Проверка системы защиты информации
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки.
В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты. После того как сформирован возможный сценарий действий нарушителя, возникает необходимость проверки системы защиты информации.
Такая проверка называется «тестирование на проникновение».
Цель - предоставление гарантий того, что не существует простых путей для неавторизованного пользователя обойти механизмы защиты. Один из возможных способов аттестации безопасности системы - приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку.
Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Наряду с таким способом используются программные средства тестирования.
Составление плана защиты информации
На этом этапе в соответствии с выбранной политикой безопасности разрабатывается план ее реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем предприятия (организации).
Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.
План защиты информации на объекте должен включать:
• описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);
• цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;
• перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
• политику информационной безопасности;
• план размещения средств и функциональную схему системы защиты информации на объекте;
• спецификацию средств защиты информации и смету затрат на их внедрение;
• календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;
• основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц АС);
• порядок пересмотра плана и модернизации средств защиты.
Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:
- кадровые изменения;
- изменения архитектуры информационной системы (подключение других локальных сетей, рассредоточение узлов АС, изменение или модификация используемых средств вычислительной техники или ПО);
- изменения территориального расположения компонентов АС. В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях.
Такой план называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
• цель обеспечения непрерывности процесса функционирования АС, восстановления ее работоспособности и пути ее достижения;
• перечень и классификация возможных кризисных ситуаций;
• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);
• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального функционирования системы. Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:
• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
• определение порядка разрешения споров в случае возникновения конфликтов.
Исходя из того, что план защиты информации представляет собой пакет текстуально-графических документов, необходимо отметить, что наряду с приведенными компонентами этого пакета в него могут входить:
- положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;
- положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.
Реализация плана защиты информации (управление системой защиты информации)
На данном этапе, прежде всего, проводятся разработка необходимых документов, заключение договоров с поставщиками, монтаж и настройка оборудования и т. д. После того как сформирована система защиты информации, решается задача ее эффективного использования, а значит, управления безопасностью.
Управление (management, control) - процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе. Управление информационной безопасностью должно быть: - устойчивым к активным вмешательствам нарушителя; - непрерывным, обеспечивающим постоянное воздействие на процесс защиты; - скрытным, не позволяющим выявлять организацию управления защитой информации; - оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.
Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий решения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений. Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений.
В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности. Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации.
Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.
Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации адаптировать абстрактные положения к своей конкретной предметной области (предприятию, организации, банку), в которых всегда найдутся свои особенности и тонкости этого непростого ремесла.
Можно быть уверенным, что система защиты информации, построенная в соответствии с приведенными выше рекомендациями и оцененная по предложенным показателям и критериям, станет вашим верным помощником в решении проблем информационной безопасности.
Дата добавления: 2015-08-14; просмотров: 1893;