Политка ИБ и системы защиты информации

ПИБ это совокупность законов, правил, практических рекомендаций и практического опыта, определяющие управленческие и проектные решения в области защиты информации. На основе пиб строится упрввление, защита и распределение критичной инфы в системе.

ПИБ должна захватывать все особенности процесса обработки информации.

Принципы ПИБ:

• невозможность миновать защитные средства, то есть все информац потоки через СЗИ, не должно быть тайных и тестовых ходов в обзод защиты

• усиление самого слабого звена. Надежность любой СЗИ определяется самым слабым звеном. Очень часто оказывается человек и проблем инф без приобретает не технический характер

• не допустимость переходов в открытое состояние. В любых обстоятельствах, в том числе не штатных СЗИ либо полность выполняет функции, либо полностью блокирует доступ.

• минимизация привилегий. Всем пользователям АС выделяются только те права доступа, которые необходимы им для выполнения служебной обязанности

• распределение обязанностей. Один человек не может нарушить критически важный для организации процесс. Один человек не может нарушить крит важный для организации процесс

• многоуровневая защита. Не следует полагаться на один защитный рубеж, каким бы надежным он не казался

• разнообразие защитных средств. Необходимо организовывать по своему характеру рубежи, которые требовали от злоумышленника владение разнообразными и по возможностью несовместимостью навыками преодоления СЗИ

• простота и управляемость АС.

• обеспечение всеобщей поддержки мер безопасности. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, грамотности персонала, на постоянное техническое и практическое обучение, так как у нас

Доп принципы:

• минимизация затрат

• обеспечение решения, требуемые совокупности задач защиты

• опртимизация архитектуры СЗИ

• удобство персонала, простота эксплуатации

Подсистемы СЗИ:

• криптографическая защита

• подсистема правового обеспечения СЗИ

• подсистема защиты от НСД

• подсистема контроля информации

• управления СЗИ

• организационной защиты

Управление СЗИ

Управление защитой это контроль за расперделение информации в ИС. Он осуществляется для обеспечения функционирования средств и механизмов защиты для фиксации выполняемых функций и состояний механизмов защиты и фиксации защиты, связанных с нарушениями защиты.

Рисунок(фото)

Анализ сохранности СЗИ основывается на постоянном изучени протоколов, проверки сигнализирующих устройств и контроля за всеми остальными системами СЗИ

Следует анализировать все возможные нарушения созранности и отыскивать средства борьбы с ними. Оценка эффективности СЗИ должна оводиться регулярно.

административная группа управления защитой

Функции:

• Управление доступа пользователей системы к данным. То есть установка и смена паролей, управление средствами защиты коммуникаций и криптозащиты хранимых и обрабатываемых данных

• разработка защиты и контроля их соблюдением

• контроль за хранением резервных копий и их создание

• доведение до пользователей и изменение в области защиты, обучение персонала и пользователей системы

• сотрудничество со службой менеджмента и администрации ИС

• раследование причин нарушение защиты

• постоянная проверка организационной и правовой документации

Роли

• сотрудник группы безопасности. Он обеспечивает контроль за защитой данных и программ, помощь пользователю, поддержка групп управления защитой. Все это делается в зоне ответственности сотрудников.

• администратора безопасности системы. Функции, Поиск,Изучение и внедрение нововедений в области защиты. Контроль за выполнение планов непрерывной работы, восстановление системы после сбоев, хранение резервных копий

• администраторы безопасности БД. Реализации и изменение средств защиты данных, контроль за состоянием защиты наборов данных, уничтожение защиты в случае необходимости (контроль трех основных свойств информации: доступность, целосность, конфиденциальность).

• руководитель группы управления защитой. Координация деятельности сотрудников, ращработка и поддержка фиктивных мер защиты на всех уровнях обеспечения ИБ. Контроль за выполнением планов работы и обеспечение сотрудничества с другими подразделениямт организации

Настройка системы контроля

Три составляющие реализации политики безопасности

• настройка средств защиты. Необходимо для проведения средств защиты соответствие с разработанным планом. При добовления средств защиты необходимо уделить особое внимание совместимости с уже используемыми СИЗ

• управление системами защиты. Состоит в периодическом внесении изменений в БД защиты, сожержащие сведения о пользователях, допущенных к работе системы, их права доступа к различным объектам системы и др. Особое внимание необходимо уделить документированию внесения изменений в БД защиты и периодическому резервному копированию БД защиты

• контроль за функционированием ИС. Заключается в снижение безопасному событию, анализе причин и устранение последствий.

Реализация ПИБ

Общая рекомендация:

• оптимизация зранения и обработки информации. Информация должна быть организована так, чтобы было удобно работать, чтобы нельзя было подсоединяться лишним людям

• реализация принципов минимимума привилегий и что "надо знать". Каждый пользователь должен иметь настолько мало привилегий, насколько жто возможно без сущерба для работоспособности системы и организации.

• разделение ответственности между пользователями. Каждый пользователь должен нести персональную ответсвенность за свои действия. Действия пользователя должны быть как можно не зависимы. В любом случае нужно требовать средства контроля.

• контроль за наиболее ценной информацией. То есть информация которая представляет небольшую ценность надо более часто делать копи.

Направление деятельности по реализации ПИБ

• мониторинг функционирования системы - получение и анализ информации о состоянии системы и ее ресурсов с помощью специальных средств контроля.

• устранение нарушений. На основе информации поступающие от пользователей, либо поступающей в результате мониторинга, опиратор системы должен своевремено обноруживать решения и принимать решения по их устранению. Меры по устранению нарушений: локализация нарушений, установка личности нарушителя, предотвратить нарушение, устранить последствия нарушения

Неверное рассмотрение мероприятий ИБ

• косметика сущ информционных систем без рассмотрения всего комплекса задач ИБ

• мероприятия навязаны извне

Задачи снижения риска

• Вероятность реализации угрозы

• стоимость потерь в случае реализации угрозы

Сложность кол оценки рисков в ИТ

• трудно накапливать статистику в мире, где системы быстро меняются

• отсутствие исходных данных для проведения расчетов

• трудность оценки ущерба по нематериальным активам

Рисунок ( обща форма оценки издержек)

Выводы

• безопасность связана с материальными затратами на ее обеспечение

• бессмвсленно тратить на безопасности больше средств, чем можно потерять

• невозможно обеспечить 100% безопасности в сязи с постоянным появлением новых угроз

Электронная коммерция

Упрощенная схемв ЭК

• реклама

• маркетинг

• каталог товаров

• заказ

• офера

• акцепт

• оплата

• выполние заказа

• завершение сделки

Оферта это предложение заключить сделку со стороны продавца (счет в простейшем случае)

Акцепт это документ, свидетельствующий о принятии предложения( может быть реализован в виде подписанного договора). Реализуется в виде оплаты выставленного счета.

электронная комерция это разновидность коммерческой деятельности, в которой взаимодействие между ее участниками на всех или некоторых этапах осуществляется электронным образом

Включает в себя не только операции, связанные с куплей-продажей товаров и услуг, но и операции направленные на поддержку извлечения прибыли.

Вторая составляющая - комплексная автоматизация внутренней деятельности компании.

Популярная реализация электронной коммерции:

• интернет-магазин

• покупка и аренда по

• микроплатежи

• продажа информации

• он-лайн банкинг

Типы систем ЭК

• классическая - все этапы коммерческой транзакции реализуются в электронном виде (на Западе)

• Гибридная - сочетает элементы традиционной и электронной коммерции (в России оптаа наличными курьеру при доставке)

Электронная коммерция и пластиковая карта

схема оплаты по карте с магнитной полосой предполагает участие нескольких сторон:

• держателя пластиковой карты, торговой точки, принимающей карты к оплате

• банк- эмитена, выдавшего карту держателю,

• платежная система

Структура платежной системы

Покупатель-банк эмитент( счет покупателя)

Продавец-банк эквайер(счет продавца)

Процессинговый центр

Межбанковская сеть

Расчетный банк

Виды ЭК

бизнес ту бизнес

бизнес ту кустомерс

Система б2б и б2с

.......

