Лекция 3 Определение требований к защите информации Защищаемая информация разделяется на конфиденциальную (личную, персональную), служебную, секретную и совершенно секретную. Соответствующие рекомендации по предъявлению требований к защите следующие: При обработке общедоступной информации никаких специальных мер защиты от несанкционированного доступа не требуется. Требования к защите конфиденциальной информации определяет пользователь, устанавливающий статус конфиденциальности. Определены следующие требования к защите информации: 1. При обработке информации с грифом «Для служебного пользования» к ней должен быть обеспечен свободный доступ пользователям учреждения-владельца этой информации (по общему списку) доступ же пользователей, не включенных в список, должен осуществляется по разовым санкциям, выдаваемым пользователям, включенным в список. 2. При обработке информации с грифом «Секретно» в зависимости от ее объема и характеристик от ее объема и характера может быть предъявлен один из следующих требований: Персональное разграничение – для каждого элемента информация составляется список пользователей, имеющих доступ. Коллективное разграничение – структура без защищаемых данных организуется в соответствии со структурой подразделений, участвующих в обработке защищаемой информации. Пользователи каждого подразделения имеют право доступа только к «своим» данным. 3. При обработке информации с грифом «совершенно секретно» список лиц, имеющих право доступа, должен составляться для каждого самостоятельного элемента информации с указанием дней и времени доступа, а так же перечня разрешенных процедур. Требования, обуславливаемые объемом обрабатываемой защищаемой информации, могут заключаться в следующем: 1. При обработке информации техническими средствами должны обеспечиваться требования по ее защите от утечки по техническим каналам (например, побочных электромагнитных излучений и наводок) 2. При обработке информации, размещенной на материальных носителях и внешних запоминающих устройствах (дискетах, блоках электронного хранения информации и т.д.), должны выполняться требования режима секретности. 3. При передаче информации по каналам и линиям связи могут пользоваться криптографические методы защиты и должны выполняться требования безопасности шифрованной связи. 4. При обработке информации, размещенной на ЭВТ и в локальных вычислительных сетях, дополнительно к предыдущим требованиям должна обеспечиваться программная защита от соответствующих угроз (разрушающих программных средств, внешнего доступа в систему и др.) Лекция 4 С точки зрения времени пребывания защищаемой информации в АСОД требования к защите информации к защите формируются следующим образом: 1) Информация разового использования подлежит защите в процессе подготовки, ввода, решения задач и выдачи результатов решения. После этого защищаемая информация должна быть уничтожена во всех устройствах ООИ. 2) Информация временного хранения дополнительно к предыдущему подлежит защите в течение объявленного времени хранения, после чего должна быть уничтожена во всех устройствах ООИ и на всех носителях, используемых для ее хранения. Продолжительность хранения задается или длиной промежутка времени, или число м сеансов решения соответствующих функциональных задач. 3) Информация длительного хранения подлежит постоянной защите, уничтожение ее должно осуществляться по специальным командам. Время обработки информации сокращается по мере возрастания степени ее секретности. Информация должна защищаться во всех структурных элементах ООИ. При этом существуют характерные для объекта в целом требования. 1) Объектам обработки информации (ООИ), размещенным в одном помещении, достаточно обеспечить требуемый уровень защиты этого мощения. 2) Объектам обработки информации, размещенным в нескольких помещениях, на одной территории, кроме этого, необходимо обеспечить защиту информации в линиях связи, с помощью которых сопрягаются элементы ООИ 3) В распределенных ООИ, размещенных на нескольких территориях, дополнительно к предыдущему должна быть обеспечена требуемая защита информации в линиях связи большой протяженности. Это может быть достигнуто запрещением передачи по ним защищенной информации в открытом виде. Анализ этих требований позволяет выбрать при проектировании СЗИ один из вариантов ее семирубежной модели. Требования, обуславливаемые видом защищаемой информации, могут быть сформулированы следующим образом: к защите закрытых документов, предъявляются следующие требования: 1) Необходимо обеспечить защиту как оригиналов, так и сведений о них, накапливаемых и обрабатываемых на ООИ 2) Применяемые средства и методы защиты должны выбираться с учетом необходимости обеспечения доступа пользователям различных категорий. Требования, обусловленные этапом жизненного цикла ООИ: 1) На этапе создания ООИ реализуется упреждающая стратегия защиты информации, учитывающая все потенциально возможные угрозы информационной безопасности. 2) На этапе функционирования ООИ в пассивном его состоянии должна быть реализована наступательная стратегия защиты, учитывающая все выявленные угрозы и обеспечивающая надежную защиту хранящейся и обрабатываемой информации, и исключены возможности несанкционированных изменений компонентов системы. 3) На этапе функционирования в активном состоянии ООИ – оборонительная стратегия защиты, по возможности обеспечивающая защиту от наиболее опасных угроз без вмешательства в процесс обработки. Так, могут быть предоставлены общие рекомендации по формированию требования к защите информации. Типовая структура комплексной системы защиты информации от несанкционированного доступа Можно выделить четыре основных типа или этапа развития СЗИ: Однокомпонентные СЗИ – строятся на базе одного, как правило, узкоспециализированного продукта по защите информации (антивирус) Многокомпонентные СЗИ, строящиеся на базе нескольких продуктов, каждый из которых решает свою конкретную задачу. При этом используемые в многокомпонентной СЗИ продукты в технологии по защите информации никак не связаны между собой ни на техническом, ни на организационном уровнях. Комплексные СЗИ – дальнейшее развитие многокомпонентных СЗИ, в которых используемые продукты, технологии и решения объединяются в единую систему на организационном уровне с тем, чтобы обеспечить максимальную степень защищенности всей КИС в целом. Очевидно, что при этом стойкость всей СЗИ эквивалентна стойкости самого «слабого» ее звена. Интегрированные СЗИ, в которых все элементы комплексных СЗИ объединяются не только на организационном, но и на техническом и даже технологическом уровнях Лекция 6 (5?) Особенности проектирования СЗИ Оценки параметров СЗИ в условиях высокой степени неопределённости условий её функционирования должны вычисляться с использованием не одной математической модели, а согласованного семейства моделей адаптивно конструирующийся одна из другой и таким образом непрерывно совершенствующихся на основе оптимального выбора исходных данных. Лекция 7 При синтезе оптимальных систем защиты исходными должны быть следующие положения: 1. Выбор математически вычисляемого критерия оптимальности, в соответствии с архитектурой системы защиты и технологией обработки информации на объекте; 2. Чёткая математическая формулировка задачи, учитывающая все априорные сведения и позволяющая решить её в соответствии с принятыми критериями. Итоговым решением задачи синтеза оптимальные системы защиты и его конечной целью должны быть следующие результаты: 1. Архитектура системы защиты; 2. Количественная оценка качества её функционирования; 3. Оценка практической чувствительности разработанных моделей к отклонениям от априорных данных; 4. Физическая реализуемость синтезируемых систем защиты современных систем обмена данными; Под эффективностью систем защиты информации, будем понимать эффективность её использования в качестве активного средства в операции обеспечения конфиденциальности обработки хранения и передачи информации. Требования введения показателя эффективности требует введения критерия эффективности, как правило, позволяющий сопоставлять стратегии характеризующийся различной степенью достижения цели и осуществлять выбор стратегии из множества допустимых. Теоретические основы построения оптимальных систем защиты исключительно сложны и несмотря на интенсивность исследований в этой предметной области ещё далеки от совершенства. Отсутствие достаточно общей теории делает неприемлемыми Байесовские методы классической теории статистических решений для синтеза оптимальных систем защиты. Методы проектирования Инфокоммуникационных систем Методология создания инфокоммуникационных систем заключается в организации процесса построения инфокоммуникационной системы и обеспечении управления этим процессом для того, чтобы гарантировать выполнение требований как к самой системе, так и к характеристикам процесса разработки Методология реализуется через конкретные технологии и поддерживающие их стандарты, методике и инструментальные средства, которые обеспечивают выполнение процессов жизненного цикла информационных систем 100% Технология проектирования может быть представлена как совокупность составляющих: Используемых методов проектирования; Заданной последовательности выполнения технологических операций проектирования; Критериев и правил, используемых для оценки результатов выполнения технологических операций; Графических н текстовых средств (нотаций), используемых для описания проектируемой системы. Лекция 8 Важнейшие аспекты проектирования системы защиты информации Организации - участники работ по созданию системы защиты информации (в том числе автоматизированных систем информации или АСЗИ) должны иметь лицензии на право проведения работ в области защиты информации. Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные технические и программные средства обработки информации. Выпускаемые средства защиты информации должны иметь сертификаты соответствия полученные в системах сертификации по требованиям безопасности информации и должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ. Заказчик собственник и владелец АСЗИ а также организации – участники создания АСЗИ несут ответственность за обеспечение защиты обрабатываемой информации в АСЗИ и выполняемые работы по защите информации и выполнения работы на всех стадиях создания АСЗИ Программно-технические средства защиты информации спец применения создаются разработчиком АСЗИ. Конструкторская документация на их изготовление включается в состав документации АСЗИ отдельными документами или разделами документов. За обеспечение создания АСЗИ несут ответственность: Заказчик - в части включения в ТЗ (техническое задание) на АСЗИ и её компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приёмки как АСЗИ в целом, так и её компонентов; Предприятие - разработчик - в части обеспечения соответствия разрабатываемой АСЗИ и системы ЗИ требованиям ТЗ по защите обрабатываемой информации действующим стандартам, нормам и другим нормативным документам; Предприятие-изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации реализованным в конструкторской и программной документации. Общее руководство работами по ЗИ при создании АСЗИ в целом осуществляет главный конструктор АСЗИ или его заместители, а при создании компонентов АСЗИ - главные конструктора по направлениям работ или их заместители. Наряду с вопросами построения самой АСЗИ: 1) Анализируются потоки информации в АСЗИ и определяется информация составляющая государственную и другие виды тайны; 2) Определяются элементы АСЗИ, где циркулирует информация, составляющая государственную тайну; 3) Проводится анализ её уязвимых звеньев с точки зрения защиты информации: 4) Определяются возможные угрозы безопасности информации, оценивается опасность этих угроз и выбираются актуальные из них. (выделяются угрозы утечки информации, составляющей государственную тайну); 5) Применительно к выбранным угрозам формулируются задачи и обосновываются требования по защите информации, которые необходимо предъявить к АСЗИ; 6) Определяется стратегия защиты информации, с помощью которой можно реализовать обоснованные требования; 7) Формируются возможные меры безопасности информации, реализуемые административными мерами администратора сети; 8) Определяются эффективные и целесообразные по критерию «эффективностьстоимость» дополнительные способы защиты информации от выбранных угроз; 9) Анализируется возможность реализации способов защиты с привлечением ранее разработанных программных и программно-аппаратных средств, определяется необходимость разработки нового программного обеспечения; 10) Определяются основные вопросы управления защитой информации. В случае, когда для создания новой АСЗИ необходимо провести исследование по изысканию новых технических решений, предварительно может проводиться одна или цикл новых технических решений (НИР) и опытно-конструкторских работ (ОКР). Возможно объединение НИР и ОКР если требуется ускорить процесс обработки, то есть ставится НИОКР, в ходе которой обрабатываются требования к АСЗИ. Определяются целесообразные технические решения по защите информации. В случае, когда для создания новой АСЗИ необходимо провести исследование по изысканию новых технических решений предварительно придет проводиться одна или цикл МИР и ОКР (опытная конструкторская обработка), возможно объединение МИР и ОКР если требуется ускорить время обработки, то есть ставиться НИОКР, в ходе которой отрабатываются требования в АСЗИ. Определяются целесообразные технические решения по защите и информации. По результатам НИОКР разрабатывается ТЗ на создавание АСЗИ, если проводиться МИР ОКР или НИОКР, то говорят, что имеет место полный цикл разработки ВСЗИ в защищенном исполнении. Если МИР не ставиться, то в ходе работ по созданию системы работы защищенного управления на ряду с вопросами и построении самой АСЗИ. Лекция 9 Наиболее сложным в АСЗИ является анализ уязвимых звеньев и определение возможных угроз безопасности информации. Анализируются следующие исходные данные об АСЗИ: Назначение и выполняемые функции каждым элементом АСЗИ; Состав и назначение аппаратных и программных средств; Структурная и (или) функциональная схема; Состав и размещение элементов АСЗИ; Структура и состав информационной базы; Ожидаемые ограничения по допуску лиц к информации различной категории конфиденциальности; Перечень и время сохранение сведений, составляющих тот или иной вид тайны; Состав, количество и виды внутренних и выходных документов; Описание функциональных задач прикладного программного обеспечения; Состав и выполняемые функции должностных лиц - пользователей и обслуживающего персонала; Режим работы (закрытый или открытый, круглосуточный или с перерывами) и т.д. В общем случае решение задачи проектирования СЗИ как сложной технической системы предполагает две стадии: 1) Макропроектирование, или внешнее проектирование, в процессе которого решаются структурно-функциональные задачи построения СЗИ в целом; 2) Микропроектирование, или внутреннее проектирование, связанное с разработкой средств 3И, решающих соответствующие задачи защиты, - элементов проектируемой системы защиты. Внешнее проектирование СЗИ начинается с формулировки проблемы, которая включает в себя: Определение целей создания системы и круга решаемых задач; Оценку действующих на систему факторов и определение их характеристик; Выбор показателей и обоснование требуемых значений показателей эффективности системы. В качестве показателей эффективности должны выбираться числовые характеристики степень соответствия проектируемой системы своему назначению. Лекция 10 Формирование Т3 на разработку СЗИ, крайне важная и ответственная задача проектирования, предполагающая решение некоторых задач математического моделирования. При разработке ТЗ на СЗИ должны быть определены типы ИС (конкретных систем), для использования в которых проектируется СЗИ. При решении этой задачи требуется: Определить потенциально возможные угрозы атак, которым может быть подвержена защищаемая ИС, включая цели этих атак — нарушение конфиденциальности, целостности, доступности информации; Построить математическую модель потенциального нарушителя, позволяющую определять актуальные угрозы атак для ИC на их исходном множестве — на множестве потенциально возможных угроз атак; Определить совокупность актуальных, угроз атак, для ИС, от которых должна осуществлять защиту проектируемая СЗИ; Задать требования к показателям эффективности проектируемой СЗИ: Задать требуемые значения надёжностных и эксплуатационных параметров и характеристик ЗИС тех типов, для применения в которых проектируется СЗИ, определить стоимостные риски потерь, связанных с реализацией успешных атак на ИС, что необходимо для обоснования экономической целесообразности и эффективности получаемых проектных решений. Задать требуемые значения производительности СЗИ как количественной меры се влияния на задать загрузку вычислительных ресурсов ЗИС. Этап внешнего проектирования СЗИ должен включать в себя решение следующих задач: Выбор и обоснование оптимального набора функциональных задач защиты, решаемых системой защиты информации; Задача моделирования решается применительно к совокупности актуальных угроз атак, с учётом математической модели потенциального нарушителя; Математическое моделирование, проводимое с целью обоснования экономической эффективности и целесообразности полученного проектного решения; Математическое моделирование, проводимое с целью оценки требований к производительности системы защиты информации как количественные меры её влияния, на загрузку вычислительного ресурса защищённой системы. Особенностью внешнего проектирования СЗИ является возможность существенного изменения внешних факторов их параметров, воздействующих на информационную систему в процессе эксплуатации (например появление новой угрозы). Это требует рассмотрения процесса проектирования СЗИ, как непрерывного процесса, не завершающегося его её созданием и предполагающего систематический анализ изменений факторов влияющих на эффективность защиты и возможность обновления используемых версий СЗИ на всех стадиях эксплуатации, для обеспечения требуемых значений характеристик безопасности. Этот этап проектирования называют эксплуатационным этапом проектирования СЗИ. Внутреннее проектирование заключается в разработке соответствующих средств защиты информации, набор которых определяют на этапе внешнего проектирования. В данном случае проектирование предполагает формирование и реализацию соответствующих требований построения безопасной системы. Элементы автоматизации процессов проектирования Общие принципы проектирования ТКС. Инструментальные средства проектирования. Структурный подход к анализу и проектированию ТКС. Основой проблемой которую приходится решать при создании большой системы любой природы является проблема сложности. Правильная декомпозиция системы является главным способом преодоления сложностей больших систем. Понятие правильно по отношению к декомпозиции означает следующее: 1. Количество связей между отдельными подсистемами должно быть Минимальным; 2. Связанность отдельных частей внутри каждой подсистемы должно быть максимальным. Структура системы должна быть такой, чтобы все взаимодействия между ее подсистемами укладывались в ограничения: 1. Каждая подсистема должна инкапсулировать своё содержимое; 2. Каждая подсистема должна иметь четко определенный интерфейс с другими подсистемами. Существует 2-а основных подхода к декомпозиции ТКС: 1. Функционально-модульный (структурный подход) — в основу положен принцип функциональной декомпозиции, при которой структура системы описывается в терминах иерархии, ее функций и передачей информацией между отдельными функциональными элементами; 2. Объектно-ориентированный подход — использует объектную декомпозицию, при которой структура системы описывается в терминах объекта и связей между ними, а поведение системы описывается в терминах обмена сообщениями между объектами. Лекция 11 Моделирование — графическое средство представления проектных решений. Моделирование — процесс создания формализованного описания системы в виде совокупности моделей. Модель должна быть описана полностью, точно и адекватно с тем, чтобы давать корректное описание системы. Визуальное моделирование —это способ восприятия проблем с помощью зримых абстракций, воспроизводящих понятия и объекты реального времени. Визуальные модель – это средство для визуализации, описания и документирования архитектуры системы. Архитектура системы — это набор основных правил, определяющих организации системы: 1. Совокупность структурных элементов системы и связи между ними; 2. Поведение элементов системы в процессе их взаимодействия; 3. Иерархия подсистем, объединяющих структурные элементы; 4. Архитектурный стиль (используемые методы и средства описания архитектуры). Язык моделирования — это Элементы моделей Функциональные концепции моделирования и их смысловые значения Нотация (Визуальное представление элементов моделирования) Руководство по использованию (правило применения элементов в рамках построения тех или иных моделей) В процессе создания ТКС организации используют следующие виды моделей: «As is» (отражает процесс на данный момент); «As to be» (Отражает представление о новых процессах и технологии работы предприятия). Переход от одной к другой осуществляется: Совершенствование технологий на основе оценки их эффективности Радикальное изменение технологий и перепроектирование бизнес-процессов. Управление безопасностью 1. Роли в управлении безопасностью 2. Подход "сверху-вниз" Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы классификацию информации, организацию безопасности и обучение по вопросам безопасности. В функции руководителя входит определение целей, границ, политик приоритетов и стратегий. Руководству нужно определить четкие границы и актуальные цели, достижение которых ожидается в результате выполнения программы безопасности. Безопасность должна учитываться на уровне высшего руководства. Управление безопасностью основывается на четко идентифицированных и оцененных активах компании. После идентификации и оценки активов внедряются политики безопасности, процедуры, стандарты и руководства по обеспечению целостности конфиденциальности и доступности для этих активов. В обязанности руководства входит обеспечение защиты ресурсов компании в целом. Этими ресурсами являются люди, капитал оборудование и информация. Лекция 12 Политика безопасности является своеобразным фундаментом для программы безопасности компании. Программа безопасности компании – совокупность мер и мероприятий по защите информации. Если безопасность основана на прочном фундаменте и разработана с учётом цели и задач, кампании не придётся вносить в неё существенные изменения, а процесс будет более методичным требующим меньше времени денег и ресурсов, обеспечивая при этом р=правильный баланс между функциональностью и защитой. Для программы безопасности следует использовать подход «Сверху вниз», то есть инициатив а исходит от топ менеджмента и идёт через руководителей среднего звена сотрудникам. Администрирование безопасности и защитные меры Обязанности администратора ИБ включает в себя контроль основных аспектов программы безопасности. Не зависимо от размеров администрирование безопасности требует чёткой структуры отчётности, понимание обязанностей, а также возможностей проверки и мониторинга. Следует использовать следующие защитные меры: Административные меры включают в себя разработку и публикацию политик, стандартов, процедур и руководств, управление рисками, подбор персонала, проведение тренингов по вопросам безопасности внедрение процедур управления изменениями. Технические (логические) меры включают внедрение и поддержку механизмов управления доступом, управления паролями и ресурсами, методами идентификации и аутентификации, устройствами безопасности, а также настройками инфраструктуры. Физические меры включают в себя контроль доступа людей в здание и различные помещения, использование замков и удаление неиспользуемых дисководов и приводов СD-RОМ, защиту периметра здания, выявление вторжений, контроль окружения. Владельцем информации обычно является ответственный сотрудник, входящий в руководящий состав компании или руководитель соответствующего департамента. Владелец информации обязан обеспечить надлежащую защиту данных. Он несёт единоличную ответственность за любую халатность в отношении информационных активов компании. Существует несколько малых и больших задач программы безопасности, но 3 основных принципа во всех программах: Доступность Целостность Конфиденциальность Организационная модель безопасности Организационная модель безопасности является структурой состоящей из многих механизмов защиты, которые работают совместно, обеспечивая необходимый уровень безопасности окружения. Каждый строй модели поддерживает вышестоящий строй и защищает нижестоящий строй. Модель безопасности имеет различные слои и различные виды целей, которые должны быть достигнуты за различные промежутки времени. Цели могут быть ежедневными (операционными), среднесрочными (тактическими) и долгосрочными (стратегическими). Цели напрямую связаны с планированием. Стратегическое планирование работает с планами, которые находятся на одном уровне с бизнес-целями и целями IT. Цели стратегического планирования долгосрочны и имеют широкий горизонт. Тактическое планирование относится деятельности и поддержки, которые необходимы для достижения целей необходимых для стратегического планирования. Тактические планы имеют более короткие сроки и более узкие горизонты планирования по сравнению со стратегическими планами. Оперативное планирование, конкретные планы сроки и цели предполагает указание конкретных мероприятий, установление жёстких сроков и графиков выполнения плана. Оперативные цели — это конкретные действия, которые нужно предпринять для достижения целей тактических и стратегических планов. Лекция 13 Стратегическое управление безопасностью очень похоже по своему характеру на корпоративное управление и управление IT на том же уровне. Все 3 вида управления имеют одни и те же цели Обеспечение выживания и процветания компании при этом каждый вид управления фокусируется на своей части. Стратегическое управление это набор функций, выполняемых высшим руководством (Советом директоров) и которые создают стратегическое управление контролируют достижение цели, надлежащее управление рисками и ответственное использование ресурсов компании. Важно понимать, что программа безопасности имеет непрерывный жизненный цикл. Она должна постоянно оцениваться и совершенствоваться. Для описания жизненного цикла системы. Проектирование начинается с: Планирование и организация; Реализация и внедрение; Функционирование и поддержка; Мониторинг и оценка. Некоторые компании не применяют подход жизненного цикла при разработке, что приводит к многочисленным негативным последствиям. Основные элементы каждой фазы жизненного цикла программы безопасности: 1. 2. 3. 4. Планирование и организация. 1.1. Получение одобрения от руководства; 1.2. Создание руководящего комитета по надзору; 1.3. Оценка бизнес-драйверов; 1.4. Создание профиля угроз компании; 1.5. Проведение оценки рисков; 1.6. Разработка архитектуры безопасности на всех уровнях; 1.7. Получение согласия руководства на дальнейшие действия. Реализация и внедрение. 2.1. Распределение ролей и обязанностей; 2.2. Разработка и внедрение политик безопасности, процедур, стандартов, и т.д.; 2.3. Выявление критичных данных на этапе хранения и передач; 2.4. Реализация проектов по ИБ; 2.5. Внедрение решений по каждому проекту; 2.6. Разработка решений по аудиту и мониторингу по каждому проекту; 2.7. Установка целей, соглашений об уровне обслуживания SLA и метрик по каждому проекту. Функционирование и поддержка. 3.1. Соблюдение установленных процедур для обеспечения соблюдения базисных уровней в каждом реализованном проекте; 3.2. Проведение внутренних и внешних аудитов; 3.3. Выполнение задач, намеченных в каждом проекте; 3.4. Управление соглашениями об уровне обслуживания по каждому проекту; Мониторинг и оценка. 4.1. Анализ log файлов, результатов аудита, собранных значений метрик и SLA по каждому проекту; 4.2. Оценка достижения цели по каждому проекту; 4.3. Проведение ежеквартальных встреч с руководящими комитетами; 4.4. Совершенствование действий каждого этапа и их интеграция в фазу планирования и организации. При реализации проектов в проектной документации должно быть как минимум следующее: 1. Схема компании; 2. Места в сети, где находятся критичные данные; 3. Различные применяемые решения по безопасности, которые защищают критичные данные; 4. Подключение 3их сторон, с которыми совместно используются критичные данные; 5. Используемые меры безопасности в отношении подключений 3их сторон. Ряд проектов, которые следует разработать большинству компаний. 1. 2. 3. 4. 5. 6. 7. 8. 9. Управление безопасностью; Непрерывность бизнеса; Журналирование и мониторинг; Управление идентификацией; Целостность приложений; Инфраструктура; Управление активами; Физическая безопасность и безопасность окружения; Все эти проекты вступают в силу согласно схеме на рисунке Взаимодействие проектов ИБ Лекция 14 Риск — это вероятность причинение ущерба и возможные последствия. Управление информационными рисками IRM представляет собой процесс выявления и оценки рисков, снижение их до приемлемого уровня, а также явление адекватных механизмов для поддержания этого уровня С точки зрения ИБ существует несколько видов рисков, которые компания должна понимать и учитывать: Физический ущерб; Действия человека; Неисправность оборудования; Внутренние и внешние атаки; Неправильное использование данных; Утрата данных; Ошибка приложений. Специалисты ИБ должны понимать все угрозы, но гораздо важней чтоб они понимали, как рассчитать риски этих угроз и предоставить карту рисков руководителю, при этом необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса. Политика управления информационными рисками (Политика IRМ) IRМ-политика должна быть частью обшей политики управления рисками компании. ІRМ-политика должна быть отражена и в организационной политике безопасности компании. В ІRМ-политике должны учитываться следующие аспекты; Цели ІRМ-группы; Уровень риска, который компания приняла для себя как приемлемый; Формальные процессы выявления рисков; Связь между ІRМ-политикой и процессами стратегического планирования компании; Обязанности, связанные с IRМ, и роли, необходимые для их выполнения Связь между рисками и внутренним контролем; Связь между рисками и целевыми показателями и бюджетами; Подходы к изменению поведения сотрудников и распределения ресурсов с учётом анализа рисков; Ключевые показатели для мониторинга эффективности защитных мер. IRМ -политика предоставляет инфраструктуру для процессов и процедур управления рисками компании Она должна охватывать все вопросы информационной безопасности, начиная от полбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRМ-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков. Группа управления рисками: Основная цель IRM-группы обеспечить защиты компании наиболее экономически выгодным и эффективным способом. Цель по обеспечению защиты наиболее эффективным способом может быть достигнута только при наличии следующих компонентов: Установленный высшим руководством приемлемый уровень риска; Документированные процессы и процедуры оценки рисков; Процедуры выявления и снижения рисков; Адекватные ресурсы и бюджет, предоставленные высшим руководством; Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов); Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы; Возможность расширения (развития) группы в отдельных областях, в случае необходимости; Учет и выполнение требований законодательства и регуляторов; Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков; Возможность выявления и оценки новых рисков при изменениях в компании или окружении; Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей. Анализ рисков имеет четыре основные цели: Идентификация активов и их ценности для компании; Идентификация угроз и уязвимостей; Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз; Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер. Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать потенциальный годовой ущерб. Одной из первых задач группы анализа рисков является подготовка детального отчёта по стоимости активов. Для наиболее эффективного анализа рисков компания должна включить в состав группы анализа рисков сотрудников большинства или всех подразделений для выявления или учёта всех рисков. Членами группы могут быть руководители подразделений или любые ключевые сотрудники. Желательно в состав группы включать руководителей подразделения, а не рядовых сотрудников. Если по какой-либо причине компания не может включить в группу сотрудников всех подразделений, необходимо как минимум организовать проведение интервью с ключевыми сотрудниками каждого подразделений. При анализе рисков следует задавать следующие вопросы: Что может случиться при потенциальной угрозе? Какие могут быть последствия? Как часто это может происходить? Ценность информации определяется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер.