Главная страница
Навигация по странице:

  • Администратор

  • Пользователь

  • Исходные данные

    		•

    Криптография. Вопросы для повторения


    Скачать 359.49 Kb.
    НазваниеВопросы для повторения
    АнкорКриптография
    Дата26.10.2022
    Размер359.49 Kb.
    Формат файлаpdf
    Имя файла99.pdf
    ТипЛабораторная работа
    #755580
    страница3 из 3
    1   2   3
    маркированию, т. е. указанные данные должны содер- жать соответствующую метку или гриф (представленные в физи- ческом или, если последнее невозможно, в электронном формате).
    В рамках данной темы следует определить участников классифи- кации информации:
    1.
    Владелец информации (owner, stakeholder). Владелец инфор- мации определяется для каждого защищаемого ресурса. Часто владельцем выступает менеджер высшего уровня. Владелец несет полную личную ответственность (это определено в за- конодательстве ряда стран) за указанный ресурс, в том числе за выбор мер и сервисов безопасности. Владелец выполняет следующие функции:
    ‘
    определяет классификацию информации;
    ‘
    периодически пересматривает уровень классификации ин- формации с учетом произошедших изменений;
    ‘
    делегирует выполнение определенных операций, связан- ных с внедрением мер и сервисов безопасности (но ответ- ственность несет сам) администратору.
    2.
    Администратор данных (custodian, trustee). Администратор получает определенные полномочия по обеспечению защиты категорированной информации от владельца, например вы- полнение сервисных операций по резервному копированию и восстановлению.

    Менеджмент информационной безопасности
    28 3.
    Пользователь (user). Под пользователем в данном случае по- нимается сотрудник, использующий категорированную ин- формацию для выполнения своих обязанностей. При этом:
    ‘
    пользователи должны следовать инструкциям, полностью соответствующим политике безопасности организации;
    ‘
    необходимо обеспечить возможность доступа пользова- телей исключительно к тем информационным ресурсам, которые имеют непосредственное отношение к функцио- нальным обязанностям;
    ‘
    необходимо обеспечить, чтобы пользователи обращались к ресурсам корпоративной автоматизированной системы ис- ключительно для служебных, а не для персональных целей.
    4.
    Аудитор (auditor) – специалист, на которого возложены функции объективного контроля.
    Следует заметить, что в международной практике общие обязан- ности участников связаны с этическими принципами, в частности:
    «должная забота» (due care) и «должная осмотрительность» (due diligence), в которых делается акцент на всесторонней обоснован- ности решений в зависимости от реальных обстоятельств, ну и на здравом смысле.
    1.5. Порядок использования политик, стандартов и руководств
    Очевидно, что «спонтанно бессознательная» организация управ- ления неприменима для сложных систем, поэтому СМИБ осно- вывается на наборе внутренних нормативных документов: по- литиках, процедурах, корпоративных стандартах, руководствах и инструкциях.
    Политика (policy) представляет собой документ, в котором опре- деляются цели, задачи и пути их достижения, принципы.
    Следует помнить, что часто под политикой информационной безопас ности (information security policy) понимается высокоуров- невый документ (одобренный руководством организации), предна-

    29
    Порядок использования политик, стандартов и руководств значенный для обеспечения управления ИБ в соответствии с тре- бованиями бизнеса, партнеров, клиентов, законодательной базы.
    Высокоуровневая политика безопасности, как правило, пред- ставляет собой достаточно статичный документ. Такой документ обычно содержит:
    ‘
    общую информацию об обеспечении ИБ в организации (в ко- торой мотивированно определена необходимость обеспечения и поддержки режима безопасности);
    ‘
    заявление о поддержке (commitment) мероприятий по обес- печению ИБ на всех управленческих уровнях;
    ‘
    основные положения по определению целей ИБ;
    ‘
    распределение ролей и определение общей ответственности за реализацию мероприятий по обеспечению ИБ (в том числе по разработке и корректировке политик);
    ‘
    основные положения по определению целей и механизмов безопасности, включая структуру оценки и управления рис- ками (допустимый риск, например);
    ‘
    ссылки на низкоуровневые документы, конкретно определяю- щие порядок реализации тех или иных аспектов, связанных с обеспечением ИБ.
    Документированная политика ИБ должна быть утверждена ру- ководством организации и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.
    Кроме высокоуровневой политики, выделяют низкоуровневые по- литики (частные политики), как правило, отражающие требования в определенной области или сегменте. В качестве примеров поли- тик низкого уровня можно привести политику управления доступом, политику управления паролями, политику резервного копирования, политику по защите интеллектуальной собственности и т. п.
    Состав частных политик зависит от особенностей организации: ее размера, структуры, корпоративной культуры и т. п.
    На нижележащем уровне иерархии документов, регламентирую- щих процесс обеспечения ИБ в организации, находятся стандарты организации, руководства и инструкции.

    Менеджмент информационной безопасности
    30
    Корпоративные стандарты или нормы (standard) определяют обязательное требование, практику применения какого-либо ре- шения. Примером корпоративного стандарта является, например, стандарт на конфигурацию серверов под управлением определен- ной операционной системы.
    Руководства (guidelines) отличаются от стандартов в первую очередь тем, что носят рекомендательный характер. Руководства, в частности, могут определять, как именно следует реализовывать то или иное требование на практике с учетом локальной специ- фики. Так, например, специалист по информационной безопас- ности может разработать руководство, описывающее различные алгоритмы генерации надежных паролей, чтобы облегчить задачу выбора пароля пользователю.
    Инструкции или процедуры (procedure) представляют собой до- кумент, определяющий последовательность действий по выполне- нию какой-либо задачи в соответствии с требованиями политик и стандартов. Из процедуры должно быть ясно, кто, что и когда делает. Хорошим примером процедуры является процедура регист- рации пользователей в системе, описывающая этапы согласования заявки на доступ.
    Необходимо отметить, что в основном упомянутые документы ориентированы на специалистов отделов ИТ/ИБ, руководителей подразделений. Для неподготовленных сотрудников содержание данных документов может быть непонятным. В таких случаях раз- рабатывается документ «Свод правил для сотрудников», в кото- ром доступным языком без использования технических терминов формулируются требования, которые должны выполнять сотруд- ники. Также функциональные возможности по обеспечению ИБ должны быть закреплены в положениях об отделах и должностных инструкциях.
    К отдельным видам документов стоит отнести так называемые записи (records). Записи представляют собой те документы, ко- торые создаются при выполнении процедуры, например заявка на предоставление доступа к системе, журнал системы контроля доступа с информацией о том, кто входил в серверное помещение, и т. п.

    31
    Особенности работы с персоналом
    При внедрении СМИБ названия документов и их состав опре- деляют, исходя из устоявшейся практики в компании. Политика может называться концепцией или положением, процесс – по- рядком и т. п.
    На рис. 1.6 представлен возможный вариант структуры докумен- тации СМИБ.
    Рис. 1.6. Возможная структура документации СМИБ
    1.6. Особенности работы с персоналом
    Человеческий фактор является наиболее уязвимым звеном любой информационной системы, поэтому меры по работе с персоналом являются важнейшим компонентом СМИБ. Структура организа- ции может накладывать свою специфику на используемые мето- ды, однако в общем случае необходимо предусмотреть следующие механизмы:
    1) документальное закрепление роли и обязанности каждого сотрудника (в соответствии с политикой безопасности). Осо- бо должны быть выделены меры, которые предпринимаются в случае, если сотрудник игнорирует требования безопасно- сти организации;

    Менеджмент информационной безопасности
    32 2) проверка при трудоустройстве. В зависимости от критично- сти предполагаемой должности нового сотрудника провер- ка может включать подтверждение данных, представленных в резюме, просмотр кредитной истории, контроль наличия криминальных связей и сомнительного прошлого;
    3) включение аспектов, связанных с поддержанием режима обес- печения ИБ, в трудовой договор. В обязательном порядке в договор должны быть включены вопросы, связанные с огра- ничением приватности: согласие сотрудника на мониторинг электронной почты, прослушивание телефонных переговоров;
    4) как правило, в виде самостоятельного документа сотрудник подписывает
    договор о конфиденциальности и неразглаше-
    нии (non-disclosure agreement, NDA). Данная мера позволяет избежать распространения конфиденциальной корпоратив- ной информации уволившимися сотрудниками;
    5) внутренние системы допусков к конфиденциальной инфор- мации. Получению допуска должны предшествовать комп- лексные проверки, направленные на выявление возможной неблагонадежности сотрудника. Согласие на такие проверки может быть также отражено в трудовом договоре;
    6) в целях борьбы с мошенничеством и для критических биз- нес-процессов могут быть предусмотрены особые процедуры, предусматривающие разграничение обязанностей (например, выполнение финансовой операции и контроль ее правильно- сти), а также ротацию;
    7) система обучения сотрудников. Вопросы обеспечения ИБ и соответствующие организационные и технические меры не являются очевидными для большинства сотрудников. Учеб- ные курсы, семинары, справочные буклеты и другие подобные механизмы, направленные на разъяснение принципов и пра- вил защиты информации, позволяют значительно повысить эффективность используемых средств защиты;
    8) корректное увольнение сотрудников. Процедура увольнения может сопровождаться всплеском негативных эмоций, что

