BzBook.ru

Обеспечение информационной безопасности бизнеса

Приложение 3 (справочное)

Примеры метрик для измерения атрибутов


Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов.

Приложение 4 ЗАО «ЕС-лизинг»

ЗАО «ЕС-лизинг» по заказу Банка России (БР) разработало систему обеспечения информационной безопасности коллективных центров обработки информации (КЦОИ) Банка России.

ЗАО «ЕС-лизинг» прошло экспертизу компании ООО «Пацифика» на соответствие требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение ИБ организацией банковской системы Российской Федерации. Общие положения». В результате экспертизы установлено, что система менеджмента информационной безопасности ЗАО «ЕС-лизинг» соответствует требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 (уровень соответствия — второй).

ЗАО «ЕС-лизинг» имеет следующие лицензии Федеральной службы по техническому и экспертному контролю:

• лицензия (серия КИ 0028, № 001362) Федеральной службы по техническому и экспертному контролю на деятельность по разработке и (или) производству средств защиты конфиденциальной информации (регистрационный № 0269 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.);

• лицензия (серия КИ 0028, № 001359) Федеральной службы по техническому и экспертному контролю на деятельность по технической защите конфиденциальной информации (регистрационный № 0463 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.).


ЗАО «ЕС-лизинг» имеет следующие сертификаты соответствия от АНО «Центр независимой комплексной экспертизы и сертификации систем и технологий»:

• сертификат соответствия № ВР 08.1.2601-09, удостоверяющий, что система менеджмента качества, распространяющаяся на разработку, производство, гарантийное обслуживание (в том числе сопровождение) продукции в соответствии с классами ЕКПС 1210, 7010, 7015, 7030, 7031, отвечает требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008), ГОСТ РВ 15.002-2003 и СРПП ВТ (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.);

• сертификат соответствия № SSAQ 032.3.1.0427, удостоверяющий, что система менеджмента качества применительно к проектированию, разработке, производству и обслуживанию/поддержке/сопровождению соответствует требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008 (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.).

Система обеспечения информационной безопасности КЦОИ Банка России.

В ЗАО «ЕС-лизинг» разработана Система обеспечения информационной безопасности коллективных центров обработки информации (СОИБ КЦОИ) для обеспечения противодействия угрозам на 2-5-м уровнях. СОИБ КЦОИ БР является инфраструктурным решением и охватывает все автоматизированные системы и прикладные программные комплексы, функционирующие в КЦОИ Банка России.

СОИБ КЦОИ предназначена для обеспечения заданного уровня информационной безопасности программно-технических средств (ПТС) КЦОИ и автоматизированных систем (АС), функционирующих на КЦОИ БР, путем мониторинга и управления как специальными, так и встроенными в общесистемное программное обеспечение средствами обеспечения информационной безопасности (ИБ).

Цели создания СОИБ КЦОИ БР.

Перед СОИБ КЦОИ БР стояли три основные цели:

1) выполнение в КЦОИ БР требований нормативных документов Банка России и стандарта Банка России по ИБ;

2) проведение централизованного управления учетными записями и правами доступа персонала СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов;

3) обеспечение централизованного мониторинга и осуществление контроля выполнения персоналом СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов регламентов и технологических операций.

Функции СОИБ КЦОИ БР.

В рамках СОИБ КЦОИ БР выполняются такие функции, как управление учетными записями эксплуатационного персонала КЦОИ БР, централизованная аутентификация и управление доступом к ресурсам комплекса технических средств (КТС) КЦОИ БР, централизованный мониторинг, самоконтроль СОИБ КЦОИ БР, а также резервирование, хранение и восстановление данных СОИБ КЦОИ БР.

Структура СОИБ КЦОИ БР.

Структурно СОИБ КЦОИ БР состоит из ядра системы и специализированных подсистем управления и мониторинга (СПУМ) в составе: СПУМ z/OS, СПУМ MS Windows КЦОИ БР, СПУМ ЛВС КЦОИ БР, СПУМ антивирусной защитой КЦОИ БР, СПУМ СЗИ от НСД и СПУМ СУБД КЦОИ БР.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Структура СОИБ КЦОИ БР

СОИБ КЦОИ БР обеспечивает реализацию требований к функциям СОИБ и взаимодействие со смежными специализированными подсистемами управления и мониторинга.

Ядро системы СОИБ КЦОИ БР обеспечивает выполнение функций СОИБ КЦОИ БР и осуществляет взаимодействие со СПУМ.

Специализированные подсистемы управления и мониторинга (СПУМ) СОИБ КЦОИ БР входят в состав СОИБ БР и обеспечивают взаимодействие ядра СОИБ БР с соответствующими подконтрольными системами КЦОИ БР.

Выполнение функций СОИБ КЦОИ БР в отношении подконтрольных объектов обеспечивается ядром СОИБ КЦОИ БР при отсутствии агентов на подконтрольных объектах или ядром СОИБ КЦОИ БР совместно со СПУМ при наличии агентов на подконтрольных объектах.

С целью обеспечения отказоустойчивости и катастрофоустойчивости работы СОИБ КЦОИ БР программные средства, обеспечивающие функционирование СОИБ КЦОИ БР, установлены особым образом, в специальной конфигурации и со специальными настройками.

Структурная схема.

Структурная схема СОИБ КЦОИ представлена ниже. На схеме выделены объекты, подконтрольные СОИБ КЦОИ БР.

Программные средства подконтрольных систем состоят из операционных систем z/OS, Suse Linux и Windows Server 2003, Windows XP, WebSphere Application Server, СУБД Oracle и MS SQL.

Заключение.

Следует отметить, что СОИБ КЦОИ БР является гибкой и развивающейся информационной системой. Продуманные особенности структуры СОИБ КЦОИ БР (ядро и набор СПУМ), а также мощность программных средств, используемых для реализации системы, позволяют обеспечить широкие возможности по масштабируемости системы и добавлению новых подконтрольных систем в контур СОИБ КЦОИ БР в будущем.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Заключение

Приложение 5 Монитор TopCM

В ЗАО «ЕС-лизинг» разработан монитор TopCM (Top Control Manager), предназначенный для осуществления полного контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения повышенного уровня информационной безопасности вычислительного процесса, построенного на базе z/OS. Монитор TopCM способен полностью контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связей, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений. Кроме того, монитор может контролировать функционирование всех прикладных и системных программ, включая их взаимодействие друг с другом, попытки получения несанкционированного доступа к ресурсам, попытки неавторизованных программ нарушить или вмешаться в работу управляющей или других прикладных программ, а также повысить свой собственный статус или уровень авторизации в системе.

Одной из важнейших функций монитора является возможность обнаружения и пресечения попыток выполнения инструкций процессора, необъявленных в открытом описании принципов работы z/архитектуры. Возможность контролировать подобные события относится к программам любого типа, управляющим или прикладным, независимо от уровня их авторизации.

Монитор TopCM запускается в среде z/OS как обычное задание в области V = R и представляет собой авторизованную программу. На этапе инициализации программа переходит в супервизорный режим и получает нулевой ключ доступа к памяти. Затем программа формирует свою собственную префиксную страницу и заменяет ею префиксную страницу z/OS. Если конфигурация вычислительной установки мультипроцессорная, TopCM заменяет своими собственными префиксные страницы z/OS для всех процессоров, входящих в конфигурацию.

Обеспечение информационной безопасности бизнеса Приложение 5.  Монитор TopCM.

Список литературы

1. Risk Metrics Technical Document. — JPMorgan, 4th edition, December, 1996.

2. Taylor W. F. Principles of Scientific Management. — New York: Harper & Row, 1911.

3. Гольдштейн Г. Я. Основы менеджмента — Таганрог: ТРТУ, 2003.

4. ГОСТ Р 51897-2002, Менеджмент риска. Термины и определения.

5. ГОСТ Р 51898-2002, Аспекты безопасности. Правила включения в стандарты.

6. Нив Генри Р. Пространство доктора Деминга: Принципы построения устойчивого бизнеса. — М.: Альпина Бизнес Букс, 2005.

7. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. — Cambridge (Mass.) Mass. Inst. of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.

8. ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.

9. Европейское качество = European Quality: журнал/Европейская организация по качеству; перевод/ФГУП РИА «Стандарты и качество» — 2001, № 2.

10. ИСО 31000, Risk management — Principles and guidelines on implementation.

11. ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements.

12. ISO/IEC 38500:2008, Corporate governance of information technology.

13. ISO GUIDE 72:2001, Guidelines for the justification and development of management system standards.

14. ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance.

15. Technical Report ISO/IEC TR 18044, Information technology — Security techniques — Information security incident management.

16. NIST Special Publication 800-61, Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, January 2004.

17. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

18. ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management.

19. Excerpted from the Executive Summary of the Report Issued by The Committee of Sponsoring Organizations of the Treadway Commission. «Internal control — Integrated framework», 1992.

20. The Committee of Sponsoring Organizations of the Treadway Commission. «Internal Control over Financial Reporting — Guidance for Smaller Public Companies», 2006.

21. ISO/ШС 20000, Information technology — Service management.

22. ISO/IEC 15939, Software engineering — Software measurement process.

23. ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement.

24. Gartner. The Price of Information Security. Strategic Analysis Report.

25. Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006.

26. СТО БР ИББС — 1.0-2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

27. СТО БР ИББС — 1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.

28. BSI PAS 56 Guide to Business Continuity Management (BCM)

29. ISO/IEC 15504 Information technology — Process assessment.

30. NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems.

31. Зефиров С. Л., Голованов В. Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд. 2006. № 3.

32. Risk Based Internal Auditing [Электронный ресурс]/The Institute of Internal Auditors — UK and Ireland. — www.iia.org.uk, August 2003.

33. К. В. Харский. Благонадежность и лояльность персонала. — СПб.: Питер,

2003.

34.. Robert Н. Anderson, Richard Brackney, Thomas Bozek. Advanced Network Defense Research, Proceedings of а Workshop., Santa Monica, CA, RAND Corporation, CF-159-NSA, 2000.

35. Инструкция Банка России № 110-И «Об обязательных нормативах банков» от 16 января 2004 г.

36. DoD Insider Threat Mitigation. Final Report of the Insider Threat Integrated Process Team, 24.04.2000.

37. Marisa Reddy Randazzo, Michelle Keeney, Eileen Kowalski, Dawn Cappelli, Andrew Moore. Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector, National Threat Assessment Center, United States Secret Service, Washington, DC. Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, August 2004.

38. «Сисадмин осужден на 8 лет за месть работодателю», http://forum.ubuntu.ru, 18.12.2006 г.

39. «Сисадмин банка уничтожил данные из-за маленькой премии», http://forum.armkb.com, 13.06.2006 г.

40. «Disgruntled UBS PaineWebber Employee Charged with Allegedly Unleashing «Logic Bomb» on Company Computers», И. S. Department of Justice United States Attorney District of New Jersey, December 17, 2002.

41 С. Витковская, А. Никольский ««Шерлок» взят с поличным. Бывшие сотрудники «ВымпелКома» продавали распечатки звонков сотовых абонентов», http://www.sostav.ru, 29.11.2004 г.

42. «Защита от инсайдера», приложение к газете «Коммерсантъ» № 69 (3645) от 24.04.2007 г. (http://www.kommersant.ru).

43. Дайджест событий ИТ-безопасности// КомпьютерПресс. 2007. № 5.

44. «Huge Leak Revealed at Japanese Firm», http://www.darkreading.com, 2007 г.

45. О. Визнюк «Запорожский хакер взломал банковскую систему», Центр исследований компьютерной преступности, http://www.crime-research.ru, 11.04.2005.

46. «Хакер сознательно хотел, чтобы его заметили, но этого не произошло», http://www.securitylab.ru, 12.04.2005.

47. «Жером Кервьель лишил главу Societe Generale половины полномочий», газета «Коммерсантъ», № 67 (3884) от 19.04.2008 (http://www.kommersant.ru).

48. «Societe Generale обнаружил дефекты в управлении рисками», газета «Коммерсантъ», № 30 (3847) от 22.02.2008 (http://www.kommersant.ru).

49. «У Жерома Кервьеля был шанс обыграть рынок» (http://bankir.ru, 25.12.2008).

50. «Жером-разоритель», журнал «Власть», № 4 (757) от 04.02.2008 (http://www.kommersant.ru).

51. Yann Le Guernigou, Tim Hepher. SocGen splits chairman, CEO jobs after scandal. — Reuters, 17.04.2008.

52. Скляров С. В. Вина и мотивы преступного поведения. — М.: Юридический центр Пресс, 2004.

53. Комер М. Дж. Расследование корпоративного мошенничества. — М.: Hippo,

2004.

54. Доронин А. И. Бизнес-разведка. — М.: Ось-89, 2003.

55. Report to the Nation on Occupational Fraud & Abuse, Association of Certified Fraud Examiners, Inc., 2008.

56. Положение Центрального банка Российской Федерации от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Участники проекта «Обеспечение информационной безопасности бизнеса»

IBM Восточная Европа/Азия.

123317, Россия, Москва,

Пресненская наб., д. 10.

Тел.: +7 (495) 775-8800.

Факс: +7 (495) 940-2070,

+ 7 (495) 258-6363.

ibm.com/ru


CompuTel.

115114, Россия, Москва,

Кожевнический пр., д. 4, стр. 3.

Тел.: +7 (495) 640-3010.

Факс: +7 (495) 640-3011.

www.computel.ru info@computel.ru


ЗАО «ЕС-лизинг»

117405, Россия, Москва,

Варшавское ш., д. 125, стр. 1.

Тел.: +7 (495) 319-1390.

Факс: +7 (495)-319 6990.

www.ec-leasing.ru contact@ec-leasing.ru


ЗАО НИП «ИНФОРМЗАЩИТА»

127018, Россия, Москва,

ул. Образцова, д. 38.

Тел./факс: +7 (495) 980-2345.

www.infosec.ru.

Запрос информации о продуктах и услугах:

market@infosec.ru


ЗАО «Инфосистемы Джет»

127015, Россия, Москва,

ул. Б. Новодмитровская, д. 14, стр. 1,

офисный центр «Новодмитровский»

Тел.: +7 (495) 411-7601,

+ 7 (495) 411-7603.

Факс: +7 (495) 411-7602.

http://www.jet.msk.su info@jet.msk.su


ОАО «ЭЛВИС-ПЛЮС»

124498, Россия, Москва,

Зеленоград, Проезд 4806, д. 5, стр. 23.

Тел.: +7 (495) 777-4290,

+ 7 (499) 731-4633,

+ 7 (499) 731-2403.

www.elvis.ru

info@elvis.ru

© ООО «Центр исследований платежных систем и расчетов», 2010.

© ООО «Альпина», 2010.