Аудит / Учебный курс

h1. Основы построения систем информационной безопасности

!clipboard-202311272156-2rb9r.png!

{{TOC}}

---

h2. Цели и задачи информационной безопасности 

> *Информационная безопасность* (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.

Информационная безопасность ставит своей целью обеспечение конфиденциальности, целостности и защиты информации от несанкционированных действий, включая ее использование, раскрытие, искажение, изменение, изучение и уничтожение. Это касается всех форм хранения информации, будь то физические, цифровые или иные. С появлением компьютерных информационных систем, вопрос безопасности данных стал особенно актуален.

Системы информационной безопасности задаются определенными целями для сохранения ключевых характеристик информации, обеспечивая:

* *Конфиденциальность данных* – доступ к которым имеют только лица с соответствующими полномочиями;

* *Доступность*  информационных систем и данных в них для тех пользователей, которые имеют право на такой доступ;

* *Целостность данных* – блокировка несанкционированного изменения информации;

* *Подлинность*  – точность и полнота информации;

* *Неотказуемость*  – возможность определить источник или авторство информации.

!clipboard-202311272206-i6guf.png!

Основная задача систем информационной безопасности – обеспечение защиты данных от внешних и внутренних угроз.

Применение современных информационно-коммуникационных технологий в автоматизированных системах различных сфер деятельности породило ряд проблем для их разработчиков и пользователей. Одной из основных проблем является вопрос информационной безопасности, который требует контроля, обеспечения и создания условий для управления.

Цель любой системы, обеспечивающей информационную безопасность, – создание условий для работы предприятий, защита их законных интересов и предотвращение угроз безопасности. Это включает в себя предотвращение хищения средств, разглашения, потери, утечки, искажения или уничтожения информации в рамках деятельности всех подразделений предприятия.

Таким образом, задачи любой системы информационной безопасности включают:

* Категоризацию информации;

* Прогнозирование и выявление угроз;

* Создание условий для работы;

* Разработка механизмов реагирования на угрозы информационной безопасности;

* Создание условий для локализации ущерба.

---

h2. Угрозы ИБ и их источники

> *Угроза информационной безопасности* — совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.

Для определения правильной стратегии информационной защиты необходимо определить, что угрожает безопасности данных. Угрозы информационной безопасности – вероятные события и действия, которые в перспективе способны привести к утечке или потере данных, несанкционированному доступу к ним. Это, в свою очередь, приведет к моральному или материальному ущербу.

Первичное свойство угроз информационных систем – происхождение, по которому угрозы делятся на следующие:

* *Техногенные источники* – угрозы, вызванные проблемами с техническим обеспечением, их прогнозирование затруднительно.

* *Антропогенные источники* – угрозы человеческих ошибок. Могут быть как нечаянными, так и преднамеренными атаками. Непреднамеренные угрозы – это случайная ошибка, например, пользователь по незнанию отключил антивирус. Как правило, антропогенные проблемы можно спрогнозировать для принятия предупредительных мер. Умышленные угрозы безопасности приводят к информационным преступлениям.

* *Стихийные источники* – непреодолимые обстоятельства, которые имеют низкую вероятность прогнозирования, и их предотвращение невозможно. Это различные стихийные бедствия, пожары, землетрясения, прекращение подачи электричества из-за ураганов.

!clipboard-202311272226-cpft5.png!

!clipboard-202311272226-3en3q.png!

!clipboard-202311272226-zshob.png!

Угрозы сами по себе не появляются, все угрозы могут быть реализованы только при наличии каких-нибудь слабых мест, _уязвимостей_ , присущих объекту информатизации 

> *Уязвимость информационной системы*  - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.

Анализ показывает ИБ показывает, что они могут быть разделены на внутренние и внешние. 

h4. Внутренние 

Внутренние нарушители информационной безопасности: 

* Персонал, затаивший злобу на компанию или неудовлетворенный своим положением. Действует по мотивам личной неприязни, мести. Предпосылками для этого становятся получение выговора, конфликт с руководством, лишение премии.

* Сотрудники в поисках легкого заработка. Такие лица пытаются использовать свое служебное положение или ситуацию в личных целях. Например, продать информацию конкурентам, использовать личные данные клиентов для увеличения собственного дохода, переманить заказчиков к себе.

* Внедренные инсайдеры. Персонал, который был специально завербован конкурентами. Собирает и передает важные сведения, проводит провокации, переманивает других работников, пытается обанкротить организацию и развалить ее. Зачастую это так называемые привилегированные пользователи – сотрудники на высоких постах, сотрудники, располагающие высоким уровнем доступа к информации.

h5. Классификация внутренних угроз ИБ

* Обход средств информационной защиты и ограничения доступа. Сводится к использованию дополнительных технических средств и ПО, маскирующих деятельность злоумышленника. Например, использование систем шифрования данных, глубокой архивации, преобразование файлов в редкий формат, использование языков кодировки. Такие действия затрудняют идентификацию нарушителя и определение его неправомерной деятельности, что позволяет нарушителю долгое время оставаться незамеченным.

* Разглашение конфиденциальных данных. Сопровождается копированием документов, переносом на сменные носители информации, передачей данных через интернет конкурентам или заинтересованным лицам. Как правило, ценность представляют определенные категории информации вроде коммерческой тайны или персональных сведений о клиентах компании. Не исключены случаи, когда разглашение информации происходит без злого умысла, случайно.

* Кража информации. Целенаправленный взлом информационной защиты или ее обход с целью получения закрытого доступа к сведениям повышенной важности: государственная и коммерческая тайны, финансовая отчетность.

* Нарушение конфиденциальности сведений и авторских прав. Сводится к использованию информации закрытого типа, правами на которую располагает только владелец. Например, тайна семейной и интимной жизни, фотографии, видеоматериалы. На них должно быть получено согласие владельца перед публикацией в СМИ и открытых источниках в интернете.

h4. Внешний 

Под внешним нарушителем понимают нарушителя, находящегося вне информационной системы на момент начала реализации угрозы. 2. Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.

!clipboard-202311272236-jepcd.png!

h5. Классификация внешних угроз ИБ 

* Негативные воздействия конкурентов 

* Преднамеренные или не преднамеренные действия заинтересованных структур и лиц

* Утечка конфиденциальной информации из носителей или через каналы связи 

* Несанкционированное проникновение на объект защиты 

* Стихийные бедствия 

* Преднамеренные или не преднамеренные действия подрядных организаций или контрагентов 

---

h3. Методов парирования угроз

* Экономические 

** Надбавки и выплаты 

** Страхование 

** Возмещение убытки 

* Организационные 

** Физическая защита и организация охраны 

** Подбор персонала

** Повышение осведомленности персонала 

** Побор контрагентов 

** Контроль требований по ИБ 

** Противопожарная охрана 

** Взаимодействие с органами 

* Инженерно-технические 

** Электрозащита оборудования 

** Экранирование 

** Средства визуальной защиты 

** Акустическая обработка помещений  

* Технические

** Резервирование технических средств 

** Резервирование каналов связи 

** Резервное копирование 

** Использования систем акустического зашумления 

** Контроль каналов связи 

** Контроль отсутствия средств съема информации 

* Программно-аппаратные 

** Ограничение доступа к средствам обработки 

** Ограничение доступа к объектам (Информации, ПО) 

** Разграничение доступа субъектов

** Управление внешними потоками информации 

** Подтверждение подлинности  

** Преобразование информации при ее передачи или хранении 

** Мониторинг действий 

** Мониторинг воздействий и атак 

!clipboard-202311272300-x13bn.png!

При комплексном подходе к анализу угроз Иб объекта информатизации необходимо провести: 

* Описание объекта

* Классификации источников угроз 

* Классификацию уязвимостей

* Классификацию методов реализации  

* Ранжирование актуальных атак 

* Классификацию методов парирования атак 

h2. Методы построения системы ИБ 

!clipboard-202311272305-twvo1.png!

Модель ИБ - совокупность объективных внешних и внутренних факторов и их влияние на состояние ИБ на объекте и на сохранность информационных ресурсов. 

Рассмотрим следующие факторы: 

* Угроза ИБ - вероятность возникновения и вероятность реализации;

* Уязвимость - вероятность реализации  угрозы;

* Риск - фактор, отражающий возможный ущерб в результате реализации угрозы.

Для построения сбалансированной системы ИБ необходимо провести анализ рисков. Систему ИБ предстоит построить таким образом, что бы  достичь заданного уровня риска.

Реализация модели построения системы ИБ позволяет: 

Полностью проанализировать и документарно оформить требования связанные с обеспечением ИБ 

Избежать расходов на излишние меры безопасности 

* Оказать помощь в планировании и защите на всех стадиях ЖЦ 

* Обеспечить проведение работ в сжатые сроки 

* Предоставить обоснование для выбора мер противодействия 

* Оценить эффективность контрмер

Перед началом построения системы ЗИ необходимо узнать, какую информацию нужно защищать, то есть определить *активы и бизнес-процессы компании* .

После чего следует *разработать модель угроз и нарушителей* , которые будут описывать возможные источники угроз, уязвимости, риски и ущерб. Затем на основе этой информации возможно приступить к созданию самой системы.

Систему ЗИ условно можно разделить на две составляющие.

Первая включает в себя *документы* , которые будут описывать абсолютно все процессы ЗИ, происходящие в компании.

> @Правильно написанные документы позволяют донести всем сотрудникам организации правила и порядок защиты информации.@

Существует четыре уровня организационно-распорядительной документации (далее – ОРД):

# Первый уровень (Политика ИБ)

# Второй уровень (Частная политика ИБ)

# Третий уровень (Порядок, Регламент)

# Четвертый уровень (Акты, Приказы, Журналы)

Важно, чтобы требования ОРД были:

* *Обязательны* , а не рекомендательными

* *Выполнимы*  и контролируемы работниками компании

* *Адекватными*  и непротиворечивыми

Вторая составляющая – это *технические решения*, позволяющие реализовать защиту информации.

К выбору технических средств защиты информации  стоит подходить исходя из финансовых возможностей организации, угроз ИБ, учитывая рекомендации регуляторов.

Особое внимание стоит уделить информационным системам ,которые функционируют в компании, так как их ИБ должна реализовываться на всех стадиях жизненного цикла.

> @ Например, ГОСТы или СТОБР ИББС рекомендуют устанавливать антивирусы разных производителей на серверном оборудовании, АРМ и межсетевых экранов. Поэтому обойтись одним средством не получится.@

Необходимо контролировать:

* Процесс создания технического задания

* Проектирование

* Создание и проверку

* Утверждение и развертывание

* Эксплуатацию

* Сопровождение и изменения

* Снятие с эксплуатации

h3. Best practices

Следует подчеркнуть существование такого подхода как *«best practices»* . Данный подход подразумевает под собой применение лучших практик при построении системы ЗИ.

> @ Суть подхода заключается в использовании методов ЗИ, которые наилучшим образом проявили себя в деле, то есть подход основывается не на стандартах, которые предлагает нам регулятор, а на основе опыта специалистов ИБ.@

В качестве примера «best practices» можно привести использование программы для инвентаризации машинных носителей информации (далее – МНИ).

>Многие компании осуществляют контроль за МНИ вручную, посредством бумажного журнала, так как регулятор не указывает как конкретно необходимо вести контроль за МНИ.

>Использование бумажного журнала – это очень трудоемкий процесс, который требует время на запись и поиск, также он не позволяет хранить много доступной информации о носителе.

>Поэтому специалисты советуют приобрести программу для инвентаризации машинных носителей информации. Кроме того, инвентаризация не защищает МНИ в полном объеме, поэтому эксперты согласно «best practices» советуют полностью исключить физический доступ рядовых пользователей к носителям.

h2. Разработка концепции обеспечения ИБ 

Современные подходы к обеспечению  требует создания целостной системы ИБ включающий в себя  целый комплекс мер и методов защиты. 

С этой целью для конкретного предприятия при построении системы ИБ необходима разработка *концепции обеспечения ИБ*.

Концепция должна учитывать современные тренды развития ИБ международных и российских стандартов и нормативно-методических документов.

Таким образом  концепция - это документ отражающий официально принятую систему взглядов на проблему обеспечения ИБ и пути ее решения с учетом современных тенденций развития. 

Концепция определяет генеральную линию в решении проблем ИБ, а не сиюминутные взгляды. Это не набор технических путей решения, конкретных СЗИ а именно изложение путей достижения поставленных целей. Концепция сама по себе не обеспечивает требуемого уровня ИБ, но является методологической базой для формирования в ней целей, задач и возможных путей их решения. 

В общем виде концепция должна включать в себя следующие основные разделы: 

*Введение* 

# Правовое обеспечение вопросов защиты информации 

# Цели и задачи 

# Информация подлежащая защите  

# Техническая политика и принципы построения защиты 

# Модель угроз информационной безопасности 

## Описание сети 

## Классификация источников угроз 

## Классификация уязвимостей 

## Классификация методов реализации угроз 

## Ранжирование актуальных атак

## Классификация методов парирования угроз 

# Выбор уровней защиты 

## Выбор категорий защиты объектов 

## Примерный перечень объектов защиты и их категорий 

## Выбор класс защищенности 

# Облик системы защиты информации 

## Начальные условия 

## Описание подсистемы защиты 

## Структуры и состав подсистемы 

# Защита помещений и технических средств  

## построение защиты помещений 

## Размещения технических средств 

## Использование вспомогательных технических средств

# Порядок аттестации

# Порядок контроля эффективности 

*Заключение*