Процедурный уровень ИБ.

Меры процедурного уровня ориентированы на людей, а не на технические средства. Важность человеческого фактора заключается в том, что люди формируют режимы ИБ, и они же являются главными источниками угроз. Так же на процедурный уровень относятся вопросы физической защиты данных и информации и поддерживающей инфраструктуры. На процедурном уровне можно выделить следующие классы мер:
1. Управление персоналом. Начинается с описание должности, на этом этапе определяются компьютерные привилегии, связанные с этой должностью. Существует 2 принципа, которые надо соблюдать: 1) разделение обязанности (предписывает так распределять роли и ответственность, что бы 1 человек не мог нарушить важный для организации процесс). 2) минимизация привилегий (предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения своих обязанностей). Определяет кандидатов, когда кандидат определен нужно ознакомить его с правилами безопасности, вести его системный счет. При увольнение сотрудника его системный счет удаляется незамедлительно.
2. Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует, поэтому необходимо применять меры по защите зданий, прилегающей территорий, инфраструктуры, вычислительной технике и т.д. Для физической защиты окон опасности быть не должно. Среди направлений физической защиты можно выделить: физическое управление доступом, противопожарные меры, защиты поддерживающей инфраструктуры, защита от перехвата данных, защита мобильных систем.
Меры физического управления доступом позволяет контролировать вход выход сотрудников и посетителей. Контролироваться может как все здание, так и отдельные помещения. При этом целесообразно:
* определить периметр безопасности, на этом уровне нужно определить порядок входа выхода сотрудников, посетителей и вноса выноса техники.
* среди подобъектов выделить наиболее критические объекты с точки зрения безопасности и обеспечить им внимание. Важно, чтобы посетители не имели доступа к компьютерам, что бы от окон и дверей не просматривались экраны мониторов и принтеров, желательно, чтобы посетителя можно было отличить от сотрудника. Средства обеспечения физического доступа – это охрана, камеры и т.п.
Пожарная безопасность должна быть.
К поддерживающей инфраструктуре можно отнести системы электро водо тепло снабжения, кондиционеры, средства коммуникации. Это оборудование нужно защищать от краж и повреждений. При выборе средств рекомендуется выбирать оборудование с максимальным временем работы на отказ, дублировать ответственные узлы, иметь запасные части. При расположение компьютеров нужно принимать во внимание расположение водных труб.
Перехват данных может осуществляться самыми разными способами. Злоумышленник может подсматривать за данными монитора, может читать пакеты, передаваемые по сети, анализировать побочные электромагнитные излучения и т.п. Главным средством обеспечения конфиденциальности является шифрование.
Мобильные и портативные компьютеры – заманчивый объект для кражи. Рекомендовано для защиты шифровать каждую информацию на этом компьютере.
3. Поддержание работоспособности. Рассмотрим рутинные мероприятия для поддержания безопасности. На уровне поддержания работоспособности выделяют уровни деятельности:
* поддержка пользователей – консультирование и оказание помощи пользователю для решения разного рода вопросов. Можно организовать справочный стол, вести статистику наиболее популярных вопросов, создавать правила и рекомендации.
* поддержка программного обеспечения – необходимо следить за тем, какое ПО установлено на компьютерах и не разрешать пользователям устанавливать свои программы. Необходим контроль за отсутствием неавторизованного изменения прав доступа программы. Поддержка эталонных копий программного обеспечения.
* конфигурационное управление – позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Важно застраховаться от случайных или не продуманной модификаций и возвращаться в предыдущую работающую версию.
* резервное копирование – необходимо для восстановление программы данных после аварий. Целесообразно создать компьютерное расписание о создании копий, размещение копий, обеспечив им защиту. Для особенно важных ресурсов целесообразно создавать несколько копий, которые хранить вне организации.
* управление носителями – носителям данным так же необходимо обеспечить физическую защиту и вести учет носителей. Носители информации необходимо защищать от несанкционированного доступа и от вредных воздействий окружающей среды.
* документирование – в виде документов оформляется все, начиная от политики безопасности и до журнала учета носителей. Важно, чтобы документация была актуальной, отражала текущее положение дел.
* регламентные работы – серьезная угроза информационной безопасности, т.к. сотрудник, который их осуществляет, получает полный доступ к системе.
4. Реагирование на нарушение режима безопасности. Программа безопасности, принятая организацией должна предусматривать набор оперативных мероприятий для обнаружения и нейтрализацию нарушений. Важно, чтобы в подобных случаях последовательность действий была заранее спланирована. Реакция на нарушение преследует 3 цели: 1) локализация инцидента на уменьшение ущерба. 2) выявление нарушителя. 3) предупреждение о повторных нарушениях.
Рекомендации: Нужно определить человека, который будет ответственен за реакцию на нарушение. Предусмотреть определенный план действий в определенных случаях. Чтобы предотвратить повторное нарушение необходимо анализировать каждый случай, выявлять причины, накапливать статистику.
5. Планирование восстановительных работ. Не одна организация не застрахована от серьезных аварий, но в тоже время для каждой организации можно выделить свои критические функции, которые нужно выполнять, не смотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования, хотя б в минимальном объеме. Процесс восстановление работ можно разделить на этапы: выявление критически важных функций организации, идентифицировать ресурсы для выполнения этих функций, определение перечня возможных аварий, разработка стратегий восстановительных работ, подготовка к реализации стратегии, проверка стратегии. Критически важные ресурсы относятся к категориям: персонал, информационная инфраструктура, (компьютеры, программы, данные), физическая инфраструктура (инженерные коммуникации и т.п.). Анализирую критические ресурсы можно учитывать временной профиль их использования. При определении перечня возможных аварий нужно попытаться разработать сценарий их реализаций. При разработке стратегии целесообразно проводить анализ риска. Подготовка к реализации состоит в выработке плана действий, а так же обеспечение избыточности критических ресурсов. Проверка стратегии производится путем анализа подготовленного плана.