Оценка стоимости
Процесс обеспечения информационной безопасности начинается с оценки имущества: определения информационных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невозможно эффективно выполнить программу защиты этих активов.
Данный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно выбрать рентабельную контрмеру для уменьшения этого риска.
Цели оценки информационной безопасности следующие:
· определить ценность информационных активов;
· определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемости этих активов;
· определить существующие уязвимые места в практической деятельности организации;
· установить риски организации в отношении информационных активов;
· предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
· обеспечить базу для создания соответствующего проекта обеспечения безопасности.
Перечисленные цели не изменят тип оценки, принятый в организации. Однако степень приближения каждой цели зависит от масштабов работы.
Перечислим пять основных видов оценки.
· Оценка уязвимых мест на системном уровне. Компьютерные системы исследованы на известные уязвимости и простейшие политики соответствия техническим требованиям.
· Оценка на сетевом уровне. Произведена оценка существующей компьютерной сети и информационной инфраструктуры и выявлены зоны риска.
· Общая оценка риска в рамках организации. Произведен анализ всей организации с целью выявления угроз для ее информационных активов. Установлены уязвимости в местах обработки информации по всей организации. Исследована информация, представленная как в электронном виде, так и на физических носителях.
|
· Аудит. Исследована существующая политика и соответствие организации этой политике.
· Испытание на возможность проникновения. Исследована способность организации реагировать на смоделированное проникновение. Этот тип оценки пригоден только для организаций с высокоразвитой программой безопасности.
В последующем обсуждении предположим, что во время проведения аудита будет проведено также испытание на возможность проникновения. Эти виды оценки подразумевают некоторое предварительное понимание рисков и наличие опыта в практической реализации системы безопасности и управления риском. Ни один из видов оценки не подходит, когда организация пробует понять текущее состояние безопасности.
Необходимо провести оценку собранной информации из трех главных источников:
· опрос работников;
· проверка документации;
· инвентаризация.
Нужно проводить опрос работников, которые будут обеспечивать информацией существующие системы безопасности и направления деятельности организации. Не рекомендуется смешивать служебный персонал и руководителей. Опрашивающий должен непринужденно направить разговор на задачи оценки и на то, как человек может содействовать защите информационных активов. Имейте в виду, что сотрудник может заверить вас, что ни одно из направлений обеспечения информационной безопасности активов за ним не закреплено.
|
Обязательно изучите все существующие политики, связанные с безопасностью. Исследование не должно ограничиваться только готовыми документами, внимательно прочитайте и черновики.
Последний этап сбора информации - инвентаризация всех материальных ценностей организации.
При проведении оценки изучают следующие моменты:
· сетевое окружение;
· физические меры безопасности;
· существующие политики и процедуры;
· меры предосторожности, принятые на местах;
· осведомленность работников в вопросах безопасности;
· персонал;
· загруженность персонала;
· взаимоотношения работников;
· строгое соблюдение работниками установленной политики и мероприятий;
· специфику деятельности.
Сетевое окружение
Обычно в сетевом окружении находятся открытые точки доступа к информации и системам. Исследование сети начинают с построения диаграммы сети и рассматривают каждую точку возможного подключения.
Примечание
Диаграмма сети зачастую бывает неточной или устаревшей, следовательно, крайне важно, чтобы она была не единственным источником информации, используемым для определения критических сетевых компонентов.
Расположение серверов, рабочих станций, доступ в интернет, соединения наборного доступа, соединения с удаленными офисами и партнерами должны полностью представлены на диаграмме сети. На основании диаграммы и информации, полученной от системного администратора, собираются следующие данные:
· тип и количество систем в сети;
|
· операционные системы и их версии;
· топология сети (коммутаторы, маршрутизаторы, мосты и т. д.)
· точки доступа к интернету;
· использование интернета;
· типы, количество и версии всех межсетевых экранов;
· точки входа соединений наборного доступа;
· беспроводные точки доступа;
· тип удаленного доступа;
· топология глобальной сети;
· точки доступа в удаленных офисах;
· точки доступа других организаций;
· расположение веб-серверов, FTP-серверов и почтовых шлюзов;
· используемые протоколы;
· лица, осуществляющие управление сетью.
После определения архитектуры сети выявляются внутренние защитные механизмы сети:
· списки управления доступом маршрутизаторов, правила межсетевых экранов на всех точках доступа в интернет;
· механизмы идентификации, используемые для удаленного доступа;
· защитные механизмы во всех точках доступа других организаций;
· механизмы шифрования, используемые для передачи и хранения информации;
· механизмы шифрования, используемые для защиты переносных компьютеров;
· антивирусные системы, установленные на серверах, рабочих станциях и службах электронной почты;
· настройки безопасности сервера.
Если сетевые и системные администраторы не предоставят подробной информации о настройках безопасности сервера, то вам потребуется обследование сервера. Оно должно охватить требования к паролям, настройки аудита для каждой системы, а также используемые обновления системы и программ.
Узнайте у сетевых администраторов об использующейся системе управления сетью. Необходимо собрать информацию о типах оповещений и лицах, которые осуществляют мониторинг системы и сбор данных. Эта информация пригодится для выявления нарушителей в случае обнаружения вторжения администраторами системы.
Наконец, необходимо выполнить сканирование всех систем на предмет обнаружения уязвимых мест. Это можно сделать с помощью компьютера, размещенного внутри системы (внутреннее сканирование) или размещенного в интернете, за пределами межсетевых экранов организации. Оба результата очень важны, так как позволят выявить уязвимые места, которые могут использоваться злоумышленниками, которые находятся в вашей организации или за ее пределами.
Совет
Имейте в виду, что сетевые администраторы могут не знать обо всех точках удаленного доступа в организации.
Физическая безопасность
Физическая безопасность помещения - важнейшая составляющая системы защиты информации. Определение мер физической безопасности включает управление физическим доступом к подразделениям, а также к секретным отделам и помещениям. Например, центр регистрации и обработки данных должен иметь собственную систему контроля физического доступа. Как минимум, этот доступ должен быть строго ограничен. При определении мер физической безопасности необходимо выявить следующее:
· тип физической защиты здания, офисных помещений, документов на бумажных носителях и центра обработки данных;
· наличие ключей у персонала;
· засекреченные помещения здания или отдела (исключая центр обработки данных).
Определите расположение линий коммуникации внутри помещений и те места, где линии коммуникации входят в здание. В этих местах могут быть размещены подслушивающие устройства, поэтому подобные точки нужно включить в список критических областей. Включите в список и помещения, где возможно аварийное отключение.
Объектами физической безопасности являются источники энергии, системы контроля состояния окружающей среды и системы противопожарной безопасности, используемые в центре обработки данных. Соберите следующую информацию об этих системах:
· какую мощность потребляет подразделение;
· какую мощность потребляет центр обработки данных;
· какие типы источников бесперебойного питания установлены;
· как долго имеющиеся источники бесперебойного питания смогут поддерживать работоспособность системы;
· какие системы соединены с источниками бесперебойного питания;
· кто будет извещен в случае отключения электроэнергии;
· какая система контроля состояния окружающей среды подключена к источнику бесперебойного питания;
· какая система контроля состояния окружающей среды связана с центром обработки данных;
· кто будет извещен в случае выхода из строя системы контроля состояния окружающей среды;
· какой вид системы противопожарной безопасности установлен в центре обработки данных;
· может ли система противопожарной безопасности центра обработки данных среагировать на пожар, не угрожающий центру.
Примечание
Многие правила противопожарной безопасности требуют установки разбрызгивателей во всех частях здания. В последнем случае необходимо использовать систему пожаротушения, которая не использует воду.
Политики и процедуры
Многие политики и процедуры организации связаны с безопасностью. При проведении оценки должны быть исследованы следующие документы:
· политика безопасности;
· информационная политика;
· план восстановления в случае чрезвычайных происшествий;
· процедуры контрмер на чрезвычайное происшествие;
· политика и процедуры резервного копирования;
· справочное руководство работника или инструкции;
· процедуры найма-увольнения работников;
· принципы конфигурирования систем;
· правила межсетевых экранов;
· фильтры маршрутизатора;
· политика сексуальных домогательств на рабочем месте;
· политика физической безопасности;
· методология разработки программного обеспечения;
· методология смены программного обеспечения;
· телекоммуникационные политики;
· диаграммы сети;
· организационная диаграмма.
После получения вышеуказанных политик и процедур каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности.
Политика или процедура должна быть значимой для практической деловой деятельности, существующей в организации в настоящее время. Общие политики не всегда работают, поскольку не учитывают особенности той или иной организации. Процедуры должны определять методики выполнения текущих задач.
Политики и процедуры должны соответствовать цели, определенной в документе. При исследовании документа на правомерность проверяйте каждое требование на соответствие установленной цели политики или процедуры. Например, если целью политики безопасности является определение требований безопасности ко всем установленным компьютерным системам, она не должна описывать особые конфигурации для майн-фреймов, рабочих станций и клиент-серверных систем.
Политики и процедуры должны охватывать все стороны деятельности организации. Нередко можно обнаружить, что отдельные аспекты деятельности не нашли свое отражение в политике либо вовсе отсутствовали на момент создания политики. Изменения в технологиях очень часто приводят к изменениям в политиках и процедурах.
Политики и процедуры могут устаревать со временем. Причиной этому является не злоупотребление, а, скорее, небрежность. Морально устаревший документ становится бесполезным и "умирает". Организации в своей деятельности не стоят на месте, меняются системы и сетевое окружение. Если политики не адаптируются к появлению новых систем или новых направлений деятельности, то она теряет свое значение. Все политики и процедуры необходимо своевременно и обоснованно обновлять.
Кроме вышеописанных документов, в процессе оценки необходимо исследовать программу в области информированности о проблемах безопасности и материалы, используемые в соответствующих тренингах. Сравните эти материалы с существующими политиками и процедурами, чтобы увидеть, насколько точно они отражают организационную политику.
И в заключение, процедура оценки должна включать исследование сведений о недавних происшествиях и проверках. Это не значит, что вы можете всецело положиться на результаты предыдущей работы, скорее, требуется установить, есть ли прогресс в существующих сферах деятельности.
Меры предосторожности
Меры предосторожности обычно используются для восстановления работоспособного состояния после каких-либо инцидентов. Основными составляющими являются системы резервного копирования и план восстановления на случай чрезвычайных происшествий.
При оценке пригодности систем резервного копирования исследование должно быть глубже, чем просто просмотр политики и процедур резервного копирования. Необходимо произвести опрос системных операторов, чтобы понять, как на самом деле используется система. Получите ответы на следующие вопросы.
· Что представляет собой система резервного копирования?
· Для каких систем проводится резервное копирование и как часто?
· Где хранятся резервные копии?
· Как часто резервные копии перемещаются в архив?
· Выполнялась ли когда-либо проверка резервных копий?
· Как часто должны использоваться резервные копии?
· Повреждались когда-либо резервные копии?
· Как часто данные нуждаются в резервном копировании?
Ответы на эти вопросы прольют свет на эффективность существующих систем резервного копирования.
Исследуйте план восстановления на случай чрезвычайных происшествий, обращая внимание на его полноту. То, как план используется на самом деле, нельзя определить, просто читая его. Опросите служащих, которые будут использовать план, чтобы определить, использовался ли план когда-либо и был ли он действительно эффективен. Задайте им следующие вопросы.
· Использовался это план когда-либо?
· Какой был результат?
· Тестировался ли план?
· Какое оборудование имеется в распоряжении для устранения последствий бедствия?
· Какое альтернативное местоположение доступно?
· Кто несет ответственность за действия по устранению последствий бедствия?
Осведомленность
Политики и процедуры работают замечательно и позволяют значительно улучшить безопасность организации, если им следуют работники вашей организации. Проводя оценку, оставьте время для беседы с постоянными сотрудниками (не имеющими обязанностей управляющих или администраторов) для определения их уровня осведомленности по вопросам политик и процедур компании, а также практических положений должной безопасности. Обойдите офисные помещения для поиска признаков несоблюдения политик. Обратите внимание на наличие бумажных листков с написанными паролями и на системы, оставленные в активированном состоянии после регистрации пользователей.
Осведомленность администратора также важна. Очевидно, что они обязаны знать политику компании по вопросам конфигурирования систем. Администраторы должны быть осведомлены об угрозах и уязвимостях, о признаках вторжений в системы. Главное, они должны знать, какие действия необходимо предпринять при обнаружении атаки.
