Методика построения систем защиты информации Microsoft

date image 2018-02-13
views image 814
Поделись с друзьями: 
12345

Методика построения систем защиты информации LifecycleSecurity.

Модель многоуровневой защиты!

LifecycleSecurity – это обобщенная схема построения комплексной защиты компьютерной сети предприятия. Выполнение описываемого в ней набора процедур позволяет системно решать задачи, связанные с защитой информации, и дает возможность оценить эффект от затраченных средств и ресурсов. С этой точки зрения, идеология LifecycleSecurity может быть противопоставлена тактике “точечных решений”, заключающейся в том, что все усилия сосредотачиваются на внедрении отдельных частных решений (например, межсетевых экранов или систем аутентификации пользователей по смарт-картам).

LifecycleSecurity включает в себя 7 основных компонентов, которые можно рассматривать как этапы построения системы защиты
Назначение каждого компонента это – постоянно улучшать стойкость системы к атакам любого рода (внутренние или внешние).

- Политики безопасности, стандарты, процедуры и метрики. Этот компонент определяет рамки, в которых осуществляются мероприятия по обеспечению безопасности информации, и задает критерии оценки полученных результатов. Метрика определяет, в чем и как измеряем защищенность системы, и позволяет соотнести сделанные затраты и полученный эффект.

- Анализ рисков. Этот этап является отправной точкой для установления и поддержания эффективного управления системой защиты. Проведение анализа рисков позволяет подробно описать состав и структуру информационной системы (если по каким-то причинам это не было сделано ранее), расположить имеющиеся ресурсы по приоритетам, основываясь на степени их важности для нормальной работы предприятия, оценить угрозы и идентифицировать уязвимости системы.

- Стратегический план построения системы защиты. Результаты анализа рисков используются как основа для разработки стратегического плана построения системы защиты. Наличие подобного плана помогает распределить по приоритетам бюджеты и ресурсы, и в последующем осуществить выбор продуктов и разработать стратегию их внедрения.

-Выбор и внедрение решений. Хорошо структурированные критерии выбора решений в сфере защиты информации и наличие программы внедрения уменьшает вероятность приобретения продуктов, становящихся «мертвым грузом», мешающим развитию информационной системы предприятия. Кроме непосредственно выбора решений, также должно учитываться качество предоставляемых поставщиками сервисных и обучающих услуг. Кроме того, необходимо четко определить роль внедряемого решения в выполнении разработанных планов и достижении поставленных целей в сфере безопасности.

-Обучение персонала. Знания в области компьютерной безопасности и технические тренинги необходимы для построения и обслуживания безопасной вычислительной среды. Усилия, затраченные на обучение персонала, значительно повышают шансы на успех мероприятий по защите сети.

-Мониторинг защиты. Он помогает обнаруживать аномалии или вторжения в ваши компьютеры и сети и является средством контроля над системой защиты, чтобы гарантировать эффективность программ защиты информации.

- Разработка методов реагирования в случае инцидентов и восстановление. Без наличия заранее разработанных и «отрепетированных» процедур реагирования на инциденты в сфере безопасности невозможно гарантировать, что в случае обнаружения атаки ей будут противопоставлены эффективные меры защиты, и работоспособность системы будет быстро восстановлена.
Все компоненты программы взаимосвязаны и предполагается, что процесс совершенствования системы защиты идет непрерывно.
Остановимся более подробно на этапе анализа рисков. По мнению разработчиков модели LifecycleSecurity, он должен проводиться в следующих случаях:
•до и после обновления или существенных изменений в структуре системы;
•до и после перехода на новые технологии;
•до и после подключения к новым сетям (подключения локальной сети филиала к сети головного офиса);
•до и после подключения к глобальным сетям (в первую очередь, Интернет);
•до и после изменений в порядке ведения бизнеса (например, при открытии электронного магазина);
•периодически, для проверки эффективности системы защиты.

- Ключевые моменты этапа анализа рисков:
1) Подробное документирование компьютерной системы предприятия. При этом особое внимание необходимо уделять критически важным приложениям.
2) Определение степени зависимости организации от нормального функционирования фрагментов компьютерной сети, конкретных узлов, от безопасности хранимых и обрабатываемых данных.
3) Определение уязвимых мест компьютерной системы.
4) Определение угроз, которые могут быть реализованы в отношении выявленных уязвимых мест.
5) Определение и оценка всех рисков, связанных с эксплуатацией компьютерной системы.

Особо хочется обратить внимание на связь анализа рисков с другими компонентами модели. С одной стороны, наличие метрики защищенности и определение значений, характеризующих состояние системы до и после мероприятий по защите информации, накладывает определенные требования на процедуру анализа рисков. Ведь на базе полученных результатов и оценивается состояние системы. С другой стороны, они дают те начальные условия, исходя из которых, разрабатывается план построения системы защиты сети. И результаты анализа рисков должны быть сформулированы в виде, пригодном для выполнения как первой, так и второй функции.

 
















Методика построения систем защиты информации Microsoft.

Управление рисками рассматривается как одна из составляющих общей программы управления, предназначенной для руководства компаний и позволяющей контролировать ведение бизнеса и принимать обоснованные решения

Процесс управления рисками безопасности, предлагаемый Майкрософт, включает следующие четыре этапа:

[БОЛЕЕ ПОДРОБНО СМ. НИЖЕ]

  1. Оценка рисков.
    • Планирование сбора данных. Обсуждение основных условий успешной реализации и подготовка рекомендаций.
    • Сбор данных о рисках. Описание процесса сбора и анализа данных.
    • Приоритизация рисков. Подробное описание шагов по качественной и количественной оценке рисков.
  2. Поддержка принятия решений.
    • Определение функциональных требований. Определение функциональных требований для снижения рисков.
    • Выбор возможных решений для контроля. Описание подхода к выбору решений по нейтрализации риска.
    • Экспертиза решения. Проверка предложенных элементов контроля на соответствие функциональным требованиям.
    • Оценка снижения риска. Оценка снижения подверженности воздействию или вероятности рисков.
    • Оценка стоимости решения. Оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска.
    • Выбор стратегии нейтрализации риска. Определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.
  3. Реализация контроля. Развертывание и использование решений для контроля, снижающих риск для организации.
    • Поиск целостного подхода. Включение персонала, процессов и технологий в решение по нейтрализации риска.
    • Организация по принципу многоуровневой защиты. Упорядочение решений по нейтрализации риска в рамках предприятия.
  4. Оценка эффективности программы. Анализ эффективности процесса управления рисками и проверка того, обеспечивают ли элементы контроля надлежащий уровень безопасности.
    • Разработка системы показателей рисков. Оценка уровня и изменения риска.
    • Оценка эффективности программы. Оценка программы управления рисками для выявления возможностей усовершенствования.

Особо отмечается, что термины управление рисками и оценка рисков не являются взаимозаменяемыми. Под управлением рисками понимаются общие мероприятия по снижению риска в рамках организации до приемлемого уровня. Управление рисками представляет собой непрерывный процесс, но производимые оценки чаще всего делаются для годичного интервала. Под оценкой рисков понимается процесс выявления и приоритизации рисков для бизнеса, являющийся составной частью управления рисками.

Перед внедрением в организации процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт, необходимо проверить уровень зрелости организации с точки зрения управления рисками безопасности.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12345

double arrow
Сейчас читают про:
article image
Угловая скорость и угловое ускорение
article image
Система охраны труда и безопасности в медицинских организациях
article image
Опасные и вредные факторы среды обитания человека
article image
ФЕВРАЛЬСКАЯ РЕВОЛЮЦИЯ
article image
Основные методологические подходы в педагогике
article image
Типы организационных структур
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Стратегия есть искусство использовать время и пространство. Второе меня волнует меньше, чем первое. Пространство мы можем вернуть, потерянное время – никогда. © Наполеон ==> читать все изречения...
like icon 7523
like icon 7242
Понравился сайт? Поделись им с друзьями: