11

ПРОГРАММА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ

Верхний (центральный) уровень: Возглавляет лицо, отвечающее за информационную безопасность организации

управление рисками (оценка рисков, выбор эффективных средств защиты);

координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

стратегическое планирование;

контроль деятельности в области информационной безопасности.

И т.д.

Программа верхнего должна официально приниматься и поддерживаться руководством, иметь определенный штат и бюджет

Нижний (служебный) уровень: Цель - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов

какие следует использовать механизмы защиты;

как закупаются и устанавливаются технические средства;

Как осуществляется повседневное администрирование;

Как отслеживается состояние слабых мест

12

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ

Структура описания каждого аспекта:

Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации)

Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ

(Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами )

Позиция организации по данному аспекту. Роли и обязанности.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

13

ПРОГРАММА БЕЗОПАСНОСТИ. Синхронизация с жизненным циклом системы

Инициация. Выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.

Оценка критичности сервиса и обрабатываемой с его помощью информации

какого рода информация предназначается для обслуживания новым сервисом?

каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

есть ли какие-либо особенности нового сервиса (например, распределенность компонентов), требующие принятия специальных процедурных мер?

каковы требования к персоналу, имеющие отношение к безопасности (квалификация, благонадежность)?

каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

9

ПРОГРАММА БЕЗОПАСНОСТИ. Синхронизация с жизненным циклом системы

Закупка. Составляются спецификации с учетом требований безопасности, прорабатываются варианты и выполняется собственно закупка.

Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией.

Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.

Обращается внимание на корректность конфигурирования, необходимость доп. регуляторов процедурного уровня. В конце - тестирование

Эксплуатация. Сервис работает, администрируется, модифицируется.

Требуется отслеживать изменения, соблюдение правил эксплуатации, проводить периодические проверки безопасности функционирования.

Выведение из эксплуатации. Переход на новый сервис.

Затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные

При работе с данными обратить внимание на возможность последующего их использования (носители)

10

Управление рисками. Общие принципы

Цель. Определить ситуации в процессе функционирования ИС, при которых ущерб окажется неприемлемо высок, и принять экономически оправданные меры защиты.

.Актуально для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными.

Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или без анализа рисков на основе типовых решений

Уровень риска - функция вероятности реализации некоторой угрозы (использующей некоторые уязвимые места), и величины возможного ущерба.

10

Управление рисками. Общие принципы

Включает циклически чередующиеся действия, согласованные с ЖЦ ИС:

оценка (переоценка), связанная с измерением рисков;

выбор эффективных и экономичных защитных средств (нейтрализация рисков).

Действия по отношению у рискам.

Ликвидация риска (устранение причины)

Уменьшение риска (за счет дополнительных защитных мер, в т.ч. замена риска)

Принятие риска (план действий на случай реализации)

Переадресация риска (страхование)

11

Управление рисками. Подготовительные этапы

1. Выбор анализируемых объектов и уровня детализации.

Для небольшой организации можно проанализировать всю инфраструктуру. Для крупной – придется чем-то жертвовать. Важно иметь карту ИС. Уязвимым может оказаться каждый компонент информационной системы

2. Выбор методологии. Необходимо получить количественную оценку риска, ответив на два вопроса: приемлемы ли существующие риски, если нет, то какие защитные средства стоит использовать.

Типичная оптимизационная задача.

Принципиальная трудность - в неточности исходных данных.

3. Идентификация активов. Анализ защищаемых ресурсов и ценностей организации, имеющих отношение к безопасности информации. Главный

результат – детальная информационная структура организации и способы ее использования: Сеть, Аппаратура, Программные активы, Данные.

В каких узлах сети хранится ПО, и из каких узлов используется

Классификация данных по типам уровню конфиденциальности, места хранения, обработки, способы доступа.

Программные активы: ОС, ППО, инструментальные средства управления сетью и ИС

Сеть: оборудование – в аппаратные активы, ПО – в программные активы

Основные активы информационной системы

12

Управление рисками. Основные этапы

4.Анализ угроз. На практике угроз гораздо больше, чем можно представить в обобщенном списке, многие имеют некомпьютерный характер.

Отказы, сбои, ошибки, поломки, повреждения Побочные ЭМИ и наводки Злонамеренные действия Стихийные действия и побочные влияния

Угрозы возникают на разных этапах: в процессе эксплуатации, на заводе, во время ремонта и т.д.

13

Управление рисками. Основные этапы

5.Оценка рисков .

Многообразие методик. Значимость экспертного подхода.

Дать количественную оценку вероятности Pi осуществления угрозы: Например, в баллах: 1 – низкая, 2 – средняя, 3 – высокая Аналогично по ущербу Cj: 1-незначительный, 2-средний, 3 – высокий В произведении Pi * Cj : {(1, 2), (3, 4), (6, 9)}

Существуют и более тонкие методики.

Важно: Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.