Научная статья на тему 'Построение системы информационной безопасности предприятия'

Построение системы информационной безопасности предприятия Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
4935
506
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИДЕНТИФИКАЦИЯ УЯЗВИМОСТЕЙ / ОЦЕНКА РИСКОВ / МОДЕЛЬ ЗЛОУМЫШЛЕННИКА / МОДЕЛЬ УГРОЗ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Селищев В. А., Чечуга О. В., Наседкин М. Н.

Рассматриваются следующие этапы построения системы информационной безопасности предприятия: определение целей создания информационной безопасности, анализ источников проблем, идентификация уязвимостей, оценка рисков, принятие решения.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Построение системы информационной безопасности предприятия»

Список литера туры!

1. Наймарк А. Микрофототехника - предмет и практика. М. : Мир, 1974. 75 с.

2. Талалаев А.К. Диалоги о репрографии. Тула : Пересвет, 2001. 109 с.

A. Talalaev, O. Chechuga, R. Cherevaty

Maintenance of availability of the information in systems of modern document circulation

In given clause the analysis of advantages and lacks of storage of the documentation by means of micrographic archives is lead. Questions of preservation of quality of the scanned information, construction of search system, and as an opportunity of use of composit technologies are considered.

Получено 19.01.09

УДК 621.396.2

В.А. Селшцев, канд. техн. наук, доц., (4872) 35-24-93, tppzi @uic .tula.ru (Россия, Тула, ТулГУ),

О.В. Чечуга, канд. техн. наук, доц., (4872) 35-24-93, tppzi @uic .tula.ru (Россия, Тула, ТулГУ),

М.Н. Наседкин, канд. техн. наук, доц., (4872) 35-24-93, tppzi @uic .tula.ru (Россия, Тула, ТулГУ)

ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Рассматриваются следующие этапы построения системы информационной безопасности предприятия: определение целей создания информационной безопасности, анализ источников проблем, идентификация уязвимостей, оценка рисков, принятие решения.

Ключевые слова: информационная безопасность, идентификация уязвимостей, оценка рисков, модель злоумышленника, модельугроо.

Определение целей создания информационной безопасности

Специалисты в области защиты информации в своей практике сталкиваются с решением большого количества вопросов, самым первым из которых является определение цели. Можно попытаться при помощи руководства и работников организации понять, что же на самом деле нужно защищать и от кого. С этого момента начинается специфическая деятельность на стыке технологий и основного бизнеса, которая состоит в определении того направления деятельности и (если возможно) целевого состояния обеспечения информационной безопасности (ИБ), которое будет сформулировано одновременно и в бизнес-терминах, и в терминах ИБ. В

152

этом аспекте процесс анализа рисков является хорошо зарекомендовавшим себя инструментом, с помощью которого можно определить цели построения ИБ, оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации.

Цель построения ИБ заключается в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности.

Анализ источников проблем

После определения целей создания ИБ следует проанализировать проблемы, которые мешают приблизиться к целевому состоянию. На этом уровне процесс анаиза рисков спускается до информационной инфраструктуры и традиционных понятий ИБ -злоумышленников, угроз и уязвимостей

Пострение модели злоумышленника

В процессе анаиза рисков необходимо оценить мотивированность злоумышленников при реализации угроз. При этом под злоумышленником подразумевается не абстрактный внешний хакер или инсайдер, а сторона, заинтересованна в получении выгоды путем нарушения безопасности актива.

Первоначаьную информацию о модели злоумышленника, как и в случае с выбором изначаьных направлений деятельности по обеспечению ИБ, целесообрано получить у высшего менеджмента, представляющего себе положение организации на рынке, имеющего сведения о конкурентах и о том, каких методов воздействия можно от них ожидать. Сведения, необходимые для разработки модели злоумышленника, можно получить и из специализированных исследований по нарушениям в области компьютерной безопасности в той сфере бизнеса, для которой проводится анаиз рисков. Правильно проработана модель злоумышленника дополняет цели обеспечения ИБ, определенные при оценке активов организации.

Пост р ение модели угрол

Раработка модели угроз и идентификация уязвимостей нерарывно связаны с инвентаризацией окружения информационных активов организации. Сама собой информация не хранится и не обрабатывается. Доступ к ней обеспечивается при помощи информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Важно понять, как информационна инфраструктура и информационные активы организации связаны между собой. С позиции управления ИБ значимость информационной инфраструктуры может быть установлена только после определения связи между информационными активами и инфраструктурой. В том случае, если процессы поддержания и эксплуатации информационной инфраструктуры в организации регламентированы и прозрачны, сбор информации,

необходимый для идентификации угроз и оценки уязвимостей, значительно упрощается.

В модель угроз следует включить все угрозы, выявленные по результатам смежных процессов функционирования ИБ, таких как, управление уязвимостями и инцидентами. Нужно помнить, что угрозы необходимо будет ранжировать друг относительно друга по уровню вероятности их реализации. Для этого в процессе разработки модели угроз для каждой угрозы необходимо укаать наиболее значимые факторы, существование которых оказывает влияние на ее реализацию.

На этапе построения модели угроз следует обратить внимание на рекомендации имеющих большой опыт работы в этой области организаций, например британского МВД, НИЦ «Охрана» и т.д.

Приведем классификацию угроз в рекомендациях британского

МВД:

Класс 1 - низкий риск. Для объектов, на которых вероятный преступник мало знаком с охранными системами. В частности, такое предположение характерно для объектов с незначительной стоимостью хранящегося там товара, без ценных в глаах преступников товаров, и не несущие угрозы безопасности окружающих людей.

Класс 2 - риск средний низкий. Для объектов, на которых вероятный преступник предполагается с некоторым знанием охранных систем, но лишь с обычными инструментами широкого применения. Такое предположение характерно для объектов со средним объемом ценностей.

Класс 3 - риск средний высокий. Для объектов со значительным объемом ценностей, наркотическими веществами или объектов, представляющих угрозу для окружающих людей. Предполагаемый преступник оснащен всеми необходимыми инструментами и портативным электронным оборудованием.

Класс 4 - риск высокий. Для объектов с особо высоким объемом ценностей или с особо высоким уровнем риска для окружающего населения. Предполагаемый преступник считается тщательно подготовившимся, имеющим знания об охранной системе на этом объекте и имеющим обра-цы оборудования, аналогичного установленному на объекте.

Аналогом британских рекомендаций в нашей стране являются ведомственные Р (рекомендации) и РД (руководящие документы), выпускаемые НИЦ «Охрана» и другими организациями.

РД 78. 36.003-2002 «Технические средства охраны, требования и нормы проектирования по защите объектов от преступных посягательств» водит аналогичную классификацию объектов на 4 группы - А1 (особо важные объекты высокой ценности или высокой опасности), А2 (собственно наиболее опасные помещения на этих объектах), Б1 (объекты розничной торговли и т. д.), Б2 (объекты категории Б, содержащие алкоголь-

ную продукцию или наиболее компактные легко сбываемые товары - электронику, товары повседневного спроса).

Р 78.36.002-99 «Выбор и применение телевизионных систем видеоконтроля» добавляет специфики. В частности, в нем вводится собственная классификация объектов на три группы: А (особо важные), Б (существенный ущерб) и В (прочие).

Уже несколько лет мы жтем по новому закону о техрегулирова-нии, согласно которому ГОСТы, как и любые стандарты предприятий или общественных организаций, сами по себе не являются обязательными. Обязательными являются лишь техрегламенты, которые принимаются только по основным вопросам безопасности. Например, экологической безопасности, безопасности дорожного движения и т. д. В области проти-вокриминальной защиты также предполагается технический регламент, в первую очередь описывающий классификацию объектов в зависимости от предполагаемых угроз, а затем уже рекомендующий разные уровни защиты в зависимости от уровня угрозы. Основные положения:

«В зависимости от степени потенциальной опасности, а также возможных последствий в случае реализации криминальных угроз объекты, их помещения и территории подразделяются натри основные группы:

- критически важные и потенциально опасные объекты;

- социально значимые объекты;

- объекты сосредоточения материальных ценностей.

Кроме того, в зависимости от вида и размеров ущерба, который может быть нанесен объекту, находящимся на нём людям и имуществу в случае реализации криминальных угроз все объекты подразделяются на следующие классы:

- Класс I (высокая значимость) - ущерб в результате реализации криминальных угроз приобретет федеральный или межрегиональный масштаб;

- Класс II (средня значимость) - ущерб в результате реализации криминальных угроз приобретет региональный или межмуниципальный масштаб;

- Класс III (низкая значимость) - ущерб в результате реализации криминальных угроз приобретет му ни ципальный или локальный масштаб. В зависимости от класса объекта и вида находящегося (хранящегося) на нем имущества устанавливают классы защиты объектов».

От результатов актуализации модели угроз зависят состав и стоимость работ по защите информации. Модель угроз создается не исхода из своего опыта и здравого смысла, а на основании базовой модели, утвержденной ФСТЭК и по методике того же ведомства. От того, типовая у вас система или специальная, какие требования вы к ней выдвигаете, зависит, какие конкретно средства защиты придется использовать для обеспечения безопасности.

Идентификация уязвимостей

Соответственно после разработки модели угроз необходимо идентифицировать уязвимости в окружении активов. Иденификация и оценка уязвимостей может выполняться в рамках еще одного процесса управления ИБ -аудита. Для проведения аудита ИБ необходимо разработать критерии, которые могут быть разработаны на основании модели угроз и модели злоумышленника.

По результатам разработки модели угроз, модели злоумышленника и идентификации уязвимостей можно говорить о том, что определены причині, влияющие на достижение целевого состояния информационной безопасности организации.

Оценка рисков

Полученные результаты необходимо оценить, агрегировать, классифицировать и отобразить. Так как ущерб определяется на этапе идентификации и оценки активов, необходимо оценить вероятность событий риска. Как и в случае с оценкой активов, оцежу вероятности можно получить на основании статистики по инцидентам, причины которых совпадают с рассматриваемыми угрозами ИБ, либо методом прогнозирования - на основании взвешивания факторов, соответствующих разработанной модели угроз.

Хорошей практикой для оценки вероятности станет классификация уязвимостей по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп злоумышленников, от которых исходят угрозы.

В процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Величин (уровень) риска следует определить для всех идентифицированных и соответствующих друг другу наборов «актив-угроза». При этом величина ущерба и вероятности не обязательно должны быть выражены в абсолютных денежных показателях и процентах; более того, как правило, представить результаты в такой форме не удается. Причина этого -используемые методы анализа и оценки рисков информационной безопасности: сценарный анализ и прогнозирование.

Очень важный вопрос - политика управления рисками организации. Политика задает правила обработки рисков. Например, в политике может быть сказано, что риски потери репутации следует снижать в первую очередь, а снижение рисков средней значимости, не подтвержденных инци-дєнами ИБ, откладывается на конец очереди. Политику управления рис-

ками может определять подразделение, занимающееся корпоративным управлением рисками.

Политика обработки рисков может пояснять вопросы страхования рисков и реструктуризации деятельности в том случае, если потенциальные риски превышают приемлемый уровень. Если политика не определена, то последовательность работ по снижению рисков должна базироваться на принципе максимальной эффективности, но определять ее все равно должно высшее руководство.

Принятие решения

На основе полученных результатов следует разработать простой и наглядный отчет об анализе рисков, основной целью которого будет презентация собранной информации о значимости и структуре рисков ИБ в организации. Отчет следует представить высшему руководству организации.

Распространенная ошибка состоит в том, что вместо выводов высшему руководству представляют промежуточные результаты. Несомненно, все выводы должны быть подтверждены аргументами к отчету необходимо приложить все промежуточные выкладки.

Для наглядности отчета риски необходимо классифицировать в привычных для организации бизнес-терминах, сходные риски -агрегировать. В целом классификация рисков может быть многогранной. С одной стороны, речь идет о рисках информационной безопасности, с другой - о рисках ущерба для репутации или потери клиента. Классифицированные риски необходимо ранжировать по вероятности дх возникновения и по значимости для организации.

Отчет об анализе рисков отражает следующие сведения:

- наиболее проблемные области обеспечения ИБ в организации;

- влияние угроз ИБ на общую структуру рисков организации;

- первоочередные направления деятельности отдела ИБ по повышению эффективности обеспечения ИБ.

На основании отчета об анализе рисков руководитель отдела ИБ может разработать план работы отдела на среднесрочный период и заложить бюджет исхода из характера мероприятий, необходимых для снижения рисков.

В процессе создания систем информационной безопасности предприятия особое внимание необходимо уделять автоматизированным системам обработки персональных данных согласно Федеральному закон Российской Федерации №2 152-ФЗ «О персональных данных» (от 27 июля 2006 года), в котором определены общие требования безопасности. Защитные механизмы в значительной степени уточнены в постановлении Правительства 2007 г. № 781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к

защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК и ФСБ.

Необходимо подчеркнуть, что требований этих достаточно много, и они весьма жесткие. Так, для информационных систем персональных данных (ИСПД) класса 2 они в основном (но не полностью) повторяют требования по предотвращению несанкционированного доступа для многопользовательских автоматизированных систем класса 1Г, а для ИСПД класса 1 - для АС класса 1В. Выдвигаются и дополнительные требования, которых в руководящих документах ФСТЭК ранее не было, например по уровню защищенности межсетевых экранов, функциональности систем выявления вторжений, противодействия программно-математическим воздействиям и др.

Конкретные механизмы защиты и их функционал в рамках данной статьи рассмотреть не представляется возможным, но необходимо отметить, что обладатели информационных систем класса 1 и 2 должны будут впоследствии провести валидацию выполнения требований путем аттестации или сертификации ИСПД, так что уклонение от реализации каких-либо из предъявляемых требований будет чревато проблемами при проведении аттестационных испытаний.

Важно понимать, что в сиу изложенных причин защищать придется всю информационную систему предприятия или, в лучшем случае, сегменты, разграниченные сертифицированными межсетевыми экранами. Строить подсистему безопасности необходимо не с нуля, а интегрируя в существующую систему дополнительные средства защиты, что существенно усложняет задачу как проектирования, так и внедрения. Для функционирования защитных механизмов могут потребоваться дополнительные вычислительные мощности, более высокая пропускная способность сетевого оборудования и каналов передачи данных, мониторинг и обслуживание новых подсистем и средств.

Заключение

Создание систем информационной безопасности предприятия -длительная, затратная и сложная работа, требующая специальных знаний и навыков, материальных средств и подготовленных специалистов. В эти условиях неизбежно возрастает значение аутсорсинга информационной системы как при проектировании и вводе в эксплуатацию средств и систем защиты информации, так и на этапе ее сопровождения, в том числе с использованием современных средств, например центров управления безопасностью ^ОС).

Анализ рисков, управление инцидентами и аудит ИБ неразрывно связаны друг с другом, поскольку связаны входы и выходы выше- перечисленных процессов. Разработку и внедрение процесса управления

рисками необходимо вести с оглядкой на управление инцидентами и аудитами ИБ.

Установленный процесс анализа рисков -это обязательное требование стандарта СТО-БР ИББС-1.0-2006 по обеспечению информационной безопасности в банковской сфере.

Постановка процесса анаиза рисков необходима организации, если в ней принято решение о прохождении сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Установление режима защиты коммерческой тайны и персонаьных данных нерарывно связано с анаизом рисков, так как все перечисленные процессы используют сходные методы идентификации и оценки активов, раработки модели нарушителя и модели угроз.

Список литературы

1. Суханов А. Анализ рисков в управлении информационной безопасностью // Байт. 2008. № 11. С. 25-29.

2. Омельянчук А. Анализ угроз при проектировании систем технических средств охраны // Технологии защиты. 2008. №3. С. 37-41.

3. Емельянников М. Информационные системы персонаьных данных //Журнал «Cio». 2008. № 10. С. 17-20.

4. Раувайкин В. Что делать с персона л ными данными? // Инсайд. 2008. № 3.С. 45-49.

5. Эмм М., Зосимовская Н. Стандарт PCI DSS: основные несоответствия и как с ними бороться // Плас. 2008. № 1. С. 32-37.

V. Selischev, O. Chechuga, M. Nasedkin

Building of the system information safety of the enterprise

They Are Considered following stages of the building of the system to information safety of the enterprise: determination integer creation to information safety, analysis of the sources of the problems, identification of the criticality, estimation risk, decision making.

Получено 19.01.09

УДК 778.1

Р.С. Череватый, канд. техн. наук, доц., (4872) 35-24-93, tppzi@uic.tula.ru (Россия, Тула, ТулГУ),

О.В. Чечуга, канд. техн. наук, доц., (4872) 35-24-93, tppzi@uic.tula.ru (Россия, Тула, ТулГУ),

Е.И. Струкова, канд. техн. наук, доц., (4872) 35-24-93, tppzi@uic.tula.ru (Россия, Тула, ТулГУ)

i Надоели баннеры? Вы всегда можете отключить рекламу.