Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Инженерное проектирование систем информационной безопасностиСтр 1 из 19Следующая ⇒
Инженерное проектирование систем информационной безопасности Раздел 1. Предисловие Проблема информационной безопасности в России в последнее время занимает все более значимые позиции. Правительство Российской Федерации, уделяя особое внимание Федеральной программа «Электронная Россия» требует широкое внедрение информационных систем во все аспекты жизни общества. В том числе сегодня на стимулируется переход на безбумажные технологии бизнеса. Так в 2011 году благодаря изменениям в законодательстве регулирующим отношения связанными с электронной подписью и Приказом Министерства экономики уже сегодня возможен безбумажный обмен основными документами между хозяйствующими субъектами. Внедрение Универсальной электронной карты и переход на электронное оказание государственных услуг в ближайшем будущем поставит серьёзные задачи пред специалистами в области информационных технологий. На сегодняшний день качество программного обеспечения производимого в мире, с точки зрения обеспечения информационной безопасности, в том числе и с точки зрения надежности функционирования и обеспечения целостности хранимых данных не находится на должном уровне. Так по данным аналитического агентства Gartner 65% классов данных обрабатываемых в некоторых информационных системах требуется только в 5%, а около 12% не участвует в формировании ответов в течении последних 12 месяцев, при этом на хранения такого вида данных в мире за 2010 год было потрачено около 129 млрд долларов. Одним из важных элементов построения современных систем информационной безопасности, согласно требованиям Российских и международных стандартов, является осведомленность пользователей и ИТ специалистов в вопросах информационной безопасности. Важнейшим шагом на пути исполнения этих требований и создания высоконадежных информационных систем является системное обучение будущих специалистов. Обучение принципам и правилам построения систем информационной безопасности позволяет решить ряд проблем в области информационных технологий поставленных президентом Российской Федерации в «Доктрине информационной безопасности Российской Федерации». В частности: • повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
• усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации; • обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; • повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; • интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью; • обеспечить защиту сведений, составляющих государственную тайну; • расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере. Тема 2.7. Выводы Современные системы информационной безопасности должны строиться соблюдением принципов минимальных привилегий, адаптивности защиты с возможностью блокирования еще не обнаруженных уязвимостей. Для достижения этих целей необходимо уделять пристальное внимание ключевым элементам СЗИ осуществляющим реализацию функций по контролю следующих точек: 1. управление персоналом 2. обнаруживаемые уязвимости, 3. мониторинг выпущенных исправлений установленного программного обеспечения управление и анализ передаваемых данных
4. управление распространение информации внутри системы. Параграф. 2.1. Структура ПБ Существует большое количество типов политик и процедур, которые определяют функционирование системы безопасности в организации. В следующих разделах мы рассмотри основные концепции, полезные и широко используемые на практике. Все эти концепции можно скомбинировать для лучшего использования в вашей организации. Три раздела каждой политики являются общепринятыми. Существует так же список необходимых документов обязательных к включению в политику безопасности. На данном этапе мы можем включить следующие документы: Не смотря на то, что политика безопасности является набором вполне тривиальных документов, важность качественного исполнения этого элемента СЗИ переоценить довольно трудно. Фактически политика безопасности является системой зафиксированных взглядов предприятия на обеспечение собственной безопасности принятой на основании сбалансированных решений на этапе разработки СЗИ в целом и дополненный на этапах внедрения и сопровождения. Данный документ является сборником типовых решений как на этапе нормального функционирования системы, так и в случае возникновения форс-мажорных обстоятельств. Так же немаловажную роль политика безопасности играет в случае обращения в органы государственной власти для обеспечения защиты прав организации на интеллектуальную собственность или обеспечения конфиденциальности информации. Фактически ответственность за нарушения правил эксплуатации информационной системы наступает, только если собственник информационной системы принял разумные и достаточные усилия по защите своей информационной собственности. Наличие работоспособной политики безопасности подтверждает эти усилия. Приведенный выше состав политики безопасности является не полным, более того некоторые документы будут видоизменены, или по крайней мере подвергнутся тщательному аудиту после завершения работ по установки и запуску в работу создаваемой системы защиты информации. Данный процесс является итерационным, в силу того что поостренная политика безопасности отражает в себе уже существующую ситуацию в области информационной безопасности. После внедрения СЗИ ситуация в корне поменяется и некоторые разделы будет необходимо проверить на соответсвие новым условиям.
Тема 3.3. Модель нарушителя Система защиты информации должна быть адекватной уровню важности, секретности и критичности защищаемой информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации. Параграф. 3.4. Вывод Итак, правильное построение модели нарушителя позволяет провести качественный анализ рисков и на основании этого провести адекватный выбор элементов будущей системы защиты информации. Модель нарушителя является необходимым, но не достаточным элементом построения эффективной системы.
Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ. Тема 4.1. Основные определения и критерии классификации угроз Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Параграф. 1.6. Выводы Современная система защиты информации может быть реализована на довольно разнообразном множестве элементов. Основным характеристиками современных компонентов являются: Раздел 6. Инсталляция СЗИ После определения элементной базы СЗИ, а довольно часто одновременно с этим процессом начинается её инсталляция. Данный процесс требует отдельного рассмотрения, здесь мы ограничимся кратким описанием его основных элементов. Раздел 7. Эксплуатация СЗИ Процесс эксплуатации рассматривается на примере защиты персональных данных* согласно требованиям 152-ФЗ. *персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Подробно рассматривается методология создания и внедрения политики безопасности предприятия, так же уделяется внимание вопросам интеграции политики информационной безопасности и с другими политиками предприятия: экономической, кадровой и т.д. Тема 8.9. Планирование перехода на аварийный режим Аварийное резервное оборудование предоставляет возможность временного продолжения обработки данных в случае повреждения или отказа основного оборудования. Администраторы компьютеров и сетей должны подготовить соответствующий план перехода на аварийный режим для каждого информационного сервиса. Требования к переходу на аварийный режим для отдельных систем должны быть заданы владельцами производственных приложений исходя из процесса планирования бесперебойной работы организации. Поставщики услуг должны согласовать требования к переходу на аварийный режим для коллективно используемых сервисов и составить соответствующий план перехода на него для каждого из них. Аварийное резервное оборудование и процедуры перехода на аварийный режим необходимо регулярно тестировать. Тема 8.10. Выводы Как было сказано выше, после завершения инсталляции СЗИ, жизненно необходима доработка политики безопасности, включение в ее состав документов относящихся к работе с персоналом. Основная задача этапа сопровождения работающей СЗИ состоит в поддержании в актуальности как СЗИ, так и политики безопасности. Особо внимание при этом надо уделять взаимному их соответствию. Фактически противодействие таким методам проникновения в информационную систему как социальная инженерия, использование слабых паролей, использование ошибок персонала, осуществляет актуальная и работающая политика безопасности. Тема 9.5. Выводы Во многих крупных компаниях внедрена служба поддержки Service Desk, в обязанности которой входит управление инцидентами в области информационных технологий. Процедура управления ИТ-инцидентами регулируется стандартом ISO/IEC 20000:2005, пришедшим на смену BS 15000:2002, который, в свою очередь, взял за основу библиотеку ITIL. Заметим, что все ISO/IEC серий 9000, 14000, 20000, 27000 и другие стандарты ISO/IEC, описывающие правила создания систем управления различными процессами, гармонично сочетаются друг с другом. Все они в качестве основы управления подконтрольными процессами используют процессный подход, который рассматривает управление как процесс, а именно как набор взаимосвязанных непрерывных действий. Процессный подход акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для этого. Кроме этого, стандарты указанных серий используют модель PDCA как структуру жизненного цикла всех процессов системы управления. Естественно, что ISO 20000, описывает как систему управления ИТ-сервисами, так и процедуру управления инцидентами, но также рассматривает ИТ-инциденты. Сама процедура управления инцидентами ИТ очень близка к процедуре управления инцидентами информационной безопасности с той лишь разницей, что в последнем случае больший упор делается на его расследование, сбор улик, наказание виновных (вплоть до обращения в суд). Раздел 10. Аудит системы защиты информации Аудит является основным элементом сопровождения действующей системы защиты информации. Фактически для поддержания в СЗИ в актуальном состоянии требуется системно организовать три непрерывных процесса – аудит системы защиты информации, управление инцидентами, сбор сведений о новых уязвимостях и методах атак. Рассмотрим процедуру аудита. В общем случае под аудитом понимают независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются: В случае внешнего аудита список приведенных задач является исчерпывающим. В число дополнительных задач, стоящих перед внутренним аудитором могут также входить: Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются. Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты. Современный внутренний аудит проводится с целью своевременного выявления возможных проблем в области информационной безопасности и обеспечения адекватного набора мер по противодействию. По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы. Тема 10.9. Подготовка отчетных документов Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты. Как видим отчет, фактически дублирует основные пункты политики безопасности и фактически составляет ее ядро. К сожалению, довольно часто путаю аудит информационной системы или системы информационной безопасности с предпроектным исследованием. Данные процесс весьма схожи по используемым методам и инструментам. В то же время они принципиально отличаются по своим целям. Целью аудита является, как было сказано выше, создание базы для обоснованного решения о дальнейших действиях, в то время как предпроектное исследование ставит целью создание технического задания на разработку и внедрение комплексной системы информационной безопасности. Параграф. 10.1. CRAMM Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) [16] был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM. Процесс анализа и управления рисками по методу CRAMM Процедура аудита в методе CRAMM является формализованной. На каждом этапе генерируется довольно большое количество промежуточных и результирующих отчетов. К сильным сторонам метода CRAMM относится следующее: Параграф. 10.2. RiskWatch
|
|||||||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 445; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.226.177.223 (0.031 с.) |