Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

ДиплоДОК / dip

.docx
Скачиваний:
24
Добавлен:
10.02.2016
Размер:
26.3 Кб
Скачать

Разработка системы защиты информации.

Для чего нужна разработка системы защиты информации?

У каждой организации есть свои отраслевые особенности и определенные требования, предъявляемые к ведению бизнеса. Помимо этого, финансовые возможности различных компаний также сильно разнятся.

Для того чтобы качественно выполнить работы по приведению информационной системы Заказчика в соответствие требованиям PCI DSS, необходимо учесть все его специфические особенности и разработать качественную проектную документацию.

Во время подготовки к сертификационному аудиту по PCI DSS> требуется внедрение СЗИ, включающей следующие средств защиты информации:

  1. межсетевого экранирования.

  2. обнаружения и предотвращения атак.

  3. безопасности беспроводных соединений.

  4. обеспечения криптографической защиты.

  5. защиты от вредоносного ПО.

  6. автоматического обновления.

  7. обеспечения безопасности web-приложений.

  8. управления доступом.

  9. обеспечения физической безопасности.

  10. удаления информации.

  11. управления логами (журналами аудита), мониторинга и анализа событий безопасности.

  12. анализа защищенности.

  13. контроля целостности.

  14. резервного копирования.

  15. организации удаленного подключения.

Также в случае использования компенсационных мер, по результатам выполненного анализа могут быть внедрены иные решения для обеспечения ИБ.

Для того, чтобы корректно внедрить СЗИ, необходимо осуществить ее разработку и учесть все особенности ведения бизнеса Заказчика. С этой целью проводится этап проектирования системы защиты информации.

Варианты разработки системы защиты информации.

Система защиты информации (СЗИ) может быть разработана исходя из текущих и долгосрочных целей Заказчика, а также его корпоративных требований оформления проектной документации. Мы предлагаем 2 варианта проведения работ:

  • Бюджетный вариант разработки СЗИ.

Этот вариант разработки применяется, в основном, при создании недорогой системы защиты информации, которая будет соответствовать минимальным требованиям, необходимым для сертификации СЗИ по стандарту PCI DSS. Обычно, такая система строится с использованием программного обеспечения Open Source.

Для удешевления процесса разработки СЗИ на данном этапе вместо Технического задания (ТЗ) и Технического проекта (ТП) готовятся Технические требования (ТТ) и План защиты ПЗ). Разработка этих документов обходится дешевле разработки, но позволяет достаточно качественно описать все применяемые в данном случае технические средства и организационные меры.

Плюсом использования данного варианта является оперативность и сравнительно невысокая стоимость проведения разработки.

Недостаток данного метода заключается в том, что, разработанная таким образом, СЗИ не обеспечивает полноценной защиты от угрозы компрометации конфиденциальных данных. В большинстве случаев данный подход выбирается, как временное решение, предшествующее разработке полноценной СЗИ.

  • Проектирование СЗИ.

Данный вариант применяется в случае разработки эффективной СЗИ, обеспечивающей соответствие стандарту PCI DSS, а также предоставляющей полноценную защиту от компрометации конфиденциальных данных.

На этапе проектирования полноценной СЗИ в соответствии с требованиями ГОСТ, предъявляемыми к ЕСКД, разрабатываются Техническое заданиеи комплект документации Технического проекта, которые подробно описывают все предъявляемые к системе требования, используемые технические решения и их реализацию, программу и методику испытаний.

Преимуществом данного варианта является более совершенная система защиты информационных ресурсов Заказчика. При этом, в зависимости от потребностей Заказчика, мы можем разработать СЗИ, соответствующую не только требованиям PCI DSS, но и других стандартов обеспечения и менеджмента информационной безопасности.

Недостаток этого варианта заключается в более высокой стоимости и длительности проведения соответствующих работ.

Этапы разработки системы защиты информации.

Независимо от выбранного варианта создания СЗИ, процесс разработки системы защиты информации выполняется в три последовательных этапа:

  1. Разработка требований к СЗИ.

Требования определяются с учетом выявленных на этапе обследованиянесоответствий требованиям стандарта PCI DSS и включает в себя комплекс технических и организационных мер, позволяющих привести информационную систему (ИС) Заказчика в соответствие требованиям стандарта.

  1. Выбор необходимых средств защиты информации, обеспечивающих выполнение требований стандарта.

На данном этапе проводится выбор и согласование с Заказчиком средств защиты для обеспечения соответствия PCI DSS, а также специфичным требованиям заказчика с учетом принятых компенсационных мер.

  1. Разработка проектной документации.

С учетом всей информации, которая была получена на предыдущих этапах, разрабатывается проектная документация с описанием реализации системы защиты. Она включает в себя всю информацию по внедряемому оборудованию, различным используемым техническим средствам и методику проведения испытаний.

Результат разработки системы защиты информации.

В результате проведения разработки СЗИ Заказчик получает полный набор проектной документации, необходимой для проведения качественного внедрения средств защиты информации:

  • Техническое задание на создание СЗИ.

  • Технический проект СЗИ, включающий в себя:

    • ведомость технического проекта;

    • пояснительную записку;

    • спецификацию оборудования;

    • описание комплекса технических средств;

    • программу и методику проведения испытаний.

В случае необходимости, Заказчику также может быть представлено технико-экономическое обоснование предлагаемых решений с их спецификацией.

Анализ рисков

Прежде всего необходимо определиться с подходом к оценке рисков. Для этого идентифицируем методику оценки рисков, удовлетворяющую требованиям конкретной системы информационной безопасности и требованиям информационной безопасности вида деятельности, а так же правовым и регулирующим требованиям. После этого нужно разработать критерии принятия рисков и определить допустимые уровни риска.  Выбранная методика оценки рисков будет обеспечивать сравнимые и воспроизводимые результаты. Следующим щагом будет определение рисков. Для этого выполним следующее:

  • Определим активы в рамках системы информационной безопасности и владельцев этих активов

  • Определим угрозы активов

  • Определим уязвимости активов

  • Определим степень воздействия на активы, которая может возникнуть при нарушении конфиденциальности, целостности и доступности

Необходимо так же определить сами активы, что рекомендуется проводить в соответствии с классификацией по группам: информационные активы, программные активы, физические активы, сервисы и человеческие (трудовые) ресурсы. Теперь определим угрозы и уязвимости, которым могцт быть подвергнуты активы. Так же необходимо провести оценка влияния угроз и уязвимостей на активы. Для этого составим модель угроз. Модель угроз состоит из аннотация угрозы, описания возможных источников угрозы и способов их реаализации, описание использования уязвимостей, описание видовд активов. Немаловажно отметить свойства безопасности активов подверженные изменению (нарушению) и возможные последствия реализации угрозы.

Далее для выявления источников угроз составляется модель нарушителя.  Следующим пунктом является оценка влияния, которое может иметь место в результате нарушений безопасности, принимая во внимание последствия, связанные с нарушением конфиденциальности. Так же необходимо оценить реальную возможность реализации угроз безопасности и представить возможный ущерб, связанный с активами подверженными угрозам, и реализованные в настоящее время меры обеспечения безопасности. Для уменьшения риска необходимо принятие надлежащих мер управления безопасностью. Так же можно допустить риски, при условии, что они соответствуют принятой в организации политике и критериям принятия рисков. Будет лучше, если риски можно вообще избежать, или перенести соответствующие риски для деятельности на другие стороны, например, страховщиков, поставщиков (измененить характер риска). Цели и меры управления безопасностью выбираются и реализуются для выполнения требований, определенных в процессе оценки и обработки рисков. При этом выборе должны приниматься во внимание как критерии принятия риска, так и правовые, регулирующие требования. Должны быть выбраны цели и меры управления безопасностью, подходящие для выполнения определенных требований. Результаты анализа и оценки рисков представляют руководству в виде отчета об анализе рисков. Принятие решения по остаточным риска - ответственность руководства.

Эксплуатация и мониторинг системы

В процессе эксплуатации системы информационной безопасности проводят внутренний аудит для выявления несоответствий текущего состояния системы предъявляемым требованиям безопасности. Результаты внутреннего аудита и анализа системы со стороны руководства должны служить поводом для устранения несоответствий и модернизации системы информационной безопасности.

Говоря о внутреннем аудите, подразумевается проведение регулярной проверки системы информационной безопасности для определения достаточности принимаемых мер в следующих аспектах:

  • Соответствие системы требованиям стандартов, законодательства или норм;

  • Отвечает ли система определенным требованиям информационной безопасности;

  • Эффективнсть применяемых мер и поддержка в рабочем состоянии;

  • Выполняется ли меры в том объеме, в котором были запланированы;

Должна постоянно повышать эффективность работы системы информационной безопасности. этому должны способствовать использование политики информационной безопасности, цели преследуемые системой, результаты аудита, анализ событий, мониторинг системы, применение корректирующих (корректирующие действия должны отличаться от коррекции и быть направленными на причину вызывающую несоответствие, а не на устранение последствий) и превентивных (превентивные (предупреждающие) действия должны соответствовать возможным последствиям потенциальных проблем) действий и анализ ситуации со стороны руководства.

Руководство должно принимать меры по устранению причин несоответствий требованиям безопасности для предупреждения повторного их возникновения.

Политика информационной безопасности организации

Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:

  • Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией

  • Определить топологии средств автоматизации (физической и логической)

  • Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа

  • Определить угрозы безопасности информации и создать модель нарушителя

  • Обнаружить и описать известные угроз и уязвимости

  • Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).

Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Должны быть описаны так же следующие данные:

Используемые на предприятии средства вычислительной техники и программное обеспечение

  • Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)

  • Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)

  • Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)

Организация и структура информационных потоков и их взаимодействие

  • Топология ЛВС

  • Схема коммуникационных связей

  • Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)

  • Организация хранения данных

Общая характеристика автоматизированных систем организации

  • Расположение ЛВС

  • Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)

  • Технические и программные средства доступа к ЛВС из сетей общего доступа

  • Принадлежность и типы каналов связи

  • Сетевые протоколы удаленного доступа

Угрозы информационной безопасности

  • Сведения о распределении обязанностей и инструкциях по обработке и защите информации

  • Вероятные угрозы (угроза, ее вероятность и возможный ущерб)

  • Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)

По окончании, Вы получите документ «Политика информационной безопасности организации», который определяет:

  • Само понятие информационной безопасности и ее основных составляющих и используемых понятий

  • Цели и принципы информационной безопасности

  • Разъяснение политики безопасности, принципов, стандартов и требований к ее соблюдению (основные направления, способы и требования по обеспечению безопасности информации, выполнение правовых и договорных требований, требования к обучению персонала правилам безопасности, политику предупреждения и обнаружения вирусов, политику обеспечения бесперебойной работы организации)

  • Определение общих и конкретных обязанностей должностных лиц организации по обеспечению информационной безопасности, включая уведомления о случаях нарушения защиты

  • Перечень документов, выпускаемых в поддержку политики безопасности (положения, инструкции, регламенты и т.п.)

Для обеспечения ИТ-безопасности в организации, следует придерживаться таких правил, инструкций и требований, как:

  • Правила парольной защиты

  • Правила защиты от вирусов и злонамеренного программного обеспечения

  • Требования по контролю за физическим доступом

  • Требования по физической защите оборудования

  • Инструкция по безопасному уничтожению информации или оборудования

  • Инструкция по безопасности рабочего места (документов на рабочем столе и на экране монитора)

  • Правила осуществления локального и удаленного доступа

  • Требования резервного сохранения информации

  • Требования мониторинга

  • Требования при обращении с носителями данных

  • Требования по проверке прав пользователей

  • Правила использования системных утилит

  • Правила удаленной работы мобильных пользователей

  • Распределение ответственности при обеспечении безопасности

  • Правила контроля вносимых изменений

К инструкциям можно добавить, что это "Инструкция по приему на работу и допуску новых сотрудников к работе в АС и наделения их необходимыми полномочиями по доступу к ресурсам системы", "Инструкция по увольнению работников и лишения их прав доступа в систему" и "Инстукция по действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных ситуаций, в случае их возникновения"

Соседние файлы в папке ДиплоДОК