Главная страница
Навигация по странице:

  • 8.1. Практика компании IBM в области защиты информации

  • 8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности

  • Система Описание Уровень риска

  • 8.3. Практика компании

  • Категория Принцип безопасности Организационная

  • Разработка приложений и систем

  • Операции и сопровождение

  • Список использованной и рекомендуемой литературы

  • Методические рекомендации по проведению практических занятий по дисциплине специализации "Системы защиты информации в ведущих зарубежных странах"


    Скачать 1.73 Mb.
    НазваниеМетодические рекомендации по проведению практических занятий по дисциплине специализации "Системы защиты информации в ведущих зарубежных странах"
    Дата07.09.2022
    Размер1.73 Mb.
    Формат файлаdoc
    Имя файлаsistemy_zashhity_informacii_za_rubezhom.doc
    ТипМетодические рекомендации
    #666533
    страница12 из 17
    1   ...   9   10   11   12   13   14   15   16   17
    Глава 8

    системЫ защиты информации в ведущих мировых компаниях

    8.1. Практика компании IBM в области защиты информации

    8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности

    8.3. Практика компании Microsoft в области информационной безопасности
    8.1. Практика компании IBM в области защиты информации

    В компании IBM считается что, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности ком­пании. При этом рекомендуется использовать международный стан­дарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса уп­равления информационными рис­ками (рис. 8.1). Считается, что разра­ботка политики безопасности от­носится к стратегическим задачам ТОР-менеджмента компании, кото­рый способен адекватно оценить стоимость информационных акти­вов компании и принять обоснован­ные решения по защите информа­ции с учетом целей и задач бизнеса [12].


    Рис. 8.1. Процесс разработки политики безопасности компании
    Компания IBM выделяет следу­ющие основные этапы разработки политики безопасности:

    1. Определение информацион­ных рисков компании, способных нанести максимальный ущерб для разработки в дальнейшем проце­дур и мер по предупреждению их возникновения,

    2. Разработка политики безопас­ности, которая описывает меры защиты информационных актинов, адекватных целям и задачам бизнеса.

    1. Выработка планов действий в чрезвычайных ситуациях и в слу­чаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности.

    2. Оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточ­ных рисков.

    Структура документов безопасности

    По мнению специалистов IBM, политика без­опасности компании должна со­держать явный ответ на вопрос: «Что требуется защитить?». Толь­ко после этого можно приступать к созданию эффективной политики информационной безопаснос­ти. При этом политика безопасности является первым стратегичес­ким документом, который необхо­димо создать, и содержит мини­мум технических деталей, являясь настолько статичным (неизменяемым) актом, насколько это воз­можно. Предполагается, что политика безопасности компании будет содержать:

    • определение информационной безопасности с описанием пози­ции и намерений руководства компании по ее обеспечению;

    • описание требований по без­опасности, которые включают:

    • соответствие требованиям законодательства и контрактных обязательств;

    • обучение вопросам информационной безопасности;

    • предупреждение и обнаруже­ние вирусных атак;

    • планирование непрерывности бизнеса;

    • определение ролей и обязанно­стей по различным аспектам общей программы информа­ционной безопасности;

    • описание требований и про­цесса отчетности по инциден­там, связанным с информаци­онной безопасностью;

    • описание процесса поддержки политики безопасности,

    Специалисты по информационной безопасности компании IBM выделяют следу­ющие основные этапы разработки политики безопасности компании:

    • анализ бизнес-стратегии компании и связанные с этим требования по информационной безопас­ности;

    • анализ ИТ-стратегии, текущие проблемы информационной безопасности и требования по ин­формационной безопасности, которые появятся в будущем;

    • создание политики безопасности, взаимно увязанной с бизнес - и ИТ-стратегиями.

    Рекомендуемая структура руко­водящих документов по обеспече­нию информационной безопаснос­ти компании представлена на рис. 8.2.


    Рис. 8.2. Структура руководящих документов безопасности
    После корпоративной политики создаётся серия стандартов, под которыми в компании IBM понимают документы, описывающие порядок применения корпоративной политики безопас­ности в терминах аутентификации, авторизации, идентификации, конт­роля доступа и т. д. Стандарты могут быть часто изменяющимися доку­ментами, так как на них оказывают влияние текущие угрозы и уязвимо­сти информационных технологий.

