Что включает в себя политика безопасности организации
Построение корпоративной безопасности: как определить угрозы и обеспечить комплексную защиту бизнеса
В 2021 году охранная система каждого более или менее крупного бизнеса должна быть не только физической, ведь сегодня угрозы корпоративной безопасности могут принимать практически любой, даже самый простецкий вид. Повсеместная глобализация принесла огромное количество преимуществ, но с повальным развитием технологий у предпринимателей появилось множество проблем, касающихся защиты информации. Человек, сумевший добраться до сведений о своих конкурентах, получает мощный перевес для работы на рынке, тем самым превращаясь в настоящего монополиста. Именно поэтому абсолютно каждой организации следует надежно хранить свои данные, предваряя все попытки несанкционированного вторжения.
Что значит комплексная безопасность компании
Нетрудно догадаться, что в современных реалиях вопросы, связанные с охраной тех или иных особо важных данных, выдвигаются перед каждым предприятием, вне зависимости от вида осуществляемой деятельности, организационно-правовой формы и места, занимаемого в отрасли. Всевозможные утечки, связанные, например, с документацией, способны нанести непоправимый ущерб интересам фирмы, в том числе и благодаря усилению позиций конкурентов. К счастью, в 2021 году владельцы разных типов бизнеса могут оперировать целыми перечнями различных средств и систем, не допускающих утечки важной информации.
Сегодня под термином о корпоративной безопасности подразумевается понятие о целом комплексе различных мероприятий, нацеленных на повсеместную протекцию экономических, технических и юридических выгод какой-либо организации. Причем абсолютно все меры внедряются в структуры корпорации пошагово, в соответствии с этапами изначально проработанного и продуманного плана. Выполнить все операции наскоком и рядом быстрых решений не получится: в современных реалиях высокие заборы и охранные посты не представляют собой особой проблемы для злоумышленников. Нынешние бизнесмены борются буквально за каждого клиента, и любая утечка способна решить исход рыночной коммерческой битвы.
Внешние и внутренние угрозы корпоративной безопасности компании
К числу самых популярных проблем, с которыми сталкиваются владельцы бизнеса, не позаботившиеся о должной протекции наличествующих сведений, относятся:
Внутренняя безопасность предприятия
Защита данных
на базе системы
П очти каждое предприятие имеет службу безопасности, но мало кто понимает, какие задачи перед ней необходимо ставить. Выработанная стратегия защиты и работа на опережение помогают более эффективно отражать внешние и внутренние угрозы.
Угрозы
Задачи, которые ставятся руководством компании в сфере безопасности, связываются с объектами защиты, а не с общим пониманием рисков, характерных для поверхностного подхода к разработке стратегии. При этом любые новые организационные меры, направленные на повышение уровня защиты, встречают неприятие сотрудников и менеджмента, рассматривающих их как ненужные ограничения и помехи в течении бизнес-процессов.
Крупные компании давно выстроили комплексную систему безопасности на всех уровнях – от информационного до экономического.
Небольшие ограничиваются минимумом усилий, неся при этом существенные убытки. Общая система рисков выглядит так:
1. Риски бизнеса. Это угроза репутации, черный пиар с точки зрения внешних взаимодействий или инвестиции, новые разработки, которые могут быть неуспешными с точки зрения внутренних задач.
2. Информационные риски. Это утечки информации, угроза ее целостности, подмена, затрудненный доступ к данным, сервисам и приложениям.
3. Риски персонала. Это текучка кадров, переманивание ценных сотрудников конкурентами, задача по охране труда, снижению травматизма и заболеваемости на рабочих местах с тяжелыми и вредными условиями труда.
4. Инфраструктурные риски. Это поломка или выход из строя оборудования, аварии, проблемы на опасных производственных объектах, загрязнение природной среды выбросами предприятия.
5. Финансовые риски. Это кражи, ущерб, убытки, штрафы, проигрыши в судах.
С этими проблемами сталкивается каждая компания. Опираясь на их понимание, вырабатывается схема компонентов корпоративной безопасности:
Очевидно, что со всеми этими задачами не может справиться исключительно СБ.
