Управление информационной безопасностью
Оглавление
Основные программно-технические меры 29
Идентификация и аутентификация 30
Наиболее распространенные угрозы 53
Общая структура управления ИБ на предприятии 56
Операционные регуляторы 59
Управление персоналом 59
Физическая защита 61
Организационная структура, персонал и основные задачи 62
департамента информационной безопасности предприятия 62
основные задачи 63
Операционные регуляторы 70
Планирование восстановительных работ 70
Операционные регуляторы 73
Поддержание работоспособности 73
Политика безопасности в примерах 76
Политика информационной безопасности предприятия: нижний уровень 82
Политика ролей 87
Ролями называются характерные наборы функций и степени отвественности, свойственные теми или иными группами лиц. Четкое определение ролей, классификация их уровней доступа и ответственности, составление списка соответствия персонала тем или иным ролям делает политику безопасности в отношении рабочих и служащих предприятия четкой, ясной и легкой для исполнения и проверки. 87
Предпосылки развития управления ИБ предприятии 96
Программа реализации политики безопасности — управленческий аспект 99
Основные программно-технические меры 101
Протоколирование и аудит 102
Работа с персоналом предприятия 105
Операционные регуляторы 109
Реакция на нарушения режима безопасности 109
Структура организационного обеспечения информационной безопасности на уровне государств 110
Основные программно-технические меры 115
Управление доступом 115
Управление рисками 119
Функции Департамента информационной безопасности, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия 122
1-Администрирование информационных систем и систем защиты информации
Департамент информационной безопасности.
Функции, связанные с администрированием информационных систем и систем защиты информации
могут включать в себя:
выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
реагирование на различные инциденты, связанные с нарушением информационной безопасности;
принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
генерирование паролей пользователей информационных систем и обеспечение их сохранности;
участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.
2-Анализ действующей на предприятии политики безопасности
Качественный анализ действующей на предприятии политики безопасности является отправной точкой для проведения аудита. Проведение дополнительной оценки значимости основных информационных активов предприятия, их уязвимости, а также существующих рисков и угроз. Анализ политики включает оценку таких ее характеристик, как:
полнота и глубина охвата всех вопросов, а также соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня;
понятность текста политики для людей, не являющихся техническими специалистами, а также четкость формулировок и невозможность их двойного толкования;
актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в информационных системах и бизнес-процессах.
Затем в процессе аудита могут быть проверены действующие классификации информационных ресурсов по степени критичности и конфиденциальности
организационные документы подразделений предприятия (положения об отделах, должностные инструкции);
инструкции (положения, методики), касающиеся отдельных бизнес-процессов предприятии;
кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации, аттестации и ознакомлении с действующими правилами;
техническая документация и пользовательские инструкции для различных используемых программных и аппаратных средств (как разработанных самим предприятием, так и приобретенных у сторонних поставщиков): межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п.
Основная работа аудиторов заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия:
организация процесса обучения пользователей приемам и правилам безопасного использования информационных систем;
организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации (правильность использования программных и аппаратных средств администрирования, своевременность создания и удаления учетных записей пользователей, а также настройки их прав в информационных системах, своевременность замены паролей и обеспечение их соответствия требованиям безопасности, осуществление резервного копирования данных, ведение протоколов всех производимых в процессе администрирования операций, принятие мер при выявлении неисправностей и т.п.);
организация процессов повышения квалификации администраторов информационных систем и систем защиты информации;
обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей информационных систем и фактически имеющихся;
организация назначения и использования специальных ("суперпользовательских") прав в информационных системах предприятия;
организация работ и координации действий при выявлении нарушений информационной безопасности и восстановлении работы информационных систем после сбоев и нападений (практическое выполнение "аварийного плана");
предпринимаемые меры антивирусной защиты (надлежащее использование антивирусных программ, учет всех случаев заражения, организация работы по устранению последствий заражений и т.п.);
обеспечение безопасности приобретаемых программных и аппаратных средств (наличие сертификатов и гарантийных обязательств, поддержка со стороны поставщика при устранении выявленных недостатков и т.п.);
обеспечение безопасности самостоятельно разрабатываемого программного обеспечения (наличие необходимых требований в проектной документации информационных систем, качество программной реализации механизмов защиты и т.п.);
организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО;
предпринимаемые меры по обеспечению учета и сохранности носителей информации (дисков, дискет, магнитных лент и т.п.), а также по их безопасному уничтожению после окончания использования;
эффективность организации взаимодействия сотрудников предприятия – пользователей информационных систем – со службой информационной безопасности (в частности, по вопросам реагирования на инциденты и устранения их последствий).
