Модель Symantec LifeCycle Security

В качестве примера возможной организации режима ИБ рассмотрим модель Lifecycle Security, разработанную компанией Axent (после приобретения Axent компанией Symantec модель получила название Symantec Lifecycle Security). Модель Lifecycle Security регламентирует и описывает этапы построения корпоративной системы защиты информации и организации режима ИБ компании в целом. Выполнение представленного в ней набора процедур позволяет системно решать задачи, связанные с защитой информации, и дает возможность оценить эффект от затрат на технические и организационные средства и меры защиты информации. С этой точки зрения идеология Lifecycle Security может быть противопоставлена тактике «точечных решений», заключающейся в том, что все усилия сосредотачиваются на внедрении отдельных частных решений (например, межсетевых экранов или систем аутентификации пользователей на основе смарт-карт или e-Token). Без предварительного анализа и планирования подобная тактика нередко приводит к появлению в корпоративной информационной системе набора разрозненных средств защиты информации, которые несовместимы между собой и не интегрируются друг с другом, что не позволяет эффективно решить проблему обеспечения информационной безопасности предприятия.

Модель Lifecycle Security состоит из семи основных этапов (рис. 1.4).

Рис. 1.4. Этапы модели LifeCyde Security

 

Политики безопасности, стандарты, процедуры и метрики. На этом этапе определяются границы и рамки, в которых осуществляются мероприятия по обеспечению информационной безопасности, и задаются критерии для оценивания полученных результатов. Отметим, что под стандартами здесь понимаются не только государственные и международные стандарты в сфере информационной безопасности, но и корпоративные стандарты, в ряде случаев существенно влияющие на проект создаваемой корпоративной системы защиты информации. Рекомендуемое введение метрики позволяет оценить состояние системы до начала, а также после проведения работ по защите информации. Кроме того, метрика устанавливает единицы измерения и порядок измерения защищенности КИС, что дает возможность соотнести затраты предприятия на ИБ и полученный эффект от внедренной корпоративной системы защиты информации.

Анализ рисков. Этот этап является своего рода отправной точкой для установления и поддержки эффективного управления системой защиты. По данным анализа рисков удается подробно описать состав и структуру информационной системы (если по каким-то причинам это не было сделано ранее), ранжировать имеющиеся ресурсы по приоритетам, базируясь на степени их важности для нормальной работы предприятия, выявить угрозы и идентифицировать уязвимости системы.

Стратегический план построения системы защиты. Результаты анализа рисков используются как основа для разработки стратегического плана построения системы защиты. Наличие подобного плана помогает распределить по приоритетам бюджеты и ресурсы, а в последующем выбрать средства защиты информации и разработать стратегию и тактику их внедрения.

Выбор и внедрение решений. Четкие критерии принятия решений в сфере защиты информации и наличие программы внедрения уменьшают вероятность приобретения средств защиты информации, которые становятся «мертвым грузом», мешающим развитию информационной системы предприятия. На данном этапе следует также учитывать качество предоставляемых поставщиками сервисных и обучающих услуг. Кроме того, необходимо четко определить роль внедряемого решения в выполнении разработанных планов и достижении поставленных целей в области защиты информации.

Обучение персонала. Знания в области информационной безопасности и технические тренинги нужны для построения и обслуживания безопасной вычислительной среды компании. Усилия, затраченные на обучение персонала, окупаются значительным повышением шансов на успех мероприятий по защите КИС.

Мониторинг защиты. Данный этап помогает выявить аномалии или вторжения в корпоративную информационную систему, а также позволяет оперативно контролировать эффективность системы защиты информации.

Разработка методов реагирования в случае инцидентов и восстановление. Без наличия заранее разработанных и «отрепетированных» процедур реагирования на инциденты в сфере безопасности невозможно гарантировать, что в случае обнаружения атаки действиям злоумышленника будут противопоставлены эффективные меры защиты и работоспособность системы удастся быстро восстановить.

Существенно, что в модели Lifecycle Security все вышеуказанные этапы взаимосвязаны между собой и предполагается непрерывность процесса совершенствования корпоративной системы защиты информации. При этом этапу анализа информационных рисков в данной модели отводится достаточно важная роль. Анализ рисков рекомендуется проводить в случаях:

· обновления информационной системы или существенных изменений в ее структуре;

· перехода на новые информационные технологии построения КИС;

· организации новых подключений в компании (например, подключения локальной сети филиала к сети головного офиса);

· подключения к глобальным сетям (в первую очередь к Internet);

· изменений в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);

· проверки эффективности корпоративной системы защиты информации.

Ключевыми моментами анализа информационных рисков КИС являются:

· подробное документирование и картирование системы, причем особое внимание необходимо уделять критически важным для бизнеса приложениям;

Картирование—метод анализа результатов секвенирования, состоящий в определении позиций в референсном геноме или транскриптоме, откуда с наибольшей вероятностью могло быть получено каждое конкретное короткое прочтение.

 

· определение степени зависимости организации от штатного функционирования и структурных элементов системы, безопасности хранимых и обрабатываемых данных;

· обнаружение и учет уязвимых мест;

· выявление и учет потенциальных угроз;

· оценка и учет информационных рисков;

· оценка потенциального ущерба собственникам информации и КИС в целом.

Отметим, что метрика и мера защищенности КИС определяют процедуру анализа рисков. С другой стороны, результаты анализа информационных рисков предоставляют необходимые начальные условия для разработки или совершенствования существующей корпоративной системы защиты информации.