Консорциум Всемирной Паутины 17 International Organization for Standardization (iso) Международная организация по стандартизации 18 лекция - страница 12

^ 12. Лекция: Программные средства, поддерживающие управление информационной безопасностью на предприятии Использование программных средств для поддержки управления безопасностью
Деятельность по обеспечению информационной безопасности на предприятии может поддерживаться программными продуктами различных типов. В большинстве случаев программная поддержка реализации политики информационной безопасности обеспечивается функциями и программными модулями, которые встроены непосредственно в программное обеспечение, создающее условия для хранения, обработки и передачи информации (операционные системы, системы управления базами данных, системы электронной почты, MRP/ERP-системы). Практически все современные программные продукты имеют внутренние средства, позволяющие четко определить права тех или иных пользователей, разграничить доступ к информации, распределить использование системных ресурсов и ввести другие ограничения, которые в целом должны обеспечить соблюдение установленных требований и реализацию политики информационной безопасности.

Применение других инструментальных средств, как правило, не является обязательным, но во многих случаях позволяет повысить эффективность и качество многих работ, связанных с оценкой рисков, разработкой организационной документации, контролем за выполнением установленных требований и выполнением многих других важных функций. Таким образом, выделяется отдельный класс специальных программных продуктов, предназначенных исключительно для поддержания процессов разработки политик безопасности и управления информационной безопасностью на организационном уровне. Основными функциями таких программ являются справочно-информационная поддержка, помощь при обработке управленческой информации, оценке рисков и подготовке необходимых документов. В частности, для этих целей может использоваться ПО следующих основных видов:

Также с управлением информационной безопасностью связаны программные продукты, которые:
^ Программная поддержка работы с политикой безопасности
Сборники (справочники), которые содержат типовые документы, связанные с обеспечением информационной безопасности, могут включать в себя:

Такого рода электронные справочники могут выпускаться как на основе оригинальных методических разработок, так и на основе общепризнанных стандартов (таких как ISO 17799) с целью содействовать прохождению сертификации на соответствие этим стандартам. Выпускаемые электронные справочники могут быть дополнены учебниками, текстами стандартов и другими методическими материалами, выпущенными в виде брошюр. Одним из наиболее полных является электронный справочник "Information Security Policies Made Easy" американской компании Information Shield, Inc. Девятая версия этого справочника содержит более 1360 образцов и шаблонов различных документов, созданных с учетом требований стандарта ISO 17799 и относящихся ко всем аспектами информационной безопасности предприятия.

Концепции более развитых программных продуктов, основанных на интерактивном интеллектуальном анализе и совершенствовании политики безопасности, предполагают, что пользователь (менеджер) сначала внесет всю необходимую информацию о состоянии информационной безопасности на своем предприятии (ответит на задаваемые программой вопросы), а затем получит детальный отчет о состоянии информационной безопасности, описание уровня соответствия требованиям стандартов, рекомендации по усовершенствованию действующей политики безопасности и другие отчеты. Таким образом, программное обеспечение позволяет увязывать в единый процесс процедуры первичного сбора информации о предприятии, анализа фактического уровня организационного обеспечения информационной безопасности, разработки документации, адаптации методов управления к определенным требованиям (например, стандарта ISO 17799) и проведение аудитов информационной безопасности.

Одним из таких программных продуктов является система "COBRA", поставляемая британской компанией "C&A Systems Security Ltd." в двух вариантах: сокращенная версия включает в себя модуль "COBRA ISO17799 Consultant", а полная версия, помимо него, содержит также дополнительные средства анализа рисков ("Risk Consultant") и специальный модуль, позволяющий создавать и модифицировать собственные базы знаний и наборы вопросов для исследования состояния информационной безопасности ("Module Manager"). Базовый модуль этой системы предназначен для оценки того, в какой степени работа по защите информационной безопасности соответствует требованиям стандарта ISO 17799. На первом этапе его использования вступает в работу "Question Module" — Модуль ответов на вопросы, который содержит набор вопросов, разделенных на группы в соответствии со структурой стандарта ISO 17799: безопасность персонала, политика безопасности, управление доступом, планирование непрерывной работы и т.п. (см. рис. 12.1).




увеличить изображение
Рис. 12.1.  Группы вопросов, используемых для анализа состояния информационной безопасности системой "COBRA"

На основе введенной таким образом информации может быть получен отчет о состоянии информационной безопасности и степени ее соответствия требованиям стандарта. В частности, такой отчет может состоять из пяти основных разделов:

  1. Вводная часть

  2. Перечень основных направлений работы, подвергнутых проверке

  3. Оценка уровня несоответствий

  4. Перечень организационных мероприятий, реализация которых необходима для выполнения требований стандарта

  5. Перечень заданных вопросов и данных на них ответов

Помимо текстовой части, в отчет также могут быть включены графики, наглядно отражающие уровни выполнения требований стандарта (см. рис. 12.3).