Системы B2B и B2C

• B2B реализует взаимодействие между относительно постоянными партнерами и интенсивным двустороннем информационным обменом.

• При B2C взаимодействие носит краткосрочный характер и характеризуется большим числом разовых сделок. Суть контракта – «Подписавший согласен выплатить указанную сумму».

Системы C2C и P2P

• C2C (Customers to Customers) реализуют аукционную форму взаимодействия потребителей (магазин EBay, Молоток.ru), или системы P2P (Peer to Peer), связывающие равноправных потребителей без посредников.

Методы обеспечения безопасности расчетов

• Стандартом стал протокол SSL (Security Socket Layer), который на основе алгоритма RSA обеспечивает шифрование информации на канальном уровне. Окончательно согласован летом 1997 г. SSL поддерживается широко распространенными Web-браузерами.

• Протокол SET (Secure Electronic Transaction protocol), созданный совместными усилиями ассоциаций VISA, MasterCard и ряда крупнейших компьютерных корпораций, - это способ проведения безопасных платежей по пластиковым картам в открытых сетях. Предполагает шифрование исключительно финансовой информации/

• шифрование информации, передаваемой по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа.

При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом.

В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один - "открытый", а другой - "частный", всегда известный только одной стороне - его владельцу.

• организация специальных центров сертификации, следящих за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок.

Сертификат генерируется на определенное время.

Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки.

Задача б2б в повышении фиктивности работы компании на б2б рынке за счет снижение затрат на подготовку торговых процедур и расширение географии бизнеса до мирового масштаба. Цели:

• обеспечение быстроты и удобства взаимодействия мкжду организацией

• построение защищенных и надежных каналов обменами информации между фирмами

• координация деятельности предприятий и совместное их развитие на основе взаимовыгодного информационного обмена

Классификация б2б систем:

• корпоративный портал компаний

• интернет-магазин

• служба закупок и снабжений

• брокерские сайты

• профессиональные б2б медиа продукты

• коммуникационные корпоративные решения

б2с

Схема для потребителей

Концепция построения бизнесс процессов предприятия и комплекс интернет технологий и инструментов, обеспечивающие повышение прозрачности предприятия и облегчающих его взаимодействие с клиентами.

С2с и пи2пи

С2с - это форма эл торговли, которая заключается в продаже услуг между потребителей. Сайт в роле посредника.

Пи2пи это компьютерная сеть, основанная на равноправном участии. Отсутствует сервер.

Чистые пир ту при и гибридные сети.

гибридные сети. Существуют сервера, для поиска и предотвращении информации.

Протокол SSL

Достоинства

• является составной частью всех известных браузеров и веб-северов;

• простота протокола для понимания всех участников транзакции;

• хорошие операционные показатели (скорость реализации транзакции).

Недостатки

• не поддерживает аутентификацию клиента, что позволяет мошеннику успешно провести транзакцию, зная только реквизиты карты.

• не позволяет аутентифицировать клиента обслуживающим банком, что является важным элементом защиты последнего от недобросовестных действий торговой точки.

• не поддерживает цифровой подписи, что затрудняет процесс разрешения конфликтных ситуаций, возникающих в работе платежной системы.

• не обеспечивается конфиденциальность данных о реквизитах карты для торговой точки.

• Протокол SSL не является устойчивым.

Протокол SET-основной стандарт защиты транзакций

SET- это открытый стандарт, поддерживаемый крупнейшими платежными системами (VISA, Eurocard/MasterCard, American Express, Diners Club, JCB, CyberCash и DigiCash) и ведущими компьютерными корпорациями (AT&T, HP, IBM, Microsoft, Netscape, Northern Telecom, RSA и многими другими).

Протокол обеспечивает:

• конфиденциальность передаваемой информации, которая достигается совместным применением нескольких алгоритмов шифрования и использованием системы цифровых сертификатов;

• гарантию целостности передаваемой информации;

• взаимную аутентификацию продавца и покупателя;

• интероперабельность, что подразумевает совместимость SET-продуктов различных производителей, работающих на любых аппаратных и программных платформах;

• надежность обмена данными независимо от используемых механизмов защиты канала связи.

Достоинства

• высокий уровень анонимности сделок, т.к. в приложениях, основанных на SET-протоколе, покупатель не знает платежные реквизиты продавца, продавец не видит номер карты покупателя, а банк не имеет данных о заказе;

• аутентификация участников сделки, которые обмениваются своими цифровыми сертификатами;

• цифровые сертификаты имеют все участники сделки.

Недостатки

• узкая специализация на расчетах с использованием пластиковых карт.

Относительно протокола SET имеют место следующие утверждения

• Протокол SET является устойчивым протоколом;

• Протокол SET является единственным открытым (известным) устойчивым протоколом в электронной коммерции;

• Протокол SET де-факто является отраслевым стандартом в области пластиковых карт.

методы обеспечения безопасности расчетов

SSL канальный уровень

SET эл транзакции

Методы защиты информации

Аудит ИБ (брать у нашей группы)

Виды аудита ИБ

Экспертный аудит. Основные этапы.

Тест на проникновение (ПЕНТЕСТ). Назначение.

ПЕНТЕСТ. Основные этапы теста на проникновение.

Аудит веб-безопасности. Этапы.

Аудит ИС. Стандарты

Аудит ИС. Этапы

Комплексный аудит. Преимущества

Комплексный аудит. Основные этапы

Подготовка с сертификации на соответствие.

Качество ИБ

Сертификация средств обеспечение ИБ

Инструментарий обеспечения качества продукции

Система сертификация средств защиты

Система добровольной сертификации

Лицензирование деятельности в области защиты и шифрования информации

Схема аттестация

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

О проблеме

Информация - является одним из ключевых ресурсов любой организации, от которого напрямую зависит успешность и прибыльность компании. Руководство компании должно быть уверено в защищенности своего бизнеса, и предотвращать любые попытки кражи, искажения или уничтожения информации, как с внешней стороны, так и со стороны сотрудников организации. Бесконтрольное использование Интернет, переносных носителей, отсутствие возможности мониторинга печатающейся информации на принтерах, многократно повышают шансы кражи стратегически важной информации и передачи ее конкурентам, а так же приостановление функционирования бизнеса за счет удаления и уничтожения ключевых элементов организации.

Решение

Аудит Информационной Безопасности (ИБ) - это исследование и оценка текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика. Аудит ИБ позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.

Аудит информационной безопасности: результаты

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:

• Всех выявленных уязвимостях объекта аудита;

• Критичности найденных уязвимостях;

• Последствие в случае реализации угроз;

• Рекомендации по устранению уязвимостей.

На основании результатов аудита ИБ, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

Виды аудита информационной безопасности:

• Экспертный аудит

• Тест на проникновение

• Аудит Web-безопасности

• Аудит информационных систем

• Комплексный аудит

• Подготовка к сертификации ISO

Экспертный аудит

В условиях современного рынка многие компании имеют собственные процессы хранения, обработки и доступа к корпоративной информации. Защищенность этой информации является неотъемлемой частью ведения конкурентного бизнеса, успешность которого напрямую зависит от отлаженности бизнес-процессов.

Цель аудита

Оценка существующего уровня информационной безопасности на соответствие требованиям Заказчика, основанных на особенностях ведения бизнеса и существующих бизнес - процессах. Данный тип аудита предназначен для выявления уровня соответствия защищенности информационных систем критериям, выработанным специалистами Заказчика.

Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению Заказчика, являются наиболее значимыми, то есть, отсутствует необходимости в полном обследовании организации.

Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем: • требования, которые были предъявлены руководством в процессе проведения аудита; • описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте. При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ: • сбор исходных данных об информационной системе, об ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); • сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ; • определение точек ответственности систем, устройств и серверов ИС; • формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков. Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности. Основные этапы

Основные этапы экспертного аудита включают в себя:

• Анализ информационной системы Заказчика;

• Анализ наиболее значимых активов;

• Формирование модели угроз/модели нарушителя;

• Анализ требований к безопасности информационной среды;

• Оценка текущего состояния;

• Экспертный аудит;

• Разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;

• Создание отчетной рекомендации.

Преимущества

Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.