Для финансовых компаний риски информационной безопасности являются, пожалуй, наиболее критичными из всего многообразия операционных рисков. От того, насколько эффективно банки, страховые и инвестиционные компании и другие организации финансового сектора управляют этими рисками, зависит их конкурентоспособность и капитализация. Существует множество подходов к обеспечению информационной безопасности. Часть из них отражена в различных международных, национальных и отраслевых стандартах, в частности, в стандарте ISO 27001:2005, на основе которого была построена система управления рисками информационной безопасности в «Банке24.ру». Методология внедрения системы была разработана сотрудниками банка совместно со специалистами консалтинговой компании «Траектория роста».

В ее основе лежат четыре основных принципа:

• Для эффективного обеспечения информационной безопасности требуются системные решения;
• Система менеджмента информационной безопасности должна быть основана на подходах современного риск-менеджмента;
• Система менеджмента информационной безопасности должна быть интегрирована в общую систему управления операционным риском организации;
• Для обеспечения информационной безопасности необходимо формирование соответствующей корпоративной культуры.

Стандарт ISO 27001:2005 «Требования к системе менеджмента информационной безопасности» был опубликован Международной организацией по стандартизации в ноябре 2005 года и сейчас активно внедряется в организациях по всему миру. 1 В апреле 2007 года Банк24.ру стал первым российским банком, успешно прошедшим сертификацию на соответствие требованиям этого стандарта.

По результатам исследования IT Governance Institute , объявление об инциденте информационной безопасности негативно влияет на рыночную стоимость компании. Организации, в которых произошел инцидент информационной безопасности, в среднем потеряли 2,1% рыночной стоимости в течение двух дней после объявления – около $1,65 млрд. на один инцидент.

Зачастую информационная безопасность ассоциируется в первую очередь с защитой от вирусов и хакеров, однако деятельность по ее обеспечению значительно шире. Она подразумевает систематическую защиту всех информационных активов компании. Под определение информационного актива, согласно ISO 27001:2005, подпадает все, что так или иначе связано с информацией и имеет ценность для организации – документы, серверы, компьютеры, программное обеспечение, базы данных, сотрудники и т.д. Естественно, найти в банке бизнес-процесс, который так или иначе не был бы связан с информационными активами, сложно.

Любой информационный актив обладает как минимум тремя нуждающимися в защите свойствами, сохранение соответствия которых заданным значениям и определяет уровень информационной безопасности. Это конфиденциальность, целостность и доступность (рис.1). Информационная безопасность – это сохранение всех свойств актива.

Рис. 1 Свойства информационных активов

Сохранение свойства конфиденциальности подразумевает, что, например, к информации о банковских счетах клиентов будут иметь доступ только сотрудники, получившие соответствующую авторизацию, и эта информация не будет разглашена.

Если же вдруг из-за сбоя в работе базы данных у клиента на счете вместо тысячи рублей окажется миллион (или наоборот), это будет ярким примером нарушения свойства целостности информационного актива.

Если же информация из базы никуда не ушла, сохранена целостность данных, однако сведения недоступны, – это нарушение третьего свойства, которое определяет нашу возможность воспользоваться информационным активом, когда это необходимо.

Эффективный менеджмент информационной безопасности не может быть «точечным». Подобное несистемное управление информационной безопасностью чаще всего приводит к тому, что проблемы возникают совсем не там, где их ожидали.

Риск-ориентированный подход к обеспечению информационной безопасности

Не зная рисков информационной безопасности и не управляя ими, очень сложно оценить адекватность мер защиты. А это очень важно, поскольку:

• безопасность, безусловно, необходима, однако ее меры зачастую тормозят бизнес;
• у проектов по обеспечению безопасности очень сложно посчитать ROI или NPV.

К примеру, ни один аэропорт в мире с точки зрения эффективности бизнеса не заинтересован во внедрении мер обеспечения безопасности: досмотр пассажиров уменьшает пропускную способность, а специальное оборудование стоит дорого. Но при этом очевидно, что безопасность, во-первых, необходима, во-вторых, должна быть не больше и не меньше, чем это на самом деле требуется.

Единственный способ определить адекватность мер информационной безопасности – принимать решения об их внедрении на основе анализа рисков. Необходимо идентифицировать риски, реализация которых может повлечь наиболее тяжелые последствия, и рассматривать меры обеспечения информационной безопасности как стратегию управления этими рисками.

Почему был выбран стандарт ISO 27001:2005

Риски информационной безопасности – это операционные риски. Поэтому совершенно естественно, что система управления информационной безопасностью, а это, по сути, система управления рисками информационной безопасности, должна быть интегрирована в общую систему управления операционным риском.

В «Банке24.ру» система управления операционным риском основана на подходах, определенных в международном стандарте ISO 9001:2000 (в 2003 году «Банк24.ру» стал первым российским банком, успешно прошедшим сертификацию на соответствие ISO 9001:2000).

Возможность интеграции системы управления информационной безопасностью в общую систему управления операционным риском была одним из немаловажных факторов, повлиявших на то, что в качестве основы для построения системы был выбран стандарт ISO 27001:2005.

Решение ISO 27001:2005 было выбрано «Банком24.ру», поскольку оно позволяет реализовать четыре основных принципа, перечисленных в начале статьи. Помимо того, что ISO 27001:2005 – это система, которая интегрируется в общую систему управления операционным риском (первый и третий принципы), она основана на подходах современного риск-менеджмента, а также позволяет сформировать корпоративную культуру, необходимую для обеспечения информационной безопасности (второй и четвертый принципы). Еще одно немаловажное достоинство ISO 27001:2005 – это возможность использовать инструменты аккредитованной сертификации на соответствие международным стандартам, благодаря чему компания может получить дополнительную экспертизу и независимую оценку системы, подтверждаемую международным сертификатом от признанного сертифицирующего органа.

Как на практике работает система менеджмента информационной безопасности ISO 27001:2005

Для того чтобы понять, как работает на практике система менеджмента информационной безопасности, необходимо, в первую очередь, представить себе более общую систему – систему управления операционным риском. Система управления операционным риском «Банка24.ру» основана на ISO 9001:2000. Это задает общий формат управления бизнес-процессами банка и помимо прочего определяет общую процедуру управления операционным риском. В банке разработана процедура, в которой определены методы:

• идентификации операционного риска;
• проведения оценки риска;
• формирования рабочей группы;
• определения уязвимостей и причин риска;
• определения стратегий управления риском (на языке ISO 9001 – это «корректирующие и предупреждающие действия»);
• внедрения стратегий управления риском;
• оценки результативности внедренных стратегий управления риском.

Как известно, названия функций процесса управления риском (идентификация – оценка – определение и внедрение стратегии управления – оценка действий) мало зависят от типа рисков. Специфика заключается в том, как реализовать эти функции применительно к тому или иному виду рисков. Идентификация операционных рисков может проходить по-разному. В «Банке24.ру» информация об операционных рисках (их идентификация) поступает из трех основных источников:

• наблюдения сотрудников – каждый сотрудник может зарегистрировать несоответствие (реализовавшийся риск) или наблюдение (риск) во внутрикорпоративной сети (рис. 2);

Рис. 2 Форма регистрации несоответствия

• результаты обратной связи с клиентами – жалоба клиента – это реализовавшийся риск, анализ обратной связи позволяет выявить риски (рис.3);

• результаты внутренних аудитов.

Процесс управления операционным риском реализуется в интранете (внутренней компьютерной сети банка) с помощью специальных форм, поля которых отображают типовой процесс управления риском.

Процесс управления риском информационной безопасности незначительно отличается от общего процесса управления риском. Разница заключается в технологии идентификации рисков и в определении стратегий управления ими. ISO 27001:2005 как раз содержит рекомендации о том, каким образом идентифицировать риски информационной безопасности (для этого необходимо внедрить соответствующие процессы, речь о которых пойдет далее) и каким образом их смягчать (для этого необходимо внедрить множество процедур).

Общая логика системы управления операционным риском в соответствии с ISO 27001:2005 показана на рис. 4, из которого видно, что после интеграции системы ISO 27001:2005 операционные риски идентифицируются из четырех источников: «от сотрудников», по результатам анализа обратной связи с клиентом, на основе результатов внутренних аудитов, на основе идентификации рисков информационной безопасности. После того как риски идентифицированы, они проходят через стандартный процесс «отработки» риска (процесс управления риском типичен для всех видов рисков).

Рис 4. Система управления операционным риском

Управление рисками информационной безопасности

С организационной точки зрения процедуры управления рисками информационной безопасности курируются группой координации информационной безопасности, которая включает в себя представителей различных функциональных подразделений и занимается разработкой политик, целей в области информационной безопасности, систематическим анализом работы системы. Для идентификации рисков информационной безопасности в системе ISO 27001:2005 функционируют два процесса: управление информационными активами и управление информационными рисками. Эти два процесса задают общую логику системы (рис. 5).

Рис. 5 Логика системы менеджмента информационной безопасности

Управление информационными активами

Этот процесс дает ответ на вопрос «Что мы защищаем?». Для определения информационных рисков в первую очередь необходим всегда актуальный перечень информационных активов, проранжированных по важности. Для этого в банке разработан процесс «Управление информационными активами» – это одна из ключевых, основополагающих процедур, обеспечивающая функционирование системы. Логика здесь очень проста: поскольку информационные активы – это объекты, к изменению свойств которых приводит реализация рисков информационной безопасности, перечень этих объектов вместе с их свойствами должен быть перед глазами как у сотрудников отдела и группы координации информационной безопасности, так и у собственников бизнеса.

В банке разработан реестр информационных активов – это список, в котором отражены уровни конфиденциальности, целостности и доступности каждого актива и получающийся из них общий уровень критичности актива. Наряду с этим для каждого актива в реестре определен сотрудник (или подразделение), несущий ответственность за этот актив (то есть владелец информационного актива), и сотрудники (подразделения), которые этим активом пользуются. Процесс управления информационными активами – это процесс актуализации реестра. В общем виде он представлен в табл. 1.

Таблица 1 Реестр информационных активов

Управление информационными рисками

После получения ответа на вопрос «Что мы защищаем?» необходимо понять «От чего мы защищаем?». Для этого в системе функционирует процесс «Управление информационными рисками». По каждому информационному активу систематически определяются информационные риски, причем применяется как регулярная, системная, так и спонтанная идентификация рисков (когда любой сотрудник, который видит риск, может его зарегистрировать). Систематическая идентификация рисков информационной безопасности проходит в банке регулярно под эгидой отдела информационной безопасности. «Под эгидой» означает, что риски активов определяют их владельцы, а группируют и обрабатывают информацию сотрудники отдела информационной безопасности. Они же проводят количественную оценку и анализ рисков и в результате получают проранжированный перечень рисков, по каждому из которых (совместно с владельцами информационных активов) определяют стратегии управления. Отчет о рисках рассматривается группой координации информационной безопасности. Основная роль данной группы заключается в выделении ресурсов, необходимых для внедрения процедур, помогающих смягчить риски.

Внедрение мер управления рисками

Поняв, от чего мы защищаем активы, можно перейти к определению адекватных мер защиты – к внедрению стратегий управления рисками, которые определяются на основе анализа рисков. Действия по смягчению информационных рисков внедряются в практику точно так же, как и любые другие стратегии управления операционными рисками, – через общий механизм.

В большинстве случаев смягчение рисков информационной безопасности подразумевает внедрение процедур: например, для смягчения риска несанкционированного доступа внедряется процедура «управление правами доступа пользователей». В приложении А к стандарту ISO 27001:2005 приведен перечень контролей – процедур, которые должны быть внедрены в организации для систематического смягчения рисков информационной безопасности. Это типовые методы смягчения некоторых рисков. Если организация соответствующие риски не принимает, то эти процедуры обязательны к внедрению. Без детализации перечень процедур выглядит следующим образом:

• организация информационной безопасности;
• обеспечение безопасности персонала;
• обеспечение физической безопасности;
• операционный менеджмент;
• управление правами доступа;
• управление инцидентами информационной безопасности;
• приобретение, разработка и поддержка информационных систем;
• управление непрерывностью бизнеса;
• обеспечение соответствия законодательным требованиям.

Результат процесса управления рисками информационной безопасности можно свести в таблицу (табл. 2).

Таблица 2. Результаты процесса управления рисками

Если для управления риском в стандарте предусмотрено внедрение процедуры (контроля), в таблице делается ссылка на соответствующий пункт стандарта. Также важно, что при определении стратегии управления риском оценивается остаточный риск – то есть риск после внедрения процедур по его смягчению.

Как и в ситуации с любыми другими рисками, управление рисками информационной безопасности требует инвестиций. В принципе такие риски могут быть приняты высшим руководством (в «Банке24.ру» это председатель координации группы информационной безопасности). В этом случае в реестре рисков делается соответствующая отметка.

Таким образом, по результатам процесса управления рисками в банке был внедрен ряд процедур, направленных на систематическое адекватное обеспечение информационной безопасности. Эти процедуры регулярно оцениваются в ходе внутренних аудитов, что гарантирует их функционирование и задает основу для непрерывного повышения их эффективности.

Сертификация системы

Проект внедрения системы менеджмента информационной безопасности в «Банке24.ру» реализовывался в течение 15 месяцев силами консалтинговой компании и сотрудников отдела информационной безопасности банка. В ходе проекта были идентифицированы тысячи информационных активов, было отработано около 380 рисков. Сегодня действие системы распространяется только на процессы обслуживания клиентов через интернет – услуги, для которых обеспечение информационной безопасности наиболее критично. В дальнейшем система будет распространена на все услуги банка. В проекте было задействовано 18 структурных подразделений банка, которые так или иначе участвовали во внедрении процедур, определенных международным стандартом ISO 27001:2005. Все эти действия были направлены на реальное предотвращение информационных рисков и на внедрение процессов, которые сделают управление информационными рисками системной деятельностью.

Когда стало очевидно, что система менеджмента информационной безопасности созрела для сертификации, в банк были приглашены международные аудиторы для проведения независимой оценки – компания Bureau Veritas Cetrification (BVC). В ходе четырехдневного аудита были проанализированы все процедуры обеспечения информационной безопасности и все процессы, входящие в область сертификации.

