ТИБМЗИ 2010 Загинайлов. Алтайский государственный технический

51
С позиции управления информационной безопасностью организа- ции информационная безопасность определяется, как свойство ин-
формации сохранять конфиденциальность, целостность и доступ-
ность.
С позиции безопасности системы информационных технологий, на которых основаны бизнес-процессы организации информационная
безопасность - это все аспекты, связанные с определением, дос-
тижением и поддержанием конфиденциальности, целостности,
доступности, неотказуемости, подотчетности, аутентичности
и достоверности информации или средств ее обработки.
Конфиденциальность - свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
Целостность-свойство сохранения правильности и полноты ак- тивов.
Доступность-свойство объекта находиться в состоянии готовно- сти и используемости по запросу авторизованного логического объек- та.
Активы
Угрозы
Политика
ИБ организации
Защитные меры
Политика обеспечения
ИБ
Система обеспечения
ИБ
Угрозы объектам ИБ
Объекты
ИБ
Информационная безопасность
К О М П О Н Е Н Т Ы
Рисунок 4. 1 – Концептуальная модель информационной безо- пасности организации
К О М П О Н Е Н Т Ы ИБ О Р Г А Н И З А Ц И И
Уязвимости
Риски

52
4.2 Объекты и угрозы информационной безопасности орга-
низации
Объекты обеспечения информационной безопасности. Объекты обеспечения информационной безопасности в контексте безопасности системы информационных технологий организации именуются акти- вами.
Активы (А) - все, что имеет ценность для организации. Актив системы информационных технологий является компонентом или ча- стью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны ор- ганизации. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанно- стью всех уровней руководства.
Могут существовать следующие типы активов (табл.4.1):
1. Информация/данные:
а) информация в форме сведений (сведения об участниках органи- зации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.); б) информация в форме сообщений (информационные ресурсы - документы, закрепляющие права собственников организации на мате- риальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказа- ние услуг, документация на выпускаемые изделия и.т.п.);
2. Информационная инфраструктура – ИТ, ИС, ИТКС (аппарат- ные средства (например, компьютеры, принтеры), программное обес- печение, включая прикладные программы (например, программы об- работки текстов, программы целевого назначения), оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели), программно-аппаратные средства (например, гибкие магнит- ные диски, CD-ROM, программируемые ROM)).
3.Продукция организации;
4. Услуги (например, информационные, вычислительные услуги).
5. Конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);
6. Персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллектуальной собствен- ности и на доступ к информации и т.п.);
7. Правовой статус организации как объекта информационной
сферы – юридического лица (права на объекты интеллектуальной соб- ственности, на коммерческую тайну, на выполнение работ и оказание

53
Табл.4.1 – Объекты обеспечения ИБ организации (активы)
Группы объектов
Непосредственные объекты (активы)
1. Информация
/данные:
а) информация в форме сведений (сведения об участ- никах организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.);
б) информация в форме сообщений (документированная информация: документы, закрепляющие права собственников организации на материальные и нематериальные активы, доку- ментация бухгалтерского учёта, налоговые декларации, догово- ры на выполнение работ и оказание услуг, документация на вы- пускаемые изделия и.т.п.);
в) информация (данные) - информационные ресурсы в
информационных системах организации
2. Объекты информационной инфраструктуры
а) ИС и ИТКС (их информативные физические поля –
для ИОД) обеспечивающие бизнес-процессы организации;
б) ИТ и ИТТ, АСУ, системы связи и передачи данных,
осуществляющие прием, обработку, хранение и передачу
информации (например программное обеспечение и др.) в) помещения, предназначенные для ведения закры-
тых переговоров, а также переговоров, в ходе которых огла- шаются сведения ограниченного доступа
3. Интересы организации
а) правовой статус организации как объекта информа-
ционной сферы – юридического лица (права на объекты ин- теллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание услуг, на доступ к общедоступ- ной информации государственных органов, и т.п., а также обязанности по предоставлению в уполномоченные государ- ственные органы сведений о результатах экономической дея- тельности, по предоставлению заинтересованным лицам до- кументов в случае направления заявки на участие в конкурсах и аукционах и т.п., )
б) персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллекту- альной собственности и на доступ к информации и т.п.);
в) интересы субъектов взаимодействия (партнёров) от- носительно активов (собственников (учредителей), инвесто- ры, заказчики и поставщики продукции и услуг ( в т.ч. лицен- зиары и правообладатели объектов интеллектуальной собст- венности), конфиденты коммерческой тайны
4. Продукция и услуги
а) продукция организации;
б) услуги (например, информационные, вычислительные ус- луги);
в) конфиденциальность и доверие при оказании услуг
(например, услуг по совершению платежей).

