Вы находитесь на странице: 1из 6

Посторенние и исследование СУИБ для «СТС»

Основные функции систем управления


информационной безопасностью (СУИБ) — это:
— выявление и анализ рисков информационной безопасности
— планирование и практическая реализация процессов, направленных на
минимизацию рисков ИБ
— контролирование этих процессов
— внесение в процессы минимизации информационных рисков необходимых
корректировок.

Качественное управление информационной


безопасностью базируется на следующих принципах:
— комплексный подход — управление ИБ должно быть всеобъемлющим,
охватывать все компоненты ИС и учитывать все актуальные
рискообразующие факторы, действующие в информационной системе
предприятия или госучреждения и за их пределами
— согласованность с задачами и стратегией организации
— высокий уровень управляемости
— адекватность используемой и генерируемой информации
— эффективность — оптимальный баланс между возможностями,
производительностью и издержками СУИБ
— непрерывность управления
— процессный подход — связывание процессов управления в замкнутый
цикл планирования, внедрения, проверки, аудита и корректировки, и
поддержание неразрывной связи между этапами цикла, что позволяет
сохранять и постоянно повышать качество СУИБ[5].

Выявление и анализ рисков информационной


безопасности.
Выявлением и анализом рисков информационной безопасности занимается
отдел обеспечения ИБ. После выявления риска, отдел ИБ предлагает решение
для этой проблемы.

Управление рисками

Управление рисками включает в себя два вида деятельности, которые


чередуются циклически:

 регламентную оценку рисков;


 выбор эффективных и экономичных защитных средств (нейтрализация
рисков).

По отношению к выявленным рискам возможны следующие действия:

 ликвидация риска (например, за счет устранения уязвимости);


 уменьшение риска (например, за счет использования дополнительных
защитных средств или действий);
 принятие риска (и выработка плана действия в соответствующих
условиях).

Управление рисками можно подразделить на следующие этапы:

 инвентаризация анализируемых объектов;


 выбор методики оценки рисков;
 идентификация активов;
 анализ угроз и их последствий;
 определение уязвимостей в защите;
 оценка рисков;
 выбор защитных мер;
 реализация и проверка выбранных мер;
 оценка остаточного риска.

Для определения основных рисков можно следовать следующей


цепочке: источник угрозы > фактор (уязвимость) > угроза (действие) >
последствия (атака).

 Источник угрозы — это потенциальные антропогенные, техногенные или


стихийные носители угрозы безопасности.
 Угроза (действие) — это возможная опасность (потенциальная или
реально существующая) совершения какого-либо деяния (действия или
бездействия), направленного против объекта защиты (информационных
ресурсов), наносящего ущерб собственнику, владельцу или пользователю,
проявляющегося в опасности искажения и потери информации. 
 Фактор (уязвимость) — это присущие объекту информатизации причины,
приводящие к нарушению безопасности информации на конкретном объекте
и обусловленные недостатками процесса функционирования объекта
информатизации, свойствами архитектуры автоматизированной системы,
протоколами обмена и интерфейсами, применяемыми программным
обеспечением и аппаратной платформой, условиями эксплуатации. 
 Последствия (атака) — это возможные последствия реализации угрозы
(возможные действия) при взаимодействии источника угрозы через
имеющиеся факторы (уязвимости). 

Действия: внедрение политики информационной безопасности


компании.

Идентификация технических уязвимостей

Идентификация технических уязвимостей производится для внешнего и


внутреннего периметра корпоративной сети. Внешний периметр – это
совокупность всех точек входа в сеть. К внутреннему периметру относятся
хосты и приложения, доступные изнутри. 

Традиционно используются два основных метода


тестирования:

 тестирование по методу «черного ящика»;


 тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у


тестирующей стороны каких-либо знаний о конфигурации и внутренней
структуре объекта испытаний. При этом против объекта испытаний
реализуются все известные типы атак и проверяется устойчивость системы
защиты в отношении этих атак. Используемые методы тестирования
эмитируют действия потенциальных злоумышленников, пытающихся
взломать систему защиты. 

Метод «белого ящика» предполагает составление программы тестирования


на основании знаний о структуре и конфигурации объекта испытаний. В ходе
тестирования проверяется наличие и работоспособность механизмов
безопасности, соответствие состава и конфигурации системы защиты
требованиям безопасности. Выводы о наличии уязвимостей делаются на
основании анализа конфигурации используемых средств защиты и
системного ПО, а затем проверяются на практике.

Действия: аудит информационной безопасности, в том числе и регламентный


(например, согласно требованиям PCI DSS).

Обработка рисков

При объединении ценности активов с угрозами и уязвимостями необходимо


рассмотреть возможность создания комбинацией угроза/уязвимость проблем
для конфиденциальности, целостности и/или доступности этих активов. В
зависимости от результатов этих рассмотрений должны быть выбраны
подходящие значения ценности активов, т.е. значения, которые выражают
последствия нарушения конфиденциальности, или целостности, или
доступности. 

Использование этого метода может привести к рассмотрению одного, двух


или трех рисков для одного актива, в зависимости от конкретной
рассматриваемой комбинации угроза/уязвимость. 

При определении актуальных угроз, экспертно-аналитическим методом


определяются объекты защиты, подверженные воздействию той или иной
угрозы, характерные источники этих угроз и уязвимости, способствующие
реализации угроз. 

На основании анализа составляется матрица взаимосвязи источников угроз и


уязвимостей из которой определяются возможные последствия реализации
угроз (атаки) и вычисляется коэффициент опасности этих атак как
произведение коэффициентов опасности соответствующих угроз и
источников угроз, определенных ранее. При этом предполагается, что атаки,
имеющие коэффициент опасности менее 0,1 (предположение экспертов), в
дальнейшем могут не рассматриваться из-за малой вероятности их
совершения на рассматриваемом объекте.

Действия: Консолидация и контроль соответствия требованиям ИТ и


ИБ политик.
Нейтрализация и контрмеры

Нейтрализация рисков включает определение приоритетов, оценку и


реализацию контрмер, уменьшающих риски и рекомендованных по
результатам оценки рисков.
Поскольку полное устранение рисков невозможно, руководство организации
должно следовать принципу минимальной достаточности, реализуя только
необходимые, наиболее подходящие регуляторы безопасности с целью
уменьшения рисков до приемлемого уровня с минимальным негативным
воздействием на бюджет, ресурсы и миссию организации.

Необходимым элементом управления рисками является оценка


экономической эффективности, цель которой — продемонстрировать, что
затраты на реализацию дополнительных контрмер окупаются за счет
снижения рисков. При вычислении затрат на реализацию регуляторов
безопасности следует учитывать:

 затраты на приобретение аппаратного и программного обеспечения;


 снижение эксплуатационной эффективности ИС, если
производительность или функциональность системы падает в результате
усиления мер безопасности;
 затраты на разработку и реализацию дополнительных политик и
процедур;
 дополнительные затраты на персонал, вовлеченный в реализацию
предложенных регуляторов безопасности;
 затраты на обучение персонала;
 затраты на сопровождение.

В качестве мер обеспечения могут быть внедрены следующие решения (как


по отдельности, так и в совокупности), подготовленными штатными
специалистами и/или с помощью аутсорсинга информационной
безопасности:

 Системы защиты от атак на прикладном уровне (WAF);


 Системы управления инцидентами и событиями ИБ (SIEM);
 Системы управления соответствием требованиям ИБ (Compliance
Management);
 Системы управления идентификационными данными и доступом
(IAM);
 Системы однократной и многофакторной аутентификации в
корпоративных сетях;
 Системы защиты от утечки конфиденциальной информации (DLP);
 Системы управления доступом к информации (IRM);
 Инфраструктуры открытых ключей (PKI);
 Решения по сетевой безопасности;
 Системы антивирусной защиты;
 Системы защиты электронной почты от спама, вирусов и других угроз;
 Системы контентной фильтрации web-трафика;
 Системы контроля доступа к периферийным устройствам и
приложениям;
 Системы контроля целостности программных сред;
 Системы криптографической защиты при хранении информации.

Действия: внедрение технических мер для обеспечения информационной


безопасности; внедрение административных мер; повышение уровня
осведомленности персонала.