Проектирование системы обеспечения информационной безопасности предприятия

Проектирование системы обеспечения информационной безопасности предприятия может состоять из следующих этапов.

1. Построение профиля защиты.

На этом этапе разрабатывается план проектирования системы защиты информационной среды предприятия. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты. Необходимым элементом работы является утверждение допустимого риска объекта защиты.

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.

2. Формирование организационной политики безопасности.

Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

· внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;

· определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается на предприятии.

3. Оформление условий безопасного использования информационных технологий (ИТ).

Система обеспечения безопасности предприятия, соответствующая выбранному профилю защиты, может обеспечивать требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствии с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.

Выделяются следующие виды условий безопасного использования ИТ:

· физические условия;

· условия для персонала;

· условия соединений.

Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.

Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.

Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.

Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается на предприятии.

4. Формулирование целей безопасности объекта.

В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности предприятия, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.

5. Определение функциональных требований безопасности.

Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.

На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор для включения в профиль защиты. Между компонентами могут существовать зависимости.

6. Требования гарантии достигаемой защищенности.

Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.

Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями «базовая», «средняя», «высокая».

Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.

Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.

7. Формирование перечня требований.

Перечень требований к системе информационной безопасности (СИБ), Эскизный проект, План защиты (далее – техническая документация, ТД) содержат набор требований безопасности информационной среды предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

В общем виде разработка ТД включает:

· уточнение функций защиты;

· выбор архитектурных принципов построения СИБ;

· разработку логической структуры СИБ (четкое описание интерфейсов);

· уточнение требований функций обеспечения гарантоспособности СИБ;

· разработка методики и программы испытаний на соответствие сформулированным требованиям.

8. Оценка достигаемой защищенности.

На этом этане производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.

Базовые положения методики должны предполагать, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:

· значительное число элементов информационной среды объекта, участвующих в процессе оценивания;

· расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;

· строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Вопросы для самоконтроля

1. Что является целью системы обеспечения информационной безопасности?

2. Перечислите основные задачи системы информационной безопасности предприятия.

3. Дайте определение термину аудит информационной безопасности корпоративной системы Интернет/Интранет.

4. В чем заключается основная задача аудита безопасности?

5. Назовите основные причины роста уязвимости корпоративных систем Интернет/Интранет.

6. Назовите причины, подтверждающие актуальность аудита безопасности российских компаний.

7. Перечислите основные проблемы безопасности электронной почты для конечного пользователя.

8. Назовите рекомендательные меры, повышающие уровень безопасности электронной почты для конечного пользователя.

9. В чем состоит суть проблемы безопасности электронной почты на уровне администратора?

10. Какие опасности существуют для пользователя информационных ресурсов WWW?

11. Перечислите меры, необходимые для обеспечения безопасности сети.

12. Назовите меры, необходимые для обеспечения безопасности хоста.

13. Охарактеризуйте основные практические шаги аудита безопасности.

14. Из каких этапов состоит проектирование системы обеспечения информационной безопасности предприятия?

15. Что понимается под политикой информационной безопасности компании?

16. Назовите основные причины создания политик безопасности.

17. Какими принципами следует руководствоваться при разработке политик безопасности?

18. Какие требования предъявляются к защите конфиденциальной информации в органах исполнительной власти?

19. Перечислите средства защиты информации, используемые в коммерческих структурах.

20. Какие политики информационной безопасности выделяют в настоящее время?

Контрольные тесты

№ п/п	Вопрос	Возможные ответы
1.	Программными средствами для защиты информации в компьютерной сети являются: а) Firewall б) Brandmauer в) Sniffer г) Backup	· в, г · а, г · а, б · б, в
2.	Протокол SSL (Secure Socket Layer) является системой шифрования…	· с симметричными ключами · с открытыми ключами · на основе метода гаммирования · на основе методов случайного шифрования
3.	Формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе – это…	· аудит безопасности · политика информационной безопасности · инструкция по безопасности
4.	Что такое VPN?	· виртуальная частная сеть · протокол передачи данных · метод шифрования
5.	Средством обеспечения информационной безопасности является …	· USB-порт · межсетевой экран · BSI
6.	Системным процессом получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности называется	· политика информационной безопасности · аудит безопасности · проектирование информационной базы данных
7.	Межсетевые экраны позволяют организовать защиту на следующих уровнях:	· на прикладном · на сетевом · на гостевом · доступа к сети в целом
8.	При разработке политики безопасности используются следующие модели доверия:	· доверять всем и всегда · доверять избранным и всегда · не доверять никому и никогда · доверять избранным на время
9.	Управление паролями, антивирусная защита, организация удаленного доступа это:	· этапы проектирования информационной системы · политики информационной безопасности · этапы разработки сервисного программного обеспечения
10.	Определяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации следующая политика:	· политика управления паролями · политика допустимого использования · политика безопасности периметра
11.	В чем отличие политики безопасности от процедуры безопасности?	· политика безопасности определяет, что должно быть защищено, а процедура – как защитить информационные ресурсы · процедура безопасности определяет, что должно быть защищено, а политика – как защитить информационные ресурсы · между ними нет различий
12.	К процедурам безопасности относятся:	· процедура управления конфигурацией · процедура резервного копирования · процедура обработки инцидентов · процедура гибернации
13.	Построение профиля защиты, оформление условий безопасного использования информационных технологий, формулирование целей безопасности объекта относятся к этапам:	· разработки автоматизированной информационной технологии · проектирования системы обеспечения информационной безопасности предприятия · жизненного цикла автоматизированной информационной системы
14.	К средствам защиты от несанкционированного доступа периметра сети и основных компонент автоматизированных систем относятся:	· средства межсетевого экранирования · концентраторы · репитеры · маршрутизаторы
15.	Межсетевые экраны не позволяют…	· организовать защиту на уровне доступа к компонентам и сети в целом · выполнять контроль IP-адресов · организовать защиту трафика данных, передаваемых по открытым каналам связи
16.	IDS (Intrusion Detection Systems) – это…	· cредства обнаружения вторжений, позволяющие контролировать состояние безопасности сети в реальном времени · средства аутентификации пользователей · средства построения виртуальных частных сетей
17.	Внутренняя сеть организации, построенная на использовании протокола IP для обмена и совместного использования некоторой части информации внутри этой организации – это…	· Internet · Intranet · Fidonet · Ethernet
18.	Что не относится к видам условий безопасного использования ИТ?	· физические условия · условия для персонала · условия соединений · эргономические условия
19.	К политикам информационной безопасности относятся…	· административно-ресурсная, общая тактическая · общая стратегическая, частная тактическая · системно-аналитическая, информационно-стратегическая
20.	Среди политик информационной безопасности компании различают:	· общая стратегическая · частная тактическая · общеадминистративная · инновационная