Адміністративний рівень

Професор В.Горицький

Лекція 15: Складність проблеми інформаційної безпеки.

1. Законодавчий, адміністративний і процедурний рівні ……………….. 2

1.1. Законодавчий рівень ……………………………………. 2

1.2. Адміністративний рівень ……………………………….. 3

1.3. Управління інформаційною безпекою по ISO/IEC 27000 ………………. 6

2. Програмно-технічні заходи …………………………………………………………… 9

В останній лекції підводиться підсумок курсу. Що таке інформаційна безпека. Основні складові інформаційної безпеки. Важливість і складність проблеми інформаційної безпеки.

Мета заходів в області інформаційної безпеки - захистити інтереси суб'єктів інформаційних відносин. Інтереси ці різноманітні, але всі вони концентруються навколо трьох основних аспектів:

· доступність;

· цілісність;

· конфіденційність.

Перший крок при побудові системи ІБ організації - ранжування і деталізація цих аспектів.

Важливість проблематики ІБ пояснюється двома основними причинами:

· цінністю накопичених інформаційних ресурсів;

· критичною залежністю від інформаційних технологій.

Руйнування важливої інформації, крадіжка конфіденційних даних, перерва в роботі через відмови - все це виливається у великі матеріальні втрати, завдає шкоди репутації організації. Проблеми з системами управління чи медичними системами загрожують здоров'ю та життю людей.

Сучасні інформаційні системи складні і, значить, небезпечні вже самі по собі, навіть без урахування активності зловмисників. Постійно виявляються нові вразливі місця в програмному забезпеченні. Доводиться брати до уваги надзвичайно широкий спектр апаратного та програмного забезпечення, численні зв'язки між компонентами.

Змінюються принципи побудови корпоративних ІС. Використовуються численні зовнішні інформаційні сервіси; надаються зовні власні;отримало широке поширення явище, що називається споконвічно російським словом "аутсорсинг", коли частина функцій корпоративної ІС передається зовнішнім організаціям. Розвивається програмування з активними агентами.

Підтвердженням складності проблематики ІБ є паралельний (і досить швидкий) зростання витрат на захисні заходи та кількості порушень ІБ в поєднанні зі зростанням середнього збитку від кожного порушення. (Остання обставина - ще один аргумент на користь важливості ІБ.)

Успіх у галузі інформаційної безпеки може принести тільки комплексний підхід, що поєднує заходи чотирьох рівнів:

· законодавчого;

· адміністративного;

· процедурного;

· програмно-технічного.

Проблема ІБ - не тільки (і не стільки) технічна. Без законодавчої бази, без постійної уваги керівництва організації та виділення необхідних ресурсів, без заходів управління персоналом і фізичного захисту вирішити її неможливо.

Комплексність також ускладнює проблематику ІБ: потрібна взаємодія фахівців з різних областей.

В якості основного інструменту боротьби зі складністю пропонується об'єктно-орієнтований підхід. Інкапсуляція, наслідування, поліморфізм, виділення граней об'єктів, варіювання рівня деталізації - все це універсальні поняття, знання яких необхідно всім фахівцям з інформаційної безпеки.

Законодавчий, адміністративний і процедурний рівні

Законодавчий рівень

Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки:

· необхідно всіляко підкреслювати важливість проблеми ІБ;

· сконцентрувати ресурси на найважливіших напрямах досліджень;

· скоординувати освітню діяльність;

· створити і підтримувати негативне ставлення до порушників ІБ.

 Все це функції законодавчого рівня.

На законодавчому рівні особливої уваги заслуговують правові акти та стандарти.

Українські правові акти у більшості своїй мають обмежувальну спрямованість. Але те, що для Кримінального чи Цивільного кодексу природно, по відношенню до Закону про інформацію, інформатизації і захисту інформації є принциповим недоліком. Самі по собі ліцензування і сертифікація не забезпечують безпеки. До того ж у законах не передбачена відповідальність державних органів за порушення ІБ. Реальність така, що в Росії у справі забезпечення ІБ на допомогу держави розраховувати не доводиться.

На цьому тлі повчальним є знайомство з законодавством США в області ІБ, яке набагато ширший і багатогранніше українського.

Серед стандартів виділяються "Помаранчева книга", рекомендації X.800 і "Критерії оцінки безпеки інформаційних технологій".

"Помаранчева книга" заклала понятійний базис; в ній визначаються найважливіші сервіси безпеки і пропонується метод класифікації інформаційних систем за вимогами безпеки.

Рекомендації X.800 досить глибоко трактують питання захисту мережевих конфігурацій і пропонують розвинений набір сервісів і механізмів безпеки.

Міжнародний стандарт ISO 15408, відомий як " Загальні критерії ", реалізує більш сучасний підхід, в ньому зафіксовано надзвичайно широкий спектр сервісів безпеки (представлених як функціональні вимоги). Його прийняття як національного стандарту важливо не тільки з абстрактних міркувань інтеграції у світове співтовариство; воно, як можна сподіватися, полегшить життя власникам інформаційних систем, істотно розширивши спектр доступних сертифікованих рішень.

Адміністративний рівень

Головне завдання заходів адміністративного рівня - сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан справ.

Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів.

Розробка політики та програми безпеки починається з аналізу ризиків, першим етапом якого, у свою чергу, є ознайомлення з найбільш поширеними погрозами.

Головні загрози - внутрішня складність ІС, ненавмисні помилки штатних користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують інформаційні системи.

На другому місці за розміром збитку стоять крадіжки та підробки.

Реальну небезпеку становлять пожежі та інші аварії підтримуючої інфраструктури.

У загальному числі порушень зростає частка зовнішніх атак, але основний збиток як і раніше наносять "свої".

Для переважної більшості організацій достатньо загального ознайомлення з ризиками; орієнтація на типові, апробовані рішення дозволить забезпечити базовий рівень безпеки при мінімальних інтелектуальних і розумних матеріальних витратах.

Істотну допомогу в розробці політики безпеки може надати британський стандарт BS 7799:1995, що пропонує типовий каркас.

Сьогодні цей стандарт переріс в цілу «індустрію», окремий потужний напрямок в сфері інформаційної безпеки – управління інформаційною безпекою (СУІБ), яке здійснюється у відповідності до серії міжнародних стандартів – ISO 27ххх. На сьогодні це вже більше 20 стандартів, з яких в Україні національним став один ДСТУ ISO 27001 (

 

 

Розробка програми та політики безпеки може служити прикладом використання поняття рівня деталізації. Вони повинні підрозділятися на кілька рівнів,трактують питання різного ступеня специфічності. Важливим елементом програми є розробка і підтримка в актуальному стані карти ІС.

Необхідною умовою для побудови надійною, економічною захисту є розгляд життєвого циклу ІС і синхронізація з них заходів безпеки. Виділяють наступні етапи життєвого циклу:

· ініціація;

· закупівля;

· установка;

· експлуатація;

· виведення з експлуатації.

Безпека неможливо додати до системи; її потрібно закладати з самого початку і підтримувати до кінця.

Заходи процедурного рівня орієнтовані на людей (а не на технічні засоби) і поділяються на такі види:

· управління персоналом;

· фізичний захист;

· підтримання працездатності;

· реагування на порушення режиму безпеки;

· планування відновлювальних робіт.

На цьому рівні застосовні важливі принципи безпеки:

· безперервність захисту в просторі та часі;

· поділ обов'язків;

· мінімізація привілеїв.

Тут також застосовні об'єктний підхід і поняття життєвого циклу. Перший дозволяє розділити контрольовані сутності (територію, апаратуру і т.д.) на відносно незалежні підоб'єкти, розглядаючи їх з різним ступенем деталізації і контролюючи зв'язки між ними.

 

Поняття життєвого циклу корисно застосовувати не тільки до інформаційних систем, але і до співробітників. На етапі ініціації має бути розроблено опис посади з вимогами до кваліфікації і виділяються комп'ютерними привілеями;на етапі установки необхідно провести навчання, в тому числі з питань безпеки, на етапі виведення з експлуатації слід діяти акуратно, не допускаючи нанесення збитків скривдженими співробітниками.

Інформаційна безпека багато в чому залежить від акуратного ведення поточної роботи, яка включає:

· підтримку користувачів;

· підтримку програмного забезпечення;

· конфігураційне управління;

· резервне копіювання;

· управління носіями;

· документування;

· регламентні роботи.

Елементом повсякденній діяльності є відстеження інформації в області ІБ; як мінімум, адміністратор безпеки повинен підписатися на список розсилки за новими прогалин в захисті (і своєчасно знайомитися з вступниками повідомленнями).

Потрібно, однак, заздалегідь готуватися до подій неординарним, тобто до порушень ІБ. Заздалегідь продумана реакція на порушення режиму безпеки переслідує три головні цілі:

· локалізація інциденту і зменшення наноситься шкоди;

· виявлення порушника;

· попередження повторних порушень.

Виявлення порушника - процес складний, але перший і третій пункти можна і потрібно ретельно продумати і відпрацювати.

У разі серйозних аварій необхідно проведення відновлювальних робіт. Процес планування таких робіт можна розділити на наступні етапи:

· виявлення критично важливих функцій організації, встановлення пріоритетів;

· ідентифікація ресурсів, необхідних для виконання критично важливих функцій;

· визначення переліку можливих аварій;

· розробка стратегії відновлювальних робіт;

· підготовка реалізації обраної стратегії;

· перевірка стратегії.

1.3. Управління інформаційною безпекою по ISO/IEC 27000

Серия стандартов по менеджменту информационной безопасности ISO/IEC 27000 разрабатывается техническим комитетом ISO/IEC JTC 1, подкомитетом SC 27.

Система менеджмента информационной безопасности (СМИБ) содержит в себе требования по реализации и совершенствованию систем управления защитой информации и основывается на модели PDCA (Plan-Do-Check-Act):

· создание — идентификация активов, менеджмент рисков;

· внедрение — этап реализации соответствующих мер по управлению безопасностью;

· проверка — мониторинг и анализ;

· действие — поддержание в рабочем состоянии и улучшение.

Исходя из этого видно, что кроме разработки правил управления и обеспечения безопасности, не менее важно обеспечить цикличность всех процессов по управлению безопасностью, чтобы все процедуры последовательно проходили этапы модели PDCA. Именно это говорит о соответствии системы управления стандарту ISO 27001 и свидетельствует о готовности к сертификации СМИБ.

Выполнение требований стандарта I SO/IEC 27001 главным образом позволяет минимизировать риски потерь активов предприятия/организации, а следовательно сократить финансовые потери.

Стандарт ISO/IEC 27001 предназначен для сертификации систем информационной безопасности.

Сертификация системы менеджмента информационной безопасностью (сертификация СМИБ) — это эффективное управление бизнес-процессами предприятия/организации, информационными рисками, а также свидетельство о устойчивой, развивающийся и надежной компании, что в свою очередь дает позитивное отношение бизнес-партнеров.

СМИБ в соответствии со стандартом ISO/IEC 27001 — это часть общей системы менеджмента компании.

Семійство стандартів ISO 27000 містить в собі наступні документи:

• ISO/IEC 27001:2013 Information security management systems. Requirements — Система менеджмента информационной безопасностью. Требования.
• ISO/IEC 27000:2016 Information security management systems. Overview and vocabulary — Система менеджмента информационной безопасности. Обзор и терминология.
• ISO/IEC 27002:2013 Code of practice for information security management — Практические правила по управлению информационной безопасностью.
• ISO/IEC 27003:2010 Information Security Management Systems Implementation Guidance — Руководство по внедрению системы менеджмента информационной безопасностью.
• ISO/IEC 27004:2009 Information security management. Measurement — Измерение эффективности системы менеджмента информационной безопасностью.
• ISO/IEC 27005:2011 Information security risk management — Управление рисками информационной безопасности.
• ISO/IEC 27006:2015 Requirements for bodies providing audit and certification of information security management systems — Требования к органам аудита и сертификации систем менеджмента информационной безопасностью.
• ISO/IEC 27007:2011 Guidelines for Information Security Management Systems auditing (FCD) — Руководство для аудита СМИБ.
• ISO/IEC 27008:2011 Guidance for auditors on ISMS controls (DRAFT) — Руководство по аудиту механизмов контроля СМИБ.
• ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 — Руководство по управлению информационной безопасностью для телекоммуникаций на основе ISO/IEC 27002.
• ISO/IEC 27799:2008 Information security management in health using ISO/IEC 27002 — Руководство по управлению информационной безопасностью для организаций здравоохранения на основе ISO/IEC 27002.