Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
БИТиС / Лекции_Мошак_Птицына_ Пособие_БИТиС.docx
Скачиваний:
86
Добавлен:
05.09.2023
Размер:
4.32 Mб
Скачать

5.4.2. Самооценка информационной безопасности

Самооценка соответствия ИБ организации требованиям ПИБ и стандартов РФ проводится в первую очередь подразделениями технической защиты информации организации. Самооценка ИБ должна проводиться в соответствии с нормативно-методическими документами организации и/или соответствующего ведомства.

5.4.3. Аудит информационной безопасности

Должна быть документально определена и реализовываться программа аудитов ИБ организации, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.

В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в процессах планирования, внедрения и эксплуатации СОИБ. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита организации. Аудит информационной безопасности включает:

– проверку соответствия политике безопасности и реализация Планов по безопасности;

– проведение аудита безопасности ИТ–систем;

– определение и принятие мер несоответствующего использования ИТ–ресурсов;

– проверку аспектов безопасности в других видах ИТ–аудита.

Внешний аудит (проводится внешними аудиторами) необходим для определения независимой внешней оценки эффективности СОИБ. Проведение внешнего аудита также требуют заказчики и третьи стороны.

5.4.4. Анализ функционирования СОИБ

Анализ функционирования СОИБ базируется в том числе на:

– результатах мониторинга СОИБ и контроля защитных мер;

– сведениях об инцидентах ИБ;

– результатах проведения аудитов ИБ и самооценок ИБ;

– данных об угрозах, возможных нарушителях и уязвимостях ИБ;

– данных об изменениях внутри организации, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации;

– данных об изменениях вне организации, например, данные об изменениях в законодательстве РФ, изменениях в договорных обязательствах организации.

Анализ функционирования СОИБ должен охватывать следующие функциональные области:

– периодический, а по возможности, динамический контроль защищенности, обеспечивающий своевременное выявление появившихся уязвимостей, которые могут быть использованы для нанесения атак;

– обнаружение атак в режиме реального времени, позволяющее своевременно определить и локализовать попытки выполнения несанкционированных действий и выявить факты несанкционированного воздействия на компьютерные ресурсы;

– централизованное и упреждающее управление, позволяющее на основе автоматизированной поддержки принятия решений, а также эффективного контроля над пользователями и ресурсами сети снизить количество ошибок администрирования и предпринять превентивные меры, не допускающие развития событий по наихудшему сценарию.

Контроль защищенности предполагает периодическое, а в некоторых случаях – динамическое, выполнение следующих базовых функций:

– проверку системы защиты на соответствие новым руководящим и нормативным документам в области информационно–компьютерной безопасности;

– контроль правил корректного использования средств защиты в зависимости от их состава и назначения;

– контроль целостности и подлинности компонентов системы защиты;

– контроль корректности модификации параметров конфигурирования системы защиты;

– динамическая регистрация данных о функционировании системы защиты, их анализ и уведомление ответственных лиц при нарушении правильности работы защитных средств;

– тестирование подсистем защиты на правильность реагирования при моделировании процесса реализации возможных атак;

– контроль работоспособности подсистем защиты при моделировании нарушений работоспособности отдельных элементов компьютерной сети;

– проверка на отсутствие ошибок администрирования и конфигурирования;

– анализ политики формирования и использования эталонной информации (ключей, паролей и др.);

– проверка на наличие своевременных обновлений программных средств;

– проверка на отсутствие программных закладок и вирусов.

Таким образом, контроль защищенности предполагает исследование проверяемых объектов для выявления в них «слабых мест» и обобщение полученных сведений, в том числе в виде отчета.

Проверка системы защиты на соответствие новым руководящим и нормативным документам в области ИБ ИС позволяет своевременно выявить недостатки в системе защиты на основе анализа передового опыта по систематизации предъявляемых к таким системам требований.

Контроль правил корректного использования средств защиты в зависимости от их состава и назначения состоит в периодическом контроле и пересмотре политики безопасности на ее административном и процедурном уровнях. При изменении структуры, технологических схем или условий функционирования компьютерной системы, как концепция защиты, так и детальные процедурные меры могут меняться, в особенности, конкретные инструкции по информационно–компьютерной безопасности, относящиеся к администраторам и пользователям компьютерной системы.

Контроль целостности и подлинности компонентов системы защиты предполагает периодическое или динамическое выполнение следующих действий:

– контроль наличия требуемых резидентных компонентов системы защиты в оперативной памяти компьютера;

– контроль всех программ системы защиты, находящихся во внешней и оперативной памяти, на соответствие эталонным характеристикам;

– контроль корректности параметров настройки системы защиты, располагаемых как в оперативной, так и во внешней памяти;

– контроль корректности эталонной информации (идентификаторов, паролей, ключей шифрования и т.д.).

При контроле корректности модификации параметров конфигурирования системы защиты подсистема контроля не должна допустить установку параметров, противоречащих политике безопасности, принятой в организации.

Регистрация данных о функционировании системы защиты предполагает фиксацию и накопление информации о следующих действиях:

– действиях всех подсистем защиты;

– действиях всех администраторов и пользователей других категорий по использованию защитных средств.

Кроме регистрации данных о функционировании системы защиты должен быть обеспечен и периодический анализ накопленной информации. Основной задачей такого анализа является своевременное определение недопустимых действий, а также прогнозирование степени безопасности информации и процесса ее обработки в вычислительной системе.

Для возможности и результативности периодического анализа предварительно должны быть подготовлены правила, описывающие политику работы системы защиты по одному из принципов:

– в работе системы защиты допустимо все, что не запрещено;

– в работе системы защиты запрещено все, что явно недопустимо.

Более высокий уровень контроля и безопасности обеспечивает второй принцип, так как на практике не всегда удается полностью учесть все действия, которые запрещены. Надежнее определить все действия, которые разрешены, и запретить все остальные.

При обнаружении подсистемой контроля любых нарушений в правильности функционирования подсистемы защиты должно быть выполнено немедленное уведомление соответствующих представителей службы безопасности.

Тестирование подсистем защиты на правильность реагирования при моделировании процесса реализации возможных атак выполняется с помощью специализированных средств анализа защищенности, которые, как правило, обеспечивают выполнение и оставшихся функций контроля защищенности.

Результаты анализа функционирования СОИБ должны документироваться.

В организации должны быть документально определены роли, связанные с процедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.

В организации должен быть определен и утвержден руководством план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых в том чис­ле производятся поиск и анализ проблем ИБ, влияющих на бизнес организации.