Как выстроить систему корпоративной безопасности
Помимо службы безопасности, комплексные задачи защиты предприятия от внутренних и внешних угроз решает высший и средний менеджмент, финансовая дирекция, служба внутреннего контроля, КРУ, юридическое подразделение, службы персонала и ИТ. Возникает необходимость выстраивания их эффективного взаимодействия.
Требуется выработать механизм борьбы с угрозами, состоящий из этапов:
1. Обнаружение. Сотрудники предприятия должны выработать механизм обнаружения угрозы таким образом, чтобы не возникло ложных срабатываний. Так, для ИТ-специалиста решением задачи станет настройка системы мониторинга ИТ-инфраструктуры, оповещающая о вторжениях, для внутреннего аудита – отклонение в результатах финансово-хозяйственной деятельности, отличающееся от обычных значений сезонных или иных колебаний. Например, когда пик продаж сельхозтоплива приходится не на начало посевной кампании, а на ее середину, возникает ситуация, в которой отклонение выглядит неестественным.
2. Анализ. Сотрудник должен предвидеть возможность угрозы, оценивать масштаб, находить источники и меры реагирования своими силами или с привлечением причастных подразделений.
3. Противостояние. Для каждого типа угроз должна быть разработана собственная политика или инструкция, позволяющая быстро принять меры самостоятельно, выбрать подходящее из дерева решений.
4. Регламентация. Все этапы работы с угрозами внутренней безопасности предприятия должны быть регламентированы в четких инструкциях, принятых на уровне руководства компании.
Все эти задачи не должны становиться самоцелью. Выявление угроз и реакция на них не могут быть основными задачами подразделений, чья деятельность связана с иными бизнес-процессами.
Основные проблемы
При выстраивании системы внутренней безопасности необходимо понимать сложности, мешающие сделать ее эффективной:
Невозможно найти эффективное решение в каждой ситуации, все зависит от типа угроз и руководства, на чьи плечи ложится груз принятия решения.
Задачи СБ и принципы ее работы
Тип предприятия определяет функции службы безопасности, созданной из профессионалов, ранее работавших в этой сфере, но основные ее задачи не изменяются в зависимости от структуры организации:
Решение этих задач основывается на следовании общим принципам работы с рисками подразделений, не только решающих проблемы безопасности, но и занятых исключительно вопросами бизнеса. Необходимо:
Профессиональная работа с рисками, построенная на единой стратегии, системности, использовании современных программных средств, поможет защитить компанию от большинства из них и увеличить ее конкурентоспособность.
Политика информационной безопасности предприятия
Защита данных
с помощью DLP-системы
З ащита бизнеса от конкурентов предполагает и активные шаги в области защиты информационной безопасности предприятия. Не все готовы уделять силы и время разработкам методик и политик, но, как показывает практика, даже готовые стандарты и модели поведения снижают риск утечек информации в несколько раз.
Основные угрозы в информационном поле
Российские компании должны быть готовы к тому, что за их деятельностью в информационном поле пристально следят конкуренты. Любые сведения о бизнес-планах, сделках, новых продуктах, кадровых назначениях могут привести к серьезному ущербу репутации и финансовым убыткам. Авторы большинства методик и политик информационной безопасности обращают внимание на то, что все типы угроз защите информации и безопасности организации делятся на три группы:
Большинство рискованных ситуаций связано именно с действиями сотрудников, которых часто несложно подкупить конкурентам. Минимизировать эти риски призваны политики информационной безопасности, которые позволяют защитить массивы данных, установить различные уровни допуска к ним, сертифицировать оборудование и программное обеспечение.
Ущерб, причиняемый утечками информации
Сложно подсчитать реальный ущерб, причиняемый российскому бизнесу утечками информации. Такой статистики не ведется. Но существует возможность вычленить основные виды ущерба и предположить размер их оценки с финансовой точки зрения. Если компания является субъектом, обязанным хранить защищаемую законом информацию, например, государственную тайну, полученную в связи с исполнением государственных контрактов, соблюдение требований к информационной безопасности становится гарантией ее выживания на рынке, сохранения своего статуса. Обычные компании могут рисковать тем, что:
В последнем случае компания понесет серьезный прямой финансовый ущерб в виде сумм выплат по искам, в предыдущих ситуациях ущерб будет расчетным. Кроме того, если в СМИ станет известно о том, что информация компании легко доступна для третьих лиц, она начнет терять партнеров и клиентов.
Субъекты в зоне риска
Далеко не все компании подвержены всем предполагаемым видам риска и могут понести существенный ущерб от действий хакеров и инсайдеров. К наиболее интересующим злоумышленников группам предпринимателей относятся:
Несмотря на то, что такие предприятия не всегда готовы уделить информационной безопасности столько же сил, что и гиганты нефтяного рынка, для них это является не менее насущной необходимостью.
Механизм разработки политики информационной безопасности
Службы безопасности российских предприятий и их информационные подразделения не всегда смогут предложить руководству действительно эффективную политику информационной безопасности предприятия, основанную на новейших американских и европейских разработках в этой области, на мировых стандартах.
При принятии решения о подготовке пакета документов необходимо ориентироваться или на уже внедренные политики крупных компаний, таких как ПАО «Газпром нефть», или, с учетом специфики каждого конкретного бизнеса, на приглашенных специалистов, имеющих опыт в этой сфере деятельности и уже внедрявших стандарты в этой же или схожей сфере бизнеса. Риски и проблемы, связанные с утечками информации торгового предприятия, не сравнимы с рисками утечки данных на электростанции. Учитываться должно все, в том числе и каналы физической передачи сведений, даже пути движения производственных отходов.
Хорошо разработанная политика информационной безопасности представляет собой сложную систему документов и отношений, в которой каждый документ нижнего уровня вытекает из документа верхнего уровня и предназначен для решения своей категории задач. Просто разработка нормативно-правового акта не решает задачи защиты информации, необходимо внедрить систему, опробовать ее на практике, произвести аудит качества выполнения задач информационной безопасности, при необходимости произвести доработку. Стандартно система документации в области политики информационной безопасности делится на три уровня:
Общий объем подготовленной документации может составить сотни страниц, но обеспечение безопасности требует именно такого серьезного подхода. Защищаемая информация представляет собой серьезный актив, за обладание которым будут бороться многие силы.
Верхний уровень политики
Во многом этот документ становится визитной карточкой предприятия, наиболее важно это в ситуациях, когда оно вступает в бизнес-отношения с новыми партнерами, особенно зарубежными, или готовится привлечь инвестора. Наличие качественных стандартов защиты информации покажет ценность компании как потенциального контрагента и серьезное отношение ее руководства к требованиям законодательства и интересам клиентов. Поэтому документ верхнего уровня должен содержать:
Такой документ носит характер, скорее, декларационный и мотивационный, он не описывает конкретных действий, но его разработка необходима.
Средний уровень документации
Высший уровень политики информационной безопасности обычно оформляется в виде одного документа, размещаемого на сайте компании. Именно с ним под подпись знакомятся все вновь принимаемые сотрудники. Но наиболее важным для практического воплощения становится средний уровень подготовленной документации, именно он регламентирует действия конкретных сотрудников и дает возможность привлечь их к ответственности за несоблюдение политики защиты безопасности в сфере информации. Ответственность сотрудников должна опираться не только на методики, но и корреспондируемые им нормы в трудовых договорах и должностных инструкциях, только это станет основанием для возмещения причиненного компании ущерба в судебном порядке. В этих нормативных актах (методиках, стандартах, инструкциях) должны быть предусмотрены:
Порядок разработки политики информационной безопасности
Первыми шагами при разработке политики становятся меры, связанные со сбором информации. В реализации этой задачи должны быть заинтересованы все подразделения, которые должны предоставить свои перечни сведений, считающихся конфиденциальными, свое видение тех шагов, которые помогут обезопасить базы данных. Такие шаги создадут для всего персонала компании ощущение общего дела при разработке политики информационной безопасности и облегчат ее внедрение. После сбора информации необходимо будет перейти к совершению следующих шагов, ответственными за результаты которых окажутся разработчики:
Проведение такого анализа позволит разработать приемлемую именно для конкретного бизнеса структуру политики информационной безопасности. Одним из важных факторов станет учет структуры бизнеса. Крупные группы компаний с множеством филиалов и отделений, распределенных по территории страны, защитить сложнее, чем небольшое предприятие, все сотрудники которого находятся на одном этаже современного офисного здания. Выявление всех значимых факторов позволит определить стратегию и тактику разработки политики. Важно, что точки зрения всех субъектов принятия решений в компании никогда не совпадут, поэтому цель разработчиков – предложить политику, устраивающую большинство топ-менеджеров и руководителей филиалов.
Принципы разработки
Готовя сложный комплексный план защиты информационной безопасности, разработчики должны опираться на следующие принципы:
Третье требование наиболее важно. Нормы, предназначенные для администраторов, не должны быть навязаны простым пользователям. Информационный обмен должен быть разграничен, каждый из пользователей должен отвечать только за свой участок работы. Важно, что политика информационной безопасности должна дать понять каждому сотруднику, что ее целью является защита не только компании или акционеров, но и каждого пользователя.
Этапы разработки и внедрения политики информационной безопасности
Приступая к разработке политики безопасности, необходимо ориентироваться на следующий план действий:
Предприятие, готовое потратить силы и средства на внедрение политики информационной безопасности, может быть уверено в защите ценных данных по современным методикам. Конкуренты, хакеры, иные злоумышленники не смогут пробиться сквозь защищенный периметр и принести вред интересам компании, ее клиентов, персонала.
Тема 5. Управление сетевой безопасностью
В результате изучения темы студенты должны освоить:
Оглавление
5.1. Методы управления средствами сетевой безопасности
Для успешного использования современных информационных технологий необходимо надежное и эффективное управление не только самими се тями, но и средствами сетевой безопасности. И если в прошлом задача заключалась в управлении отдельными серверами, сетями и маршрутизаторами, то сейчас требу ется обеспечить информационную безопасность корпоративных бизнес-процессов. В настоящее время на первый план выходит задача создания комплексной сис темы управления, которая охватывает всю инфраструктуру компании и, независимо от сложности и масштаба информационной системы, позволяет:
Задачи управления системой информационной безопасности
Важнейшим компонентом системы управления корпоративной сетью является система информационной безопасности предприятия. Система управления средствами защиты информации в распределенной сети масштаба предприятия должна решать следующие задачи:
Существует проблема комплексирования и организации взаимодействия традиционных систем управления сетями и систем управления средствами защиты информации в сети. Решение этой проблемы заключается в интеграции средств сетевого или системного управления с механизмами управления средств защиты.
Архитектура управления средствами сетевой безопасности
Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. Межсетевые экраны контролируют доступ к корпоративным ресурсам, отражая атаки злоумышленников извне, а шлюзы виртуальных частных сетей обеспечива ют конфиденциальную передачу информации через открытые глобальные сети, в частности. Интернет. Для создания надежной эшелонированной защиты в насто ящее время применяются и такие новые средства безопасности, как системы об наружения вторжений, средства контроля доступа по содержанию информа ции, антивирусные системы и др.
К сожалению, практически невозможно найти компанию-производителя, кото рая могла бы предоставить потребителю за приемлемую цену полный набор средств (от аппаратных до программных) для построения современной корпоративной информационной системы. Поэтому большинство КИС компаний обычно построены на основе программных и аппаратных средств, поставляемых различными произ водителями. Каждое из этих средств требует тщательного и специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами.
Чтобы гарантировать в корпоративной информационной системе надежную защиту информации, нужна рационально организованная система управления безопасностью КИС, которая обеспечила бы безопасность и правильную настройку каждого компонен та КИС, постоянно отслеживала происходящие изменения, контролировала работу пользователей. Очевид но, что чем разнороднее информационная система, тем сложнее обеспечить управ ление ее безопасностью.
Существуют разные подходы к построению архитектуры управления информа ционной безопасностью крупной сети. Опыт ведущих предприятий-производителей средств сетевой безопасности показывает, что компания сможет успешно реализовать свою политику безопасности в распределенной корпоративной информационной системе, если управле ние безопасностью будет централизованным и не зависящим от используемых операционной системы и прикладных систем. Кроме того, система регистрации событий, происходящих в КИС (события НСД, изменение привилегий пользователей и т.д.), должна быть единой и позволять администратору составить полную картину происходящих в КИС изменений.
С одной стороны, управление всеми устрой ствами безопасности крупной сети из единого центра представляется нереалис тичным по следующим причинам:
С другой стороны, децентрализация управления может привести к потере его эффективности и резкому снижению безопасности ресурсов сети в целом.
Организация централизованного управления безопасностью КИС основана на следующих принципах:
управление безопасностью корпоративной сети должно осуществляться на уровне глобальной политики безопасности (ГПБ).;
ГПБ должна соответствовать бизнес-процессам компании. Для этого свой ства безопасности объектов и требуемые сервисы безопасности должны быть описаны с учетом их бизнес-ролей в структуре компании;
для отдельных средств защиты формируются локальные политики безопас ности (ЛПБ). Трансляция ЛПБ должна осуще ствляться автоматически на основе анализа правил ГПБ и топологии защи щаемой сети.
Глобальная политика безопасности корпоративной сети представляет собой ко нечное множество правил безопасности, которые описывают пара метры взаимодействия объектов корпоративной сети в контексте информацион ной безопасности:
При этом объектами ГПБ могут быть как отдельные рабочие станции и подсе ти, так и группы объектов, которые могут включать в себя целые структурные подразделения компании (например, отдел маркетинга или финансовый департа мент) или даже отдельные компании (входящие, например, в холдинг). Политика безопасности для каждого объекта в группе автоматически реплицируется всем объектам группы.
Набор правил ГПБ является логически целостным и семантически полным описанием политики безопасности в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных устройств.
Локальная политика безопасности , то есть точное описание настроек для кор ректной реализации правил аутентификации пользователей, управления досту пом, защиты трафика и др., необходима любому средству защиты, реализующему какой-либо сервис информационной безопасности. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какие-то простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, к существенному снижению уровня защищенности корпоративной сети.
После формирования администратором глобальной политики безопасности центр управления на основе интерпретации ГПБ автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для каждого средства за щиты и автоматически загружает необходимые настройки в управляющие моду ли соответствующих средств защиты.
В целом локальная политика безопасности ЛПБ сетевого устройства включа ет в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемы ми свойствами защиты информации.
Различие между правилами, реализующими ГПБ в сети и ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а пра вила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступ ны только в пределах пространства одного из сетевых устройств.
Каждый из администраторов системы аутентифицируется и работает с систе мой через консоль управления согласно предустановленным для него правам (на каталог ресурсов или его часть, на определенный ролями набор функций управ ления, на группы или другие наборы пользователей). Все действия любого адми нистратора протоколируются и могут быть попарно контролируемы.
Назначение основных средств безопасности
Агент безопасности, установленный на персональном компьютере клиента, ори ентирован на защиту индивидуального пользователя, выступающего, как прави ло, клиентом в приложениях «клиент-сервер».
Агент безопасности, установленный на сервере приложений, ориентирован на обеспечение защиты серверных компонент распределенных приложений.
Агент безопасности, установленный на шлюзовом компьютере, обеспечивает раз вязку сегментов сети внутри предприятия или между предприятиями, решая задачи согласования политик безопасности разных сетей.
Локальный агент безопасности представляет собой программу, размещаемую на оконечном устройстве (клиенте, сервере, шлюзе) и выполняющую следующие функции защиты:
Центральным элементом локального агента является процессор локальной по литики безопасности, интерпретирующий локальную политику безопасности и распределяющий вызовы между остальными компонентами.
В рамках решения реализуется ряд различных по функциональности схем аутен тификации, каждая из которых включает тип аутентификации и способ (меха низм) идентификации объектов.
Для выбора типа аутентификации предусмотрены следующие возможности: аутентификация пользователя при доступе к локальной операци онной системе, аутентификация пользователя при доступе в сеть (сегмент сети), взаимная сетевая аутентификация объектов (приложение-приложение). Для выбора способа идентификации предусмотрены следующие варианты, обычно используемые совместно в любой конфигурации: смарт-карта, пароль, «внешняя» аутентификация.
Аудит и мониторинг безопасности
Для организаций, компьютерные сети которых насчитывают не один десяток ком пьютеров с различными операционными системами, на первое место выступает за дача управления множеством разнообразных защитных механизмов в таких корпоративных сетях. Сложность сетевой инфрастуктуры, многообразие данных и приложений приводят к тому, что при реализации системы информаци онной безопасности за пределами внимания администратора безопасности могут остаться многие угрозы. Поэтому необходимо осуществление регулярного аудита и постоянного мониторинга безопасности информационных систем.
В настоящее время актуальность аудита безопасности И C резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Возросла уязвимость ИС за счет повышения сложности элементов ИС, появления новых технологий передачи и хранения данных, увеличения объема программного обес печения. Расширился спектр угроз для ИС из-за активного использования пред приятиями открытых глобальных сетей для передачи сообщений и транзакций. Кроме того, по данным некоторых западных аналитических агентств, до 95% попы ток несанкционированного доступа к конфиденциальной информации ИС происходит по инициативе бывших сотрудников организации.
Аудит безопасности ИС дает возможность руководителям и сотрудникам орга низаций получить ответы на приведенные далее вопросы, а также наметить пути решения обнаруженных проблем:
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Достоверную и обоснованную информацию можно получить, только рас сматривая все взаимосвязи между проблемами, учитывая нюансы и недостатки. Проведение аудита позволяет оценить текущую безопасность ИС, оценить рис ки, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных ресурсов организации.
Целями проведения аудита безопасности ИС являются:
Мониторинг безопасности системы
На современном этапе использование таких традиционных средств защиты, как межсетевые экраны, виртуальные частные сети, средства защиты от несанкционированного доступа, является необходимым, но не достаточным условием по строения надежной и эффективной системы информационной безопасности. Вызвано это следующими причинами:
Принципы работы перечисленных выше традиционных средств защиты тако вы, что последние способны лишь блокировать атаку, но не предотвратить или выявить ее последствия. Решением данной проблемы является такая модель работы системы управле ния средствами защиты, при которой защита осуществляется в режиме реального времени, настройки средств защиты адаптируются к изменяющимся условиям инфраструктуры, безопасность реализуется не только на этапе проведения атаки, но и на этапе ее подготовки, а также завершения.
Подход, на котором основано решение данной проблемы, получил название тех нологии активного аудита или технологии активного (адаптивного) управления.
Технология активного управления безопасностью включает в себя следующие компоненты:
Существует много детальных описаний слабостей настроек средств защиты, а также уязвимостей информационных объектов. По таким описаниям выполняет ся сканирование объектов на предмет наличия в них этих уязвимостей. В зависимости от того, насколько полно описаны уязвимости и как тщательно проводится анализ, работа сканера безопасности является более или менее эффективной. В результате анализа сканер формирует отчет, который направляется админист ратору безопасности и содержит описание выявленных уязвимостей и правила их устранения. Если сканер содержит средства управления настройками средств без опасности, то он может выполнить их переконфигурацию самостоятельно.
К основным типам уязвимостей относятся:
Наличие сканеров безопасности в арсенале администратора безопасности по зволяет значительно снизить риск наличия невыявленных угроз и избавляет его от кропотливого, долгого анализа и конфигурации настроек безопасности и сете вых настроек вручную. Учитывая сложность современной информационной инфраструктуры организации, можно сказать, что наличие таких сканеров является важным элементом мониторинга безопасности ИС. Следует также отметить, что эти средства осуществляют защиту до проведения атаки, то есть упреждают ее.
Другим необходимым элементом мониторинга безопасности ИС являются средства обнаружения атак. Обнаружение атак является процессом оценки подо зрительных действий, которые происходят в корпоративной сети. Обнаружение атак осуществляется посредством анализа сетевого трафика в реальном времени, а также журналов регистрации операционной системы и приложений.
Управление средствами безопасности является реагированием системы управ ления безопасностью на меняющиеся условия и может быть различным по фор ме, например:
Кроме того, в функции данной системы входит выработка рекомендаций адми нистратору по устранению обнаруженных уязвимости в сетях, приложениях или иных компонентах информационной системы организации.
Важным вопросом является организация взаимодействия систем активного аудита (мониторинга) и общего управления. Активный аудит выполняет ти пичные управляющие функции: анализ данных об активности в информационной системе, отображение текущей ситуации, автоматическое реагирование на по дозрительную активность. Сходным образом функционирует система сетевого управления. Активный аудит и общее управление целесообразно интегрировать, используя общие программно-технические и организационные решения. В эту интегрированную систему может быть включен и контроль целостности, а также агенты другой направленности, отслеживающие специфические аспекты поведе ния ИС.
Построение любой системы информационной безопасности должно начинаться с анализа рисков. Прежде чем проектировать систему информационной безопасно сти, необходимо точно определить, какие угрозы реально существуют для данной информационной системы, насколько они потенциально опасны. Грамотный учет существующих угроз и уязвимостей информационной системы, выполненный на этой основе анализ рисков закладывают основу для выбора решения с необходимым уровнем информационной безопасности при минимальных затратах.
5.2. Анализ и управление рисками
Анализ и управление рисками применяется для оценки угроз, уязвимостей и рис ков информационной системы, а также определения контрмер, обеспечивающих достаточный уровень защищенности этой информационной системы. Процесс оценивания рисков состоит в определении характеристик рисков информацион ной системы и ее ресурсов. На основе таких данных могут быть выбраны необхо димые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность существующих и планируемых средств защиты и многое другое. Существуют различ ные подходы к оценке рисков, выбор которых зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности (ИБ). Управление рисками заключается в определении комплекса необходимых контр мер в соответствии с выполненным анализом рисков.
Рассмотрим основные понятия процессов анализа и управления рисками.
Существуют различные подходы к анализу рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, и характера принимаемых во внимание угроз (спектра воздействия угроз). Различают два уровня требований:
Минимальным требованиям к режиму ИБ соответствует базовый уровень ин формационной безопасности. Обычной областью использования этого уровня яв ляются типовые проектные решения. Анализ рисков проводится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без опасности без оценки их вероятности. Существует ряд стандартов и специфика ций, в которых рассматривается минимальный (типовой) набор наиболее вероят ных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрме ры вне зависимости от вероятности их осуществления и уязвимости ресурсов, то есть характеристики угроз на базовом уровне рассматривать не обязательно.
Повышенные требования к режиму ИБ применяются в тех случаях, когда на рушения режима информационной безопасности чреваты тяжелыми последстви ями и базовый уровень требований к режиму ИБ является недостаточным.
Для того, чтобы сформулировать повышенные требования к режиму ИБ, необ ходимо:
Ресурсы КИС делятся на три категории:
В каждой категории ресурсы можно разделить на классы и подклассы. Необхо димо идентифицировать только те ресурсы, которые определяют функциональность КИС и существенны с точки зрения обеспечения безопасности.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимо го в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов, например:
Под уровнем угрозы понимается вероятность ее осуществления.
Наличие уязвимостей в КИС обуславливается слабостями защиты. Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам информационной системы. Таким образом, вероятность нанесения ущерба определяется веро ятностью осуществления угрозы и величиной уязвимости.
Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величи ны уязвимости возрастает и уровень риска. На основе оценки уровня рисков опре деляются требования безопасности.
Задача управления рисками включает обоснованный выбор контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба.
Контрмеры могут уменьшить уровни рисков различными способами:
Технология анализа и управления рисками
В настоящее время предприятия уделяют все больше внимания безопасности сво их информационных систем и, в частности, постановке и решению следующих задач:
Центральной среди перечисленных задач является задача анализа и управле ния информационными рисками. Существенно, что управление инфор мационными рисками позволяет компаниям минимизировать возможные нега тивные последствия, связанные с использованием информационных технологий для поддержки основных бизнес-процессов предприятия.
Организации различаются по характеру и масштабу решаемых задач, количеству сотрудников, степени компьютеризации и специфике используемой информационной системы, масштабам своей деятельности. Однако вне зависимости от размеров организации и специфики ее информационной системы деятельность по обеспечению режима ИБ должна содержать в том или ином виде следующие ос новные этапы:
5.3. Методология построения системы информационной безопасности предприятия
Под информационной безопасностью автоматизированной информационной системы предприятия понимают защищенность информации и поддерживающей ин фраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользова телям информации и поддерживающей инфраструктуре.
Информационная безопасность предприятия определяется наличием у его ин формационной системы следующих свойств:
Многие прикладные системы ориентированы на предоставление определенных информационных услуг. Если по тем или иным причинам их получение пользователями становится невозможным, это наносит ущерб как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важнейшим элементом информационной безопасности является доступность предоставляемых услуг.
