Модель административного

управления защитой

1
Система Менеджмента Информационной Безопасности (СМИБ)

Для эффективного функционирования организации необходимо

идентифицировать и управлять многими процессами.

Процессом может считаться любое действие, использующее ресурсы, и

управляемое в целях преобразования входных данных в выходные.

Зачастую результат одного процесса обращается непосредственно во

входной сигнал другого.

Применение системы процессов в рамках организации наряду с

идентификацией и взаимодействием этих процессов, их менеджментом,
можно рассматривать как “концепцию процесса”.

Стандарт ИСО/МЭК 27001 представляет концепцию процесса управления

информационной безопасности .

2
Целью разработки СМИБ является обеспечение отбора только отвечающих
требованиям и соразмерных средств обеспечения безопасности, способных
защитить информационные активы и предоставить уверенность в безопасности
заинтересованным лицам.

Международный Стандарт ИСО/МЭК 27001 утверждает модель “Планируй-

Делай-Проверяй-Действуй” (PDCA), которая призвана структурировать все
процессы СМИБ.

Стандарт ИСО/МЭК 27001 представляет концепцию процесса управления

информационной безопасности

а) понимание требований информационной безопасности организации и

необходимости проводить политику и устанавливать цели информационной
безопасности;
б) введение директив по внедрению и эксплуатации для управления рисками
информационной безопасности организации в контексте суммарных бизнес-
рисков организации;
в) мониторинг и проверка качества функционирования и эффективности СМИБ;
г) постоянное совершенствование, основанное на реальных оценках.
3
 “Планируй-Делай-Проверяй-Действуй” (PDCA)

З аинтересован З аинтересован
ны е стороны ны е стороны
П ЛАН

С оздание С М И Б

В недрение и ВЫП О ЛН ЕН И Е

использование П оддерж ка и
С М И Б соверш енствование
ДЕЙ С ТВИ Е С М И Б

М ониторинг и проверка
С М И Б

И С П ЫТАН И Е
Требования и
ож идания Управляем ая
инф орм ацион инф орм ационная
ной
безопасность
безопасности

4
Р исунок 1 П рим енение м од ел и P D C A в проц ессах С М И Б
 Планирование Введение политики, установление целей, процессов и
(создание СМИБ) процедур, относящихся к  управлению риском и
совершенствованию информационной безопасности
для достижения результатов в соответствии с
политиками и целями организации.

Осуществление Внедрение и использование политик, директив,

(внедрение и процессов и мероприятий СМИБ.
использование СМИБ)

Испытание Оценка, а где возможно, и измерение

(мониторинг и эксплуатационных характеристик процессов в
проверка СМИБ) соответствии с политикой, целями СМИБ и
практическим опытом, отчёт по полученным
результатам для проверки.
Выполнение Проведение корректирующих и превентивных
(поддержка и мероприятий, основанных на результатах внутреннего
совершенствование аудита СМИБ и проверки или другой значимой
СМИБ) информации, в целях достижения постоянного
совершенствования СМИБ.
5
ПРИМЕР 1
Требование может быть таким: нарушения в информационной безопасности,
которые не приведут к серьёзному финансовому ущербу организации и/или
только доставят организации некоторые трудности.

ПРИМЕР 2
Ожидание может быть такое:

на случай происшествия серьёзного инцидента,

например атака на веб-сайт, через который организация осуществляет
Интернет-бизнес,
должны быть сотрудники, достаточно квалифицированные для проведения
соответствующих мероприятий в целях минимизации воздействия атаки.

6
Риск в сфере ИБ - потенциальная возможность понести убытки из-за
нарушения безопасности информационной системы (ИС).
Зачастую понятие риска путают с понятием угрозы.

Угроза ИБ - потенциально возможное происшествие, преднамеренное или

нет, которое может оказать нежелательное воздействие на компьютерную
систему, а также информацию, хранящуюся и обрабатывающуюся в ней.

Уязвимость ИС - это некая неудачная характеристика, которая делает

возможным возникновение угрозы. Уязвимость есть недостаточная
защищенность и/или некоторые ошибки в системе, а также наличие в системе
потайных входов в нее, оставленные разработчиками этой системы при ее
отладке и настройке.

От угрозы риск отличает наличие количественной оценки возможных потерь и

(возможно) оценки вероятности реализации угрозы.

7
Система менеджмента информационной безопасности (СМИБ)
это часть комплексной системы менеджмента, основанная на
концепции бизнес-рисков, предназначена для создания, внедрения,
использования, мониторинга, проверки, поддержки и
совершенствования информационной безопасности.

 
Система менеджмента включает:
1.организационную структуру,
2.политики безопасности,
3.мероприятия по планированию управления,
4.обязательства,
5.инструкции,
6.методики проведения, 
7.процедуры и ресурсы.

8
 Создание СМИБ

Для создания СМИБ организация должна сделать следующее.

 a) Определить масштаб и границы СМИБ

 b) Разработать политику СМИБ

c) Разработать концепцию оценки риска в организации

  d) Выявить риски

e) Проанализировать и оценить риски

f) Выявить и оценить инструменты для сокращения риска

 g) Выбрать задачи и средства управления для сокращения рисков

h) Достигнуть утверждения управления предполагаемыми остаточными рисками

i) Достигнуть авторизации управления для функционирования СМИБ

 j) Составить Декларацию Применимости 9

 Требования к политике Системы Менеджмента Информационной
Безопасности

1. включает систему постановки целей (задач) и устанавливает общее

направление руководства и принципы действия относительно
информационной безопасности;
2. принимает во внимание деловые и юридические или регулятивные
требования, договорные обязательства по безопасности;
3. присоединена к стратегической среде управления риском, в которой
имеет место создание и поддержка СМИБ;
4. устанавливает критерии, по которым будет оцениваться риск;
5. утверждена руководством.

10
 Разработка концепции оценки риска в организации.

1. Определить методологию оценки риска, которая подходит СМИБ, и

установленной деловой информационной безопасности, юридическим
и регулятивным требованиям.
2.Разрабатывать критерии принятия риска и определять приемлемые
уровни риска.
3.Выбранная методология оценки риска должна гарантировать, что
оценка риска приносит сравнимые и воспроизводимые результаты.

11
 Выявление рисков
1.Определить активы в рамках положений СМИБ, и владельцев.
Термин «владелец» отождествляется с индивидом или субъектом,
который утвержден нести ответственность за контроль
производства, развития, технического обслуживания, применения и
безопасности активов. Термин «владелец» не означает, что
персона действительно имеет какие-либо права собственности на
актив.
2.Выявить опасности для этих активов.
3.Выявить уязвимые места в системе защиты.
4.Выявить воздействия, которые разрушают конфиденциальность,
целостность и доступность активов.

12
 Анализ и оценка рисков 
1.Оценить ущерб бизнесу организации, который может быть нанесён
вследствие несостоятельности системы защиты, а также являться
последствием нарушения конфиденциальности, целостности, или
доступности активов.
2.Определить вероятность провала системы безопасности в свете
преобладающих опасностей и уязвимостей, ударов, связанных с
активами, и внедренных в настоящее время элементов управления.
3.Оценить уровни риска.
4.Определить приемлемость риска, или же требовать его сокращения,
используя критерии допустимости риска.

13
Выявление и оценка инструментов для сокращения риска
 
1.Применение подходящих элементов управления;
2.Сознательное и объективное принятие рисков, гарантирующее их безусловное
соответствие требованиям политики организации и критериям допустимости
риска;
3.Избежание риска;
4.Передача соответствующих бизнес-рисков другой стороне, например, страховым
компаниям, поставщикам.

14
 Выбор задач и средств управления для сокращения рисков
Задачи и средства управления должны быть выбраны и внедрены в
соответствии с требованиями, установленными процессом оценкой риска и
сокращения риска.
Выбор должен учитывать:
• критерии допустимости риска,
•юридические, регулятивные и договорные требования.
1.Достигнуть утверждения управления предполагаемыми остаточными рисками.
2.Достигнуть авторизации управления для функционирования СМИБ.
3.Составить Декларацию Применимости
Декларация Применимости должна включать следующее:
•задачи и средства управления, причины их выбора;
•задачи и средства управления, действующие в настоящее время;
•исключение каких-либо задач и средств управления и обоснование их
исключения.
15
Основные принципы обеспечения информационной безопасности организации 
1. Общие принципы безопасного функционирования организации
1.1. Своевременность обнаружения проблем
1.2. Прогнозируемость развития проблем.
1.3. Оценка влияния проблем на бизнес-цели.
1.4. Адекватность защитных мер. (Адекватное— вполне соответствующее,
соразмерное, согласующееся, верное, точное, тождественное.)
1.5. Эффективность защитных мер.
1.6. Использование опыта при принятии и реализации решений.
1.7. Непрерывность принципов безопасного функционирования.
1.8. Контролируемость защитных мер.

2. Специальные принципы обеспечения ИБ организации

2.1. Определенность целей.

2.2. Знание своих клиентов и служащих.
2.3. Персонификация и адекватное разделение ролей и ответственности.
2.4. Адекватность ролей функциям и процедурам и их сопоставимость с
критериями и системой оценки.
2.5. Доступность услуг и сервисов.
2.6. Наблюдаемость и оцениваемость обеспечения ИБ.
Реализация специальных принципов обеспечения ИБ направлена на 16
повышение уровня зрелости процессов управления ИБ в организации.
 Политика безопасности
В основе организационных мер защиты информации лежат политики
безопасности организации (ПБ), от эффективности которых в наибольшей
степени зависит успешность мероприятий по обеспечению ИБ.

Политика безопасности:
Принятая организованная совокупность мероприятий, регламентирующих
правовые аспекты обработки защищаемой информации, разрабатываемая с
учетом действующего законодательства, руководящих и нормативных материалов,
положений, инструкций, правил и т.п. в области обращения, хранения и
распределения защищаемой информации.
Политика безопасности (security policy) - это формальное описание правил,
которые должны соблюдать пользователи данной организации, которым
предоставлен доступ к информационным ценностям организации и ее
информационным технологиям.

В широком смысле, ПБ - система документированных управленческих решений

по обеспечению ИБ организации.
В узком смысле ПБ - локальный нормативный документ, определяющий
требования безопасности, систему мер, либо порядок действий, а также
ответственность сотрудников организации и механизмы контроля для
определенной области обеспечения ИБ. 17
 Цель ПБ
Обеспечить поддержку и управление информационной безопасностью.

Высшие руководители должны выработать четкое руководство и

демонстрировать свою поддержку и участие в обеспечении
информационной безопасности посредством проведения политики
информационной безопасности во всей организации.

Письменный документ с изложением политики должен быть доступен

всем сотрудникам, ответственным за информационную безопасность.

Высшее руководство должно издать в письменной форме положение

об информационной политике для всех подразделений организации.

18
Положение об информационной политике для всех подразделений организации.

Должно содержать принципы:

• определение информационной безопасности, ее целей и сферы применения,
а также ее значимости как механизма, обеспечивающего совместное
использование информации;

• заверение руководства о его намерении поддерживать цели и задачи

информационной безопасности;

• разъяснение специфических направлений политики безопасности, принципов,

стандартов и соответствия требованиям, включая:

a. соответствие нормативно-правовым и контрактным требованиям;

b. требования по обучению в области обеспечения безопасности;
c. политику планирования бесперебойной работы.

• определение общей и особой ответственности для всех аспектов

информационной безопасности;

• разъяснение процедуры сообщения о подозрительных инцидентах,

затрагивающих проблемы безопасности.
19
Выработка официальной политики предприятия в области
информационной безопасности

1.2.1. Краткий обзор

1.2.1.1. Организационные вопросы
1.2.1.2. Кто делает политику?
1.2.1.3. Кого затрагивает политика?
1.2.1.4. Распределение ответственности
1.2.2. Оценка рисков
1.2.2.1. Общие положения
1.2.2.2. Идентификация активов
1.2.2.3. Идентификация угроз
1.2.3. Политические вопросы
1.2.3.1. Кто имеет право использовать ресурсы?
1.2.3.2. Как правильно использовать ресурсы?
1.2.3.3. Кто наделен правом давать привилегии и разрешать
использование?
1.2.3.4. Кто может иметь административные привилегии?
1.2.3.5. Каковы права и обязанности пользователей?

20
 1.2.1.1. Организационные вопросы
Целью разработки официальной политики предприятия в области
информационной безопасности является определение правильного (с точки
зрения организации) способа использования информационных,
вычислительных и коммуникационных ресурсов, а также разработка процедур,
предотвращающих или реагирующих на нарушения режима безопасности.

Чтобы достичь данной цели, следует учесть специфику конкретной

1.организации:
необходимо принять во внимание цели и основные направления
деятельности организации.
2. разрабатываемая политика должна согласовываться с существующими
законами и правилами, относящимися к организации.
3. если локальная сеть организации не является изолированной, вопросы
безопасности следует рассматривать в более широком контексте.
Политика должна освещать проблемы, возникающие на локальном
компьютере из-за действий удаленной стороны, а также удаленные
проблемы, причиной которых является локальный хост или пользователь.

21
 1.2.1.2. Кто делает политику?
Политика безопасности должна стать результатом совместной деятельности
технического персонала, способного понять все аспекты политики и ее
реализации, а также руководителей, способных влиять на проведение политики
в жизнь.

Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников

организации, следует позаботиться о том, чтобы у Вас было достаточно
полномочий для принятия политических решений.

22
 1.2.1.3. Кого затрагивает политика?
Политика безопасности потенциально затрагивает всех пользователей
компьютеров в организации, причем по нескольким аспектам.
Пользователи могут отвечать за администрирование собственных паролей.
Системные администраторы или администраторы безопасности обязаны
ликвидировать слабые места в защите и надзирать за работой всех систем.

К разработке политики безопасности, следует привлечь:

•Специалистов подразделения информационной безопасности;
•специалистов по аудиту и управлению, по физической безопасности, по
информационным системам и т.п.

Тем самым будет подготовлена почва для понимания и одобрения политики.

23
 1.2.1.4. Распределение ответственности

Ключевым элементом политики является доведение до каждого его

обязанностей по поддержанию режима безопасности.

Политика не может предусмотреть всего, однако она обязана гарантировать,

что для каждого вида проблем существует ответственный.

В связи с информационной безопасностью можно выделить несколько уровней

ответственности:
1) Каждый пользователь компьютерного ресурса обязан заботиться о защите
своего ресурса. Пользователь, допустивший компрометацию своего ресурса,
увеличивает вероятность компрометации других ресурсов, ресурсов, которыми
владеют другие пользователи.
2) Системные администраторы образуют другой уровень ответственности. Они
должны обеспечивать защиту компьютерных систем.
3) Сетевые администраторы.
4) Администраторы безопасности - еще более высокий уровень обеспечения
информационной безопасности.
24
1.2.2. Оценка рисков
1.2.2.1. Общие положения
Один из главных побудительных мотивов выработки политики безопасности
состоит в получении уверенности, что деятельность по защите информации
построена экономически оправданным образом.

Процесс анализа рисков включает в себя определение того, что следует

защищать, от чего защищать и как это делать.
Необходимо рассмотреть все возможные риски и ранжировать их в
зависимости от потенциального размера ущерба.

Далее будут рассмотрены два этапа процесса анализа рисков:

1.идентификация активов,
2.идентификация угроз.

Главной целью деятельности в области информационной безопасности

является обеспечение 1) доступности, 2) целостности и 3)
конфиденциальности каждого информационного актива.

При анализе угроз следует принимать во внимание их воздействие на

активы по этим трем направлениям.
25
 1.2.2.2. Идентификация активов
Необходимо определить, что может пострадать от нарушений режима
безопасности.
Классификация активов:

1.Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие

станции, персональные компьютеры, принтеры, дисководы,
коммуникационные линии, терминальные серверы, мосты, маршрутизаторы.
2.Программное обеспечение: исходные тексты, объектные модули,
утилиты, диагностические программы, операционные системы,
коммуникационные программы.
3.Данные: обрабатываемые, непосредственно доступные, архивированные,
сохраненные в виде резервной копии, регистрационные журналы, базы
данных, данные, передаваемые по коммуникационным линиям.
4.Люди: пользователи, обслуживающий персонал.
5.Документация: по программам, по аппаратуре, системная, по
административным процедурам, по безопасности.
6.Расходные материалы: бумага, формы, бланки, красящая лента,
магнитные носители. 26
 1.2.2.3. Идентификация угроз
Необходимо идентифицировать угрозы активам и размеры возможного
ущерба. Это поможет понять, каких угроз следует опасаться больше всего.

Несанкционированный доступ
Нелегальное ознакомление с информацией
Отказ в обслуживании

27
1.2.3. Политические вопросы

1.2.3.1. Кто имеет право использовать ресурсы?

1.2.3.2. Как правильно использовать ресурсы?
1.2.3.3. Кто наделен правом давать привилегии и разрешать использование?
1.2.3.4. Кто может иметь административные привилегии?
1.2.3.5. Каковы права и обязанности пользователей?
1.2.3.6. Каковы права и обязанности администраторов безопасности
(системных и сетевых администраторов) по отношению к другим
пользователям?
1.2.3.7. Как работать с конфиденциальной информацией?

28
1.2.3.1. Кто имеет право использовать ресурсы?
Одним из шагов в разработке политики безопасности является определение
того, кто может использовать Ваши системы и сервисы. Должно быть явно
сказано, кому дается право использовать те или иные ресурсы.

29
1.2.3.2. Как правильно использовать ресурсы?
После определения круга лиц, имеющих доступ к системным ресурсам,
необходимо описать правильные и неправильные способы использования
ресурсов.
Для разных категорий пользователей (студентов, внешних пользователей,
штатных сотрудников и т.д.) эти способы могут различаться.
Должно быть явно сказано, что допустимо, а что — нет.

Для регламентации доступа к ресурсам нужно дать ответы на следующие

вопросы:
•Разрешается ли использование чужих ресурсов?
•Разрешается ли отгадывать чужие пароли?
•Разрешается ли разрушать сервисы?
•Должны ли пользователи предполагать, что если файл доступен всем на
чтение, то они имеют право его читать?
•Имеют ли право пользователи модифицировать чужие файлы, если по каким-
либо причинам у них есть доступ на запись?
•Должны ли пользователи разделять ресурсы? 30
1.2.3.3. Кто наделен правом давать привилегии и разрешать использование?

Политика безопасности должна давать ответ на вопрос, кто распоряжается

правами доступа к сервисам.
Необходимо точно знать, какие именно права им позволено распределять.

Будут ли права доступа распределяться централизованно или из нескольких

мест?
Можно установить единый распределительный пункт или передать
соответствующие права подразделениям и отделам.
Чем сильнее централизация, тем проще поддерживать режим безопасности.

Какие методы предполагается использовать для заведения учетных записей и

запрещения доступа?

Необходимо проверить механизм заведения учетных записей с точки зрения

безопасности.

31
1.2.3.4. Кто может иметь административные привилегии?

Одно из решений, которое должно быть тщательно взвешено, относится к

выбору лиц, имеющих доступ к административным привилегиям и паролям для
сервисов. Очевидно, подобный доступ должны иметь системные
администраторы, но неизбежны ситуации, когда за привилегиями будут
обращаться другие пользователи, что следует с самого начала предусмотреть в
политике безопасности.

Разумнее всего давать пользователям ровно те права, которые нужны им для

выполнения своих обязанностей.

Сотрудники, имеющие специальные привилегии, должны быть подотчетны

некоторому должностному лицу, и это также необходимо отразить в политике
безопасности предприятия.

32
 1.2.3.5. Каковы права и обязанности пользователей?

Каковы общие рамки использования ресурсов? Существуют ли ограничения на

ресурсы и каковы они?

Что является злоупотреблением с точки зрения производительности системы?

Разрешается ли пользователям совместное использование учетные записи?

Как "секретные" пользователи должны охранять свои пароли?

Как часто пользователи должны менять пароли?

Как обеспечивается резервное копирование — централизованно или

индивидуально?

Как реагировать на случаи просмотра конфиденциальной информации?

Как соблюдается конфиденциальность почты?

Какова политика в отношении неправильно адресованной почты или отправлений

по спискам рассылки или в адрес дискуссионных групп?
33
Какова политика по вопросам электронных коммуникаций (подделка почты и т.п.)?
 Политика защиты права сотрудников на тайну.

Критерии оценки

Согласуется ли политика с существующим законодательством и с обязанностями

по отношению к третьим сторонам?

Не ущемляются ли без нужды интересы работников, работодателей или третьих

сторон?

Реалистична ли политика и вероятно ли ее проведение в жизнь?

Затрагивает ли политика все виды передачи и хранения информации,

используемые в организации?

Объявлена ли политика заранее и получила ли она одобрение всех

заинтересованных сторон?

34
1.2.3.6. Каковы права и обязанности администраторов безопасности по
отношению к другим пользователям?
Может ли администратор отслеживать или читать пользовательские файлы при
каких-либо обстоятельствах?
Какие обязательства администратор при этом берет на себя?
Имеют ли право администраторы исследовать сетевой трафик?

1.2.3.7. Как работать с конфиденциальной информацией?

1.2.4. Что делать, когда политику безопасности нарушают?
1.2.4.1. Выработка ответа на нарушение политики
1.2.4.2. Что делать, когда местные пользователи нарушают политику
безопасности сторонней организации?
1.2.4.3. Спецификация контактов с внешними организациями и определение
ответственных
1.2.4.4. Каковы обязанности по отношению к соседям и другим
пользователям Интернет?
1.2.4.5. Процедурные вопросы реагирования на нарушения
1.2.5. Пресекать или следить? ("защититься и продолжить" или "выследить и осудить" )
1.2.6. Толкование политики безопасности
1.2.7. Гласность политики безопасности

35