Файл: Основыинформационнойбезопасности.pdf

143
- выбрать цели и меры управления для обработки рисков;
- получить утверждение руководством предполагаемых остаточ- ных рисков;
- получить разрешение руководства на внедрение и эксплуатацию
СМИБ;
- подготовить Положение о применимости.
Этап «Внедрение и функционирование системы менеджмента
информационной безопасности» предполагает, что организация должна:
- разработать план обработки рисков, определяющий соответ- ствующие действия руководства, ресурсы, обязанности и прио- ритеты в отношении менеджмента рисков ИБ;
- реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирова- ния, а также распределение функций и обязанностей;
- внедрить выбранные меры управления;
- определить способ измерения результативности выбранных мер управления;
- реализовать программы по обучению и повышению квалифика- ции сотрудников;
- управлять работой СМИБ;
- управлять ресурсами СМИБ;
- внедрить процедуры и другие меры управления, обеспечиваю- щие быстрое обнаружение событий ИБ и реагирование на инци- денты, связанные с ИБ.
Третий этап «Проведение мониторинга и анализа системы ме-
неджмента информационной безопасности» требует:
- выполнять процедуры мониторинга и анализа;
- проводить регулярный анализ результативности СМИБ;
- измерять результативность мер управления для проверки соот- ветствия требованиям ИБ;

144
- пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
- проводить внутренние аудиты СМИБ через установленные пе- риоды времени;
- регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
- обновлять планы ИБ с учетом результатов анализа и мониторин- га;
- регистрировать действия и события, способные повлиять на ре- зультативность или функционирование СМИБ.
И наконец, этап «Поддержка и улучшение системы менедж-
мента информационной безопасности» предполагает, что организа- ция должна регулярно проводить следующие мероприятия:
- выявлять возможности улучшения СМИБ;
- предпринимать необходимые корректирующие и предупрежда- ющие действия, использовать на практике опыт по обеспечению
ИБ, полученный как в собственной организации, так и в других организациях;
- передавать подробную информацию о действиях по улучшению
СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
- обеспечивать внедрение улучшений СМИБ для достижения за- планированных целей.
Далее в стандарте приводятся требования к документации, кото- рая должна включать положения политики СМИБ и описание обла- сти функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Так- же должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

145
Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о вы- полнении процессов. В качестве примеров называются журналы реги- страции посетителей, отчеты о результатах аудита и т. п.
Стандарт определяет, что руководство организации ответствен- но за обеспечение и управление ресурсами, необходимыми для созда- ния СМИБ, а также организацию подготовки персонала.
Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, поз- воляющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента инфор- мационной безопасности.
Также должны проводиться работы по улучшению системы ме- неджмента информационной безопасности: повышению ее результа- тивности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.
В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC
17799:2005.
4.4. МЕТОДИКИ ПОСТРОЕНИЯ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ
4.4.1. Модель Lifecycle Security
Роль анализа рисков для создания корпоративной системы за- щиты информации в компьютерной сети предприятия можно нагляд- но показать на примере модели Lifecycle Security [19] (название мож- но перевести как «жизненный цикл безопасности»), разработанной компанией Axent, впоследствии приобретенной Symantec.
Lifecycle Security — это обобщенная схема построения ком- плексной защиты компьютерной сети предприятия. Выполнение опи- сываемого в ней набора процедур позволяет системно решать задачи,

146 связанные с защитой информации, и дает возможность оценить эф- фект от затраченных средств и ресурсов. С этой точки зрения, идео- логия Lifecycle Security может быть противопоставлена тактике «то- чечных решений», заключающейся в том, что все усилия сосредота- чиваются на внедрении отдельных частных решений (например, меж- сетевых экранов или систем аутентификации пользователей по смарт- картам). Без предварительного анализа и планирования подобная так- тика может привести к появлению в компьютерной системе набора разрозненных продуктов, которые не стыкуются друг с другом и не позволяют решить проблемы предприятия в сфере информационной безопасности.
Lifecycle Security включает в себя 7 основных компонентов, ко- торые можно рассматривать как этапы построения системы защиты
(рис. 4.5).
Рис. 4.5. Компоненты модели Lifecycle Security
Политики безопасности, стандарты, процедуры и метрики.
Этот компонент определяет рамки, в которых осуществляются меро- приятия по обеспечению безопасности информации, и задает крите-

