Действия

История

Управление информационной безопасностью — кратко¶

УИБ (управление информационной безопасностью) — комплекс процессов, мер и организационных решений, обеспечивающих конфиденциальность, целостность и доступность информации в организации.

СУИБ (система управления информационной безопасностью, англ. ISMS) — часть общей системы менеджмента компании, построенная на риск-ориентированном подходе. Включает процессы, персонал, документацию и технические механизмы защиты.

Эта страница — краткий обзор курса «Основы управления информационной безопасностью». Подробнее по каждой теме — в отдельных статьях.

Что такое ИБ и СУИБ¶

Основные понятия ¶

В основе ИБ лежит триада КДЦ:

Конфиденциальность — информация доступна только тем, кому это разрешено.
Доступность — авторизованные пользователи могут получить информацию в нужный момент.
Целостность — информация не изменена несанкционированно.

Ключевые понятия: информационная система (ИС) — совокупность данных и средств их обработки; субъект ИБ — тот, кто взаимодействует с информацией (пользователь, процесс); объект ИБ — то, что защищается (данные, системы, сети). Компьютерные системы, в которых обеспечивается безопасность информации, называются защищёнными.

Обеспечение vs управление ИБ ¶

Две связанных, но разных вещи:

СИБ (система информационной безопасности) — совокупность процессов, которые непосредственно защищают: антивирус работает, МЭ фильтрует, шифрование применяется.

СУИБ (система управления ИБ) — совокупность процессов, которые управляют защитой: планируют, контролируют, совершенствуют. СУИБ отвечает на вопрос не «как настроен антивирус», а «кто принял решение его купить, кто отвечает за обновления и что будет, если он не сработает».

Основа СУИБ — цикл PDCA: Plan (спланировать) → Do (выполнить) → Check (проверить) → Act (улучшить). Цикл повторяется непрерывно.

Угрозы и риски¶

Угрозы ¶

Угроза — потенциально возможное событие, которое может привести к нарушению КДЦ. Уязвимость — слабое место системы, через которое угроза реализуется. Атака — попытка реализации угрозы. Следствием наличия уязвимостей в ИС является возможность успешной атаки.

Классификация угроз по цели: угрозы конфиденциальности (утечка, перехват), угрозы целостности (подмена, искажение), угрозы доступности (DDoS, агрессивное потребление ресурсов).

По источнику: внешние (хакеры, конкуренты, спецслужбы) и внутренние (сотрудники, подрядчики). По характеру: случайные (ошибки, сбои) и преднамеренные (атаки, саботаж).

Управление рисками ¶

Риск = вероятность реализации угрозы × возможный ущерб. Управление рисками — это не их устранение (это невозможно), а снижение до приемлемого уровня.

Основные методы обработки риска:

Снижение — внедрить меры защиты, уменьшающие вероятность или ущерб.
Принятие — осознанно согласиться с риском, если его снижение нецелесообразно.
Передача — застраховать или переложить на третью сторону (аутсорсинг).
Избегание — отказаться от деятельности, порождающей риск.

Результат оценки рисков — план обработки рисков и декларация применимости (SOA), в которой фиксируется, какие меры контроля из ISO 27001 приняты и почему.

Стандарты¶

Оценочные стандарты ¶

Оценочные стандарты отвечают на вопрос: насколько безопасна эта система? Они дают шкалу для измерения и сравнения.

«Оранжевая книга» (TCSEC) — первый системный документ в области ИБ. Делит системы на 4 класса: D (минимальная защита), C (избирательная), B (мандатная), A (верифицированная). Уровень D — система не прошла требования более высоких классов. Уровень A — формально верифицированная защита, наивысший.

«Радужная серия» — развитие Оранжевой книги: отдельные документы по сетям, базам данных, паролям.

Общие критерии (ISO/IEC 15408) — современный международный стандарт. Вводит понятие профиля защиты (что нужно защищать) и задания по безопасности (как это будет сделано). Уровни доверия EAL1–EAL7.

Стандарты управления ¶

Стандарты управления отвечают на вопрос: как правильно организовать защиту?

Стандарты ИБ — обязательные или рекомендуемые документы, в которых определены подходы к оценке уровня ИБ и установлены требования к защищённым системам.

BS 7799 (Великобритания, 1995) — первый стандарт управления ИБ, прародитель всего семейства ISO 27000.

ISO/IEC 27001 — главный международный стандарт построения СУИБ. Содержит требования к системе управления и Приложение А с 93 мерами контроля. Сертификация по нему подтверждает зрелость ИБ в организации.

ISO/IEC 27002 — практическое руководство по реализации мер из Приложения А к 27001.

COBIT — фреймворк управления ИТ и ИБ от ISACA. Ориентирован на бизнес-процессы и аудит.

NIST CSF — американский фреймворк кибербезопасности: Identify → Protect → Detect → Respond → Recover.

Построение СУИБ¶

Создание СУИБ ¶

Построение СУИБ по ISO 27001 идёт в четыре этапа:

1. Обследование — определить область действия СУИБ, провести инвентаризацию активов, оценить текущее состояние ИБ.

2. Оценка рисков — выявить угрозы и уязвимости, оценить риски, выбрать меры контроля, разработать план обработки рисков и SOA.

3. Проектирование — разработать документацию (политики, процедуры, инструкции), спроектировать технические решения.

4. Внедрение — обучить персонал, ввести СУИБ в действие, при необходимости автоматизировать процессы.

После внедрения — непрерывный цикл PDCA: внутренние аудиты, анализ со стороны руководства, улучшение.

Меры защиты¶

Правовые меры ¶

Правовые меры — законы и нормативные акты, которые устанавливают правила обращения с информацией и ответственность за их нарушение. Носят профилактический характер: сдерживают нарушителей угрозой наказания.

Ключевые российские законы в области ИБ: 149-ФЗ «Об информации», 152-ФЗ «О персональных данных», 187-ФЗ «О безопасности КИИ», 98-ФЗ «О коммерческой тайне». Международный контекст: GDPR (Европа), требования PCI DSS для платёжных систем.

Организационные меры ¶

Организационные меры — административные и процедурные решения, которые регламентируют, кто, что и как делает в области ИБ.

Иерархия документов ИБ (4 уровня):

Политика ИБ — цели и принципы, утверждается руководством.
Положения — оргструктуры, полномочия, направления ИБ.
Регламенты — подробное описание каждого процесса (доступ, инциденты, работа с носителями).
Инструкции — пошаговые руководства для конкретных ролей (пользователь, администратор).

Ключевые принципы: разделение функций (никто не должен единолично контролировать критичные операции), минимизация полномочий (доступ только в объёме производственной необходимости), персональная ответственность (за каждым нарушением — конкретный человек).

Управление доступом ¶

Программно-технические меры — средства и механизмы, реализованные в ПО и оборудовании.

Идентификация — система узнаёт, кто перед ней (имя пользователя). Аутентификация — система проверяет, что это действительно он (пароль, токен, биометрия). Авторизация — система определяет, что ему разрешено делать.

Модели управления доступом:

DAC (дискреционная) — владелец ресурса сам решает, кому дать доступ.
MAC (мандатная) — доступ определяется метками конфиденциальности (используется в гостайне).
RBAC (ролевая) — права назначаются ролям, пользователи получают роли.

Получение паролей из самой системы на основе программной и аппаратной реализации — один из методов атаки на аутентификацию; именно поэтому пароли должны храниться в хэшированном виде.

Аудит и криптография ¶

Протоколирование — сбор и накопление информации о событиях, происходящих в ИС. Аудит — анализ накопленной информации, проводимый оперативно или периодически. Вместе они позволяют обнаружить инцидент и восстановить картину произошедшего.

Шифрование защищает конфиденциальность: симметричное (один ключ, быстро — для данных), асимметричное (пара ключей, медленно — для обмена ключами и подписи). Отечественные стандарты: ГОСТ 28147-89 / ГОСТ Р 34.12 (шифрование), ГОСТ Р 34.10 (подпись), ГОСТ Р 34.11 (хэш).

Контроль целостности — обнаружение несанкционированных изменений с помощью хэш-функций или электронной подписи.

Продвинутые темы¶

Непрерывность бизнеса ¶

ИБ — это не только защита от атак, но и обеспечение работоспособности при сбоях.

BCP (план обеспечения непрерывности бизнеса) — как организация продолжает работу при чрезвычайных обстоятельствах. DRP (план восстановления после сбоев) — как ИТ-системы возвращаются в рабочее состояние.

Ключевые метрики: RTO — максимально допустимое время простоя; RPO — максимально допустимый объём потерянных данных (как давно была последняя резервная копия).

Безопасность в разработке ¶

Дешевле устранить уязвимость на этапе проектирования, чем после выпуска. Основные подходы:

OWASP Top 10 — список наиболее критичных уязвимостей веб-приложений: SQL-инъекции, XSS, небезопасная аутентификация и др.

DevSecOps — встраивание практик ИБ в процесс разработки: автоматическое сканирование кода, проверка зависимостей, тестирование безопасности на каждом этапе CI/CD.

Безопасная разработка по уровням доверия (EAL, ОУД) — формальные требования к процессу разработки для систем с высокими требованиями к безопасности.

Файлы (17)

Обновлено С. Антошкин 10 дня назад · 10 изменени(я, ий)

clipboard-202312051315-wikit.png (45,3 КБ) clipboard-202312051315-wikit.png		С. Антошкин, 05.12.2023 10:15
clipboard-202312051316-01z7l.png (33,9 КБ) clipboard-202312051316-01z7l.png		С. Антошкин, 05.12.2023 10:16
clipboard-202312051317-ulspt.png (137 КБ) clipboard-202312051317-ulspt.png		С. Антошкин, 05.12.2023 10:17
clipboard-202312051318-iruwi.png (25,9 КБ) clipboard-202312051318-iruwi.png		С. Антошкин, 05.12.2023 10:18
clipboard-202312051319-rraj2.png (18,5 КБ) clipboard-202312051319-rraj2.png		С. Антошкин, 05.12.2023 10:19
clipboard-202312051322-ladjm.png (203 КБ) clipboard-202312051322-ladjm.png		С. Антошкин, 05.12.2023 10:22
clipboard-202312051507-ny7ro.png (22,3 КБ) clipboard-202312051507-ny7ro.png		С. Антошкин, 05.12.2023 12:07
clipboard-202312051508-s4iho.png (31,9 КБ) clipboard-202312051508-s4iho.png		С. Антошкин, 05.12.2023 12:08
clipboard-202312051517-mq1lv.png (209 КБ) clipboard-202312051517-mq1lv.png		С. Антошкин, 05.12.2023 12:17
clipboard-202312051527-zblk0.png (90,1 КБ) clipboard-202312051527-zblk0.png		С. Антошкин, 05.12.2023 12:27
clipboard-202312051528-wwpew.png (156 КБ) clipboard-202312051528-wwpew.png		С. Антошкин, 05.12.2023 12:28
clipboard-202312051531-hp29a.png (363 КБ) clipboard-202312051531-hp29a.png		С. Антошкин, 05.12.2023 12:31
clipboard-202312051541-6hfm9.png (30 КБ) clipboard-202312051541-6hfm9.png		С. Антошкин, 05.12.2023 12:41
clipboard-202312051543-l44zd.png (30,9 КБ) clipboard-202312051543-l44zd.png		С. Антошкин, 05.12.2023 12:43
clipboard-202312051544-ihqhl.png (84,4 КБ) clipboard-202312051544-ihqhl.png		С. Антошкин, 05.12.2023 12:44
clipboard-202312051546-hocsl.png (31,2 КБ) clipboard-202312051546-hocsl.png		С. Антошкин, 05.12.2023 12:46
clipboard-202312051552-jbgap.png (133 КБ) clipboard-202312051552-jbgap.png		С. Антошкин, 05.12.2023 12:52

Проект

Общее

Профиль

УИБ / учебный курс

Оглавление¶

Wiki