Файл: Тема Управление информационной безопасностью. Основные понятия и определения. Управление информационной безопасностью.pdf

Тема 1. Управление информационной безопасностью. Основные понятия
и определения.
Управление информационной безопасностью (Information Security
Management или ISM) – циклический процесс, который обеспечивает управление рисками, ресурсами и средствами защиты в интересах обеспечения конфиденциальности, целостности и доступности активов, информации, данных и услуг организации.
Конфиденциальность - состояние информации, при котором доступ к
ней осуществляют только субъекты, имеющие на него право.
Целостность - состояние информации, при котором отсутствует
любое ее изменение либо изменение осуществляется только преднамеренно
субъектами, имеющими на него право;
Доступность - состояние информации, при котором субъекты,
имеющие право доступа, могут реализовывать его беспрепятственно.
Управление информационной безопасностью, включает: осознание степени необходимости защиты информации; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля; распределение ролей и ответственности; обучение и мотивацию персонала; оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.
Управление информационной безопасностью обычно является частью организационного подхода к управлению безопасностью, который имеет более широкую область охвата, чем поставщик услуг, и включает обработку бумажных документов, доступ в здания, телефонные звонки и т.п., для всей организации.
Цели управления информационной безопасностью достигнуты, если:
1.
Информация доступна тогда, когда это требуется, а информационные системы устойчивы к атакам, могут избегать их или быстро восстанавливаться.
2.
Информация доступна только тем, кто имеет соответствующие пра- ва.
3.
Информация корректна, полна и защищена от неавторизованных изменений.
4.
Обмен информацией с партнерами и другими организациями надежно защищен.
Бизнес определяет, что и как должно быть защищено. При этом для эффективности и целостности обеспечения информационной безопасности

2 необходимо рассматривать бизнес процессы от начала до конца, так как слабое место может сделать уязвимой всю систему.
Процесс ISM должен включать в себя: формирование, управление, распространение и соблюдение Политики информационной безопасности и других вспомогательных политик, которые имеют отношение к информационной безопасности.
Политика информационной безопасности (Security Policy) - система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают организации достижение целей Управления информационной безопасностью. понимание согласованных текущих и будущих требований бизнеса к безопасности; использование контролей безопасности для выполнения Политики информационной безопасности и управления рисками, связанными с доступом к информации, системам и услугам. Термин «контроль безопасности» является заимствованным из английского языка и в данном контексте означает набор контрмер и мер предосторожности, применяемых для аннулирования, уменьшения рисков и противостояния им. То есть, контроль безопасности состоит из проактивных и реактивных действий; документирование перечня контролей безопасности, действий по их эксплуатации и управлению, а также всех связанных с ними рисков; управление поставщиками и контрактами, требующими доступа к системам и услугам. Осуществляется при взаимодействии с процессом
Управления поставщиками; контроль всех "брешей" безопасности и инцидентов, связанных с системами и услугами; проактивное улучшение контролей безопасности и уменьшение рисков нарушения информационной безопасности; интеграция аспектов информационной безопасности во все процессы
Управления услуг.
Политика информационной безопасности должна включать в себя следующее: реализация аспектов Политики информационной безопасности; возможные злоупотребления аспектами Политики информационной безопасности; политика контроля доступа; политика использования паролей; политика электронной почты; политика интернета; политика антивирусной защиты; политика классификации информации; политика классификации документов; политика удаленного доступа; политика доступа поставщиков к услугам, информации и компонентам; политика размещение активов.

3
Перечисленные политики должны быть доступны пользователям и заказчикам, которые в свою очередь обязаны письменно подтвердить свое согласие с ними.
Политики утверждаются руководством бизнеса и
IT и пересматриваются в зависимости от обстоятельств.
Чтобы обеспечивать информационную безопасность и управлять ею, необходимо формирование Системы управления информационной
безопасностью (СУИБ, Information Security Management System (ISMS)).
Конечной целью создания такой системы является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), преднамеренно наносимого злоумышленниками либо непреднамеренно - работниками предприятия, посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
Согласно стандарта
ISO
27001
–
Системы обеспечения информационной безопасности, СУИБ - это «та часть общей системы
управления организации, основанной на оценке бизнес рисков, которая
создает,
реализует,
эксплуатирует,
осуществляет
мониторинг,
пересмотр, сопровождение и совершенствование информационной
безопасности». Система управлениявключает в себяорганизационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
На рисунке 1 показана структура СУИБ, наиболее широко используемая организациями.
Рисунок 1 – Система управления информационной безопасностью

4
На рисунке 1 представлены 5 элементов структуры СУИБ:
1.
Контроль.
Цели контроля: формирование системы управления информационной безопасностью в рамках организации; формирование организационной структуры для подготовки, утвер- ждения и реализации Политики информационной безопасности; распределение ответственностей; формирование документации по контролю.
2.
Планирование.
Цель планирования - разработать и рекомендовать подходящие метрики и способы измерения информационной безопасности. В первую очередь планирование должно учитывать требования и особенности конкретной организации. Источниками информации для формирования требований к информационной безопасности являются бизнес, риски, планы, стратегия, соглашения (в первую очередь OLA и SLA). При этом важно учитывать моральную, законодательную и этическую ответственности в контексте информационной безопасности.
3.
Реализация.
Цель реализации - обеспечение подходящих процедур, инструментов и контролей безопасности для поддержки Политики информационной безопасности.
В рамках реализации проводятся следующие мероприятия: идентификация активов - совместно с Управлением конфигурациями; классификация информации - информация и информационные хра- нилища должны быть классифицированы в соответствии с их чувствительно- стью и значимостью по отношению к трем аспектам информационной безопасности (конфиденциальности, целостности, доступности).
4.
Оценка.
Цель оценки в рамках СУИБ: проверка соответствия политики информационной безопасности требованиям к информационной безопасности из SLA и OLA; проведение регулярных проверок технической составляющей ин- формационной безопасности для IT систем; предоставление информации для регуляторов и внешних аудиторов при необходимости;
5.
Поддержка.
Цели поддержки СУИБ: улучшение соглашений в отношении информационной безопасности, например, SLA и OLA совершенствование средств и контролей информационной безопас- ности.

5
Ключевые деятельности в рамках ISM:
1.
Формирование, пересмотр и корректирование
Политики информационной безопасности и набора поддерживающих ее вспомогательных политик;
2.
Реализация и соблюдение политик информационной безопасности, а также обеспечение взаимодействия между ними;
3.
Оценка и классификация всех информационных активов и докумен- тов;
4.
Использование, пересмотр и корректирование набора контролей безопасности, мер по оценке рисков и ответных действий;
5.
Мониторинг и управление "брешами" безопасности и инцидентами;
6.
Анализ, ведение отчетности и уменьшение влияния "брешей" в безопасности и инцидентов;
7.
Составление расписания и проведение аудитов, тестирования и обзоров.
Взаимодействие указанных видов деятельности представлено на рисунке 2.
Рисунок 2 – Ключевые деятельности в рамках УИБ
Для обеспечения и поддержки
Политики информационной безопасности необходимо сформировать и использовать набор контролей безопасности. Для предотвращения инцидентов и правильного реагирования

6 в случае их возникновения используют меры безопасности, представленные на рисунке 3.
Рисунок 3 – Контроль безопасности
На рисунке 3 выделено четыре стадии. Первая стадия - возникновение угрозы. Угрозой является все, что может негативно повлиять на бизнес- процесс или прерывать его. Инцидент - это реализованная угроза. Инцидент является отправной точкой для применения контролей безопасности. В результате инцидента появляется ущерб. Для управления или устранения рисков также применяются контроли безопасности. Для каждой стадии необходимо подобрать подходящие меры обеспечения информационной безопасности:
1.
Превентивные - меры безопасности, которые предотвращают появление инцидента информационной безопасности.
Например, распределение прав доступа.
2.
Восстановительные - меры безопасности, направленные на уменьшение потенциального ущерба в случае инцидента. Например, резервное копирование.
3.
Обнаруживающие - меры безопасности, направленные на обнару- жение инцидентов.
Например, антивирусная защита или система обнаружения вторжений.
4.
Подавляющие - меры безопасности, которые противодействуют попыткам реализации угрозы, то есть инцидентам. Например, банкомат забирает у клиента карту после определенного количества неправильных вводов PIN-кода.

7 5. Корректирующие - меры безопасности, направленные на восстановления после инцидента. Например, восстановление резервных копий, откат на предыдущее рабочее состояние и т.п.
Входами процесса УИБ являются:
1.
Информация от бизнеса - стратегии, планы, бюджет бизнеса, а также его текущие и будущие требования;
2.
Политики безопасности бизнеса, планы безопасности, Анализ рисков;
3.
Информация от IT – стратегии, планы и бюджет IT;
4.
Информация об услугах - информация от SLM, в частности
Портфеля услуг и Каталога услуг, SLA/SLR;
5.
Отчеты процессов и анализа рисков от УИБ, Управления доступностью и Управления непрерывностью услуг;
6.
Детальная информация обо всех инцидентах информационной безопасности и "брешах" в ней;
7.
Информация об изменениях - информация от процесса Управления изменениями, в частности расписание изменений и их влияние на планы, политики и контроли информационной безопасности;
8.
Информация о взаимоотношениях бизнеса с услугами, вспомогательными услугами и технологиями;
9.
Информация о доступе партнеров и поставщиков к услугам и системам, предоставляемая процессами Управления поставщиками и
Управления доступностью.
Выходами УИБ являются:
1.
Политика информационной безопасности и другие вспомогательные политики, которые имеют отношение к информационной безопасности;
2.
Система управления информационной безопасностью, которая содержит всю информацию, необходимую для обеспечения УИБ;
3.
Результаты переоценки рисков и ревизии отчетов;
4.
Набор контролей безопасности, описание их эксплуатации и управ- ления, а также всех связанных с ними рисков;
5.
Аудиты информационной безопасности и отчеты;
6.
Расписание тестирования планов информационной безопасности;
7.
Классификация информационных активов;
8.
Отчеты о существующих недостатках информационной безопасности и инцидентах;
9.
Политики, процессы и процедуры для управления доступом поставщиков и партнеров к услугам и системам.
В качестве ключевых показателей производительности процесса управления информационной безопасностью можно использовать множество метрик, например:
1.
Защищенность бизнеса от нарушений информационной безопасности процентное уменьшение сообщений о "брешах";

8 процентное уменьшение негативного влияния на бизнес со стороны "брешей" и инцидентов; процентное увеличение пунктов, касающихся информационной безопасности, в SLA.
2.
Формирование четкой и согласованной политики информационной безопасности, учитывающей потребности бизнеса, то есть уменьшение количества несовпадений между процессами УИБ и процессами и политиками информационной безопасности бизнеса.
3.
Процедуры по обеспечению безопасности, которые оправданы, со- гласованы и утверждены руководством организации: увеличение согласованности и пригодности процедур обеспечения безопасности; увеличение поддержки со стороны руководства
4.
Механизмы улучшения: количество предложенных улучшений в отношении контролей и процедур; уменьшение количества несовпадений, обнаруженных в процессе тестирования и аудита.
5.
Информационная безопасность является необъемлемой частью услуг и процессов IT, то есть увеличение количества услуг и процессов, в которых предусмотрены меры безопасности.
УИБ сталкивается со множеством трудностей и рисков на пути обеспечения информационной безопасности. К сожалению, на практике достаточно часто бизнес считает, что вопросами информационной безопасности должна заниматься только IT. Еще хуже, когда бизнес не понимает, зачем вообще нужно уделять внимание информационной безопасности. Создание эффективной системы защиты информации влечет за собой большие затраты, которые должны быть понятны руководству, так как именно оно принимает решение о финансировании. При этом важно соблюдать баланс - обеспечение информационной безопасности не должно стоить больше самой защищаемой информации.
Какие преимущества компании дает внедрение СУИБ и ее
сертификация на соответствие международным стандартам:
- повышение управляемости и надежности бизнеса компании;
- повышение защищенности ключевых бизнес-процессов компании;
- повышение доверия к компании как к партнеру, так и клиенту;
- соответствие компании требованиям международного стандарта подчеркивает чистоту и прозрачность бизнеса компании;
- наличие СУИБ и международного сертификата упрощает процедуру выхода компании на внешние рынки;
- международное признание и повышение авторитета компании как на внутреннем, так и внешнем рынках;
- повышение доходности бизнеса в целом.

9
Для структурных подразделений компании внедрение СУИБ и ее сертификация на соответствие международным стандартам дает следующие преимущества: систематизация процессов обеспечения информационной безопасности; расстановка приоритетов компании в сфере ИБ; управление ИБ компании в рамках единой корпоративной политики; своевременное выявление и управление рисками; снижение рисков от внутренних и внешних угроз; оптимизация управленческих процессов; повышение эффективности функционирования СУИБ и защищенности информационных систем; повышение общей корпоративной культуры сотрудников и вывод управления бизнесом на новый уровень.
Управление ИБ - это непрерывный процесс, ИБ невозможно обеспечить разовым мероприятием, поскольку средства защиты нуждаются в постоянном контроле и обновлении.

10
Тема 2: Угрозы информационной безопасности в информационных
системах
2.1 Основные определения и критерии классификации угроз
Угроза — это действие, которое потенциально может привести к нарушению информационной безопасности.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку – злоумышленником. Потенциальные злоумышленники являются источниками угрозы.
Источником угрозы могут быть: злоумышленники, обслуживающий персонал, техногенные аварии, стихийные бедствия.
Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Уязвимость - это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы.
Свойствами уязвимости являются: вероятность
(простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Вероятность реализации угрозы через данную уязвимость - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях.
Критичность реализации угрозы - степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).
Механизм деструктивного воздействия на информационную систему показан на слайде 1.
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.
Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при внесении исправлений в код.
Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда — недель), поскольку за это время должны произойти следующие события: должно стать известно о средствах использовании пробела в защите; должны быть выпущены соответствующие заплаты; заплаты должны быть установлены в защищаемой ИС.