В роли главного аудитора выступил сотрудник израильского отделения BVC Ярив Диамант, который выявил несколько слабых мест системы. Такая информация очень важна, поскольку внедрение системы – лишь начало пути ее непрерывного совершенствования, и информация о слабых местах системы необходима для повышения ее эффективности.

Аудит был проведен на высокопрофессиональном уровне – помимо прочего, оценивая обеспечение сохранности конфиденциальной информации, ведущий аудитор потрудился посмотреть, не выкидывают ли сотрудники банка конфиденциальные документы в мусорные корзины. Для этого потребовалось довольно тщательное исследование последних. Со стороны процесс выглядел весьма забавно, но что поделать – в этом хлеб аудитора. Возможно, такая доскональность была навеяна получившим широкую огласку случаем, когда администрация Белого дома выкинула в помойку подробный график перемещения президента Буша во время одной из его поездок, документ, естественно, секретный.

Всего в результате аудита была выявлено около 10 несоответствий, которые затем были зарегистрированы в системе, что означало, что по ним началась работа и что они пройдут стандартный цикл управления риском. В ходе следующего надзорного аудита работа по выявленным несоответствиям будет проанализирована в первую очередь. Внешние аудиты помогают реализовать процесс непрерывного улучшения менеджмента информационной безопасности. Международная сертификация в случаях, когда аудит проводится на высоком профессиональном уровне, служит экспертизой, которая позволяет организации все время быть «в тонусе», а это необходимо для постоянного повышения конкурентоспособности бизнеса.

Внедрение и сертификация системы менеджмента информационной безопасности вовсе не гарантирует избавления компании от рисков. Главным результатом проекта стало не столько выявление конкретных рисков, сколько организация процесса систематического управления рисками информационной безопасности. Это означает, что банк готовится к возможной реализации рисков и внедряет механизмы, которые позволяют смягчить их последствия. Кроме того, за время реализации проекта сотрудники банка осознали важность информационной безопасности и знают, как действовать, если произошел инцидент.

1 Полный перечень организаций, сертифицированных по стандарту, опубликован на сайте

В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.

Введение

Одна из самых важных причин создания политики безопасности компьютеров – это уверенность в том, что затраченные средства на безопасность помогут компании защитить более ценную информацию.

В наше время бизнес компаний напрямую связан с информационными технологиями, для многих именно информация является главным средством получения денег. Излишне говорить, что, как и любые материальные активы, информационные активы нуждаются в безопасности. Высокий профессионализм атакующего и отсутствие оного у пользователей говорит не в пользу уровня защиты информации, и делает вашу фирму, а так же весь ваш бизнес, уязвимым. Но, к сожалении, это лишь часть проблемы, которую предстоит решать отделу безопасности и системному администратору. Согласно исследованиям Ernst & Young за 2003 год самый большой урон компаниям принесли вредоносные программы и нарушения со стороны сотрудников. Никогда не можно быть уверенным на все сто, что сотрудник, работающий с ценной информацией не похитит или уничтожит ее. Согласно RFC 2196 для информационных активов существуют следующие угрозы:

Очень часто доступ к данным намного легче получить изнутри, чем снаружи сети. Многие администраторы защищают свою сеть от атак неизвестных взломщиков с помощью различных систем обнаружения вторжения, межсетевых экранов, забывая о том, что пользователи их сети могут принести намного больший урон информационным активам.

2. Ненамеренное и/или неправомерное раскрытие информации

Здесь речь идет о пользователях, способных случайно или специально раскрыть атакующему важную информацию о политике безопасности или даже передать конфиденциальные данные в руки взломщиков.

3. Отказ в обслуживании

Приведение актива в нерабочее состояние вследствие неумышленных или специальных действий пользователей (удаление, повреждение файла или нескольких файлов общей БД)

Давайте рассмотрим варианты защиты от этих угроз подробнее.

1. Решается на уровне ACL. Разрабатывается политика безопасности относительно информационных ресурсов к которым пользователи имеют доступ, а также определяется уровень доступа к информационному ресурсу.
2. Комплексные действия по отношению к охраняемой информации. Этот пункт рассматривается позже.
3. Резервирование данных. Этот процесс ресурсоемок, но стоит этого!

В данной статье мы будем рассматривать вторую угрозу, так как именно от этой угрозы сложнее всего защитить информационные активы.

Для сохранности информационных активов используются комплексные меры защиты:

• контроль над передаваемыми по сети данными

  Аппаратный (снифферы, маршрутизаторы, свитчи)

  Программный (снифферы, контентные фильтры, системы обнаружения вторжения)

• контроль за использованием информационных активов

  Аппаратный (системы видео наблюдения, прослушивания и т.д.)

  Программный (кейлогеры, системы мониторинга и т.д.)

• контроль съемных носителей, принтеров, копиров

  Аппаратный

  Программный

Понимание инцидента.

1. Попытка повышения привилегий на системе с целью завладеть тем или иным информационным активом
2. Попытка несанкционированного доступа к информационным активам
3. Попытка порчи или кражи информационных активов
4. .Раскрытие важной информации

Для системного администратора и сотрудника отдела безопасности понимание инцидента и наличие политики защиты от него являются самыми главными средствами в борьбе за информационные ресурсы предприятия.

Пользователи, которые работают с важной информацией, являются объектами наблюдения для службы безопасности. Контроль за почтовыми сообщениями пользователей, за использованием Интернета, попыткам доступа к ресурсам можно осуществить с помощью различных снифферов, систем обнаружений вторжения, всевозможных лог файлов и т.д. Но как выявить нарушителя, который пытается украсть информационные активы путем их записи на съемные носители? Аудит файлов и папок не позволяет обнаружить простую операцию копирования содержимого секретного файла в новый.

Защита от кражи информации. DeviceLock.

В этой статье рассматривается решение по защите информационных активов средствами утилиты DeviceLock.

Утилита DeviceLock от SmartLine позволяет контролировать доступ к различным устройствам в системе: дисководам, магнитно-оптическим дискам, CD-ROM, ZIP, USB, FireWire, serial и parallel портам, WiFi и Bluetooth адаптерам и т.д.

Характеристики ПО:

Версия: 5.52

Платформы: Windows NT 4.0/2000/XP/2003

Удаленное управление: Да

Удаленная установка: Да

Взаимодействие с Active Directory: Да

Обычно компьютеры покупаются со стандартной комплектацией аппаратного обеспечения, в которой присутствуют порты USB, дисковод CD-ROM или CD-RW, порты serial и parallel и т.д., что позволяет пользователю без проблем воспользоваться одним из этих устройств для копирования информации. Бороться с этим можно как аппаратными так и программными средствами, именно последним и отдают предпочтение, так как часто требуется создание политики доступа к подобным ресурсам для каждого отдельного пользователя.

1. Установка

Утилита поддерживает три вида установки: обычная установка с графическим интерфейсом, установка с помощью Microsoft Systems Management Server (SMS), установка из командной строки.

Для установки с помощью Microsoft Systems Management Server следует использовать файлы, которые находятся в архиве sms.zip дистрибутива.

Установка с использование командной строки:

Для этого типа установки важно, чтобы конфигурационный файл devicelock.ini находился в том же каталоге, что и файл setup.exe

Синтаксис файла devicelock.ini:

Пример файла конфигураций devicelock.ini:

;Конфигурация для установки DeviceLock на пользовательские компьютеры:

AccessToFloppy= Domain\privileged

AccessToRemovable= Domain\privileged

AccessToCDROM= Domain\privileged

AccessToUSB=Domain\privileged

InstallDir=C:\Program files\devicelock\

RegFileDir=C:\RegistrationKey\xxxxxx

Для установки программы в этом режиме следует запустить файл setup.exe с ключом /s (silent)

D:\Distributives\DeviceLock\setup.exe /s

К сожалению в процессе установки утилита позволяет создать лишь локальные группы пользователей. Если у вас доменная сеть, значительно удобней создать группы для всего домена. Для этого воспользуйтесь оснасткой Active Directory Users and Computers: dsa.msc или утилитой net group.

2. Использование. Возможности программы.

Для нормального функционирования программы на машинах в вашей сети должны быть открыты следующие порты:

• Порт135 (TCP) – для службы RPC
• Порт 137 (UDP) – для службы NetBIOS Name Service
• Порт 138 (UDP) - для службы NetBIOS Netlogon and Browsing
• Порт 139 (TCP) - для службы NetBIOS session (NET USE)
• Порты после 1024 (TCP) - для службы RPC

С помощью менеджера DeviceLock утилита устанавливается на нужные машины в сети двойным щелчком мыши на объекте. Управление проводится централизованно с машины, на которой установлен менеджер

Определение политик доступа для определенного устройства осуществляется с помощью диалогового окна Permissions, которое вызывается двойным нажатием левой кнопки мыши на устройстве или через меню File->Set Permissions.

Утилита позволяет управлять доступом как для групп, так и для отдельных пользователей. Возможные виды доступа к устройству:

Также возможно управлять доступом пользователей к устройствам по времени.

Разрешения Allow Eject действительны лишь для программного изъятия носителя из устройства, по этому особой нужды в таком правиле по нашему мнению нет, так как пользователь всегда сможет нажать на кнопку привода и изъять или вставить носитель.

Обратите внимание, что политика доступа назначается для всей группы устройств, а не для отдельного устройства. Т.е. если на машине присутствуют 2 устройства CD-ROM, то невозможно для одного пользователя создать разные разрешения для каждого устройства.

Программа позволяет одновременно создавать политики для определенного типа устройств на всех компьютерах в сети. Для этого используется диалоговое окно Batch Permissions (File->Batch Permissions).

