-
Информация ограниченного доступа:
-
Гостайна;
-
Другие виды тайн;
-
Конфиденциальная информация (персональные данные).
Информация открытого доступа.
Модель Белла-ЛаПадулы:
|
|
3 |
2 |
1 |
|
“Секретно” |
RW |
R |
R |
|
“Совершенно секретно” |
(W) |
RW |
R |
|
“Особой важности” |
(W) |
(W) |
RW |
Примечание: Без W — классическая мандатная система.
Практика 8. Внедрение минимальных полномочий и разделение обязанностей.
Нельзя совмещать следующие пары ролей:
-
Администратор + администратор ИБ;
-
Разработчик + тестер;
-
Разработчик + эксплуататор;
Классификация учетных записей (по пользователю):
-
Пользовательская:
-
персональная;
-
групповая (по возможности как можно меньше);
Служебная:
-
технологическая учетная запись (по возможности блокировать, разделять);
-
системная учетная запись (необходимо разделить между админом и АИБом или заблокировать);
-
учетные записи внештатного режима (при нештатных ситуациях).
Принципы управления учетными записями:
-
Следить за учетными записями;
-
Минимум полномочий;
-
Критически важные операции нельзя доверять одному человеку.
Практика 9. Управление ИБ при использовании услуг облачных провайдеров.
Необходимо определить точное соглашение по ИБ для каждого облачного сервиса, особенно в части ограничения доступа и возможности по мониторингу.
Виды облаков:
-
Частное облако (облако, находящееся у нас, на уровне компании);
-
Коллективное облако;
-
Публичное облако (iCloud, к примеру);
-
Гибридное облако.
Опр. Service Level Agreement (SLA) — определяет взаимные ответственности провайдера ИТ-сервиса и пользователей этого сервиса.
Практика 10. Контроль привилегированных пользователей.
Практика 11. Управление изменениями: применение процесса ITIL для ПВУ.
Три стадии в организационных изменениях:
-
Отторжение;
-
Принятие без понимания;
-
Принятие с пониманием.
Техзадание → Эскизный проект → технорабочий проект → испытания → эксплуатация.
Примечание: Все ТЗ должны согласовываться со службой безопасности
.
DHL — склад эталонного железа.
DSL — библиотека эталонного ПО.
CMDB — конфигурационная база данных.
Практика 12. Использование утилит корреляции событий или SIEM структуры.
Логи должны просматриваться автоматически.
Классы систем:
-
Security information management (SIM, собирает все логи, приводит их к общему формату и предоставляет эту информаицю АИБу);
-
Security Event Management (SEM, играет роль “красной лампочки”).
Протоколы изменений: syslog, snmp, smtp.
-
Security Infrormation and Event Management (SIEM):
-
Сбор информации;
-
Нормализация (приведение к общему виду, что за событие);
-
Корреляция (совмещение всего вместе, что за атака);
-
Выдача сообщения (Alert).
-
Примечание: пункты c) и d) относятся к анализу.
Виды анализа:
-
Сигнатурный (поиск отклонений от нормы, бывают ложные срабатывания);
-
Эталонный (следим за нормой, сравниваем с тем, что должно быть).
Практика 13. Контроль удаленного доступа и MDM.
Установить мониторинг и контроль удалённого доступа и мобильных устройств.
Virtual Private Network (VPN):
При увольнении обязательно надо блокировать удаленный доступ.
“Дыры” при использовании мобильных устройств:
-
“Расшаренный” Wi-Fi, соединение Интранета и Internet;
-
Съем информации;
-
На мобильном устройстве присутствуют рабочие и личные приложения.
Пути борьбы с уязвимостями:
-
Mobile Device Manager (MDM, покупка спец. устройств и установка спец. ПО, дорогой способ);
-
Bring Your Own Device (BYOD, опасно, но компании идут на это ради популяризации среди молодежи).
-
Distance Banking “Obslujivanie” (DBO/ДБО).
Практика 14. Процедура увольнения сотрудников.
Необходимо разработать исчерпывающую процедуру увольнения сотрудника с участием:
-
Непосредственного начальника;
-
Финансового департамента;
-
Отдела учета;
-
Отдела ИБ;
-
Отдела кадров;
-
Отдел физической защиты.
Виды аутентификации:
-
“Я знаю” (пароль);
-
“Я имею” (карточка);
-
“Я есть” (биометрия).
Практика 15. Резервирование и восстановление.
Необходимо внедрить практику резервирования и восстановления.
Виды резервов:
-
Горячий резерв.
Информация синхронизируется в реальном времени. Если что-то случается, то второй сервер сразу начинает работу.
-
Теплый (условно-горячий) резерв.
Информация синхронизируется раз в день.
-
Холодный резерв.
Второй сервер не работает пока не сломается первый. Данные на второй перекачиваются с перового раз в месяц.
Примечание: Для надежности информацию с холодного резерва иногда переписывают еще и на магнитную ленту.
Практика 16. Формализованная программа ПВУ.
Управление инцидентами:
-
Выявление:
-
SIEM;
-
Наблюдение;
-
Аудит;
-
AntiProud.
Реагирование.
План действий:
-
Последовательность действий;
-
Телефоны;
-
Ответственные люди.
Практика 17. Базовый уровень сетевого поведения.
Практика 18. Контроль социальных медиа.
Вообще не говорить о работе в соцсетях.
Практика 19. Контроль утечки информации. DLP.
Опр. Data Leak Prevention (DLP) – технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
Каналы утечки информации:
-
Технические:
-
ПЭМИН;
-
акустика;
-
виброакустика;
-
гидроакустика;
-
оптические;
-
-
Rubish Diving;
-
Социальные сети;
-
Агентный канал;
-
Недекларированные возможности;
-
USB
-
CD/DVD/Blu-Ray/Floppy и т.д.
-
Рассказать человеку;
-
Кража оборудования;
-
Отсканировать/сфотографировать;
-
Распечатать;
-
Wi-Fi/анализ трафика/BT/IRDA (ИК-порт);
-
Почта;
-
Телефон;
-
Факс;
-
SMS/MMS;
-
Написать записку;
-
Вскрыть корпус;
-
Key Logger.
DLP контролирует:
-
Социальные сети;
-
Установку программ;
-
USB конкретных устройств;
-
Печать, зеркалирование, эталонный анализ;
-
Почту.