Политика безопасности компьютерных систем и ее реализация |
19 |
I. Управленческие меры обеспечения информационной безопасности:
1 Политика безопасности
Пользователи обязаны
1)Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.
2)Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
3)Использовать механизм защиты файлов и должным образом задавать права доступа.
4)Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
5)Помогать другим пользователям соблюдать меры безопасности. Указывать им на замеченные упущения с их стороны.
6)Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
7)Не использовать слабости в защите сервисов и локальной сети в целом.
8)Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
9)Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.
10)Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
11)Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.
12)Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
13)Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
Политика безопасности компьютерных систем и ее реализация |
20 |
I. Управленческие меры обеспечения информационной безопасности: 2 Программа безопасности - управленческий аспект
Программу верхнего уровня возглавляет лицо, отвечающее за ИБ организации. У этой программы следующие главные цели:
Управление рисками (оценка рисков, выбор эффективных средств защиты).
Координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.
Стратегическое планирование.
Контроль деятельности в области ИБ.
Девиз -"эффективность и экономия". Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников организации, в максимальной степени использовать знания каждого из них. Например, если одно из подразделений специализируется на UNIX-системах, а в других подразделениях такие системы установлены в небольшом числе экземпляров, нет смысла всем становиться специалистами по UNIX-защите — лучше вменить в обязанность сотрудникам первого подразделения следить за всеми UNIX-системами. Правда, отсутствие дублирования, вообще говоря, противоречит надежности. Если в организации есть специалист, знания которого уникальны, его болезнь или увольнение могут стать тяжелой потерей. Вероятно, лучшее "лекарство от незаменимости" — документирование накопленных знаний и освоенных процедур.
Политика безопасности компьютерных систем и ее реализация |
21 |
I. Управленческие меры обеспечения информационной безопасности: 2 Программа безопасности - управленческий аспект
Контроль деятельности в области безопасности имеет двоякую направленность.
Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями.
Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.
Следует подчеркнуть, что программа верхнего уровня должна занимать четко определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. Без подобной поддержки распоряжения "офицеров безопасности" останутся пустым звуком.
Политика безопасности компьютерных систем и ее реализация |
22 |
I Управленческие меры обеспечения информационной безопасности: 2 Программа безопасности - управленческий аспект
Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне:
решается, какие механизмы защиты использовать,
закупаются и устанавливаются технические средства,
выполняется повседневное администрирование,
отслеживается состояние слабых мест и т.п.
Обычно за программу нижнего уровня отвечают администраторы сервисов.
Но программа безопасности не должна превращаться в набор технических средств, встроенных в систему — иначе она потеряет независимость и, как следствие, авторитет, высшее руководство забудет про нее и перестанет выделять ресурсы.
У защиты есть много управленческих и операционных аспектов, и об этом следует постоянно помнить.
Политика безопасности компьютерных систем и ее реализация |
23 |
I Управленческие меры обеспечения информационной безопасности:
3 Анализ и управление рисками при реализации ИБ
Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Риск появляется там, где есть угрозы.
Риск – это сочетание вероятности нанесения ущерба и тяжести этого ущерба.
Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками
включает в себя два вида деятельности: оценку рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы:
1)идентификация активов и ценности ресурсов, нуждающихся в защите;
2)выбор анализируемых объектов и степени детальности их рассмотрения;
3)анализ угроз и их последствий, определение слабостей в защите;
4)классификация рисков, выбор методологии оценки рисков и проведение оценки;
5)выбор, реализация и проверка защитных мер;
6)оценка остаточного риска.
Политика ИБ включает разработку стратегии управления рисками разных классов.
Рис. 2. Схема управления рисками
Политика безопасности компьютерных систем и ее реализация |
25 |
I Управленческие меры обеспечения информационной безопасности:
3 Анализ и управление рисками при реализации ИБ
После проведения идентификации и анализа угроз, их возможных последствий имеется несколько подходов к управлению:
оценка риска, уменьшение риска, уклонение от риска, изменение характера риска, принятие риска, выработка корректирующих мероприятий (рис. 2)
1)При идентификации активов и информационных ресурсов, – тех ценностей, которые нужно защитить, – следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.
2)Выбор анализируемых объектов и степень детальности их рассмотрения.
Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной – следует сосредоточиться на наиболее важных (критичных) сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или
неизвестны. Если информационной основой организации является локальная сеть, то а) аппаратные объекты - это компьютеры, периферийные устройства, внешние
интерфейсы, кабельное хозяйство и активное сетевое оборудование;
Политика безопасности компьютерных систем и ее реализация |
26 |
I Управленческие меры обеспечения информационной безопасности:
3 Анализ и управление рисками при реализации ИБ
б) программные объекты - операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать, в каких узлах сети хранится программное обеспечение, где и как используется.
в) информационные объекты - данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.
3) Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет
шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый
– к среднему, два последних – к высокому. По этой шкале можно оценивать приемлемость (приоритет) рисков.
Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью.
27
Таблица 8 – Типичная форма для анализа рисков
Описание |
Возможны |
Возможная |
Вероятн Приоритет |
Меры |
Стоимость |
риска |
й эффект |
стоимость |
ость |
защиты |
мер |
|
|
риска |
|
|
защиты |
1 |
2 |
3 |
4 |
5 |
6 |
непреднамерен |
потеря |
2 (балла) |
2 (балла) |
4 (средний) |
строгий контроль |
ные ошибки |
клиента или |
|
|
|
вводимый данных, |
пользователей |
штрафные |
|
|
|
обеспечиваемый |
|
|
|
программным |
||
– ввод |
санкции с его |
|
|
|
|
|
|
|
способом; |
||
неверных |
стороны |
|
|
|
|
|
|
|
обучение |
||
данных о |
|
|
|
|
персонала; ввод |
клиентах. |
|
|
|
|
штрафных |
|
|
|
|
|
санкций за |
|
|
|
|
|
допущенные |
|
|
|
|
|
ошибки. |
7
разработка
дополнитель ного модуля контроля вводимых данных – 5000 руб.; обучение персонала на курсах – 30000 руб.
Политика безопасности компьютерных систем и ее реализация |
27 |
I Управленческие меры обеспечения информационной безопасности:
3 Анализ и управление рисками при реализации ИБ
Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения серверов различного назначения, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.
Технология оценки рисков должна сочетать формальные метрики и формирование реальных количественных показателей для оценки. С их помощью необходимо ответить на два вопроса:
приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать?
Методология снижения рисков. Многие риски можно существенно уменьшить путем использования простых и недорогих контрмер. Например, грамотное (регламентированное) управление доступом снижает риск несанкционированного вторжения. От некоторых классов рисков можно уклониться – вынесение Web-сервера организации за пределы локальной
сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Некоторые риски не могут быть уменьшены до малой величины.