Учебное пособие: Интеллектуальные компьютерные технологии защиты информации
3. Управление защитой
информации
3.1 Введение
В данном пособии под
управлением будем понимать процесс целенаправленного воздействия на объект,
осуществляемый для организации его функционирования по заданным правилам.
Основная (опосредованная)
цель управления защитой информации - обеспечение реализации потенциальных
возможностей информационной системы.
Непосредственная цель
управления защитой информации - выработка и реализация своевременных и
обоснованных решений, наилучших (оптимальных) с точки зрения реализации
потенциальных возможностей системы защиты КИС в конкретных условиях.
Основные свойства и
показатели эффективности процессов управления защитой информации:
Устойчивость управления -
определяется способностью управлять с заданной эффективностью при активном
вмешательстве нарушителя.
Непрерывность управления -
возможность постоянно воздействовать на процесс защиты информации.
Скрытность управления
защитой информации - определяется способностью воспрепятствовать в выявлении
организации управления.
Оперативность управления
определяется способностью своевременно и адекватно реагировать на действия
злоумышленников и реализовывать управленческие решения к заданному сроку.
Обоснованность управления
характеризуется всесторонним учетом условий решения поставленной задачи,
применением различных моделей, расчетных и информационных задач, экспертных
систем, опыта и любых других факторов, повышающих достоверность исходной
информации и принимаемых решений.
Управление системой защиты и
осуществление контроля за функционированием КИС - все это составляющие одной
задачи - реализации политики безопасности.
Управление защитой
информации представляет собой широкомасштабный и многогранный процесс
начинающийся с формулирования положений политики безопасности организации и
кончая регулярной оценкой защищенности КИС. Далее в настоящем разделе
рассмотрены только некоторые составляющие процесса управления защитой
информации в КИС.
3.2 Аудит
Аудит представляет собой
независимую экспертизу отдельных областей функционирования организации.
Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое
мероприятие, проводимое по инициативе руководства организации. