Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование

29
Применяйте правила аудита для сбора информации, необходимой для выполнения требований таких стандартов безопасности, как SOX, PCI DSS и
HIPPA, или для соответствия внутренним стандартам аудита.
3.5. Генерируйте отчеты для оценки регуляторами и криминалистами
Оформляйте отчеты об активности БД, которые помогут удовлетворить требования регуляторов, проводить расследования злоупотреблений, собирать важную статистику и проводить мониторинг быстродействия системы. Вне- дряйте DAP-решения, способные вести отчетность согласно государственным и отраслевым стандартам и при необходимости подстраиваться под требования бизнеса.
4. Защита данных
4.1. Архивируйте внешние данные
Автоматизируйте процессы долгосрочного архивирования данных. Ис- пользуйте решения, которые можно настроить на периодическое сохранение данных во внешние системы хранения данных. Перед архивацией данные мож- но сжимать, шифровать и подписывать.
4.2. Применяйте шифрование к базам данных
Шифруйте конфиденциальные данные в гетерогенных окружениях. Это позволит вам защитить как рабочие, так и резервные копии БД, затем прово- дить аудит активности и контроль доступа к конфиденциальным данным поль- зователей, имеющим доступ к этим БД на уровне операционной системы и хра- нилищ. Внедряя аудит БД наряду с шифрованием, организации могут прово- дить мониторинг и контролировать как внутренних, так и внешних пользовате- лей.
5. Меры безопасности нетехнического характера
5.1. Задействуйте опытных специалистов
по информационной безопасности
Для защиты от растущего числа внешних и внутренних угроз нанимайте специалистов с опытом внедрения, администрирования и мониторинга решений по обеспечению безопасности. Непрерывное обучение и тренинги также важны для повышения уровня профессионализма. Привлекайте сторонних специали- стов по информационной безопасности для содействия во внедрении средств безопасности, проведения оценки и тестирования, обучения и поддержки ва- ших администраторов.
5.2. Обучайте своих сотрудников
Обучайте собственных сотрудников методам снижения риска, включая способы распознавания типичных киберугроз (например, целевого фишинга), рекомендациям по безопасному пользованию Интернетом и электронной по- чтой и обращением с паролями. Игнорирование обучения сотрудников мерам безопасности повышает риск взлома. Конечным результатом должны стать хо- рошо подготовленные пользователи, обученные безопасному обращению с конфиденциальными данными.
9 / 10

30
ЛЕКЦИЯ 4. ПОЛИТИКА БЕЗОПАСНОСТИ
Под целостностью подразумевается отсутствие ненадлежащих измене- ний. Ни одному пользователю АС, в том числе авторизованному, не должны быть разрешены такие изменения данных, которые повлекут за собой их раз- рушение или потерю.
При рассмотрении вопроса целостности данных используется интегриро- ванный подход, включающий в себя девять теоретических принципов:
1) корректность транзакций;
2) минимизация привилегий;
3) аутентификация пользователей;
4) разграничение функциональных обязанностей;
5) аудит произошедших событий;
6) объективный контроль;
7) управление передачей привилегий;
8) обеспечение непрерывной работоспособности;
9) простота использования защитных механизмов.
Политика безопасности организации — совокупность документиро- ванных руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределе- ние ценной информации (рис. 6).
Политика безопасности зависит от:
– конкретной технологии обработки информации;
– используемых технических и программных средств;
– расположения организации.
Политика безопасности устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Она заставляет людей делать вещи, которые они не хотят делать. Однако она имеет огромное значение для органи- зации и является наиболее важной составляющей работы отдела информацион- ной безопасности.
Политика безопасности определяет:
– безопасность внутри организации;
– место каждого служащего в системе безопасности.
Существуют различные политики, для которых есть три основных обще- принятых раздела.
Цель. Каждая политика и процедура имеют четко определенную цель, описывающая причины, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
10 / 10

31
Рис. 6
Общая политика информационной безопасности
Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур, которые должны быть надлежащим образом обучены и знать все требования политики.
Политика безопасности строится на основе анализа рисков, которые при- знаются реальными для информационной системы организации (рис. 7). Следу- ет выяснить, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект.
Рис. 7
Схема политики информационной безопасности
Риском называется произведение «возможного ущерба от атаки» на «ве- роятность такой атаки».
Ущерб от атаки может быть представлен следующим образом (табл. 2).
1 / 10

32
Таблица 2
Ущерб от атаки
Величина
ущерба
Описание
0
Раскрытие информации нанесет ничтожный моральный и финансовый ущерб фирме
1
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изме- няются минимально
3
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы
5
Фирма прекращает существование
Вероятность атаки представляется в соответствии со следующей табли- цей 3.
Таблица 3
Вероятность атаки
Вероятность
Средняя частота появления
0 данный вид атаки отсутствует
1 реже чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал.
А вот оценку вероятности появления атаки лучше доверить техническим со- трудникам фирмы.
Следующим этапом является составление таблицы рисков предприятия
(табл. 4).
Таблица 4
Риски предприятия
Описание атаки
Ущерб
Вероятность
Риск (=Ущерб×
×Вероятность)
Спам (переполнение почтового ящика) 1 4
4
Копирование жесткого диска из централь- ного офиса
3 1 3
… …
…
2
Итого:
9
На этом этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7.
Сначала проверяется каждая строка таблицы на непревышение риска это- го значения. Если такое превышение имеет место, значит данная строка — это
2 / 10

33
одна из первоочередных целей разработки политики безопасности. Затем про- изводится сравнение удвоенного значения (в нашем случае 7 × 2 = 14) с инте- гральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит в сис- теме безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение инте- грального риска, и производится попытка их уменьшить или устранить полно- стью.
Когда проведен анализ рисков и определена стратегия защиты, составля- ется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответст- венные, определяется порядок контроля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Политика безопасности обычно оформляется в виде документа, вклю-
чающего такие разделы, как описание проблемы, область применения, позиция
организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы.Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям со- вместно использовать программы и данные, что увеличивает угрозу безопасно- сти. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данно- го документа. Документ преследует следующие цели: продемонстрировать со- трудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения.В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с се- тью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.Целью организации является обеспечение целост- ности, доступности и конфиденциальности данных, а также их полноты и акту- альности. Более частными целями являются:
– обеспечение уровня безопасности, соответствующего нормативным до- кументам;
– следование экономической целесообразности в выборе защитных мер
(расходы на защиту не должны превосходить предполагаемый ущерб от нару- шения информационной безопасности);
– обеспечение безопасности в каждой функциональной области локаль- ной сети;
– обеспечение подотчетности всех действий пользователей с информа- цией и ресурсами;
3 / 10

34
– обеспечение анализа регистрационной информации;
– предоставление пользователям достаточной информации для созна- тельного поддержания режима безопасности;
– выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерыв- ности работы сети;
– обеспечение соответствия с имеющимися законами и общеорганизаци- онной политикой безопасности.
Распределение ролей и обязанностей.За реализацию сформулирован- ных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функцио- нирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в частно- сти, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
Пользователи обязаны работать с локальной сетью в соответствии с по- литикой безопасности, подчиняться распоряжениям лиц, отвечающих за от- дельные аспекты безопасности, ставить в известность руководство обо всех по- дозрительных ситуациях.
Санкции.Нарушение политики безопасности может подвергнуть ло- кальную сеть и циркулирующую в ней информацию недопустимому риску.
Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
Дополнительная информация.Конкретным группам исполнителей мо- гут потребоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасно- сти, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от раз- меров и сложности организации. Для достаточно крупной организации могут потребоваться в дополнение к базовой политике специализированные поли- тики безопасности. Организации меньшего размера нуждаются только в не- котором подмножестве специализированных политик. Многие из этих доку- ментов поддержки могут быть довольно краткими — объемом в одну-две страницы.
С практической точки зрения политики безопасности можно разделить на
три уровня: верхний, средний и нижний.
Верхний уровень политики безопасности определяет решения, затраги- вающие организацию в целом. Эти решения носят весьма общий характер и ис- ходят, как правило, от руководства организации.
4 / 10

35
Такие решения могут включать в себя следующие элементы:
– формулировка целей, которые преследует организация в области ин- формационной безопасности, определение общих направлений в достижении этих целей;
– формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвиже- ние программы;
– обеспечение материальной базы для соблюдения законов и правил;
– формулировка управленческих решений по вопросам реализации про- граммы безопасности, которые должны рассматриваться на уровне организации в целом.
Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, т. е. о ее защите от не- санкционированного доступа.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персо- нала для защиты критически важных систем, поддержание контактов с други- ми организациями, обеспечивающими или контролирующими режим безопас- ности.
Политика верхнего уровня должна четко определять сферу своего влия- ния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудника- ми своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь, т. е. политика может служить основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослуш- ности и исполнительской дисциплины. Во-первых, организация должна соблю- дать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы по- ощрений и наказаний.
Средний уровень политики безопасности определяет решение вопро- сов, касающихся отдельных аспектов информационной безопасности, но важ- ных для различных систем, эксплуатируемых организацией.
Примеры таких вопросов — отношение к доступу в Интернет (проблема сочетания свободы получения информации с защитой от внешних угроз), ис- пользование домашних компьютеров и т. д.
5 / 10

36
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
– описание аспекта — позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организация в данном аспекте;
– область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;
– роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
– санкции — политика должна содержать общее описание запрещенных действий и наказаний за них;
– точки контакта — должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно точкой контакта служит должностное лицо.