Реферат: Рекомендации по обеспечению информационной безопасности Заключение

Содержание


Введение ………………………………………………………………….……….3

Глава 1Теоретические основы процесса обеспечения информационной безопасности

1.1 Необходимость создания системы информационной безопасности……………………………………………………………….……...5

1.2 Требования к системе информационной безопасности………………..…7

1.3 Внедрение политики информационной безопасности……………………8

1.4 Факторы, определяющие эффективность политики безопасности…….10

1.5 Оценка рисков………………………………………………………….…..13

Глава 2 Проведение аудита информационной безопасности

2.1 Проведение первоначального аудита ИС………………………………...16

2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности…………………………………………………………………..…23

2.3 Рекомендации по обеспечению информационной безопасности………25

Заключение…………………………………………………………………….....38

Список литературы……………………………………………………………....40


Введение

Что такое информационная безопасность?

Информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.

Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная безопасность — механизм защиты, обеспечивающий:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками,

методами, процедурами, организационными структурами и функциями программного обеспечения.

Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Цель данной работы - разработать стратегию ИБ предприятия в виде системы эффективных политик, включающих эффективный и достаточный набор требований безопасности.

Задачи:
^ 1) Проведение первоначального аудита информационной безопасности; 2) Выработка рекомендаций по устранению уязвимостей; 3) Разработка нормативных актов, регулирующих информационную безопасность; ^ Глава 1. Теоретические основы процесса обеспечения информационной безопасности
Необходимость создания системы информационной безопасности



Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались, Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

^ 1.2 Требования к системе информационной безопасности

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

^ Внедрение политики информационной безопасности


Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.


Ключевыми мерами контроля с точки зрения законодательства являются:

- обеспечение конфиденциальности персональных данных;

- защита учетных данных организации;

- права на интеллектуальную собственность.


Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

- наличие документа, описывающего политику информационной безопасности;

- распределение обязанностей по обеспечению информационной безопасности;

- обучение вопросам информационной безопасности;

- информирование об инцидентах, связанных с информационной безопасностью;

- управление непрерывностью бизнеса.


Перечисленные мероприятия применимы для большинства организаций и информационных сред.

Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.


^ 1.4 Факторы, определяющие эффективность политики безопасности


Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Безопасность препятствует прогрессу.

Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".

Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.

Навыки безопасного поведения приобретаются в процессе обучения

В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

Нарушения политики безопасности являются неизбежными.

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.

Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться.


Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:

- соответствие целей, политик и процедур информационной безопасности целям бизнеса;

- согласованность подхода к внедрению системы безопасности с корпоративной культурой;

- видимая поддержка и заинтересованность со стороны руководства;

- четкое понимание требований безопасности, оценка рисков и управление рисками;

- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;

- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;

- обеспечение необходимого обучения и подготовки;

- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.


^ 1.5 Оценка рисков


Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.

Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.


Спорным вопросом предмета оценки информационных рисков является использование объективных и субъективных вероятностей для анализа уязвимостей и непосредственно анализа информационного риска. Согласно [ГОСТ Р 51897 2002] риск: Сочетание вероятности событий и их последствий1. Вероятность: Мера того, что событие может произойти. ГОСТ Р 50779.10 дает математическое определение вероятности: «действительное число в интервале от 0 до 1, относящиеся к случайному событию». Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.

Оценка риска: Общий процесс анализа риска и оценивания риска. Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы. Для применения данного метода требуется наличие довольно большого массива наблюдений за соответствующими факторами риска, который затем обрабатывается с помощью несложных математических методов.

Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Процесс получения субъективной вероятности обычно разделяют на три этапа:

подготовительный этап,

получение оценок,

этап анализа полученных оценок.

Во время первого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым. На третьем этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.

Одним из методов субъективной вероятности является метод прямой оценки вероятностей событий2. В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура. Сумма всех полученных вероятностей должна равняться единице.

Глава 2. Проведение аудита информационной безопасности


^ 2.1 Проведение первоначального аудита информационной системы


В результате первоначального аудита было проведено анкетирование пользователей и администраторов сети Компании. В результате аудита были выявлены следующие недостатки в обеспечении безопасности информации:

Отсутствуют средства контроля доступа к помещениям.

Отсутствует схема организации резервного канала связи с Филиалами Общества в регионе.

Отсутствует схема организации технологических мест доступа сотрудников Общества для проверки функциональности каналов связи и работоспособности сетевого оборудования.

Наличие в Обществе системы «Клиент-Банк» требует дополнительной проработки вопросов обеспечения информационной безопасности Общества и подготовки соответствующих Приказов, Инструкций и рекомендаций.

Отсутствует полноценный проект построения ЛВС Общества с наличием схем описаний, используемого оборудования и технологий доступа.

Системы резервного копирования данных находятся в критическом состоянии. Отсутствуют дополнительные мощности для хранения данных. Так же отсутствуют регламенты проведения резервного копирования данных.

Сети и подсети ЛВС не имеют логического и физического разделения. Межсетевой экран имеет подключение в точке сопряжения с внешней сетью.

Отсутствуют специальные программные и аппаратные средства контроля и защиты информационных ресурсов и систем.

В ходе осмотра дополнительного офиса была обнаружена приклеенная бумага к коммутационному оборудованию с указанием сетевых настроек и административного пароля доступа к оборудованию.

Наличие стандартных и простых паролей, а так же множественные уязвимости.

На контроллере домена отсутствует разграничение доступа отделов по папкам. В ходе проверки были обнаружены документы относящиеся к классам безопасности: «СЛУЖЕБНАЯ ИНФОРМАЦИЯ», «КОММЕРЧЕСКАЯ ТАЙНА», «ПЕРСОНАЛЬНЫЕ ДАННЫЕ».

Отсутствуют бизнес-процессы предоставления/прекращения доступа к ресурсам ЦД сотрудникам Общества, филиалов и подрядчикам.

Отсутствуют нормативные документы по информационной безопасности, в том числе Политика и правила информационной безопасности.


Так же были выявлены следующие основные уязвимости на рабочих станциях и серверах корпоративной вычислительной системы:

Порт

Уязвимость

Решение

23

Telnet является протоколом удаленного управления компьютером. Этот протокол является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.

Использовать защищенный протокол, например SSH или разрешить доступ к этому сервису только с определенных адресов.

21

Возможно создание директорий.

Возможно удаление директорий.

Возможен анонимный вход на сервер FTP. При определенных обстоятельствах это может привести к потери данных.

Закрыть доступ любым пользователям для создания директорий.

Закрыть доступ любым пользователям для удаления директорий.

Закрыть анонимный доступ к FTP серверу если он действительно не нужен.

80

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.

Запретить использование этих скриптов или программно исправить ошибку.

135

Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.

Установите обновление:

http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

139

Переполнение буфера обнаружено в Microsoft ASN.1 Library ("msasn1.dll") в процессе ASN.1 BER декодирования. Уязвимость может эксплуатироваться через различные службы (Kerberos, NTLMv2) и приложения, использующих сертификаты. Удаленный пользователь может послать специально обработанные ASN.1 данные к службе или приложению, чтобы выполнить произвольный код с SYSTEM привилегиями.

Установите обновление:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

389

Возможно получение чувствительной информации через запрос NULL BASE без какой-либо авторизации

Оценить степень риска информации получаемой с помощью запроса и при необходимости отключить использование NULL BASE.

593

Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.

Установите обновление:

http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

445

Возможен доступ на чтение реестра хоста.

Отключить возможность удаленного управления реестром.

53

Сервер DNS поддерживает рекурсию запросов. При определенных обстоятельствах возможна DoS-атака на сервер.

Разрешить рекурсию только для доверенных адресов.

3306

Переполнение буфера и обход авторизации обнаружено в MySQL. Удаленный пользователь может авторизоваться на сервере базы данных без пароля. Удаленный пользователь может, в некоторых случаях, выполнить произвольный код.


Удаленный пользователь может представить специально обработанный авторизационный пакет, чтобы обойти механизм авторизации на MySQL сервере. Уязвимость расположена в check_scramble_323() функции.


Удаленный пользователь может определить произвольное 'passwd_len' значение, чтобы заставить функцию сравнить известное значение 'scrambled' пароля со строкой нулевой длины. Функция позволяет удаленному пользователю успешно аутентифицироваться со строкой нулевой длины.


Также сообщается о стековом переполнении буфера, которое может быть вызвано чрезмерно длинным параметром 'scramble' , сгенерированным функцией my_rnd(). На некоторых платформах уязвимость может использоваться для выполнения произвольного кода.

Установите последнюю версию:

http://www.mysql.com/downloads/index.html



На основании этих недостатков, был разработан набор нормативных актов регулирующих информационную безопасность (Приложение 1-16):

Политика Информационной безопасности;

Данный нормативный акт является основным документом, регулирующим вопросы информационной безопасности Компании. В нем даётся понятие безопасности информации. Определяется защищаемая информация. Предъявляются требования к административной и технической защите информации. Определяются ответственные за надлежащее исполнение норм политики (За основу была взята политика информационной безопасности КОМСТАР-ОТС).

Инструкции по наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;

Данный нормативный акт регулирует порядок увольнения работников и лишения их прав доступа в систему. Подробно описывается количество времени выделенного на существование учётных записей пользователей.

Инструкция по регламентации работы пользователей сети в процессе её эксплуатации;

Инструкция по регламентации работы пользователей в локальной вычислительной сети в процессе ее промышленной эксплуатации предназначена для руководителей и сотрудников Компании и регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией Базы Данных организации, обрабатываемой, хранимой и передаваемой в организации.

Правила информационной безопасности при организации межсетевого взаимодействия;

Правила информационной безопасности при организации технологического доступа сторонним организациям;

Правила информационной безопасности при организации и использовании услуги электронной почты;

Правила информационной безопасности при использовании внутренних информационных ресурсов Компании;

Правила информационной безопасности при организации доступа к внешним информационным ресурсам и сервисам;

Правила информационной безопасности при использовании средств аутентификации;

Правила информационной безопасности при организации антивирусной защиты;

Правила информационной безопасности, предъявляемые к разрабатываемым и внедряемым автоматизированным информационным системам;

Правила информационной безопасности при использовании системы «Клиент-банк».

Правила информационной безопасности при обучении сотрудников.

Правила информационной безопасности при анализе рисков.

Правила информационной безопасности при управлении инцидентами.

Правила доступа и использования.


Данные документы были переданы на утверждение генеральному директору Компании и, впоследствии, будут внедрены.

Также результатом анкетирования и первоначального аудита информационной системы предприятия на предмет информационной безопасности (аудит на соответствие стандартам безопасности) стали рекомендации по устранению угроз безопасности:

^ 2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности

Всего не выполнено 350 требования из 473 стандарта ISO/IEC 17799. Общий риск невыполнения требований составляет 71%.

^ Нормативные документы по обеспечению информационной безопасности

Уровень качества существующих распорядительных документов по ИБ оценивается как достаточно высокий.

В Компании не проводится создание и внедрение на практике нормативной базы документов по обеспечению информационной безопасности в соответствии с Корпоративным стандартом КОМСТАР-ОТС. При этом существующей нормативной базы и практики ее применения в информационной системе Общества явно недостаточно для соответствия требованиям Корпоративного стандарта и обеспечения должного уровня защищенности информационных ресурсов.

^ Квалификация персонала

Уровень квалификации пользователей в области ИБ – низкий, сотрудников отдела безопасности – низкий, сотрудников отдела ИТ (в области ИБ) – высокий.

^ Уровень оперативной готовности

Уровень оперативной готовности реагирования на инциденты в области информационной безопасности – крайне низкий.

^ Сетевая инфраструктура

Уровень сегментации сети и изоляции сегментов – низкий. Обнаруженные грубые ошибки в конфигурации сетевого оборудования позволяют потенциальному нарушителю получить полный контроль над транспортным уровнем сетевой инфраструктуры (в том числе – получить неограниченный доступ к сети Интернет) и проводить как сбор информации, передаваемой по сети (аутентификационные данные пользователей, служебные данные, бизнес-информация), так и организовывать сложные атаки на серверы и рабочие станции КИС. В ходе работы был получен доступ на подавляющее большинство коммутаторов и маршрутизаторов.

Серверы

Защищенность серверов в целом находится на достаточно высоком уровне. Распределение функциональной нагрузки между серверами выполнено с учетом требований безопасности. Контроллеры домена, как наиболее важные серверы, достаточно защищены от атак потенциальных нарушителей.

^ Рабочие станции

Защищенность рабочих станций находится на низком уровне. Большое количество рабочих станций имеет типовые ошибки в администрировании: общие для ряда компьютеров или пустые пароли к административным учетным записям, отсутствие обновлений безопасности.


^ 2.3 Рекомендации по обеспечению информационной безопасности.

Соответствие Корпоративному стандарту по информационной безопасности

Прежде всего, необходимо начать работу по реализации требований Корпоративного стандарта (которые в настоящее время практически не выполняются), уделяя особое внимание процедурам контроля и проверки действий пользователей (в том числе активнее использовать как процедуры гласного контроля, так и негласный контроль над пользователями). В соответствии с Корпоративным стандартом требуется разработать и официально утвердить ряд регламентов по ИБ.

Особое внимание требуется обратить на следующие направления организации обеспечения информационной безопасности:

обучение пользователей вопросам информационной безопасности;

расследование инцидентов в области информационной безопасности;

разделение информационных сред по целям использования;

процедуры внедрения новых информационных систем;

контроль изменений в операционной среде (ведение и анализ журналов аудита, нормативные документы);

наличие матрицы доступа по всем критичным ресурсам;

администрирование критичных ресурсов с применением принципа разделения ответственности;

перечень разрешенных сервисов на всех критичных ресурсах;

контроль за информационными потоками (учет входящих и исходящих электронных документов).

Для организации работы по внедрению и реализации требований Корпоративного стандарта рекомендуется создать отдел информационной безопасности, специалистам которого следует поручить выполнение данных функций.

^ Нормативные документы по обеспечению информационной безопасности

В соответствии с Корпоративным стандартом КОМСТАР-ОТС, имеющийся список нормативных документов в Обществе необходимо расширить, добавив следующие наиболее важные регламенты:

Обучение пользователей.

Матрица доступа по всем критичным ресурсам.

Внедрение и тестирование новых информационных систем.

Расследование инцидентов в области ИБ.

Перечень разрешенного ПО, установленного на критичных ресурсах.

Инвентаризация ресурсов.

Физическое уничтожение отработавшего оборудования или остаточной информации.

Анализ и реагирование на инциденты в области ИБ.

Ведение и регулярный анализ журналов системных событий.

Распределение ответственности при выполнении критичных операций.

Разделение сред по целям использования (операционная среда, тестирования и среда разработки).

Контроль изменений в операционной среде.

Регулярные проверки ИБ (внутренние проверки, внешний аудит).

Обеспечение непрерывности ведения бизнеса.

Распределение ответственности за обеспечение информационной безопасности.

Безопасность персонала.

Безопасность носителей данных.

Передача во внешнюю среду конфиденциальной информации в электронном виде.

Перечень конфиденциальной информации, существующей в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности, доступности по видам конфиденциальной информации.

Перечень ценной информации, существующий в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности и доступности по видам ценной информации.

Методы и средства анализа и управления информационными рисками.

^ Квалификация персонала

Для обеспечения безопасности и повышения квалификации пользователей требуется регулярно проводить тренинги в области ИБ для пользователей и внедрить развитую систему регулярных проверок за действиями пользователей в ИС.

Для повышения квалификации персонала из службы ИТ следует регулярно проводить для них курсы повышения квалификации по ИБ (особенно по сетевому оборудованию) и ставить задачу обеспечения ИБ как от менеджеров заказчика, так и от лица высшего руководства заказчика, тем самым стимулируя их выполнять задачи обеспечения безопасности на требуемом Корпоративным стандартом уровне.

^ Уровень оперативной готовности

Для повышения уровня оперативной готовности ре