Обеспечение информационной безопасности


Обеспечение информационной безопасности – это процесс, опережающий управление риском, а не следующий за ним, т.е. предупредительная модель работает до того, как что-то случится.
В ответной модели общие затраты на безопасность неизвестны.
Общие затраты на безопасность равняются стоимости ущерба от происшествия плюс стоимость контрмер. А правильное планирование и управление риском позволят значительно снизить, если не исключить, величину ущерба от происшествия. При принятии правильных контрмер, с последующим предотвращением инцидента, величина затрат составит:
Общие затраты на безопасность = Стоимость контрмер.
Правильный подход к информационной безопасности – это предупредительное принятие необходимых мер.

Обеспечение информационной безопасности – это непрерывный процесс, включающий в себя, пять ключевых этапов:

  1. Оценку.
  2. Политику.
  3. Реализацию.
  4. Квалифицированную подготовку.
  5. Аудит.

 

Obespechenie informacionnoi bezopasnosti
Рис. 1. Обеспечение информационной безопасности


По отдельности каждый из этих этапов повышает уровень защищенности организации. И только вместе они обеспечивают основу, которая позволит эффективно управлять риском.


Оценка стоимости

Именно с оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации.
В зависимости от имущества и будет составляться программу защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Цели оценки информационной безопасности:

  • определить ценность информационных активов;
  • определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
  • определить существующие уязвимые места в практической деятельности организации;
  • установить риски организации в отношении информационных активов;
  • предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
  • обеспечить базу для создания соответствующего проекта обеспечения безопасности.


Пять основных видов оценки:

  1. Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
  2. Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры и выявлены зоны риска.
  3. Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для ее информационных активов. Установлены уязвимости в местах обработки информации по всей организации. Исследована информация, представленная как в электронном виде, так и на физических носителях.
  4. Аудит. Исследована существующая политика и соответствие организации этой политике.
  5. Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение.


При проведении оценки необходимо изучить следующие моменты:

  • сетевое окружение;
  • физические меры безопасности;
  • существующие политики и процедуры;
  • меры предосторожности, принятые на местах;
  • осведомленность работников в вопросах безопасности;
  • персонал;
  • загруженность персонала;
  • взаимоотношения работников;
  • строгое соблюдение работниками установленной политики и мероприятий;
  • специфику деятельности.


Сетевое окружение

Исследование сети начинают с построения диаграммы сети и рассматривают каждую точку возможного подключения, т.к. именно в сетевом окружении находятся открытые точки доступа к информации и системам.
На диаграмме сети должны быть полностью представлены расположение серверов, рабочих станций, доступ в интернет, соединения наборного доступа, соединения с удаленными офисами и партнерами. На основе данной диаграммы собираются:

  • тип и количество систем в сети;
  • операционные системы и их версии;
  • топология сети (коммутаторы, маршрутизаторы, мосты и т. д.)
  • точки доступа к интернету;
  • использование интернета;
  • типы, количество и версии всех межсетевых экранов;
  • точки входа соединений наборного доступа;
  • беспроводные точки доступа;
  • тип удаленного доступа;
  • топология глобальной сети;
  • точки доступа в удаленных офисах;
  • точки доступа других организаций;
  • расположение веб-серверов, FTP-серверов и почтовых шлюзов;
  • используемые протоколы;
  • лица, осуществляющие управление сетью.


Определив архитектуру сети, начинают выявлять внутренние защитные механизмы сети:

  • списки управления доступом маршрутизаторов, правила межсетевых экранов на всех точках доступа в интернет;
  • механизмы идентификации, используемые для удаленного доступа;
  • защитные механизмы во всех точках доступа других организаций;
  • механизмы шифрования, используемые для передачи и хранения информации;
  • механизмы шифрования, используемые для защиты переносных компьютеров;
  • антивирусные системы, установленные на серверах, рабочих станциях и службах электронной почты;
  • настройки безопасности сервера.


Настройки безопасности сервера должны охватить требования к паролям, настройки аудита для каждой системы, а также используемые обновления системы и программ. Далее необходимо собрать информацию о типах оповещений и лицах, которые осуществляют мониторинг системы и сбор данных, что может пригодиться для выявления нарушителей в случае обнаружения вторжения администраторами системы. И наконец, необходимо выполнить сканирование всех систем на предмет обнаружения уязвимых мест. Это можно сделать с помощью компьютера, размещенного внутри системы (внутреннее сканирование) или размещенного в интернете, за пределами межсетевых экранов организации.


Физическая безопасность
Физическая безопасность помещения – важнейшая составляющая системы защиты информации. Определение мер физической безопасности включает управление физическим доступом к подразделениям, а также к секретным отделам и помещениям.

