Розділ 1. Аналіз нормативних документів з системи менеджменту інформаційної безпеки
Для успішного використання сучасних інформаційних технологій необхідне надійне та ефективне управління не тільки інформаційними системами, але і засобами їх безпеки, тому зараз виникає необхідність забезпечити інформаційну безпеку корпоративних процесів діяльності підприємств.
1.1.Огляд стандартів з управління інформаційної безпеки
Група стандартів ISO / IEC 27000 є загальновизнаним світовим еталоном з організації управління інформаційною безпекою. Частиною групи є стандарти ISO/IEC 27001 «Інформаційні технології. Методи захисту. Системи менеджменту захисту інформації. Вимоги » та ISO / IEC 27002 « Інформаційні технології. Звід правил по управлінню захистом інформації ». Перший стандарт має аналог ГОСТ ISO / IEC 27001. Другий міжнародний стандарт має прототип у вигляді британського стандарту BS 7799 (Практичні правила управління інформаційною безпекою), який був повністю перенесено в опублікований організаціями ISO і IEC міжнародний стандарт ISO / IEC 17799: 2 000 «Інформаційні технології. Технології безпеки. Практичні правила менеджменту інформаційної безпеки ". На основі даного стандарту був прийнятий стандарт ГОСТ РІСО/МЕК 17799-2005 Інформаційна технологія. Практичні правила управління інформаційною безпекою. У 2007 році ISO і IEC взамін ISO / IEC 17799: 2000 був опублікований стандарт ISO / IEC 27002: 2005 «Інформаційні технології. Технології безпеки. Практичні правила менеджменту інформаційної безпеки ". У новому стандарті є деякі відмінності від прототипу, але вони не принципові, а суть підходу до організації ІБ змінилася. Для зручності та однозначності будемо посилатися на стандарти ISO 27001 та ISO 27002. По суті, стандарт ISO 27001 визначає підходи і структуру управління ІБ, а стандарт ISO 27002 - деталізує вимоги до категорій СОІБ.
Слід згадати ще один стандарт, що входить до групи Стандарт ISO/IEC 27000 - ISO/IEC 27005 (Інформаційна технологія. Методи і засоби забезпечення безпеки. Менеджмент ризику інформаційної безпеки). Так як область управління ризиками ІБ, хоч і лежить в основі організації всієї групи стандартів ISO 27000, є дуже специфічною, і тому потребує окремого анали за. Згадані стандарти визначають конструкцію системи ІБ, до якої треба прагнути при її створенні і розвитку.
1.1.1.Обмеження за стандартом ISO/IEC 27005:2008
В стандарті ISO/IEC 27005:2008 надані рекомендації для менеджменту риска ІБ в установах, фірмах, підприємствах, тощо.
Для створення й ефективного функціонування системи менеджменту інформаційної безпеки необхідно визначити області застосування і межі процесу менеджменту ризиків ІБ [3].
Дослідження організації представлено в таблиці 1.1.
Таблиця 1.1.
Параметри дослідження організації
| Параметр дослідження | Зміст параметру |
| 1. | 2. |
| Оцінка організації | Дослідження організації виявляє характеристики елементів, що ідентифікують організації. Це стосується намірів, бізнесу, місій, значень і стратегій цієї організації. Вони повинні бути ідентифіковані разом з елементами їх розробки (наприклад, висновок субпідрядної договору). Труднощі цієї діяльності полягає в точному розумінні як структурована організація. Ідентифікація еѐ реальної структури забезпечить розуміння ролі і важливості кожного підрозділу в досягненні цілей організації. |
| Продовження таблиці 1.1. | |
| 1. | 2. |
| Основні наміри організації | Основні наміри організації можуть бути визначені як мотив, навіщо вона існує (її поле діяльності, її ринковий сегмент, тощо). |
| Бізнес організації | Бізнес організації, що визначається службовцями і методиками ноу-хау дає можливість досягти своєї місії. Це є визначальним для поля діяльності організації . |
| Місія організації | При досягненні організацією своїх намірів досягається її місія. Щоб ідентифікувати місію повинні бути ідентифіковані надані послуги та / або виготовлені продукти відносно кінцевих користувачів. |
| Значення організації | Головний принцип значень - читкий кодекс поведінки ставився до здійснення бізнесу. Це може торкнутися персоналу, відносин із зовнішніми агентами (клієнтами, тощо), якістю продуктів або наданих послуг. |
| Структура організації | 1.дрібна структура: кожен розділ знаходиться під владою менеджера підрозділу, відповідального за стратегічні, адміністративні та оперативні рішення щодо його модуля; 2. функціональна структура: функціональна влада здійснена на процедурах, природі роботи і іноді рішень або планування (наприклад, продукція, IT, людські ресурси, маркетинг і т.д.); |
| Організаційна структура | Структура організації представлена схематично в організаційній структурі. Це подання має виділити направлення повідомлень і делегацію повноважень, але має також включати інші відносини, які навіть якщо вони не засновані на формальних повноважень є, проте, напрямками потоку інформації. |
| Стратегія організації | Це вимагає формального вираження керівних принципів організації. Керівництво визначає стратегію організації і необхідну розробку, щоб витягти вигоду з проблем загроз і планованих головних змін |
Для здійснення комплексу дій, спрямованих на управління системою менеджменту інформаційної безпеки шляхом уніфікації і підвищення ефективності процесів ІБ необхідно читко визначити обмеження, що зачіпають організацію і визначають орієнтацію її інформаційної безпеки [3]. Список обмежень наведено в таблиці 1.2.
