125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В
..pdf3.6.Служба ІЕБ. Організація її аудиту
3.6.1.Цілі й призначення аудиту
3.6.2.Етапи проведення аудиту
3.6.3.Виробіток рекомендацій щодо результатів аудиту ІБ
3.6.4.Організація технічного захисту інформації
3.7.Кадровий аспект ІЕБ на підприємстві
3.7.1.Організація прийому на роботу
3.7.2.Етапи відбору персоналу
3.7.3.Посадова інструкція
3.7.4.Корпоративна культура на підприємстві
3.7.5.Мотивація й безпека
3.7.6.Звільнення
3.7.7.Особливості прийому на роботу співробітників пов'язану з володінням
конфіденційною інформацією
3.8. Економічна безпека підприємства в умовах сучасного ринку
3.8.1. Види можливих збитків (втрат)
3.8.2.Основні напрямки забезпечення ЕБ організації
3.8.3.Інтелектуальна складова ЕБ організації
3.8.4.Закордонний досвід
3.8.5.Основи організації захисту електронних документів
3.8.6.Захист електронних платежів
3.8.7.Загальна схема функціонування електронних платіжних систем
3.Організація ІБ на підприємстві
3.1.Політики інформаційної та економічної безпеки (ІЕБ)
Кінцева мета бізнесу – одержання прибутку. Умови досягнення мети – ефективне використання ресурсів і зниження можливих непередбачених збитків.
Політика ЕБ на підприємстві розуміється як комплекс заходів щодо захисту ресурсів і зниження ризиків, спрямованих на створення й підтримку умови досягнення кінцевої мети бізнесу.
При виробітку концепції забезпечення ЕБ для організацій автори роботи виходять з того, що результатом застосування заходів протидії загрозам є захист персоналу, матеріальних, фінансових, інформаційних ресурсів від нанесення їм можливого збитку.
Розрізняють наступні напрямки забезпечення ЕБ організації: правовий захист, тобто наявність таких нормативно-правових
елементів, як: патенти, авторські права, ліцензії, закони, положення, накази та ін.;
організаційний захист, тобто регламентація виробничої діяльності й взаємовідносини виконавців (сторін), що виключає завдання збитків: режим і охорона підприємства, забезпечення збереження конфіденційної інформації, підбір і розміщення персоналу;
інженерно-технічний захист, тобто використання різних технічних засобів, що перешкоджають завданню збитків: фізичні й апаратні засоби, програмне забезпечення та ін.
Безпосередньо в організації забезпечення ЕБ – це виконання наступних функцій:
інформаційно-аналітична робота; забезпечення схоронності матеріальних і фінансових ресурсів; забезпечення ІБ; забезпечення безпеки персоналу.
Крім розробки основних заходів і засобів захисту інформації, які передбачається впроваджувати в ІС, з метою позначення для керівництва й персоналу ІС стратегії захисту інформації в організації (підрозділі) необхідна розробка політики ІБ організації (підрозділу) або політики безпеки, яку можна назвати стратегічним планом, що описує
цілі, завдання, загальні вимоги, правила, обмеження, рекомендації у сфері ІБ.
Назви рівнів зрілості у наведеній моделі (рис. 3.1) досить точно характеризують стан ІБ в організації саме в контексті наявності та виконання політики безпеки.
|
|
|
|
Х а р а к т е р и с т и к а о р г а н і з а ц і ї в |
|
|
Р і в е н ь з р і л о с т і о р г а н і з а ц і ї |
|
|
|
|||
|
|
|
о б л а с т і і н ф о р м а ц і й н о ї |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
б е з п е к и |
|
|
|
|
|
|||
|
Рівень 1. "Анархія" |
|
|
|
|
|
|
|
Політика в галузі ІБ неформалізована, керівництво не |
||||
|
Ознаки: |
|
|
|||
|
|
|
займається цими питаннями. Забезпеченням інформаційної |
|||
|
співробітники самі визначають, що добре, а що погано |
|
|
|||
|
|
|
безпеки співробітники можуть займатися за своєю ініціативою |
|||
|
витрати та якість не прогнозуються; |
|
|
|||
|
|
|
відповідно до свого розуміння завдань |
|||
|
відсутній контроль змін; |
|
|
|
|
|
|
вище керівництво погано уявляє реальний стан справ. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рівень 2. "Фольклор"
Ознаки:
виявлена певна повторюваність організаційних процесів; досвід організації поданий у вигляді переказів корпоративної міфології;
знання накопичуються у вигляді особистого досвіду співробітників і протрапляють після їх звільнення
Рівень 3. "Стандарти"
Ознаки:
корпоративна міфологія записана на папері; процеси повторювані й не залежать від особистих якостей виконавців;
інформація про процеси для вимірювання ефективності; наявність формалізованого опису процесів не означає, що вони працюють; організація починає адаптувати свій досвід до специфіки бізнесу;
проводиться аналіз знань і умінь співробітників із метою визначення необхідного рівня компетентності; виробляється стратегія розвитку компетентності
На рівні керівництва існує певне розуміння завдань
інформаційної безпеки.
Існують процедури забезпечення інформаційної безпеки, що стихійно склалися, їх повнота і ефективність не аналізуються. Процедури не документовані і повністю залежать від особистостей залучених в них співробітників.
Керівництво не ставить завдань формалізації процедур захисту інформації
Керівництво усвідомлює завдання в галузі інформаційної безпеки В організації є документація (можливо неповна), що стосується
політики інформаційної безпеки.
Керівництво зацікавлене у виконанні стандартів у галузі інформаційної безпеки, оформленні документації відповідно до них. Усвідомлюється завдання керування режимом ІБ на всіх стадіях життєвого циклу інформаційної технології
Рівень 4 "Вимірюваний"
Ознаки:
процеси вимірювані та стандартизовані
Є повний комплект документів, який відноситься до забезпечення
інформаційної безпеки, оформлений відповідно до будь-яких стандартів. Діючі інструкції дотримуються, документи є керівництвом до дії посадових осіб.
Регулярно проводиться внутрішній (і, можливо, зовнішній) аудит в області ІБ.
Керівництво приділяє належну увагу питанням інформаційної безпеки, зокрема, має адекватне уявлення про існуючі рівні загрози та вразливості, потенційні втрати у разі можливих інцидентів
Рівень 5 "Оптимізовуваний" |
|
|
|
|
Керівництво зацікавлене в кількісній оцінці існуючих ризиків, |
готове нести |
|
Ознаки: |
|
відповідальність за вибір певних рівнів залишкових ризиків, ставить |
|
фокус на повторюваності, вимірюванні ефективності, |
|
оптимізовані завдання побудови системи захисту інформації |
|
оптимізації; |
|
|
|
уся інформація про функціонування процесів фіксується |
|
|
|
|
|
|
|
|
|
|
|
Рис. 3.1. Модель, запропонована Carnegie Mellon University
Необхідність такого плану полягає в тому, що наявність побудованої СЗІ не гарантує її правильного функціонування без
підтримки з боку керівництва і користувачів ІС. Керівництво і всі користувачі ІС повинні однаково розуміти й виконувати правила, що стосуються ІБ. У зв'язку з цим можна навести модель організацій із позиції їх зрілості у сфері ІБ, запропонованої Carnegie Mellon University [156].
Спробуємо викласти основні положення, що дозволяють практично розробити політику ІБ організації (підрозділу) ІПЗ, яка не становить державну таємницю.
Для підвищення ефективності використання ПБ доцільно оформляти не єдиним документом, а у вигляді декількох документів, що спростить їх використання і впровадження. Основну сукупність цих документів (їх може бути й більше, залежно від конкретної ІС) можна подати так (рис. 3.2).
|
Цілі та завдання ПБ |
|
|
|
|
Обов'язки в галузі ІБ |
|
|
Правила ІБ |
|
|
Забезпечення фізичної |
Загальні вимоги до |
Правила безпеки при |
Правила безпеки при |
безпеки КС |
управління та |
використанні зовнішніх |
використанні |
|
використання КС |
ресурсів (Internet) |
електронної пошти |
Антивірусний захист КС |
Керування та |
Правила впровадження |
|
|
експлуатація |
ПЗ |
|
|
криптографічних систем |
|
|
|
у КС |
|
|
|
Впровадження й супровід ПБ |
|
|
Зобов'язання виконання |
Порядок впровадження й |
Порядок перегляду ПБ |
ПБ |
контролю виконання ПБ |
|
Рис. 3.2. Сукупність документів з питань ПБ
Ґрунтуючись на джерелі [156], у вигляді тез розкриємо зміст документів політики безпеки, показаних на рис. 3.2.
Методика розробки політики безпеки для автоматизованої системи детально викладена в нормативному документі [43]. Для інформації, яка визначена як ІзОД і складає державну таємницю, політика безпеки може бути складена на основі постанов Кабінету Міністрів України [1, с. 50–52].
Також у виданнях зарубіжних авторів (наприклад, джерело [140]) і в глобальній мережі Internet досить багато уваги приділяється методиці розробки політики безпеки як у цілому для організації, так і для окремих компонентів комп'ютерної системи.
3.1.1. Цілі та завдання ПБ
1. Правила ПБ:
описують безпеку в загальних термінах, сенс яких повинен бути зрозумілий також нефахівцям, і не описують, яким чином її здійснювати;
не замінюють інструкції та стандарти. 2. Правила, необхідні для:
декларації основних принципів забезпечення ІБ; демонстрації підтримки політики ІБ з боку керівництва;
покладання обов'язків і відповідальності на співробітників щодо підтримки функціонування створеної СЗІ;
для документального підтвердження відповідності підходів до забезпечення ІБ всім необхідним стандартам і нормативним актам (вітчизняним або міжнародним).
3. Цілі політики безпеки досягаються формуванням документів (розділів), у яких визначаються:
об'єкти захисту і необхідний рівень їх безпеки; потенційні порушники ІБ; інформаційні ризики;
правила розмежування доступу до захищених ресурсів; підходи до управління програмно-апаратним забезпеченням КС;
порядок розробки, супроводу й модернізації програмно-апаратного забезпечення КС;
підходи до забезпечення фізичної безпеки об'єктів захисту; порядок резервного копіювання, архівного зберігання й видалення
даних; правила захисту інтелектуальної власності;
підходи до реагування на інциденти;
стратегія щодо комп'ютерних злочинів.
3.1.2.Обов'язки у сфері ІЕБ
1.Обов'язки керівництва:
участь і підтримка Комісії з ІБ; визначення експертів, які класифікують інформацію за ступенем її
важливості та допускають відхилення в її обробці від загальноприйнятої практики;
організація розробки й узгодження планів захисту інформації. 2. Обов'язки відділу (підрозділу) ІБ:
відповідає за впровадження та супровід в організації правил ІБ, а також стандартів, інструкцій і процедур;
відповідає за навчання, використання адміністративних заходів і підтримку з боку керівництва;
у випадках залучення сторонніх організацій або консультантів з ІБ забезпечує їх роботу за інструкціями, прийнятими в організації.
3.Обов'язки адміністраторів безпеки, адміністраторів КС, користувачів:
розподілити обов'язки та відповідальність за керування інформаційними ресурсами організації, координувати діяльність кожного, включаючи відповідальних за інформацію та матеріально відповідальних осіб;
призначити адміністратора безпеки для всіх розрахованих на велику кількість користувачів систем, а в кожному підрозділі виділити відповідального за ІБ;
визначити відповідальних осіб за безпеку обміну інформацією із зовнішніми організаціями в реальному масштабі часу;
включити положення про відповідальність за дотримання норм безпеки в посадові інструкції і в договори (контракти) із зовнішніми організаціями.
4.Право на інформацію і відповідальність за її збереження: призначення за відповідними напрямами відповідальних осіб за
поданням доступу до певного типу інформації; визначення дозволених засобів і методів керування та
адміністрування. Необхідно мати інструкції з надання та позбавлення прав доступу до інформаційних ресурсів організації, а також для
відновлення інформації у разі її втрати.
5. Поняття керування безпекою і застосування правових норм: знати і свідомо дотримуватися законів і правил у межах своїх
функціональних обов'язків; дотримуватись правил збору можливих джерел доказів і
забезпечити юридичні гарантії ухвалення їх судом; заздалегідь планувати можливу взаємодію організації з
правоохоронними органами у разі вчинення комп'ютерних злочинів. 6. Навчання та підтримка ІБ:
навчатися повинні усі співробітники, що мають доступ до комп'ютерів і мереж організації. Співробітники повинні підписати зобов'язання пройти відповідне навчання, а також мати документ, що підтверджує проходження курсу навчання;
керівництво повинне виділити час на навчання і сприяти його проведенню;
навчання повинно відповідати вимогам політики безпеки.
3.1.3.Забезпечення фізичної безпеки КС
1.Розміщення комп'ютерів і монтаж устаткування:
визначити місця розташування комп'ютерів і комунікаційного устаткування, а також розміщення устаткування всередині будівель;
врахувати можливість підключення устаткування до резервних джерел живлення;
врахувати можливість фізичного проникнення або злому, захист від пожеж та інших лих;
передбачити захист від статичної електрики та інших фізичних чинників навколишнього середовища;
включити вимоги щодо забезпечення стабілізованого живлення серверів та інших найбільш важливих вузлів;
промаркірувати устаткування ІС (наприклад, ідентифікаційними штрих-кодами, які можна контролювати за допомогою комп'ютеризованого спеціального устаткування).
2. Системи контролю й керування доступом до устаткування: створення системи контролю й керування доступом включає
розробку правил: фізичного доступу; реєстрації осіб, що мають право доступу; проведення перевірок;
обмеження доступу до приміщень з комп'ютерами й серверами, резервних носіїв і до бібліотек з документацією. Запобігання можливості візуального вивчення комп'ютерного устаткування сторонніми особами;
ідентифікація, реєстрація, супровід відвідувачів, а також забезпечення незалежної охорони місць, де зберігається важлива інформація.
3. Планування дій в екстремальних ситуаціях:
визначення мети й завдань правил і планів реагування на аварійні ситуації. Пріоритетом є безпека співробітників;
створення та перегляд планів відновлення після аварій, проведення аварійних робіт. Забезпечення умов для періодичного контролю і оновлення планів;
повідомлення адміністрації у разі виникнення сигналів тривоги. Повідомлення адміністрацією відповідних робітників про аварійні відключення і про очікувані відключення. Забезпечення можливості контакту в неробочий час з аварійними службами.
4. Загальна безпека комп'ютерних систем:
розробка процедур, що гарантують безперервне функціонування важливих інформаційних ресурсів;
введення обмежень доступу користувачів до допоміжних і забезпечувальних систем.
5.Проведення періодичних перевірок конфігурації системи і мережі для мінімізації ризиків, пов'язаних з установкою нестандартних апаратних засобів і ПЗ.
6.Підбір кадрів на основні технічні посади та інструктаж персоналу.
3.1.4.Загальні вимоги до керування і використання КС
1.Адресація мережі та архітектура:
відділення системи з найбільш важливими даними для полегшення керування доступом;
у правилах мережної адресації визначається, яку інформацію про конфігурацію мережі можна публікувати поза організацією. Конфігурувати DNS і систему перетворення мережних адрес (NAT) для приховування імен і адрес від зовнішнього оточення;
визначити процедури розширення мережі; визначити правила адресації мережі (статична, динамічна).
2. Керування доступом до мережі:
розробити правила підключення до Internet, доступу до вхідних/вихідних телефонних каналів, а також інших зовнішніх підключень;
розробити правила використання віртуальних приватних мереж
(VPN);
розробити правила для допоміжних систем, до яких відсутні вимоги
завтентифікації, або ці вимоги не достатньо жорсткі.
3.Безпека реєстрації:
використовувати призначені для користувача імена, прив'язані до прізвища, імені, по батькові користувача, а не до його функціональних обов'язків. У правилах повинно бути відбито, що робити з призначеними для користувача іменами, визначеними операційною системою під час її установки;
імена тимчасових користувачів і користувачів, що не є співробітниками організації, повинні особливо ретельно контролюватися. У правила присвоєння таких імен необхідно включити вимоги щодо контролю за ними та їх анулювання;
управила необхідно включити положення щодо багаторазових/одноразових сеансів ідентифікації, а також вимоги, що стосуються систем позитивної ідентифікації;
протоколювання успішних, безуспішних спроб реєструватися в системі, час і дата останньої реєстрації в системі;
управила обмеження числа сеансів реєстрації додати вимогу автоматичного виходу із системи (після закінчення проміжку часу, за часом доби і т. п.);
ввести розпорядження тим, хто має доступ до важливої інформації, виходити із системи у випадках залишення робочих станцій без нагляду; визначити правила адміністрування облікових записів користувачів; визначити правила роботи у привілейованому режимі, на основі яких розробляються інструкції, що визначають вимоги до доступу в
систему, а також вимоги контролю за наданням привілеїв. 4. Паролі:
стеження за структурою пароля й терміном його дії, заборона використовувати повторно старі паролі;
встановлення правил зберігання паролів; зміна паролів, встановлених за замовчуванням;