BzBook.ru

Обеспечение информационной безопасности бизнеса

Приложение 2

Подходы к формированию нормативного обеспечения системы информационной безопасности организации

Комплексный подход к обеспечению ИБ, предполагающий последовательное и взвешенное использование правовых, организационных, программнотехнических и других мер обеспечения ИБ на единой концептуальной и методической основе, должен сформировать и поддержать адекватный потребностям бизнеса организации уровень ее информационной безопасности.

Согласованность, целенаправленность и планомерность деятельности по обеспечению ИБ может быть достигнута только при надлежащем нормативном закреплении (документировании) ожиданий руководства и правил осуществления деятельности в организации. Документы позволяют отразить и формализовать необходимые нормы, которые далее могут быть единообразно доведены до каждого работника организации в виде правил и требований ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также порядка контроля их соблюдения.

Для того чтобы сформировать и обеспечить эффективную поддержку полноценной и непротиворечивой системы внутренних документов обеспечения ИБ организации, необходимо представлять и понимать суть возможной структуры комплекса таких документов. Например, видение Банка России относительно возможной эталонной структуры нормативного обеспечения системы ИБ организации отражено в рекомендациях в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Определенная данными рекомендациями структура нормативного обеспечения системы информационной безопасности организации банковской системы Российской Федерации приведена на рис. 1.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Такая структура документов позволяет формализовать любую необходимую деятельность на всех уровнях управления в организации. Подобная структура документов, относящихся к деятельности по обеспечению ИБ, рекомендуется и Международной группой пользователей системы менеджмента информационной безопасности (ISMS International User Group).

Представленную структуру внутренних документов обеспечения ИБ можно рекомендовать любой организации. Далее кратко остановимся на целях и назначении документов каждого из уровней предложенной структуры.

К документам первого уровня относятся документы, содержащие положения (правила, принципы, нормы) политики ИБ организации, т. е. формулировки высокоуровневого видения сути проблемы в области ИБ руководством организации и определения позиции организации в их решении. Таким образом, в политике ИБ организации, как правило, определяются высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ. Действие такого документа обычно распространяется на все подразделения и всех работников организации.

К документам второго уровня относятся документы, содержащие положения так называемых «частных» политик ИБ, т. е. документы, детализирующие положения основополагающей политики ИБ организации в отношении одной или нескольких областей ИБ, а также в отношении отдельных видов и технологий деятельности организации. Эти документы, как правило, определяют цели, назначение, состав работ (процессов деятельности), необходимых как для реализации деятельности в той или иной области ИБ, так и для реализации отдельной технологии обеспечения ИБ, а также необходимые требования в рамках реализуемой деятельности. Количество частных политик зависит от номенклатуры необходимых видов деятельности по обеспечению ИБ, определенных основополагающей политикой ИБ организации. Частные политики ИБ определяют деятельность лиц или группы лиц, ответственных за реализацию комплекса мероприятий соответствующей области ИБ.

К документам третьего уровня относятся документы, содержащие требования ИБ, применяемые к операционным процедурам (порядку выполнения действий или операций) обеспечения ИБ. Данные документы содержат правила и параметры, устанавливающие способы осуществления и выполнения конкретных видов работ в рамках процессов, связанных с ИБ технологических процессов, реализуемых в организации. Кроме того, данные виды документов могут содержать различного рода ограничения по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах (технические задания, регламенты, порядки, инструкции). В документах третьего уровня можно выделить следующие группы документов.

— Документы, регламентирующие реализацию процессов. Определяют роли, задействованные в реализации конкретных процессов, а также порядок действий исполнителя каждой роли и взаимодействие между ними. К этим документам можно отнести различного рода регламенты, порядки. Данные документы можно считать документами должностных лиц, ответственных за вверенные им участки работ по обеспечению ИБ. Введение в действие в организации таких документов позволяет упорядочить деятельность, что создает условия для ее эффективного контроля. Кроме того, к данной группе документов можно отнести документы, содержащие различного рода ограничения (требования) по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах. Такие документы, как правило, необходимы там, где затруднительно формализовать реализуемую деятельность. К этим документам можно отнести различные положения, своды правил, требования.

— Документы, определяющие порядок действий конкретного должностного лица в рамках реализации своей роли в конкретном процессе. Это уже документы исполнителей ролей в рамках процессов деятельности. К ним относятся различного рода инструкции, маршрутные карты и т. п. Кроме порядка действий исполнителя определенной роли в таком документе могут быть определены и требования, которые данное должностное лицо должно выполнять в процессе своей деятельности.


К документам четвертого уровня, относятся свидетельства выполненной деятельности по обеспечению ИБ. Данные документы отражают результаты (промежуточные и окончательные) реализации процессов деятельности. Обычно к ним относятся различные журналы (бумажные и электронные), отчеты, протоколы и т. д. Данные документы необходимы в основном для осуществления контрольной деятельности, а также для обеспечения условий для восстановления хода работ в рамках расследования и иных случаях. С точки зрения контрольных органов отсутствие подобных свидетельств, даже при наличии регламентирующих деятельность документов, может означать, что регламентированная деятельность либо реализуется произвольным образом, в том числе и с нарушениями, либо не реализуется вовсе.

Не редки случаи, когда в организациях придается слабое значение вопросам обеспечения ИБ, включая нормативное обеспечение данного направления деятельности. В таких ситуациях отсутствие документов «верхнего» уровня, определяющих цели и задачи обеспечения ИБ организации, как показано на рис. 2, означает, что руководство организации не ощущает потребности в ИБ и не будет потребителем результатов этой деятельности. В таких условиях работа службы обеспечения информационной безопасности организации не востребована и не ясна для руководства организации и подразделений бизнеса. В результате руководство организации воспринимает риски ИБ как риски бизнеса и реагирует на них не методами улучшения качества и стабилизации информационных процессов, а через экономические, финансовые, юридические, организационные, контрольные и иные механизмы. В отдельных случаях это может эффективным (перенос рисков на клиентов/контрагентов и т. п.), но чаще подобные меры более сложны, чем меры реагирования ИБ на риски в информационной сфере.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Отсутствие же документов «нижнего» уровня, как показано на рис. 3, означает, что не регламентированы процессы операционной деятельности по обеспечению ИБ организации. Но это может и не означать, что необходимая деятельность не реализуется. Деятельность может осуществляться, только она может иметь существенную вариативность и непредсказуемость по результатам, быть затруднительной для контроля и анализа. Такая ситуация наиболее типична для небольших и малых организаций. В этом случае руководство организации опирается на опыт и знания специалистов высокой квалификации. Таким образом, процессы могут быть организованы должным образом и будут на нижнем уровне успешно реализовываться, документироваться, но отсутствие заранее определенного интерфейса приведет к тому, что отчетные данные процессов обеспечения ИБ на верхнем уровне не смогут быть эффективно использованы. Подобная ситуация также чревата тем, что с уходом специалистов (смена работы, длительные командировки и т. п.) идет потеря операционной технологии (утрата «носителя» знаний). В отдельных случаях такие потери могут быть крайне чувствительными.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Анализ международной и российской практики, отраженной в международных и национальных стандартах, позволяет сформулировать следующий примерный перечень областей ИБ, которые могут быть охвачены положениями внутренних документов обеспечения ИБ организации:

— назначение и распределения ролей ИБ;

— обеспечение доверия к персоналу;

— менеджмент рисков ИБ;

— менеджмент инцидентов ИБ;

— обеспечения ИБ на стадиях жизненного цикла автоматизированных систем;

— управление доступом;

— защита от вредоносных программ;

— обеспечение ИБ при использования ресурсов электронной почты и сети Интернет;

— криптографическая защита информации;

— обеспечение «чистых столов» и «чистых экранов»;

— самооценка состояния ИБ;

— аудит ИБ.


В конкретной организации состав областей ИБ и перечень технологий обеспечения ИБ, в отношении которых формируется система документов, может отличаться от приведенного выше перечня.

Необходимо отметить, что не для каждой области ИБ может оказаться возможным построение полной (идеальной) пирамиды нормативных документов. В качестве примера можно привести правило (политику) так называемых «чистых столов». Обычно подобные правила отражают в частной политике или в инструкциях персонала. Таким образом, разработка документов по обеспечению ИБ требует взвешенного подхода и во многом зависит от сложившихся в организации принципов управления и контроля.

Далее на примере деятельности по менеджменту инцидентов ИБ (рис. 4) рассмотрим примерную (возможную) структуру нормативно-методического обеспечения для этого вида деятельности.

В данном примере мы исходим из предположения того, что руководством организации в основополагающем документе «Политика информационной безопасности организации» определены и утверждены высокоуровневые цели, содержание и основные направления деятельности по менеджменту инцидентов ИБ. В этом случае «частная» политика менеджмента инцидентов ИБ определяет требования к процессам: мониторинга инцидентов ИБ; сбора информации об инцидентах ИБ; анализа и обработки инцидентов ИБ.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

В примерной структуре не показаны документы, составляющие свидетельства выполненной деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.

При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:

— носили не рекомендательный, а обязательный характер;

— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

— не противоречили друг другу.


Оформление и содержание документов по обеспечению ИБ должны соответствовать установленным в организации нормам к содержанию и оформлению внутренних документов. Тем не менее в отношении содержания политики информационной безопасности организации и в отношении частных политик ИБ целесообразно руководствоваться положениями ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью». В соответствии с указанным стандартом в политику ИБ организации рекомендуется включать следующие положения:

— определение информационной безопасности организации, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

— изложение целей и принципов информационной безопасности, сформулированных руководством;

— краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

— соответствие законодательным требованиям и договорным обязательствам;

— требования в отношении обучения вопросам безопасности;

— предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

— управление непрерывностью бизнеса;

— ответственность за нарушения политики безопасности;

— определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

— ссылки на документы, дополняющие политику информационной безопасности, например, частные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.


Пример основополагающей политики ИБ организации приведен на рис. 5.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

При разработке структуры частных политик целесообразно исключать повторения одинаковых правил в различных частных политиках. При необходимости повторения в какой-либо частной политике ИБ правила или группы правил, содержащихся в другой (существующей) частной политике ИБ, целесообразно использовать ссылку на существующую частную политику ИБ. Например, включение в политику обеспечения ИБ какого-либо технологического процесса требований по антивирусной защите целесообразно осуществить в виде ссылки на политику антивирусной защиты (при ее наличии).

К инструкциям, руководствам (регламентам), методическим указаниям по обеспечению ИБ, как правило, предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.

Рекомендуется, чтобы инструкции, руководства (регламенты), методические указания по обеспечению ИБ содержали:

— определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и /или наименование деятельности (процесса), которая описывается инструкцией;

— ресурсы, необходимые для выполнения деятельности (процесса);

— детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;

— обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;

— права и ответственность субъекта (субъектов).


Недостаточно только разработать и ввести в действие документы по обеспечению ИБ. Документы должны иметь поддержку их жизненного цикла и быть актуальными осуществляемой организацией деятельности, а также внутренним и внешним условиям реализации этой деятельности. Менеджмент документов по обеспечению ИБ направлен на обеспечение разработки, учета, использования, хранения, проверки, обновления (поддержание актуального состояния) и изменения документов по обеспечению ИБ организации.

Менеджмент документов по обеспечению ИБ должен учитывать существующие требования законодательных актов и нормативных документов Российской Федерации, нормативных актов органов-регуляторов и внутренних документов организации. Документы должны сохраняться удобочитаемыми, легко идентифицируемыми и доступными. В организации должны существовать и быть документированы деятельности, направленные на идентификацию, хранение, защиту, поиск, обеспечение времени хранения документов, правила по их утилизации.

Модель менеджмента документов по обеспечению ИБ, гармонизированная с моделью менеджмента ИБ, определенной стандартом ГОСТ Р ИСО/МЭК 27001, приведена на рис. 6.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

На этапе «Планирование документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— определение потребностей организации по обеспечению ИБ;

— разработка, согласование и утверждение основополагающей (корпоративной) политики ИБ организации и частных политик ИБ;

— разработка, согласование и утверждение документов, содержащих описания основных процессов обеспечения ИБ (например, менеджмент инцидентов ИБ, менеджмент рисков ИБ, оценка ИБ организации, обучение и осведомление персонала и др.).


К разработке и согласованию корпоративной политики ИБ и частных политик ИБ организации должны привлекаться представители следующих служб организации, ответственных за реализацию управленческих, основных производственных и вспомогательных процессов организации, связанных с ее информационной сферой:

— лица из состава высшего руководства организации;

— профильных (основных производственных) подразделений;

— службы информатизации;

— службы безопасности (информационной безопасности).


Все документы, составляющие политику ИБ организации, должны быть согласованы, введены в действие и учтены в соответствующем реестре. Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала). Частные политики ИБ могут быть утверждены руководителем организации или его заместителем по вопросам ИБ.

Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.

В организации должно быть определено лицо (или лица), ответственное (или ответственные) за реализацию политики ИБ организации, ее поддержку в актуальном состоянии, включающее пересмотр политики в соответствии с установленным в организации порядком.

В организации должно быть определено лицо (или лица), ответственное (или ответственные) за контроль реализации политики ИБ организации. Как правило, не допускается выполнение этими же сотрудниками организации функций по обеспечению реализации политики ИБ организации.

На этапе «Реализация документационного обеспечения» осуществляются следующие процессы менеджмента документов по обеспечению ИБ:

— внедрение в деятельность организации принятых документов политики ИБ, разработанных на этапе «Планирование документационного обеспечения» и содержащих описания основных процессов обеспечения ИБ;

— разработка, согласование и утверждение документов второго и третьего уровней нормативного обеспечения ИБ организации (см. рис. 1);

— внедрение утвержденных документов второго и третьего уровней;

— управление регистрационными данными о реализации требований нормативных актов по обеспечению ИБ организации, являющихся свидетельствами реализации процессов и задач обеспечения ИБ.


Ответственность за организацию работ в соответствии с требованиями, определенными документами второго и третьего уровня, возлагается решением руководства организации посредством соответствующих распорядительных документов.

Все документы второго и третьего уровней должны быть согласованы, введены в действие и учтены в соответствующем реестре (каталоге), который может быть организован и размещен в электронном виде во внутрикорпоративной системе.

Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.

Документы, содержащие требования информационной безопасности к задачам, могут быть утверждены лицами, ответственными за реализацию соответствующих процессов ИБ.

На этапе «Оценка адекватности документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— проверка соответствия деятельности по обеспечению ИБ действующим документам по обеспечению ИБ;

— проверка адекватности самих документов реальным потребностям организации по обеспечению ИБ.


Проверка может производиться как путем проведения мониторинга, так и путем проведения внутреннего аудита ИБ (внутреннего контроля) или внешнего аудита ИБ.

При проведении аудита ИБ положения документов политики ИБ, нормативных документов по обеспечению ИБ являются критериями аудита ИБ, а записи — свидетельствами реализации требований.

На этапе «Совершенствование документационного обеспечения» на основе результатов проведения мониторинга, а также внешнего или внутреннего аудита ИБ производится внесение изменений (актуализация) в соответствующие документы, разработка новых, вывод из действия устаревших.

Если же рассмотреть жизненный цикл отдельного документа, то в нем также выделяются отдельные стадии, которые в свою очередь коррелируются со стадиями жизненного цикла всей системы документов. В качестве примера можно рассмотреть модель жизненного цикла документа, приведенную в международном стандарте ISO 11442 Technical product documentation. Document management и представленную на рис. 7.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Фаза, в которой устанавливается фактическое содержание документа, является фазой разработки. По решению разработчика о завершении разработки документа должна быть инициирована фаза утверждения. Данная фаза характеризуется статусом документа «в рассмотрении». Документ с указанным статусом все еще находится в собственности разработчика, и в отношении его использования действуют те же ограничения. Опубликование является независимой деятельностью по отношению к утверждению. Следовательно, в целях согласования с выпуском других документов в рамках проекта должен быть определен срок опубликования документа. Фаза, в которой опубликованные документы находятся на хранении и доступны авторизованным пользователям для чтения и копирования, называется фазой хранения. Фаза пересмотра подразумевает собой получение копии хранящегося документа, передачу на пересмотр, а также присвоение ей статуса «в подготовке». Фаза архивации обуславливается перемещением документов из хранилища действующих документов в архив для хранения на установленный период.

Рассмотренная модель жизненного цикла документа может быть взята организациями за основу при формировании и внедрении системы менеджмента документов по обеспечению ИБ.

Обзор современных средств управления доступом (ЗАО «Инфосистема Джет»)

Алексей Лаврухин, директор по развитию

Вячеслав Петрухин, консультант

Центр информационной безопасности

Компания «Инфосистемы Джет»

Управление доступом относится к числу приоритетных задач обеспечения информационной безопасности. При всей важности встроенных и наложенных средств защиты информации эффект от их использования может быть сведен на нет, если политика предоставления доступа в организации является неоптимальной и непродуманной и основывается на устаревших средствах управления доступом. По этим причинам внедрение современных средств управления доступом является одним из основных направлений деятельности по обеспечению защиты информации компании «Инфосистемы Джет».

Недостатки традиционного подхода к управлению доступом.

Одна из особенностей традиционного управления доступом заключается в том, что для бизнеса информационная система является в значительной степени «черным ящиком»: сотрудники бизнес-подразделений не могут проконтролировать, какие права доступа назначаются администраторами систем сотрудникам и какие привилегии они в результате имеют.

Усугубляет ситуацию и то, что ИТ-инфрастуктура организации, как правило, состоит из множества различных информационных систем, большинство из которых имеет свое собственное хранилище учетных записей и связанных с ними привилегий. Эти политики могут значительно различаться, а управление учетными записями становится трудоемкой задачей. В результате невозможно представить полную картину прав доступа сотрудников и тем более получать такую информацию оперативно и регулярно.

Выполнение операций с учетными записями является по большей части механической работой, которая может быть автоматизирована. Традиционное ручное управление учетными записями, особенно в случае неподконтрольности результата, чревато как случайными, так и умышленными ошибками, которые могут быть выявлены лишь спустя значительное время или не выявлены совсем. Также ручное управление доступом приводит к задержкам предоставления или изменения доступа, вследствие чего увеличивается время вынужденного простоя, если сотрудник не может выполнять свои служебные обязанности или риски безопасности, если по каким-то причинам права доступа сотрудника в данный момент являются избыточными.

На практике реализация единой политики доступа к информационным ресурсам затрудняет поиск компромисса между удобством и безопасностью. В частности, если пользователь имеет доступ к пяти информационным системам, он вынужден помнить различные пароли, отвечающие всем требованиям сложности. А если сделать смену пароля обязательной хотя бы раз в три месяца, то самой частой задачей отдела системного администрирования, вероятно, будет восстановление забытых паролей, а пользователи будут записывать пароли на стикерах в текстовых файлах.

Средства предотвращения утечек информации (Data Leak Prevention — DLP) также значительно снижают удобство использования информационных ресурсов. Так, например, стандартными мерами по предотвращению распространения конфиденциальной информации являются запрет на использование USB-носителей и контентная фильтрация исходящего почтового трафика. Эти меры затрудняют обмен информацией даже в том случае, когда ее передача легитимна (например, в случае отправки конфиденциальных документов контрагентам), и не позволяют управлять доступом к служебной информации за пределами периметра. Впрочем, и внутри периметра отследить и предотвратить доступ к конфиденциальной информации на уровне файлов с помощью стандартных DLP-решений крайне сложно или даже невозможно.

Современные средства управления доступом.

Основные тенденции, которые прослеживаются в развитии средств управления доступом, — повышение прозрачности соответствующих процессов и их передача под контроль бизнес-подразделений.

Эти тенденции, а также сложность администрирования разнородных хранилищ учетных записей привели к появлению информационных систем Identity Management (IdM), одними из основных задач которых являются централизация и автоматизация процессов управления доступом. IdM-система подключается к «доверенному источнику», которым чаще всего является система кадрового учета для получения данных о сотрудниках (прием на работу, изменение должности, увольнение и т. д.), и к «целевым системам» — информационным системам и бизнес-приложениям организации. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов. Такой подход позволяет реализовать принцип разделения полномочий в управлении доступом (Segregation of Duties — SoD), согласно которому каждый процесс должен иметь более одного участника, что значительно снижает риск предоставления избыточных полномочий. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, а также контроля привилегий пользователей в целевых системах и формирования отчетов, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов.

Другой тенденцией является создание единой модели ролевого управления доступом (Role Based Access Control — RBAC) в рамках всех информационных систем организации. Реализующие такой подход средства (Role Management) могут являться как частью IdM-системы, так и отдельным продуктом. Использование средств Role Management позволяет описать конкретные привилегии пользователей в терминах «ИТ-ролей» (например, «доступ на чтение к сетевому каталогу подразделения N») и сгруппировать их в так называемые бизнес-роли, которые могут соответствовать связке должности плюс подразделение сотрудника или выполняемым им обязанностям. Назначение бизнес-роли сотруднику в системе IdM приведет к изменению его прав доступа в целевых системах.

Средствами, позволяющими выполнить требования безопасности к авторизации пользователей в информационных системах, являются решения, обеспечивающие однократную аутентификацию (Single Sign-On — SSO). Клиентская часть SSO устанавливается на рабочую станцию пользователя и после его авторизации в корпоративном каталоге получает из него информацию об учетных данных конкретного пользователя в различных информационных системах. При попытке авторизации пользователя в каком-либо бизнес-приложении компонент SSO распознает окно ввода логина и пароля и подставляет их в соответствующие поля. Для вебприложений аналогичные задачи выполняются решениями Access Management. Интеграция решений Single Sign-On и Access Management с системой Identity Management позволяет реализовать сложные политики управления паролями и доступом к приложениям и одновременно увеличить удобство использования информационных ресурсов организации. Соответствующий всем требованиям сложности пароль устанавливается в бизнес-приложении IdM-системой и записывается в хранилище систем SSO и Access Management. Далее автоматически пароль меняется через заданные промежутки времени. При этом пользователю достаточно помнить один пароль от корпоративного каталога, необходимый для авторизации на рабочей станции. Максимального уровня безопасности можно добиться при использовании двухфакторной аутентификации для доступа пользователя в домен сети предприятия.

Современные средства, позволяющие управлять доступом к информации на уровне файлов, тем самым позволяющие расширить функционал DLP-систем, относятся к классу Information Rights Management — IRM. Программное обеспечение IRM встраивается в средства создания носителей информации (офисные программы MS Office, системы документооборота и приложения, позволяющие экспортировать данные в файлы). При создании нового документа он может быть автоматически или вручную отнесен к одной из определенных категорий. Если содержимое документа было определено как конфиденциальное, оно «запечатывается» средствами IRM. Далее в зависимости от категории пользователя доступ к запечатанному файлу может быть ограничен или полностью закрыт. Технология запечатывания документа также не позволит скопировать его содержимое, в том числе и с помощью клавиши Print Screen, если это было запрещено при его создании. При этом с помощью сервера IRM сохраняется контроль доступа к файлам после их передачи по сети предприятия или за ее пределы: текущие права конкретного пользователя или целой группы могут быть изменены или полностью отозваны. Кроме того, на сервере сохраняется история работы с данным файлом, в том числе история неудачных попыток его открытия, которая может быть использована для расследования инцидентов и предотвращения утечек информации.

Перечисленные средства позволяют контролировать доступ к информационным ресурсам на всех уровнях. В случае совместного использования они значительно повышают защищенность информационной безопасности организации и удобство использования информационных ресурсов, а также увеличивают прозрачность процессов управления доступом для бизнеса. Компания «Инфосистемы Джет» активно развивает это направление с 2006 г. В настоящее время специалистами компании реализовано большое количество проектов и накоплена компетенция, позволяющая реализовывать интеграционные проекты по управлению доступом любой сложности.

Обеспечение информационной безопасности бизнеса Обзор современных средств управления доступом.  (ЗАО «Инфосистема Джет») Современные средства управления доступом Обеспечение информационной безопасности бизнеса Обзор современных средств управления доступом.  (ЗАО «Инфосистема Джет») Современные средства управления доступом

Приложение 3 (справочное)

Примеры метрик для измерения атрибутов


Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов.

Приложение 4 ЗАО «ЕС-лизинг»

ЗАО «ЕС-лизинг» по заказу Банка России (БР) разработало систему обеспечения информационной безопасности коллективных центров обработки информации (КЦОИ) Банка России.

ЗАО «ЕС-лизинг» прошло экспертизу компании ООО «Пацифика» на соответствие требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение ИБ организацией банковской системы Российской Федерации. Общие положения». В результате экспертизы установлено, что система менеджмента информационной безопасности ЗАО «ЕС-лизинг» соответствует требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 (уровень соответствия — второй).

ЗАО «ЕС-лизинг» имеет следующие лицензии Федеральной службы по техническому и экспертному контролю:

• лицензия (серия КИ 0028, № 001362) Федеральной службы по техническому и экспертному контролю на деятельность по разработке и (или) производству средств защиты конфиденциальной информации (регистрационный № 0269 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.);

• лицензия (серия КИ 0028, № 001359) Федеральной службы по техническому и экспертному контролю на деятельность по технической защите конфиденциальной информации (регистрационный № 0463 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.).


ЗАО «ЕС-лизинг» имеет следующие сертификаты соответствия от АНО «Центр независимой комплексной экспертизы и сертификации систем и технологий»:

• сертификат соответствия № ВР 08.1.2601-09, удостоверяющий, что система менеджмента качества, распространяющаяся на разработку, производство, гарантийное обслуживание (в том числе сопровождение) продукции в соответствии с классами ЕКПС 1210, 7010, 7015, 7030, 7031, отвечает требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008), ГОСТ РВ 15.002-2003 и СРПП ВТ (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.);

• сертификат соответствия № SSAQ 032.3.1.0427, удостоверяющий, что система менеджмента качества применительно к проектированию, разработке, производству и обслуживанию/поддержке/сопровождению соответствует требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008 (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.).

Система обеспечения информационной безопасности КЦОИ Банка России.

В ЗАО «ЕС-лизинг» разработана Система обеспечения информационной безопасности коллективных центров обработки информации (СОИБ КЦОИ) для обеспечения противодействия угрозам на 2-5-м уровнях. СОИБ КЦОИ БР является инфраструктурным решением и охватывает все автоматизированные системы и прикладные программные комплексы, функционирующие в КЦОИ Банка России.

СОИБ КЦОИ предназначена для обеспечения заданного уровня информационной безопасности программно-технических средств (ПТС) КЦОИ и автоматизированных систем (АС), функционирующих на КЦОИ БР, путем мониторинга и управления как специальными, так и встроенными в общесистемное программное обеспечение средствами обеспечения информационной безопасности (ИБ).

Цели создания СОИБ КЦОИ БР.

Перед СОИБ КЦОИ БР стояли три основные цели:

1) выполнение в КЦОИ БР требований нормативных документов Банка России и стандарта Банка России по ИБ;

2) проведение централизованного управления учетными записями и правами доступа персонала СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов;

3) обеспечение централизованного мониторинга и осуществление контроля выполнения персоналом СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов регламентов и технологических операций.

Функции СОИБ КЦОИ БР.

В рамках СОИБ КЦОИ БР выполняются такие функции, как управление учетными записями эксплуатационного персонала КЦОИ БР, централизованная аутентификация и управление доступом к ресурсам комплекса технических средств (КТС) КЦОИ БР, централизованный мониторинг, самоконтроль СОИБ КЦОИ БР, а также резервирование, хранение и восстановление данных СОИБ КЦОИ БР.

Структура СОИБ КЦОИ БР.

Структурно СОИБ КЦОИ БР состоит из ядра системы и специализированных подсистем управления и мониторинга (СПУМ) в составе: СПУМ z/OS, СПУМ MS Windows КЦОИ БР, СПУМ ЛВС КЦОИ БР, СПУМ антивирусной защитой КЦОИ БР, СПУМ СЗИ от НСД и СПУМ СУБД КЦОИ БР.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Структура СОИБ КЦОИ БР

СОИБ КЦОИ БР обеспечивает реализацию требований к функциям СОИБ и взаимодействие со смежными специализированными подсистемами управления и мониторинга.

Ядро системы СОИБ КЦОИ БР обеспечивает выполнение функций СОИБ КЦОИ БР и осуществляет взаимодействие со СПУМ.

Специализированные подсистемы управления и мониторинга (СПУМ) СОИБ КЦОИ БР входят в состав СОИБ БР и обеспечивают взаимодействие ядра СОИБ БР с соответствующими подконтрольными системами КЦОИ БР.

Выполнение функций СОИБ КЦОИ БР в отношении подконтрольных объектов обеспечивается ядром СОИБ КЦОИ БР при отсутствии агентов на подконтрольных объектах или ядром СОИБ КЦОИ БР совместно со СПУМ при наличии агентов на подконтрольных объектах.

С целью обеспечения отказоустойчивости и катастрофоустойчивости работы СОИБ КЦОИ БР программные средства, обеспечивающие функционирование СОИБ КЦОИ БР, установлены особым образом, в специальной конфигурации и со специальными настройками.

Структурная схема.

Структурная схема СОИБ КЦОИ представлена ниже. На схеме выделены объекты, подконтрольные СОИБ КЦОИ БР.

Программные средства подконтрольных систем состоят из операционных систем z/OS, Suse Linux и Windows Server 2003, Windows XP, WebSphere Application Server, СУБД Oracle и MS SQL.

Заключение.

Следует отметить, что СОИБ КЦОИ БР является гибкой и развивающейся информационной системой. Продуманные особенности структуры СОИБ КЦОИ БР (ядро и набор СПУМ), а также мощность программных средств, используемых для реализации системы, позволяют обеспечить широкие возможности по масштабируемости системы и добавлению новых подконтрольных систем в контур СОИБ КЦОИ БР в будущем.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Заключение

Приложение 5 Монитор TopCM

В ЗАО «ЕС-лизинг» разработан монитор TopCM (Top Control Manager), предназначенный для осуществления полного контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения повышенного уровня информационной безопасности вычислительного процесса, построенного на базе z/OS. Монитор TopCM способен полностью контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связей, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений. Кроме того, монитор может контролировать функционирование всех прикладных и системных программ, включая их взаимодействие друг с другом, попытки получения несанкционированного доступа к ресурсам, попытки неавторизованных программ нарушить или вмешаться в работу управляющей или других прикладных программ, а также повысить свой собственный статус или уровень авторизации в системе.

Одной из важнейших функций монитора является возможность обнаружения и пресечения попыток выполнения инструкций процессора, необъявленных в открытом описании принципов работы z/архитектуры. Возможность контролировать подобные события относится к программам любого типа, управляющим или прикладным, независимо от уровня их авторизации.

Монитор TopCM запускается в среде z/OS как обычное задание в области V = R и представляет собой авторизованную программу. На этапе инициализации программа переходит в супервизорный режим и получает нулевой ключ доступа к памяти. Затем программа формирует свою собственную префиксную страницу и заменяет ею префиксную страницу z/OS. Если конфигурация вычислительной установки мультипроцессорная, TopCM заменяет своими собственными префиксные страницы z/OS для всех процессоров, входящих в конфигурацию.

Обеспечение информационной безопасности бизнеса Приложение 5.  Монитор TopCM.

Список литературы

1. Risk Metrics Technical Document. — JPMorgan, 4th edition, December, 1996.

2. Taylor W. F. Principles of Scientific Management. — New York: Harper & Row, 1911.

3. Гольдштейн Г. Я. Основы менеджмента — Таганрог: ТРТУ, 2003.

4. ГОСТ Р 51897-2002, Менеджмент риска. Термины и определения.

5. ГОСТ Р 51898-2002, Аспекты безопасности. Правила включения в стандарты.

6. Нив Генри Р. Пространство доктора Деминга: Принципы построения устойчивого бизнеса. — М.: Альпина Бизнес Букс, 2005.

7. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. — Cambridge (Mass.) Mass. Inst. of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.

8. ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.

9. Европейское качество = European Quality: журнал/Европейская организация по качеству; перевод/ФГУП РИА «Стандарты и качество» — 2001, № 2.

10. ИСО 31000, Risk management — Principles and guidelines on implementation.

11. ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements.

12. ISO/IEC 38500:2008, Corporate governance of information technology.

13. ISO GUIDE 72:2001, Guidelines for the justification and development of management system standards.

14. ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance.

15. Technical Report ISO/IEC TR 18044, Information technology — Security techniques — Information security incident management.

16. NIST Special Publication 800-61, Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, January 2004.

17. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

18. ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management.

19. Excerpted from the Executive Summary of the Report Issued by The Committee of Sponsoring Organizations of the Treadway Commission. «Internal control — Integrated framework», 1992.

20. The Committee of Sponsoring Organizations of the Treadway Commission. «Internal Control over Financial Reporting — Guidance for Smaller Public Companies», 2006.

21. ISO/ШС 20000, Information technology — Service management.

22. ISO/IEC 15939, Software engineering — Software measurement process.

23. ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement.

24. Gartner. The Price of Information Security. Strategic Analysis Report.

25. Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006.

26. СТО БР ИББС — 1.0-2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

27. СТО БР ИББС — 1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.

28. BSI PAS 56 Guide to Business Continuity Management (BCM)

29. ISO/IEC 15504 Information technology — Process assessment.

30. NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems.

31. Зефиров С. Л., Голованов В. Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд. 2006. № 3.

32. Risk Based Internal Auditing [Электронный ресурс]/The Institute of Internal Auditors — UK and Ireland. — www.iia.org.uk, August 2003.

33. К. В. Харский. Благонадежность и лояльность персонала. — СПб.: Питер,

2003.

34.. Robert Н. Anderson, Richard Brackney, Thomas Bozek. Advanced Network Defense Research, Proceedings of а Workshop., Santa Monica, CA, RAND Corporation, CF-159-NSA, 2000.

35. Инструкция Банка России № 110-И «Об обязательных нормативах банков» от 16 января 2004 г.

36. DoD Insider Threat Mitigation. Final Report of the Insider Threat Integrated Process Team, 24.04.2000.

37. Marisa Reddy Randazzo, Michelle Keeney, Eileen Kowalski, Dawn Cappelli, Andrew Moore. Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector, National Threat Assessment Center, United States Secret Service, Washington, DC. Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, August 2004.

38. «Сисадмин осужден на 8 лет за месть работодателю», http://forum.ubuntu.ru, 18.12.2006 г.

39. «Сисадмин банка уничтожил данные из-за маленькой премии», http://forum.armkb.com, 13.06.2006 г.

40. «Disgruntled UBS PaineWebber Employee Charged with Allegedly Unleashing «Logic Bomb» on Company Computers», И. S. Department of Justice United States Attorney District of New Jersey, December 17, 2002.

41 С. Витковская, А. Никольский ««Шерлок» взят с поличным. Бывшие сотрудники «ВымпелКома» продавали распечатки звонков сотовых абонентов», http://www.sostav.ru, 29.11.2004 г.

42. «Защита от инсайдера», приложение к газете «Коммерсантъ» № 69 (3645) от 24.04.2007 г. (http://www.kommersant.ru).

43. Дайджест событий ИТ-безопасности// КомпьютерПресс. 2007. № 5.

44. «Huge Leak Revealed at Japanese Firm», http://www.darkreading.com, 2007 г.

45. О. Визнюк «Запорожский хакер взломал банковскую систему», Центр исследований компьютерной преступности, http://www.crime-research.ru, 11.04.2005.

46. «Хакер сознательно хотел, чтобы его заметили, но этого не произошло», http://www.securitylab.ru, 12.04.2005.

47. «Жером Кервьель лишил главу Societe Generale половины полномочий», газета «Коммерсантъ», № 67 (3884) от 19.04.2008 (http://www.kommersant.ru).

48. «Societe Generale обнаружил дефекты в управлении рисками», газета «Коммерсантъ», № 30 (3847) от 22.02.2008 (http://www.kommersant.ru).

49. «У Жерома Кервьеля был шанс обыграть рынок» (http://bankir.ru, 25.12.2008).

50. «Жером-разоритель», журнал «Власть», № 4 (757) от 04.02.2008 (http://www.kommersant.ru).

51. Yann Le Guernigou, Tim Hepher. SocGen splits chairman, CEO jobs after scandal. — Reuters, 17.04.2008.

52. Скляров С. В. Вина и мотивы преступного поведения. — М.: Юридический центр Пресс, 2004.

53. Комер М. Дж. Расследование корпоративного мошенничества. — М.: Hippo,

2004.

54. Доронин А. И. Бизнес-разведка. — М.: Ось-89, 2003.

55. Report to the Nation on Occupational Fraud & Abuse, Association of Certified Fraud Examiners, Inc., 2008.

56. Положение Центрального банка Российской Федерации от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Участники проекта «Обеспечение информационной безопасности бизнеса»

IBM Восточная Европа/Азия.

123317, Россия, Москва,

Пресненская наб., д. 10.

Тел.: +7 (495) 775-8800.

Факс: +7 (495) 940-2070,

+ 7 (495) 258-6363.

ibm.com/ru


CompuTel.

115114, Россия, Москва,

Кожевнический пр., д. 4, стр. 3.

Тел.: +7 (495) 640-3010.

Факс: +7 (495) 640-3011.

www.computel.ru info@computel.ru


ЗАО «ЕС-лизинг»

117405, Россия, Москва,

Варшавское ш., д. 125, стр. 1.

Тел.: +7 (495) 319-1390.

Факс: +7 (495)-319 6990.

www.ec-leasing.ru contact@ec-leasing.ru


ЗАО НИП «ИНФОРМЗАЩИТА»

127018, Россия, Москва,

ул. Образцова, д. 38.

Тел./факс: +7 (495) 980-2345.

www.infosec.ru.

Запрос информации о продуктах и услугах:

market@infosec.ru


ЗАО «Инфосистемы Джет»

127015, Россия, Москва,

ул. Б. Новодмитровская, д. 14, стр. 1,

офисный центр «Новодмитровский»

Тел.: +7 (495) 411-7601,

+ 7 (495) 411-7603.

Факс: +7 (495) 411-7602.

http://www.jet.msk.su info@jet.msk.su


ОАО «ЭЛВИС-ПЛЮС»

124498, Россия, Москва,

Зеленоград, Проезд 4806, д. 5, стр. 23.

Тел.: +7 (495) 777-4290,

+ 7 (499) 731-4633,

+ 7 (499) 731-2403.

www.elvis.ru

info@elvis.ru

© ООО «Центр исследований платежных систем и расчетов», 2010.

© ООО «Альпина», 2010.