Лектор: А.С. ЛысякE-mail: accemt@gmail.com

http://inforsec.ru/ По материалам лекций Пермякова Р. А.

Основы информационной безопасности

Источники информации

www.fstec.ru - Федеральная служба по техническому и экспортному контролю

www.securitylab.ru - Security Lab by positive technologies

www.intit.ru - Интернет-Университет Информационных Технологий

http://wikisec.ru/ - энциклопедию по безопасности информации.

http://lukatsky.blogspot.com/http://www.tsarev.biz/http://inforsec.ru/

Вопросы для самостоятельного изучения:http://inforsec.ru/Questions.docx

Лекции:http://inforsec.ru/technical-security/is-lections

Вопросы для зачёта

Защита информации

Основные задачи ЗИОбеспечение следующих

характеристик:Целостность.Доступность.Конфиденциальность.Подотчетность.Аутентичность.Достоверность.

По ГОСТ 133335-4. Методы и средства обеспечения безопасности

ЦелостностьАктуальность и

непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения.

Типы целостности:Статическая (неизменность

ИО)Динамическая (корректное

выполнение сложных транзакций).

ДоступностьСостояние

информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. 

КонфиденциальностьСвойство

информации, свидетельствующее о том, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.

Аутентичность, достоверность, подотчётность

Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Достоверность — свойство соответствия предусмотренному поведению или результату;

Подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;

Принципы защиты информации

Принцип минимальных привилегий

Каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.

Принцип прозрачности СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

Принцип превентивности Последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.

Принцип адекватностиПрименяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.

Принцип системного подхода

Заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.

Принцип непрерывности защиты

Функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.

Принцип адаптивностиСистема защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.

Принцип доказательности Результаты работы

СЗИ не должны зависеть от субъекта.

Используются:Только известные

формальные моделиПрименение систем

аутентификацииСертифицированных

элементовТребование

сертификации СЗИ в целом.

Принцип унификации решений

Разрабатываемые решения должны быть единообразными в схожих ситуациях.

Следствием принципа является использование:Типовых проектовТиповой

классификации ресурсов

Типовых конфигурации.

Жизненный цикл СОИБ

Жизненный цикл СЗИ

Обследование объекта защиты, выявление приоритетной задачи защиты.

Построение политики безопасности.

Выбор элементов системы защиты информации.

Инсталляция.Сопровождение.

Проектиро-вание

Обследование объекта защиты

Определение структуры объекта защиты.

Выявление приоритетной задачи защиты.

Исследование бизнес-структуры объекта защиты

Определение и исследование бизнес-модели объекта защиты.

Определение факторов влияния на бизнес, задание метрик для измеримых факторов.

Определение целей IT-инфраструктуры (!!!).

Определение эталонной модели IT-потоков.

Определение необходимого списка ресурсов общего доступа в зависимости от подразделения.

Исследование бизнес-структуры объекта защиты

Исследование бизнес-структуры объекта защиты

Методология MRPII.

Бизнес-факторы, влияющие на эффективность

Величина внутренних издержек (конфликт стоимости СЗИ).

Качество управления собственным активом (конфликт интересов).

Качество работы коллектива (конфликт с персоналом).

Скорость реакции на внешние факторы.Стратегия и качество ведения самого

бизнеса.Выбранная стратегия управления рисками.

Безопасность

Затраты на безопасность Внедрение новых элементов СЗИ Управление жизненным циклом

ИС Разграничение доступа

Эффективность

Увеличение прибыли Сокращение расходов Накопление знаний Повышение осведомленности

Проблема установления рационального баланса

Исследование физической защиты объекта

Наличие свободного доступа на территорию.

Наличие видеонаблюдения.Наличие записей видеонаблюдения и

сроки их хранения.Наличие свободного доступа к

кабельному хозяйству.Наличие доступа к серверам и рабочим

станциям.

Исследование IT-структуры объекта защиты

Обследование аппаратного обеспечения.

Обследование программного обеспечения:Выявление приложений, работающих с LAN.Выявление приложений, работающих с WAN.

Обследование кабельного хозяйства.Исследование сложившихся IT-потоков.Обследование точек межсетевого

взаимодействия:С дружественными (известными) сетями.С недружественными сетями.

Пример сетевой инфраструктуры

Наглядная схема, показывающая все принципы взаимодействия.

Пример сетевой инфраструктуры

Наглядная схема, показывающая все принципы взаимодействия.

Пример сетевой инфраструктуры

Политика безопасностиформальное изложение

правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).

совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)

набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ.

Уровни разработки политики безопасности

Общая концепция защиты

Структура ИС, классификация

Реализация

методов

Настройка

политик и правил

Новые технологии

Анализ и варианты решения

Административный

Процедурный

Программно-технический

Структура политики безопасности

Утверждённые модели (модель актуальных угроз, модель нарушителя; анализ и управление рисками!).

Перечень защищаемых объектов.Перечень лиц, имеющих доступ к защищаемым

объектам, и границы сетевых зон.Перечень используемого ПО и его

конфигураций.Концепция информационной безопасности.Набор инструкций, корпоративные приказы и

распоряжения.Структура и схема активного сетевого

оборудования.

Организационные аспекты ИБ

Административный уровень защиты информации.

Базовый уровень безопасности.Процедурный уровень защиты

информации.Стандарты и спецификации в области

безопасности информационных технологий.

Критерии оценки безопасности информационных технологий.

Уровни абстракцииЗаконодательныйАдминистративный

(приказы и другие действия руководства организаций, связанных с защищаемыми ИС);

Процедурный (меры безопасности, ориентированные на людей);

Программно-технический.

Концепция информационной безопасности

Цели и задачи СЗИ.Определение объекта

защиты.Подчиненность отдела

защиты информации.Принципы

финансирования.Метрики ИБ и схема

контроля состояния ИС.Создание CSIRT-группы.…

Метрики ИБПринципы:Цели бизнес-процесса

(SLA).S.M.A.R.T.:КонкретнаяИзмеримаяПрактически

применимаяЗначимаяСвоевременнаяKISS: Keep It Simple Stupid

Корпоративные приказыО защите информации.О назначении

ответственного и/или создании группы защиты информации.

Перечень защищаемых объектов (информационных ресурсов).

О классификации информации и/или информационных ресурсов.

О допуске исполнителей к обработке информации.

Смежные документыДоговор с

работниками должен содержать раздел конфиденциальность

Договора с контрагентами должны содержать обязательства о защите информации

Перечень защищаемых объектов(программно-аппаратное обеспечение)

Перечень используемого программного и аппаратного обеспечения.

Конфигурация активного сетевого оборудования.

Конфигурация программного обеспечения, версии и установленные исправления.

Перечень защищаемых объектов(информационные ресурсы)

Перечень типов информационных ресурсов и их пользователей.

Перечень кандидатов на присвоение грифа секретности.

Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.

Инструкцииадминистратора

безопасности;системного

администратора;системного

оператора;пользователя

системы;инструкция по

оперативному восстановлению системы.

Жизненный цикл СОИБ (альтернатива)

Планирование и

организация

Приобретение и

внедрение

Эксплуатация и

сопровождение

Мониторинг и оценка

Вывод изэксплуатаци

и

Планирование и организацияПолучение одобрения у руководстваСоздание рабочей группыОценка бизнес-драйверовСоздание профиля угрозПроведение оценки рисковРазработка архитектурного решения на

различных уровняхОрганизационныйПрикладнойСетевойКомпонентный

Фиксация результатов

Приобретение и внедрениеРаспределение ролей и обязанностей в группеРазработка

Политик безопасностиПроцедурСтандартовБазисовРуководств и инструкций

Выявление критичных данных на всех этапах жизненного цикла информации

Реализация проектов безопасности: Управление рисками, активами, планирование непрерывности бизнеса и д.р.

Внедрение решений по каждому проектуРазработка процедур аудита и мониторингаУстановка по каждому проекту: метрик, целей, SLA.

Эксплуатация и сопровождение

Соблюдение установленных процедур и базисных уровней в каждом из проектов.

Проведение внутреннего и внешнего аудита.

Выполнение задач в каждом из проектов.

Управление SLA по каждому из проектов.

Мониторинг и оценкаАнализ журналов, результатов аудита,

метрик, SLA, по каждому проекту.Оценка достижений целей по каждому

из проектов.Проведение ежеквартальных встреч

рабочей группы.Совершенствование каждого этапа и

возврат на фазу планирования.

Спасибо за внимание!