2.4. Системи управління інформаційної безпеки.
Система управління інформаційною безпеки базується на аналізі аналізі ризиків є частиною загальної системи управління і призначена для реалізації, проектування, супроводження, контролю та вдосконалення заходів у галузі ІБ. Організаційна структура, дії з планування, політика, процедури, обов’язки, ресурси і процеси.
Захист бізнесу та знань компанії від витоку інформації або знищення її, гарантія майнових прав та інтересів клієнтів є основними призначеннями СУІБ, але вони не повинні обмежувати або ускладнювати процеси обміну інформацією бо це буде заважати розвитку компанії.
СУІБ створюється для забезпечення униможливості несанкціонованого доступу до інформації, що є критичною, збереження конфіденційності важливої інформації, а також цілісності інформації для правильності процесів які пов’язані з цим і ряду інших цілей.
Вище зазначені цілі можуть бути досягненими у ході вирішення таких основних завдань [17]:
-визначення відповідальних за інформаційну безпеку;
-, розробка спектра ризиків інформаційної безпеки;
- проведення їх експертних оцінок;
- розробка політик і правил доступу до інформаційних ресурсів;
- розробка системи управління ризиками інформаційної безпеки;
- методи оцінки ризиків;
-контроль ІБ на підприємстві.
При побудові СУІБ треба чітко визначити взаємопов’язаність процесів та підсистем ІБ, відповідальних за них, трудові та фінансові ресурси для ефективної її роботи, тощо.
Основні функції чкі повинна виконувати СУІБ [17]:
-виявлення та аналіз ризиків інформаційної безпеки;
-планування та практична реалізація процесів, спрямованих на мінімізацію ризиків ІБ;
-контроль цих процесів;
-внесення в процеси мінімізації інформаційних ризиків необхідних коригувань.
Принципи, які повинні виконуватися для успішної роботи СУІБ наступні [17]:
-комплексний підхід – управління ІБ має бути всеосяжним, охоплювати всі компоненти ІС і враховувати всі актуальні ризикоутворюючі фактори, що діють в інформаційній системі підприємства та за її межами;
-узгодженість з бізнес-задачами і стратегією підприємства;
-високий рівень керованості;
-адекватність інформації, яка використовується і генерується;
-ефективність – оптимальний баланс між можливостями, продуктивністю і витратами СУІБ;
-безперервність управління;
-процесний підхід – зв’язування процесів управління в замкнутий цикл планування, впровадження, перевірки, аудиту та коригування, і підтримка нерозривного зв’язку між етапами.
Успішність роботи системи управління ІБ – це дотримання при її побудові міжнародних стандартів зокрема стандарту ISO/ІЕС 27001, який надає інструмент для розробки, впровадження, супроводу, моніторингу, підтримки та вдосконалення добре документованої системи управління інформаційною безпекою в контексті розгляду бізнес ризиків.
Остання версія міжнародного стандарта ISO/ІЕС 27001 яка була введена датована 20013 роком.
В новій редакції введена нова вимога щодо необхідності чіткого переліка осіб як внутрішніх так і зовнішніх з якими необхідно взаємодіяти при вирішенні питань з керування інформаційної безпеки. При визначенні інформації яка повина бути доведена до осіб що мають зацікавленість в неї, компанія визначитись коли й хто повинен це зробити [18]. Це нововведення на думку розробників стандарту спрощує залучення до керуванням ІБ керівництва та власників бізнес-процесів тому що тепер когут отримати всю актуальну інформацію по функціонуванню та управлінням ІБ.
Редакція 2013 року цього стандарту вводить єдина вимога до любої документованой інформації [18].
В новой редакції враховано відсутність чіткої структури вимог до формуліровки завдань та планування їх виконання (це було рознесено по різним розділам стандарту), тому тепер все поєднано в розділі «Мониторінг, зміни, аналіз та оцінка» [18].
Нова версія містить 113 мір забезпечення інформаційної безпеки на відміну від попередній яка містила 133 міри. Хоч більшість мір не змінилась, але в новій редакції збільшилось кількість розділов додатку з 11 до 14. Всього було перенесено 23 міри (табл. 2.1) [18].
Таблиця 2.1.
Перенесені міри
В нової редакції було логічно поєднано деякі міри (в кількісті 5), наприклад міри «Електронна комерція» і «Загальнодоступна інформація поєднанні в міру «Захист сервісів серверів додатків в публічних мережах» (табл. 2.2) [18].
Таблиця 2.2.
Міри ISO/ІЕС 27001:2005 і ISO/ІЕС 27001:2013
Для забезпечення інформаційної безпеки було добавлено 10 нових мір. Докладні інструкції по їх використанню наведені в оновленому стандарті ISO/ІЕС 27002:2013 (табл. 2.3) [19].
Таблиця 2.3.
Добавлені міри
26 мір було признано неактуальними, або такі що дублюють вимомоги оновленого стандарту, або такі що інші міри включають їх до себе.
2.6. Висновки по розділу.
В розділі 2 було розглянуто розлого такий компонент загрози безпеки об’єкта, як агенти. Агентами загроз є люди, які свідомо або підсвідомо можуть чи намагаються нанести збиток організації чи структурі, тобто мають мотивацію. На основі первиних компонентов виникнення загроз було надано узагальнена схема причин мотивації агента загроз.
Розглянуто класифікацію загроз, спосіби їх атак та надано об’єкти що піддаються нападам. На основі моделей загроз було надані впливи на інформаційні активи за оцінками ризиків й імовірності їх впливів.
Виходячі з того що система управління інформаційної безпеки гарантує захист бізнесу та знань компанії від витоку інформації або знищення її, майнові права та інтереси клієнтів, а тому потребує постійної модифікації. В розділі було надано останні зміни до міжнародного стандарту що регулює методи виконання завдань СУІБ.
Розділ 3. Налаштування та експериментальне дослідження системи.
3.1 Призначення і цілі створення системи.
В даний час одним з ключових напрямків інформаційної безпеки в багатогалузевих компаніях є досягнення максимальної синергії та консолідації в СМІБ.
Внаслідок інтеграції в Систему максимальної кількості необхідних для управління інформаційної безпекою даних, буде сформована єдина інформаційна інфраструктура в СМІБ, що дозволяє удосконалювати інформаційну проникність і синергію між структурними підрозділами.
3.1.1 Призначення Системи
Спеціалізована експертна Система «Портал ESS» призначена для здійснення комплексу дій, спрямованих на управління системою менеджменту Інформаційної безпеки шляхом уніфікації і підвищення ефективності процесів ІБ в вертикально-інтегрованих багатогалузевих компаніях.
Програма містить в собі такі пов'язані між собою модулі:
• модуль інвентаризації інформаційних активів;
• реєстр ризиків і вразливостей;
• реєстр інцидентів;
• щоденник менеджера ІБ;
• досьє співробітників підприємства;
• основні типові документи, що регламентують роботу СМІБ;
• модуль звітів, що настроюються і статистики;
• модуль допомоги (дерево реагування, мануали, актуальні питання і т.д.).
Система повинна забезпечувати єдину інформаційну інфраструктуру в СМІБ, створювану через інтеграцію максимальної кількості інформації в модулі і, тим самим, що дозволяє удосконалювати інформаційну проникність і синергію між структурними підрозділами.
За класифікацією автоматизованих комплексів Система відноситься до багатофункціональних програмно-технічних комплексів для автоматизації управління організаційними процесами в умовах розподіленого використання інформації різними фахівцями.
3.1.2 Цілі створення Системи
Відповідно до концепції створення та розвитку Системи до стратегічних цілей можна віднести:
• вдосконалення процесу управління СМІБ в вертикально-інтегрованих багатогалузевих компаніях;
• підвищення інформаційної підтримки структурних підрозділів;
• підвищення ступеня прозорості інформаційної взаємодії між структурними підрозділами в області СМІБ;
• виконання стандарт утворює ролі для всіх елементів СМІБ;
• формування єдиної інформаційної інфраструктури в області СМІБ;
• зниження тимчасових витрат на інформаційне забезпечення процесів СМІБ;
• підвищення ефективності захисту інформаційних активів на основі інтеграції їх в єдиний інформаційний простір і оперативності доступу до інформаційних активів, ризиків і інцидентів всім зацікавленим особам;
• координація та стимулювання проведення заходів щодо вдосконалення СМІБ;
• забезпечення максимального доступу до інформації про підтримку в області СМІБ на всіх рівнях;
• забезпечення оперативного інформаційного взаємодії потенційних користувачів Системи між собою на основі організації «єдиної точки входу», за допомогою публікацій, інтерфейсів обміну даними та інших сервісів Системи.
Досягнення перелічених цілей повинно привести до наступних позитивних результатів:
• підвищення прозорості діяльності (формування системи online-моніторингу);
• підвищення ефективності роботи СМІБ;
• додаткового економічного ефекту в області СМІБ;
• забезпечення системи зворотного зв'язку (інформація «з перших рук») та інформаційної підтримки в області СМІБ, в результаті - підвищення ефективності роботи СМІБ.
3.2.1 Вимоги до Системи в цілому
Спільними для Системи в цілому є наступні вимоги:
• Система повинна містити необхідний обсяг інформації, механізм своєчасної актуалізації змісту і базовий набір сервісів роботи з інформацією, що забезпечує необхідну повноту інформаційних та інших сервісів, що надаються користувачеві;
• структура подання інформаційних активів і призначені для користувача інтерфейси з доступу до активів і сервісів повинні бути інтуїтивно зрозумілі користувачам;
• надані послуги повинні мати очевидну цінність для користувачів Системи;
• призначений для користувача інтерфейс повинен забезпечувати вибір типового профілю відповідно до прав користувачів.
