Международные стандарты в сфере безопасности сетей. (Критерии проведения аудита безопасности информационных систем)
Содержание:
Введение.
Безопасность чего либо или кого либо на данный момент играет очень большую роль в нашей повседневной и не повседневной жизни, а безопасность сетей тем более так как на пути век информационных технологий и компании, пользователи очень бережно относятся к данным на смартфонах, компьютерах, серверах и.т.д.
Но существует стандарты, которые контролируют и показывают образец как должны оформляться безопасность сетей.
Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей. Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме.
Потому жизненно необходимы методы защиты информации для любого человека современной цивилизации, особенно использующего компьютер. По этой причине практически любой пользователь ПК в мире так или иначе «подкован» в вопросах борьбы с вирусами, «троянскими конями» и другими вредоносными программами, а также личностями стоящими за их созданием и распространением — взломщиками, спамерами, крекерами, вирусмэйкерами (создателями вирусов) и просто мошенниками, обманывающих людей в поисках наживы — корпоративной информации, стоящей немалых денег.
Введение в тему написано теперь приступим к самим стандартам.
Международный стандарт управления информационной безопасностью ISO 17799. У информационных систем есть критерии оценки защищенности,
Какой вопрос наиболее часто задают руководители высшего звена компании ИТ менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько защищена наша информационная система?". Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать секьюрити специалисты. И действительно оценить защищенность информационной системы достаточно сложно: но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла или на 58%"), а качественную - система соответствует определенному классу или уровню защищенности; тому или иному стандарту безопасности. Количественные методы оценки на практике не нашли своего применения. Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.
Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие, которому будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты. И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
Международный стандарт безопасности информационных систем ISO 17799
Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др., занялся разработкой стандарта информационной безопасности. И в 1995 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT -отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.
Для ясности приведу основные разделы стандарта ISO / IEC 17799.
Основные разделы стандарта ISO / IEC 17799.
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• вопросы безопасности, связанные с персоналом;
Организационные меры по обеспечению безопасности
- Управление форумами по информационной безопасности
- Координация вопросов, связанных с информационной безопасностью
- Распределение ответственности за обеспечение безопасности
Организационные меры по обеспечению безопасности
- Инвентаризация ресурсов
- Классификация ресурсов
Безопасность персонала
- Безопасность при выборе и работе с персоналом
- Тренинги персонала по вопросам безопасности
- Реагирование на секьюрити инциденты и неисправности
Физическая безопасность
Управление коммуникациями и процессами
- Рабочие процедуры и ответственность
- Системное планирование
- Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
- Управление внутренними ресурсами
- Управление сетями
- Безопасность носителей данных
- Передача информации и программного обеспечения
Контроль доступа
- Бизнес-требования для контроля доступа
- Управление доступом пользователя
- Ответственность пользователей
- Контроль и управление удаленного (сетевого) доступа
- Контроль доступа в операционную систему
- Контроль и управление доступом к приложениям
- Мониторинг доступа и использования систем
- Мобильные пользователи
Разработка и техническая поддержка вычислительных систем
- Требования по безопасности систем
- Безопасность приложений
- Криптография
- Безопасность системных файлов
- Безопасность процессов разработки и поддержки
Управление непрерывностью бизнеса
- Процесс управления непрерывного ведения бизнеса
- Непрерывность бизнеса и анализ воздействий
- Создание и внедрение плана непрерывного ведения бизнеса
- Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
Соответствие системы основным требованиям
- Соответствие требованиям законодательства
- Анализ соответствия политики безопасности
- Анализ соответствия техническим требованиям
- Анализ соответствия требованиям системного аудита
ISO 17799 в странах СНГ
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря позиции Национального Банка все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта в качестве государственного - эту позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 (ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.
Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799? Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту. Сертификация на соответствие стандарту ISO 17799 ( BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.
Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, ukas) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.
Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
Для решения задачи создания и проверки политики информационной безопасности компании применяются следующие программные комплексы: британская Cobra riskworld (компания C & A Systems Security Ltd) и российский КОНДОР dsec/soft/kondor.php (компания Digital Security, dsec)
Заключение.
Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий.
На втором месте по размерам ущерба располагаются кражи и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный ущерб в размере 882 млн. долл. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.
Весьма опасны так называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:
- повредить оборудование;
- встроить логическую бомбу, которая со временем разрушит программы и/или данные;
- ввести неверные данные;
- удалить данные;
- изменить данные.
"Обиженные сотрудники", даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.
Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.
Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.
Список Литературы:
- http://prikladnayainformatika.ru/keywords
- Носов В.А. Вводный курс по дисциплине “Информационная безопасность” 2004г. 50стр.
- Соколов А.В. «Методы информационной защиты объектов и компьютерных сетей». 2000г. 272стр.
- Б. Анин «Защита компьютерной информации». 2000г. 384стр.
- http://www.infosecurity.ru/_site/problems.shtml - Суть проблемы Информационной Безопасности
- https://ru.wikipedia.org/wiki/ISO/IEC_17799
- https://it.wikireading.ru/5802
- Понятие информационной безопасности РФ (источники угроз информационной безопасности)
- Беспроводной Интернет: особенности его функционирования.»
- Системы сжатия цифровых аудиоданных.
- Управление работами по проекту ( Управление работами по проекту)
- Финансовые отношения и их субъекты (Финансовые правоотношения: понятие, особенности и виды.)
- Правовая защита информации
- Усиление тенденции глобализации в развитии мировой экономики на рубеже XX-XXI вв.
- Западноевропейское искусство эпохи барокко (История изучения)
- Западноевропейское искусство эпохи барокко
- Система электронного документооборота ДЕЛО (Сущность и назначение системы «ДЕЛО»)
- Направление творческой деятельности дизайнера
- «Время строит аэропланы» История отечественного тайм-менеджмента