    В представлении IВМ, полити­ки и стандарты безопасности слу­жат для:

    • создания правил и норм безопас­ности уровня компании;

    • анализа информационных рисков и способов их уменьшения;




    • формализации способов защиты, которые должны быть реализованы;

    • определения ожиданий со сторо­ны компании и сотрудников;

    • четкого определения процедур без­опасности, которым нужно следовать;

    • обеспечения юридической под­держки в случае возникновения проблем в области безопасности.

    Стандарты реализуются с помо­щью практик и/или процедур. Пер­вые являются практической реали­зацией стандартов в операционных системах, приложениях и инфор­мационных системах. В них дета­лизируются сервисы, устанавлива­емые на операционных системах, порядок создания учетных записей и т. д. Вторые документируют про­цессы запроса и подтверждения до­ступа к определенным сервисам, например VPN.

    Рассмотрим особенно­сти предлагаемого подхода к построению системы безопасности в компании IВМ на конкретном примере.

    1. Проблемная ситуация: сотруд­ники загружают программное обеспечение из Интернета, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности их работы.

    2. В политику безопасности до­бавляется строка «информацион­ные ресурсы компании могут быть использованы только для выпол­нения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудни­кам компании.

    1. Создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспече­ние разрешены для использования сотрудниками.

    2. Практика безопасности опи­сывает способы настройки операционной системы в соответствии с тре­бованиями стандарта безопасности.

    3. Процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или уста­новку дополнительного программ­ного обеспечения сотрудниками.

    4. Устанавливаются дополни­тельные сервисы для контроля выполнения требований политики без­опасности.


    8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
    По мнению специалистов по информационной безопасности компании Cisco, отсутствие се­тевой политики безопасности может привести к серьезным инцидентам. Ее разработку рекомендуется начи­нать с оценки рисков сети и создания рабочей группы по реагированию на инциденты.

    В компании Cisco рекомендуют со­здавать политики использования, которые описывают роли и обязан­ности сотрудников компании для надлежащей защиты корпоратив­ной конфиденциальной информа­ции. Начать можно с разработки главной политики безопасности, в которой четко нужно прописать общие цели и задачи организации режи­ма информационной безопаснос­ти компании.

    Следующий шаг - создание по­литики допустимого использования для партнеров, чтобы проинформи­ровать их о доступной им информа­ции. При этом следует четко изло­жить любые действия, которые будут восприниматься как враждебные, а также описать возможные способы реагирования при обнаружении та­ких действий.

    В заключение необходимо со­здать политику допустимого использования для администраторов, где будут описаны процедуры администрирования учетных записей сотрудников, внедрения политики и проверки привилегий. Также, если в компании существуют опреде­ленные политики использования паролей или категорирования ин­формации, они должны быть здесь упомянуты. Далее необходимо про­верить названные политики на не­противоречивость и полноту, а так­же убедиться втом, что сформули­рованные требования к админист­раторам нашли свое отображение в планах по обучению.

    Проведение анализа рисковинформационной безопасности.

    Назначение анализа рисков со­стоит в том, чтобы категорировать информационные активы компа­нии, определить наиболее значимые угрозы и уязвимости активов и обоснованно выбрать соответствующие контрмеры безопасности. Подразу­мевается, что это позволит найти и поддерживать приемлемый баланс между безопасностью и требуемым уровнем доступа к сети. Различают следующие уровни информационных рисков [12]:

    • Низкий уровень риска. Скомпрометированные информа­ционные системы и данные (доступные для изучения неавторизован­ными лицами, поврежденные или утерянные) не приведут к серьезно­му ущербу, финансовым пробле­мам или к проблемам с правоохранительными органами.

    • Средний уровень риска. Скомпрометированные информа­ционные системы и данные приведут к умеренному ущер­бу или к небольшим проблемам с правоохранительными органа­ми, или к умеренным финансо­вым проблемам, а также к получе­нию дальнейшего доступа к дру­гим системам. Затронутые систе­мы и информация требуют уме­ренных усилий по восстановле­нию.

    • Высокий уровень риска. Скомпрометированные информа­ционные системы и данные приведут к значи­тельному ущербу или к серьезным проблемам с правоохрани­тельными органами, или к финансовым проблемам, нанесе­нию ущерба здоровью и безопас­ности сотрудников. Затронутые системы и информация требуют существенных усилий по восстановлению.

    Рекомендуется определить уро­вень риска для каждого из пере­численных устройств: сетевых уст­ройств, устройств мониторинга сети, серверов аутентификации, почтовых серверов, файловых серверов, серверов сете­вых приложений (DNS и DHCP), сервера баз данных (Oracle, MS SQL Server), персональных компьютеров и других устройств.

    При этом считается, что сетевое оборудование, такое как коммутато­ры, маршрутизаторы, DNS- и DHCP-серверы в случае компрометации могут быть использованы для даль­нейшего проникновения в сеть и по­этому должны относиться к группе среднего или высокого уровней рисков. Воз­можное повреждение этих устройств может привести к прекращению ра­боты всей сети. Такие инциденты мо­гут нанести серьезный ущерб ком­пании.

    После определения уровней ри­ска необходимо определить роли пользователей этих систем. Реко­мендуется выделять пять наиболее общих типов пользователей.

    Администраторы. Внутренние пользователи, отвечающие за сете­вые ресурсы.

    Привилегированные пользователи. Внутренние пользователи с необходимостью высокого уровня до­ступа.

    Рядовые пользователи. Внутрен­ние пользователи с обычным уров­нем доступа.

    Партнеры. Внешние пользовате­ли с необходимостью доступа к не­которым ресурсам.

    Другие. Внешние пользователи или клиенты.

    Определение уровней рисков и типов доступа, требуемых для каж­дой сети, позволяет сформировать некоторую матрицу безопасности (рис 8.3). Эта матрица безопасности является стартовой точкой для даль­нейших шагов по обеспечению без­опасности, например таких, как со­здание соответствующей стратегии по ограничению доступа к сетевым ресурсам.

    Система

    Описание

    Уровень риска

    Типы пользователей

    ATM-коммутаторы

    Основные сетевые устройства

    Высокий

    Администраторы для конфигурирования (только персонал поддержки]; все другие для использования в качестве транспорта

    Сетевые маршрутизаторы

    Сетевые устройства распределения

    Высокий

    Администраторы для конфигурирования (только персонал поддержки); все другие для использования в качестве транспорта

    Коммутаторы доступа

    Сетевые устройства доступа

    Средний

    Администраторы для конфигурирования (только персонал поддержки); все другие для использования в качестве транспорта

    ISDN или dial up сервера

    Сетевые устройства доступа

    Средний

    Администраторы для конфигурирования (только персонал поддержки); партнеры и привилегированные пользователи для специального доступа

    Межсетевые экраны

    Сетевые устройства доступа

    Высокий

    Администраторы для конфигурирования (только персонал поддержки]; все другие для использования а качестве транспорта

    Серверы DNS и DHCP

    Сетевые приложения

    Средний

    Администраторы для конфигурирования; пользователи для повседневного использования

    Внешние почтовые серверы

    Сетевое приложение

    Низкий

    Администраторы для конфигурирования; все другие как транспорт для передачи почты между Интернетом и внутренним почтовым сервером

    Внутренний почтовый сервер

    Сетевое приложение

    Средний

    Администраторы для конфигурирования; все другие для повседневного использования

    Сервер базы данных Oracle

    Сетевое приложение

    Средний или высокий

    Администраторы для конфигурирования; привилегированные пользователи для обновления информации; сотрудники компании для доступа к информации; все остальные имеют частичный доступ к информации


    Рис. 8.3. Матрица безопасности Cisco
    Определение состава и структуры группы сетевой безопасности.

    Специалистами по защите информации компании Cisco Systems рекомендуется создать группу се­тевой безопасности под руковод­ством менеджера по безопасности с представителями из каждой значи­мой бизнес-единицы компании (ми­нимум - из представителей бизнес-единиц развития, исполнения и про­изводства и/или продаж). Члены группы должны хорошо знать поли­тику' безопасности и технические ас­пекты защищаемых систем и сетей. Часто это требует дополнительного обучения сотрудников названной группы. Группа безопасности должна принимать участие в разработке политики безопасности, организа­ции режима информационной безопасности, а также своевременно реагировать на инциденты в облас­ти информационной безопасности компании.

    Процесс сопровождения поли­тик безопасности заключается в кон­троле и при необходимости пере­смотре политик безопасности ком­пании. Как минимум, необходим ежегодный пересмотр политики без­опасности и проведение анализа ри­сков.