При розробці Системи повинні передбачатися:
• розробка, оцінка та вибір моделі побудови інфраструктури Системи з урахуванням інформаційних, технологічних, організаційних та фінансових аспектів, а також заходів щодо забезпечення необхідного рівня інформаційної безпеки;
• розробка стандартів представлення даних і опису інформації в складі Системи;
• розробка стандартних процедур інформаційної взаємодії при управлінні інфраструктурою і інформаційним наповненням Системи;
• забезпечення взаємодії адміністраторів і користувачів при наповненні і супроводі інформаційних активів Системи;
• розробка методів моніторингу стану, використання і періодичності оновлень даних і сервісів Системи.
В Системі має бути враховано наступне:
• перспектива інтеграції Системи в інформаційну систему будь-якого зацікавленого підприємства;
• рівень готовності потенційних користувачів до використання Системи і можливості вдосконалення загальної і професійної культури інформаційної взаємодії;
• необхідність забезпечення гнучкості та оперативності в налаштуванні і модернізації інфраструктури Системи як на рівні адміністрування, так і на рівні проектної модернізації;
• реальні і перспективні потреби потенційних користувачів в інформаційних ресурсах і сервісах Системи;
• необхідність включення в інфраструктуру Системи механізмів підтримки постійного діалогу та взаємодії між користувачами Системи з актуальних тем і питань.
Основними принципами створення Системи є:
• використання будь-якого програмного і апаратного забезпечення, здатного працювати з мережею Інтернет;
• використання загальновизнаних і широко використовуваних стандартів структурування інформації та опису сервісів;
• відповідність міжнародним стандартам у сфері ІБ;
• уніфікація форматів і протоколів інформаційного обміну;
• використання ефективних методів захисту від несанкціонованого доступу до інформаційних ресурсів.
3.2.2 Вимоги до структури доступу в Систему.
В Системі повинні бути передбачені три основні категорії користувачів:
• авторизований користувач. Має повний доступ до інформації та сервісів Системи в обсягах фронт-офісу в своєму підрозділі;
• адміністратор. Має повноваження для затвердження інформації, яка підлягає публікації в своєму підрозділі. Права адміністратора можуть бути обмежені певними розділами Системи. Для того, щоб деяка публікація стала доступною в Системі, необхідно отримати твердження інформаційного матеріалу супер-адміністратором;
• супер-адміністратор (контент адміністратор, оператор форм, експерт, модератор). Авторизований користувач, що володіє повноваженнями для створення нових і редагування існуючих інформаційних матеріалів Системи., А також володіє повноваженнями з управління користувачами і адміністраторами, і правами доступу користувачів до інформаційних активів Системи, перегляду журналу дій авторизованих користувачів у всіх підрозділах.
Система повинна забезпечувати коректне поділ прав користувачів. Базове програмне забезпечення Системи повинні бути перевіряємі на відсутність відомих вразливостей до атак на відмову і на несанкціонований доступ.
Система повинна бути захищена від несанкціонованого доступу і зміни вмісту порталу стандартними засобами використовується web-сервера і операційної системи.
Вхід кожного користувача в Систему повинен здійснюватися за допомогою парольної аутентифікації. Кожному користувачеві може бути надано право на вчинення певних дій з тими чи іншими типами документів і розділами Системи
Докладний перелік дій в Системі, доступних для різних категорій користувачів, наведено в Таблиці 3.1.
Підсистема зберігання даних повинна забезпечувати зберігання в БД Системи і вибірку з БД об'єктів для формування змісту Системи.
Таблиця 3.1.
Перелік дій Системи
| Дії | Супер-адміністратор | Адміністратор | Користувач |
| Внесення відомостей про інформаційні активах | | | |
| Внесення відомостей про інциденти | | | |
| Внесення відомостей про співробітників | | | |
| Внесення відомостей про ризики і вразливості | | | |
| Видалення інформації з Системи на рівні Підрозділи | | | |
| Видалення інформації з Системи на рівні Групи | | | |
| Узгодження внесення відомостей на рівні Підрозділи | | | |
| Узгодження внесення відомостей на рівні Групи | | | |
| Узгодження видалення інформації з Системи на рівні Підрозділи | | | |
| Узгодження видалення інформації з Системи на рівні Групи | | | |
| Перегляд інформації всіх Підрозділів Групи | | | |
| Перегляд статистики всіх Підрозділів Групи | | | |
| Додавання і видалення облікових записів | | | |
| Завантаження документів і шаблонів | | | |
| Надання прав адміністратора | | | |
| Надання прав користувача | | | |
| Додавання опцій в розгортаються списки | | | |
Підсистема зберігання даних повинна забезпечувати зберігання в БД Системи і вибірку з БД об'єктів для формування змісту Системи.
1 2 3 4 5 6 7 8 9