Transcript політика інформаційної безпеки

Лекція №13
Захист інформаційних
ресурсів на базі
міжнародних
стандартів ISO/IEC
Наприкінці дев’яностих років, Британський
Інститут
Стандартів
(BSI)
розробив
національний стандарт, щодо управління
інформаційною безпекою, який потім одержав
назву BS 7799, або «Старий Британський
стандарт».
При розробці стандарту ставилося завдання
забезпечення державних та комерційних
організацій інструментом для створення і
реалізації ефективних систем інформаційної
безпеки на основі сучасних інформаційних
технологій та методів менеджменту.
У 2000 р. на базі BS 7799, був
розроблений
новий
стандарт,
що
визнаний міжнародним, під назвою
"International Standard ISO/IEC 17799 (
Information technology – Code of practice
for information security management").
На даний час, сформовано цілий ряд
стандартів ISO/IEC з урахуванням їх
впровадження у галузь «Інформаційної
безпеки» :
ISO/IEC 15408 «Критерії оцінювання
безпеки інформаційних технологій», а
також
стандарти
серії
27000
27001:2005,
27005:2008,
27006:2007,
27003, 27004, 27007, 27022, 27033.
Стандарт ISO/IEC 17799
модель системи менеджменту, яка
визначає загальну організацію процесів,
класифікацію даних, системи доступу,
напрямки планування, відповідальність
співробітників,
використання
оцінки
ризику і т. ін. в контексті інформаційної
безпеки.
Основна ідея стандарту – допомогти
комерційним
та
державним
господарським організаціям вирішити
достатньо
складне
завдання:
забезпечення
надійного
захисту
інформаційних ресурсів та організація
ефективного доступу до даних й процесу
їх обробки згідно визначених послуг та
вимог.
Основна структура стандарту
Зміст стандарту включає наступні розділи:
політика безпеки [security policy];
організація захисту [organizational security];
класифікація ресурсів та контроль [asset classification and
control];
безпека персоналу [personnel security];
фізична безпека та безпека навколишнього середовища
[physical and environmental security];
адміністрування комп'ютерних систем та обчислювальних
мереж [computer and network management];
управління доступом до системи [system access control];
розробка та супроводження інформаційних систем [system
development and maintenance];
планування безперервної роботи організації [business continuing
planning];
виконання вимог (відповідність законодавству) [compliance].
У зв'язку з цим виділяється ряд ключових
елементів
управління,
що
подаються
як
фундаментальні:
політика інформаційної безпеки;
розподіл відповідальності за інформаційну безпеку;
освіта та тренінг з інформаційної безпеки;
звітність за інциденти з безпеки;
захист від вірусів;
забезпечення безперервності роботи;
контроль копіювання ліцензованого програмного
забезпечення;
захист архівної документації організації;
захист персональних даних;
реалізація політики з інформаційної безпеки.
Реалізація політики безпеки здійснюється
на основі оцінки ризику та ретельно
обґрунтовується.
Ризик визначається, як добуток показника
можливих втрат на ймовірність того, що ця
втрата відбудеться. Під втратами розуміють
матеріальні втрати, зв'язані з порушенням
властивостей інформаційного ресурсу:
конфіденційність;
цілісність;
доступності.
Для одержання сертифіката система
менеджменту інформаційної безпеки,
підприємства оцінюється аудитором ISO
17799. Аудитор не може одночасно бути
консультантом.
Аудит по ISO 17799 складається з
аналізу
документації
з
системи
менеджменту інформаційної безпеки, а
також вибіркового контролю в організації,
який дозволяє впевнитися, що реальна
практика відповідає опису системи.
Акредитовану
сертифікацію
можуть
здійснювати лише ті сертифікаційні товариства,
які пройшли акредитацію ISO. Сертифікат,
виданий такою організацією, признається на
міжнародному
рівні.
Суттєве
зростання
процедур сертифікації відповідно очікується у
зв'язку з розвитком електронної комерції та її
послуг.
Одночасно серйозний інтерес до ISO 17799
проявляється і з сторони інших секторів
державної та комерційної діяльності.
Вимоги безпеки ідентифікуються
за допомогою методичної
оцінки ризиків безпеки
Оцінка ризику – це систематичний розгляд:
збитку бізнесу, що може з'явитися у
результаті порушення безпеки, беручи до
уваги
можливі
наслідки:
втрати
конфіденційності,
цілісності
або
доступності інформації й інших активів;
реальної ймовірності такого порушення, що
проявляється у світлі переважаючих загроз
й засобів управління, застосовуваних у цей
час.
Результати цієї оцінки допоможуть направити
й визначити відповідні дії по загальному
управлінню компанією й пріоритети по
управлінню ризиками інформаційної безпеки по
реалізації обраних засобів.
Важливим є - на періодичній основі
виконувати перегляд ризиків безпеки й
реалізованих засобів управління з метою:
 оцінки та введення змін, що стосуються
вимог і пріоритетів бізнесу;
 урахування нових видів загроз й
уразливостей системі та послугам;
 підтвердження, того що засоби управління
залишаються ефективними й відповідними.
Перегляд політики безпеки, варто
виконувати на різних рівнях глибини
роботи компанії, залежно від результатів
попередніх оцінок і рівнів, що підлягали
змінам.
Оцінки ризику спочатку виконують на
високому загальному рівні для того, щоб
визначити пріоритети вкладення ресурсів
в області високого ризику, і потім на
більше детальному рівні, щоб розглянути
специфічні ризики самої системи та її
послуг.
Основні заходи забезпечення
безпеки інформаційних мереж
Забезпечення
безпеки
інформаційних мереж – запобігання
ушкодженню інформаційних активів і
переривання дій, пов'язаних з реалізацією
безперервного
процесу
бізнесу.
Інформаційні ресурси та засоби обробки,
поширення інформації – повинні бути
керовані й фізично захищені.
Заходи управління обробкою й зберіганням
інформації
обробка й маркірування
всіх носіїв інформації
зберігання носіїв
інформації в середовищі,
обмеження доступу
відомість розподілу даних
до мінімуму
підтримка офіційної
реєстрації авторизованих
одержувачів даних
чітке маркування всіх
копій даних
повне введенням та
обробка
перегляд розподільних
списків і списків
авторизованих одержувачів
захист
(записаних у буфер) даних
Організація управління
доступом
Забезпечення управління доступом
розробляється і впроваджується з
метою
реалізації
авторизованого
доступу до інформаційних ресурсів та їх
активів, а також з метою управління
діловими процесами з урахуванням вимог
політики
безпеки
й
авторизації
інформації й користувачів.
Політика безпеки та впровадження заходів
забезпечення управління доступом
Вимоги безпеки
індивідуальних бізнесівдодатків
Відповідне законодавство
й будь-які договірні
зобов'язання
Ідентифікація всієї
інформації
Стандартні профілі
доступу користувача
Політики поширення й
авторизації інформації
Управління правами
доступу
Погодженість між
політиками управління
доступом
Записи аудита повинні включати
Користувальницькі ID
Запис успішних і
відхилених спроб доступу
до системи
Дату й час входу й виходу
Запис успішних і
відхилених даних й інших
спроб доступу до ресурсів
Ідентифікатор термінала
або місце розташування,
якщо можливо
Напрями моніторингу
Всі привілейовані
дії
Авторизований
доступ





користувальницький ID;
дата й час головних подій;
типи подій;
файли, до яких був здійснений
доступ;
використовувані програми/
утиліти.
 використання
супервізора;
 запуск й зупинка системи;
 приєднання/від'єднання
пристрою
введення/виводу.
Спроби
неавторизованого
доступ
 невдалі спроби;
 порушення політики
доступу
мережних шлюзів і
міжмережних екранів;
 попередження від власних
систем
виявлення вторгнення.
облікового запису
Попередження або
відмови системи
консольні
(термінальні)
попередження або повідомлення;
виключення, записані в системні
журнали
реєстрації;
попереджувальні сигнали,
пов'язані з керуванням мережею.
Заходи забезпечення
конфіденційності
Безпека
прикладних
систем
–
запобігання
втраті, модифікації або
неправильному
використанню
користувальницьких даних у прикладних
системах.
Безпека прикладних систем повинна включати:
 використання й розміщення в програмному
забезпеченні системи функцій – додавання й
видалення, з метою виявлення та запобігання
змінам у даних;
 процедури
для
запобігання
впровадженню
програмного
забезпечення
із
спотвореними
командами, або виконання процедур обробки даних
системи після
їх ушкодження
на етапах
попередньої обробки;
 використання коригувальних програм з метою
відновлення інформаційного потоку даних після
відмов системи, а також з метою
забезпечення
подальшої правильної обробки даних.
Аутентифікація
повідомлень
–
метод що
використовується для
виявлення неавторизованих змін або
спотворень
змісту
переданого
інформаційного повідомлення.
Аутентифікація повідомлень може включати:
перевірки вірогідності вихідних даних та отримання
підтвердження на їх прийняття;
одержання та узгодження контрольних підрахунків
на всіх етапах обробки даних системи;
забезпечення достатньої кількості інформації,
щодо
визначення достовірності, закінченості,
точності
і
класифікації
інформації,
що
представлена користувачу або наступній системі
для подальшої обробки;
процедури відповідей системи на зазначені тести з
метою підтвердження вихідних даних та їх виходу;
визначення
обов'язків
усього
персоналу,
залученого в процесі виводу даних.
Управління
криптографічними
заходами
–
процес
захисту
конфіденційності,
доступності
і
цілісності
інформації,
а
також
встановлених мережних послуг на базі
криптографічних
методів
та
алгоритмів
з метою запобігання
несанкціонованому
втручанню
або
змінам.
Політика використання криптографічних методів і засобів
повинна включати наступні напрями:
1. єдиний підхід до використання криптографічних методів і
засобів захисту інформаційних ресурсів та послуг у всій
організації, включаючи загальні принципи;
2. єдиний підхід до управління ключами, включаючи методи, що
мають справу з відновленням зашифрованої інформації у
випадку втрати, компрометації або ушкодження ключів;
3. ролі, обов'язки та відповідальність за:
реалізацію політики;
реалізацію процесу управління ключами;
визначення відповідного рівня криптографічного захисту;
визначення відповідної оцінки ефективності використання
впровадженого рівня криптографічного захисту;
єдині стандарти та норми криптографічного захисту,
прийняті для ефективної реалізації у всій організації (які
рішення використовуються і для яких бізнес-процесів).
Цілісність системного
програмного забезпечення
Управління
цілісністю
системного
програмного забезпечення – організація
захищеного
процесу
функціонування
інформаційної
системи,
пов'язаного
із
збереженням
достовірності
і
повноти
системного програмного забезпечення та
його
захистом
від
несанкціонованих
модифікацій.
Управління
забезпеченням
ризику, щодо
операційних
забезпечити:
операційним
програмним
– процес досягнення мінімуму
руйнування або модифікації
систем,
який
повинен
відновлення бібліотек операційних програм
тільки
авторизованим
користувачем
(бібліотекарем програм);
функціонування операційної системи на базі
тільки зазначеного програмного продукту;
виконання додаткових програм, тільки
після
підтвердження
успішного
тестування з умов, що не були оновлені
відповідні
бібліотеки
джерел
програмного забезпечення;
обов’язкову реєстрацію відновлення
бібліотек операційних програм в
журналі аудита;
зберігання
попередніх
версій
програмного забезпечення.
Управління безпекою даних
Процедури управління
доступом
Видаляння операційної
інформації
Щоразова авторизація
Реєстрування копіювання
та використання
операційної інформації
Управління
доступом
до
програмних бібліотек вводиться з
метою
зменшення ризику, щодо
можливостей спотворення програмних
продуктів системи, а також підтримки
строгого контролю доступу до вихідних
бібліотек програмного забезпечення.
Управління
безперервністю бізнесу
Управління безперервністю бізнесу
– процес протидії несанкціонованим
перериванням дій бізнесу та процес
захисту
процедур критичних бізнес
процесів.
Елементи управління
безперервністю бізнесу
Оцінка ризиків
організації
Формулювання й
документування планів
безперервності бізнесу
Визначення переліку
впливів
Регулярне тестування
та відновлення планів й
існуючих процесів
Забезпечення
страхування бізнес
Включення управління
безперервністю бізнесу
до процесів й
структури організації
Формулювання й
документування
стратегії
безперервності бізнесу
Методи управління безперервністю бізнесу
Високий рівень перевірки
різних сценаріїв бізнес
процесів
Перевірка відновлення на
певних місцях
використання
Моделювання бізнес
процесів
Перевірки засобів
обслуговування й послуг
постачальника
Перевірка технічного
відновлення
інформаційних систем
Детальні репетиції