54
услуг, на доступ к общедоступной информации государственных орга- нов, и т.п., а также обязанности по предоставлению в уполномоченные государственные органы сведений о результатах экономической дея- тельности, по предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п., )
Интересы организации в информационной сфере определяются совокупностью интересов субъектов организации и субъектов взаимо- действия (партнёров) относительно активов:
1. Собственников (учредителей);
2. Руководителей организации (директора, менеджеры и др).
3. Персонал организации.
4. Инвесторы.
5. Заказчики продукции и услуг.
6. Поставщики продукции и услуг ( в т.ч. лицензиары и правообла- датели объектов интеллектуальной собственности)
7. Конфиденты коммерческой тайны.
Угрозы информационной безопасности организации. С поняти- ем угрозы неразрывно связаны понятия: инцидент информационной безопасности, уязвимость, риск:
угроза (T)- потенциальная причина инцидента, который может на- нести ущерб системе или организации;
инцидент информационной безопасности (I) - любое непредви- денное или нежелательное событие, которое может нарушить деятель- ность или информационную безопасность;
уязвимость (V) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами;
риск (R) - потенциальная опасность нанесения ущерба организа- ции в результате реализации некоторой угрозы с использованием уяз- вимостей актива или группы активов.
4.3 Политика обеспечения информационной безопасности ор-
ганизации
В качестве основы действенной безопасности системы ИТ органи- зации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организа- ции и обеспечивают согласованность всех защитных мер.

55
В пределах организации соблюдается иерархия политик безопас- ности ( рис.4.2) от бизнес - политики организации в целом до политики безопасности конкретной ИТ (ИТТ).
Рис.4.2 - Иерархия политик информационной безопасности в орга- низации
Политика ИБ организации – это правила и процедуры (мето- ды), которые следует соблюдать для достижения целей обеспечения информационной безопасности.
Цель: Обеспечить управление и поддержку высшим руково- дством информационной безопасности в соответствии с целями дея- тельности организации (бизнеса), законами и нормативными актами.
Политика безопасности ор- ганизации
Политика
ИТТ организации
Политика информационной безопасности организации
Политика безопасности
ИТТ организации
Другие политики
Политика маркетинга организации
Политика безопасности
ИТТ конкретного подразде- ления или конкретной ИТТ

56
Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопас- ности организации должна отражать более широкий круг аспектов по- литики организации, включая аспекты, которые касаются прав лично- сти, законодательных требований и стандартов. Должна быть оформ- лена документально.
Политика безопасности информационных (информационно – те-
лекоммуникационных) технологий - правила, директивы, сложившаяся
практика, которые определяют, как в пределах организации и ее ин-
формационных (информационно-телекоммуникационных) технологий
управлять, защищать и распределять активы, в том числе критич-
ную информацию.
Политика безопасности ИТ должна формироваться, исходя из со- гласованных целей и стратегий безопасности ИТ организации. Необ- ходимо выработать и сохранять политику безопасности ИТ, соответст- вующую законодательству, требованиям регулирующих органов, по- литике в области бизнеса, безопасности и политике ИТ.
4.4 Система обеспечения информационной безопасности орга-
низации.
В логике стандарта ГОСТ Р ИСО/МЭК 13335-2006 система обес-
печения информационной безопасности организации может быть оп- ределена как совокупность защитных мер направленных на исключе-
ние или снижение до приемлемого уровня рисков, связанных с угрозами
конфиденциальности, целостности, доступности, неотказуемости,
подотчетности, аутентичности и достоверности информации или
средств ее обработки.
Состав элементов системы обеспечения информационной безо- пасности приведен на рис.4.3
Защитная мера (S) - сложившаяся практика, процедура или меха- низм обработки риска. Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения уг- розы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстанов- ление активов.
Множество защитных мер определено в части 4 « Выбор защит- ных мер» ГОСТ Р ИСО/МЭК 13335, которая является руководством по выбору защитных мер с учетом потребностей и проблем безопасности организации.
Защитная мера может выполнять много функций безопасности и,

57
наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение, сдерживание, обнаружение, ограничение, исправление, восстановление, мониторинг, осведомле- ние.
Области, в которых могут использоваться защитные меры, включа- ют в себя: физическую среду; техническую среду (аппаратно- программное обеспечение и средства связи); персонал; администриро- вание.
Некоторые защитные меры могут характеризовать позицию орга- низации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие
Система менеджмента безопасности системы ИТ
Субъекты обеспечения
ИБ организации деятельнос
Организаци- онные защитные меры
Система обеспечения информационной безопасности организации
Система менеджмента информационной безо- пасности
(СМИБ) организации деятельнос
Физические защитные меры деятельнос
Специальные защитные меры
(технического характера)
Рис.4.3 - Система обеспечения информационной безопасности организации

58
ущерба культурной и социальной среде, в которой функционирует ор- ганизация. Такими специфическими защитными мерами являются: по- литики и процедуры; механизмы контроля доступа; антивирусное программное обеспечение; шифрование; цифровая подпись; инстру- менты мониторинга и анализа; резервный источник питания; резерв- ные копии информации.
Защитные меры связаны с работой аппаратных средств и меха- низмов, а также с процедурами, которые должны соблюдаться персо- налом в организации.
Всё множество мер разделяется на три группы (рис.4.3).
Организационные защитные меры. К ним относятся:
-
Политика обеспечения безопасности ИТ организации (Политика обеспечения безопасности системы ИТ, управление безопасностью ИТ
(учреждение комитета по безопасности ИТ и назначения лица (упол- номоченного по безопасности ИТ), ответственного за безопасность каждой системы ИТ), распределение ответственности и полномочий, организация безопасности ИТ, идентификация и определение стоимо- сти активов, одобрение систем ИТ);
- Проверка соответствия безопасности установленным требова-
ниям (соответствие политики обеспечения безопасности ИТ защитным мерам, соответствие законодательным и обязательным требованиям);
- Обработка инцидента (отчет об инциденте безопасности, отчет о слабых местах при обеспечении безопасности, отчет о нарушениях в работе программного обеспечения, управление в случае возникнове- ния инцидента);
- Персонал (обязанности, соглашение о конфиденциальности, обу- чение, дисциплина, ответственность);
- эксплуатационные вопросы (оборудование ИТ и связанных с ним систем, управление резервами, документация, техобслуживание, мониторинг изменений, записи аудита и регистрация, Тестирование безопасности, управление носителями информации, обеспечение сти- рания памяти, распределение ответственности и полномочий, коррект- ное использование программного обеспечения, управление измене- ниями программного обеспечения).
- Планирование непрерывности бизнеса (стратегия непрерывности бизнеса, план непрерывности бизнеса, проверка и актуализация плана непрерывности бизнеса, дублирование).
Физические защитные меры (должны применяться к зданиям, зонам безопасности, местам размещения ЭВМ и офисным помещени- ям). К физическим мерам относятся:
- материальная защита (защитные меры, применяемые для защи-

59
ты здания, включают в себя заборы, управление физическим доступом
(пропускные пункты), прочные стены, двери и окна);
- противопожарная защита ( средства обнаружение огня и дыма, охранной сигнализации и подавления очага возгорания);
-защита от воды/других жидкостей (защита в случае возникно- вения угрозы затопления);
-защита от стихийных бедствий (защищены от удара молнии и оснащены защитой от грозового разряда);
- защита от хищения (идентификация и инвентаризация ресурсов, проверка охраной и администраторами носителей конфиденциальной информации, выносимого оборудования, (например, съемных и смен- ных дисках, флэш-накопителях, оптических дисках, гибких дисках и др.)).
-энергоснабжение и вентиляция (альтернативный источник энер- госнабжения и бесперебойного питания, поддержание допустимой температуры и влажности);
-прокладка кабелей ( защищены от перехвата информации, повре- ждения и перегрузки. Проложенные кабели должны быть защищены от случайного или преднамеренного повреждения).
Специальные защитные меры (меры технического характера).
Идентификация и аутентификация (на основе некоторой инфор- мации, известной пользователю (пароли), на основе того, чем владеет пользователь (карточки (жетоны), смарт-карты с запоминающим уст- ройством (ЗУ) или микропроцессором) и персонального идентифика- ционного номера - PIN кода), на основе использования биометриче- ских характеристик пользователя (отпечатки пальцев, геометрия ладо- ни, сетчатка глаз, а также тембр голоса и личная подпись).
Логическое управление и аудит доступа для:
- ограничения доступа к информации, компьютерам, сетям, при- ложениям, системным ресурсам, файлам и программам;
- регистрации подробного описания ошибок и действий пользова- теля в следе аудита и при анализе записей для обнаружения и исправ- ления нарушений при обеспечении безопасности.( Политика управле- ния доступом, Управление доступом пользователя к ЭВМ, Управление доступом пользователя к данным, услугам и приложениям, Анализ и актуализация прав доступа, Контрольные журналы).
Защита от злонамеренных кодов: (вирусы; черви; троянские кони
(Сканеры, Проверки целостности, Управление обращением съемных носителей, Процедуры организации по защитным мерам (руководящие указания для пользователей и администраторов).
Управление сетью (Операционные процедуры (документация опе-