    На практике группа сетевой без­опасности должна проводить ана­лиз рисков, подтверждать запросы на проведение изменений в системе безопасности, проводить монито­ринг оповещений о появлении новых уязвимостей с использованием списков рассылок вендоров и неза­висимых аналитических центров, например CERT или SANS, и под­держивать соответствие требованиям политики безопасности с по­мощью определенных технических и организационных мер.

    Так как нарушения безопасности часто обнаруживаются во время проведения мониторинга сети, члены группы сетевой безопасности долж­ны участвовать в расследовании ин­цидентов и предупреждению подоб­ных нарушений в дальнейшем. Каж­дый член группы безопасности дол­жен обладать хорошими знаниями в области прикладного, системного и сетевого программного и аппарат­ного обеспечения систем безопаснос­ти. При этом рекомендуется опреде­лить индивидуальные роли и обя­занности каждого члена группы сете­вой безопасности.

    Предупреждение нарушений политики безопасности компании.

    Под предупреждением наруше­ний компания Cisco понимает под­тверждение изменений в системах безопасности и мониторинг безопасности сети.

    Изменения в системах безопас­ности могут быть определены как изменения в сетевом оборудова­нии, которые могут иметь потен­циальное воздействие на состояние безопасности сети. Политика без­опасности компании должна опре­делять специфические требования конфигурации безопасности, описанные не техническими термина­ми. Другими словами, вместо формулировки «Не разрешены внеш­ние ftp-соединения во внутрен­нюю сеть» лучше воспользоваться определением «Внешние соедине­ния не должны быть способны по­лучать файлы из внутренней сети». При этом желательно стремиться к определению уникальных требо­ваний компании. Использование стандартных шаблонов обеспече­ния безопасности и настроек по умолчанию в подходе компании Cisco настоятельно не рекоменду­ется.

    Группа сетевой безопасности просматривает описанные общедо­ступным языком требования и оп­ределяет соответствие техническо­го дизайна и настроек элементов сети этим требованиям. Если выяв­ляются несоответствия, группа без­опасности вносит необходимые из­менения в сетевую конфигурацию для выполнения требований поли­тики безопасности, при этом груп­пой сетевой безопасности могут контролироваться не все измене­ния. Важно просмотреть те из них, которые наиболее значимы и суще­ственны для сети компании в плане безопасности, например:

    • любые изменения в конфигура­ции межсетевых экранов;

    • любые изменения в списках кон­троля доступа;

    • любые изменения в конфигура­ции SNMP;

    • любые изменения или обновления программного обеспечения, версии которого отличаются от разрешен­ного списка версий программного обеспечения.

    Компания Cisco рекомендует сле­довать следующим правилам:

    • регулярно изменять пароли на се­тевых устройствах;

    • ограничить доступ к сетевым уст­ройствам согласно утвержденно­му списку сотрудников;

    • гарантировать, что текущая вер­сия программного обеспечения сетевого и серверного оборудования соответствует требованиям безопасности.

    В добавление к этим правилам необходимо включить представи­теля группы сетевой безопасности в постоянно действующую комис­сию компании по утверждению из­менений для отслеживания всех из­менений, происходящих в сети ком­пании. Представитель группы без­опасности может запретить реализа­цию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой без­опасности.

    Мониторинг сетевой безопасно­сти фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопаснос­ти. Отправной точкой мониторин­га безопасности является определе­ние понятия нарушения безопасно­сти. Анализ угроз и информацион­ных рисков позволяет сделать вы­воды о требуемом уровне полноты мониторинга безопасности сети компании. В дальнейшем при про­ведении процесса утверждения изменений безопасности каждый раз проверяется значимость выявлен­ных угроз сети. Оценивание этих угроз определяет объекты и часто­ту мониторинга.

    Так, в матрице анализа ри­сков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг межсетевого экрана выполняется постоянно в режиме реального вре­мени. Из раздела подтверждения из­менений безопасности следует, что необходимо отслеживать все изме­нения в настройках конфигурации межсетевого экрана, то есть SNMP-агент должен отслеживать та­кие события, как отвергнутые по­пытки регистрации, необычный тра­фик, изменения на межсетевом экра­не, предоставление доступа к межсе­тевому экрану и установление соеди­нений через межсетевой экран.

    Следуя этому примеру, можно создать политику мониторинга для каждого компонента сети, опреде­ленного при проведении анализа ри­сков. Рекомендуется проводить мо­ниторинг компонентов сети с низ­ким уровнем риска еженедельно, со средним уровнем риска ежеднев­но, с высоким уровнем риска раз в час. При этом, если требуется более быстрое время реагирования, необ­ходимо уменьшить названные про­межутки времени.

    Важно также определить в поли­тике безопасности порядок уведом­ления членов группы сетевой без­опасности о нарушениях. Как пра­вило, средства мониторинга без­опасности сети будут первыми ав­тономно обнаруживать нарушения. Должна быть предусмотрена воз­можность отправки по любым до­ступным каналам связи уведомле­ний в центр реагирования на инци­денты в области безопасности для оперативного оповещения членов группы сетевой безопасности.

    Реагирование на нарушения политики безопасности.

    Под реагированием на наруше­ния безопасности здесь понимается определение нарушений безопасно­сти, порядка восстановления и пересмотра правил безопасности.

    При обнаружении нарушения безопасности важно своевременно отреагировать и оперативно восста­новить нормальное функциониро­вание сервисов сети. Главное прави­ло - своевременное оповещение группы сетевой безопасности после обнаружения нарушения. Если оно не выполняется, реагирование будет замедлено, а, следовательно, послед­ствия вторжения окажутся более тя­желыми, поэтому необходимо раз­работать соответствующую проце­дуру реагирования и оповещения действенную 24 часа в день, 7 дней в неделю.

    Далее необходимо четко опреде­лить уровень привилегий по внесе­нию изменений, а также порядок вне­сения изменений. Здесь возможны следующие корректирующие дей­ствия:

    • реализация изменений для пре­дупреждения дальнейшего распространения нарушения;

    • изолирование поврежденных си­стем;

    • взаимодействие с провайдером для отслеживания источника атаки;

    • использование записывающих ус­тройств для сбора доказательств;

    • отключение поврежденных систем или источников атаки;

    • обращение в правоохранительные органы или федеральные агент­ства;

    • выключение поврежденных сис­тем;

    • восстановление систем в соответствии со списком приоритетности;

    • уведомление руководства и юрис­тов компании.

    Необходимо детализировать лю­бые изменения в политике безопасности, которые могут быть произве­дены без необходимости получения разрешения от руководства.

    Отметим, что существует две основных причины сбора и хране­ния информации об атаках: для оп­ределения последствий реализации атаки и для расследования и пресле­дования злоумышленников. Тип ин­формации и способ ее сбора зависит от этих целей.

    Для определения последствий на­рушения безопасности рекомендует­ся проделать следующие шаги:

    • зафиксировать инцидент с помо­щью записи сетевою трафика, сня­тия копий файлов журналов, ак­тивных учетных записей и сетевых подключений;

    • ограничить дальнейшие наруше­ния путем отключения учетных записей, отсоединения сетевого обо­рудования от локальной сети и от Интернета;

    • провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;

    • попытаться найти другие подтвер­ждения компрометации (часто при компрометации системы оказыва­ются затронутыми другие системы и учетные записи);

    • хранить и просматривать файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом к оп­ределению метода атаки.

    В случае необходимости прове­дения юридических действий, сле­дует уведомить руководство ком­пании и привлечь обслуживающих компанию юристов для сбора соот­ветствующих доказательств. Если нарушение было внутренним, по­требуется привлечь сотрудников отдела кадров.

    Восстановление работоспособ­ности сервисов сети компании является конечной целью процедуры реагирования на нарушения в об­ласти безопасности. Здесь необхо­димо определить порядок восста­новления доступности сервисов, например с помощью процедур ре­зервного копирования. При этом надо учитывать, что каждая систе­ма имеет для этого собственные ме­ханизмы, поэтому политика без­опасности, являясь общей для всех элементов сети, при необходимос­ти должна позволять детализиро­вать условия восстановления кон­кретного элемента. Если требуется получить разрешение на восста­новление, необходимо описать по­рядок получения разрешения в по­литике безопасности.

    Пересмотр политики безопас­ности является заключительным этапом ее жизненного цикла. Здесь важно обратить внимание на следу­ющие аспекты. Политика безопас­ности должна быть «жизнеспособным» документом, адаптирован­ным к изменяющимся условиям. Сравнение существующей полити­ки безопасности с лучшими прак­тиками в этой области и последую­щий пересмотр политики должны поддерживать в состоянии защи­щенность активов сети. Необходи­мо регулярно обращаться на сайты различных независимых аналити­ческих центров, например CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в под­держиваемой политике безопаснос­ти компании.

    Также рекомендуется проводить аудит безопасности сети силами консалтинговых компаний, облада­ющих опытом таких работ. Для се­тей с высокими требованиями к доступности информационных ресур­сов рекомендуется проведение, как минимум, ежегодного независимого аудита безопасности. Кроме того, достаточно эффективны и внутрен­ние тренировки, направленные на отработку действий в чрезвычайных ситуациях.
    8.3. Практика компании Microsoft в области информационной безопасности
    Компания Microsoft обладает сложной корпоративной инфраструктурой, которая состоит из 5 тысяч серверов Windows Server 2003 (из них 800 серверов приложений). В штате компании работает более 55 тысяч сотрудников. Сотрудники очень хорошо подготовлены техни­чески, и 95% из них обладают адми­нистраторскими полномочиями на своих компьютерах. Более 300 тысяч компьютеров компании, на которых используется более 1600 приложе­ний, расположены в 400 представи­тельствах по всему миру.

    В сеть компании ежедневно по­ступает приблизительно 8 миллионов по­чтовых сообщений извне, и прибли­зительно 6,5 миллионов почтовых сообще­ний циркулирует ежедневно в сети самой компании, доступ к которой имеют 30 тысяч партнеров.

    Уникальная инфраструктура по разработке продуктов, тестирова­нию и поддержке, исходный код продуктов требуют особой защиты. Ежемесячно осуществляется свыше 100 тысяч попыток вторжения в сеть компании. Впочтовую систему еже­месячно поступает свыше 125 тысяч почтовых сообщений, зараженных вирусами (примерно 800 новых вирусов в день) и 2,4 миллиона почтовых со­общений со спамом ежедневно.

    Обязанность по обеспечению информационной безопасности в Microsoft возложена на две груп­пы: Corporate Security Group и Oper­ations and Technology Group.

    Компания Microsoft разработа­ла стратегию безопасности, состоя­щую из четырех основных компо­нентов:

    • миссии корпоративной безопас­ности;

    • принципов операционной без­опасности:

    • модели принятия решений, осно­ванной на анализе рисков;

    • тактической приоритезации дея­тельности по уменьшению рис­ков.

    Фундаментом для дизайна, раз­работки и работы защищенных систем являются принципы безопасно­сти, разделенные на несколько категорий (рис.8.4).



    Категория

    Принцип безопасности

    Организационная

    Направлена на получение поддержки со стороны руководства по управлению рисками и на ознакомление с вопросами безопасности

    Управление рисками в соответствии с задачами бизнеса

    Определение ролей и обязанностей

    Инвестиции в дизайн защищенности

    Обеспечение безопасности операций

    Пользователи и данные

    Включает аутентификацию, защиту данных пользователей, авторизацию

    Управление принципом наименьших привилегий

    Классификация данных и их использование

    Внедрение защиты данных и идентичности пользователя

    Защита информации

    Гарантия целостности данных

    Мониторинг гарантии идентичности

    Доступность

    Разработка приложений и систем

    Выделена для дизайна и разработки защищенных систем

    Встраивание безопасности в жизненный цикл

    Дизайн «многоуровневой защиты»

    Уменьшение поверхности атаки

    Сохранение простоты использования

    Операции и сопровождение

    Объединение людей, процессов и технологий для построения, поддержки и использования защищенных систем

    План по поддержке систем

    Внедрение защищенных конфигураций

    Мониторинг и журналирование

    Практика реагирования на инциденты

    Проверка процедур восстановления в случае аварии


    Рис. 8.4. Классификация принципов ИБ
    Для обеспечения информацион­ной безопасности Corporate Security Group использует управление ин­формационными рисками, под кото­рым здесь понимается процесс опре­деления, оценки и уменьшения рис­ков на постоянной основе. Управле­ние рисками безопасности позволяет найти разумный баланс между стои­мостью средств/мер защиты и требованиями бизнеса.

    Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких как количествен­ный анализ рисков, анализ возвра­та инвестиций в безопасность, ка­чественный анализ рисков, а также подходы лучших практик. Для реа­лизации этого подхода Corporate Security Group разработала струк­туру, которая основана на традиционной модели управления инфор­мационными рисками.

    Инвестирование в процесс управления риском с цельной струк­турой и определенными ролями и обязанностями готовит органи­зацию к определению приорите­тов, планированию уменьшения угрозы и переход к следующей уг­розе или уязвимости. Для наилуч­шего управления рисками Corpo­rate Security Group следует тради­ционному подходу по управлению рисками, состоящему из четырех этапов:

    • оценки информационных рисков (выполнение методологии оцен­ки рисков для определения вели­чины риска);

    • политики безопасности (разра­ботка политики безопасности по уменьшению, уклонению и пре­дупреждению рисков);

    • внедрения средств защиты (объ­единение сотрудников, процессов и технологий для уменьшения ри­сков, основанных на анализе соот­ношения цена/качество);

    • аудита безопасности и измерения текущей защищенности (мониторинг, аудит безопасности и изме­рение защищенности информационных систем компании).

    Как видно из рис. 8.5, разработка политики безопасности является одним из этапов по управлению информационными рисками.
     
    Рис. 8.5. Этапы управления рисками
    Методология, используемая при разработке политики, базируется на Стандарте ISO 17799:2002 (BS 7799).

    Рекомендуемая Microsoft поли­тика безопасности включает в себя:

    • определение целей безопасности;

    • важность обеспечения безопасно­сти;

    • определение требуемого уровня безопасности;

    • стандарты безопасности, включая стратегии их мониторинга и ауди­та;

    • роли и ответственность по обес­печению безопасности;

    • цели и задачи офицера по безопас­ности;

    • определение процессов по защи­те индивидуальных компонентов архитектуры;

    • определение требуемого обучения вопросам безопасности.

    Примерами декларируемых це­лей безопасности являются:

    • достижение максимально возмож­ного уровня качества, надежности и конфиденциальности информа­ции;

    • сохранение репутации компании;

    • недопущение повреждения или утери информации, процессов, собственности компании и обеспечение, таким образом, непрерыв­ности работы компании;

    • сохранение ценности информа­ции, интеллектуальной собствен­ности и технологических ресурсов.

    Для разработки целей безопас­ности создается комитет по информационной безопасности, состоя­щий из сотрудников с опытом рабо­ты в области безопасности, техниче­ских сотрудников и представителей других подразделений под руковод­ством офицера по безопасности.

    Комитет решает следующие за­дачи:

    • разработку и управление жизнен­ным циклом политики безопасно­сти;

    • создание процессов, обеспечиваю­щих достижение целей безопасно­сти;

    • создание процессов и планов по реализации стандартов, описан­ных в политике;

    • помощь и организации программ ознакомления с вопросами безопасности;

    • консультирование персонала по вопросам безопасности;

    • определение бюджета и требуемых ресурсов по обеспечению безопасности.


    Контрольные вопросы:


    1. Охарактеризуйте подход компании IBM к построению корпоративных политик безопасности.

    2. В чем заключаются особенности оценки информационных рисков компанией CISCO?

    3. Что представляет собой «матрица безопасности» CISCO?

    4. Назовите этапы реагирования на события безопасности в компании CISCO.

    5. Охарактеризуйте основные принципы обеспечения информационной безопасности в компании Microsoft

    6. На чем базируются политики безопасности компании Microsoft?

    Заключение
    Рассмотренный учебный курс по дисциплине “Системы защиты информации в ведущих зарубежных странах” является одним из важнейших в специальной подготовке специалистов по защите информации. Успешное освоение данного курса позволяет подробно изучить мировой опыт становления и современное состояние защиты информации с учётом национальных особенностей развитых зарубежных стран. Такой опыт необходимо учитывать при разработке планов систем защиты информации в Российской Федерации на различных уровнях обеспечения информационной безопасности

    Содержание предлагаемого учебного пособия не претендует на обобщение всего многообразия вопросов становления и функционирования систем защиты информации в зарубежных странах, но авторы надеются, что их работа будет с благодарностью оценена всеми, кому приходится сталкиваться с решением задач информационной безопасности в рамках профессиональной деятельности.

    Построение систем защиты информации в нашей стране становится все более актуальным в условиях активизации внешних угроз, таких как приближение НАТО вплотную к границам России, проведение широкомасштабных операций информационно-психологической войны, агрессивная политика ряда стран СНГ по отношению к РФ и т.д.
    Список использованной и рекомендуемой литературы


    1. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие/В.И. Аверченков. – Брянск: БГТУ, 2005 – 269 с.

    2. Семкин, С.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учеб. пособие. / С.И. Семкин, Э.В. Беляков, С.В. Гребнев, В.И. Козичок – М: Гелиос АРВ, 2005 – 192 с.

    3. Современные международные отношения: учебник / Под. ред. А.В. Торкунова. — М.: «Российская политическая энциклопедия» (РОССПЭН), 1999. — 584 с.

    4. Вепринцев, В.Б. Операции информационно-психологической войны: методы, средства, технологии, краткий энциклопедический словарь. / Вепринцев В.Б., Манойло А.В., Петренко А.И., Фролов Д.Б. - М.: Горячая линия - Телеком, 2003 – 312 с.

    5. Манойло, А.В. Государственная информационная политика в условиях информационно-психологической войны/ А.В. Манойло, А.И. Петренко, Д.Б. Фролов — М.: Горячая линия-Телеком, 2003 г. — 541 с.

    6. Панарин, И.Н. Информационная война и дипломатия. / И.Н. Панарин – М.: "Городец-издат", 2004г. – 527 с.

    7. Панарин, И.Н. Информационная война и мир / И.Н. Панарин, Л.А. Панарина – М.: Олма-Пресс, 2003г. – 384 с.

    8. Панарин, И.Н. Технология информационной войны / И.Н. Панарин – М.: КСП+, 2003г. – 320 стр.

    9. Ганн, Шувэй. Некоторые вопросы о законотворчестве в области компьютерных систем // Вестник Государственного института работников прокуратуры. 2002. № 3.

    10. Домарев, В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев – К: ООО «ТиД», 2004. – 914с.

    11. Расторгуев, С.П. Информационная война. Проблемы и модели. Экзистенциальная математика: учебное пособие / С.П. Расторгуев – М.: Гелиос АРВ, 2006. – 240 с.

    12. Петренко, С.А. Лучшие практики создания корпоративных нормативных документов по безопасности. Информационно-методический журнал «Защита информации. Инсайд», - 2005 - №№ 5,6.

    13. Мухин, В.И. Информационно-психологическое оружие / В.И. Мухин, В.К. Новиков – М., 1999. – 100 с.

    14. Аверченков, В.И. Организационная защита информации: учеб. пособие для вузов/ - В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2005.-184 с.

    15. Скрыль С.В. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. – Воронеж: Воронежский институт МВД России, 2001. – 464 с.

    16. Исследовательский центр Агентура.ru [Электронный ресурс] – досье: http://www.agentura.ru/dossier/

    17. Информационный бюллетень Jet Info. № 6 2002 [Электронный ресурс]. А. Леваков, Анатомия информационной безопасности, статья. - http://www.jetinfo.ru/

    18. Центр исследования компьютерной преступности [Электронный ресурс]. Г. Маклаков, Научно-методологические аспекты подготовки специалистов в области информационной безопасности, статья - http://www.crime-research.ru/

    19. Обзор зарубежного законодательства в области информационной безопасности [Электронный ресурс], статья - http://www.intuit.ru/department/security/secbasics/4/4.html

    20. Информационный портал Центразия [Электронный ресурс] М.Сергеев, Китайский арсенал. Гегемония посредством... Интернета, статья - http://www.centrasia.ru/newsA.php4?st=1118909280

    21. Журнал «Информационное право» [Электронный ресурс]. Е.К. Волчинская, Интернет и право: состояние и перспективы правового регулирования, статья - http://www.infolaw.ru/lib/2005-1-internet-and-law

    22. Окинавская Хартия глобального информационного общества [Электронный ресурс] - http://www.ifap.ru/ofdocs/okinhar.htm

    23. Закон о Разведывательных Службах Великобритании, 1994 г. [Электронный ресурс] - http://ord-ua.com/categ_1/article_45938.html



    1   ...   9   10   11   12   13   14   15   16   17


    написать администратору сайта