Контроль того, насколько своевременно и полно положения и требования политики безопасности и других организационных документов доводятся до персонала предприятия. Это делается с помощью интервью всех, имеющих хотя бы какое-то отношение к информационным системам и процедурам обработки информации: администраторов и разработчиков информационных систем, операторов и других пользователей, вспомогательный персонал и т.п.
Одной из важных задач аудита может быть установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотрудников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы:
процедуры отбора и принятия новых сотрудников на работу, а также их предварительной проверки;
процедуры контроля за деятельностью сотрудников (отслеживания их действий);
процедуры регистрации пользователей и назначения им прав в информационных системах;
распределение функций между различными сотрудниками и минимизация их привилегий, а также возможное наличие избыточных прав у некоторых пользователей и администраторов.
3-Анализ процесса нападения и его обстоятельств и оценка ущерба
Одним из заключительных шагов процесса реагирования на инцидент является оценка и анализ процесса нападения и его обстоятельств. Основные задачи аналитической работы на данном этапе:
анализ целей и мотивов нападавших;
анализ фундаментальных (организационных и технических) причин, которые сделали нападение возможным и успешным (если оно было успешным);
анализ последствий (в том числе и долгосрочных) нападения для всей деятельности предприятия;
анализ и оценка работы персонала и взаимоотношений с предприятиями-партнерами (в том числе и с поставщиками информационных систем и средств защиты информации).
Результатом анализа должны быть выводы, которые могут послужить основой для организационной работы в различных направлениях:
корректировка и уточнение политики информационной безопасности предприятия;
проведение дополнительной работы с персоналом предприятия (наказания, поощрения, дополнительное обучение и т.п.);
проведение дополнительной работы с персоналом департамента информационной безопасности предприятия, а также персоналом ИТ-служб;
пересмотр взаимоотношений с контрагентами предприятия (покупателями, поставщиками, партнерами по НИОКР и т.п.), имеющими доступ к его защищаемой информации или информационным системам;
привлечение сторонних консультантов по информационной безопасности и специалистов по средствам защиты информации;
инициирование технического переоснащения отдельных участков информационной инфраструктуры предприятия.
Важной составляющей анализа нападения также является оценка ущерба от произошедшего нарушения информационной безопасности.
Наиболее простым для количественной экономической оценки является прямой ущерб: затраты на восстановление утраченной информации (могут быть рассчитаны на основе трудоемкости работ по восстановлению информации и данных о средней стоимости рабочего времени соответствующих специалистов), затраты на замену скомпрометированных паролей, кодов и ключей, стоимость поврежденного оборудования, штрафные санкции за разглашение конфиденциальной информации (если такие санкции были предусмотрены договорами с подрядчиками, поставщиками или заказчиками) и т.п. Также в оценке нуждается упущенная выгода, которая может быть связана как с непосредственным прекращением (приостановкой, замедлением) текущих операций предприятия, так и с долгосрочным (перспективным) негативным влиянием возникшей внештатной ситуации – потерей доверия к предприятию, приводящей к оттоку заказчиков, формированием негативного имиджа предприятия и т.п. Отдельно также может быть оценено падение рыночной стоимости предприятия – его акций (если речь идет о предприятии, акции которого котируются на биржевом рынке).
Наиболее сложным для оценки является моральный ущерб и последствия от разглашения информации личного характера (например, сведений, составляющих врачебную тайну). Конкретные суммы морального ущерба, как правило, могут быть установлены по результатам судебных разбирательств.
Заключительным этапом процесса реагирования также является устранение негативных последствий нападения – локализация ущерба, причиненного произошедшим нарушением. Эта работа может включать в себя:
смену скомпрометированных паролей отдельных пользователей;
переустановку поврежденных операционных систем, а также поврежденного программного обеспечения;
восстановление нарушенной конфигурации (настроек) программного обеспечения и операционных систем;
восстановление поврежденной информации (баз данных, файлов), как из ранее созданных резервных копий, так и другими способами.
В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные) аппаратные и программные платформы.
Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая может в себя включать:
рассылку пользователям информации о произошедших инцидентах (в виде специальных писем и бюллетеней);
передачу некоторых сведений о нападении в средства массовой информации;
передачу сведений о нападении крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации;
дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку.
4-Аудит состояния ИБ Основные цели задачи и этапы границы
Аудит состояния информационной безопасности на предприятии представляет собой экспертное обследование основных аспектов информационной безопасности, их проверку на соответствие определенным требованиям. В некоторых случаях под аудитом информационной безопасности подразумевается проверка защищенности отдельных элементов информационной инфраструктуры предприятия (сегментов его сети, отдельных серверов, баз данных, Интернет-сайтов и т.п.) и надежности средств защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.
Аудит информационной безопасности является комплексным (по возможности, исчерпывающим) исследованием всех аспектов информационной безопасности (как технических, так и организационных) в контексте всей хозяйственной деятельности предприятия с учетом действующей политики информационной безопасности, объективных потребностей предприятия и требований, предъявляемых третьими лицами (государством, контрагентами и т.п.).
Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников предприятия) и внешний (осуществляемый сторонними организациями).
Целями аудита могут быть:
установление степени защищенности информационных ресурсов предприятия, выявление недостатков и определение направлений дальнейшего развития системы защиты информации;
проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в сфере информационной безопасности, выполнения требований политики безопасности;
контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению информационной безопасности;
сертификация на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в частности, на соответствие национальным и международным стандартам).
Одной из стратегических задач, решаемых при проведении аудита информационной безопасности и получении соответствующего сертификата, является демонстрация надежности предприятия, его способности выступать в качестве устойчивого партнера, способного обеспечить комплексную защиту информационных ресурсов, что может быть особенно важно при осуществлении сделок, предполагающих обмен конфиденциальной информацией, имеющей большую стоимость (финансовыми сведениями, конструкторско-технологической документацией, результатами НИОКР и т.п.).
В том случае, если аудит является внутренним, группу аудиторов необходимо сформировать из числа таких специалистов, которые сами не являются разработчиками и администраторами используемых информационных систем и средств защиты информации и не имели отношения к их внедрению на данном предприятии.
Как правило, предприятие может прибегать к помощи внешних аудиторов с целью:
повышения объективности, независимости и профессионального уровня проверки;
получения заключений о состоянии информационной безопасности и соответствии международным стандартам от независимых аудиторов.
Компании, специализирующиеся на проведении аудитов, могут осуществлять проверки состояния информационной безопасности на соответствие таким общепризнанным стандартам и требованиям, как различные стандарты:
ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий);
ISO 17799 (BS 7799): Code of Practice for Information Security Management (Практические правила управления информационной безопасностью);
BSI\IT: Baseline Protection Manual (Руководство базового уровня по защите информационных технологий Агентства информационной безопасности Германии);
COBIT: Control Objectives for Information and related Technology (Основные цели для информационных и связанных с ними технологий);
ДСТУ ISO/IEC TR 13335-2:2003. Информационные технологии. Руководство по управлению защитой IT. Часть 2.
Требованиям Руководящих документов Держспец зв’язку, СБУ или других государственных органов
При этом организация, осуществляющая внешний аудит, должна отвечать определенным требованиям:
иметь право (лицензию) на выдачу заключений о соответствии определенным требованиям (например, аккредитацию UKAS – United Kingdom Accreditation Service);
сотрудники должны иметь право доступа к информации, составляющей государственную и военную тайну (если такая информация имеется на проверяемом предприятии);
обладать необходимыми программными и аппаратными средствами для исчерпывающей проверки имеющегося у предприятия программного и аппаратного обеспечения.
Основными этапами проведения аудита являются:
инициирование проведения аудита;
непосредственно осуществление сбора информации и проведение обследования аудиторами;
анализ собранных данных и выработка рекомендаций;
подготовка аудиторского отчета и аттестационного заключения.
Если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы:
перечень обследуемых информационных ресурсов и информационных систем (подсистем);
перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит;
основные угрозы, средства защиты от которых необходимо подвергнуть аудиту;
элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки (организационное, правовое, программно-техническое, аппаратное обеспечение);
Основная стадия – проведение аудиторского обследования и сбор информации – как правило, должно включать в себя:
анализ имеющейся политики информационной безопасности и другой организационной документации;
проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;
проверку состояния физической безопасности информационной инфраструктуры предприятия;
техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности).
Прежде чем приступить собственно к аудиту информационной безопасности, аудиторам (в частности, если проводится внешний аудит) необходимо ознакомиться со структурой предприятия, его функциями, задачами и основными бизнес-процессами, а также с имеющимися информационными системами (их составом, функциональностью, процедурами использования и ролью на предприятии). На начальном этапе аудиторы принимают решения о том, насколько глубоко и детально будут исследованы отдельные элементы информационной системы и системы защиты информации. Также необходимо заранее скоординировать с пользователями информационных систем процедуры проверки и тестирования, требующие ограничения доступа пользователей (такие процедуры по возможности должны проводиться в нерабочее время или в периоды наименьшей загрузки информационной системы).
5-Взаимосвязи уровней организации ИБ
Взаимосвязи уровней организации информационной безопасности
Важность выделения и самостоятельного рассмотрения верхних уровней управленческой работы обусловлена тем, что целенаправленное осознание организационных вопросов, специфичных для верхних уровней иерархии, и их решение позволит более эффективно решать задачи развития национальных и региональных экономик в целом и отдельных отраслей (телекоммуникации, финансовые услуги и т.п.), а не только решать задачи отдельных субъектов, участвующих в информационном обмене.
Рис. 1.5. Взаимосвязи уровней организации информационной безопасности
Основные особенности организационной работы на каждом из перечисленных уровней организации представлены в Таблице 1.1.
Таблица 1.1. Задачи, роли и методы, используемые на различных уровнях организационной работы в сфере информационной безопасности |
||
Организационный уровень |
Основные задачи и роли |
Основные специфичные методы организационной работы |
1. Международные организации |
Разработка правил и стандартов (в том числе и сетевых протоколов), имеющих глобальное значение Обмен актуальной информацией и предупреждениями о новых угрозах |
Координация работы специалистов, экспертов и исследователей, представляющих различные заинтересованные стороны |
2. Глобальные ИТ-компании |
Методологическая и организационная поддержка использования продуктов и услуг, поставляемых на рынок |
Гибкое взаимодействие с клиентами (пользователями продуктов и услуг) с целью повышения эффективности использования информационных систем и получения отзывов для дальнейшего повышения качества поставляемых продуктов и услуг |
3. Государственные организации |
Регулирование использования информационных систем и распространения информации с целью недопущения противоправных действий, ущерба другим участникам информационного обмена, обществу и государственным органам |
Разработка национальных и международных правил (законов, конвенций, соглашений и т.п.), регулирующих отношения в информационной сфере Осуществление контроля (в различных формах) Осуществление правоприменительной и правоохранительной деятельности |
4. Пользователи информационных систем – владельцы информации |
Защита собственных информационных ресурсов |
Выделение подразделений и специалистов, отвечающих за ИБ Разработка и применение внутренних политик и правил безопасности |
5. Консалтинговые и внедренческие компании, работающие в сфере ИБ |
Выполнение некоторых функций ИБ на условиях аутсорсинга Разработка и внедрение индивидуальных решений в сфере ИБ более эффективно, чем это могли бы сделать сами владельцы информационных ресурсов |
Накопление и обобщение теоретических знаний и практических навыков с целью создания и внедрения организационных и технических решений в интересах клиентов |
Таблица 1.1, а также рисунок 1.5 наглядно демонстрируют причины, по которым каждый из уровней организационной работы в сфере информационной безопасности нуждается в индивидуальном подходе и применении специфичных методов организации и управления.
6-Внедрение средств защиты информации
Департамент информационной безопасности.
Функции, связанные с внедрением средств защиты информации
могут включать в себя:
анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.
7-Внедрение СУИБ сопровождение и обслуживание
3. Внедрение системы ИБ.
После проведения полного тестирования спроектированной системы ИБ, можно приступать к её внедрению. Работы по внедрению системы включают выполнение следующих задач:
поставку программных и технических средств защиты информации;
инсталляцию программных компонентов;
настройку всех компонентов и подсистем;
проведение приёмо-сдаточных испытаний;
внедрение системы управления ИБ;
обучение пользователей;
ввод системы ИБ в промышленную эксплуатацию.
Для эффективной дальнейшей эксплуатации системы необходимо обеспечить её поддержку и сопровождение (собственными силами компании или силами привлекаемых специалистов).
4. Сопровождение и обслуживание
При проведении работ по созданию или модернизации системы информационной безопасности компании часто обращаются за помощью к внешним консультантам. Однако вопрос аутсорсинга работ по созданию и сопровождению системы ИБ неоднозначный. Отдавать на аутсорсинг процессы обеспечения безопасности целесообразно только в том случае, если эта функция не является базовым компонентом основного бизнеса [3]. Аспекты информационной безопасности (особенно касательно противодействия внутренним угрозам) настолько интимны, что, однажды доверив сторонней компании исполнение определённых процессов, можно стать ее заложником, потому что сменить аутсорсера будет мешать особая ценность предоставляемой ему информации. В то же время серьёзным аргументом в пользу привлечения аутсорсера служит его объективность. Можно быть более или менее уверенным, что он будет непредвзято отслеживать нарушителей и сообщать обо всех действиях, невзирая на их статус внутри компании.
Как выбрать надёжного партнёра, которому можно было бы доверить одну из самых критичных областей бизнеса?
В первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для проведения работ по проектированию и моделированию системы ИБ. Кроме того, дополнительные выгоды принесёт наличие у исполнителя высоких партнёрских статусов с поставщиками программно-аппаратных комплексов (это также является определённой гарантией опыта компании-консультанта). И, главное, – необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме. Услуги службы технической поддержки исполнителя могут включать и аутсорсинг, и удалённый мониторинг состояния средств защиты информации, и обслуживание поддерживаемых средств. Исполнители могут выполнять работы по сопровождению продуктов – плановой замене их версий, консультированию пользователей и др. То есть обеспечивается технологическая основа для того, чтобы система ИБ «жила» и развивалась.
Тем не менее, обеспечение безопасности информации требует постоянного присутствия специалиста в организации, его доступа к весьма чувствительным с точки зрения безопасности объектам, общения с сотрудниками и пользователями информационной системы. Получается, что специалист вроде бы «наш», а вроде бы и «не наш». Да и с экономической точки зрения такой аутсорсинг эквивалентен приёму на работу собственного специалиста. Так кого лучше содержать: своего или чужого? А если надо срочно принять серьёзное управленческое решение по восстановлению нарушенной безопасности информации?
В вопросе передачи обеспечения безопасности информации на аутсорсинг многое зависит от решения руководства организации: готово ли оно идти на увеличение рисков, оправдано ли это экономически. По мнению некоторых экспертов в области ИБ, в данном вопросе «должен быть достигнут разумный компромисс» [3].
__________________________
1. Голов А. Построение эффективной системы информационной безопасности // Финансовая газета. 2006. № 8.
2. ISO/IEC IS 27001:2005 Information technology. Security techniques. Information security management systems. Requirements.
3. Формирование корпоративной политики внутренней информационной безопасности // BYTE Россия. 2006. № 4 (92).
8-Вычисление рисков
"вычисление рисков"
Методика создания политики безопасности предприятия состоит из учета основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и генеральной стоимости проекта.
Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :
определение какие данные и насколько серьезно необходимо защищать,
определение кто и какой ущерб может нанести фирме в информационном аспекте,
вычисление рисков и определение схемы уменьшения их до приемлимой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы – злоумышленник. Ваши действия ?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков".
В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков, остановимся на одной из самых простых.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :
Величина ущерба |
Описание |
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
1 |
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
4 |
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
5 |
Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :
Вероятность |
Средняя частота появления |
0 |
Данный вид атаки отсутствует |
1 |
реже, чем раз в год |
2 |
около 1 раза в год |
3 |
около 1 раза в месяц |
4 |
около 1 раза в неделю |
5 |
практически ежедневно |
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :
Описание атаки |
Ущерб |
Вероятность |
Риск (=Ущерб*Вероятность) |
Спам (переполнение почтового ящика) |
1 |
4 |
4 |
Копирование жесткого диска из центрального офиса |
3 |
1 |
3 |
... |
... |
... |
2 |
Итого : |
9 |
||
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких погрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлимыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.
Завершается разработка политики безопасности ее утверждением у руководства фирмы и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и, как следствие, модификация политики безопасности фирмы чаще всего производится раз в два года.
9-ГРИФ 2006 -инструмент для анализа защищенности ресурсов инф системы и эффективного управления рисками
Система анализа и управления информационными рисками
ГРИФ 2006 - мощный и удобный инструмент для анализа защищенности ресурсов Вашей информационной системы и эффективного управления рисками.
ГРИФ 2006 позволяет провести полный анализ рисков - получить полную картину всех угроз, актуальных для Вашей информационной системы, оценить, насколько критичны уязвимости и к каким потерям они могут привести.
Теперь Вы знаете не только уровень риска каждого ценного ресурса Вашей информационной системы, но и все причины риска.
Кроме анализа рисков, ГРИФ 2006 также помогает управлять рисками, т.е. разрабатывать стратегию внедрения контрмер на основе анализа соотношения затраты/эффективность.
Система ГРИФ 2006 предназначена для анализа и управления информационными рисками компании с помощью анализа информационных потоков или угроз и уязвимостей информационной системы.
При анализе информационных потоков в программу вносятся следующие сведения об информационной системе:
• ресурсы обработки и хранения информации; • виды информации, обрабатываемой в информационной системе; • ущерб от нарушения конфиденциальности, целостности или доступности информации; • группы пользователей, обрабатывающих информацию; • сетевые группы, т.е. указать, какие ресурсы физически взаимосвязаны друг с другом; • бизнес-процессы компании.
Кроме того, требуется определить средства защиты, которые используются в информационной системе.
Чтобы всесторонне оценить информационные риски, предусмотрен раздел с вопросами по политике безопасности, которые учитывают организационные аспекты, влияющие на безопасность информационной системы.
При анализе угроз и уязвимостей информационной системы в программу вносятся следующие сведения:
• ресурсы обработки и хранения информации; • критичность ресурсов; • угрозы, действующие на ресурсы; • уязвимости информационной системы. На основе введенных данных программа оценивает риски информационной системы и представляет полученные данные в отчете, содержащем: • полную инвентаризацию ресурсов и видов информации компании; • значения рисков для каждого ресурса и вида информации; • перечень уязвимостей, влияющих на значения рисков.
После оценки информационных рисков компании для анализа дальнейших действий по снижению уровня риска в системе ГРИФ 2006 предусмотрен модуль управления рисками. В нем отображаются действующие угрозы и уязвимости информационной системы или неустановленные в системе средства защиты, с помощью которых можно снизить значения рисков. Кроме того, можно задать уровень приемлемого риска для того, чтобы ресурсы, значение риска которых ниже приемлемого риска, не отображались. После задания контрмеры, закрывающей уязвимость информационной системы, отображается соотношение стоимости данной контрмеры и величины, на которую изменилось значение риска. Это позволяет расставить приоритеты и заранее оценить эффективность планируемых мероприятий при управлении информационными рисками компании.
Алгоритм
ГРИФ - описание алгоритма
Модель анализа информационных потоков
Модель анализа угроз и уязвимостей
Модель информационных потоков
Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
В результате работы алгоритма программа представляет следующие данные:
1. Инвентаризация;
2. Значения риска для каждого ценного ресурса организации;
3. Перечень всех уязвимостей, которые стали причиной полученного значения риска;
4. Значения риска для ресурсов после задания контрмер (остаточный риск);
5. Эффективность контрмер;
6. Рекомендации экспертов.
Введение в модель
Для того, чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Владельцу информационной системы требуется сначала описать архитектуру своей сети:
• все ресурсы, на которых хранится ценная информация; • все сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом); • отделы, к которым относятся ресурсы; • виды ценной информации; • ущерб для каждого вида ценной информации по трем видам угроз; • бизнес-процессы и информация, которая в них участвует; • группы пользователей, имеющих доступ к ценной информации; • класс группы пользователей; • доступ группы пользователей к информации; • характеристики этого доступа (вид и права); • средства защиты информации; • средства защиты рабочего места группы пользователей.
new! В новой версии системы для автоматизации процесса занесения данных предусмотрена интеграция с Active Directory.
Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Описание алгоритма и пример расчета (скачать, PDF)
Модель анализа угроз и уязвимостей
Для оценки рисков информационной системы организации защищенность каждого ценного ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов организации.
В результате работы алгоритма программа представляет следующие данные:
1. Инвентаризация;
2. Значения риска для каждого ценного ресурса организации;
3. Перечень всех уязвимостей, которые стали причиной полученного значения риска;
4. Значения риска для ресурсов после задания контрмер (остаточный риск);
5. Эффективность контрмер.
Введение в модель
Данная модель основана на построении модели угроз и уязвимостей.
Для того, чтобы оценить риск информации, необходимо проанализировать все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз.
Исходя из введенных владельцем информационной системы данных, можно построить модель угроз и уязвимостей, актуальных для информационной системы компании. На основе полученной модели будет проведен анализ вероятности реализации угроз информационной безопасности на каждый ресурс и, исходя из этого, рассчитаны риски.
Описание алгоритма и пример расчета (скачать, PDF)
Управление рисками
Для эффективного управления информационными рисками в системе ГРИФ существует специальный модуль "Управление рисками".
Функции модуля:
1. Определяет все уязвимости, которые необходимо закрыть
2. Предоставляет Вам все данные для принятия решения о целесообразности внедрения контрмеры:
• Риск до задания контрмер; • Риск после задания контрмер; • Эффективность комплекса контрмер • ROSI (Возврат инвестиций на информационную безопасность)
При этом Вы сами задаете значение остаточного риска, который приемлем для Вашей компании после внедрения контрмер. http://www.dsec.ru/img/screenshot/contrmeri.jpg
Удобство работы с модулем управления рисками заключается в том, что алгоритм просчитывает все возможные варианты контрмер, не занося их в проект. Таким образом, только после того, как выбранные Вами контрмеры были внедрены в реальную информационную систему, они отображаются в проекте, сохраняя полное соответствие рабочего проекта и Вашей информационной системы.
Классификация угроз Digital Security (Digital Security Classification of Threats)
Описание классификации
Схема
Предпосылки создания:
При разработке алгоритма оценки информационных рисков, основанного на анализе угроз и уязвимостей информационной системы, специалистами Digital Security были рассмотрены и проанализированы различные существующие классификации угроз информационной безопасности. Попытки использования данных классификаций для описания по возможности большего количества угроз показали, что во многих случаях реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким.
Таким образом, основная цель создания специалистами Digital Security классификации угроз - наиболее полная, детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак, и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем.
Описание классификации:
По характеру угрозы информационной безопасности можно разделить на технологические и организационные.
Соответственно, получим верхний уровень классификации:
1. Угрозы технологического характера
2. Угрозы организационного характера
Рассмотрим технологические угрозы информационной безопасности, которые по виду воздействия делятся на:
1.1. Физические
1.2. Программные (логические)
Следующая ступень классификации - причина угрозы.
Причинами реализации физических угроз могут быть:
1.1.1. Действия нарушителя (человека)
1.1.2. Форс-мажорные обстоятельства
1.1.3. Отказ оборудования и внутренних систем жизнеобеспечения
Независимо от причины физические угрозы воздействуют:
1.1.1.1. На ресурс
1.1.1.2. На канал связи
Далее перейдем к рассмотрению программных угроз.
Программные угрозы по причине воздействия можно разделить на:
1.2.1. Угрозы, исходящие от локального нарушителя;
1.2.2. Угрозы, исходящие от удаленного нарушителя.
Объектом локального нарушителя может быть только ресурс.
При этом, на ресурсе локальный нарушитель может реализовать угрозы, направленные:
1.2.1.1. На операционную систему;
1.2.1.2. На прикладное программное обеспечение;
1.2.1.3. На информацию.
Угрозы, исходящие от удаленного нарушителя, могут воздействовать:
1.2.2.1. На ресурс;
1.2.2.2. На канал связи.
При доступе к ресурсу удаленный нарушитель может воздействовать:
1.2.2.1.1. На операционную систему;
1.2.2.1.2. На сетевые службы;
1.2.2.1.3. На информацию.
При воздействии на канал связи удаленный нарушитель может реализовать угрозы, направленные:
1.2.2.2.1. На сетевое оборудование;
1.2.2.2.2. На протоколы связи.
Рассмотрим организационные угрозы.
Организационные угрозы по характеру воздействия разделим на:
2.1. Воздействие на персонал;
2.2. Действия персонала.
Воздействие на персонал может быть:
2.1.1. Физическим;
2.1.2. Психологическим.
Как физическое, так и психологическое воздействие на персонал направлено на сотрудников компании с целью:
2.1.1.1. Получения информации;
2.1.1.2. Нарушения непрерывности ведения бизнеса.
Причинами действий персонала, способных вызвать угрозы информационной безопасности, могут быть:
2.2.1. Умышленные действия;
2.2.2. Неумышленные действия.
Угрозы, вызванные умышленными действиями персонала, могут быть направлены:
2.2.1.1. На информацию;
2.2.1.2. На непрерывность ведения бизнеса.
Угрозы, вызванные неумышленными действиями персонала, могут быть направлены:
2.2.2.1. На информацию;
2.2.2.2. На непрерывность ведения бизнеса.
Таким образом, классификация угроз информационной безопасности разделяется по характеру угрозы, виды воздействия, причине и объекту угрозы.
Схема: http://www.dsec.ru/products/grif/fulldesc/classification/ugroza_fin.jpg
Скриншоты
Анализ угроз и уязвимостей http://www.dsec.ru/img/screenshot/ugrozi.jpg
Настройки проекта http://www.dsec.ru/img/screenshot/svoistva_proekta_ident.jpg
Управление рисками http://www.dsec.ru/img/screenshot/contrmeri.jpg
Отчет http://www.dsec.ru/img/screenshot/effectivity.jpg
Справочные материалы
Система ГРИФ 2006 содержит подробное справочное руководство, которое полностью описывает все этапы работы: http://www.dsec.ru/img/screenshot/grif_man1.jpg
http://www.dsec.ru/img/screenshot/grif_man2.jpg
Кроме описания работы с системой, в справочных материалах Вы найдете описания принципов работы алгоритма, различные рекомендации экспертов, которые Вам помогут при занесении данных и работе с полученными результатами.
Кроме справочных материалов, для более эффективной работы, Вы можете воспользоваться Поддержкой.
Поддержка продукта
Для всех пользователей программного обеспечения Digital Security доступны различные варианты поддержки.
Поддержка
Расширенная поддержка
Поддержка
Поддержка включает в себя:
Консультации по установке, настройке и эксплуатации программного обеспечения по телефону и электронной почте;
Бесплатное получение обновлений приобретенной версии системы
Стоимость годовой поддержки - 20% от стоимости приобретаемой лицензии.
Расширенная поддержка *
Расширенная поддержка включает в себя:
Консультации по установке, настройке и эксплуатации программного обеспечения по телефону и электронной почте;
Бесплатное получение обновлений приобретенной версии системы;
Сопровождение специалистов, работающих с системой: консультации по занесению данных, анализ отчетов, рекомендации и консультации по результатам анализа
Стоимость годовой расширенной поддержки - 40% от стоимости приобретаемой лицензии.
Режим работы службы поддержки:
Работа со службой поддержки доступна с 10:00 до 19:00 (по московскому времени) каждый день кроме выходных.
Координаты службы поддержки:
Служба поддержки доступна по электронной почте support@dsec.ru. Также Вы можете связаться со службой поддержки по телефонам +7(812)703-1547, 430-9130. Срок обработки запроса службой поддержки не превышает 24 часов (в рабочие дни).
10-Идентификация и аутентификация