60
рационных процедур и установление порядка действий для реагирова- ния на значительные инциденты безопасности), Системное планирова- ние, Конфигурация сети (документирование, межсетевая защита), Раз- деление сетей (физическое и логическое), Мониторинг сети, Обнару- жение вторжения.
Криптография(математический способ преобразования данных для обеспечения безопасности - помогает обеспечивать конфиденци- альность и/или целостность данных, неотказуемость). С использование криптографии может осуществляться:
-защита конфиденциальности данных (с учётом законодательных и обязательных требований), защита целостности данных (хэш-функции, цифровые подписи и/или другие),
- неотказуемость,
-аутентичность данных,
-управление ключами (генерирование, регистрацию, сертифика- цию, распределение, установку, хранение, архивирование, отмену, из- влечение и уничтожение ключей).
Порядок выбора защитных мер очень важен для правильного пла- нирования и реализации программы информационной безопасности.
Выделяется три основных способа выбора защитных мер:
- согласно типу и характеристикам системы ИТ;
- согласно общим оценкам проблем и угроз безопасности;
- в соответствии с результатами детального анализа рисков.
4.5 Модель безопасности информационных технологий
организации
Безопасность системы информационных технологий организации
- это многоплановая организация процессов защиты, которую можно рассматривать с различных точек зрения. Взаимосвязь компонентов безопасности, показывающая, как активы могут подвергаться воздей- ствию нескольких угроз, одна из которых является основой для моде- ли, представлена на рисунке 4.3.
Набор угроз постоянно меняется и, как правило, известен только частично. Также со временем меняется и окружающая среда, и эти из- менения способны повлиять на природу угроз и вероятность их воз- никновения.
Модель безопасности отображает:
 окружающую среду, содержащую ограничения и угрозы, кото-

61
рые постоянно меняются и известны лишь частично;
 активы организации (А);
 уязвимости, присущие данным активам (
V)
;
 меры для защиты активов (S);
 приемлемые для организации остаточные риски (RR);
 угрозы безопасности активам (Т);
 возможные сценарии (N).
R - риск; RR - остаточный риск; S - защитная мера; T - угроза;
V - уязвимость актива; N- сценарий.
Рисунок 4.3 - Взаимосвязь компонентов безопасности в различ- ных сценариях модели безопасности
На основе анализа взаимосвязи компонентов безопасности, пред- ставленной на рисунке 4.3., модель информационной безопасности может быть представлена пятью возможными сценариями. Эти сцена- рии приведены в таблице 4.1.
В качестве защитной меры может быть использован мониторинг угроз для того, чтобы убедиться, что угрозы, способные использовать уязвимость актива, не появились. Ограничения влияют на выбор за-
N5
N3
N1
N2
N4