    33
    Вопросы для повторения не должно привести к реализации тех или иных угроз ИБ. Во избежание злонамеренных действий со стороны уволенного сотрудника необходимо предусмотреть такие механизмы, как немедленное блокирование (но не удаление) учетной запи- си, закрытие физического доступа в помещение компании, сопровождение увольняемого сотрудника офицером службы безопас ности. Разумеется, важно корректно организовать возврат ресурсов, которые были в его пользовании.
    Вопросы для повторения
    1. Укажите, что относится к основным свойствам информацион- ной безопасности:
    а) риски, угрозы, уязвимости, дефекты;
    b) «конфиденциально», «секретно», «совершенно секретно»,
    «особой важности»;
    c) конфиденциальность, аутентичность, подотчетность, неот- казуемость и надежность;
    d) доступность и конфиденциальность, а также целостность.
    2. Какое определение наиболее корректно по отношению к поня- тию риска ИБ:
    a) риск – вероятность несанкционированного доступа к ин- формации;
    b) риск – вероятность события, которое может привести к на- рушению уровня ИБ (нарушениям конфиденциальности, це- лостности, доступности ресурса);
    c) риск – особенность характера нарушителя;
    в) риск – произведение значений вероятности события и квад- рата его последствий для ИБ.
    3. Какая схема на рис. 1.7 правильно описывает процессный под- ход к управлению ИБ:

    Менеджмент информационной безопасности
    34
    Рис. 1.7. Возможные процессные модели
    4. Какой из перечисленных ниже способов управления рисками является наиболее нежелательным:
    a) принятие риска;
    b) уменьшение риска;
    c) передача риска;
    d) отказ от риска.
    5. Укажите, кто определяет первичный уровень конфиденциаль- ности информации:
    a) администратор безопасности;
    b) собственник системы;
    c) владелец информации;
    d) руководитель организации.
    6. Отметьте, что, как правило, не относят к активам ИБ:
    a) деньги;
    b) инфраструктуру;
    c) сотрудниц;
    d) информационное обеспечение.

    35
    Вопросы для повторения
    7. Что означает принцип «положено знать» (need-to-know):
    a) пользователь информации должен знать об ответственности в случае нарушения им правил доступа к информации;
    b) владелец информации должен знать, кто имел доступ к его информации;
    c) в пределах одного уровня секретности производится допол- нительное разграничение доступа к информации по смысло- вым категориям;
    d) пользователь, имеющий доступ к информации заданного уровня секретности, должен иметь доступ и к информации низшего уровня секретности.
    8. Что делать, если в компании не хватает финансовых средств на исключение всех уязвимостей:
    a) предложить руководству изыскать дополнительные средства, объяснив уголовную ответственность руководства и обосно- вав окупаемость контрмер;
    b) сосредоточиться на наиболее критичных уязвимостях;
    c) уделить внимание всем уязвимостям в равной степени, что- бы каждая уязвимость могла иметь хоть какую-нибудь за- щиту;
    d) используя принцип «скрытия данных по ИБ», постараться замолчать указанную проблему до лучших времен.
    9. Оборудование инновационного технопарка оценивается в 1 000 000
    €. Согласно заявлению материально-технической службы, два раза в неделю фиксируется факт пропажи. По оценкам экспертов, недобропорядочный сотрудник в случае удачи способен вынести до 0,1% оборудования. Выберите мак- симальное значение ALE:
    a) 10;
    b) 285;
    c) 28 500;
    d) 104 000.
    10. Стоимость оборудования космической связи между сибирскими поместьями составляет 5000$. Согласно статистике, заблуд-

    Менеджмент информационной безопасности
    36
    шие медведи царапают фотонные отражатели антенн два раза за летний сезон. Несмотря на то что инженеры подручными средствами легко обеспечивают работоспособность оборудо- вания, им за раз требуется на протирку микросхем пол-литра технического спирта по цене 1$ за литр. Оцените ALE:
    a) 10002;
    b) 2500;
    c) 1;
    d) 0,25.
    11. Какие документы по ИБ имеют обязательный характер в ор- ганизации:
    a) профили защиты;
    b) рекомендательные письма от известных родителей;
    c) руководящие указания;
    d) стандарты организации.
    12. Что имеет первостепенное значение при организации системы защиты:
    a) выбор эффективных средств скрытого наблюдения;
    b) информирование и организация эффективного обучения;
    c) одобрение руководством;
    d) разработка ценных указаний.
    Лабораторная работа
    Задача: используя стандарт ISO 27001:2013 (приложение А), вы- брать меры (controls), которые были нарушены, и заполнить отчет о несоответствии (рис. 1.8).
    Исходные данные:
    1. Принятая в компании процедура требует, чтобы ПО устанав- ливалось после согласования с IT-менеджером.
    2. Во время аудита было обнаружено, что в отделе маркетинга один сотрудник самостоятельно установил ПО, а руководи- тель отдела маркетинга не обратил на это внимания.

    37
    Лабораторная работа
    Рис. 1.8. Шаблон отчета о несоответствии
    1   2   3

    написать администратору сайта