Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов
Скачать 2.64 Mb.
|
Рис. 12.2. Раздел отчета о состояний информационной безопасности, содержащий организационные рекомендации  увеличить изображение Рис. 12.3. График, наглядно отражающий степень выполнения требований стандарта К числу программных продуктов такого рода, аналогичных британской системе "COBRA", относится также "Программный комплекс управления политикой информационной безопасности компании КОНДОР+", поставляемый Санкт-Петербургской фирмой "Диджитал Секьюрити". Он содержит как электронные справочники, так и модуль, осуществляющий интерактивное взаимодействие с пользователем в процессе анализа и совершенствования политики информационной безопасности. Данный программный комплекс, помимо сборника типовых политик безопасности, включает в себя четыре основных функциональных модуля (раздела): "Проект" — предназначен для сбора информации о состоянии информационной безопасности; "Отчеты" — предназначен для детального анализа состояния информационной безопасности на основе введенных данных; "Диаграммы/статистика" — предназначен для сводного анализа состояния информационной безопасности; "Анализ рисков" — предназначен для количественной оценки существующих рисков.  увеличить изображение Рис. 12.4. Основные модули "Программного комплекса КОНДОР+" Так же как и в системе "COBRA", в модуле "Проект" "Программного комплекса КОНДОР+" пользователю – ответственному менеджеру – предлагается ответить на вопросы, сгруппированные в соответствии со структурой стандарта ISO 17799 и имеющие определенные варианты ответов.  увеличить изображение Рис. 12.5. Модуль "Проект": Ответы на вопросы о состоянии информационной безопасности На основе введенной таким образом информации программа автоматически формирует как сводную статистику, представляемую в виде диаграмм для каждого раздела стандарта ISO 17799, так и детализированные отчеты об имеющихся несоответствиях.  увеличить изображение Рис. 12.6. Графическое представление сводных данных об имеющихся несоответствиях  увеличить изображение Рис. 12.7. Описания отдельных несоответствий в модуле "Отчеты" При анализе несоответствий в модуле "Отчеты" пользователь имеет возможность при помощи справочной подсистемы обратиться к комментариям и рекомендациям экспертов, описывающим отдельные вопросы практического применения стандарта ISO 17799.  увеличить изображение Рис. 12.8. Вызов экспертного комментария по определенному вопросу Таким образом, программный комплекс "КОНДОР+" позволяет провести весь комплекс работ по сбору сведений о состоянии информационной безопасности и организации защитных мер на предприятии, сопоставлению фактического положения дел с требованиями стандарта ISO 17799 (как укрупненно, так и детально) и определению приоритетных направлений дальнейшего развития системы менеджмента. Программная поддержка анализа рисков Анализ рисков для информационной безопасности (как количественный, так и качественный), представляет собой одну из наиболее сложных задач в общей системе организационной и аналитической работы. Методологии анализа рисков и программные средства, реализующие эти методологии, как правило, предполагают выполнение следующих основных шагов, необходимых для формирования комплексной оценки существующих рисков: сбор информации об объектах защиты; выявление и оценка возможных угроз и уязвимостей; формирование сводной оценки рисков. В большинстве случаев конечной целью такого анализа является формализованная оценка потребности предприятия в безопасности и определение основных приоритетов развития системы защиты информации, а также создание информационной базы для оценки экономической эффективности вложений в реализацию отдельных мероприятий по обеспечению информационной безопасности. Одним из инструментальных средств анализа рисков является семейство программных продуктов "CRAMM", поставляемых британской компанией "Insight Consulting": "CRAMM Expert" и "CRAMM Express". Данный программный пакет основан на одноименной методике анализа рисков (CCTA Risk Analysis and Management Method — CRAMM), разработанной в 1985-1987 годах Центральным агентством по компьютерам и телекоммуникациям (Central Computer and Telecommunications Agency — CCTA) Великобритании и в дальнейшем переданной в ведение Службы безопасности Великобритании. Первую коммерческую версию программного продукта, который автоматизирует аналитические процедуры, осуществляемые в соответствии с методом CRAMM, CCTA выпустила в 1988 году, а его четвертая версия была выпущена в 2001 году уже компанией Insight Consulting. Использование системы CRAMM включает в себя несколько последовательных этапов: изучение всех элементов анализируемой информационной системы; оценка угроз для информационной системы; сводный анализ рисков; принятие мер к устранению выявленных недостатков (см. рис. 12.9).  увеличить изображение Рис. 12.9. Общая схема использования системы CRAMM Начальным этапом использования этой системы является инвентаризация всех информационных активов, относящихся к анализируемой информационной системе: сетевого оборудования, вычислительной техники, программного обеспечения, информации, содержащейся в базах данных и т.п. При этом необходимо классифицировать все имеющиеся объекты и отразить взаимосвязи между отдельными компонентами информационной системы и так называемыми пользовательскими сервисами – теми задачами, которые информационная система непосредственно решает на предприятии (подготовка отчетности, планирование, передача сообщений и т.п.). Далее для каждого информационного ресурса необходимо определить возможные последствия различных негативных воздействий, в частности, таких как: недоступность ресурса для использования в течение некоторого периода времени; нарушение целостности (в том числе частичное или полное разрушение) ресурса; нарушение конфиденциальности информации; ошибки при обработке информации; нарушения в процессах передачи информации. Параллельно с этим необходимо выявить основные возможные внешние воздействия, которые могут повлиять на функционирование информационной системы. На этой основе может быть произведен сводный анализ рисков.  увеличить изображение Рис. 12.10. Оценка взаимосвязей между различными угрозами и информационными сервисами в системе CRAMM На основе всех введенных данных и по результатам расчетов и обработки информации могут быть получены сводные характеристики уровней риска для анализируемой информационной системы и, в частности, для отдельных информационных сервисов (см. рис. 12.11).  Рис. 12.11. Пример сводной оценки рисков недоступности двух информационных подсистем После того как произведена оценка рисков, система предлагает реализовать конкретные меры по повышению уровня защищенности, используя введенную информацию о состоянии информационной безопасности, а также собственную "Библиотеку контрмер" — базу знаний, которая содержит примеры и рекомендации (как конкретные, так и общие), относящиеся к различным аспектам защиты информационных ресурсов. С их применением может быть начат переход от анализа рисков к непосредственным управленческим действиям по обеспечению информационной безопасности: разработка мероприятий по противодействию угрозам (см. рис. 12.12); совершенствование системы реагирования на инциденты; устранение несоответствий требованиям стандарта ISO 17799 и других нормативных документов (см. рис. 12.13).  Рис. 12.12. "Дерево контрмер" системы CRAMM  увеличить изображение Рис. 12.13. Окно анализа несоответствий требованиям стандарта ISO17799/BS7799 Таким образом, в результате использования всех перечисленных инструментов системы CRAMM предприятие может осуществить комплекс работ по управлению информационной безопасностью и создать не только хорошо контролируемую систему защиты информации, но и информационную базу, позволяющую в будущем оценить целесообразность вложений в реализацию дополнительных мероприятий по обеспечению информационной безопасности и инвестиций в отдельные средства защиты информации. Программные средства, интегрируемые в информационную систему предприятия Еще одним направлением развития программных средств, обеспечивающих поддержку организационной работы в сфере информационной безопасности, является создание и внедрение комплексных средств анализа поведения пользователей в информационной системе. Во многом такие функции и используемые алгоритмы схожи с функциями и алгоритмами средств обнаружения вторжений. Основные функции таких программных средств: проверка действий пользователей на их соответствие действующим политикам безопасности; выявление нарушений действующей политики информационной безопасности; установление лиц, чьи действия приводят к нарушениям и создают угрозы информационной безопасности. Основными функциями, реализуемыми программным обеспечением такого типа, являются сбор первичных данных о действиях пользователей, их автоматизированный анализ с учетом требований политики безопасности и осуществление необходимых активных действий: информирование администраторов, временное ограничение прав пользователей и т.п. Один из программных продуктов такого типа — "INSIDER — Система обнаружения внутреннего нарушителя", поставляемая российской компанией "Праймтек". Эта система накапливает сведения о поведении пользователей, а также позволяет инициировать определенные активные действия (например, для предотвращения выявленного длящегося нарушения). В частности, для анализа поведения пользователей в информационной системе могут быть использованы следующие данные: показатели интенсивности использования различных пользовательских приложений; показатели интенсивности (частоты, объема) чтения, копирования и удаления файлов; показатели интенсивности отправки и приема электронных сообщений; показатели интенсивности передачи данных по сети; попытки подбора паролей; действия с системными файлами и реестром; действия с системными утилитами и т.п. Таким образом, у администраторов информационных систем, специалистов по информационной безопасности и руководителей предприятия появляются возможности для реагирования на инциденты, пресечения потенциально опасных действий и выявления нарушителей из числа персонала предприятия. Также среди информационных платформ, интегрируемых в информационную систему предприятия и специально предназначенных для реализации и контроля выполнения политик безопасности, выделяются такие продукты, как: Tivoli Security Information and Event Manager компании IBM, а также комплекс смежных продуктов, относящихся к т.н. IBM security framework; MARS: Security Monitoring, Analysis, and Response System компании Cisco. Tivoli Security Information and Event Manager включает в себя: Tivoli Security Operations Manager; Tivoli Compliance Insight Manager. Tivoli Compliance Insight Manager представляет собой специальную программную платформу, которая обеспечивает контроль выполнения требований политики безопасности, а также автоматизирует значительную часть работы при проведении аудитов информационной безопасности и анализе защищенности данных. В частности, данное ПО обеспечивает сбор, анализ и защищенное хранение журналов (логов) работы различных приложений, операционных систем и платформ и их интерпретацию в терминах, понятных нетехническим специалистам. Таким образом, отчеты, формируемые данной системой, могут быть понятны бизнес-менеджерам и аудиторам и использованы для контроля выполнения требований политик безопасности. Tivoli Security Operations Manager предназначен для контроля событий в корпоративной информационной системе и выявления нарушений и подозрительных действий в режиме близком к режиму реального времени. Система MARS также обеспечивает сбор и централизованное хранение данных о системных событиях, которые поступают от различных устройств и платформ, входящих в корпоративную информационную систему, и обеспечивает возможность централизованного оперативного контроля за соблюдением установленных требований. Также MARS интегрирован с программным комплексом Cisco Security Manager, который, в свою очередь, позволяет централизовано и унифицировано управлять настройками безопасности в различных системах защиты и системах обнаружения вторжений, установленных в компании. 13. Лекция: Предоставление услуг в сфере информационной безопасности Предпосылки развития рынка услуг по обеспечению информационной безопасности и его структура Развитие современных информационных технологий, рост зависимости деятельности многих предприятий и учреждений от функционирования информационных систем и постоянное нарастание объемов и сложности информационных потоков привели к тому, что задачи обеспечения информационной безопасности стали требовать использования значительных ресурсов. В частности, финансовые средства, выделяемые на обеспечение информационной безопасности, занимают все большую долю в бюджетах предприятий, а текущее и стратегическое управление защитой информации требует большего внимания не только со стороны специалистов по информационным технологиям, но и со стороны руководителей и собственников предприятий. Зачастую необходимые ресурсы и усилия руководителей в этой сфере оказываются сопоставимыми с теми ресурсами, которые тратятся на осуществление основной деятельности предприятий. Таким образом, сложились предпосылки для формирования рынка различных услуг по обеспечению информационной безопасности, которые (услуги) помогли бы не только повысить эффективность защиты информационных ресурсов, но и оптимизировать издержки предприятий и организаций. Основными факторами, которые обусловили появление у предприятий потребностей в услугах сторонних фирм, решающих задачи обеспечения информационной безопасности, и выделение услуг по защите информационных ресурсов в самостоятельную сферу бизнеса, стали: усложнение и постоянное развитие современных систем обработки, хранения и передачи информации; усложнение программных и аппаратных средств, используемых для защиты информации, необходимость понимания сложного комплекса теоретических и методических вопросов для их эффективной эксплуатации; рост числа инцидентов и разнообразия видов атак на информационные системы и их интенсивности; нехватка квалифицированных специалистов в сфере информационной безопасности и рост затрат на их содержание и профессиональную подготовку. Причиной того, что предприятия оказываются заинтересованными в отказе от самостоятельного выполнения определенных функций и привлечения сторонних специализированных компаний для решения этих задач (в современной практике такой подход принято называть "аутсорсингом"1) или "передачей на аутсорсинг"), является возможность повысить эффективность процессов защиты информации, в определенной мере сократить издержки на эти процессы, а также в большей степени сконцентрироваться на управлении основной деятельностью предприятия и не отвлекать ресурсы и время руководителей на решение задач, являющихся по своей сути вторичными и вспомогательными по отношению к основным целям и задачам деятельности предприятия. Более высокая эффективность работы специализированных компаний – поставщиков услуг в сфере информационной безопасности по сравнению с самостоятельным решением этих задач самими предприятиями, как правило, связана с тем, что высокие издержки распределяются между множеством предприятий – клиентов поставщика услуг. Характерными примерами таких расходов, которые, с одной стороны, могут оказаться непозволительными для одного предприятия, но, с другой стороны, могут быть эффективно распределены между несколькими предприятиями, являются: найм высококвалифицированных специалистов в относительно узких дисциплинах и областях информационной безопасности (таких как использование криптографических средств, борьба с вирусами, внедрение виртуальных частных сетей и т.п.); частое переобучение и повышение квалификации специалистов; постоянное отслеживание новых угроз и глубокий качественный анализ текущего состояния информационных технологий и тенденций их развития; приобретение специализированных программных и аппаратных средств, необходимых для защиты информации и аудита информационных систем; обеспечение круглосуточного дежурства служб реагирования на инциденты. При всех преимуществах передачи отдельных задач обеспечения безопасности на аутсорсинг этот подход имеет и ряд недостатков, которые в определенной мере могут ограничивать его применение. Предприятие, которое пользуется такими услугами, несколько ограничивает себя в возможностях управлять своими затратами и сокращать издержки (накладные расходы) и, таким образом, попадает в определенную зависимость от ценовой политики поставщиков услуг, а также от складывающейся конъюнктуры рынка. Сотрудники компании, предоставляющей услуги, получают доступ к наиболее важной информации предприятия-клиента и его информационным системам, что потенциально может быть источником дополнительных рисков для информационной безопасности. Возникают дополнительные угрозы информационной безопасности при взаимодействии между компанией-поставщиком и предприятием-клиентом в процессе оказания услуг (например, может быть перехвачена информация при удаленном администрировании информационных систем предприятия-клиента). Основными услугами, которые могут быть переданы на аутсорсинг (как по отдельности, так и в комплексе), являются: услуги по проведению комплексных аудитов состояния информационной безопасности на предприятии; услуги по проведению аудитов (инструментальных проверок) устойчивости и надежности отдельных информационных подсистем (сетей, программных и аппаратных платформ и т.п.) и средств защиты информации, используемых предприятием; услуги по сертификации информационных систем, производимых программных и аппаратных средств защиты информации; консультационные услуги, связанные с формированием стратегии предприятия в сфере информационной безопасности и разработкой политики безопасности; услуги по проектированию системы защиты информации; консультационные услуги по выбору и адаптации отдельных технологий защиты информации (криптографии, биометрической идентификации и т.п.) применительно к определенным условиям ведения бизнеса; услуги по внедрению системы защиты информации, а также внедрению отдельных технических (программных и аппаратных) средств и реализации организационных мероприятий; услуги по текущему администрированию, поддержке и сопровождению информационных систем и систем защиты информации; услуги по реагированию на инциденты, связанные с нарушениями информационной безопасности; услуги по обучению руководителей предприятия, специалистов службы информационной безопасности и ИТ-службы, а также пользователей информационной системы предприятия. Также в конце этой главы мы рассмотрим еще два вида услуг, связанных с обеспечением информационной безопасности: услуги по страхованию информационных рисков и услуги по поддержанию инфраструктуры публичных ключей (Public Key Infrastructure, PKI). В целом, к настоящему моменту сложно говорить о формировании полноценного рынка услуг в сфере информационной безопасности (особенно в России), так как у большинства менеджеров крупных, а особенно средних и малых предприятий в основном не сформировались представления о необходимых мерах в этой сфере, а финансирование работ по обеспечению информационной безопасности зачастую осуществляется по остаточному принципу. Некоторые крупные российские разработчики комплексных решений в сфере информационной безопасности, хотя и функционируют достаточно активно, но при этом фактически не являются участниками открытого рынка, так как их продукция и услуги практически полностью ориентированы на определенных потребителей в государственном секторе, таких как ФСБ, Минатом и другие. Еще одной важной особенностью рынка услуг в сфере информационной безопасности является то, что оказание таких услуг иногда становится "побочным", дополнительным видом (направлением) деятельности для компаний, занимающихся поставкой аппаратных и программных средств защиты информации (так называемых "коробочных продуктов"), а также для компаний, занимающихся разработкой комплексных решений по автоматизации предприятий. Возможным недостатком такого подхода потенциально может быть то, что консультанты и аналитики оказываются жестко "привязаны" к определенным программным и аппаратным средствам (производителям, торговым маркам) и не имеют возможности гибко подбирать отдельные средства защиты и формировать наиболее эффективные комплексные решения в соответствии с потребностями каждого конкретного предприятия. Тем не менее, несмотря на определенные недостатки в развитии рынка услуг по обеспечению информационной безопасности, неоспоримым фактом является то, что многие такие услуги уже представлены на рынке, а основные рыночные и организационные механизмы начинают отрабатываться на практике. При этом одной из рекомендаций при работе с фирмами-поставщиками услуг в сфере информационной безопасности является правило - пользоваться услугами нескольких разных фирм и периодически менять партнеров, обеспечивающих решение тех или иных проблем безопасности. Особенности некоторых видов услуг Каждый вид услуг в этой сфере имеет свои специфические характеристики как с точки зрения организации работы компаний, оказывающих услуги, так и с точки зрения структуры рынка. Соответственно, для эффективной работы необходим индивидуальный подход к организации оказания таких услуг, а также организации взаимодействия между потребителями и поставщиками услуг. |
Похожие:
 | Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,... |  | В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... |
| В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | | Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... |
| Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | | Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,... |
| Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е.... | | ... |
| Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под... | | Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические... |