Главная > безопасность, Теория > Информационная безопасность. Практика — Введение.

Информационная безопасность. Практика — Введение.

Данная статья является вводной частью целого курса статей, которая будет представлять собой мой взгляд на организацию работы по данному направлению. Цель этих статей — поделится собственным опытом с теми, кому это будет полезно; узнать мнение других (может даже научится у них) — имеющих больший опыт в практической деятельности по обеспечению информационной безопасности. А также, получить бесценный опыт по написанию аналитических и практических статей. Надеюсь что, кому-нибудь это будет полезно. А теперь к делу.

Думаю всем известно что есть информация и какую роль она играет в нашем современном стремительно развивающемся Обществе, только замечу, что сегодня (в глобальном смысле) информация представляет собой такую нематериальную сущность из-за которой и вокруг которой разворачиваются целые информационные войны, как локальные (местного значения), так и глобальные (на мировой арене). В связи с этим, потребность в обеспечении информационной безопасности серьезно возросла. Как следствие этому, возросла потребность в соответствующих специалистах — администраторах безопасности. Таких специалистов уже много, но в большинстве случаев это молодые студенты, выпускники, которые имеют лишь теоретическую базу знаний, но еще не представляющих себе как эти знания применить на практике. Поэтому данная статья направленна именно на них.

Стоит отметить, что описанное ниже, рассматривается на примере уже организованной, так сказать корпоративной, информационной сети (КИС). Но даже если еще только планируется построение КИС, то все сказанное стоит внимательного прочтения (я так думаю).

При организации работы по обеспечению безопасности информационных систем необходимо:

  1. определить границы виртуального пространства, на территории которого распространяется (или будет распространятся) политика безопасности;
  2. определить перечень информационных активов, требующих защиты, и их категорию критичности;
  3. определить перечень вероятных угроз безопасности активов (или как говорят — риски безопасности активов) как внешних, так и внутренних;
  4. по каждой угрозе определить перечень необходимых мероприятий, реализация которых позволит максимально минимизировать вероятность осуществления данной угрозы информационной безопасности (ИБ)
  5. обеспечить реализацию мероприятий по информационной безопасности и периодический контроль эффективности принятых мер

Под определением границ виртуального пространства я понимаю схематическое построение структуры локальной вычислительной сети (схема), с указанием территориального размещения (в каких зданиях, кабинетах, на этажах) сетевого оборудования, компьютерных систем и прочее. Для этого можно воспользоваться Microsoft Visio.

Подобная схема, при ее анализе, позволит наглядно увидеть большинство угроз безопасности, о существовании которых не сразу догадаешься. Например вероятные бесконтрольные места несанкционированного подключения к сети или перехвата информации по средствам специализированных технический средств, эксплуатирующих технические каналы утечки информации.

Для организации контролируемой циркуляции информации в защищаемой сети, необходимо четко знать какие существуют сетевые ресурсы, на каких серверах или пользовательских компьютерах (бывает и такое) они размещены и самое главное определить критичность размещенных на этих сетевых ресурсах информации.

С точки зрения безопасности рекомендуется создавать один «внешний» сетевой ресурс с неопределенным названием (например: \\srv_odp\work). Доступ созданному ресурсу предоставить только авторизованным пользователям (исключить Гостя и Все), кроме того, хорошим тоном с точки зрения сетевого администрирования и безопасности, является предоставление доступа к ресурсу не конкретным пользователям, а группе пользователей.

Примечание:
Естественно, необходимо контролировать процесс добавления новых пользователей, и обязательно периодически проводить актуализацию перечня пользователей, которым предоставлен доступ к ресурсу.

После того как создан «внешний» ресурс, внутри создаются ресурсы по категории хранящихся в них информации. И это правило стоит применять к вложенным ресурсам следуя их иерархии. К примеру, для каждого отдела свой ресурс, внутри него ресурсы по определенным направлениям или по критичности информации.

Примечание:
Не стоит допускать смешение ресурсов различной критичности.

При определении критичности сетевого информационного ресурса определяются основные характеристики хранящейся на нем информации. Без условно основными характеристиками информации являются качество(значение) — какое преимущество дает обладание данной информации — и, соответственно, ее цена. Параметр цена потребуется тогда, когда вы начнете определять перечень мероприятий для минимизации вероятности реализации угроз безопасности информационных активов. А на реализацию мероприятий необходимы затраты, которые еще необходимо обосновать.

Теперь, когда есть схема вашей сети, определен перечень сетевых ресурсов и их критичность, на очереди определение перечня вероятных угроз безопасности информации. Используя их как исходные данные, потребуется очень тщательно их проанализировать и составить перечень как внешних, так и внутренних угроз и не стоит забывать про технические каналы утечки информации, а также стихийные бедствия.

Потратив время на тщательный анализ исходных данных, на выходе, будем считать, получите полный перечень угроз безопасности вашей сети и информации, циркулирующей в ней. Глядя на этот список возможно Вы ужаснетесь от того как беззащитна ваша «территория». Но не стоит отчаиваться, главное то, что Вы в курсе существующих «дыр» и теперь необходимо лишь определиться с мерами по минимизации вероятности реализации выявленных угроз безопасности. Меры могут быть как организационные, так и технические.

Под организационными мерами стоит понимать разработку нормативной и организационно-распорядительной документации, установку порядка и регламентации действий при обеспечении информационной безопасности в Вашей организации. Под техническими мерами стоит понимать применение технических, программных и программно-аппаратных средств для обеспечения информационной безопасности.

Таким образом, проделав работу, описанную выше, на выходи Вы получили проект одного из основных организационных документов по информационной безопасности — модель угроз информационной безопасности. Ее еще потребуется доработать в соответствии с руководящими техническими документами ФСТЭК:

  • «Базовая модель угроз безопасности информационной системы персональных данных (ФСТЭК)».
  • «Методика определения актуальных угроз (ФСТЭК)».

Далее необходимо обеспечить реализации запланированных мероприятий и периодически проводить контроль эффективности принятых мер.

Примечание:
Необходимо постоянно следить за появлением новых угроз информационной безопасности и соответственно пересматривать разработанную Вами модель угрозу информационной безопасности.

Кроме того, я не упомянул (оставил на закуску), но Вы должно быть заметили, обеспечение информационной безопасности должно осуществятся в комплексе, постоянно и конкретно(иметь определенную цель), адекватно и эффективно, а также экономически целесообразно.

Не думаю, что стоит считать данную статью полной, но все описанное выше отработано мной на практике. Готов к конструктивной критики, замечаниям и дополнениям к статье (можете писать в комменты или на почту).

Продолжение следует.

Update: В статье были ссылки на скачивание документов, но они стали битыми. По просьбе можно попробовать восстановить.

Пожалуйста, оцените полезность и качество данной статьи. Одна звезда - плохо, 5 - хорошо.
1/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.2/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.3/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.4/5.5/5. (2 голосов, средний: 5,00 из 5)
Загрузка...
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.