Дополнительные модули, входящие в полную версию программного продукта, необходимы для обеспечения более полного и гибкого анализа рисков в условиях конкретного предприятия.




увеличить изображение
Рис. 12.2.  Раздел отчета о состояний информационной безопасности, содержащий организационные рекомендации




увеличить изображение
Рис. 12.3.  График, наглядно отражающий степень выполнения требований стандарта

К числу программных продуктов такого рода, аналогичных британской системе "COBRA", относится также "Программный комплекс управления политикой информационной безопасности компании КОНДОР+", поставляемый Санкт-Петербургской фирмой "Диджитал Секьюрити". Он содержит как электронные справочники, так и модуль, осуществляющий интерактивное взаимодействие с пользователем в процессе анализа и совершенствования политики информационной безопасности. Данный программный комплекс, помимо сборника типовых политик безопасности, включает в себя четыре основных функциональных модуля (раздела):




увеличить изображение
Рис. 12.4.  Основные модули "Программного комплекса КОНДОР+"

Так же как и в системе "COBRA", в модуле "Проект" "Программного комплекса КОНДОР+" пользователю – ответственному менеджеру – предлагается ответить на вопросы, сгруппированные в соответствии со структурой стандарта ISO 17799 и имеющие определенные варианты ответов.




увеличить изображение
Рис. 12.5.  Модуль "Проект": Ответы на вопросы о состоянии информационной безопасности

На основе введенной таким образом информации программа автоматически формирует как сводную статистику, представляемую в виде диаграмм для каждого раздела стандарта ISO 17799, так и детализированные отчеты об имеющихся несоответствиях.




увеличить изображение
Рис. 12.6.  Графическое представление сводных данных об имеющихся несоответствиях




увеличить изображение
Рис. 12.7.  Описания отдельных несоответствий в модуле "Отчеты"

При анализе несоответствий в модуле "Отчеты" пользователь имеет возможность при помощи справочной подсистемы обратиться к комментариям и рекомендациям экспертов, описывающим отдельные вопросы практического применения стандарта ISO 17799.




увеличить изображение
Рис. 12.8.  Вызов экспертного комментария по определенному вопросу

Таким образом, программный комплекс "КОНДОР+" позволяет провести весь комплекс работ по сбору сведений о состоянии информационной безопасности и организации защитных мер на предприятии, сопоставлению фактического положения дел с требованиями стандарта ISO 17799 (как укрупненно, так и детально) и определению приоритетных направлений дальнейшего развития системы менеджмента.
^ Программная поддержка анализа рисков
Анализ рисков для информационной безопасности (как количественный, так и качественный), представляет собой одну из наиболее сложных задач в общей системе организационной и аналитической работы. Методологии анализа рисков и программные средства, реализующие эти методологии, как правило, предполагают выполнение следующих основных шагов, необходимых для формирования комплексной оценки существующих рисков:

В большинстве случаев конечной целью такого анализа является формализованная оценка потребности предприятия в безопасности и определение основных приоритетов развития системы защиты информации, а также создание информационной базы для оценки экономической эффективности вложений в реализацию отдельных мероприятий по обеспечению информационной безопасности.

Одним из инструментальных средств анализа рисков является семейство программных продуктов "CRAMM", поставляемых британской компанией "Insight Consulting": "CRAMM Expert" и "CRAMM Express". Данный программный пакет основан на одноименной методике анализа рисков (CCTA Risk Analysis and Management Method — CRAMM), разработанной в 1985-1987 годах Центральным агентством по компьютерам и телекоммуникациям (Central Computer and Telecommunications Agency — CCTA) Великобритании и в дальнейшем переданной в ведение Службы безопасности Великобритании. Первую коммерческую версию программного продукта, который автоматизирует аналитические процедуры, осуществляемые в соответствии с методом CRAMM, CCTA выпустила в 1988 году, а его четвертая версия была выпущена в 2001 году уже компанией Insight Consulting.

Использование системы CRAMM включает в себя несколько последовательных этапов:




увеличить изображение
Рис. 12.9.  Общая схема использования системы CRAMM

Начальным этапом использования этой системы является инвентаризация всех информационных активов, относящихся к анализируемой информационной системе: сетевого оборудования, вычислительной техники, программного обеспечения, информации, содержащейся в базах данных и т.п. При этом необходимо классифицировать все имеющиеся объекты и отразить взаимосвязи между отдельными компонентами информационной системы и так называемыми пользовательскими сервисами – теми задачами, которые информационная система непосредственно решает на предприятии (подготовка отчетности, планирование, передача сообщений и т.п.).

Далее для каждого информационного ресурса необходимо определить возможные последствия различных негативных воздействий, в частности, таких как:

Параллельно с этим необходимо выявить основные возможные внешние воздействия, которые могут повлиять на функционирование информационной системы. На этой основе может быть произведен сводный анализ рисков.




увеличить изображение
Рис. 12.10.  Оценка взаимосвязей между различными угрозами и информационными сервисами в системе CRAMM

На основе всех введенных данных и по результатам расчетов и обработки информации могут быть получены сводные характеристики уровней риска для анализируемой информационной системы и, в частности, для отдельных информационных сервисов (см. рис. 12.11).




Рис. 12.11.  Пример сводной оценки рисков недоступности двух информационных подсистем

После того как произведена оценка рисков, система предлагает реализовать конкретные меры по повышению уровня защищенности, используя введенную информацию о состоянии информационной безопасности, а также собственную "Библиотеку контрмер" — базу знаний, которая содержит примеры и рекомендации (как конкретные, так и общие), относящиеся к различным аспектам защиты информационных ресурсов. С их применением может быть начат переход от анализа рисков к непосредственным управленческим действиям по обеспечению информационной безопасности:




Рис. 12.12.  "Дерево контрмер" системы CRAMM




увеличить изображение
Рис. 12.13.  Окно анализа несоответствий требованиям стандарта ISO17799/BS7799

Таким образом, в результате использования всех перечисленных инструментов системы CRAMM предприятие может осуществить комплекс работ по управлению информационной безопасностью и создать не только хорошо контролируемую систему защиты информации, но и информационную базу, позволяющую в будущем оценить целесообразность вложений в реализацию дополнительных мероприятий по обеспечению информационной безопасности и инвестиций в отдельные средства защиты информации.
^ Программные средства, интегрируемые в информационную систему предприятия
Еще одним направлением развития программных средств, обеспечивающих поддержку организационной работы в сфере информационной безопасности, является создание и внедрение комплексных средств анализа поведения пользователей в информационной системе. Во многом такие функции и используемые алгоритмы схожи с функциями и алгоритмами средств обнаружения вторжений. Основные функции таких программных средств:

Основными функциями, реализуемыми программным обеспечением такого типа, являются сбор первичных данных о действиях пользователей, их автоматизированный анализ с учетом требований политики безопасности и осуществление необходимых активных действий: информирование администраторов, временное ограничение прав пользователей и т.п.

Один из программных продуктов такого типа — "INSIDER — Система обнаружения внутреннего нарушителя", поставляемая российской компанией "Праймтек". Эта система накапливает сведения о поведении пользователей, а также позволяет инициировать определенные активные действия (например, для предотвращения выявленного длящегося нарушения).

В частности, для анализа поведения пользователей в информационной системе могут быть использованы следующие данные:

Таким образом, у администраторов информационных систем, специалистов по информационной безопасности и руководителей предприятия появляются возможности для реагирования на инциденты, пресечения потенциально опасных действий и выявления нарушителей из числа персонала предприятия.

Также среди информационных платформ, интегрируемых в информационную систему предприятия и специально предназначенных для реализации и контроля выполнения политик безопасности, выделяются такие продукты, как:

Tivoli Security Information and Event Manager включает в себя:

Tivoli Compliance Insight Manager представляет собой специальную программную платформу, которая обеспечивает контроль выполнения требований политики безопасности, а также автоматизирует значительную часть работы при проведении аудитов информационной безопасности и анализе защищенности данных. В частности, данное ПО обеспечивает сбор, анализ и защищенное хранение журналов (логов) работы различных приложений, операционных систем и платформ и их интерпретацию в терминах, понятных нетехническим специалистам. Таким образом, отчеты, формируемые данной системой, могут быть понятны бизнес-менеджерам и аудиторам и использованы для контроля выполнения требований политик безопасности.

^ Tivoli Security Operations Manager предназначен для контроля событий в корпоративной информационной системе и выявления нарушений и подозрительных действий в режиме близком к режиму реального времени.

Система MARS также обеспечивает сбор и централизованное хранение данных о системных событиях, которые поступают от различных устройств и платформ, входящих в корпоративную информационную систему, и обеспечивает возможность централизованного оперативного контроля за соблюдением установленных требований. Также MARS интегрирован с программным комплексом Cisco Security Manager, который, в свою очередь, позволяет централизовано и унифицировано управлять настройками безопасности в различных системах защиты и системах обнаружения вторжений, установленных в компании.

4082957410638485.html
4083122770551515.html
4083246278369568.html
4083345514226445.html
4083486833558237.html