Для информационно-справочных систем основной является задача обеспече ния целостности, которая означает в первую очередь актуальность и непротиворечивость предоставляемой информации.
В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостности передаваемой платежной информации.
Главными целями системы информационной безопасности являются обеспечение устойчивого функционирования предприятия, предотвращение угроз его без опасности, защита его законных интересов от противоправных посягательств, не допущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений предприятия. Еще одной важной целью системы информационной безопасности является повышение качества предоставляемых предприятием услуг и гарантий безопасности имущественных прав и интересов клиентов.
Достижение указанных целей возможно при осуществлении на предприятии следующих мероприятий:
Мероприятия по защите информации на предприятии охватывают целый ряд аспектов законодательного, организационного и программно-технического харак тера. В каждом из них формулируется ряд задач, выполнение которых необходи мо для обеспечения информационной безопасности предприятия.
В нормативно-законодательном аспекте необходимо решение следующих задач:
В организационном аспекте должны быть решены следующие задачи:
В программно-техническом аспекте необходимо решение следующих задач:
С точки зрения выбора архитектуры системы информационной безопасности обычно применяются объектный, прикладной или смешанный подход. Объект ный подход строит защиту информации на основании структуры того или иного объекта (подразделения, филиала, предприятия). Применение объектного подхо да предполагает использование набора универсальных решений для механизмов безопасности, поддерживающих однородный набор организационных мер. При мером такого подхода является построение защищенных инфраструктур внешне го информационного обмена, локальной сети, системы телекоммуникаций и т.д. К недостатку объектного подхода относится неполнота его универсальных меха низмов, особенно для организаций с большим числом приложений, имеющих сложные связи между собой.
Прикладной подход строит механизмы безопасности в привязке к конкретно му приложению. Примером прикладного подхода является защита подсистем для отдельных задач автоматизации (бухгалтерия, кадры и т.д.). При большей полно те защитных мер такого подхода у него имеются и недостатки, а именно необхо димость увязывать различные средства безопасности с целью минимизации за трат на администрирование и эксплуатацию.
Смешанный подход предполагает комбинирование двух описанных выше под ходов. Такой подход оказывается более трудоемким на стадии проектирования, однако может дать преимущества в стоимости внедрения и эксплуатации системы информационной безопасности.
Внедрение. Этап внедрения включает комплекс последовательно проводимых мероприятий:
Опытная эксплуатация позволяет выявить и устранить возможные недостат ки функционирования системы информационной безопасности, прежде чем за пустить ее в рабочий режим. Если в процессе опытной эксплуатации выявлены факты неправильной работы компонентов, проводится корректировка настроек средств защиты, режимов их функционирования и т.п. Далее следует проведе ние приемо-сдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.
Аттестация . Проведение уполномоченным органом аттестации системы информационной безопасности позволяет подтвердить ее функциональную полно ту и обеспечение требуемого уровня защищенности КИС. Аттестация системы представляет собой один из видов аудита безопасности и предусматривает комплексную проверку защищаемого предприятия в реальных условиях эксплуата ции с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.
Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе, исходя из следующего перечня работ:
По результатам испытаний готовится отчетная документация, проводится оцен ка результатов испытаний и выдается аттестат соответствия установленного образца. Его наличие дает право обработки информации со степенью конфиденциально сти и на период времени, установленными в аттестате.
Техническая поддержка и сопровождение. Для поддержания работоспособности системы информационной безопасности и бесперебойного выполнения ею своих функций должен быть предусмотрен комплекс мероприятий по технической под держке и сопровождению программного и аппаратного обеспечения системы без опасности. В комплекс мероприятий входят следующие работы:
Техническая поддержка и сопровождение системы информационной безопасно сти требует наличия у обслуживающего персонала определенных знаний и навыков и может осуществляться как отвечающими за информационную безопасность штатными сотрудниками организации-владельца защищаемой системы, так и со трудниками специализированных организаций.
В целом рассмотренная методология построения системы информационной безопасности позволяет:
Использование положений рассмотренной методологии служит основой по строения эффективной и надежной системы информационной безопасности, ко торую можно развивать и модифицировать вместе с общим развитием корпора тивной информационной системы.