147 рии оценки полученных результатов. Стоит отметить, что под стан- дартами здесь понимаются не только государственные и междуна- родные стандарты в сфере информационной безопасности, но и кор- поративные стандарты, которые в ряде случаев могут оказать очень существенное влияние на создаваемую систему защиты информации.
Также хочется остановиться на обязательном введении метрики, поз- воляющей оценить состояние системы до и после проведения работ по защите информации. Метрика определяет, в чем и как измеряется защищенность системы, и позволяет соотнести сделанные затраты и полученный эффект.
Анализ рисков. Этот этап является отправной точкой для уста- новления и поддержания эффективного управления системой защиты.
Проведение анализа рисков позволяет подробно описать состав и структуру информационной системы (если по каким-то причинам это не было сделано ранее), расположить имеющиеся ресурсы по приори- тетам, основываясь на степени их важности для нормальной работы предприятия, оценить угрозы и идентифицировать уязвимости систе- мы.
Стратегический план построения системы защиты. Результа- ты анализа рисков используются как основа для разработки стратеги- ческого плана построения системы защиты. Наличие подобного плана помогает распределить по приоритетам бюджеты и ресурсы и в по- следующем осуществить выбор продуктов и разработать стратегию их внедрения.
Выбор и внедрение решений. Хорошо структурированные крите- рии выбора решений в сфере защиты информации и наличие про- граммы внедрения уменьшают вероятность приобретения продуктов, становящихся «мертвым грузом», мешающим развитию информаци- онной системы предприятия. Кроме непосредственно выбора реше- ний, также должно учитываться качество предоставляемых постав- щиками сервисных и обучающих услуг. Кроме того, необходимо чет-

148 ко определить роль внедряемого решения в выполнении разработан- ных планов и достижении поставленных целей в сфере безопасности.
Обучение персонала. Знания в области компьютерной безопас- ности и технические тренинги необходимы для построения и обслу- живания безопасной вычислительной среды. Усилия, затраченные на обучение персонала, значительно повышают шансы на успех меро- приятий по защите сети.
Мониторинг защиты. Он помогает обнаруживать аномалии или вторжения в ваши компьютеры и сети и является средством контроля над системой защиты, чтобы гарантировать эффективность программ защиты информации.
Разработка методов реагирования в случае инцидентов и вос-
становление. Без наличия заранее разработанных и «отрепетирован- ных» процедур реагирования на инциденты в сфере безопасности не- возможно гарантировать, что в случае обнаружения атаки ей будут противопоставлены эффективные меры защиты, и работоспособность системы будет быстро восстановлена.
Все компоненты программы взаимосвязаны и предполагается, что процесс совершенствования системы защиты идет непрерывно.
Остановимся более подробно на этапе анализа рисков. По мне- нию разработчиков модели Lifecycle Security, он должен проводиться в следующих случаях:
- до и после обновления или существенных изменений в структу- ре системы;
- до и после перехода на новые технологии;
- до и после подключения к новым сетям (например, подключе- ния локальной сети филиала к сети головного офиса);
- до и после подключения к глобальным сетям (в первую очередь,
Интернет);
- до и после изменений в порядке ведения бизнеса (например, при открытии электронного магазина);
- периодически, для проверки эффективности системы защиты.

149
Ключевые моменты этапа анализа рисков:
1. Подробное документирование компьютерной системы предпри- ятия. При этом особое внимание необходимо уделять критиче- ски важным приложениям.
2. Определение степени зависимости организации от нормального функционирования фрагментов компьютерной сети, конкретных узлов, от безопасности хранимых и обрабатываемых данных.
3. Определение уязвимых мест компьютерной системы.
4. Определение угроз, которые могут быть реализованы в отноше- нии выявленных уязвимых мест.
5. Определение и оценка всех рисков, связанных с эксплуатацией компьютерной системы.
Особо хочется обратить внимание на связь анализа рисков с другими компонентами модели. С одной стороны, наличие метрики защищенности и определение значений, характеризующих состояние системы до и после мероприятий по защите информации, накладыва- ют определенные требования на процедуру анализа рисков. Ведь на базе полученных результатов и оценивается состояние системы. С другой стороны, они дают те начальные условия, исходя из которых разрабатывается план построения системы защиты сети. И результаты анализа рисков должны быть сформулированы в виде, пригодном для выполнения как первой, так и второй функции.
4.4.2. Модель многоуровневой защиты
Понятие многоуровневой защиты или эшелонированной оборо- ны (от англ. «Defense in depth») пришло в информационные техноло- гии из военных руководств.
С точки зрения информационной безопасности, модель много- уровневой защиты определяет набор уровней защиты информацион- ной системы. Модель часто используется корпорацией Майкрософт в руководствах по безопасности. Корректная организация защиты на каждом из выделенных уровней позволяет уберечь систему от реали- зации угроз информационной безопасности.

150
Перечень выделяемых уровней незначительно различается в различных документах, один из возможных вариантов представлен на рис. 4.6 [20].
Рис. 4.6. Модель многоуровневой защиты
Как уже отмечалось выше, политика безопасности должна опи- сывать все аспекты работы системы с точки зрения обеспечения ин- формационной безопасности. Поэтому уровень политики безопасно-
сти можно рассматривать как базовый. Этот уровень также подразу- мевает наличие документированных организационных мер защиты
(процедур) и порядка информирования о происшествиях, обучение пользователей в области информационной безопасности и прочие ме- ры аналогичного характера (например, рекомендуемые стандартом
ISO/IEC 17799).
Уровень физической защиты включает меры по ограничению физического доступа к ресурсам системы — защита помещений, кон- троль доступа, видеонаблюдение и т. д. Сюда же относятся средства защиты мобильных устройств, используемых сотрудниками в слу- жебных целях.
Политики, процедуры, осведомленность
Физическая защита
Защита периметра
Защита внутренней сети
Защита узлов
Защита приложений
Защита данных

151
Уровень защиты периметра определяет меры безопасности в
«точках входа» в защищаемую сеть из внешних, потенциально опас- ных. Классическим средством защиты периметра является межсете- вой экран, который на основании заданных правил определяет, может ли проходящий сетевой пакет быть пропущен в защищаемую сеть
(см. раздел 3.4). Другие примеры средств защиты периметра — си- стемы обнаружения вторжений, средства антивирусной защиты для шлюзов безопасности и т. д.
Уровень защиты внутренней сети «отвечает» за обеспечение безопасности передаваемого внутри сети трафика и сетевой инфра- структуры. Примеры средств и механизмов защиты на этом уровне — создание виртуальных локальных сетей (VLAN) с помощью управля- емых коммутаторов, защита передаваемых данных с помощью прото- кола IPSec и т. д. Нередко внутри сети также используют средства, характерные для защиты периметра, например, межсетевые экраны, в том числе и персональные (устанавливаемые на защищаемый компь- ютер). Связано это с тем, что использование беспроводных сетевых технологий и виртуальных частных сетей (VPN) приводит к «размы- ванию» периметра сети. Например, если атакующий смог подклю- читься к точке беспроводного доступа внутри защищаемой сети, его действия уже не будут контролироваться межсетевым экраном, уста- новленным «на границе» сети, хотя формально атака будет произво- диться с внешнего по отношению к нашей сети компьютера. Поэтому иногда при анализе рассматривают «уровень защиты сети», включа- ющий и защиту периметра, и внутренней сети.
Следующим на схеме идет уровень защиты узлов. Здесь рас- сматриваются атаки на отдельный узел сети и, соответственно, меры защиты от них. Может учитываться функциональность узла и отдель- но рассматриваться защита серверов и рабочих станций. В первую очередь, необходимо уделять внимание защите на уровне операцион- ной системы — настройкам, повышающим безопасность конфигура- ции (в том числе, отключению не использующихся или потенциально

152 опасных служб), организации установки исправлений и обновлений, надежной аутентификации пользователей. Исключительно важную роль играет антивирусная защита.
Уровень защиты приложений отвечает за защиту от атак, направленных на конкретные приложения — почтовые серверы, web- серверы, серверы баз данных. В качестве примера можно назвать
SQL-инъекции — атаки на сервер БД, заключающиеся в том, что во входную текстовую строку включаются операторы языка SQL, что может нарушить логику обработки данных и привести к получению нарушителем конфиденциальной информации. Сюда же можно отне- сти модификацию приложений компьютерными вирусами. Для защи- ты от подобных атак используются настройки безопасности самих приложений, установка обновлений, средства антивирусной защиты.
Уровень защиты данных определяет порядок защиты обрабаты- вающихся и хранящихся в системе данных от несанкционированного доступа и других угроз. В качестве примеров контрмер можно назвать разграничение доступа к данным средствами файловой системы, шифрование данных при хранении и передаче.
В процессе идентификации рисков определяется, что является целью нарушителя, и на каком уровне или уровнях защиты можно ему противостоять. Соответственно выбираются и контрмеры. Защита от угрозы на нескольких уровнях снижает вероятность ее реализации, а значит, и уровень риска.