность функционирования программных компонент;

                · уменьшается время на техническую поддержку и сопровождение программных компонент;

                · повышается защищенность автоматизированной системы в целом, в частности уменьшается количество инцидентов, связанных с вирусами.

                2. Средства межсетевого экранирования.

                Межсетевые экраны используются как средства защиты от несанкционированного доступа периметра сети и основных критичных компонент автоматизированных систем. Межсетевые экраны позволяют организовать защиту на уровне доступа к компонентам и сети в целом, на сетевом уровне (контроль IP-адресов), на транспортном уровне и на прикладном уровне.

                3. Средства построения VPN.

                Средства построения виртуальных частных сетей (VPN) используются для организации защиты трафика данных, передаваемых по открытым каналам связи. При этом защита организуется на физическом уровне (защита кабелей, экранизация наводок), на сетевом уровне (например, шифрование трафика от компьютера до компьютера на основе протокола IPsec), на транспортном уровне (например, шифрование данных, передаваемых одним приложением другому приложению на другом компьютере, на основе протокола SSL) на прикладном уровне (например, шифрование данных самостоятельно приложением).

                4. Средства контроля доступа.

                Данные средства осуществляют аутентификацию (точное опознание) подключающихся к автоматизированным системам (АС) пользователей и процессов, авторизацию (наделение определенными полномочиями) пользователей и процессов, регламентируя доступ множества пользователей к приложениям и информационным ресурсам предприятия.

                5. Средства обнаружения вторжений и аномалий.

                Средства обнаружения вторжений (Intrusion Detection Systems, IDS) позволяют с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени. Это программные или аппаратные средства, предназначенные для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

                6. Средства резервного копирования и архивирования.

                Средства резервного копирования и архивирования применяются для обеспечения целостности хранилищ в случаях аппаратных и программных сбоев, ошибочных действий администраторов и пользователей, а также отказов средств вычислительной техники.

                7. Средства централизованного управления безопасностью.

                Средства централизованного управления информационной безопасностью позволяют эффективно создавать, проверять и поддерживать технические политики безопасности программных компонент автоматизированной системы.

                8. Средства предотвращения вторжений на уровне серверов.

                Так как серверы компании обычно являются основной целью атак злоумышленников (на них обрабатывается основная часть конфиденциальной информации компании), то необходимо использовать средства предотвращения вторжений на уровне серверов.

                9. Средства мониторинга безопасности.

                10. Средства контроля деятельности сотрудников в Интернете.

                В настоящее время одной из серьезных проблем в работе отечественных служб безопасности является предотвращение попыток использования интернет-ресурсов компании в личных целях (загрузка видео, аудио, картинок, нелицензированного программного обеспечения). Нецелевое использование Интернета приводит к потере продуктивности сотрудников компании приблизительно на 30-40%.

                Для предупрежден6ия подобных действий рекомендуется применять соответствующие средства, например Websense, которые позволяют анализировать и формировать отчеты по использованию сотрудниками компании ресурсов Интернета и программного обеспечения на рабочих местах, а также проводить анализ сетевой активности и пропускной способности сети компании в целом.

                12. Средства анализа защищенности.

                Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности.

                Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является возможность как минимум еженедельно обновлять базы данных уязвимостей путем взаимодействия с крупнейшими центрами по сбору новых уязвимостей и с ведущими производителями сетевого оборудования и программного обеспечения.

                13. Средства защиты от спама.

                15. Средства контроля целостности.

                Внесение некорректного изменения в конфигурацию сервера или маршрутизатора может привести к выходу из строя необходимого сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения. Для быстрого реагирования на такую ситуацию нужно иметь средство отслеживания всех производимых изменений. Данную возможность предоставляет, например, серия продуктов компании Tripwire.

                16. Средства инфраструктуры открытых ключей.

                Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

                Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

                1. Заручиться поддержкой руководства.

                Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

                2. Определить состав рабочей группы.

                Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

                Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

                3. Определить риски.

                После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

                • идентифицировать информационные активы, представляющие ценность;
                • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
                • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
                • провести анализ источников угроз;
                • проанализировать сами угрозы;
                • оценить возможный ущерб;
                • подготовить отчет для презентации руководству.

                После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

                После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

                4. Принять организационные меры.

                На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

                5. Выбрать и внедрить меры и средства защиты информации.

                На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

                При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

                6. Довести информацию до заинтересованных лиц.

                Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

                7. Провести мониторинг и оценку.

                После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

                Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

                Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

                Не пропустите новые публикации

                Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

                Читайте также: