Модуль 2. Методы и технология управления службой защиты информации.
Тема 1. Принципы и методы управления службой защиты информации
Трудоемкость темы - 3 часа.
Цель и задачи темы
Получение всеми студентами необходимых знаний о принципах и методах управления службой защиты информации
Рассматриваемые вопросы:
9. Цели и задачи обеспечения ИБ Организации, защищаемые активы..
10. Принципы обеспечения ИБ службой защиты информации.
11. Влияние уровня осознания и осведомленности сотрудников Организации в области ИБ на состояние информационной безопасности.
Целью обеспечения ИБ в Организации является исключение возможности нанесения Организацию материального, репутационного или иного случайного или преднамеренного ущерба (вреда) в результате инцидентов ИБ и нарушения свойств конфиденциальности, целостности и доступности информации, обрабатываемой в Организации.
Достижение цели обеспечения ИБ в Организации реализуется решением следующих задач:
- защиты от несанкционированного и нерегламентированного вмешательства в процессы функционирования информационно-телекоммуникационных систем (ИТС), обеспечивающих деятельность Организации;
- защиты от несанкционированного доступа к информации, обрабатываемой в Организации, со стороны сотрудников Организации и иных лиц;
- обеспечения полноты, достоверности и оперативности информационной поддержки принятия решений по вопросам обеспечения ИБ;
- оценки состояния защищенности информационных активов, расположенных в зоне ответственности Организации, а так же устранения выявленных недостатков;
- мониторинга и регистрации событий, влияющих на ИБ, обеспечение подконтрольности и подотчетности выполнения критичных для Организации процессов функционирования ИТС;
- выполнения установленных требований к обеспечению ИБ в Организации, в том числе применительно к информации, обрабатываемой в автоматизированных системах;
- регламентации и установления ответственности за использование информационных активов, расположенных в зоне ответственности Организации;
- выявления и прогнозирования угроз ИБ, причин и условий, способствующих нанесению ущерба Организации;
- предотвращения неприемлемых для деятельности Организации последствий инцидентов ИБ, создания условий для минимизации и локализации последствий ущерба от инцидентов ИБ и ущерба наносимого источниками угроз ИБ;
- обеспечения возможности восстановления информационных активов Организации и работоспособности автоматизированных сисием, в случае нарушений ИБ и других проявлений угроз ИБ, вызвавших сбои или остановку процессов деятельности Организации;
- обучения и повышения осведомленности сотрудников Организации по вопросам ИБ.
Защищаемые активы
Основными защищаемыми активами Организации могут быть:
- информационные активы (ресурсы);
- технологические процессы обработки информации;
- аппаратно-программные средства, техническое и программное обеспечение, реализующее функции Организации;
- документация внутреннего делопроизводства;
- документация на программные, аппаратные средства и системы;
- работники Организации, участвующие в технологических процессах обработки информации.
Организация защищает от угроз нарушения ИБ, следующие типы информационных активов (типы информации):
- платежная информация - информация, на основании обработки которой совершенные расчетные операции отражаются на соответствующих счетах бухгалтерского учета;
- информация ограниченного доступа, на носителях которой проставляется ограничительная пометка «Для служебного пользования» (ИОД);
- сведения, составляющие государственную тайну;
- сведения, составляющие персональные данные (ПДн);
- иная информация, обрабатываемая в Организации (внутренняя банковская информация) (ВБИ), в том числе управляющая информация (криптографические ключи; пароли и идентификаторы пользователей; данные об их полномочиях; настройки серверного оборудования, активного сетевого оборудования, автоматизированных рабочих мест и т.д.).
- открытая (общедоступная) информация, предназначенная для официальной передачи во внешние организации и средства массовой информации.
Для платежной информации устанавливаются следующие приоритеты в обеспечении ее защиты:
- доступность;
- целостность;
- конфиденциальность.
Для ИОД устанавливаются следующие приоритеты в обеспечении ее защиты:
- целостность;
- конфиденциальность;
- доступность.
Для ПДн устанавливаются следующие приоритеты в обеспечении их защиты:
- конфиденциальность;
- целостность;
- доступность.
Для ВБИ устанавливаются следующие приоритеты в обеспечении их защиты:
- доступность в подразделениях;
- конфиденциальность вне Организации;
- целостность.
Для открытой (общедоступной) информации устанавливаются следующие приоритеты в обеспечении ее защиты:
- целостность;
- доступность.
Рассмотрим принципы обеспечения ИБ службой защиты информации
Основополагающими принципами обеспечения ИБ являются:
комплексность - необходимость одновременного использования различных организационно-технических мер, методов, а также средств защиты против всех форм внешних и внутренних угроз ИБ;
своевременность - необходимость осуществления мер упреждающего характера по обеспечению ИБ;
разумная достаточность - затраты на обеспечение ИБ должны быть адекватны величине возможного ущерба от реализации угроз, т.е. затраты зависимы от стоимости защищаемых ресурсов и вероятности реализации угроз по отношению к этим ресурсам;
централизованность - централизованное управление системой обеспечения ИБ должно осуществляться по единым организационным, функциональным и методологическим принципам, вытекающим из нормативных требований;
обоснованность - предпринимаемые организационно-технические меры по обеспечению ИБ и применяемые при этом средства защиты должны быть обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам;
адаптируемость - система обеспечения ИБ должна быть гибкой, т.е. допускающей без коренной ломки развитие этой системы, технических комплексов защиты и внедрение новых режимов их работы;
персональная ответственность - каждый сотрудник структурного подразделения Организации, задействованный в АС, несёт персональную ответственность по обеспечению ИБ в рамках своей компетенции и требований соответствующих документов;
взаимодействие и координация - все организационно-технические меры по обеспечению ИБ должны осуществляться на основе четкого взаимодействия заинтересованных структурных подразделений Организациии, а также специализированных организаций в этой области;
плановость - организационно-технические мероприятия по обеспечению ИБ должны осуществляться на плановой основе путем разработки детальных планов действий по обеспечению защищенности всех необходимых комплексов;
совершенствование - комплексные системы обеспечения ИБ должны постоянно совершенствоваться на основе опыта их эксплуатации, новых технических средств защиты, с учетом новых нормативных требований, а также отечественного и зарубежного опыта.
Методы управления службой защиты информации по обеспечению ИБ
Методы управления службой защиты информации по обеспечению ИБ должны зависеть от их места и роли в реализации основных технологических процессов.
1. С целью реализации дифференцированного подхода к защите компонентов ИТС, в зависимости от их места и роли в реализации основных технологических процессов, компоненты ИТС Организации должны группироваться и локализоваться по сегментам, для которых в нормативных документах устанавливается единый набор требований к обеспечению ИБ.
2. Внутренние АС Организации должны быть изолированы от внешних систем и сетей. Механизмы изоляции должны быть прозрачными и доказуемыми.
3. Технические и программные средства, предназначенные для разработки и отладки программного обеспечения (либо содержащие средства разработки, отладки и тестирования программно-аппаратного обеспечения), должны располагаться в сегментах АС, изолированных от сегментов, в которых осуществляется обработка информации.
4. Технические и программные средства, входящие в состав сегмента локальной вычислительной сети обработки ИОД, должны быть надежно изолированы от сегментов, в которых осуществляется обработка другой информации.
5. Сегменты должны быть разделены на уровне не выше третьего по семиуровневой стандартной модели взаимодействия открытых систем - OSI (по ГОСТ 28906-91).
6. Настройки технических и программных средств, обеспечивающих указанное разделение, должны регулярно контролироваться на соответствие установленным правилам.
7. Должна обеспечиваться защита информации от воздействия вредоносного кода, соответствующая установленному порядку.
8. Средства защиты от воздействия вредоносного кода должны быть постоянно включены и должны находиться в актуальном состоянии. Несанкционированное отключение или выгрузка средств защиты от воздействия вредоносного кода не допускается.
9. Должна быть исключена возможность несанкционированного воздействия со стороны внешнего разработчика/поставщика программно-технических средств на приобретенные и эксплуатируемые в Организации аппаратно-программные комплексы и технические средства.
10. При определении порядка доступа к защищаемым информационным ресурсам должен применяться «принцип недоверия», который означает, что все полномочия по доступу являются персонифицированными, указаны явно и проверены перед предоставлением доступа, а также «принцип минимума полномочий», означающий, что по запросу на доступ к информационным ресурсам предоставляются полномочия, минимально необходимые для реализации данного запроса.
11. Полномочия сотрудников по доступу к защищаемым информационным ресурсам должны быть установлены таким образом, чтобы в руках одного сотрудника не концентрировались права, позволяющие ему создавать, копировать, искажать и уничтожать защищаемые информационные ресурсы.
12. Должен осуществляться регулярный контроль доступа пользователей к защищаемым информационным ресурсам на соответствие установленному регламенту.
13. Должно осуществляться документирование прав доступа сотрудников к информационным системам, обрабатывающим ПДн.
14. Должна обеспечиваться регистрация и контроль действий всех администраторов и пользователей, обладающих максимальными полномочиями по доступу к информационным ресурсам, программным и техническим комплексам. Результаты регистрации и контроля не должны быть доступны субъектам доступа, за действиями которых осуществляется контроль.
15. Должен выполняться регулярный контроль целостности программного обеспечения, а также контроль состава и состояния аппаратных средств.
16. Должен осуществляться регулярный контроль на всех стадиях жизненного цикла криптографических ключей, паролей и другой идентификационной информации.
17. Администрирование доступа к защищаемым информационным ресурсам должно осуществляться централизовано.
18. Здания и помещения, в которых размещены аппаратно-программные комплексы и технические средства, а также расположены рабочие места сотрудников, должны быть оснащены необходимыми средствами охраны и видеонаблюдения. Должен быть исключён доступ посторонних лиц к автоматизированным рабочим местам сотрудников, выполняющих обработку защищаемых информационных ресурсов.
19. Внутренний контроль защищенности и аудит ИБ.