Преимущества программы:

1. Позволяет создавать правила доступа к устройствам, что делает ее незаменимой в среде, где требуется жесткий контроль над информационными активами

2. Проста в обращении

3. Не требует больших ресурсов для работы

Недостатки:

1. Немного неудобный интерфейс

2. Было бы неплохо выставлять разрешения для каждого устройства, а не для группы устройств. Например, виртуальный CD-ROM и физический распознаются как одна группа устройств, что не позволяет запретить некоторым пользователям доступ на чтение с физического устройства.

Заключение

В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.

Ворганизационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.

Рис.1 Организационно-функциональная структура предприятия

1.2. Анализ рисков информационной безопасности.

Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).

Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск

Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.

Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.

Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.

Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:

кто принимает решение о проведении анализа рисков?

кто проводит анализ рисков, с какой периодичностью?

в какой форме представлена оценка рисков?

если данный анализ не проводится, то по каким причинам?

1.2.1. Идентификация и оценка информационных активов

Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:

информация/данные (например, файлы, содержащие информацию о платежах или продукте);

аппаратные средства (например, компьютеры, принтеры);

программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);

оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);

программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);

документы (например, контракты);

фонды (например, в банковских автоматах);

продукция организации;

услуги (например, информационные, вычислительные услуги);

конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);

Оборудование, обеспечивающее необходимые условия работы;

Персонал организации;

Престиж (имидж) организации.

В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.

Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоятьцелостность данных. Режимная организация в первую очередь будет заботиться оконфиденциальности информации, то есть о ее защите от несанкционированного доступа.

Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.

Пункт должен содержать:

а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.

б) перечень видов деятельности организации (определенных в п.1.1.1), а такженаименование и краткое описание используемых (создаваемых) информационных активов для каждого вида,форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);

в) перечень владельцев активов , определенных в п.п(б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;

г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.

Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.

Ответственность за определение ценности активов должны нести их владельцы.

Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.

Необходимо определить критерии определения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:

первоначальная стоимость актива,

стоимость его обновления или воссоздания.

ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов предполагает учет возможных затрат, вследствие

утраты конфиденциальности;

нарушения целостности;

утраты доступности.

Необходимо определить размерность оценки , которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.

Например, для количественной шкалы используется размерность тыс. рублей . Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".

Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.

Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.

Информация по подпунктам б-г должна быть сведена в таблицу 2

Таблица 2

Оценка информационных активов предприятия

В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться

д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.

Таблица 3

Перечень

сведений конфиденциального характера ООО «Информ-Альянс»

е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.

Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.

Таблица 4

Результаты ранжирования активов

Активы, имеющие наибольшую ценность:

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

1. Аналитическая часть

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Введение

С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (не модифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем -- люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.

Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM».

Поставленная цель предопределила постановку и решение ряда взаимосвязанных задач:

· изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации на примере организации ООО «FACILICOM»

· разработку постановки задачи на автоматизирование защиты персональных данных и коммерческой информации, а так же анализ рисков на предприятии ООО «FACILICOM»

· обоснование выбора основных проектных решений;

· разработку автоматизации обеспечивающих подсистем для защиты и шифрования данных;

· обоснование экономической эффективности проекта.

Данная дипломная работа состоит из трех частей.

В первой части отражена аналитическая часть проекта, в которой представлены технико-экономическая характеристика ООО «FACILICOM» и существующего на предприятии процесс анализа рисков и защиты персональных данных и коммерческой информации; характеристика комплекса задач, требующих решения, и обоснование необходимости автоматизации описанного процесса в ООО «FACILICOM»; анализ существующих разработок, обоснование проектных решений и выбор стратегии анализа рисков ООО «FACILICOM» и защите информации.

Вторая часть работы содержит непосредственно проектную часть, которая состоит из разработки проекта автоматизации защиты информации и анализ рисков ООО «Фасиликом», информационного и программного обеспечения автоматизации описанного процесса, а также описания контрольного примера реализации проекта.

И, наконец, третья часть дипломной работы представляет собой обоснование экономической эффективности проекта, где описываются выбор методик расчёта, а также представляется математический расчёт показателей экономической эффективности защиты информации и анализ рисков ООО «FACILICOM».

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.

Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.

"Ценность, которую мы предоставляем нашим клиентам - возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы"

Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами "FACILICOM" являются компании из различных отраслей и сфер экономики, в числе которых:

· Государственный сектор

· Телекоммуникационные компании

· Финансовый сектор

· Производство

· Транспорт и логистика

Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.

В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.

Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.

Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура управления ООО «FACILICOM» представлена на рис. 1.

Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.

Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.

Организационная структура фирмы соответствует линейному типу.

Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке "сверху вниз", обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.

Размещено на http://www.allbest.ru/

Рис. 1 Организационная структура управления ООО «FACILICOM»

Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.

Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.

Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;

Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.

Функции отдела информационных технологий и ПО:

· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.

· Контроль установки программного обеспечения на серверы и рабочие станции.

· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.

· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.

· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.

· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.

· Регистрация пользователей, назначение идентификаторов и паролей.

· Установление ограничений для пользователей по:

o а) использованию рабочей станции или сервера;

o б) времени;

o в) степени использования ресурсов.

· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.

· Обучение пользователей работе в информационной системе предприятия.

· Обеспечение безопасность работы в системе:

· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.

· Производить своевременное копирование и резервирование данных.

· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.

· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.

· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.

· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.

· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.

Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.

1.2 Анализ рисков информационной безопасности

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого -- распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей -- трехступенчатая. Каждый фактор оценивается по шкале “низкий -- средний -- высокий”.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения -- отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.

Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд

Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.

1.2.1 Идентификация и оценка информационных активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;

· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;

· Люди: пользователи, обслуживающий персонал.

Результаты оценки информационных активов сведены в таблицу 2.

Таблица Оценка информационных активов предприятия ООО «Facilicom»

В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»

Таблица Результаты ранжирования активов ООО «Facilicom»

Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:

1. Сервер БД с информацией о клиентах и писем;

2. База данных ДО;

3. Приказы, распоряжения Генерального директора;

4. База данных бухгалтерии.

В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определённо, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;

· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;

· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Размещено на http://www.allbest.ru/

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»

1.2.3 Оценка угроз активам

Рассмотрим перечень возможных угроз для информации и активов:

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.

Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.

Размещено на Allbest.ru

Подобные документы

Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011


Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011


Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

дипломная работа , добавлен 23.10.2013


Определение психологических типов личности и характера человека. Мотивационные профили сотрудников. Анализ основных бизнес-процессов, необходимых для функционирования предприятия. Угрозы информационной безопасности. Оценка и обработка человеческих рисков.

реферат , добавлен 11.03.2015


Характеристика предприятия ООО "Айсберг", анализ структуры документооборота и материально-технического обеспечения предприятия. Разработка и описание новой автоматизированной информационной технологии по планированию, управлению и контролю деятельности.

курсовая работа , добавлен 04.03.2010


Назначение информационной политики, основы ее формирования и внедрения, виды обеспечения. Анализ информационной политики Банка "Центр-инвест". Своевременное и достоверное раскрытие информации как один из основных принципов корпоративного управления.

курсовая работа , добавлен 10.04.2011


Проблемы идентификации предпринимательских рисков. Идентификация рисков: риск как "возможность", как "опасность" и как "неопределенность". Оценки рисков на основе информационной и аналитической работы экспертов. Моделирование ситуаций, финансовый анализ.

контрольная работа , добавлен 16.06.2010


Определение стратегии и планирование работ по развитию информационной структуры предприятия "Урал-системы безопасности". Разработка рекомендаций по совершенствованию работы в области применения информационных технологий, их документальное сопровождение.

отчет по практике , добавлен 14.04.2014


Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.

Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ

УДК 004.94

Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2

И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»

Ключевые слова

Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.

Keywords:

Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.

Аннотация

В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.

This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.

Введение

Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте . В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ , которые в своей основе содержат и ряд требований указанных стандартов . Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив » и «объект защиты ») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта . В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям . Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.

Учет различий при выявлении и оценке активов (объектов защиты) СМИБ

Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO . Соответственно, в случае принятия такого решения - о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping ”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) - на дату подготовки публикации.

В тоже время существуют методики , основанные на стандартах ISO , которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта , так и целевого стандарта по управлению рисками ИБ . Применение данной методики способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту .

Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта . Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ - адекватное обеспечение выполнение целей бизнеса . Второе негативное последствие выявленных различий, имеющее измеримое значение - дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта . Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.

Различие 1. Идентификация (классификация) активов

Для анализа первого различия рассмотрим требования стандарта в части управления активами и требования стандарта по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 ). Дополнительно рассмотрим Приложение «В» стандарта : «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации ». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации ».

В фазе «План» цикла PDCA (п. 4.2.1 ) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А() даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».

В свою очередь, в требованиях СОИБ по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах ;

• АС - автоматизированная система;
• ИА - информационный актив;
• ПО - программное обеспечение.

Согласно под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 ). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов , представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в никак не учтены активы по следующим категориям - персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.

В стандарте определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. ), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 ):

• информационные активы (ИА);
• программное обеспечение (ПО);
• технические средства обработки, хранения и передачи информации (ТС).

В стандарте перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. ) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. ):

• ОЗ максимального уровня критичности;
• ОЗ среднего уровня критичности;
• ОЗ минимального уровня критичности.

В Разделе 8 стандарта приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию - для разработки и успешной сертификации СМИБ по требованиям , только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.

Различие 2. Оценка рисков ИБ

Для анализа 2-го различия рассмотрим требования в части управления рисками ИБ и требования СОИБ по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в (п.п. 3.7 - 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 ), фазе «Делай» (п. 4.2.2 ), в фазе «Проверяй» (п. 4.2.3 ), соответственно. В Приложении А () даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).

В свою очередь, в требованиях СОИБ по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 ). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ , не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков - невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 ).В рамках работ по анализу рисков определяют (п. 6.1. ):

• возможный ущерб, наносимый в результате нарушений свойств безопасности ОЗ;
• уровень вероятности наступления такого нарушения с учетом идентифицированных угроз и уязвимостей, а также реализованных защитных мер;
• величина риска.

Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 ):

• максимальная величина;
• средняя величина;
• минимальная величина.

Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 ). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей - создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям .

В стандарте отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба - средним уровнем критичности ОЗ, минимальная величина возможного ущерба - минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.

Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска - этап оценивания риска (п. 7.1 ). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 ) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 ).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование - выполнение анализа СМИБ со стороны руководства (стандарт , раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска » (п. 7.2. е) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.

Методика идентификации активов

Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» () и «объект защиты» ().Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта . Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).

Таблица 1. Классификация групп активов СМИБ

Пример реестра группы активов «АС» приведен в табл. 2.

Таблица 2. Реестр группы активов «АС»

Примечания:

* Владелец - определенная служба в области сертификации СМИБ, которая отвечает за указанный актив в части поддержания функциональности;

** Уровень критичности - на основании «Перечня ОЗ» в соответствии с требованиями СОИБ.

Пример оценки рисков ИБ для примера актива АС «Босс-Кадровик»приведен в табл. 3.

Таблица 3. Оценка рисков ИБ для актива АС

Оценка результативности ИСМ с учетом требований СМИБ

Учет активов в соответствии с требованиями стандарта ISO позволит привнести в ИСМ элемент управляемости по единым целям, измеримым в терминах бизнеса . Для ИСМ, в составе которой есть СМИБ, могут быть применены соответствующие метрики. Широко известны примеры формирования простых метрик ИБ, которые могут обеспечить формирование количественных оценок (метрик)как доказательства «полезности» для бизнеса. Здесь представляется особенно важным сразу сделать сопоставление с механизмами внутреннего аудита, которые именно предназначены для представления «объективных доказательств» для высшего руководства с целью принятия эффективных управленческих решений . Различные виды метрик для целей обеспечения ИБ представляется целесообразным сгруппировать следующим образом:

1. Для оценки основного бизнеса, например: доля на рынке, уровень лояльности клиентов;
2. Для управления издержками, например: ТСО (совокупная стоимость владения), ROI (оценка возврата инвестиций);
3. Для оптимизации текущей деятельности, например: оптимизация затрат (прямых и косвенных).

С целью снижения издержек (это одна из приоритетных задач любого бизнеса и наиболее «презентабельная» форма оценки результативности службы ИБ), могут быть применены метрики, показывающие степень достижения возможного максимума (плана продаж, выполнения в срок проектов и пр.) . Соответственно, могут быть предложены различные типы метрик:

• простые метрики (например, количество выявленных инцидентов ИБ);
• сложные метрики (например, отношение стоимости СЗИ к стоимости ИТ активов);
• комплексные метрики (например, число произошедших инцидентов ИБ, приведших к ущербу (вынужденному простою) вАС, определенных как критичные для бизнеса).

Выводы

1. При планировании и реализации проектов по сертификации СМИБ необходимо принять во внимание, что множество требований произвольной системы отраслевой сертификации, в общем случае, не соответствует требованиям сертификационного стандарта ISO серии 27001. Для адаптации СОИБ необходима продуктивная методика, основанная на сопоставлении (“mapping ”) стандартных требований в области ИБ и обеспечивающая достижение целей по обеспечению внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ - на основании сформированных достоверных моделей и методов.

2. Реализация требований современных стандартов к СМИБ, «наложенных» на существующую СОИБ, приводит к необходимости пересматривать фундаментальные требования (например, понятий «актив » и «менеджмент риско в»).Это обстоятельство напрямую связано с определяемой высшим руководством областью сертификации («scope ») и, соответственно, с перечнем активов, признанных жизненно важным для бизнеса организации, и по этой причине подлежащих защите в составе СМИБ.

Библиография

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. С истемы менеджмента информационной безопасности. Требования»

ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»

ГОСТ Р ИСО 19011-2011 «Руководящие указания по проведению аудитов систем менеджмента».

СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения

СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к АСУ ТП

СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий

СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков

СТО Газпром 4.2-3-004-2009 Классификация объектов защиты

СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности

Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества, 2014, вып. 2;

Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6;

Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества, 2013, вып. 1;

Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6

В.Д. Ногин Принятие решений при многих критериях // Государственный Университет - Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.

М.К. Янчин. Управление информационными рисками на основе методологии MEHARI, Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату 19.01.2015)

ISO/IEC 27040:2015 Information technology — Security techniques — Storage security.

ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.

ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary.

ISO/IEC 27004:2014 Information technology — Security techniques — Information security management — Measurement.