Вопрос к эксперту
Вопрос. Имеет ли значение осведомленность сотрудников?
Ответ. Да, она имеет большое значение. Сотрудники имеют доступ и нужные сведения, следовательно, являются возможными источниками угроз. Именно поэтому злоумышленники проявляют к ним повышенный интерес. Есть много методов социального инжиниринга, позволяющих нарушителю достигнуть своей цели, когда все предыдущие попытки натолкнулись на надежную систему безопасности.
Человеческий фактор
Служащие являются одним из самых важных факторов, влияющих на общую безопасность. Отсутствие навыков или, наоборот, их избыток может стать причиной выхода из строя хорошо продуманных программ безопасности. Проверьте уровень навыков персонала, отвечающего за вопросы безопасности, и администраторов, чтобы определить, способны ли они выполнять программу обеспечения безопасности. Персонал, отвечающий за вопросы безопасности, должен понимать свою работу в плане общей политики так же хорошо, как разбираться в последних разработках в своей области. Администраторы должны иметь соответствующие навыки, чтобы на высоком уровне осуществлять управление системами и сетевым окружением внутри организации.
Все пользователи должны иметь базовые навыки в области компьютерных технологий. Тем не менее, при наличии более глубоких знаний (например, у разработчиков программного обеспечения) возможно возникновение дополнительных проблем в сфере безопасности. Если пользователи достаточно хорошо владеют компьютерными технологиями, то им не составит труда установить на свои рабочие станции дополнительное программное обеспечение, которое может повлиять на общую безопасность организации. Эти люди с большей вероятностью обладают навыками и знаниями, необходимыми для использования уязвимостей внутренних систем.
От аудиторов организации потребуется обследование систем и сетей как часть их рабочего задания. В этом случае аудиторы, разбирающиеся в существующих технологиях и системах, используемых внутри организации, быстрее смогут отыскать проблемы.
Загруженность персонала
Даже очень квалифицированные и сообразительные работники не смогут поддерживать систему безопасности, если они перегружены работой. При возрастании объема работ первым делом будут забыты именно вопросы безопасности. Администраторы не проверяют записи журналов, пользовательские пароли на совместно используемые ресурсы, а менеджеры забывают о том, что говорилось на тренинге по защите систем. Тут даже самая серьезная организация с тщательно разработанными политиками и процедурами столкнется с уязвимостями.
Однако проблема может быть вовсе не такой страшной, как кажется. В процессе оценки необходимо определить, является ли большой объем работы временным явлением либо это постоянная практика, действующая в организации.
Отношение
Отношение управленческого персонала к вопросам безопасности - еще один ключевой аспект в общей среде безопасности. Это отношение определяется при назначении ответственных за безопасность внутри организации. Другая сторона этого отношения проявляется в том, как управляющее звено передает свои взгляды сотрудникам.
Передача взглядов на безопасность имеет две стороны: отношение управляющего звена и механизм передачи. Руководство может вполне осознавать важность процессов безопасности, но если они не доносят это до своих сотрудников, то последние не будут этого понимать.
Поэтому не забудьте исследовать состояние данного вопроса в организации, опросив руководящий состав и сотрудников.
Следование правилам
При составлении плана безопасной информационной среды необходимо определить фактическую среду безопасности. Планируемая среда устанавливается политикой, положениями и существующими механизмами. Фактическая среда определяется реальным согласием на участие в процессе обеспечения безопасности руководителей и сотрудников. Например, если политика безопасности требует еженедельного просмотра журналов аудита, а руководители не делают этого, то, значит, в организации не соблюдаются требования этой политики.
Политика использования восьмизначных паролей одинаково важна для всех сотрудников. Если руководство организации приказывает системным администраторам настроить конфигурацию их компьютеров на использование паролей с меньшим количеством знаков, это указывает на недостаточное следование правилам со стороны руководства.
Совет
Недостаточное следование правилам со стороны руководства однозначно приведет к рассогласованности действий администраторов и других сотрудников.
Специфика деятельности
В заключение исследуйте специфику деятельности организации. Опросите сотрудников и выясните издержки организации в случае нарушения конфиденциальности, целостности, доступности или идентифицируемости информации. Попробуйте выразить величину этих потерь в денежном выражении, времени простоя, утраченной репутации или в расторгнутых сделках.
При исследовании специфики деятельности определите движение информации внутри организации, между отделами и рабочими местами, внутри отделов и в другие организации. Выясните, как звенья этой цепи угрожают информации, как взаимосвязаны между собой отдельные части организации.
Частью процесса оценки является выявление систем и сетей, критичных для выполнения основной функции организации. Если организация связана с электронной коммерцией, выясните, какие системы используются для совершения сделок? Очевидно, необходим веб- сервер, но что насчет других серверных систем? Определение серверных систем позволит выявить прочие риски для организации.
Результаты оценки
После сбора всей информации группа оценки должна ее проанализировать. При оценке безопасности организации нельзя рассматривать отдельные блоки информации. Группа должна исследовать все уязвимости безопасности в контексте организации. Не все уязвимости превратятся в риски. Некоторые уязвимые места будут защищены каким-либо способом, который предотвратит их использование.
После завершения анализа группа оценки обязана представить полный набор рисков и рекомендаций для организации. Риски представляются по порядку - от наибольшего к наименьшему. Для каждого риска группа показывает возможные издержки в каком-либо выражении (денежном, временном, ресурсном, потере репутации и расторгнутых сделках). Каждый риск должен сопровождаться рекомендацией по управлению риском.
Последний шаг оценки - это разработка плана действий по безопасности. Организация должна определить, являются ли результаты оценки реальным отображением состояния безопасности, и учесть их при распределении ресурсов и составлении планов.
Примечание
Вполне вероятно, что в плане самый серьезный риск будет поставлен не на первое место. Этому могут помешать проблемы, связанные с бюджетом и ресурсами.
Разработка политики
Следующим шагом после оценки, как правило, является разработка политик и процедур. Они определяют предполагаемое состояние безопасности и перечень необходимых работ. Без политики нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности.
Необходимо разработать следующие политики и процедуры.
· Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.
· Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
· Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
· Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
· Процедуры управления учетными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
· Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безопасностью.
· План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.
Разработка политик является в большей степени политическим процессом. Во многих отделах найдутся люди, которые заинтересуются политиками и захотят сказать свое слово при их разработке.
Примечание
Как было сказано в "Политика", определение заинтересованных сторон будет ключевым моментом в создании успешной политики.
Порядок разработки политик
Итак, какая политика должна быть разработана первой? Ответ зависит от рисков, определенных в процессе оценки. Если защита информации определена как область с высоким уровнем риска, информационная политика должна разрабатываться одной из первых. Если же вероятны потери в бизнесе из-за отсутствия плана на случай чрезвычайных действий, то этот план должен быть разработан в первую очередь.
Еще одним фактором в выборе порядка разработки политик является затрачиваемое время. Планы восстановления в случае ЧП обычно представляют очень подробные документы и требуют серьезных усилий со стороны отделов и сотрудников. Этот план потребует много времени для составления; возможно, потребуется помощь стороннего исполнителя, например, компании, поставляющей резервное оборудование для целей полного восстановления на случай стихийного бедствия.
Единственная политика, которая должна быть разработана на начальной стадии процесса, - это информационная политика. Информационная политика формирует основу понимания того, почему внутренняя информация важна и насколько она должна быть защищена. Этот документ послужит основой для программы обучения специалистов по вопросам безопасности, наряду с политикой использования и политикой паролей.
В самом лучшем случае возможна одновременная разработка нескольких политик, поскольку заинтересованные стороны будут объединены общими интересами. Например, системные администраторы интересуются политикой безопасности, но информационная политика их интересует в меньшей степени. Сотрудникам более близка политика безопасности и процедуры управления пользователями, а не политика резервного копирования, и т. д. В этом случае отдел информационной безопасности становится координатором и носителем функций, облегчающих выполнение проекта. Его представители должны присутствовать на первом собрании, посвященном разработке черновой версии плана, и их предложения станут отправным пунктом.
Совет
Для начала попробуйте составить небольшой документ с небольшим числом заинтересованных сторон. Это создаст благоприятную возможность для достижения успеха, что позволит отделу безопасности прийти к соглашениям, необходимым для разработки остальных документов.