УИБ / учебный курс

h1.  Построение систем управления информационной безопасностью

{{TOC}}

--- 

h2. СУИБ

Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании.

Основными целями построения СУИБ являются:

* обеспечение конфиденциальности, целостности и доступности информационных активов компании;

* выполнение требований безопасности клиентов и партнеров;

* соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов.

Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др.

СУИБ включает:

* процессы управления ИБ;

*  персонал, ответственный за обеспечение и организацию управления ИБ;

*  комплект документированных политик и процедур;

*  механизмы обеспечения ИБ.

!clipboard-202312051322-ladjm.png(Процессы управления и обеспечения ИБ)!

* Проведение обследования:

** уточнение области действия СУИБ;

** осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ;

** инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов;

** проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013;

** разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий.

* Оценку рисков ИБ:

** проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011;

** выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании;

** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ;

** разработка декларации о применимости механизмов контроля (SOA).

* Создание СУИБ:

** документирование процессов управления ИБ (политики, процедуры, записи);

** техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений).

* Внедрение СУИБ:

** обучение и повышение осведомленности персонала;

** ввод в действие СУИБ;

** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально).

---

h2. Стандарты по ИБ

Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

* выработка понятийного аппарата и терминологии в области информационной безопасности

* формирование шкалы измерений уровня информационной безопасности

* согласованная оценка продуктов, обеспечивающих информационную безопасность

* повышение технической и информационной совместимости продуктов, обеспечивающих ИБ

* накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем

* функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Благодаря стандартам информационной безопасности:

!clipboard-202312051507-ny7ro.png!

Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

* повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;

* обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);

* содействие соблюдению требований технических регламентов;

* создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

Основными областями стандартизации информационной безопасности являются:

* аудит информационной безопасности

* модели информационной безопасности

* методы и механизмы обеспечения информационной безопасности

* криптография

* безопасность межсетевых взаимодействий

* управление информационной безопасностью.

!clipboard-202312051508-s4iho.png!

Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения. 

---

h2. Виды мер противодействия угрозам безопасности

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

h3. Правовые (законодательные)

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

h3. Морально-этические

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

h3. Технологические

К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

h3. Организационные

Организационные меры зашиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

h3. Меры физической защиты

Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).

h3. Технические

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

---

h2. Основные принципы построения системы защиты. 

Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

h3. Системность

Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в АС.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

h3. Комплексность

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.

Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

h3. Непрерывность защиты

Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

h3. Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Преемственность и совершенствование

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

h3. Разделение функций

Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущения сговора и разграничению ответственности между этими сотрудниками.

h3. Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)

Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

h3. Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

h3. Минимизация полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

h3. Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективах подразделении. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации.

h3. Гибкость системы защиты

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

h3. Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.

h3. Простота применения средств защиты

Механизмы зашиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Научная обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

h3. Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).

h3. Взаимодействие и координация

Предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании АС и ее системы защиты информации, подразделений и специалистов органов МВД специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения АС) и подразделениями безопасности органов МВД (на этапе функционирования системы).

h3. Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства зашиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

---

h2. Документы по ИБ. 

Общая иерархия документов - 4 уровня 

!clipboard-202312051527-zblk0.png!

!clipboard-202312051528-wwpew.png!

Что можно включить в каждый

!clipboard-202312051517-mq1lv.png!

*Политика ИБ*

* Определяет цели и задачи ИБ в организации

*Положения*

Определяют орг. структуры, выполняющие цели и задачи, их полномочия, а также основные принципы ИБ

* Положение о Комитете информационной безопасности - регламентирует деятельность коллективного органа (членов правления Компании), решения которых приравниваются к приказам генерального директора. Орган занимается стратегическим планированием.

* Положение о Департаменте ИБ - регламентирует деятельность исполнительного органа (контроллирует выполнение решений Комитета ИБ, занимается операционной деятельностью)

* Положение о ИБ - для ознакомления всех работников Компании. Описывает принципы и направления ИБ.

*Регламенты*

Подробно описывает каждое из направлений:

* Регламент предоставления доступа к информационным ресурсам - описывает, что такое информационные ресурсы, зачем к ним разграничивать доступ, что такое ролевая модель и т.п.

** Cписок информационных ресурсов

** Матрица доступа - описывает конкретные роли в каждой системе

** Инструкция пользователя - как изменить свою роль (куда и в какой форме отправлять заявку, что указывать)

** Инструкция администратора - как изменять роль, при получении заявки от пользователя, с кем должны быть согласованы изменения

* Регламент защиты информации ограниченного доступа - описывает, что это за информация, какие ее категории существуют в компании, базовые принципы защиты информации, ответственность за разглашение ИОД (с формой обязательства о неразглашении), кто и как относит информацию к ИОД

** Инструкция по работе с информацией ограниченного доступа - как понять, что информация подлежит защите, как ее правильно промаркировать, какие действия запрещено, разрешено и необходимо осуществлять с информацией, чтобы она не попала "не в те руки"

** Перечень информации ограниченного доступа

* Регламент проведения внутреннего расследования - описывает процедуру расследования

* Регламент по работе со средствами защиты информации - описывает что это такое и для чего это нужно. Также указывает, что компания вправе устанавливать на корпоративные компьютеры любые СЗИ.

** Перечень СЗИ

** Инструкции пользователей - описывает для тех СЗИ, для которых от пользователей требуется какие-то действия, как эти действия правильно осуществлять. Кроме того в инструкции расписано, что делать при сбоях и ошибках.

** Инструкция администратора - описывает как и в каких случаях осуществлять установку, настройку СЗИ. Также в ней описаны типовые проблемы и способы их решения.

* Регламент по электронному взаимодействию - соглашение участников электронного документооборота, в рамках которого документы, подписанные простой электронной подписью (сформированные в системе из под учетной записи с определенным именем пользователя и паролем), считаются равносильными документам, подписанными собственноручной подписью (согласно ФЗ "Об ЭП").

** Инструкция по парольной защите - дает рекомендации по генерации пароля, а также обязательные требования предъявляемые к паролю, частоте его смены, порядка обращения со своим паролем и т.п.

* Регламент управления рисками ИБ - описывает принципы управления рисками, цели управления рисками, дает необходимый глоссарий.

** Методика управления рисками

** Перечень рисков

* Регламент проведения аудитов ИБ

** Перечень аудируемых систем

** Инструкции по аудиту различных систем