Основы функционирования современных автоматизированных
advertisement
Подразделения технической защиты информации и их основные задачи Лекция Модель соответствует международному стандарту ISO/IEC 15408 и стандарту ISO/IEC 17799 (27001) Функции CISO (Chief Information Security Officer) разработка политики в области ИБ, включая регламенты, стандарты, руководства; разработка принципов классификации информационных потоков и управления ими; анализ рисков, их оценка и принятие; обеспечение персонала всех подразделений руководствами и знаниям по исполнению политики в области ИБ, организация соответствующего обучения и инструктирования; консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них; согласование всех политик и регламентов с тем, чтобы они были успешно внедрены на всех уровнях компании; деятельность в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменений бизнеса. Включение аспектов ИБ на самые ранние этапы данных проектов; «связующее звено» между службой качества и отделом IT/автоматизации с правом проверки внутренних отчетов службы качества; совместная работа со службой безопасности в части, касающейся их обоих, например, научно-исследовательские работы (НИОКР) или пропускная система (бейджи, пропуска); совместная работа со службой персонала в части, касающейся проверки некоторых данных при найме на работу; в случае кризисов или чрезвычайных происшествий в области защиты информации участвовать вместе с топ-менеджментом в управлении кризисом; обеспечение менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики; информационная поддержка топ-менеджеров об изменениях в законодательстве и технических новинках, имеющих отношение к информационной безопасности. CISO Статус лиц, определяющих защищенность информационных ресурсов компании, соответствует статусу ведущих TOP-менеджеров компании, отвечающих за развитие таких ресурсов компании, как финансовые (финансовый директор), технологические (директор по производству), человеческие (директор по персоналу) и т. д. Явно видна потребность в специалистах по информационной безопасности с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда. Советы для успеха CISO С первых дней появления CISO в составе Совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает «много слушаю, много собираю информации, много синтезирую — мало говорю». В связи с высокой информационной загруженностью, возможно, есть смысл в административном помощнике. Позиция предполагает информирование и умение находить контакт с огромным количеством людей для того, чтобы они понимали задачи ИБ и свою роль в этом деле. Если CISO не нравится заниматься этим, вряд ли он сможет добиться большого успеха. CISO не должен бояться слышать постоянное «нет» в ответ на свои предложения и требования, во всяком случае, на первых порах. CISO должен быть хорошим менеджером и коммуникатором — эта работа не может быть выполнена им в одиночку. Последовательность функционирования службы защиты информации Определение объектов защиты. Выявление угроз и оценка их вероятности. Оценка возможного ущерба. Обзор применяемых мер защиты, определение их недостаточности. Определение адекватных мер защиты. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты. Внедрение мер защиты. Контроль. Мониторинг и корректировка внедренных мер. Последовательность функционирования службы защиты информации 1. Начальник СлЗИ, приказом руководителя возглавляет компетентных сотрудников, формирующих предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации. 2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия». 3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны). 4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа. 5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации. 6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия. 7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например — для служебного пользования, конфиденциально, строго конфиденциально. 8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания. 9. Группа подготавливает введение указанных мер защиты. Задачи службы информационной безопасности (службы защиты информации) Своевременное выявление угроз защищаемой информации компании, причин и условий их возникновения и реализации. Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации. Функции руководителя службы защиты информации : вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию; отвечать за функционирование службы защиты информации и обеспечение защиты конфиденциальной информации; осуществлять планирование и непосредственное руководство работой СлЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка; принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании; разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными; руководить проведением служебных расследований; организовывать взаимодействие СлЗИ с другими подразделениями; разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую; организовывать разработку рекомендаций по совершенствованию функционирования СЗИ; осуществлять руководство отделом охраны; кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации. Основные этапы построения службы безопасности Определить жизненно важные интересы организации на момент создания службы безопасности Выявить угрозы безопасности для объектов, входящих в организацию Провести анализ угроз и выявить степень риска при их реализации Наметить пути локализации каждой из угроз и просчитать затраты на проведение соответствующих мероприятий Исходя из полученных данных, финансовых и трудовых возможностей, разработать структуру службы безопасности Поддерживать работоспособность СБ и корректировать ее структуру в зависимости от изменяющихся условий Совет по безопасности фирмы Это коллегиальный орган, создаваемый при директоре с целью организации, координации и контроля работ по обеспечению экономической безопасности и защиты конфиденциальной информации. Совет выполняет консультативные функции, предложения носят рекомендательный характер. Все члены совета назначаются директором из числа ведущих специалистов, имеющих опыт работы и заинтересованных в обеспечении безопасности. а его Вариант структуры совета по безопасности Совет по безопасности Руководитель Совета – первое лицо Секретарь совета Начальник службы безопасности Юрисконсульт по безопасности Комиссии по направлениям безопасности Научный совет по экономической безопасности правовая секция по социальной безопасности организационная секция по экологии инженернотехническая секция по информационной безопасности секция комплексной безопасности Вариант структуры СБ организации Руководитель организации Заместитель руководителя начальник службы безопасности Отдел режима и охраны Группа внешней безопасности Сектор режима Учёт персонала и информации Разработка и организация пропускного режима Отдел защиты информации Инженернотехническая группа Сектор охраны Охрана помещений Охрана объектов Личная охрана руководства Личная охрана ведущих специалистов Наблюдение за обстановкой вокруг и внутри объекта Вариант структуры отдела ЗИ Отдел защиты информации Подразделение конфиденциального делопроизводства Подразделение инженернотехнической защиты информации Подразделение программноаппаратной защиты информации Информационноаналитическое подразделение Подразделение конфиденциального делопроизводства Обработка (получение, классификация, учет, рассылка ) и хранение конфиденциальных документов. Контроль системы конфиденциального документооборота Подразделение инженерно-технической защиты информации Инженерно-техническая защита информации предназначена: для активно-пассивных противодействий средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования с помощью комплексов технических средств и включает себя: Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здания и помещения. Средства защиты технических каналов утечки информации при работе ЭВМ, средств связи, других приборов и офисного оборудования, при проведении совещаний, беседах с посетителями и сотрудниками. Средства защиты помещений от визуальных способов технической разведки. Средства обеспечения охраны территорий, зданий, помещений. Средства противопожарной охраны. Технические средства и мероприятия, предотвращающие вынос персоналом из помещений документов, дискет, дисков и других носителей информации. Подразделение программно-аппаратной защиты информации. Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются: 1. Предотвращение потери и утечки информации, перехвата и вмешательства злоумышленника на всех уровнях обработки данных и для всех объектов. 2. Обеспечение целостности данных на всех этапах их преобразования и сохранности средств программного обеспечения. Задачи подразделения: Предотвращение несанкционированного доступа (НСД) к информации. Предотвращение утечки информации за счет ПЭМИН. Защита информации от компьютерных вирусов. Защита информации от сбоев в системе питания. Защита от копирования. Программная защита каналов передачи данных. Информационно-аналитическое подразделение Выявление угроз включает в себя не только сбор и добывание информации, ее обработку и анализ, но и подготовку предложений в виде конкретных действий. Основными задачами такого центра являются: сбор и оперативное использование информации по гражданскому, уголовному и хозяйственному законодательству; подготовка и анализ заключаемых договоров, а также подготовка рекомендаций по вопросам правовой защиты от противоправных действий; сбор, накопление, обработка, анализ и выдача информации о возможных клиентах и партнерах, перспективах сотрудничества; работа с вкладчиками, акционерами, финансовыми брокерами и дилерами с использованием методов экономической разведки; подготовка и проведение рекламных кампаний; разработка мероприятий по участию фирмы в процессах политического лоббирования, схем поведения по отношению к политическим партиям и общественным движениям; Информационно-аналитическое подразделение сбор и анализ коммерческой информации, в явном или неявном виде присутствующей в средствах массовой информации; анализ процессов и тенденций в инвестиционно-финансовой сфере в России и за рубежом; сбор информации по конкурирующим фирмам, а также составление психологических портретов их лидеров; разработка концепции стратегического развития организации, подготовка, экспертиза и реализация отдельных организационнофинансовых проектов и технологий; сбор информации о процессах, происходящих в криминальных структурах, о криминогенной обстановке в районе деятельности фирмы; выработка рекомендаций и мер противодействия преступным посягательствам, направленным против банка (фирмы) и их сотрудников. В аналитическом подразделении фирмы обычно задействовано несколько сотрудников. Их функции подразделяются на две категории: сборщиков информации, занятых добыванием информации из различных источников; информационно-аналитических сотрудников. Режимы деятельности системы безопасности Повседневный Нормальное функционирование действия по прогнозированию, выявлению, оценке, предотвращению и нейтрализации всех видов угроз; · разработка, корректировка планов и программ обеспечения безопасности; · подбор, обучение, мониторинг и совершенствование кадров и ряд других действий. · Повышенной готовности · · · уточнение и совершенствование планов отражения угроз; повышение готовности сил поддержки; начало работы группы оперативного управления. Чрезвычайного положения · · · Функционирование при наличии угроз, требующих их пресечения Функционирование при наличии угроз, требующих их отражения совет по безопасности начинает работать ежедневно; обеспечивается полная готовность службы безопасности, сотрудников непосредственному отражению угроз; привлекаются силы поддержки и усиления органов внутренних дел. к Нештатные структуры СБ С целью более широкого охвата и качественного исполнения требований защиты коммерческой тайны решением руководства и службы безопасности могут создаваться отдельные комиссии, выполняющие определенные контрольно-ревизионные функции на временной или постоянной основе, в том числе: квартальные или годовые комиссии по проверке наличия, состояния и учета документов (материалов, сведений, ценностей); комиссия по оценке возможностей публикации периодических документов, объявлений, проспектов, интервью и других выступлений в печати, на радио и телевидении, семинарах, симпозиумах, конференциях и т.п.; периодические проверочные комиссии для проверки знаний и умения выполнять требования нормативных документов по защите банковской тайны, а также для оценки эффективности и надежности защитных мероприятий по обеспечению безопасности; специальные группы по аудиту безопасности организации. Варианты организации службы информационной безопасности Вариант 1. Один или несколько специалистов внутри ИТ- департамента Преимущества: Данный вариант легко реализуем, поскольку основывается на общих стереотипах. Возможность работы напрямую во внутренних или внешних ИТпроектах и способствовать внедрению требования по безопасности на этапе реализации, интеграция с ИТ. Недостатки: Консультационный режим работы. Подчиненное положение по отношению к ИТ. ИБ рассматривается как часть ИТ, что влечет за собой отсутствие комплексного подхода. А между тем, как известно, общий уровень защищенности оценивается по самому слабому звену. В случае если ИБ воспринимается как часть ИТнаправления, вопросы работы с пользователями, безопасности информационных потоков, безопасности бизнес-процессов и другие организационные и юридические моменты так и останутся неучтенными и будут слабым звеном. Это происходит потому, что у ИТпрофессионалов достаточно узкое представление о том, что такое информационная безопасность. Остаточное бюджетирование. Вариант 2, 3. Служба ИБ внутри службы общей безопасности Преимущества: Этот вариант также легко реализуем, поскольку основывается на другом распространенном стереотипе руководства. При подобном подходе есть возможность создания пласта организационных мер, способствующих повышению общего уровня защищенности. Недостатки: Консультационный режим работы. Непонимание проблем ИБ непосредственным руководством. Усложнение работы с ИТ-службой. Остаточное бюджетирование. Вариант 4,5 В качестве службы ИБ есть один или несколько человек, подчиняющихся напрямую топ-менеджменту Преимущества: Контакт с топ-менеджментом. Паритетное положение с ИТ. Недостатки: Отсутствие структуры, зависимость от чужих человеческих ресурсов. Отсутствие собственной бюджетной статьи. Данный вариант не подходит для крупных организаций. Служба ИБ организована в виде полноценной независимой структуры, подчиняющейся топ-менеджменту Преимущества: Контакт с топ-менеджментом. Наличие своей структуры и человеческих ресурсов. Наличие собственной бюджетной статьи. Равноправное положение со службой ИТ. Недостатки: Данный вариант не подходит для небольших организаций. Основные источники возможных конфликтов 1. Разделение функций ИБ 2. Контроль и исполнение 3. Битвы за бюджет 4. Внедрение требований 5. Борьба за статус и последнее слово. Предпосылки к эффективному взаимодействию упорядочивание ИТ инфраструктуры. Подобное упорядочивание часто является следствием инвентаризации и анализа рисков, что предшествует любому циклу работ по информационной безопасности. повышение осведомленности пользователей. Более предсказуемое и адекватное поведение пользователей часто является следствием проводимых с ними тренингов и инструктажей по информационной безопасности и облегчает работу ИТ служб по их сопровождению. объединение в битвах за бюджет. Например, если для одного из ИТпроектов необходимо дорогостоящее оборудование с расширенным функционалом, служба ИБ может помочь ИТ в обосновании затрат своей резолюцией на основании того, что у этого оборудования более развиты в том числе и функции безопасности. повышение уровня доступности, целостности и конфиденциальности информационных ресурсов.