Поэтому, при определении мер физической безопасности необходимо выявить следующее:

  • тип физической защиты здания, офисных помещений, документов на бумажных носителях и центра обработки данных;
  • наличие ключей у персонала;
  • засекреченные помещения здания или отдела (исключая центр обработки данных).


Необходимо определить расположение линий коммуникации внутри помещений и те места, где линии коммуникации входят в здание, т.к. эти места идеально подходят для размещения подслушивающих устройств. Поэтому подобные точки нужно включить в список критических областей, а так же помещения, где возможно аварийное отключение.
Объектами физической безопасности так же являются источники энергии, системы контроля состояния окружающей среды и системы противопожарной безопасности, используемые в центре обработки данных.

Соберите следующую информацию об этих системах:

  • какую мощность потребляет подразделение;
  • какую мощность потребляет центр обработки данных;
  • какие типы источников бесперебойного питания установлены;
  • как долго имеющиеся источники бесперебойного питания смогут поддерживать работоспособность системы;
  • какие системы соединены с источниками бесперебойного питания;
  • кто будет извещен в случае отключения электроэнергии;
  • какая система контроля состояния окружающей среды подключена к источнику бесперебойного питания;
  • какая система контроля состояния окружающей среды связана с центром обработки данных;
  • кто будет извещен в случае выхода из строя системы контроля состояния окружающей среды;
  • какой вид системы противопожарной безопасности установлен в центре обработки данных;
  • может ли система противопожарной безопасности центра обработки данных среагировать на пожар, не угрожающий центру.


Политики и процедуры
При проведении оценки должны быть исследованы следующие документы:

  • политика безопасности;
  • информационная политика;
  • план восстановления в случае чрезвычайных происшествий;
  • процедуры контрмер на чрезвычайное происшествие;
  • политика и процедуры резервного копирования;
  • справочное руководство работника или инструкции;
  • процедуры найма-увольнения работников;
  • принципы конфигурирования систем;
  • правила межсетевых экранов;
  • фильтры маршрутизатора;
  • политика сексуальных домогательств на рабочем месте;
  • политика физической безопасности;
  • методология разработки программного обеспечения;
  • методология смены программного обеспечения;
  • телекоммуникационные политики;
  • диаграммы сети;
  • организационная диаграмма.


Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, т.к. политики и процедуры должны соответствовать цели, определенной в документе. При исследовании документа на правомерность необходимо проверять каждое требование на соответствие установленной цели политики или процедуры.
Политики и процедуры могут устаревать со временем в причину небрежности. Поэтому все политики и процедуры необходимо своевременно и обоснованно обновлять.
В процессе оценки необходимо исследовать программу в области информированности о проблемах безопасности и материалы, используемые в соответствующих тренингах.
И последнее, процедура оценки должна включать исследование сведений о недавних происшествиях и проверках.


Меры предосторожности
Основными составляющими мерами предосторожности являются системы резервного копирования и план восстановления на случай чрезвычайных происшествий и для восстановления работоспособного состояния.


Осведомленность
Осведомленность постоянных сотрудников по вопросам политик и процедур компании, а также практических положений должной безопасности, позволяют значительно улучшить безопасность организации.
Осведомленность администратора должна заключаться в знании политики компании по вопросам конфигурирования систем, должны быть осведомлены об угрозах и уязвимостях, о признаках вторжений в системы. А главное, они должны знать, какие действия необходимо предпринять при обнаружении атаки.


Человеческий фактор
Отсутствие навыков или, наоборот, их избыток у служащих, может стать причиной выхода из строя хорошо продуманных программ безопасности. Персонал, отвечающий за вопросы безопасности, должен понимать свою работу в плане общей политики так же хорошо, как разбираться в последних разработках в своей области. Администраторы должны иметь соответствующие навыки, чтобы на высоком уровне осуществлять управление системами и сетевым окружением внутри организации. Пользователи должны иметь базовые навыки в области компьютерных технологий. А от аудиторов организации потребуется обследование систем и сетей как часть их рабочего задания.


Загруженность персонала
Даже очень квалифицированные и сообразительные работники не смогут поддерживать систему безопасности, если они перегружены работой. При возрастании объема работ первым делом будут забыты именно вопросы безопасности.


Отношение
Отношение управленческого персонала к вопросам безопасности определяется при назначении ответственных за безопасность внутри организации. Руководство может вполне осознавать важность процессов безопасности, но если они не доносят это до своих сотрудников, то последние не будут этого понимать.


Следование правилам
При составлении плана безопасной информационной среды необходимо определить фактическую среду безопасности. Планируемая среда устанавливается политикой, положениями и существующими механизмами. Фактическая среда определяется реальным согласием на участие в процессе обеспечения безопасности руководителей и сотрудников.


