Этапы построения системы безопасности ис

Концепция информационной безопасности определяет этапы по­строения системы информационной безопасности в соответствии со стандартизованным жизненным циклом ИС: аудит безопасности, проводиться на первой стадии ЖЦ ИС (пред-проектное об­следование), проектирование системы безопасности проходит на второй стадии ЖЦ ИС (проектирование), внедрение и аттестация, сопровождает 3 стадию ЖЦ (ввод системы в действие системы) [7]. Рассмотрим кратко содержание отдельных этапов

Аудит безопасности. Аудит безопасности может включать в себя, по крайней мере, четыре различных группы работ.

К первой группе относятся так называемые тестовые взломы ИС. Эти тесты применяются, как правило, на начальных стадиях обследо­вания защищенности ИС. Причина малой эффективности тестовых взломов скрывается в самой постановке задачи. Действительно, основ­ной задачей взломщика является обнаружение нескольких уязвимостей и их использование для доступа в систему. Если тест оказался ус­пешным, то, предотвратив потенциальное развитие возможных сцена­риев взлома, работу надо начинать сначала и искать следующие. Неуспех взлома может означать в равной мере как защищенность сис­темы, так и недостаточность тестов.

Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной работы оценивается общее состояние механизмов безопасности в обследуемой ИС на основе стандартизованных прове­рок. Экспресс-обследование обычно проводится в случае, когда необ­ходимо определить приоритетные направления, позволяющие обеспе­чить минимальный уровень защиты информационных ресурсов. Ос­нову для него составляют списки контрольных вопросов, заполняемые в результате как интервьюирования, так и тестовой работы автомати­зированных сканеров защищенности.

Третья группа работ по аудиту — аттестация систем на соответ­ствие требованиям защищенности информационных ресурсов. При этом происходит формальная проверка набора требований как орга­низационного, так и технического аспектов, рассматриваются полно­та и достаточность реализации механизмов безопасности.

Четвертая группа — пред-проектное обследование — самый трудо­емкий вариант аудита. Такой аудит предполагает анализ организаци­онной структуры предприятия в приложении к ИР, правила доступа сотрудников к тем или иным приложениям. Затем выполняется ана­лиз самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, необхо­димые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения ИБ дает основания для ранжирования рис­ков, существующих в ИС, и выработки адекватных контрмер. Успеш­ное проведение предпроектного обследования, последующего анали­за рисков и формирования требований определяют, насколько приня­тые меры будут адекватны угрозам, эффективны и экономически оправданы.

Проектирование системы. В настоящее время сложились два под­хода к построению системы ИБ: продуктовый и проектный. В рамках продуктового подхода выбирается набор средств физической, техни­ческой и программной защиты (готовое решение), анализируются их функции, а на основе анализа функций определяется политика досту­па в рабочие и технологические помещения, к информационным ре­сурсам. Можно поступать наоборот: вначале прорабатывается поли­тика доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор средств и продуктов, обес­печивающих выполнение этих функций. Выбор методов зависит от конкретных условий деятельности организации, ее местонахождения, расположения помещений, состава подсистем ИС, совокупности ре­шаемых задач, требований к системе защиты и т.д. Продуктовый под­ход более дешев с точки зрения затрат на проектирование. Кроме того, в некоторых случаях он является единственно возможным в условиях дефицита решений или жестких требований нормативных докумен­тов на государственном уровне (например, для криптографической защиты в сетях специального назначения и правительственных теле­фонных сетях применяется только такой подход). Проектный подход заведомо более полон, и решения, построенные на его основе, более оптимизированы и проще аттестуемы. Он предпочтительнее и при со­здании больших гетерогенных распределенных систем, поскольку в отличие от продуктового подхода не связан изначально с той или иной платформой. Кроме того, он обеспечивает более «долгоживущие» ре­шения, поскольку допускает проведение замены продуктов и решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа. Это, в свою очередь, обеспечивает хороший показатель возврата инвестиций при развитии ИС и системы ИБ.

Внедрение и аттестация. Этап внедрения включает в себя комп­лекс последовательно проводимых мероприятий, в том числе установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдачу в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в «бо­евой» режим. Если в процессе опытной эксплуатации выявлены фак­ты некорректной работы компонентов, проводят корректировку на­строек средств защиты, режимов их функционирования и т.п. По ре­зультатам опытной эксплуатации вносят корректировки (при необходимости) и уточняют настройки средств защиты. Далее следу­ет проведение приемо-сдаточных испытаний, ввод в штатную эксплу­атацию и оказание технической поддержки и сопровождения.