Информационная безопасность с чего начать


Как стать безопасником?

В Сети довольно часто встречаются вопросы: «что почитать по ИБ? как перейти в безопасники? что должен знать ИБ-специалист? с чего начать изучение информационной безопасности?» Вот уже 6 лет как мы с коллегами «на передовой» разрабатываем и внедряем в вузах СНГ наши учебные курсы, посвящённые предотвращению утечек информации и использованию DLP-систем. За это время у нас выработалось собственное видение проблемы, обозначенной в заголовке. Это не аксиома, не истина в последней инстанции. Вы можете не согласиться с частью суждений. Но, начнем. Быть, а не казаться Как стать безопасником? А как стать сильным? Борцы, культуристы, бодибилдеры, пауэрлифтеры, турникмэны сильные? Да. Одинаково? Нет. У каждого своя специализация. Поэтому, собираясь стать безопасником, в первую очередь надо определиться со сферой деятельности: вирусный аналитик, разработчик тех или иных систем, пентестер, управленец и т.д. Каждому направлению соответствуют свои наборы качеств, знаний, обязанностей, задач и инструментов.

Что делает атлета хорошим штангистом? Пояс, штангетки, наколенники, «накрахмаленные» магнезией ладони? Снова нет. Эта атрибутика делает человека похожим на штангиста. В реальности же играет роль техника выполнения упражнения и взятый вес. Так и безопасник становится хорошим специалистом не потому, что у него есть гора сертификатов, 2 винчестера презентаций и 300 тематических вебинаров в папке «разобрать», а потому что он владеет знаниями, пониманием их применения и практическим опытом.

Схватка двух якодзун

B сфере ИБ также не обошлось без извечной проблемы работодателей и соискателей. Первым, как известно, хотелось бы видеть в штате опытного молодого специалиста, не старше 25 лет, но с 30-летним опытом работы, разбирающемся во всём от настройки СКУД’а до вёрстки корпоративных буклетов в Illustrator’е. И, конечно, он должен работать за 12000 рублей (желательно, в год). Что до соискателей, то на первом месте в пожеланиях у них идёт обычно шестизначная сумма месячного оклада. В общем, известный конфликт интересов. Кроме того, бытует мнение, что выпускники ничего не знают, опыта не имеют и вообще должны быть благодарны, что их хоть кто-то хочет взять. С другой стороны, выпускники и рады бы подучиться самостоятельно, но требования работодателей часто настолько разнятся, что банально не понятно, с чего начать.

Начать с себя

Это возвращает нас к первому вопросу. Определившись, в какой сфере вы хотите трудиться, нужно проделать работу по сбору первичной информации. Хотите работать в банке – изучите открытые вакансии на порталах рекрутинговых агентств. Проанализируйте, какие навыки «мелькают» чаще, какие сертификаты востребованы и т.д. Не стесняйтесь спросить напрямую. Нет знакомых из нужной сферы – идите на тематические ресурсы, форумы, группы в соцсетях. Как бы то ни было, пока вы не определитесь с ответом, двигаться дальше нет смысла. К примеру, что нужно знать безопаснику, предотвращающему утечки информации? Первое, с чем придётся столкнуться на этой должности – нормативка. ГОСТы, отраслевые стандарты, федеральные законы, приказы ведомств и т.д. Обрабатываете персональные данные? – должны «знать и уметь» ФЗ-152. Связаны с государственными информационными системами? – не забывайте о приказах ФСТЭК №17 и №21. Хотите защищать информацию, составляющую коммерческую тайну? – сначала введите соответствующее положение. В общем, без горы бумаг никуда. Второй обязательный пункт – навыки. В идеале нужно быть немного юристом (а им придётся стать, выполняя разнарядку по нормативной документации), немного психологом (работа с людьми в стиле следователя МВД) и много аналитиком, ведь основная деятельность связана с выявлением, предотвращением и расследованием утечек. Это минимальный набор, который в дальнейшем будет пополняться специфическими знаниями и опытом, характерными для конкретной компании.

Продолжать с профессионалами

Где взять недостающие знания? Если раньше хорошую техническую литературу было не достать, то сегодня информации так много, что глаза разбегаются и опускаются руки. К сожалению, в основном Сеть богата на различные маркетинговые переливания из пустого в порожнее: презентации и доклады с «коммерческих» конференций, различные завлекающие вебинары и прочее. Отыскать что-либо действительно полезное становится нетривиальной задачей.

Тем не менее, кто ищет, тот найдёт. Например, Алексей Лукацкий, в своём блоге сделал подборку курсов и площадок на тему ИБ (часть 1, часть 2). Единственное «но» – большинство (не все!) из предлагаемых ресурсов англоязычные. Тем не менее, как показала практика, находятся энтузиасты, который берутся как за отдельные книги, так и за глобальные проекты.

Если вы хотите получить знания точечно, по какому-то конкретному вопросу или направлению, повторюсь, не бойтесь спрашивать. Существуют тематические и отраслевые сообщества, например «Союз руководителей служб безопасности Урала», где если вдруг не ответят напрямую, то хотя бы дадут совет, в какую сторону копать. Также полезно посещать мастер-классы и мероприятия практической направленности. На этом варианты не заканчиваются – существуют специализированные курсы для студентов.

Чтобы не ходить далеко за примером, расскажу о нашем учебном центре. Вот уже шесть лет мы бесплатно обучаем студентов, выбравших направление ИБ. Сегодня мы сотрудничаем с более чем 50 вузами в странах СНГ и даём участникам реальные практические знания за счёт комплексного подхода к процессу обучения. Схематично это выглядит так:

Помимо учебника и лекций, большая часть времени отведена под занятия с реальным ПО (DLP-системой) и разбору ситуаций, которые не «могут когда-нибудь случиться», а которые происходят «здесь и сейчас». В свою очередь, разделение материала между вузом и системой дистанционного обучения помогает отсеять тех, кто ленится или не способен усваивать материал самостоятельно. В конце концов, хороший специалист должен уметь работать автономно, а не оглядываться в поисках преподавателей, столкнувшись с незнакомой ситуацией.

Как видите, выбрать есть из чего. Надеюсь, я хотя бы частично ответил на вопрос «как стать безопасником?» Ну а если нет, то готов продолжить в комментариях. P.S. Кто я такой.Дрозд Алексей, директор учебного центра SearchInform, руководитель направления по работе с вузами. На ниве ИБ работаю 5 лет. Преподаю 8 лет. Закончил физфак БГУ (Минск). Метки:
  • информационная безопасность
  • ИБ
  • DLP

habr.com

Построение СУИБ: С чего начать?

Доброго времени суток, уважаемые! Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста. Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план. К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Анализ рисков
Практически всё в ИБ начинается с анализа рисков, это основа и начало всех процессов в безопасности. Проведу краткий ликбез в этой области, так многие понятия не очевидны и чаще всего путаются. Итак есть 3 основных понятия:
  • Риск
  • Вероятность реализации
  • Уязвимость
Риск — это возможность понести какие-либо потери (денежные, репутационные и тд), в связи с реализацией уязвимости. Вероятность реализации — это насколько вероятно, что данная уязвимость будет эксплуатирована для реализации риска. Уязвимость — непосредственно брешь в вашей системе безопасности, которая с некоей долей вероятности может нанести вред, то есть реализовать риск. Есть множество методик, различных подходов к управлению рисками, расскажу об основах, остальное вам на первых порах в становлении СУИБ и не понадобится. Итак вся работа по управлению рисками сводится либо к снижению вероятности реализации, либо к минимизации потерь от реализации. Соответственно риски могут быть приемлемыми и неприемлемыми для организации. Приемлемость риска лучше всего выражать в конкретных суммах потерь от его реализации (в любом случае даже, вроде бы, неосязаемые репутационные потери в итоге выливаются в упущенную прибыль). Необходимо решить с руководством какая сумма для них будет порогом приемлемости и сделать градацию (лучше 3-5 уровней для потерь). Далее сделать градацию по вероятности, так же как с потерями и потом оценивать риски по сумме этих показателей. После проведения подготовительной работы, выделите реальные уязвимости вашей организации и проведите оценку рисков их реализации и потерь. В итоге вы получите 2 набора рисков — приемлемых и неприемлемых. С приемлемыми рисками вы просто смиритесь и не будете предпринимать активных действий по их минимизации (то есть мы принимаем, что минимизация этих рисков будет нам стоить дороже потерь от них), а с неприемлемыми есть 2 варианта развития событий. Минимизировать — уменьшить вероятность возникновения, уменьшить возможные потери или вообще предпринять меры по устранению риска (закрытие уязвимости). Передать — просто переложить заботы о риске на другое лицо, к примеру застраховать организацию от случаев наступления риска или передать актив, подверженный риску (к примеру перенести сервера в дата-центр, таким образом за бесперебойное питание и физическую сохранность серверов будет ответственнен дата-центр).
Масштабы
В первую очередь, конечно же, необходимо оценить масштабы бедствия. Я не буду касаться моментов по защите персданных, по этому поводу уже куча статей, есть описанные не раз практические рекомендации и алгоритмы действий. Напомню также, что информационная безопасность — это в первую очередь люди, так что нужна нормативная документация. Что бы написать её, для начала нужно понять что туда вписывать. Основных документов для ИБ в этом плане 3:
  • Политика информационной безопасности
  • Концепция информационной безопасности
  • Положение о коммерческой тайне (конфиденциальной информации)
Политика информационной безопасности
Ваш основной документ, настольная книга, Библия и другие громкие названия. Именно в ней описаны все процедуры по ИБ, описан уровень безопасности, которому вы следуете в своей организации. Так сказать — идеальный срез безопасности, задокументированный и принятый по всем правилам. Политика не должна быть мертвым грузом, документ должен жить, должен изменяться под влиянием новых угроз, веяний в ИБ или пожеланий. В связи с этим политика (как, в принципе, и любой процессный документ) должна регулярно пересматриваться на предмет актуальности. Лучше делать это не реже 1 раза в год.
Концепция информационной безопасности
Небольшая выжимка из политики, где описаны основы безопасности вашей организации, нет никаких конкретных процессов, но есть принципы построения СУИБ и принципы формирования безопасности. Этот документ скорее имиджевый, он не должен содержать никакой «чувствительной» информации и должен быть открытым и доступным для всех. Разместите его на своём сайте, вложите в лоток на информационном стенде, что бы ваши клиенты и посетители могли с ним ознакомиться или просто видели, что вы заботитесь о безопасности готовы это продемонстрировать.
Положение о коммерческой тайне (конфиденциальной информации)
В скобках указал альтернативное наименование подобного документа. По большому счёту, ком. тайна — это частный случай конфиденциалки, но отличий крайне мало. В этом документе необходимо указать следующее: как и где хранятся документы, составляющие ком. тайну, кто ответственнен за хранение этих документов, как должен выглядеть шаблон документа, содержащего подобную информацию, что будет за разглашение конфиденциальной информации (по законодательству и согласно внутренним договоренностям с руководством). Ну и конечно же перечень сведений, составляющих, для вашей организации, коммерческую тайну или являющиеся конфиденциальными. По закону, без предпринятых мер по защите конфиденциалки, у вас её как бы и нет :-) То есть сама-то информация вроде бы и есть, а вот конфиденциальной она являться не может. И тут есть интересный момент, что соглашение о неразглашении конфиденциалки подписывают в 90% организации с новыми сотрудниками, а вот мер, положенных по закону, предпринято мало у кого. Максимум перечень информации.
Аудит
Что бы написать эти документы, точнее, что бы понять что должно быть в них, нужно провести аудит текущего состояния ИБ. Понятно, что в зависимости от деятельности организации, территориальной распределенности и тд очень много нюансов и факторов для каждой конкретной организации, но есть несколько основных моментов, которые являются общими для всех.
Политика доступа
Тут 2 ветки — это физический доступ в помещения и доступ в информационные системы. Физический доступ Опишите вашу систему контроля доступа. Как и когда выдаются карточки доступа, кто определяет кому в какое помещение есть доступ (при условии, что помещение оборудовано СКД). Так же здесь стоит упомянуть систему видеонаблюдения, принципы её построения (отсутствие слепых зон в наблюдаемых помещениях, обязательный контроль входов и выходов в/из здания, контроль входа в серверную и тп). Так же не забудьте про посетителей, если у вас нет общей приёмной (да и при наличии её) стоить указать каким образом посетители попадают в контролируемую зону (временные пропуска, сопровождающий). Для серверной, так же, должен быть отдельный перечень доступа с журналом посещений (проще, если в серверной установлена СКД и всё ведется автоматически). Доступ в информационные системы Опишите процедуру выдачей доступов, если используется многофакторная аутентификация, то и выдача доп идентификаторов. Парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования УЗ после превышения количества попыток) для всех систем, в которые выдаётся доступ, если у вас не Single Log On повсюду.
Построение сети
Где находятся сервера, имеющие доступ снаружи (DMZ), как к ним обеспечивается доступ изнутри и снаружи. Сегментация сети, чем она обеспечивается. Межсетевые экраны, какие сегменты они защищают (если есть внутри сети между сегментами).
Удаленный доступ
Как он организован и кто имеет доступ. В идеале должно быть так: только VPN, доступ только по согласованию с высшим руководством и с обоснованием необходимости. Если нужен доступ третьим лицам (вендоры, обслуживающий персонал и тд), то доступ ограничен по времени, то есть учетка выдаётся на определенный срок, после которого автоматически блокируется. Естественно, при удаленном доступе, любом, права необходимо ограничивать по минимуму.
Инциденты
Как они обрабатываются, кто ответственный и как построен процесс инцидент менеджмента и проблем менеджмента (если есть, конечно). По работе с инцидентами у меня уже был пост: habrahabr.ru/post/154405 можете ознакомиться подробнее. Так же необходимо определиться с трендами в вашей организации. То есть какие инциденты возникают чаще, какие несут больший вред (простой, прямые потери имущества или денег, репутационный вред). Это поможет в контроле рисков и проведении анализа рисков.
Активы
В данном случае под активами понимается всё, что требует защиты. То есть сервера, информация на бумаге или съёмных носителях, жесткие диски компьютеров и тд. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации и тд.
Обучение
Момент, о котором многие забывают. Сотрудникам нужно рассказать о мерах безопасности. Не достаточно ознакомления с инструкциями и политиками под роспись, 90% их не прочитают, а просто распишутся, дабы отвязались. Про обучение я тоже делал публикацию: habrahabr.ru/post/154031 Там приведены основные моменты, важные при обучении и про которые не стоит забывать. Помимо непосредственно самого обучения, такие мероприятия полезны в плане общения между сотрудниками и офицером безопасности (красивое название, мне очень оно нравится :-). Можно узнать о каких-то мелких происшествиях, пожеланиях, да даже проблемах, про которые в обычном рабочем ритме вы вряд ли бы узнали.
Заключение
Вот, наверное, и всё, о чём хотелось поведать начинающим на поприще ИБ. Я понимаю, что подобным постом я, возможно, лишу какого-то своего коллегу работы, так как потенциальный работодатель просто возложит на админа эти обязанности, но я и огорожу многие организации от интеграторов-бракоделов, любящих выкачивать деньги за аудиты и пишущие многостраничные памфлеты ни о чём, выдавая их за нормативку (http://habrahabr.ru/post/153581/). В следующий раз постараюсь рассказать об организации службы информационной безопасности как таковой.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Метки:
  • информационная безопасность
  • документация
  • обучение

habr.com

С чего начинается информационная безопасность

Новости: RSS-версия

08.05.2015 / 10:00

 Сергей Иванов, руководитель специализированного    подразделения Первый БИТ:7000 Технологии Защиты  Информации компании «Первый БИТ».

 Эксперт в области защиты информационных активов предприятия,  контроля деятельности сотрудников. Стаж в области обеспечения  безопасности бизнеса более 14 лет. Соавтор «Типовой системы  качества для 1С:Франчайзи» в части информационной безопасности.  Автор статей по вопросам информационной безопасности в издании  «Финансовая Газета». Руководитель и редактор-эксперт  информационного портала www.RAZVEDKA.ru., посвященного защите конфиденциальной информации,  правовым аспектам защиты бизнеса, вопросам личной безопасности.

«Для России в целом типична ситуация, когда руководители компаний, приходя к необходимости решения вопросов информационной безопасности, имеют о ней довольно общее представление. В восприятии руководителя это либо царство «хакеров», из сюжетов новостных лент, либо космические, оторванные от привычной реальности, суммы убытков в отчетах аудиторов, также почерпнутые из новостных лент. То есть, весьма смутное понимание. Поэтому, первое, что мы делаем при знакомстве с заказчиком – говорим о реальных задачах бизнеса, о роли и ценности информационных активов для бизнеса».

– С чего же тогда начинается информационная безопасность?

– Очевидно, с определения, какая информация имеет ценность для бизнеса, что именно необходимо защищать. Сколько стоит эта информация, чем грозит ее потеря, уничтожение или просто ограничение доступа на какое-либо время. Стоимость, безусловно, определяется в рублях. На этом этапе обсуждаются такие виды финансовых потерь как цена восстановления информации, упущенная прибыль, потеря производительности, репутационные потери и т.п. И только после этого идет рассмотрение кто (собственный сотрудник, тот же хакер) или что (вирусы, изношенное оборудование) представляет для организации актуальную угрозу нарушения безопасности, какие меры противодействия необходимо предпринимать.

– Чего чаще всего опасаются предприниматели?

– Провокаций со стороны конкурентов. Шантажа уходящего сотрудника (или руководителя) требующего «отступные» за отказ от использования важной информацией. Но наибольшую угрозу бизнес видит в недобросовестных представителях власти. И это понятно, когда у людей свободных от моральных принципов есть полномочия, позволяющие влиять на деятельность организации, или просто соответствующий опыт (полномочия – не самое необходимое для шантажа). Это действительно не может не вызывать тревогу.

– Судя по всему, Вам приходится обсуждать достаточно приватную информацию, насколько охотно на это идут заказчики? Не видят ли потенциальную угрозу в Вас?

– Это всегда меня удивляло, но практика показывает, что в компаниях, к защите информационных активов относятся недостаточно внимательно. Я бы даже сказал, несерьезно. Я регулярно общаюсь с владельцами, руководителями компаний, не обладающими элементарной осторожностью. Несмотря на то, что они видят меня впервые, уже через 10 минут разговора они готовы подробно рассказывать о местонахождении данных, сильных сторонах и недостатках мер по защите информации, устройстве своей ИТ-инфраструктуры. В таких случаях, мы призываем к подписанию договора о конфиденциальности, чтобы дать возможность осознать важность передаваемых сведений и урегулировать ответственность.

Естественно, доверие – это не обязательно плод наивности. Большинство руководителей все же доверяют нам благодаря нашей высокой компетенции, длительности присутствия на рынке, рекомендациям знакомых и партнеров.

– Можно ли выделить, кто из собственных сотрудников может представлять угрозу?

– С точки зрения своих возможностей – системный администратор. Этот специалист обычно имеет полный доступ ко всей информации в компании, но, традиционно, практически не несёт ответственности за ее потерю или компрометацию. Если ноутбук руководителя подключен к корпоративной сети, системный администратор может скопировать с него всю информацию. Еще пример – специалисты финансовых служб компании подразделений. Сотрудники бухгалтерии, при некоторой сноровке, могут переводить денежные средства совсем не на те счета, которые предписывают им должностные обязанности. Такие возможности также должны учитываться при построении мер по обеспечению защиты информации. Но иногда широкие возможности по нарушению безопасности имеют и линейные сотрудники.

Как показывает практика, в весьма существенном количестве организаций, базу управления взаимоотношений с клиентами сотрудник может незаметно скопировать на личный смартфон и унести. Уйдет на эту операцию порядка полутора минут. Для ее осуществления достаточно для нее минимальных прав доступа.

– А топ-менеджеры требуют особого присмотра?

– Безусловно. Очень часто нарушителями безопасности становятся конфликтующие руководители или владельцы. Противоречия между ними приводят к тому, что кто-то покидает компанию, забирая с собой ценную информацию, к которой имел доступ. При защите от этой угрозы эффективны организационные, в частности, юридические меры. Подписание топ-менеджерами специальным образом подготовленных документов, в которых указывается, какая информация является конфиденциальной, сделает её кражу уголовным преступлением. С технической точки зрения важно оперативно выявить все возможности неправомерного доступа к ресурсам и нейтрализовать их.

– Какие ещё организационные меры используют, чтобы обезопасить данные?

– Видеонаблюдение может снизить риски утечки конфиденциальной информации. Оно создаёт у сотрудников понимание того, что руководство компании считает защиту данных важной задачей и будет искать нарушителей. При этом видеонаблюдение, как правило, не вызывает сильного отторжения у персонала. В open space офисе никто не придаст появлению камеры особого значения.

– Есть ли специфика при защите информации малых предприятий?

– Можно сказать и так. Для малого бизнеса действительно есть специфичная проблема – случайная потеря или уничтожение данных. Проблемы возникают, когда бухгалтер копирует данные на флеш-карту, чтобы работать дома, или сотрудник, прося о помощи по работе, передаёт третьему лицу логин и пароль от облачного хранилища компании. Именно малым бизнесом востребована услуга сохранения конфиденциальности информации при уходе топ-менеджера.

– Всё больше данных предприятий оказывается «в облаках». Каковы особенности их защиты при удалённой работе?

– Да, это экономически обосновано, и малый, и средний бизнес нередко обзаводится «виртуальными офисами». Такой тип организации работы имеет свои преимущества. Для «виртуального офиса» не актуальны угрозы потери информации, связанные с физическим доступом – никто не завладеет вашими данными, проникнув в помещение компании.

Главным вопросом безопасности для пользователей облачных технологий является управление доступом. Если специальные меры не приняты, имея логин и пароль, добраться до данных может кто угодно из любой точки мира.

Один из вариантов усиления защиты доступа – модель его предоставления, основанная на двух факторах. Допуск к информации возможен только при наличии usb-ключа и знание пин-кода. Нет ключа – пин-код бесполезен (если он украден вирусом или считан сканером клавиатуры). Есть ключ, но нет пин-кода – доступ также запрещен – подобрать пин-код невозможно.

– Какие меры безопасности являются сейчас «обязательным минимумом»?

– Для каждого вида конфиденциальных данных «минимум» будет свой.

Защита сведений управленческого учёта требует систем шифрования и резервного копирования, а также систему усиленной защиты доступа (с помощью отпечатков, специальных ключей и т.п.).

Для бухгалтерского учёта компаниям обычно хватает системы резервного копирования данных, потому что эти сведения передаются контролирующим органам в обязательном порядке.

Для тех, кто использует «Клиент-Банк», «минимум» – система шифрования и электронные ключи.

И во всех случаях, конечно, необходима антивирусная защита.

– Есть ли специфика при работе именно с продуктами системы 1С:Предприятие?

– Действительно, очень часто конфиденциальная информация содержится в информационных базах 1С:Предприятие, но с технической точки зрения для нас не важно, каким образом обрабатываются данные. Мы обеспечиваем безопасность в системах, выстроенных на любых платформах. Если же напрямую отвечать на вопрос, то да. Есть специфика. Мы ее хорошо знаем и всегда учитываем при разработке систем защиты информационных активов.

наверх

www.trsoft.ru

Построение СУИБ: С чего начать?

Доброго времени суток, уважаемые! Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план. К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Анализ рисков

Практически всё в ИБ начинается с анализа рисков, это основа и начало всех процессов в безопасности. Проведу краткий ликбез в этой области, так многие понятия не очевидны и чаще всего путаются. Итак есть 3 основных понятия:

  • Риск
  • Вероятность реализации
  • Уязвимость

Риск — это возможность понести какие-либо потери (денежные, репутационные и тд), в связи с реализацией уязвимости. Вероятность реализации — это насколько вероятно, что данная уязвимость будет эксплуатирована для реализации риска.

Уязвимость — непосредственно брешь в вашей системе безопасности, которая с некоей долей вероятности может нанести вред, то есть реализовать риск.

Есть множество методик, различных подходов к управлению рисками, расскажу об основах, остальное вам на первых парах в становлении СУИБ и не понадобится. Итак вся работа по управлению рисками сводится либо к снижению вероятности реализации, либо к минимизации потерь от реализации. Соответственно риски могут быть приемлемыми и неприемлемыми для организации. Приемлемость риска лучше всего выражать в конкретных суммах потерь от его реализации (в любом случае даже, вроде бы, неосязаемые репутационные потери в итоге выливаются в упущенную прибыль). Необходимо решить с руководством какая сумма для них будет порогом приемлемости и сделать градацию (лучше 3-5 уровней для потерь). Далее сделать градацию по вероятности, так же как с потерями и потом оценивать риски по сумме этих показателей.

После проведения подготовительной работы, выделите реальные уязвимости вашей организации и проведите оценку рисков их реализации и потерь. В итоге вы получите 2 набора рисков — приемлемых и неприемлемых. С приемлемыми рисками вы просто смиритесь и не будете предпринимать активных действий по их минимизации (то есть мы принимаем, что минимизация этих рисков будет нам стоить дороже потерь от них), а с неприемлемыми есть 2 варианта развития событий.

Минимизировать — уменьшить вероятность возникновения, уменьшить возможные потери или вообще предпринять меры по устранению риска (закрытие уязвимости). Передать — просто переложить заботы о риске на другое лицо, к примеру застраховать организацию от случаев наступления риска или передать актив, подверженный риску (к примеру перенести сервера в дата-центр, таким образом за бесперебойное питание и физическую сохранность серверов будет ответственнен дата-центр).

Масштабы

В первую очередь, конечно же, необходимо оценить масштабы бедствия. Я не буду касаться моментов по защите персданных, по этому поводу уже куча статей, есть описанные не раз практические рекомендации и алгоритмы действий. Напомню также, что информационная безопасность — это в первую очередь люди, так что нужна нормативная документация. Что бы написать её, для начала нужно понять что туда вписывать.

Основных документов для ИБ в этом плане 3:

  • Политика информационной безопасности
  • Концепция информационной безопасности
  • Положение о коммерческой тайне (конфиденциальной информации)
Политика информационной безопасности

Ваш основной документ, настольная книга, Библия и другие громкие названия. Именно в ней описаны все процедуры по ИБ, описан уровень безопасности, которому вы следуете в своей организации. Так сказать — идеальный срез безопасности, задокументированный и принятый по всем правилам. Политика не должна быть мертвым грузом, документ должен жить, должен изменяться под влиянием новых угроз, веяний в ИБ или пожеланий. В связи с этим политика (как, в принципе, и любой процессный документ) должна регулярно пересматриваться на предмет актуальности. Лучше делать это не реже 1 раза в год.

Концепция информационной безопасности

Небольшая выжимка из политики, где описаны основы безопасности вашей организации, нет никаких конкретных процессов, но есть принципы построения СУИБ и принципы формирования безопасности. Этот документ скорее имиджевый, он не должен содержать никакой «чувствительной» информации и должен быть открытым и доступным для всех. Разместите его на своём сайте, вложите в лоток на информационном стенде, что бы ваши клиенты и посетители могли с ним ознакомиться или просто видели, что вы заботитесь о безопасности готовы это продемонстрировать.

Положение о коммерческой тайне (конфиденциальной информации)

В скобках указал альтернативное наименование подобного документа. По большому счёту, ком. тайна — это частный случай конфиденциалки, но отличий крайне мало. В этом документе необходимо указать следующее: как и где хранятся документы, составляющие ком. тайну, кто ответственнен за хранение этих документов, как должен выглядеть шаблон документа, содержащего подобную информацию, что будет за разглашение конфиденциальной информации (по законодательству и согласно внутренним договоренностям с руководством). Ну и конечно же перечень сведений, составляющих, для вашей организации, коммерческую тайну или являющиеся конфиденциальными.

По закону, без предпринятых мер по защите конфиденциалки, у вас её как бы и нет :-) То есть сама-то информация вроде бы и есть, а вот конфиденциальной она являться не может. И тут есть интересный момент, что соглашение о неразглашении конфиденциалки подписывают в 90% организации с новыми сотрудниками, а вот мер, положенных по закону, предпринято мало у кого. Максимум перечень информации.

Аудит

Что бы написать эти документы, точнее, что бы понять что должно быть в них, нужно провести аудит текущего состояния ИБ. Понятно, что в зависимости от деятельности организации, территориальной распределенности и тд очень много нюансов и факторов для каждой конкретной организации, но есть несколько основных моментов, которые являются общими для всех.

Политика доступа

Тут 2 ветки — это физический доступ в помещения и доступ в информационные системы.

Физический доступ

Опишите вашу систему контроля доступа. Как и когда выдаются карточки доступа, кто определяет кому в какое помещение есть доступ (при условии, что помещение оборудовано СКД). Так же здесь стоит упомянуть систему видеонаблюдения, принципы её построения (отсутствие слепых зон в наблюдаемых помещениях, обязательный контроль входов и выходов в/из здания, контроль входа в серверную и тп). Так же не забудьте про посетителей, если у вас нет общей приёмной (да и при наличии её) стоить указать каким образом посетители попадают в контролируемую зону (временные пропуска, сопровождающий). Для серверной, так же, должен быть отдельный перечень доступа с журналом посещений (проще, если в серверной установлена СКД и всё ведется автоматически).

Доступ в информационные системы

Опишите процедуру выдачей доступов, если используется многофакторная аутентификация, то и выдача доп идентификаторов. Парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования УЗ после превышения количества попыток) для всех систем, в которые выдаётся доступ, если у вас не Single Log On повсюду.

Построение сети

Где находятся сервера, имеющие доступ снаружи (DMZ), как к ним обеспечивается доступ изнутри и снаружи. Сегментация сети, чем она обеспечивается. Межсетевые экраны, какие сегменты они защищают (если есть внутри сети между сегментами).

Удаленный доступ

Как он организован и кто имеет доступ. В идеале должно быть так: только VPN, доступ только по согласованию с высшим руководством и с обоснованием необходимости. Если нужен доступ третьим лицам (вендоры, обслуживающий персонал и тд), то доступ ограничен по времени, то есть учетка выдаётся на определенный срок, после которого автоматически блокируется. Естественно, при удаленном доступе, любом, права необходимо ограничивать по минимуму.

Инциденты

Как они обрабатываются, кто ответственный и как построен процесс инцидент менеджмента и проблем менеджмента (если есть, конечно). По работе с инцидентами у меня уже был пост: habrahabr.ru/post/154405/ можете ознакомиться подробнее. Так же необходимо определиться с трендами в вашей организации. То есть какие инциденты возникают чаще, какие несут больший вред (простой, прямые потери имущества или денег, репутационный вред). Это поможет в контроле рисков и проведении анализа рисков.

Активы

В данном случае под активами понимается всё, что требует защиты. То есть сервера, информация на бумаге или съёмных носителях, жесткие диски компьютеров и тд. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации и тд.

Обучение

Момент, о котором многие забывают. Сотрудникам нужно рассказать о мерах безопасности. Не достаточно ознакомления с инструкциями и политиками под роспись, 90% их не прочитают, а просто распишутся, дабы отвязались. Про обучение я тоже делал публикацию: habrahabr.ru/post/154031/ Там приведены основные моменты, важные при обучении и про которые не стоит забывать. Помимо непосредственно самого обучения, такие мероприятия полезны в плане общения между сотрудниками и офицером безопасности (красивое название, мне очень оно нравится :-). Можно узнать о каких-то мелких происшествиях, пожеланиях, да даже проблемах, про которые в обычном рабочем ритме вы вряд ли бы узнали.

Заключение

Вот, наверное, и всё, о чём хотелось поведать начинающим на поприще ИБ. Я понимаю, что подобным постом я, возможно, лишу какого-то своего коллегу работы, так как потенциальный работодатель просто возложит на админа эти обязанности, но я и огорожу многие организации от интеграторов-бракоделов, любящих выкачивать деньги за аудиты и пишущие многостраничные памфлеты ни о чём, выдавая их за нормативку (http://habrahabr.ru/post/153581/). В следующий раз постараюсь рассказать об организации службы информационной безопасности как таковой.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Автор: BeaVisS

Источник

www.pvsm.ru


Смотрите также