Разработка системы менеджмента инцидентов информационной безопасности для хозяйствующего субъекта в области информационных техно. Курсовой проект_ИБ. Курсовой проект по дисциплине Системы информационной безопасности
 Скачать 227.47 Kb.
|
ВВЕДЕНИЕВ настоящее время вопросам информационной безопасности уделяется значительное внимание. Это связано не только с необходимостью выполнения требований законодательства и репутационными соображениями, но и имеет прямую экономическую основу, так как потери доступности коммерческих сервисов оборачивается как минимум упущенной выгодой, а судебные разбирательства и необходимость восстановления информационную систему после различных негативных воздействия могут привести к реальным материальным издержкам. Особенно это актуально для предприятий, работающих в сфере информационных технологий. Для успешной минимизации рисков потерь, связанных с угрозами информационной безопасности, разрабатывается система управления информационной безопасностью (СУИБ). При этом могут использоваться различные модели процессов информационной безопасности и стандарты. Данная работа посвящена разработке СУИБ предприятия сферы информационных технологий Акционерного общества «Крымтехнологии» (АО «Крымтехнологии»). Ввиду выше сказанного, тема работы актуальна. Разрабатываемая СУИБ основана на модели управления информационной безопасностью международного стандарта ISO/IEC 27035:2016 «Информационные технологии. Методы безопасности. Управление инцидентами информационной безопасности» и модели рисков в соответствии с моделью угроз и уязвимостей. Применяются экспертный и аналитический методы. Ожидается, что внедрение разработанной СУИБ в перспективе должно привести к существенному усилению защищенности информационной системы рассматриваемой организации. Исходя из вышеизложенного, целью настоящего курсового проекта является разработка системы управления информационной безопасностью для АО «Крымтехнологии» с использованием международного стандарта ISO/IEC 27035:2016». Для достижения уели работы решались задачи: Изучение требований международного стандарта ISO / IEC 27035-1-2016 Анализ информационной системы АО «Крымтехнологии», инвентаризация и категорирование его информационных активов. Изучение методики определения рисков информационной системы на основе модели угроз и уязвимостей. Анализ рисков информационной системы указанной организации, выявление наиболее опасных угроз информационной безопасности. Разработка Плана реализации контрмер угрозам информационной безопасности, определение ожидаемого остаточного риска после реализации запланированных контрмер. Разработка Политики информационной безопасности и Положения о применимости средств управления организации. Работа состоит из введения, шести разделов, заключения, списка использованных источников и двух приложений. РАДЕЛ I. КРАТКИЕ СВЕДЕНИЯ ПРО МЕЖДУНАРОДНЫЙ СТАНДАРТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИЛюбая организация, желающая обеспечить сильную программу информационной безопасности, должна иметь структурированный и спланированный подход, и должна выполнять следующие действия: - обнаруживать, сообщать и оценивать инциденты информационной безопасности; - реагировать на инциденты информационной безопасности, включая активацию соответствующих средств управления для предотвращения, уменьшения и восстановления после негативных воздействий; - сообщать об уязвимостях информационной безопасности, для возможности своевременного оценивания и устранения соответствующим образом; - учиться на инцидентах и уязвимостях информационной безопасности, внедрять превентивные меры контроля и вносить улучшения в общий подход к управлению инцидентами информационной безопасности. Для реализации этого запланированного подхода используется международный стандарт ISO/IEC 27035:2016 с общим названием «Информационные технологии. Методы безопасности. Управление инцидентами информационной безопасности», который предоставляет руководство по аспектам управления инцидентами информационной безопасности в следующих соответствующих частях. Первая часть международного стандарта ISO/IEC 27035-1:2016 [1] носит рабочее название «Принципы управления инцидентами». Этот документ представляет основные концепции и этапы управления инцидентами информационной безопасности, а также способы улучшения управления инцидентами. Эта часть объединяет эти концепции с принципами в структурированный подход к обнаружению, сообщению, оценке и реагированию на инциденты, а также к применению «извлеченных уроков». Вторая часть стандарта ISO/IEC 27035-2:2016 – «Рекомендации по планированию и подготовке к реагированию на инциденты». Эта часть описывает, как планировать и готовиться к реагированию на инциденты, а также охватывает фазы «Планирование и подготовка» и «Извлеченные уроки» модели «Фазы управления инцидентами информационной безопасности», представленной в ISO/IEC 27035-1:2016. Инциденты информационной безопасности могут быть умышленными (вызванными вредоносным ПО или преднамеренным нарушением дисциплины) или случайными (вызванными непреднамеренной ошибкой человека или неизбежными стихийными бедствиями) и могут быть вызваны техническими (компьютерные вирусы) или нетехническими (кража компьютеров) последствиями. Последствия могут включать несанкционированное раскрытие, изменение, уничтожение или недоступность информации, а также повреждение или кражу активов организации, содержащих информацию. В качестве ключевой части общей стратегии информационной безопасности организации, следует внедрить средства управления и процедуры, позволяющие использовать хорошо спланированный подход к управлению инцидентами информационной безопасности. С точки зрения организации, основная цель состоит в том, чтобы избежать или ограничить влияние инцидентов информационной безопасности, чтобы свести к минимуму прямой и косвенный ущерб ее деятельности, вызванный инцидентами. Поскольку повреждение информационных активов может оказать негативное влияние на операции, деловые и операционные перспективы должны иметь большое влияние при определении более конкретных целей управления информационной безопасностью. Более конкретные цели структурированного и хорошо спланированного подхода к управлению инцидентами должны включать следующее: a) события информационной безопасности обнаруживаются и эффективно обрабатываются, в частности, решается, когда они должны быть классифицированы как инциденты информационной безопасности; б) выявленные инциденты информационной безопасности оцениваются и на них реагируют наиболее подходящим и эффективным способом; в) негативные последствия инцидентов информационной безопасности для организации, а также для её операций, сведены к минимуму с помощью соответствующих средств управления как части реагирования на инциденты; г) установлена связь с соответствующими элементами антикризисного управления и управления непрерывностью бизнеса через процесс эскалации; д) уязвимости информационной безопасности оцениваются и обрабатываются соответствующим образом для предотвращения или уменьшения инцидентов. Эта оценка может проводиться либо группой по реагированию на инциденты, либо другими командами в организации, в зависимости от распределения обязанностей; Стандарт ISO/IEC 27035-1:2016 описывает основные преимущества при использовании структурированного подхода к управлению инцидентами информационной безопасности: Повышение общей информационной безопасности; Снижение негативного воздействия на бизнес; Повышение внимания к предотвращению инцидентов информационной безопасности; Улучшение приоритезации; Поддержка сбора доказательств и расследования; Вклад в обоснование бюджета и ресурсов; Улучшение обновлений результатов оценки и управления рисками информационной безопасности; Обеспечение расширенной осведомленности об информационной безопасности и учебных программных материалов; Предоставление исходных данных для анализа политики информационной безопасности и соответствующей документации. К основным этапам управления инцидентами информационной безопасности согласно ISO/IEC 27035-1:2016 относятся: Планирование и подготовка; Обнаружение и сообщение; Оценка и решение; Ответы; Извлеченные уроки; К основным моментам этапа «Планирование и подготовка» второй части международного стандарта, можно отнести следующее: - политика управления инцидентами информационной безопасности и обязательства высшего руководства; - политики информационной безопасности, в том числе относящиеся к управлению рисками, обновляемые как на корпоративном уровне, так и на уровне системы, обслуживания и сети; - план управления инцидентами информационной безопасности; - создание группы реагирования на инциденты; - устанавливать отношения и связи с внутренними и внешними организациями; - техническая и другая поддержка (включая организационную и операционную); - брифинги и обучение по управлению инцидентами информационной безопасности; - тестирование плана управления инцидентами информационной безопасности. Прежде чем сформулировать политику управления инцидентами информационной безопасности, организация должна определить следующее в отношении управления инцидентами информационной безопасности: а) цели; б) заинтересованные стороны внутренние и внешние; в) конкретные типы инцидентов и уязвимости, которые необходимо выделить; г) любые конкретные роли, которые необходимо выделить; д) выгоды для всей организации, а также её отделов. Организация должна включать содержание управления инцидентами информационной безопасности в свои политики информационной безопасности на корпоративном уровне, а также на конкретных уровнях системы, и соотносить это содержание с политикой управления инцидентами. Интеграция должна быть направлена на следующее: a) Описание важности управления инцидентами информационной безопасности, в частности, плана отчетности и обработки инцидентов информационной безопасности; б) Для обозначения приверженности высшего руководства необходимости надлежащей подготовки и реагирования на инциденты информационной безопасности, то есть плана управления инцидентами информационной безопасности; в) Для обеспечения согласованности различных политик; г) Обеспечение запланированного, систематического и спокойного реагирования на инциденты информационной безопасности, тем самым сводя к минимуму неблагоприятные воздействия инцидентов. План управления инцидентами информационной безопасности вступает в силу всякий раз, когда обнаруживается событие информационной безопасности или сообщается об уязвимости информационной безопасности. Планирование и подготовка плана реагирования на инциденты должны осуществляться владельцем процесса с четкой целью или набором задач для реагирования на инциденты в пределах определенной области на основе политики управления инцидентами информационной безопасности. Организации следует выйти за рамки отдельного инцидента или уязвимости информационной безопасности и проверить тенденции / шаблоны, которые сами по себе могут помочь выявить потребность в средствах управления или изменениях подхода. Также разумной практикой после инцидента информационной безопасности, ориентированного на ИТ, является проведение тестирования информационной безопасности, особенно оценки уязвимости. Таким образом, организация должна регулярно анализировать данные в базе данных по информационной безопасности, чтобы делать следующее: - определить тенденции / закономерности; - выявить проблемные области; - проанализировать, где можно предпринять превентивные действия, чтобы снизить вероятность будущих инцидентов. Соответствующая информация, полученная в ходе инцидента информационной безопасности, должна быть направлена на анализ тенденций / закономерностей (аналогично тому, как обрабатываются обнаруженные уязвимости информационной безопасности). Он вносит значительный вклад в раннее выявление инцидентов информационной безопасности и обеспечивает предупреждение о том, какие дальнейшие инциденты информационной безопасности могут возникнуть, на основе предыдущего опыта и задокументированных знаний. Международный стандарт ISO/IEC 27035:2016 предназначен для дополнения других стандартов и документов, которые дают руководство по расследованию и подготовке к расследованию инцидентов информационной безопасности. ISO/IEC 27035:2016 не является исчерпывающим руководством, а является справочником по определенным фундаментальным принципам, которые призваны гарантировать, что инструменты, методы и способы могут быть выбраны надлежащим образом и продемонстрированы как пригодные для использования в случае необходимости. |