Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Обеспечение информационной безопасности





Обеспечение информационной безопасности - это процесс, опере­жающий управление риском, а не следующий за ним. В отличие от от­ветной модели, когда вначале происходит чрезвычайное происшествие, а только потом принимаются меры по защите информационных ресур­сов, предупредительная модель работает до того, как что-то случится.

В ответной модели общие затраты на безопасность неизвестны:

общие затраты на безопасность = стоимость ущерба от происшествия + стоимость контрмер

К сожалению, мы не узнаем стоимость ущерба от происшествия, пока оно фактически не произойдет. Поскольку организация не пред­принимает никаких шагов для предотвращения инцидента, нет ника­кой возможности узнать величину возможного ущерба. Следователь­но, нельзя оценить риск, пока не произойдет реальный инцидент.

Однако организация может сократить затраты на обеспечение ин­формационной безопасности. Правильное планирование и управле­ние риском позволят значительно снизить (если не исключить) вели­чину ущерба от происшествия. Если принимались правильные меры, и инцидент был предотвращен, то величина затрат составляет:

  общие затраты на безопасность - стоимость контрмер
Следует обратить внимание, что  
  стоимость происшествия + стоимость контрмер» стоимость контрмер  

 

Предупредительное принятие необходимых мер - это пра­вильный подход к информационной безопасности. В этом случае организация определяет уязвимые места, выявляет величину риска и выбирает экономически эффективные контрмеры. Это первый шаг в процессе обеспечения информационной безопасности.

Обеспечение информационной безопасности - это непрерывный процесс, включающий в себя пять ключевых этапов (рис. 29): оценку; политику; реализацию; квалифицированную подготовку; аудит.

Каждый из этих этапов по отдельности повышает уровень защи­щенности организации; однако только взятые вместе они обеспечи­вают основу, которая позволит эффективно управлять риском.

Рис. 29. Обеспечение информационной безопасности

 

Оценка стоимости. Процесс обеспечения информационной безо­пасности начинается с оценки имущества: определения информацион­ных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невоз­можно эффективно выполнить программу защиты этих активов. Дан­ный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно вы­брать рентабельную контрмеру для уменьшения этого риска. Цели оценки информационной безопасности следующие: определить ценность информационных активов; определить угрозы для конфиденциальности, целостности, дос­тупности и/или идентифицируемости этих активов;

определить существующие уязвимые места в практической дея­тельности организации;

установить риски организации в отношении информационных ак­тивов;

предложить изменения в существующей практике работы, кото­рые позволят сократить величину рисков до допустимого уровня;

обеспечить базу для создания соответствующего проекта обеспе­чения безопасности.

Необходимо провести оценку собранной информации из трех главных источников: опрос работников; проверка документации; ин­вентаризация.

Нужно проводить опрос работников, которые будут обеспечивать информацией существующие системы безопасности и направления деятельности организации. Не рекомендуется смешивать служебный персонал и руководителей. Опрашивающий должен непринужденно направить разговор на задачи оценки и на то, как человек может со­действовать защите информационных активов. Имейте в виду, что сотрудник может заверить вас, что ни одно из направлений обеспече­ния информационной безопасности активов за ним не закреплено.

Обязательно изучиге все существующие политики, связанные с безопасностью. Исследование не должно ограничиваться только го­товыми документами, внимательно прочитайте и черновики.

Последний этап сбора информации - инвентаризация всех мате­риальных ценностей организации.

Последний шаг оценки - это разработка плана действий по безо­пасности. Организация должна определить, являются ли результаты оценки реальным отображением состояния безопасности, и учесть их при распределении ресурсов и составлении планов.

Вполне вероятно, что в плане самый серьезный риск будет по­ставлен не на первое место. Этому могут помешать проблемы, свя­занные с бюджетом и ресурсами.


Разработка политики. Следующим шагом после оценки, как пра­вило, является разработка политик и процедур. Они определяют пред­полагаемое состояние безопасности и перечень необходимых работ. Без политики нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности. Необходимо разработать следующие политики и процедуры:

Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.

Политика безопасности. Определяет технические средства управления для различных компьютерных систем.

Политика использования. Обеспечивает политику компании по использованию компьютерных систем.

Политика резервного копирования. Определяет требования к ре­зервным копиям компьютерных систем.

Процедуры управления учетными записями. Определяют дейст­вия, выполняемые при добавлении или удалении пользователей.

Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безо­пасностью.

План на случай чрезвычайных обстоятельств. Обеспечивает дей­ствия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности. Реализация политики за­ключается в реализации технических средств и средств непосредст­венного контроля, а также в подборе штата безопасности. Могут по­требоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности. В таких случаях в проведении программы безопасности должны участвовать системные и сетевые администраторы.

Системы отчетности по безопасности. Системы отчетности по безопасности — это механизм, с помощью которого отдел безопас­ности отслеживает соблюдение политик и процедур, общее состояние уязвимых мест внутри организации. Для этого используются как руч­ные, так и автоматические системы. В большинстве случаев системы отчетности по безопасности включают оба типа систем.

Мониторинг использования. Механизмы мониторинга гаранти­руют, что работники следуют политикам использования компьютера. Они включают в себя программное обеспечение, отслеживающее ис­пользование интернета. Целью является выявление работников, по­стоянно нарушающих политику компании. Некоторые механизмы способны блокировать такой доступ и сохранять журнал попыток.

Мониторинг использования включает, например, удаление игр, установленных на рабочей станции. Сложные механизмы позволяют определить, что на компьютер пользователя загружено новое про­граммное обеспечение, но они требуют взаимодействия между адми­нистраторами и службой безопасности.

Сканирование уязвимых мест систем. Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается за­пуском ненужных процессов и появлением уязвимых мест. Выявле­ние таких мест не составляет труда для службы безопасности, ис­пользующей современные инструментальные средства, а вот их ис­правление отнимает много времени. Служба безопасности должна от­слеживать системы и их уязвимые места с определенной периодично­стью. Необходимо обеспечить администраторов отчетами об уязви­мых местах для их удаления. Сведения о вновь установленных систе­мах нужно доводить до сведения системного администратора.


Соблюдение политики. Соблюдение политики - одно из заданий службы безопасности, отнимающее много времени. Для определения соблюдения политики используются ручной и автоматический режи­мы. Ручной механизм требует от работника службы безопасности ис­следования каждой системы и определения, как выполняются требо­вания политики безопасности в конфигурации этой системы. Это от­нимает чрезвычайно много времени, велика и вероятность ошибок. Намного чаще из общего количества систем выбирается одна, и про­водится ее выборочное исследование. Такой способ требует меньше времени, но далек от совершенства.

Для проведения автоматической проверки соблюдения политики разрабатывается соответствующее программное обеспечение. Такой способ требует больше времени для установки и конфигурирования, но дает более точный результат в более короткие сроки. В этом слу­чае требуется помощь системных администраторов, поскольку про­граммное обеспечение необходимо установить в каждой проверяемой системе. Контроль соблюдения политики может выполняться на ос­нове периодической выборки и результатов обращений к системным администраторам.

Аутентификация систем. Аутентификация систем - это меха­низм, предназначенный для установления личности пользователей, желающих получить доступ в систему или сеть. Она позволяет также идентифицировать лиц, пытающихся завладеть оборудованием орга­низации. Механизмы аутентификации - это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности.

Механизмы аутентификации можно применить к любому пользо­вателю системы. Отсюда следует, что обучение и компетентность пользователя являются важными сторонами развертывания любого механизма аутентификации.

Безопасность в интернете. Реализация безопасности в интерне­те включает такие механизмы, как межсетевые экраны и виртуальные частные сети (VPN), и ведет к изменениям в сетевой архитектуре. Наиболее важным аспектом ее реализации является размещение уст­ройства управления доступом (типа межсетевого экрана) между ин­тернетом и внутренней сетью организации. Без подобной защиты все внутренние системы открыты для неконтролируемых нарушений безопасности. Установка межсетевого, экрана является достаточно сложным процессом и может повлечь за собой сбои в нормальной ра­боте пользователей.

Виртуальные частные сети обеспечивают безопасность для ин­формации, передаваемой через интернет и периметр организации. Вопросы, связанные с VPN, могут быть включены в реализацию ме­ханизмов безопасности в интернете.

Системы обнаружения вторжений. Системы обнаружения втор­жений (IDS) - это системы охранной сигнализации сети. Охранная сиг­нализация предназначена для обнаружения попыток проникновения в защищаемое помещение, a IDS - для разграничения санкционированно­го входа и вторжения злоумышленника в защищаемую сеть.


Самым общим механизмом обнаружения вторжений является ан­тивирусное программное обеспечение. Это программное обеспечение должно работать на каждой рабочей станции и, разумеется, на серве­ре. Антивирусное программное обеспечение - наименее ресурсоем­кий способ обнаружения вторжений.

Перечислим другие способы обнаружения вторжений:

ручная проверка журнала;

автоматическая проверка журнала;

клиентское программное обеспечение для обнаружения вторжения;

сетевое программное обеспечение для обнаружения вторжения.

Ручная проверка журнала весьма эффективна, но занимает много времени и склонна к ошибкам. Люди для этой цели не подходят. Наилучшим способом проверки журналов является создание про­грамм или скриптов, которые просматривают журналы компьютера в поисках возможных отклонений.

Развертывание механизмов обнаружения вторжения не следует проводить до тех пор, пока не будут выявлены области с повышен­ным риском.

Шифрование. Шифрование обычно применяют для защиты кон­фиденциальных или частных интересов. Механизмы шифрования ис­пользуются для защиты передаваемой или сохраняемой информации. Вне зависимости от типа используемого механизма возникают два вопроса, на которые нужно ответить до его реализации: алгоритмы и управление ключом защиты.

Шифрование ведет к замедлению обработки или передачи данных. Следовательно, шифрование всей передаваемой информации не все­гда является целесообразным.

Алгоритмы. При выполнении шифрования выбор алгоритма обу­славливается конечной целью. Шифрование на личном ключе проис­ходит быстрее, чем на открытом. Однако такой способ не позволяет использовать цифровую подпись или подписывание информации. Важно выбрать известные и хорошо изученные алгоритмы. Такие ал­горитмы с большой долей вероятности исключают лазейки, через ко­торые возможен доступ к защищенной информации.

Физическая безопасность. Физическая безопасность традицион­но обособлена от информационной или компьютерной безопасности. Установка видеокамер, замков и охранников обычно не очень хорошо понималась работниками отдела компьютерной безопасности. Если в вашей организации дело обстоит именно так, вы должны найти под­держку со стороны. Имейте в виду, что устройства физической безо­пасности затронут работников организации, как и изменение способа аутентификации. Работники, которые видят видеокамеры в туалете или предъявляют пластиковую карту для входа в кабинет, должны приспособиться к новым обстоятельствам. Если сотрудники пользу­ются такими картами, то организация должна разработать процедуру действий работников, потерявших или оставивших их дома.

Персонал. При применении любых новых систем безопасности вы должны располагать подходящим персоналом. Некоторые системы потребуют постоянного обслуживания (механизмы идентификации пользователей и системы обнаружения вторжений). Другим системам потребуются люди для выполнения положений плана (например, для сканирования уязвимостей).

Вам потребуются обученные сотрудники при проведении учебных программ по повышению осведомленности. Сотрудник отдела ин­формационной безопасности должен присутствовать на каждом учебном занятии, чтобы отвечать на специфические вопросы, даже если обучение проводится отделом обучения.

Последняя проблема, связанная с персоналом, - это ответствен­ность. Ответственность за безопасность организации должна уста­навливаться индивидуально. В большинстве случаев ответственным назначается руководитель отдела безопасности, который отвечает за разработку политики, исполнение плана и реализацию механизмов безопасности. Назначение этой обязанности должно быть первым ша­гом по пути реализации нового плана безопасности.

Проведение профессиональной переподготовки. Организация не может обеспечить защиту секретной информации, не привлекая сво­их сотрудников. Грамотная профессиональная переподготовка - это механизм обеспечения сотрудников необходимой информацией. Про­граммы обучения могут иметь форму коротких занятий, информаци­онных статей или плакатов. Наиболее эффективные программы ис­пользуют все три формы.

Проведение аудита. Аудиторская проверка информационной безопасности в организации (аудит информационной безопасности в организации) [4] - периодический независимый и документирован­ный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Аудит информационной безопасности в организации может осу­ществляться независимой организацией (третьей стороной) по дого­вору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Аудит - это последний шаг в процессе реализации информацион­ной безопасности. После определения состояния информационной безопасности внутри организации, создания соответствующих поли­тик и процедур, приведения в действие технических средств контроля и обучения персонала проведение аудита позволит удостовериться, что все средства контроля сконфигурированы правильно.

Обсуждая место аудита в процессе безопасности, мы в действи­тельности говорим о трех разных функциях: аудит соблюдения поли­тики; периодическая оценка существующих проектов и оценка новых проектов; проверка возможности нарушения защиты.

Каждая из этих функций занимает свое место в процессе обеспе­чения безопасности.

Аудит соблюдения политики. Аудит соблюдения политики - это традиционная функция аудита. Организация имеет политику, опреде­ляющую настройки и конфигурацию систем безопасности. Аудит оп­ределяет реальное состояние дел. Любые отклонения отмечаются как нарушения. Подобные проверки могут выполняться внутренним пер­соналом или внешними консультантами. И в том, и в другом случае этот процесс требует участия системных администраторов.







Date: 2015-08-15; view: 902; Нарушение авторских прав



mydocx.ru - 2015-2024 year. (0.012 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию