Скачать 2.64 Mb.
|
Проверка состояния физической безопасности информационной инфраструктуры, как правило, включает в себя: проверку того, чтобы наиболее важные объекты информационной инфраструктуры и системы защиты информации располагались в зонах (частях зданий, помещениях), имеющих пропускной режим, а также оборудованных камерами видеонаблюдения и другими средствами контроля (электронными замками, средствами биометрической идентификации и т.п.); проверку наличия и работоспособности технических средств, обеспечивающих устойчивую работу компьютерного и телекоммуникационного оборудования: источников бесперебойного энергоснабжения, кондиционеров (там, где это необходимо) и т.п.; проверку наличия и работоспособности средств пожарной сигнализации и пожаротушения; проверку распределения ответственности за физическое (техническое) состояние объектов информационной инфраструктуры предприятия. Инструментальная проверка защищенности является в основном технической задачей и осуществляется с использованием специализированного программного обеспечения, которое подключается к информационной системе предприятия и автоматически производит сбор всевозможных сведений: версий установленных операционных систем и программного обеспечения, данных об используемых сетевых протоколах, номеров открытых портов, данных о версиях установленных обновлений и т.п. К другим направлениям инструментального и технического контроля также относятся такие работы, как: непосредственное изучение работы отдельных серверов, рабочих станций и сетевого оборудования соответствующими техническими специалистами, которые могут проверить различные аспекты их функционирования (процедуры загрузки, выполняемые процессы, содержимое конфигурационных файлов и т.п.); сбор и последующий анализ данных о том, как выполняются процедуры резервного копирования, а также другие необходимые технические процедуры, предусмотренные регламентом; проверка качества программного обеспечения, самостоятельно разработанного предприятием (в том числе и путем анализа исходных кодов и проектной документации к нему), выявление ошибок, которые могут стать причиной сбоев, несанкционированных проникновений, разрушения и утечки информации и других инцидентов; изучение работы сети (сетевого трафика, загрузки различных сегментов сети и т.п.); проведение с целью тестирования пробных, контролируемых "нарушений" информационной безопасности (по возможности без нанесения реального вреда и во внерабочее время), таких как атаки типа "отказ в обслуживании" (DoS) или проникновение в определенные базы данных и на определенные серверы, а также использование различных известных уязвимостей с целью выяснения конкретных параметров безопасности, устойчивости и надежности проверяемой информационной системы. Также в процессе аудита может быть проверено ведение журналов (лог-файлов) информационных систем и применение других инструментов сбора и анализа информации, необходимых для обеспечения текущего контроля за соблюдением требований информационной безопасности и своевременного реагирования на инциденты (средств обнаружения вторжений, анализаторов работы локальных сетей и т.п.). Информация, накопленная в лог-файлах за время использования информационных систем, является одним из важных объектов анализа в процессе аудита. На основе этих данных могут быть сделаны оценки и выводы относительно соблюдения установленных правил использования информационных систем, эффективности используемых средств защиты информации, поведения пользователей, а также о потенциально возможных проблемах. Анализ всей информации, полученной в процессе ознакомления с документацией, контроля фактического выполнения всех установленных требований, получения сведений от сотрудников, изучения работы аппаратных средств и программного обеспечения, проверки физической защищенности и проведения инструментальных проверок должен быть произведен с учетом выявленных рисков и потребностей предприятия в информационной безопасности. В частности, такой анализ предполагает выявление конкретных особенностей программных и аппаратных средств, бизнес-процедур, организационных правил и распределений функциональных обязанностей и полномочий, которые могут негативно повлиять на обеспечение информационной безопасности, а также описание причинно-следственных взаимосвязей между выявленными особенностями функционирования предприятия и увеличением рисков нарушения информационной безопасности. Все исследованные обстоятельства, выявленные недостатки и особенности должны быть обобщены, и таким образом должно быть сформировано общее представление о состоянии информационной безопасности на предприятии, отражены основные достоинства и недостатки действующей системы защиты информационных ресурсов, а также обозначены основные приоритеты и направления ее дальнейшего развития и совершенствования. Результаты анализа могут быть представлены как в виде обобщенных кратких формулировок, характеризующих защищенность информации предприятия (адресованных руководству и собственникам предприятия), так и в виде перечня конкретных замечаний и предложений, относящихся к отдельным участкам работы (адресованных руководителю департамента информационной безопасности, руководителю службы безопасности, функциональным директорам и руководителям структурных подразделений предприятия). Окончательным результатом анализа и обобщения данных, полученных в процессе аудита, является отчет (заключение), который может включать в себя: оценку состояния (уровня) защищенности информационных ресурсов и информационных систем; заключения о практическом выполнении требований, предусмотренных политикой информационной безопасности предприятия и иными требованиями и документами; заключение о степени соответствия фактического уровня информационной безопасности требованиям определенных стандартов и нормативных документов; предложения по усовершенствованию политики информационной безопасности и реализации дополнительных практических мероприятий в этой сфере (как организационных, так и технических), а также о тех мерах, которые необходимо реализовать для прохождения сертификации на соответствие определенному стандарту (если по результатам проведенного аудита сделан вывод о том, что текущий уровень защищенности информационных ресурсов предприятия не соответствует таким требованиям); заключение о степени соответствия политики безопасности предприятия и всего комплекса мер по защите информации требованиям действующего законодательства и ведомственных нормативных актов; оценки экономической эффективности вложений в те или иные средства защиты информации, а также организационные мероприятия (отдачи от них); количественная (денежная) оценка возможных потерь от тех или иных нарушений, которые могут произойти при существующем уровне обеспечения информационной безопасности, а также расчет необходимых вложений, которые необходимо осуществить для достижения определенного уровня защищенности. Также по результатам аудита могут быть сформулированы дополнительные рекомендации, касающиеся: пересмотра отдельных бизнес-процессов и процедур; совершенствования работы с персоналом предприятия; внедрения и использования современных технических (программных и аппаратных) средств обработки и защиты информации; организации работы по защите информации; выбора приоритетов в процессе устранения существующих недостатков. 12. Лекция: Программные средства, поддерживающие управление информационной безопасностью на предприятии Использование программных средств для поддержки управления безопасностью Деятельность по обеспечению информационной безопасности на предприятии может поддерживаться программными продуктами различных типов. В большинстве случаев программная поддержка реализации политики информационной безопасности обеспечивается функциями и программными модулями, которые встроены непосредственно в программное обеспечение, создающее условия для хранения, обработки и передачи информации (операционные системы, системы управления базами данных, системы электронной почты, MRP/ERP-системы). Практически все современные программные продукты имеют внутренние средства, позволяющие четко определить права тех или иных пользователей, разграничить доступ к информации, распределить использование системных ресурсов и ввести другие ограничения, которые в целом должны обеспечить соблюдение установленных требований и реализацию политики информационной безопасности. Применение других инструментальных средств, как правило, не является обязательным, но во многих случаях позволяет повысить эффективность и качество многих работ, связанных с оценкой рисков, разработкой организационной документации, контролем за выполнением установленных требований и выполнением многих других важных функций. Таким образом, выделяется отдельный класс специальных программных продуктов, предназначенных исключительно для поддержания процессов разработки политик безопасности и управления информационной безопасностью на организационном уровне. Основными функциями таких программ являются справочно-информационная поддержка, помощь при обработке управленческой информации, оценке рисков и подготовке необходимых документов. В частности, для этих целей может использоваться ПО следующих основных видов: сборники (интерактивные электронные справочники), которые содержат типовые документы (шаблоны документов), используемые для управления информационной безопасностью, описания отдельных процессов и процедур, связанных с обеспечением информационной безопасности, должностных обязанностей и функций сотрудников предприятия; системы, предназначенные для накопления и обработки сведений о рисках и проведения сводных оценочных расчетов показателей риска; ПО, интегрированное в информационную систему предприятия и позволяющее автоматически контролировать соблюдение установленных политик безопасности, а также помогающее формировать заключения о текущем состоянии информационной безопасности (в т.ч. путем анализа действий пользователей в информационной системе, а также путем анализа журналов операционных систем, программ, средств защиты и сетевого оборудования); ПО, осуществляющее поддержку процессов аудита информационной безопасности. Также с управлением информационной безопасностью связаны программные продукты, которые: автоматически (централизовано и унифицировано) управляют учетными записями и правами доступа одновременно в нескольких элементах информационной инфраструктуры (базах данных, приложениях и т.п.); производят автоматическое сканирование отдельных элементов информационной инфраструктуры (операционных систем, программ, средств защиты информации) и их проверку на устойчивость и наличие уязвимостей; производят автоматическое обновление программных продуктов с целью устранения выявленных уязвимостей (установку т.н. "патчей", "заплаток"). Программная поддержка работы с политикой безопасности Сборники (справочники), которые содержат типовые документы, связанные с обеспечением информационной безопасности, могут включать в себя: образцы политик безопасности разных уровней для предприятий, функционирующих в различных сферах деятельности и предъявляющих различные требования к уровню защищенности информации; образцы (шаблоны, бланки) документов, используемых в процессах защиты информации (обязательств о неразглашении информации, отчетов о состоянии информационной безопасности и т.п.); образцы разделов различных договоров (контрактов с различными контрагентами или трудовых договоров с сотрудниками предприятия), содержащие требования к обеспечению информационной безопасности. Такого рода электронные справочники могут выпускаться как на основе оригинальных методических разработок, так и на основе общепризнанных стандартов (таких как ISO 17799) с целью содействовать прохождению сертификации на соответствие этим стандартам. Выпускаемые электронные справочники могут быть дополнены учебниками, текстами стандартов и другими методическими материалами, выпущенными в виде брошюр. Одним из наиболее полных является электронный справочник "Information Security Policies Made Easy" американской компании Information Shield, Inc. Девятая версия этого справочника содержит более 1360 образцов и шаблонов различных документов, созданных с учетом требований стандарта ISO 17799 и относящихся ко всем аспектами информационной безопасности предприятия. Концепции более развитых программных продуктов, основанных на интерактивном интеллектуальном анализе и совершенствовании политики безопасности, предполагают, что пользователь (менеджер) сначала внесет всю необходимую информацию о состоянии информационной безопасности на своем предприятии (ответит на задаваемые программой вопросы), а затем получит детальный отчет о состоянии информационной безопасности, описание уровня соответствия требованиям стандартов, рекомендации по усовершенствованию действующей политики безопасности и другие отчеты. Таким образом, программное обеспечение позволяет увязывать в единый процесс процедуры первичного сбора информации о предприятии, анализа фактического уровня организационного обеспечения информационной безопасности, разработки документации, адаптации методов управления к определенным требованиям (например, стандарта ISO 17799) и проведение аудитов информационной безопасности. Одним из таких программных продуктов является система "COBRA", поставляемая британской компанией "C&A Systems Security Ltd." в двух вариантах: сокращенная версия включает в себя модуль "COBRA ISO17799 Consultant", а полная версия, помимо него, содержит также дополнительные средства анализа рисков ("Risk Consultant") и специальный модуль, позволяющий создавать и модифицировать собственные базы знаний и наборы вопросов для исследования состояния информационной безопасности ("Module Manager"). Базовый модуль этой системы предназначен для оценки того, в какой степени работа по защите информационной безопасности соответствует требованиям стандарта ISO 17799. На первом этапе его использования вступает в работу "Question Module" — Модуль ответов на вопросы, который содержит набор вопросов, разделенных на группы в соответствии со структурой стандарта ISO 17799: безопасность персонала, политика безопасности, управление доступом, планирование непрерывной работы и т.п. (см. рис. 12.1). увеличить изображение Рис. 12.1. Группы вопросов, используемых для анализа состояния информационной безопасности системой "COBRA" На основе введенной таким образом информации может быть получен отчет о состоянии информационной безопасности и степени ее соответствия требованиям стандарта. В частности, такой отчет может состоять из пяти основных разделов: Вводная часть Перечень основных направлений работы, подвергнутых проверке Оценка уровня несоответствий Перечень организационных мероприятий, реализация которых необходима для выполнения требований стандарта Перечень заданных вопросов и данных на них ответов Помимо текстовой части, в отчет также могут быть включены графики, наглядно отражающие уровни выполнения требований стандарта (см. рис. 12.3). Дополнительные модули, входящие в полную версию программного продукта, необходимы для обеспечения более полного и гибкого анализа рисков в условиях конкретного предприятия. увеличить изображение |
Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,... | В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | ||
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | ||
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,... | ||
Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е.... | ... | ||
Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под... | Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические... |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |