Главная | Обратная связь
МегаЛекции

Стандарт ISO 17799 и анализ рисков




Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.

При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что не мало важно - ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.

Стандарт состоит из двух частей. В первой части содержатся нормы и правила (в форме уже утвержденного стандарта ISO), во второй части – спецификация требований, которые лежат в основе сертификации. В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью.

По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность. Нарушение любою из них может повлечь за собой значительные потери, как в виде убытков, так и в виде неполученною дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью. Практические правила разбиты на следующие 10 разделов:

  1. Наличие политики безопасности (определяет требования к поддержке заданного уровня безопасности). Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности. Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления "слабых мест".
  2. Организация защиты; управление инфраструктурой. Снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации.
  3. Классификация ресурсов и их контроль; контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности.
  4. Безопасность персонала; Снижает риск "человеческих ошибок" и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со стороны пользователей.
  5. Физическая безопасность или безопасность среды; предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации.
  6. Администрирование компьютерных систем и вычислительных сетей.
  7. Управление доступом; Контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности.
  8. Разработка и сопровождение информационных систем; обеспечивает выполнение функций защиты информации в операционных системах и приложениях.
  9. Планирование бесперебойной работы организации; планирование непрерывности работ обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений.
  10. Контроль выполнения требований политики безопасности.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью. Они служат в качестве основного руководства для организаций, приступающих к реализации средств управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

- Документ о политике информационной безопасности;

- Распределение обязанностей по обеспечению информационной безопасности;

- Обучение и подготовка персонала к поддержанию режима информационной безопасности;

- Уведомление о случаях нарушения защиты;

- Средства защиты от вирусов;

- Планирование бесперебойной работы организации;

- Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

- Защита документации организации;

- Защита данных;

- Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение "слабых мест").

Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.

Примером таких рекомендаций в области "Управление доступом" может служить процедура регистрации пользователей, определенная в результате выявления "слабого места" в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:

- не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;

- сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;

- не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;

- прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;

- сообщать о корректности регистрации только после заполнения всех необходимых полей;

- определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не возобновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;

- определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;

- отображать информацию о дате и времени предыдущей успешной регистрации, а также полную информацию обо всех некорректных процедурах регистрации, случившихся со времени последнего входа в систему.





©2015- 2017 megalektsii.ru Права всех материалов защищены законодательством РФ.