Разработка ИБ, в подробном описании угроз и пути решений.
Выделяются 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ): 0 уровень: ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ; Финансирование отсутствует; ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам). 1 уровень: ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании; Финансирование ведется в рамках общего ИТ-бюджета; ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты). 2 уровень: ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании; Финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства). 3 уровень: ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ); Финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса). По информации Gartner Group процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом: 0 уровень - 30%, 1 уровень - 55%, 2 уровень - 10 %, 3 уровень - 5 %. Прогноз Gartner Group выглядит следующим образом: 0 уровень - 20%, 1 уровень - 35%, 2 уровень - 30 %, 3 уровень - 15 %. Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень). При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.
Исходя, из статистики следует, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки). Ко второй категории относятся штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group). Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ. К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства). Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность. В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам. Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании. Процесс анализа риска состоит из 6 последовательных этапов: Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите); Категорирование ресурсов; Построение модели злоумышленника; Идентификация, классификация и анализ угроз и уязвимостей; Оценка риска; Выбор организационных мер и технических средств защиты. На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям: Информационные ресурсы (конфиденциальная и критичная информация компании); Программные ресурсы (ОС, СУБД, критичные приложения, например ERP); Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование); Сервисные ресурсы (электронная почта, www и т.д.). Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании. Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу: параметр/значение критичный существенный незначительный
строго конфиденциальный 7 6 5 конфиденциальный 6 5 4 для внутреннего пользования 5 4 3 открытый 4 3 2 Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335. Заключение В настоящее время пожары зданий и сооружений производственного, жилого, социально-бытового и культурного назначения, а также массовые лесные и подземные торфяные пожары остаются самым распространенным бедствием. Зачастую пожары приводят к гибели людей и большим материальным ущербам. В этой связи большое значение имеет грамотное и неукоснительное соблюдение норм и правил пожарной безопасности. При этом, наряду с мерами по предотвращению пожаров, должны быть в состоянии полной готовности силы и средства по ликвидации пожаров и смягчению их последствий. В последние несколько лет, несмотря на прогресс технологий, становится все более актуальна проблема пожарной безопасности. Пожаротушение неслучайно вызывает такой интерес к себе – любое возгорание приносит ущерб, прежде всего – материальный. А в некоторых случаях, когда, к примеру, загорается произведение искусства, урон просто не поддается денежной оценке. В данной работе были рассмотрены основные положения пожарной безопасности, которые должны применяться на предприятиях и видов производственной деятельности. Более подробно была рассмотрена радиоканальная приемно-контрольная панель пожарной сигнализации РАДУГА 2А/4А. Система пожарной сигнализации РАДУГА 2А/4А имеет высокую чувствительность, обеспечивающую раннее обнаружение возгорания и устойчивость к ложным срабатываниям, что в совокупности позволяет создавать надежные, простые в эксплуатации и долговечные системы. Оптимальное соотношение цены и качества оборудования РАДУГА 2А/4А, и наличие широкого выбора разных по дизайну, цене и назначению извещателей являются залогом успешного применения продукции фирмы на объектах различного размера и уровня - от небольших и недорогих объектов до крупных и престижных зданий с самыми серьезными требованиями к качеству и дизайну оборудования. Необходимо в заключение также отметить, что представленный выше материал является тем минимумом требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации. Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать «взлома» системы защиты. Одной из основных составляющих КСЗИ является организационная структура, которая создается для выполнения организационных мер защиты, эксплуатации технических, программных и криптографических средств защиты, а также для контроля за выполнением установленных правил эксплуатации КС обслуживающим персоналом и пользователями. Такие структуры входят в состав службы безопасности ведомств, корпораций, фирм, организаций. Они могут иметь различный количественный состав и внутреннюю структуру. Это может быть отдел, группа или отдельное должностное лицо. Непосредственной эксплуатацией средств защиты и выполнением организационных мероприятий занимаются органы защиты информации, размещаемые на объектах КС. Их называют объектовыми органами защиты информации или органами обеспечения безопасности информации (ОБИ). Если объекты КС располагаются на одной территории с другими объектами ведомства, корпорации, фирмы, то часть функций, таких как охрана, разведывательная и контрразведывательная и некоторые другие выполняются соответствующими отделами службы безопасности. Подразделение (должностное лицо) ОБИ может входить организационно и в состав вычислительных центров или отделов автоматизации. При этом службы безопасности сохраняют за собой функции контроля и методического обеспечения функционирования КСЗИ. Количественный состав и его структура органа ОБИ определяется после завершения разработки КСЗИ. При создании органа ОБИ используются данные, полученные в результате разработки КСЗИ: официальный статус КС и информации, обрабатываемой в системе; перечень организационных мероприятий защиты и их характеристики; степень автоматизации КСЗИ; особенности технической структуры и режимы функционирования КС. Органы ОБИ создаются в соответствии с законодательством РФ, регулирующим взаимоотношения граждан и юридических лиц в сфере информационных технологий. В зависимости от владельца, конфиденциальности и важности обрабатываемой в КС информации определяется юридический статус самой КС и органа ОБИ. В соответствии со статусом органа ОБИ определяются его юридические права и обязанности, определяется порядок взаимодействия с государственными органами, осуществляющими обеспечение безопасности информации в государстве.
Список литературы 1. http://forum.yurclub.ru/index.php?showtopic=228988 2. http://www.secuteck.ru/articles2/OPS/besprovodnoe_rasshirenie 3. http://www.polyset.ru/article/st433.php# 4. http://www.sb-market.ru/cat?sect=167 5. http://www.argus-spectr.ru/index.php?act=tovar&l=&id[]=5&id[]=56&id[]=317&id[]=319&clickId=319&tovar=178&subact=10 6. http://www.kontakt-vk.ru/?id=3&cat_id=6 7. http://www.grumant.ru/production/catalog/index.php?SECTION_ID=347 8. http://www.itsmonline.ru/phparticles/show_news_one.php?n_id=306 9. http://www.eusi.ru/lib/savgorodnij_kompleksnaja_sasita_informacii_v/3.shtml 10. http://www.ip-link.ru/skd_systems/obsluzhivanie_skd.html 11. http://www.astarcom.ru/ru/solutions/building/ 12. http://www.am-soft.ua/site/page5063.html Приложение КСЗИ - это
Популярное: Почему двоичная система счисления так распространена?: Каждая цифра должна быть как-то представлена на физическом носителе... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (212)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |