Файл: Разработка рекомендаций по сбору и оценке событий информационной безопасности.pdf
Добавлен: 25.04.2023
Просмотров: 122
Скачиваний: 2
СОДЕРЖАНИЕ
Глава 1Теоретические основы процесса обеспечения информационной безопасности
1.1 Необходимость создания системы информационной безопасности
1.2 Требования к системе информационной безопасности
1.3 Внедрение политики информационной безопасности
1.4 Факторы, определяющие эффективность политики безопасности
Глава 2. Проведение аудита информационной безопасности
2.1 Проведение первоначального аудита информационной системы
2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности
2.3 Рекомендации по обеспечению информационной безопасности.
Введение
Что такое информационная безопасность?
Информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.
Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.
Информационная безопасность — механизм защиты, обеспечивающий:
- конфиденциальность: доступ к информации только авторизованных пользователей;
- целостность: достоверность и полноту информации и методов ее обработки;
- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками,
методами, процедурами, организационными структурами и функциями программного обеспечения.
Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
Цель данной работы - разработать стратегию ИБ предприятия в виде системы эффективных политик, включающих эффективный и достаточный набор требований безопасности.
Задачи:
1) Проведение первоначального аудита информационной безопасности;
2) Выработка рекомендаций по устранению уязвимостей;
3) Разработка нормативных актов, регулирующих информационную безопасность; Глава 1. Теоретические основы процесса обеспечения информационной безопасности
Глава 1Теоретические основы процесса обеспечения информационной безопасности
1.1 Необходимость создания системы информационной безопасности
Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем вопросы безопасности не учитывались, Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.
Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.
1.2 Требования к системе информационной безопасности
Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
1.3 Внедрение политики информационной безопасности
Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.
Ключевыми мерами контроля с точки зрения законодательства являются:
- обеспечение конфиденциальности персональных данных;
- защита учетных данных организации;
- права на интеллектуальную собственность.
Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
- наличие документа, описывающего политику информационной безопасности;
- распределение обязанностей по обеспечению информационной безопасности;
- обучение вопросам информационной безопасности;
- информирование об инцидентах, связанных с информационной безопасностью;
- управление непрерывностью бизнеса.
Перечисленные мероприятия применимы для большинства организаций и информационных сред.
Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.
1.4 Факторы, определяющие эффективность политики безопасности
Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.
Безопасность препятствует прогрессу.
Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.
Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.
Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".
Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.
Навыки безопасного поведения приобретаются в процессе обучения
В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.
Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.
Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.
Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.
Нарушения политики безопасности являются неизбежными.
В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.
Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.
Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.
Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться.
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:
- соответствие целей, политик и процедур информационной безопасности целям бизнеса;
- согласованность подхода к внедрению системы безопасности с корпоративной культурой;
- видимая поддержка и заинтересованность со стороны руководства;
- четкое понимание требований безопасности, оценка рисков и управление рисками;
- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;
- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;
- обеспечение необходимого обучения и подготовки;
- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.