«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и госструктур" 24 мая 2011 года
Деятельность организации в общем виде
Отражение деятельности организации в информационном мире
Взаимодействие бизнес – среды и информационного мира
Особенности деятельности в бизнес-среде
Универсальная циклическая модель корпоративного управления (по Демингу- Шурхарту )
планиро вание действие выполнение проверка время планиро вание То же, во времени
Иерархия циклических моделей управления
Вопросы, требующие ответа Что такое проект по безопасности? Что такое система безопасности? Что такое улучшение системы безопасности? Как локальный проект по безопасности может улучшить безопасность системы в целом? Каковы критерии оценки уровня безопасности системы в целом, с учетом новых проектов От чего в итоге зависит успешность реализации проекта Как соотнести понятия «реализация» и «жизненный цикл» проекта
Фундаментальные понятия в сфере безопасности Угроза Субъект (агент) угрозы Атака Уязвимость Инцидент Нарушение доступности нарушение целостности нарушение конфиденциальности ущерб события последствия анализ Правонару- шение
Соотношения фундаментальных понятий Угроза х субъект угрозы = атака Атака х инцидент уязвимости = последствия П о с т у л а т ы 1.Атаки на объект защиты и уязвимости систем защиты объекта не связаны и не коррелируются 2.Вероятность атаки практически полностью определяется вероятностью возникновения субъекта угрозы 3. Вероятность возникновения инцидента гораздо, на порядки выше, чем вероятность возникновения атаки 4.Вероятность последствий практически полностью определяется вероятностью возникновения уязвимости и совпадения ее сигнатуры с сигнатурой атаки
о деятельности службы безопасности Цель деятельности любой службы безопасности заключается не сколько в реализации новых проектов по безопасности, сколько в выявлении и устранении уязвимостей в системе защиты, в том числе и в любом реализуемом проекте. Как добиться того, чтобы максимально уменьшить число возникающих уязвимостей?
Чем порождаются уязвимости Неправильным проектированием Неправильной реализацией проекта Отказами техники Текущей деятельностью эксплуатирующего персонала Текущей деятельностью пользователей и функционального персонала Неудовлетворительным сопровождением
Какие уязвимости наиболее опасны? 1). Существующие длительное время 2). Возникающие бесконтрольно, в нарушение регламентов деятельности
Направления борьбы с уязвимостями Качественное сопровождение систем Грамотная эксплуатация Периодический, с частотой 3-5 лет, анализ рисков несоответствия выбранной политики безопасности угрозам системе
Что их сделало такими? Правильно (неправильно) заданные начальные условия приводят к впечатляющим результатам!
Понятие «жизненный цикл» системы В общем случае под термином жизненный цикл системы ( System Life Cycle ) понимается определенная эволюция, период времени и совокупность работ, меняющих состояние системы от появления замысла и начала ее разработки до окончания эксплуатации. Обычно разбивается на отдельные стадии анализ требований, проектирование, реализация (конструирование), верификация и эксплуатация. Стадии ЖЦ системы могут повторяться итерационным образом в связи с постепенным уточнением требований к системе и/или с необходимостью ее адаптации к тем изменениям, которые возникают в предметной области системы.
Процессы обеспечения ЖЦ По стандарту ISO/IEC ЖЦ ИС базируется на трех группах процессов: основные процессы ЖЦ ИС: приобретение, поставка, разработка, эксплуатация, сопровождение. Разработка ИС состоит из трех этапов: анализ, проектирование и реализацию (программирование) вспомогательные процессы, обеспечивающие выполнение основных процессов: документирование, управление конфигурацией, обеспечение качества, верификация, аттестация, оценка, аудит, решение проблем организационные процессы: управление проектами, создание инфраструктуры проекта, определение, оценка и улучшение самого ЖЦ, обучение.
основные этапы жизненного цикла системы Планирование; Анализ исходных требований и разработка спецификаций требований к ИС; Проектирование (спецификация подсистем, функциональных компонентов и способов их взаимодействия в системе); Разработка Испытания на соответствие требованиям и отладка; Внедрение - установка и ввод системы в действие: конфигурирование базы данных; конфигурирование рабочих мест пользователей; обеспечение эксплуатационной документацией; проведение обучения персонала; эксплуатация (использование): локализация проблем и устранение причин их возникновения; модификация ИС в рамках установленного регламента; подготовка предложений по совершенствованию, развитию и модернизации системы. сопровождение ИС - обеспечение штатного процесса эксплуатации системы Вывод из эксплуатации утилизация
Этап эксплуатации превышает по времени все остальные в 5-10 раз На этапе эксплуатации все зависит от качества эксплуатации и сопровождения систем и подсистем Качеством эксплуатации и сопровождения определяется надежность работы системы безопасности, то есть количество возникающих в ней инцидентов уязвимости
Проблемы реализации комплексного подхода Одновременно существующих на объекте систем и подсистем десятки, сотни и тысячи Каждая их этих подсистем имеет свой жизненный цикл Этапы эксплуатации и сопровождения не совпадают или совпадают частично За всем этим нужно следить!
Спасибо за внимание Андрей Петрович Курило, ЦБ РФ