Что является основой программы безопасности

Аннотация: Вводятся ключевые понятия — политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.

Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности , отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков , которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

не ХАЦКЕР, а Специалист по Информационной Безопасности! | UnderMind

Термин «политика безопасности» является не совсем точным переводом английского словосочетания » security policy «, однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные «правила безопасности». Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин » security policy » в » Оранжевой книге » и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов — это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы . Эта карта , разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации , но и видимые грани объектов . Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Информационная безопасность с нуля. Основы кибербезопасности

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

• решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
• формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• обеспечение базы для соблюдения законов и правил;
• формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы :

• вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
• организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
• классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
• штатный, характеризующий меры безопасности, применяемые к персоналу ( описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
• раздел, освещающий вопросы физической защиты ;
• управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
• раздел, описывающий правила разграничения доступа к производственной информации;
• раздел, характеризующий порядок разработки и сопровождения систем;
• раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО , которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности . Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам . Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым сервисом?
• при каких условиях можно читать и модифицировать данные?
• как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс , когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Источник: intuit.ru

Разработка программы безопасности коммерческого предприятия Текст научной статьи по специальности «Экономика и бизнес»

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Власенко В.А., Прищепа С.Л.

В условиях постоянного развития информационных технологий вопрос эффективного управления информационной безопасностью становится все более актуальным. В данной статье рассматривается пошаговая разработка программы безопасности коммерческого предприятия, позволяющей экономически грамотно обрабатывать информационные риски организации. Обращается внимание на важные организационные особенности, которые необходимо учитывать при построении документов по безопасности для их качественного внедрения и постоянного поддержания в актуальном состоянии.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Власенко В.А., Прищепа С.Л.

Рецензия на книгу «Семь безопасных информационных технологий»
Менеджмент информационной безопасности: основные концепции
Менеджмент информационной безопасности: управление рисками
Статус cissp: как получить и не потерять?
Методические основы оценки информационных рисков в предпринимательстве
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

i Надоели баннеры? Вы всегда можете отключить рекламу.

DEVELOPMENT OF COMMERCIAL ENTERPRISE SECURITY PROGRAM

With the continuous development of information technologies the question of effective information security management is becoming increasingly important. This article describes step by step development of the security program that allows effectively manage information risk of the organization. The attention is drawn to the important organizational features that need to be considered when building safety documents for their quality implementation and update.

Текст научной работы на тему «Разработка программы безопасности коммерческого предприятия»

РАЗРАБОТКА ПРОГРАММЫ БЕЗОПАСНОСТИ КОММЕРЧЕСКОГО ПРЕДПРИЯТИЯ

В.А. ВЛАСЕНКО, СЛ. ПРИЩЕПА

Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6, Минск, 220013, Беларусь

Поступила в редакцию 5 марта 2015

В условиях постоянного развития информационных технологий вопрос эффективного управления информационной безопасностью становится все более актуальным. В данной статье рассматривается пошаговая разработка программы безопасности коммерческого предприятия, позволяющей экономически грамотно обрабатывать информационные риски организации. Обращается внимание на важные организационные особенности, которые необходимо учитывать при построении документов по безопасности для их качественного внедрения и постоянного поддержания в актуальном состоянии.

Ключевые слова: программа безопасности, стратегическое планирование, управление рисками, система управления информационной безопасностью, контроль изменений.

В настоящее время состояние глобальной экономики заставляет компании считаться с рисками и вести постоянную работу по разработке более эффективных механизмов управления. Одной из фундаментальных моделей внутреннего контроля корпоративного управления является ERM COSO [1] (Committee of Sponsoring Organization of the Treadway Commission). Его структуры придерживаются многие ведущие мировые компании.

Анализируя стандарты корпоративного управления и качества, можно выделить несколько основных этапов зрелости предприятий в соответствии со стоящими перед ними приоритетами и провести аналогию с резким ростом информатизации в обществе, а соответственно и сделать вывод о причинах изменения стандартов в области безопасности. Большинство компаний, находясь на втором этапе зрелости, проявляли повышенный интерес к информационным технологиям как к средству повышения эффективности технологических процессов и их оптимизации. Сейчас мы можем наблюдать тенденцию стремительного развития области безопасности, которая, в первую очередь, связана с повышенным вниманием инвесторов к безопасности, а именно: к проблематике риска менеджмента, постоянно изменяющимся требованиям к организации защиты критических коммерческих данных.

Границы области безопасности точно очертить невозможно, безопасность охватывает все новые аспекты деятельности предприятий. Специалисты, работающие в данной области, всегда испытывали трудности при описании этого понятия. Только в сфере компьютерных технологий, безопасность касается разработки программного обеспечения — компьютерная безопасность призвана гарантировать, что программное и аппаратное обеспечение удовлетворяет своим спецификациям и требованиям при использовании его в потенциально враждебной среде [2]. Включая вопросы спецификации, валидации, верификации, тестирования, надежности компьютерной системы. Безопасность охватывает гораздо больший круг проблем, касающихся проектирования операционных систем, архитектурного проектирования, информационной безопасности, анализа и управления рисками, организации и управления базами данных, шифрования и кодирования, отказоустойчивости, проектирования интерфейсов, постановлений и политики государства, административных

решений, экономической безопасности, конкурентной разведки, компетентности в вопросах безопасности, а также соответствующего образования. В данной работе под термином «безопасность информации» будем понимать состояние, которое должны обеспечивать организационные, правовые, программно-аппаратные, инженерно-технические и силовые меры, методы и средства, направленные на обеспечение целостности, конфиденциальности, доступности информации.

Понимание проблем управления процессами безопасности подвергается качественному изменению. В первую очередь, происходящее можно связать с совокупным развитием экономики и информационных технологий. Задачи, стоящие перед безопасностью, значительно усложнились.

Данный факт подтверждается многочисленными аргументами, одним из них является необходимость контроля распространения информации на любых носителях, перечень которых постоянно увеличивается. Если безопасность не интегрирована в деятельность компании, а за ее обеспечение отвечают исключительно подразделения безопасности -безопасность такой компании сужается до технических аспектов, а такой подход в данный момент является малоэффективным [3]. Потому специалисты утверждают, что важность выбора правильной стратегии развития в области и интеграция безопасности в бизнес-среду играет одну из ключевых ролей при достижении успеха и финансовой стабильности компании на сегодняшний день.

В последних исследованиях по обеспечению информационной безопасности все чаще отмечается важность учета нетехнических аспектов деятельности наравне с техническими рисками [4]. Наблюдается тенденция к интеграции процессов безопасности скорее в бизнес-среду, нежели в информационные технологии. В данный момент делается акцент на новых информационных рисках, таких как: человеческий фактор, культура безопасности, организационные нормы обеспечения безопасности, репутационные риски. Эти данные представляют определенную сложность с точки зрения управленческого учета.

Одновременно с этим присутствует острая потребность в разработке формализованных моделей управления деятельностью по обеспечению безопасности информации, которые учитывают упомянутые выше нетехнические аспекты. Таким образом, определенную актуальность представляет модель централизованного управления деятельности в области защиты информации, которая уже плотно закрепилась в европейских, американских исследованиях и стандартах. Данная концепция управления подразумевает управление нормами и ограничениями, что выглядит перспективным подходом к решению рассмотренных выше проблем.

Перед разработкой концепции рекомендуется обратить внимание на стандарты серий ISO/IEC 27000, 9000, COBIT (ISACA COBIT Framework), CISSP CBK (Common Body of Knowledge), ITIL (IT Infrastructure Library), COSO (IRM COSO Framework).

Стандарты серии ISO/IEC 2700x являются фундаментальными и близки по содержанию к CISSP CBK. Другие стандарты призваны решать наиболее актуальные проблемы в отрасли.

Поскольку персонал департаментов бизнеса и IT используют различную терминологию и ставят перед собой различные цели, это может приводить к неэффективному управлению, нарушению сроков, упущенным возможностям, увеличению затрат времени и сил, разочарованиям с обеих сторон. Для решения этих целей предназначены стандарты COBIT и ITIL.

Стандарт COBIT [5] определяет цели и модель управления IT. Стандарт ITIL в первую очередь указывает последовательность действий на уровне процессов, необходимых для достижения цели. ITIL был создан для удовлетворения потребностей бизнеса, в связи с его растущей зависимостью от IT. В ITIL существуют домены по безопасности, внимание которых в основном сконцентрировано на внутренних соглашениях об уровне обслуживания между IT и другими подразделениями компании, которые он обслуживает.

При разработке программы безопасности в настоящее время становится очень важным правильно определить четкие цели, достижение которых ожидается в результате выполнения программы безопасности. Наиболее правильным подходом при реализации программы

считается подход «сверху-вниз», начиная со стратегических целей и заканчивая детальными конфигурациями и системными параметрами каждого объекта окружения.

Специалисты по безопасности обязаны понимать, что безопасность должна соблюдаться в рамках всей компании и крайне важно иметь несколько центров ответственности и подотчетности. Потому первым этапом рекомендуется закрепить обязанности и ответственность по обеспечению безопасности за руководителями всех подразделений.

Это позволит создать правовое поле и подготовить фундамент и соответствующую мотивирующую площадку для сторонних подразделений, вовлеченных в разработку программы безопасности. Для выполнения этого этапа необходимо также провести инвентаризацию, идентификацию, оценку активов компании. Результатом этапа будет служить матрица ответственности и определение владельцев активов. Данная модель призвана учесть все аспекты деятельности и контролировать их изменения.

Владельцы информации должны указывать, какие пользователи могут иметь доступ к их ресурсам и что они могут делать с этими ресурсами. Задача администратора безопасности -убедиться, что этот процесс внедрен. Владельцем актива информации обычно является ответственный сотрудник, входящий в руководящий состав компании или руководитель соответствующего управления. Таким образом, владелец несет единоличную ответственность за любую халатность и классификацию информации.

На втором этапе разработки важно понимать, что программа безопасности должна иметь непрерывный жизненный цикл и постоянно совершенствоваться (рис. 1).

Рис. 1. Этапы разработки программы безопасности

На вышеизложенных этапах ведется подготовка правового поля для эффективного внедрения программы безопасности, назначаются ответственные. Определяются границы ответственности, обеспечивается контроль актуальности и внесения только согласованных изменений.

Основным фундаментом программы безопасности являются следующие процессы: управление рисками; управление активами; управление уязвимостями; соответствие требованиям; управление изменениями; управление идентификацией и доступом; классификация информации; планирование непрерывности бизнеса; физическая безопасность; уровни ответственности; жизненный цикл разработки программного обеспечения; обработка инцидентов; обучение персонала.

Разработка программы безопасности осуществляется в несколько шагов, фундаментом являются бизнес-процессы компании. Остановимся подробнее на некоторых более важных из них с точки зрения стратегии.

Риск — вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному последствию для компании. Источником угрозы может быть вирус, хакер, пользователи, сотрудники и др. Потому очень важно надлежащим образом организовать контроль и аудит действий, что позволяет значительно проще расследовать инциденты безопасности.

Управление информационными рисками представляет собой процесс обработки рисков, снижения их до приемлемого уровня, а также внедрения механизмов поддержания (рис. 2). При управлении рисками составляется перечень категорированных угроз, которые также должны быть оценены с точки зрения потенциальных потерь и вероятности возникновения. Реальные

риски чрезвычайно трудно измерить, потому специалисты рекомендуют основное внимание обратить на приоритезацию данного списка. Полноценное управление рисками требует поддержки высшего руководства, документированного процесса IRM-политики и IRM-группы. Анализ рисков обеспечивает идентификацию активов и их ценности для компании, идентификацию угроз и уязвимостей, количественную оценку вероятности и влияния на бизнес потенциальных угроз, обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер. Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов.

Рис. 2. Жизненный цикл программы управления рисками

Оценка стоимости активов включает в себя процесс определения текущего и желаемого состояния безопасности организации. Подход основан на оценке фактической стоимости актива, на оценке временных затрат, усилий и ресурсов, требуемых для его создания либо ущерба в случае уничтожения. Для проведения анализа рисков компания должна решить, какие активы нуждаются в защите и в какой степени. Оценивается функциональность доступных защитных средств, определяются наиболее эффективные контрмеры. Для поддержания безопасности на приемлемом уровне стоит отметить, что необходимо переоценивать риски на периодической основе.

После внедрения контрмеры компании необходимо оценить величину остаточного и общего риска, достигнутого с помощью контрмер. Разделяют несколько способов обработки рисков: перенести, избежать, уменьшить и принять.

Политика безопасности — документ, указывающий на роль безопасности в организации. Политика должна быть независимой с точки зрения технологий и решений. Должна очерчивать цель и миссию, но не привязывать компанию к способам достижения. Политики принято классифицировать по объектам назначения: организационная политика; политика, ориентированная на задачи; политика, ориентированная на системы. В первую очередь политика существует для решения задач предоставления полномочий группе безопасности и ее деятельности, является основанием в процессе разрешения конфликтов, связанных с безопасностью, очерчивает персональную ответственность, обязанности в отношении реагирования на инциденты и др.

В политике безопасности должен быть разработан и внедрен четкий и понятный порядок применения мер воздействия в отношении тех, кто не соблюдает требования политики безопасности. Политики пишутся в широких терминах и покрывают множество систем и устройств. Более детализированные документы требуют частой актуализации — процедуры, стандарты, руководства, которые составляют ее структуру [3]. А необходимые компоненты, заполняя эту структуру, обеспечивают выполнение программы безопасности и предоставляют защищенную инфраструктуру.

Классификация информации — процесс определения ценности информации для компании, который помогает определить, какие средства и меры защиты должны применяться для каждого класса, решить, какие задачи защиты информации являются наиболее приоритетными (рис. 3). Первичная задача классификации информации — показать необходимый для каждого типа информации уровень защиты конфиденциальности, целостности и доступности и сделать это наиболее эффективным способом. Как правило, в зависимости от размеров организации различают три, четыре уровня иерархии. В военных ведомствах могут использовать пять уровней иерархии.

Рис. 3. Описание процесса классификации данных

Аудит информационной безопасности проводится с целью выявления пробелов в существующей системе безопасности, определении пробелов и недочетов, нуждающихся в улучшении или корректировке, а также определение необходимых ресурсов, требуемых для достижения конечной цели безопасности. Это можно обеспечить с помощью создания структуры безопасности, состоящей из нескольких уровней: функций безопасности; обеспечения безопасности мероприятий и процессов, необходимых для реализации каждой из них и возможностей безопасности, связанной с деятельностью по безопасности.

В данной статье проведен выборочный анализ некоторых международных стандартов по информационной безопасности и сделана попытка систематизации полученных знаний с последующим выделением ключевых особенностей, требующих особого внимания на начальных этапах внедрения методологической базы в области безопасности. Проведен анализ корреляционных связей между программой безопасности и бизнес-целями компании.

Приведены шаги, необходимые для создания эффективной программы безопасности на всех уровнях коммерческой организации. Показана актуальность проблем, стоящих перед информационной безопасностью, которые можно решить с помощью разработки стратегии безопасности. Программа безопасности в состоянии значительно снизить информационные риски организации и привести к эффективному управлению. Данная программа должна быть актуальной на всех уровнях организации, а также пересматриваться в связи с положением по контролю за изменениями, сводиться по принципу «сверху-вниз», иметь постоянных жизненный цикл и несколько центров подотчетности, учитывать IRM-политику и профиль угроз, нетехнические аспекты и требования бизнес-логики. В основе должна лежать прозрачная схема пересмотра и актуальные современные технологии по работе с большими данными.

DEVELOPMENT OF COMMERCIAL ENTERPRISE SECURITY PROGRAM

U.A. ULASENKA, S.L. PRISCHEPA Abstract

With the continuous development of information technologies the question of effective information security management is becoming increasingly important. This article describes step by step development of the security program that allows effectively manage information risk of the organization. The attention is drawn to the important organizational features that need to be considered when building safety documents for their quality implementation and update.

1. COSO Enterprise Risk Management — Integrated Framework [Электронный ресурс]. — Электронные данные. — Режим доступа: http://www.coso.org/guidance.htm. — Дата доступа: 5.03.2015.

3. Shon Harris: CISSP All-in-One Exam Guide // McGraw-Hill.

4. Dhillon G. // Information Systems Journal. 2006. Vol. 16, № 3. P. 293-314

Источник: cyberleninka.ru

Общая теория информационной безопасности и защиты. Несколько инструментов для осуществления ИБ

В рамках современного научно-технического прогресса и развития IT хранение информации чаще всего происходит посредством использования электронных носителей. Их использование существенно упрощает процесс хранения, передачи и получения информации, а также, способствует более слаженному ведению и отслеживанию производственных и иных процессов.

ИБ подвергается не только намеренным, но случайным атакам. При этом каждая атака носит индивидуальный характер, осуществляется разнообразными инструментами и ввиду этого защита происходит исходя из ситуации.

Угроза ИБ и ее виды

Угроза безопасности классифицируется по целой совокупности факторов, поэтому рассмотрим некоторые из них. Классификация угроз по их происхождению:

• Естественные – появляются независимо от действий людей, обусловлены природными явлениями;
• Искусственные – появляются из-за деятельности людей. Сюда относятся хакерские вторжения, вредительство, конкуренция и т.д. Они могут быть преднамеренными – оказаны осознанно, спланированы и реализуются для определенных целей и непреднамеренными – возникают спонтанно в результате халатности или невнимательности;
• Внутренние – угроза появляется внутри рассматриваемого объекта;
• Внешние – появляются извне.

Более масштабная классификация отражает основные виды информационной безопасности исходя из ее направленности: информационно-техническая и информационно-психологическая.

• Информационно-психологическая безопасность направлена на обеспечение защищенности психологии от разрушительного воздействия. Может являться групповой, индивидуальной и общественной. Сохраняет информацию в отношении естественного живого мира и окружающего мира человека. Обеспечением информационно-психологической безопасности занимается государство на уровне общества и личности.
• Информационно-техническая безопасность является базовым средством защиты информации с соблюдением конфиденциальности, доступности и целостности. Обеспечивает безопасность в сфере искусственно созданного человеком мира технологий и технологий в целом.

Согласно классификации, существует разделение видов информационной безопасность на основе направленности угрозы на государственном уровне:

• Нарушение ИБ в отношении конституционных прав и свобод (в частности, информационной и духовной сфер);
• Оказание вредоносного воздействия на духовное возрождение России. Оно может быть индивидуальным, групповым и общественным;
• Манипулирование информацией в любых целях;
• Оказание влияния на желание населения заниматься творческой деятельностью, получать нравственное и духовное развитие.

Объектами ИБ являются: все информационные ресурсы или документирование информации; права физических и юридических лиц, а также, организаций; системы распространения информации и формирования общественного мнения.

Классы защиты ИБ

Существует несколько классов защиты и степени ее эффективности:

• D-класс. Представляет собой класс с нулевым уровнем безопасности информационных данных. При этом защита может быть применена, но ее эффективность является очень низкой. Исходя из этого любой лицо может получить доступ к информационным базам данных;
• C1-класс. Предлагает разделение информационных данных и пользователей. Ввиду этого только некоторая часть пользователей имеет доступ к данным. Для получения доступа в таком случае будет необходимо прохождение проверки подлинности пользователя. При данном классе защиты чаще всего аутентификатором выступает введение пароля;
• С2-класс. В отличии от первого вида класса С имеет дополнительные меры защиты кроме аппаратных и программных средств. В данном случае системы дополнены мерами, гарантирующими ответственность пользователей посредством создания журнала регистрации пользователя;
• B1-класс. Характеризуется наличием собственной политики безопасности и дополнен вычислительной базой, направленной на управление метками безопасности и принудительного управления доступом для обеспечения специалистам возможности тестирования исходного кода;
• B2-класс. Является наиболее распространенным классом в современных условиях поддержания информационной безопасности. В его основе содержится формальная политика безопасности, характерно снабжение метками секретности для всех информационных ресурсов. Кроме того, важной составляющей выступает возможность регистрации событий для организации тайных каналов обмена данными. Высокая устойчивость систем к внешним атакам и структурирует доверенную вычислительную базу на хорошо определенных модулях;
• B3-класс. Выступает как структурное дополнение к классу B1, предполагает наличие возможности оповещения администратора в случае возникновения угрозы или попытке нарушения сохранности данных. Ввиду хорошо отлаженной системы контроля анализирует и проявляет наличие тайных каналов утечки информации. Кроме того, отличается наличие системного обеспечения, которое позволяет восстановить утерянные данные в результате нарушения работы аппаратуры;
• A-класс. Является наилучшим среди всех вариантов информационной безопасности. Он включает в себя не только все вышеперечисленные механизмы защиты информационных данных, но и включает в себя современные системы, прошедшие тестирование и получившие подтверждения соответствия формальным спецификациям верхнего уровня.

Инструменты защиты ИБ

Подбор инструментов для защиты информации происходит исходя из того в каком направлении требуется защита – для государства, для коммерческой организации или физического лица. Чаще всего безопасникам приходится работать с сертифицированными ФСТЭК ФСБ инструментами. Это не значит, что данные инструменты имею высокую степень защиты. Просто государственные организации должны использовать исключительно сертифицированные программные обеспечения. В качестве сертифицированных ПО могут выступать отечественные антивирусы, межсетевые экраны и аппаратное обеспечение разного рода.

Работники коммерческих организаций и наемные рабочие для физических лиц имеют более широкий выбор и могут работать с различными инструментами по согласованию с руководством или на свое усмотрение.

Обеспечение информационной безопасности достигается посредством активного использования методов шифрования и защиты электронных документов и программ. В первую очередь стоит отметить криптографические методы шифрования, которые позволяют искажать информационные данные посредством их преображения в секретные ключи. Чем более сложные механизмы шифрования применяются, тем более эффективной является защита.

Криптографическое шифрование может быть двух видов: симметричное и ассиметричное. В первом случае к информационных данным применяется секретный ключ-шифр, которые известен его отправителю и получателю. Во втором случае открытым является только один ключ. Его использование позволяет установить наличие электронной цифровой подписи или применить методы кодирования информации.

В таком случае создать подпись или расшифровать информационные данные без знания ключа не получится. Поэтому даже владелец данных может не знать ключа, но пользоваться информацией. Существенным недостатком такого шифрования выступает необходимость использования мощных современных устройств.

Электронная цифровая подпись выступает в качестве преимущественно нового метода защиты электронных документов. Рассматриваемый метод предполагает наличие параметра, который подтверждает подлинность документа. Если рассматривать электронную цифровую подпись в узком смысле, то она является полноценной заменой подписи должностного лица и имеет равноценную юридическую силу. Ее применение предоставляет возможность идентификации владельца и подтверждает, что информация, содержащаяся в документе, не претерпевала существенных изменений. Важно отметить, что данный метод защиты электронных документов позволяет удешевить процесс защиты данных, но при этом является гарантом подлинности документа.

Топ инструментов для защиты ИБ на начало 2023 года

Nagios

Предоставляет возможность не только отслеживать, но и осуществлять управление сетями, которые подключены к хостам и системе клиента. Управление и мониторинг осуществляются удаленно в режиме реального времени. При этом подозрительная активность, атака или ее попытка являются причиной уведомления пользователя. Уведомления настраиваются индивидуально, в зависимости от потребностей пользователя.

Ossec