Організація встановлює свої цілі, що фіксуються до конкретної мети. Ця ціль може бути виражена як стратегія дії або розробки з ціллю зменшення експлуатаційних витрат, покращення якості сервісу, тощо.
Таблиця 1.2.
Перелік обмежень при виборі СМІБ
| Тип обмеження | Причини обмеження |
| 1. | 2. |
| Обмеження політичної природи | Вони можуть торкнутися урядових адміністрацій, громадських установ або в ширшому розумінні будь-якої організації, яка повинна застосовувати урядові рішення. Це рішення зазвичай відносно стратегічною або оперативної орієнтації, які повинні бути застосовані підрозділом урядових органів для прийняття рішень. |
| Обмеження стратегічної природи | Обмеження можуть з'явитися результатом запланованих або можливих змін до структур організації або орієнтації. Вони виражені в стратегічних або оперативних планах організації. |
| Територіальні обмеження | Структура організації і / або мета можуть ввести визначені обмеження, такі як розподіл сайтів по всій національній території або за кордоном. |
| Обмеження, що є результатом економічного та політичного клімату | Операційна діяльність організації може бути глибоко змінена специфічними подіями, такими як потрясіння або національні та міжнародні кризи |
| Структурні обмеження | Природа структури організації (дробової, функціональної або інший) може привести до певної організаційної політики безпеки і організації безпеки, адаптованої до структури. |
| Функціональні обмеження | Функціональні обмеження виникають безпосередньо із загальних або певної місій організації. |
| Обмеження відносно персоналу | Природа цих обмежень значно змінюється. Вона пов'язана з: рівнем відповідальності, кваліфікацією, навчанням, розумінням безпеки, доступністю, тощо. |
| Продовження таблиці 1.2. | |
| 1 | 2 |
| Обмеження, що виникають в результаті реєстрації організації | Ці обмеження можуть слідувати з реструктурування або установки нової національної або міжнародної політики, накладає певні обмеження. |
| Обмеження, що пов’язані з методами | Методи, відповідні ноу-хау організації повинні будуть бути накладені для планування, специфікації, тощо. |
| Обмеження культурної природи | Деякі звички роботи в організації привели до певної "культури" в межах організації, яка може бути несумісна з менеджментом безпеки. Ця культура - загальна структура довідкової інформації персоналу і можна визначити багатьма аспектами, включаючи освіту, машинну команду, професійний досвід, т.д. |
| Бюджетні обмеження | У рекомендованих контролів безпеки може іноді бути дуже висока вартість. Не завжди доречно будувати інвестиції безпеки на рентабельності, фінансовим підрозділом організації взагалі потрібно економічного виправдання. |
| Обмеження, що є результатом існуючих раніше процесів | Прикладні проекти не обов'язково розроблені одночасно. Деякі залежать від існуючих раніше процесів. Навіть при тому, що процес може бути розподілений на підпроцеси, процес не обов’язково знаходиться під впливом всіх підпроцесів іншого процесу. |
| Технічні обмеження | Технічні обмеження взагалі є результатом встановлених апаратних засобів, програмного забезпечення, ділянок пам'яті або сайтів, що поміщають процеси: файлів; загальної архітектури; прикладного програмного забезпечення; упаковки програмного забезпечення; апаратних засобів; мереж комунікації; інфраструктур які вбудовуються. |
| Фінансові обмеження | Реалізація контролів безпеки часто обмежується бюджетом. Однак, фінансове обмеження, яке розглянуть, має всі ще бути продовженим, оскільки про розподіл бюджету для безпеки можна домовитися на основі дослідження безпеки. |
| Продовження таблиці 1.2. | |
| 1 | 2 |
| Екологічні обмеження | Екологічні обмеження є результатом географічної або економічної обстановки, в якій здійснені процеси: країна, клімат, природні ризики, географічна ситуація, економічний клімат і т.д. |
| Часові обмеження | Потрібно розглянути час, необхідний для того, щоб здійснити менеджмент безпеки, щодо спроможності модернізувати інформаційну систему; якщо час реалізації дуже тривалий, ризики для яких був спроектований менеджмент, можливо, зміниться. Час - коефіцієнт визначення для того, щоб вибрати рішення і пріоритети. |
| Обмеження за методами | Методи, відповідні ноу-хау організації, повинні використовуватися для проектного планування, специфікацій, розробка і так далі. |
1.1.2. Ідентифікація та визначення цінності активів
Щоб визначити цінність активу, організація спочатку повинна здійснювати ідентифікацію свої активи (на відповідному рівні деталізації) [3]. Можна відрізнити два види активів які представлені на рисунку 1.1.
Зазвичай первинні активи - це основні процеси та інформаційна діяльність в області застосування. Можна також розглядати інші первинні активи, такі як процеси всередині організації, які будуть більш відповідними для складання політики інформаційної безпеки або плану безперервності бізнесу. Залежно від мети деякі дослідження не вимагатимуть вичерпного аналізу всіх елементів, складових сферу застосування.
Рис. 1.1. Види активів
У таких випадках межі дослідження можуть бути обмежені ключовими елементами області застосування[3].
Типи первинних активів представлені в таблиці 1.3.
Таблиця 1.3.
Типи та зміст первинних активів
| Тип активу | Зміст активу |
| Бізнес-процеси | -це втрата або деградація активу, що позбавляють можливості виконувати місію організації; - які містять секретні процеси або процеси, що залучають приватну; технологію; - які, якщо змінені, можуть сильно зачепити виконання місії; організації; - які необхідні для організації, щоб виконати договірні, юридичні або регулюють вимоги. |
| Продовження таблиці 1.3. | |
| 1. | 2. |
| Інформація | Більш широко, первинна інформація включає головним чином: - життєво важливу інформацію для здійснення місії або бізнесу; - персональну інформацію, яка може бути визначена державою щодо права приватного життя; - стратегічну інформацію для досягнення цілей, що визначається стратегічними орієнтаціями; - інформацію високу вартість на збір якої, зберігання, обробку та передачу потрібно багато часу і / або залучення високих фінансових витрат. |
1.1.3. Оцінки активів організацій.
В кінцевому аналізі повинні бути ретельно визначені, оцінені або призначені значення на актив, так як кінцеве призначений значення виступає в визначення ресурсів, які будуть витрачені для захисту активу.
Критерії, які можуть використовуватися, щоб оцінити можливі наслідки представлені на рисунку 1.2. Критерії поділяються на два типа:
1.критерії з втрати конфіденційності, цілісності, доступності, неможливість відмови від авторства, спостережливості, автентичності або надійності активів;
2. критерії оцінки наслідків.
Рис. 1.2. Типи критеріїв оцінки збитків
Ці критерії - приклади проблем, які розглядаються для оцінки активу. Для того щоб виконати оцінки, організація повинна вибрати критерії, які стосуються її типу вимог безпеки і бізнесу.
1.1.4. Оцінка впливу
Інцидент інформаційний безпеки може впливати на більше ніж один актив або тільки частина активу. Вплив пов'язано певною мірою успіху інциденту. Як наслідок, є суттєва відмінність між значенням активу і впливом, що випливають з інциденту. Впливом вважають наявність або безпосередній (експлуатаційний) ефект або майбутній (бізнес) ефект, який включає фінансові та ринкові наслідки. Безпосереднє (експлуатаційне) вплив є прямим або непрямим. Зміст цих впливів наведено на рисунку 1.3 [3].
Рис. 1.3. Оцінки впливу.1.2.Класифікація загроз.
Загрози можуть бути навмисними, випадковими або екологічними (природними) і мати результат, наприклад, порушення або втрата основних сервісів. Наступний список показує релевантні для кожного типу загрози, де D (навмисні), А (випадкові елемент), E (екологічні). D використовується для всіх навмисних акцій, націлених на інформаційні активи, A використовується для всіх людських дій, які можуть випадково пошкодити інформаційні активи і E використовується для всіх інцидентів, які не засновані на людських діях (табл.1.4). Групи загроз не знаходяться в пріоритетному порядку [3].
Таблиця 1.4.
Класифікація загроз
| Тип | Загрози | Позначення |
| 1. | 2. | 3. |
| Фізичне пошкодження | Вогонь | A,D,E |
| Пошкодження водою | A,D,E | |
| Забруднення | A,D,E | |
| Значний інциндент | A,D,E | |
| Знищення обладнання або носіїв | A,D,E | |
| Пил, корозія, обмерзання | A,D,E | |
| Природні події | Кліматичні явища | Е |
| Сейсмічні явища | Е | |
| Вулканічні явища | Е | |
| Метеорологічні явища | Е | |
| Повінь | Е | |
| Втрата необхідних сервісів | Відмова кондиціону-вання та водопостачання | A,D |
| Втрачання електроенергії | A,D,E | |
| Відмова телекомунікаційного обладнення | A,D | |
| Радіаційні несправності | Електромагнітна радіація | A,D,E |
| Теплова радіація | A,D,E | |
| Електромагнітний імпульс | A,D,E | |
| Компрометація інформації | Перехоплення і відправка компрометувати сигналу | D |
| Віддалений шпіонаж | D | |
| Підслуховування | D | |
| Крадіння носіїв або документів | D | |
| Крадіння обладнання | D | |
| | | |
| Продовження таблиці 1.4. | ||
| 1. | 2. | 3. |
| Компрометація інформації | Відновлення інформації на носіях, відправлених на переробку або бракованих | D |
| Виявлення | A,D | |
| Дані з ненадійних джерел | A,D | |
| Втручання в апаратні засоби | D | |
| Втручання в програмні засоби | D | |
| Виявлення позицій | D | |
| Технічні відмови | Відмова обладнання | А |
| Збій обладнання | А | |
| Обмеження інформаційної системи | A,D | |
| Програмний збій | А | |
| Порушення ремонтопридатності інформаційної системи | A,D | |
| Несанкціоновані дії | Несанкціоноване використання обладнення | D |
| Шахрайське копіювання програмного забезпечення | D | |
| Використання підробленого або скопійованого програмного забезпечення | A,D | |
| Спотворення даних | D | |
| Незаконна обробка даних | D | |
| Компрометація функцій | Помилка в використанні | А |
| Зловживання правами | A,D | |
| Підробка прав | D | |
| Заперечення дій | D | |
Особливу увагу потрібно звернути на людський фактор, який відігріває не останню роль як джерело загрозі інформації (табл. 1.5.) [3].
Таблиця 1.5.
Мотивація людських загроз
| Джерело загрози | Мотивація | Можливі наслідки |
| Хакер, крекер | Повстання Его Визов Статус Гроші | Хакерство Соціальна інженерія Вторгнення в систему, порушення Несанкціонований доступ в систему |
| Комп’ютерний злочинець | Руйнування інформації Незаконне розкриття інформації Грошово-кредитна вигода Неправомірне чергування даних | Комп'ютерний злочин (наприклад, кібер-переслідування) Шахрайське дія (наприклад, перегравання, наслідування, перехоплення) Інформаційне хабарництво Імітація Вторгнення в систему |
| Терорист | Помста Розвідка Руйнування Шантаж Політичні вигоди Освітлення в пресі | Бомба / Тероризм Інформаційна війна Системна атака (наприклад, розподілена відмова в обслуговуванні) Проникнення в систему Втручання в систему |
| Індустріальне шпигунство (компанії, іноземні уряди, інші урядові інтереси) | Розвідка Его Цікавість Грошово-кредитна вигода Помста Ненавмисні помилки і Упущення | Вторгнення в систему Перегляд секрету фірми Інформаційне хабарництво Введення фальсифікованих даних, руйнування даних Перехоплення Шкідливий код Несанкціонований доступ в систему |
В наступному підрозділі буде розглянуто вразливості ІБ.
1 2 3 4 5 6 7 8 9