Специфика деятельности
В заключение исследуйте специфику деятельности организации и определите движение информации внутри ее, между отделами и рабочими местами, внутри отделов и в другие организации. Выясните, как звенья этой цепи угрожают информации, как взаимосвязаны между собой отдельные части организации. Так же частью процесса оценки является выявление систем и сетей, критичных для выполнения основной функции организации.


Результаты оценки
Собрав всю информацию и проанализировав, группа оценки должна исследовать все уязвимости безопасности в контексте организации. Не все уязвимости превратятся в риски. Некоторые уязвимые места будут защищены каким-либо способом, который предотвратит их использование.
Завершив анализ, группа оценки обязана представить полный набор рисков и рекомендаций для организации. Риски представляются по порядку – от наибольшего к наименьшему. Для каждого риска группа показывает возможные издержки в каком-либо выражении (денежном, временном, ресурсном, потере репутации и расторгнутых сделках). Каждый риск должен сопровождаться рекомендацией по управлению риском.
И последний шаг оценки – это разработка плана действий по безопасности. Организация должна определить, являются ли результаты оценки реальным отображением состояния безопасности, и учесть их при распределении ресурсов и составлении планов.


Разработка политики

После оценки необходимо заняться разработка политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики – нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности.

Необходимо разработать следующие политики и процедуры.

  • Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.
  • Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
  • Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
  • Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
  • Процедуры управления учетными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
  • Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безопасностью.
  • План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.


Порядок разработки политик
В зависимости от рисков, определенных в процессе оценки, выясняется, какая политика должна быть разработана первой.
Затрачиваемое время – еще одним фактором в выборе порядка разработки политик.
Еще одним фактором в выборе порядка разработки политик является затрачиваемое время. Планы восстановления в случае
Информационная политика – единственная политика, которая должна быть разработана на начальной стадии процесса
Информационная политика формирует основу понимания того, почему внутренняя информация важна и насколько она должна быть защищена. Этот документ послужит основой для программы обучения специалистов по вопросам безопасности, наряду с политикой использования и политикой паролей.
Возможна и одновременная разработка нескольких политик, поскольку заинтересованные стороны будут объединены общими интересами.


Реализация политики безопасности

Заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.
Необходимо исследовать каждый этап для определения взаимодействий с другими системами управлениями.


Системы отчетности по безопасности
Это механизм, с помощью которого отдел безопасности отслеживает соблюдение политик и процедур, общее состояние уязвимых мест внутри организации. Для этого используются как ручные, так и автоматические системы.


Мониторинг использования
Механизмы мониторинга гарантируют, что работники следуют политикам использования компьютера. Они включают в себя программное обеспечение, отслеживающее использование интернета. Целью является выявление работников, постоянно нарушающих политику компании. Некоторые механизмы способны блокировать такой доступ и сохранять журнал попыток.


Сканирование уязвимых мест систем
Установка операционной системы с параметрами по умолчанию обычно сопровождается запуском ненужных процессов и появлением уязвимых мест. Обнаружить эти уязвимые места просто, а вот исправить уже сложнее, поэтому сведения о вновь установленных системах нужно доводить до системного администратора незамедлительно.


Аутентификация систем
Это механизм, предназначенный для установления личности пользователей, желающих получить доступ в систему или сеть. Она позволяет также идентифицировать лиц, пытающихся завладеть оборудованием организации. Механизмы аутентификации – это пароли, смарт-карты и биометрия.


Безопасность в интернете
Межсетевые экраны и виртуальные частные сети (VPN), являются реализацией безопасности в интернете, и ведут к изменениям в сетевой архитектуре. Наиболее важным аспектом ее реализации является размещение устройства управления доступом (типа межсетевого экрана) между интернетом и внутренней сетью организации. Без подобной защиты все внутренние системы открыты для неконтролируемых нарушений безопасности.
Размещение межсетевого экрана или другого устройства управления доступом ведет к изменению архитектуры. Подобная операция не должна выполняться до тех пор, пока не будет определена основная сетевая архитектура: ведь нужно установить межсетевой экран соответствующей мощности и задать на нем правила в соответствии с используемыми политиками организации.


Системы обнаружения вторжений (IDS)
Это системы охранной сигнализации сети. Охранная сигнализация предназначена для обнаружения попыток проникновения в защищаемое помещение, а IDS – для разграничения санкционированного входа и вторжения злоумышленника в защищаемую сеть.
Имеется несколько типов систем обнаружения вторжения.
Самым общим механизмом обнаружения вторжений является антивирусное программное обеспечение. Это программное обеспечение должно работать на каждой рабочей станции и, разумеется, на сервере. Антивирусное программное обеспечение – наименее ресурсоемкий способ обнаружения вторжений.

Перечислим другие способы обнаружения вторжений:

  • ручная проверка журнала;
  • автоматическая проверка журнала;
  • клиентское программное обеспечение для обнаружения вторжения;
  • сетевое программное обеспечение для обнаружения вторжения.


Наилучшим способом проверки журналов является создание программ или скриптов, которые просматривают журналы компьютера в поисках возможных отклонений.


Шифрование
Шифрование обычно применяют для защиты конфиденциальных или частных интересов и используются для защиты передаваемой или сохраняемой информации. Перед использованием шифрования давайте рассмотрим, что такое алгоритмы и управление ключом защиты.
При выполнении шифрования выбор алгоритма обуславливается конечной целью. Шифрование на личном ключе происходит быстрее, чем на открытом. Однако такой способ не позволяет использовать цифровую подпись или подписывание информации. Важно выбрать известные и хорошо изученные алгоритмы. Такие алгоритмы с большой долей вероятности исключают лазейки, через которые возможен доступ к защищенной информации.
Развертывание механизмов шифрования должно включать управление ключом защиты. При использовании шифровального блока (устройства для шифрования трафика, передаваемого от узла к узлу) система должна разрешать периодическое изменение ключа. А система управления ключом защиты должна быть соразмерна всей системе.


Персонал
При применении любых новых систем безопасности вы должны располагать подходящим персоналом. Вам потребуются обученные сотрудники при проведении учебных программ по повышению осведомленности.


Проведение профессиональной переподготовки
Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка – это механизм обеспечения сотрудников необходимой информацией.


Сотрудники
Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации. Компетентная профессиональная переподготовка по безопасности обеспечивает их необходимой информацией в области политики организации, выбора пароля и предупреждения атак социального инжиниринга.


Администраторы
Они должны быть осведомлены о последних на данный момент технических приемах хакеров, угрозах безопасности и обновления программных продуктов. Это обучение должно проходить часто (возможно, раз в месяц) и проводиться сотрудниками отдела безопасности.


Разработчики
Обучение для разработчиков должно быть расширенной версией учебных занятий для сотрудников. Дополнительный материал включает специфические технические приемы программирования для устранения уязвимых мест и соответствующее понимание роли отдела безопасности в процессе разработки.


Руководители
Презентация для руководителей организации – это отчасти и обучение, и маркетинг. Без поддержки руководства программа безопасности просто не сможет существовать. Следовательно, руководство должно быть проинформировано о состоянии безопасности и о дальнейшем развитии программы.


Персонал отдела безопасности
Персонал отдела безопасности должен быть осведомлен о современном состоянии дел, чтобы грамотно выполнять свою работу.


Проведение аудита

Аудит – это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала. В свою очередь это позволит удостовериться, что все средства контроля сконфигурированы правильно.

Обсуждая место аудита в процессе безопасности, выделим три функции:

  • аудит соблюдения политики;
  • периодическая оценка существующих проектов и оценка новых проектов;
  • проверка возможности нарушения защиты.


Аудит соблюдения политики
Аудит определяет реальное состояние дел. Любые отклонения отмечаются как нарушения. Он должен проявлять интерес к тому, как выполняются другие формы управления информацией. Соблюдается ли информационная политика? Как хранятся и передаются секретные документы?


Периодическая оценка проектов и оценка новых проектов
Компьютерная и сетевая среда внутри организации находятся в состоянии постоянного изменения, что приводит к быстрому старению результатов оценки за счет сокращения некоторых рисков и введения новых. По этой причине оценка должна выполняться периодически.
Небольшие оценки должны выполняться в случае разработки новых проектов или изменений в организационной среде. Проверки должны проходить на стадии проектирования, чтобы определить, имеет ли проект какие-либо риски, и происходит ли в результате разработки проекта появление или сокращение рисков внутри организации.


Проверка возможности нарушения защиты
Они имеют ограниченную ценность в программе безопасности в связи с тем, что при проверках предпринимаются попытки воспользоваться установленной уязвимостью, чтобы получить доступ к системам и информации внутри организации. Если такая проверка имеет успех, то единственный вывод из всего этого – обнаружена, по крайней мере, одна уязвимость. Если проверка нарушения защиты терпит неудачу, то вывод такой – проверяющий не смог обнаружить и использовать уязвимость. А это вовсе не значит, что уязвимости не существует.

Проверка защиты подходит для следующих случаев.

  • способность системы обнаружения вторжений выявить попытку нарушения защиты;
  • уместность процедуры реагирования на инцидент, связанный с безопасностью;
  • информация о сети, которую можно узнать через средства управления сетевым доступом;
  • уместность физической безопасности помещения;
  • адекватность информации, предоставляемой сотрудникам программой повышения осведомленности в плане безопасности.