Наши лекции Компы Криптография / 7,8 - АУ_УР
.ppt11
ПРОГРАММА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ
Верхний (центральный) уровень: Возглавляет лицо, отвечающее за информационную безопасность организации
управление рисками (оценка рисков, выбор эффективных средств защиты);
координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
стратегическое планирование;
контроль деятельности в области информационной безопасности.
И т.д.
Программа верхнего должна официально приниматься и поддерживаться руководством, иметь определенный штат и бюджет
Нижний (служебный) уровень: Цель - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов
какие следует использовать механизмы защиты;
как закупаются и устанавливаются технические средства;
Как осуществляется повседневное администрирование;
Как отслеживается состояние слабых мест
12
ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ
Структура описания каждого аспекта:
Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации)
Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ
(Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами )
Позиция организации по данному аспекту. Роли и обязанности.
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.
13
ПРОГРАММА БЕЗОПАСНОСТИ. Синхронизация с жизненным циклом системы
Инициация. Выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.
Оценка критичности сервиса и обрабатываемой с его помощью информации
какого рода информация предназначается для обслуживания новым сервисом?
каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
есть ли какие-либо особенности нового сервиса (например, распределенность компонентов), требующие принятия специальных процедурных мер?
каковы требования к персоналу, имеющие отношение к безопасности (квалификация, благонадежность)?
каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?
9
ПРОГРАММА БЕЗОПАСНОСТИ. Синхронизация с жизненным циклом системы
Закупка. Составляются спецификации с учетом требований безопасности, прорабатываются варианты и выполняется собственно закупка.
Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией.
Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.
Обращается внимание на корректность конфигурирования, необходимость доп. регуляторов процедурного уровня. В конце - тестирование
Эксплуатация. Сервис работает, администрируется, модифицируется.
Требуется отслеживать изменения, соблюдение правил эксплуатации, проводить периодические проверки безопасности функционирования.
Выведение из эксплуатации. Переход на новый сервис.
Затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные
При работе с данными обратить внимание на возможность последующего их использования (носители)
10
Управление рисками. Общие принципы
Цель. Определить ситуации в процессе функционирования ИС, при которых ущерб окажется неприемлемо высок, и принять экономически оправданные меры защиты.
.Актуально для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными.
Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или без анализа рисков на основе типовых решений
Уровень риска - функция вероятности реализации некоторой угрозы (использующей некоторые уязвимые места), и величины возможного ущерба.
10
Управление рисками. Общие принципы
Включает циклически чередующиеся действия, согласованные с ЖЦ ИС:
оценка (переоценка), связанная с измерением рисков;
выбор эффективных и экономичных защитных средств (нейтрализация рисков).
Действия по отношению у рискам.
Ликвидация риска (устранение причины)
Уменьшение риска (за счет дополнительных защитных мер, в т.ч. замена риска)
Принятие риска (план действий на случай реализации)
Переадресация риска (страхование)
11
Управление рисками. Подготовительные этапы
1. Выбор анализируемых объектов и уровня детализации.
Для небольшой организации можно проанализировать всю инфраструктуру. Для крупной – придется чем-то жертвовать. Важно иметь карту ИС. Уязвимым может оказаться каждый компонент информационной системы
2. Выбор методологии. Необходимо получить количественную оценку риска, ответив на два вопроса: приемлемы ли существующие риски, если нет, то какие защитные средства стоит использовать.
Типичная оптимизационная задача.
Принципиальная трудность - в неточности исходных данных.
3. Идентификация активов. Анализ защищаемых ресурсов и ценностей организации, имеющих отношение к безопасности информации. Главный
результат – детальная информационная структура организации и способы ее использования: Сеть, Аппаратура, Программные активы, Данные.
В каких узлах сети хранится ПО, и из каких узлов используется
Классификация данных по типам уровню конфиденциальности, места хранения, обработки, способы доступа.
Программные активы: ОС, ППО, инструментальные средства управления сетью и ИС
Сеть: оборудование – в аппаратные активы, ПО – в программные активы
Основные активы информационной системы
к |
|
|
|
|
|
Аппаратное обеспечение |
|
|
|
||
а |
|
|
|
|
|
|
|
т |
|
|
|
е |
|
|
|
|
|
Программное обеспечение |
|
г |
|
|
|
|
|
||
о |
|
|
|
|
|
|
|
р |
|
|
|
|
|
Информационное обеспечение |
|
и |
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
Персонал |
|
|
||
к |
|
|
|
|
|
|
|
т |
|
|
|
|
|
Документация |
|
и |
|
|
|
в |
|
|
|
|
|
|
|
о |
|
|
|
|
|
Расходные материалы |
|
в |
|
|
|
|
|
||
|
|
|
|
12
Управление рисками. Основные этапы
4.Анализ угроз. На практике угроз гораздо больше, чем можно представить в обобщенном списке, многие имеют некомпьютерный характер.
Отказы, сбои, ошибки, поломки, повреждения Побочные ЭМИ и наводки Злонамеренные действия Стихийные действия и побочные влияния
Угрозы возникают на разных этапах: в процессе эксплуатации, на заводе, во время ремонта и т.д.
13
Управление рисками. Основные этапы
5.Оценка рисков .
Многообразие методик. Значимость экспертного подхода.
Дать количественную оценку вероятности Pi осуществления угрозы: Например, в баллах: 1 – низкая, 2 – средняя, 3 – высокая Аналогично по ущербу Cj: 1-незначительный, 2-средний, 3 – высокий В произведении Pi * Cj : {(1, 2), (3, 4), (6, 9)}
Существуют и более тонкие методики.
Важно: Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.