Лектор : А. С. Лысяк По материалам лекций Пермякова Р. А. Основы информационной безопасности
Источники информации - Федеральная служба по техническому и экспортному контролю Security Lab by positive technologies Интернет - Университет Информационных Технологий энциклопедию по безопасности информации
Вопросы для самостоятельного изучения : Лекции : Вопросы для зачёта
Защита информации
Основные задачи ЗИ Обеспечение следующих характеристик : Целостность. Доступность. Конфиденциальность. Подотчетность. Аутентичность. Достоверность. По ГОСТ Методы и средства обеспечения безопасности
Целостность Актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения. Типы целостности : Статическая ( неизменность ИО ) Динамическая ( корректное выполнение сложных транзакций ).
Доступность Состояние информации ( ресурсов автоматизированной информационной системы ), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
Конфиденциальность Свойство информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.
Аутентичность, достоверность, подотчётность Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Достоверность свойство соответствия предусмотренному поведению или результату ; Подотчётность ( англ. accountability) обеспечение идентификации субъекта доступа и регистрации его действий ;
Принципы защиты информации
Принцип минимальных привилегий Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.
Принцип прозрачности СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.
Принцип превентивности Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.
Принцип адекватности Применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.
Принцип системного подхода Заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно - технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.
Принцип непрерывности защиты Функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.
Принцип адаптивности Система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.
Принцип доказательности Результаты работы СЗИ не должны зависеть от субъекта. Используются : Только известные формальные модели Применение систем аутентификации Сертифицированных элементов Требование сертификации СЗИ в целом.
Принцип унификации решений Разрабатываемые решения должны быть единообразными в схожих ситуациях. Следствием принципа является использование : Типовых проектов Типовой классификации ресурсов Типовых конфигурации.
Жизненный цикл СОИБ
Жизненный цикл СЗИ Обследование объекта защиты, выявление приоритетной задачи защиты. Построение политики безопасности. Выбор элементов системы защиты информации. Инсталляция. Сопровождение. Проектиро - вание
Обследование объекта защиты Определение структуры объекта защиты. Выявление приоритетной задачи защиты.
Исследование бизнес - структуры объекта защиты Определение и исследование бизнес - модели объекта защиты. Определение факторов влияния на бизнес, задание метрик для измеримых факторов. Определение целей IT- инфраструктуры (!!!). Определение эталонной модели IT- потоков. Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.
Исследование бизнес - структуры объекта защиты
Исследование бизнес - структуры объекта защиты Методология MRPII.
Бизнес - факторы, влияющие на эффективность Величина внутренних издержек ( конфликт стоимости СЗИ ). Качество управления собственным активом ( конфликт интересов ). Качество работы коллектива ( конфликт с персоналом ). Скорость реакции на внешние факторы. Стратегия и качество ведения самого бизнеса. Выбранная стратегия управления рисками.
Безопасность Затраты на безопасность Внедрение новых элементов СЗИ Управление жизненным циклом ИС Разграничение доступа Эффективность Увеличение прибыли Сокращение расходов Накопление знаний Повышение осведомленности Проблема установления рационального баланса
Исследование физической защиты объекта Наличие свободного доступа на территорию. Наличие видеонаблюдения. Наличие записей видеонаблюдения и сроки их хранения. Наличие свободного доступа к кабельному хозяйству. Наличие доступа к серверам и рабочим станциям.
Исследование IT- структуры объекта защиты Обследование аппаратного обеспечения. Обследование программного обеспечения : Выявление приложений, работающих с LAN. Выявление приложений, работающих с WAN. Обследование кабельного хозяйства. Исследование сложившихся IT- потоков. Обследование точек межсетевого взаимодействия : С дружественными ( известными ) сетями. С недружественными сетями.
Пример сетевой инфраструктуры Наглядная схема, показывающая все принципы взаимодействия.
Пример сетевой инфраструктуры Наглядная схема, показывающая все принципы взаимодействия.
Пример сетевой инфраструктуры
Политика безопасности формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196). совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов ( Галатенко В. А.) набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ.
Уровни разработки политики безопасности Программно - технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения
Структура политики безопасности Утверждённые модели ( модель актуальных угроз, модель нарушителя ; анализ и управление рисками !). Перечень защищаемых объектов. Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон. Перечень используемого ПО и его конфигураций. Концепция информационной безопасности. Набор инструкций, корпоративные приказы и распоряжения. Структура и схема активного сетевого оборудования.
Организационные аспекты ИБ Административный уровень защиты информации. Базовый уровень безопасности. Процедурный уровень защиты информации. Стандарты и спецификации в области безопасности информационных технологий. Критерии оценки безопасности информационных технологий.
Уровни абстракции Законодательный Административный ( приказы и другие действия руководства организаций, связанных с защищаемыми ИС ); Процедурный ( меры безопасности, ориентированные на людей ); Программно - технический.
Концепция информационной безопасности Цели и задачи СЗИ. Определение объекта защиты. Подчиненность отдела защиты информации. Принципы финансирования. Метрики ИБ и схема контроля состояния ИС. Создание CSIRT- группы. …
Метрики ИБ Принципы : Цели бизнес - процесса (SLA). S.M.A.R.T.: Конкретная Измеримая Практически применимая Значимая Своевременная KISS: Keep It Simple Stupid
Корпоративные приказы О защите информации. О назначении ответственного и / или создании группы защиты информации. Перечень защищаемых объектов ( информационных ресурсов ). О классификации информации и / или информационных ресурсов. О допуске исполнителей к обработке информации.
Смежные документы Договор с работниками должен содержать раздел конфиденциальность Договора с контрагентами должны содержать обязательства о защите информации
Перечень защищаемых объектов Перечень защищаемых объектов ( программно - аппаратное обеспечение ) Перечень используемого программного и аппаратного обеспечения. Конфигурация активного сетевого оборудования. Конфигурация программного обеспечения, версии и установленные исправления.
Перечень защищаемых объектов Перечень защищаемых объектов ( информационные ресурсы ) Перечень типов информационных ресурсов и их пользователей. Перечень кандидатов на присвоение грифа секретности. Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.
Инструкции администратора безопасности ; системного администратора ; системного оператора ; пользователя системы ; инструкция по оперативному восстановлению системы.
Жизненный цикл СОИБ ( альтернатива ) Планирование и организация Приобретение и внедрение Эксплуатация и сопровождение Мониторинг и оценка Вывод из эксплуатации
Планирование и организация Получение одобрения у руководства Создание рабочей группы Оценка бизнес - драйверов Создание профиля угроз Проведение оценки рисков Разработка архитектурного решения на различных уровнях Организационный Прикладной Сетевой Компонентный Фиксация результатов
Приобретение и внедрение Распределение ролей и обязанностей в группе Разработка Политик безопасности Процедур Стандартов Базисов Руководств и инструкций Выявление критичных данных на всех этапах жизненного цикла информации Реализация проектов безопасности : Управление рисками, активами, планирование непрерывности бизнеса и д. р. Внедрение решений по каждому проекту Разработка процедур аудита и мониторинга Установка по каждому проекту : метрик, целей, SLA.
Эксплуатация и сопровождение Соблюдение установленных процедур и базисных уровней в каждом из проектов. Проведение внутреннего и внешнего аудита. Выполнение задач в каждом из проектов. Управление SLA по каждому из проектов.
Мониторинг и оценка Анализ журналов, результатов аудита, метрик, SLA, по каждому проекту. Оценка достижений целей по каждому из проектов. Проведение ежеквартальных встреч рабочей группы. Совершенствование каждого этапа и возврат на фазу планирования.
Спасибо за внимание!