Разработка ИБ, в подробном описании угроз и пути решений.

Выделяются 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

0 уровень:

ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;

Финансирование отсутствует;

ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1 уровень:

ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;

Финансирование ведется в рамках общего ИТ-бюджета;

ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).

2 уровень:

ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;

Финансирование ведется в рамках отдельного бюджета;

ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3 уровень:

ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);

Финансирование ведется в рамках отдельного бюджета;

ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:

0 уровень - 30%,

1 уровень - 55%,

2 уровень - 10 %,

3 уровень - 5 %.

 Прогноз Gartner Group выглядит следующим образом:

 0 уровень - 20%,

1 уровень - 35%,

2 уровень - 30 %,

3 уровень - 15 %.

 Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

 

Исходя, из статистики следует, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Ко второй категории относятся штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.

В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам. Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании. Процесс анализа риска состоит из 6 последовательных этапов:

Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);

Категорирование ресурсов;

Построение модели злоумышленника;

Идентификация, классификация и анализ угроз и уязвимостей;

Оценка риска;

Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

Информационные ресурсы (конфиденциальная и критичная информация компании);

Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);

Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);

Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

параметр/значение     

критичный

существенный    

незначительный

 

строго конфиденциальный  

7      

6      

5

конфиденциальный     

6      

5      

4

для внутреннего пользования      

5      

4      

3

открытый 

4      

3      

2

Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Заключение

В настоящее время пожары зданий и сооружений производственного, жилого, социально-бытового и культурного назначения, а также массовые лесные и подземные торфяные пожары остаются самым распространенным бедствием. Зачастую пожары приводят к гибели людей и большим материальным ущербам. В этой связи большое значение имеет грамотное и неукоснительное соблюдение норм и правил пожарной безопасности. При этом, наряду с мерами по предотвращению пожаров, должны быть в состоянии полной готовности силы и средства по ликвидации пожаров и смягчению их последствий.

В последние несколько лет, несмотря на прогресс технологий, становится все более актуальна проблема пожарной безопасности. Пожаротушение неслучайно вызывает такой интерес к себе – любое возгорание приносит ущерб, прежде всего – материальный. А в некоторых случаях, когда, к примеру, загорается произведение искусства, урон просто не поддается денежной оценке.

В данной работе были рассмотрены основные положения пожарной безопасности, которые должны применяться на предприятиях и видов производственной деятельности. Более подробно была рассмотрена радиоканальная приемно-контрольная панель пожарной сигнализации РАДУГА 2А/4А. Система пожарной сигнализации РАДУГА 2А/4А имеет высокую чувствительность, обеспечивающую раннее обнаружение возгорания и устойчивость к ложным срабатываниям, что в совокупности позволяет создавать надежные, простые в эксплуатации и долговечные системы. Оптимальное соотношение цены и качества оборудования РАДУГА 2А/4А, и наличие широкого выбора разных по дизайну, цене и назначению извещателей являются залогом успешного применения продукции фирмы на объектах различного размера и уровня - от небольших и недорогих объектов до крупных и престижных зданий с самыми серьезными требованиями к качеству и дизайну оборудования.

Необходимо в заключение также отметить, что представленный выше материал является тем минимумом требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.

Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать «взлома» системы защиты.

Одной из основных составляющих КСЗИ является организационная структура, которая создается для выполнения организационных мер защиты, эксплуатации технических, программных и криптографических средств защиты, а также для контроля за выполнением установленных правил эксплуатации КС обслуживающим персоналом и пользователями. Такие структуры входят в состав службы безопасности ведомств, корпораций, фирм, организаций. Они могут иметь различный количественный состав и внутреннюю структуру. Это может быть отдел, группа или отдельное должностное лицо. Непосредственной эксплуатацией средств защиты и выполнением организационных мероприятий занимаются органы защиты информации, размещаемые на объектах КС. Их называют объектовыми органами защиты информации или органами обеспечения безопасности информации (ОБИ). Если объекты КС располагаются на одной территории с другими объектами ведомства, корпорации, фирмы, то часть функций, таких как охрана, разведывательная и контрразведывательная и некоторые другие выполняются соответствующими отделами службы безопасности. Подразделение (должностное лицо) ОБИ может входить организационно и в состав вычислительных центров или отделов автоматизации. При этом службы безопасности сохраняют за собой функции контроля и методического обеспечения функционирования КСЗИ. Количественный состав и его структура органа ОБИ определяется после завершения разработки КСЗИ. При создании органа ОБИ используются данные, полученные в результате разработки КСЗИ:

официальный статус КС и информации, обрабатываемой в системе;

перечень организационных мероприятий защиты и их характеристики;

степень автоматизации КСЗИ;

особенности технической структуры и режимы функционирования КС.

Органы ОБИ создаются в соответствии с законодательством РФ, регулирующим взаимоотношения граждан и юридических лиц в сфере информационных технологий. В зависимости от владельца, конфиденциальности и важности обрабатываемой в КС информации определяется юридический статус самой КС и органа ОБИ. В соответствии со статусом органа ОБИ определяются его юридические права и обязанности, определяется порядок взаимодействия с государственными органами, осуществляющими обеспечение безопасности информации в государстве.

 

Список литературы

1. http://forum.yurclub.ru/index.php?showtopic=228988

2. http://www.secuteck.ru/articles2/OPS/besprovodnoe_rasshirenie

3. http://www.polyset.ru/article/st433.php#

4. http://www.sb-market.ru/cat?sect=167

5. http://www.argus-spectr.ru/index.php?act=tovar&l=&id[]=5&id[]=56&id[]=317&id[]=319&clickId=319&tovar=178&subact=10

6. http://www.kontakt-vk.ru/?id=3&cat_id=6

7. http://www.grumant.ru/production/catalog/index.php?SECTION_ID=347

8. http://www.itsmonline.ru/phparticles/show_news_one.php?n_id=306

9. http://www.eusi.ru/lib/savgorodnij_kompleksnaja_sasita_informacii_v/3.shtml

10. http://www.ip-link.ru/skd_systems/obsluzhivanie_skd.html

11. http://www.astarcom.ru/ru/solutions/building/

12. http://www.am-soft.ua/site/page5063.html

Приложение

КСЗИ - это