62
щитных мер.
Любая ИТТ включает в себя активы (в первую очередь информа- цию, а также технические средства, программное обеспечение, связь и т.д.), важные для успешной деятельности организации.
Таблица 4.1- Возможные сценарии, описывающие модель безо- пасности
Сценарии
Описание сценария
№1 защитная мера S может быть эффективна для снижения рисков R, связанных с угрозой T, способ- ной использовать уязвимость актива V. Угроза мо- жет достичь цели, только если активы уязвимы для данной угрозы
№2 защитная мера может быть эффективной для снижения риска, связанного с угрозой, использую- щей группу уязвимостей актива;
№3 группа защитных мер может быть эффективна в снижении рисков, связанных с группой угроз, ис- пользующих уязвимость актива. Иногда требуется несколько защитных мер для снижения риска до приемлемого уровня для получения допустимого ос- таточного риска RR
№4 риск считают приемлемым и никакие меры не реализуются даже в присутствии угроз и при нали- чии уязвимостей актива
№5 существует уязвимость актива, но не известны угрозы, которые могли бы ее использовать.
Эти активы представляют для организации ценность, которая обычно определяется по их влиянию на бизнес-операции неавторизо- ванного раскрытия информации, ее модификации или отказа от автор- ства, а также недоступностью или разрушением информации или ус- луг. Для того, чтобы точнее оценить реальное значение воздействия, вначале его определяют вне зависимости от угроз, которые могут его вызвать. Затем отвечают на вопрос о том, какие угрозы могут возник- нуть и вызвать подобное воздействие, какова вероятность их появле- ния и могут ли активы подвергаться нескольким угрозам. Далее изу- чают вопрос о том, какие уязвимости активов могут быть использова- ны угрозами для того, чтобы вызвать воздействие, т.е. могут ли угрозы использовать уязвимости, чтобы воздействовать на активы. Каждый из этих компонентов (ценности активов, угрозы и уязвимости) может

63
создать риск. От оценки риска далее зависят общие требования безо- пасности, которые выполняются или достигаются реализацией защит- ных мер. В дальнейшем применение защитных мер снизит риск, защи- тит от воздействия угроз и уменьшит уязвимость активов.
Взаимосвязь защитных мер и риска, показывающая эффективность некоторых защитных мер в снижении риска, представлена на рис. 4.4.
Рисунок 4.4 - Взаимосвязь защитных мер и риска
Часто требуется применение нескольких защитных мер для сни- жения риска до приемлемого уровня. Если риск считается приемле- мым, то реализация защитных мер не требуется.
Активы, включенные в установленные границы рассмотрения, должны быть обнаружены, и наоборот, - любые активы, выведенные за границы рассмотрения (независимо от того, по каким соображениям это было сделано), должны быть рассмотрены еще раз с тем, чтобы убедиться, что они не были забыты или упущены.
Для идентификации защитных мер полезно рассмотреть уязви- мости системы, требующие защиты, и виды угроз, которые могут реа- лизоваться при наличии этих уязвимостей. Существуют следующие возможности снижения уровня риска:
- избегать риска;
- уступить риск (например, путем страховки);
Риск
Реализованные
защитные
меры
Остаточный
риск
Планирование:
Оценка риска,
Выработка плана безопасности ИТТ
Реализация: применение защитных мер
Приемлемый уровень

64
- снизить уровень угроз;
- снизить степень уязвимости системы ИТ;
- снизить возможность воздействия нежелательных событий;
- отслеживать появление нежелательных событий, реагировать на их появление и устранять их последствия.
Выбор защитных мер должен всегда включать в себя комбинацию ор- ганизационных (не технических) и технических мер защиты. В качест- ве организационных, рассматриваются меры, обеспечивающие физи- ческую, персональную и административную безопасность.
Для выбора соответствующих эффективных защитных мер, органи- зация должна исследовать и оценить проблемы безопасности, связан- ные с коммерческой деятельностью, которую обслуживает рассматри- ваемая система ИТ. После идентификации проблем безопасности и с учетом соответствующих угроз можно выбирать защитные меры.
Проблемы безопасности могут включать в себя потерю:
- конфиденциальности;
- целостности;
- доступности;
- подотчетности;
- аутентичности;
- достоверности.
Контрольные вопросы и задания
1. Какие стандарты следует считать основой знаний и практиче- ского опыта в области обеспечения информационной безопасности ор- ганизации?
2. Какие компоненты включает в себя концептуальная модель ин- формационной безопасности организации?
3. Как определяется понятие информационной безопасности с по- зиции безопасности системы ИТ, на которой основаны бизнес- процессы организации.
4. Перечислите активы, которые могут быть объектами информа- ционной безопасности организации.
5. Какие понятия связаны с понятием угрозы информационной безопасности организации и в чём их суть?
6. В чём заключается суть иерархии политик безопасности органи- зации?

65 7. Что представляет собой политика безопасности информацион- ных (информационно – телекоммуникационных) технологий органи- зации?
8. Приведите понятие системы обеспечения информационной безопасности организации.
9. Что представляют собой защитные меры?
10. Приведите возможные сценарии, описывающие модель безо- пасности организации.

66
ЧАСТ II
МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОМАЦИИ