Административные технологии обеспеченияинформационной безопасности

§ 2. Административные технологии обеспечения информационной безопасности

Административные технологии обеспеченияинформационной безопасности

Проблемасертификации аппаратно-программныхпродуктов зарубежногопроизводства действительно сложна,однако она мо­жет быть успешно решена.

Сложившаяся в Европе система серти­фикациипо требованиям информационной безопасностипозво­лилаоценить операционные системы, системыуправления база­миданных и другие разработки американскихкомпаний.

Вхождение Россиив эту систему и участие российскихспециалистов в серти­фикационныхиспытаниях в состоянии снять противоречиемежду независимостьюв области информационных технологий иинфор­мационнойбезопасностью без снижения уровнянациональной без­опасности.

Главноеже, чего не хватает современномуроссийскому зако­нодательству(и что можно почерпнуть из зарубежногоопыта), это позитивнойнаправленности. Информационнаябезопасность — новаяобласть деятельности, здесь важнонаучить, разъяснить, помочь,а не запретить и наказать.

Необходимоосознать важность даннойпроблематики, понять основные путирешения соответ­ствующихзадач, скоординировать научные, учебныеи производ­ственныепланы. Государство может сделать этооптимальным об­разом.

Здесь не нужнобольших материальных затрат, требуютсялишьинтеллектуальные вложения.

Примерпозитивного законодательства —Британский стан­дартBS7799:1995,описывающий основные положения поли­тикибезопасности. Более 60% крупных организацийиспользу­ютэтот стандарт в своей практике, хотязакон этого не требует.

Ещеодин пример — ComputerSecurity Act (США),возлагаю­щийна конкретные государственные структурыответственность заметодическую поддержку работ в областиинформационной безопасности.

Со времени вступления этого закона всилу (1988) действительнобыло разработано много важных и полезныхдо­кументов.

Взаключение перечислим перспективныенаправления законо­дательнойдеятельности государства в областиобеспечения инфор­мационнойбезопасности:

  • разработка новых законов с учетом интересов всех катего­рий субъектов информационных отношений;
  • ориентация на созидательные, а не карательные законы;
  • интеграция в мировое правовое пространство;
  • учет современного состояния информационных технологий.

308

Административные основания обеспечения информационной безопасности

Опираясь нагосударственные пра­вовыеакты и ведомственные ру­ководящиедокументы, отдельные организации(фирмы, предприя­тия)могут разрабатывать собственныенормативно-правовые до­кументы,ориентированные на обеспечениеинформационной бе­зопасности.К таким документам относятся:

  • положение о сохранении конфиденциальной информации;
  • перечень сведений, составляющих конфиденциальную ин­формацию;
  • положение о специальном делопроизводстве и документоо­бороте;
  • перечень сведений, разрешенных к опубликованию в откры­той печати;
  • положение о работе с иностранными фирмами и их пред­ставителями;
  • обязательство сотрудника о сохранении конфиденциальнойинформации;
  • памятка сотруднику о сохранении коммерческой информа­ции.

Основаниеммер административного уровня, т.е.

мер,предпри­нимаемыхруководством организации, являетсяполитикабезопас­ности —совокупность документированныхуправленческих реше­ний,направленных на защиту информации иассоциированных с нейресурсов.

Она определяет стратегиюорганизации в области информационнойбезопасности, а также меру внимания ито ко­личестворесурсов, которые руководство считаетцелесообраз­нымвыделить для этих целей.

Работыпо созданию комплексной системыинформационной безопасностив организации включают в себя следующиеэтапы:

  • анализ состава и содержания конфиденциальной информа­ции, циркулирующей на конкретном объекте защиты;
  • анализ ценности информации для организации с позицийвозможного ущерба от ее получения злоумышленниками(конкурентами);
  • оценка уязвимости информации, доступности ее для средствзлоумышленника;

309

  • исследование действующей системы информационной бе­зопасности в организации;
  • оценка затрат на разработку новой (или совершенствованиедействующей) системы;
  • организация мер защиты информации;
  • закрепление персональной ответственности;
  • реализация новой технологии обеспечения информацион­ной безопасности;
  • создание обстановки сознательного отношения к информа­ционной безопасности;
  • контроль результатов разработки и прием в эксплуатациюновой системы информационной безопасности2.

Этиэтапы можно считать типовыми дляразработки системы защиты,так как они охватывают практически весьобъем работ на организационномуровне.

СтандартBS7799:1995рекомендует включать в документ,ха­рактеризующийполитику безопасности организации,следующие разделы:

  • вводный, подтверждающий озабоченность высшего руковод­ства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений,комиссий, групп и т.д., отвечающих за работы в областиинформационной безопасности;
  • классификационный, описывающий материальные и ин­формационные ресурсы и необходимый уровень их защитыв организации;
  • штатный, характеризующий меры безопасности, применя­емые к персоналу (описание должностей с точки зренияинформационной безопасности, организация обучения ипереподготовки персонала, порядок реагирования нанарушения режима безопасности и т.п.);
  • освещающий вопросы физической защиты;
  • управляющий, описывающий подход к управлению компь­ютерами и компьютерными сетями;
  • описывающий правила разграничения доступа к производ­ственной информации;
  • характеризующий порядок разработки и сопровождениясистем;
  • описывающий меры, направленные на обеспечение непре­рывной работы организации;
  • юридический, подтверждающий соответствие политики безо­пасности действующему законодательству.

310

Разработкаи осуществление политики безопасностистроятся наоснове анализа рисков, которые признаютсяреальными для информационнойсистемы организации.

Когда рискипроанализи­рованы и стратегия защитыопределена, составляется программа,реализациякоторой должна обеспечить информационнуюбезо­пасность.

Под эту программу выделяются ресурсы,назначаются ответственные, определяетсяпорядок контроля выполнения про­граммыи т.п.

Чтокасается российского общества, то насегодняшний день административныйуровень — это белое пятно в отечественнойпрактикеинформационной безопасности. В нашейстране, по сути, нетзаконов, обязывающих организации иметьполитику безопас­ности. Ни одно изведомств, курирующих информационнуюбезо­пасность,не предлагает типовых разработок вданной области.

Мало ктоиз руководителей знает, что такоеполитика безопасности, ещеменьшее число организаций такую политикуимеет. В то же время без подобной основыпрочие меры информационной безо­пасностиповисают в воздухе, они не могут бытьвсеобъемлющи­ми, систематическими иэффективными.

Например, меры защиты отвнешних хакеров и от собственныхобиженных сотрудников дол­жныбыть совершенно разными, поэтому впервую очередь необ­ходимоопределить, какие угрозы чреватынаибольшим ущербом.

(Постатистике, наибольший ущерб происходитот случайных оши­бокперсонала, обусловленных неаккуратностьюили некомпетент­ностью,поэтому в первую очередь важны не хитрыетехнические средства,а меры обучения, тренировка персоналаи регламенти­рованиеего деятельности.)

Разрабатываяполитику безопасности, следует учитыватьспе­цификуконкретных организаций.

Бессмысленнопереносить прак­тикурежимных государственных организацийна коммерческие структуры,учебные заведения или персональныекомпьютерные системы.

Для того чтобы1избежать подобной ситуации, целесооб­разноразработать, во-первых, основные принципыполитики бе­зопасности,а во-вторых — готовые шаблоны длянаиболее важных разновидностейорганизаций.

Анализситуации на административном уровнеинформацион­нойбезопасности доказывает важностьсозидательного, а не кара­тельногозаконодательства. Можно потребоватьот руководителей политикибезопасности (и в перспективе этоправильно), но сна­чала нужно разъяснить,научить, показать, для чего она нужна икакее разрабатывать.

311

Организационные меры обеспечения информационной безопасности

Источник: https://studfile.net/preview/2459560/page:35/

Административный уровень информационной безопасности

Административные технологии обеспеченияинформационной безопасности

Аннотация: Вводятся ключевые понятия — политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy», однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные «правила безопасности».

Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности.

Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин «security policy» в «Оранжевой книге» и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов — это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы.

Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов.

Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей.

Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы.

Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности.

Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты ;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем.

Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности.

Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п.

Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте.

Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности.

Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить.

Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно.

Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными.

Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами.

С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны.

Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Источник: http://www.intuit.ru/studies/courses/10/10/lecture/306

Административные технологии обеспеченияинформационной безопасности

Административные технологии обеспеченияинформационной безопасности

Административные основания обеспечения информационной безопасности

Опираясь на государственные пра­вовые акты и ведомственные ру­ководящие документы, отдельные организации (фирмы, предприя­тия) могут разрабатывать собственные нормативно-правовые до­кументы, ориентированные на обеспечение информационной бе­зопасности. К таким документам относятся:

· положение о сохранении конфиденциальной информации;

· перечень сведений, составляющих конфиденциальную ин­формацию;

· положение о специальном делопроизводстве и документоо­бороте;

· перечень сведений, разрешенных к опубликованию в откры­той печати;

· положение о работе с иностранными фирмами и их пред­ставителями;

· обязательство сотрудника о сохранении конфиденциальной информации;

· памятка сотруднику о сохранении коммерческой информа­ции.

Основанием мер административного уровня, т.е.

мер, предпри­нимаемых руководством организации, является политика безопас­ности — совокупность документированных управленческих реше­ний, направленных на защиту информации и ассоциированных с ней ресурсов.

Она определяет стратегию организации в области информационной безопасности, а также меру внимания и то ко­личество ресурсов, которые руководство считает целесообраз­ным выделить для этих целей.

Работы по созданию комплексной системы информационной безопасности в организации включают в себя следующие этапы:

· анализ состава и содержания конфиденциальной информа­ции, циркулирующей на конкретном объекте защиты;

· анализ ценности информации для организации с позиций возможного ущерба от ее получения злоумышленниками (конкурентами);

· оценка уязвимости информации, доступности ее для средств злоумышленника;

· исследование действующей системы информационной бе­зопасности в организации;

· оценка затрат на разработку новой (или совершенствование действующей) системы;

· организация мер защиты информации;

· закрепление персональной ответственности;

· реализация новой технологии обеспечения информацион­ной безопасности;

· создание обстановки сознательного отношения к информа­ционной безопасности;

· контроль результатов разработки и прием в эксплуатацию новой системы информационной безопасности.

Эти этапы можно считать типовыми для разработки системы защиты, так как они охватывают практически весь объем работ на организационном уровне.

Стандарт BS 7799:1995 рекомендует включать в документ, ха­рактеризующий политику безопасности организации, следующие разделы:

· вводный, подтверждающий озабоченность высшего руковод­ства проблемами информационной безопасности;

· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

· классификационный, описывающий материальные и ин­формационные ресурсы и необходимый уровень их защиты в организации;

· штатный, характеризующий меры безопасности, применя­емые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

· освещающий вопросы физической защиты;

· управляющий, описывающий подход к управлению компь­ютерами и компьютерными сетями;

· описывающий правила разграничения доступа к производ­ственной информации;

· характеризующий порядок разработки и сопровождения систем;

· описывающий меры, направленные на обеспечение непре­рывной работы организации;

· юридический, подтверждающий соответствие политики безо­пасности действующему законодательству.

Разработка и осуществление политики безопасности строятся на основе анализа рисков, которые признаются реальными для информационной системы организации.

Когда риски проанализи­рованы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безо­пасность.

Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Что касается российского общества, то на сегодняшний день административный уровень — это белое пятно в отечественной практике информационной безопасности. В нашей стране, по сути, нет законов, обязывающих организации иметь политику безопас­ности. Ни одно из ведомств, курирующих информационную безо­пасность, не предлагает типовых разработок в данной области.

Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеет. В то же время без подобной основы прочие меры информационной безо­пасности повисают в воздухе, они не могут быть всеобъемлющи­ми, систематическими и эффективными.

Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников дол­жны быть совершенно разными, поэтому в первую очередь необ­ходимо определить, какие угрозы чреваты наибольшим ущербом.

(По статистике, наибольший ущерб происходит от случайных оши­бок персонала, обусловленных неаккуратностью или некомпетент­ностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламенти­рование его деятельности.)

Разрабатывая политику безопасности, следует учитывать спе­цифику конкретных организаций.

Бессмысленно переносить прак­тику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы.

Для того чтобы избежать подобной ситуации, целесооб­разно разработать, во-первых, основные принципы политики бе­зопасности, а во-вторых — готовые шаблоны для наиболее важных разновидностей организаций.

Анализ ситуации на административном уровне информацион­ной безопасности доказывает важность созидательного, а не кара­тельного законодательства. Можно потребовать от руководителей политики безопасности (и в перспективе это правильно), но сна­чала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.

Источник: https://textbooks.studio/uchebnik-geopolitika/administrativnyie-tehnologii-obespecheniyainfor-23386.html

Информационная безопасность

Административные технологии обеспеченияинформационной безопасности

  • Антивирусные программы — программы, которые борятся с компьютерными вирусами и возобновляют зараженные файлы.
  • Облачный антивирус (CloudAV) – одно из облачных решений информационной безопасности, что применяет легкое программное обеспечение агента на защищенном компьютере, выгружая большую часть анализа информации в инфраструктуру провайдера. CloudAV – это также решение для эффективного сканирования вирусов на приспособлениях с невысокой вычислительной мощностью для выполнения самих сканирований. Некоторые образцы облачных антивирусных программ – это Panda Cloud Antivirus, Crowdstrike, Cb Defense и Immunet.
  • DLP (Data Leak Prevention) решения – это защита от утечки информации. Предотвращение утечки данных (DLP) представляет собой набор технологий, направленных на предотвращение потери конфиденциальной информации, которая происходит на предприятиях по всему миру. Успешная реализация этой технологии требует значительной подготовки и тщательного технического обслуживания. Предприятия, желающие интегрировать и внедрять DLP, должны быть готовы к значительным усилиям, которые, если они будут выполнены правильно, могут значительно снизить риск для организации.
  • Криптографические системы – преобразование информации таким образом, что ее расшифровка становится возможной только с помощью определенных кодов или шифров (DES – Data Encryption Standard, AES – Advanced Encryption Standard). Криптография обеспечивает защиту информации и другими полезными приложениями, включая улучшенные методы проверки подлинности, дайджесты сообщений, цифровые подписи и зашифрованные сетевые коммуникации. Старые, менее безопасные приложения, например Telnet и протокол передачи файлов (FTP), медленно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованные сетевые коммуникации. Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA/WPA2 или более старый (и менее безопасный) WEP. Проводные коммуникации (такие как ITU-T G.hn) защищены с использованием AES для шифрования и X.1035 для аутентификации и обмена ключами. Программные приложения, такие как GnuPG или PGP, могут применяться для шифрования информационных файлов и электронной почты.
  • Межсетевые экраны (брандмауэры или файрволы) – устройства контроля доступа в сеть, предназначенные для блокировки и фильтрации сетевого трафика. Брандмауэры обычно классифицируются как сетевые или хост-серверы. Сетевые брандмауэры на базе сети расположены на шлюзовых компьютерах LAN, WAN и интрасетях. Это либо программные устройства, работающие на аппаратных средствах общего назначения, либо аппаратные компьютерные устройства брандмауэра. Брандмауэры предлагают и другие функции для внутренней сети, которую они защищают, например, являются сервером DHCP или VPN для этой сети. Одним из лучших решений как для малых, так и для больших предприятий являются межсетевые экраны CheckPoint.
  • VPN (Virtual Private Network). Виртуальная частная сеть (VPN) дает возможность определить и использовать для передачи и получения информации частную сеть в рамках общедоступной сети. Таким образом, приложения, работающие по VPN, являются надежно защищенными. VPN дает возможность подключиться к внутренней сети на расстоянии. С помощью VPN можно создать общую сеть для территориально отдаленных друг от друга предприятий. Что касается отдельных пользователей сети – они также имеют свои преимущества использования VPN, так как могут защищать собственные действия с помощью VPN, а также избегать территориальные ограничения и использовать прокси-серверы, чтобы скрыть свое местоположение.
  • Proxy-server (Прокси-сервер) – это определенный компьютер или компьютерная программа, которая является связывающим звеном между двумя устройствам, например, такими как компьютер и другой сервер. Прокси-сервер можно установить на одном компьютере вместе с сервером брандмауэра, или же на другом сервере. Плюсы прокси-сервера в том, что его кэш может служить для всех пользователей. Интернет-сайты, которые являются наиболее часто запрашиваемыми, чаще всего находятся в кэше прокси, что несомненно удобно для пользователя. Фиксирование своих взаимодействий прокси-сервером служит полезной функцией для исправления неполадок.
  • Системы мониторинга и управления информационной безопасностью, SIEM. Чтобы выявлять и реагировать на возникающие угрозы информационной безопасности, используется решение SIEM, которое выполняет сбор и анализ событий из разных источников, таких как межсетевые экраны, антивирусы, IPS, оперативные системы и т.п. Благодаря системе SIEM у компаний появляется возможность централизованно хранить журналы событий и коррелировать их, определяя отклонения, потенциальные угрозы, сбои в работе ИТ-инфраструктуры, кибератаки и т.д.

Отдельное внимание стоит уделять управлению мобильными устройствами на предприятии, так как многие сотрудники часто используют личные смартфоны, планшеты и ноутбуки в корпоративных целях.

Внедрение специальных решений, таких как VMware AirWatch, IBM MaaS360, Blackberry Enterprise Mobility Suite, VMware Workspace One помогут лучше контролировать мобильные устройства сотрудников и защитить данные компании.

Источник: https://pirit.biz/reshenija/informacionnaja-bezopasnost

Понятие технологии обеспечения информационной безопасности

Административные технологии обеспеченияинформационной безопасности

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

соответствие современному уровню развития информационных технологий;

учет особенностей построения и функционирования различных подсистем АС;

точная и своевременная реализация политики безопасности организации; минимизация затрат на реализацию самой технологии обеспечения безопасности.

Для реализации технологии обеспечения безопасности в АС необходимо:

наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно – методических и организационно-распорядительных документов) по вопросам ОИБ; распределение функций и определение порядка взаимодействия

подразделений и должностных лиц организации по вопросам ОИБ на всех этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам ОИБ.

Реализация технологии обеспечения информационной безопасности предполагает:

назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты; разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности; принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования; регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС.

Действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности информации;

четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, – требований по обеспечению безопасности информации;

проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

8. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО СОЗДАНИЮ И ОБЕСПЕЧЕНИЮ ФУНКЦИОНИРОВАНИЯ

КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ

Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему.

Они включают:

разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

периодически проводимые (через определенное время) мероприятия;

постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

мероприятия по созданию нормативно-методологической базы (разработка концепции и других руководящих документов) защиты АС;

мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п.);

мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);

проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;

создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за ОИБ в подразделениях и на технологических участках; осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации; разработка и утверждение их функциональных обязанностей;

мероприятия по разработке политики безопасности, определение порядка назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;

мероприятия по созданию системы защиты АС и необходимой инфраструктуры (организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т. п.);

мероприятия по разработке правил разграничения доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;

определение перечней файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

организация охраны и надежного пропускного режима;

определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто

контролирует и что при этом они должны делать), определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.



Источник: https://infopedia.su/19x5ec0.html

Административный уровень обеспечения иб

Административные технологии обеспеченияинформационной безопасности

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности.

Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы.

Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности.

Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности.

Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

3. Роли и обязанности. В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности.

Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить.

Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

4. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

5. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно.

Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей.

Программа безопасности

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

https://www.youtube.com/watch?v=24QQXONSClc

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

  • управление рисками (оценка рисков, выбор эффективных средств защиты);
  • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
  • стратегическое планирование;
  • контроль деятельности в области информационной безопасности.

В рамках программы безопасности верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам.

При этом следует поддерживать контакты с внешними контролирующими организациями.

Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Цель программы безопасности нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов.

На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п.

Обычно за программу нижнего уровня отвечают администраторы сервисов.

:

Источник: http://csaa.ru/administrativnyj-uroven-obespechenija-ib/

Studiobooks
Добавить комментарий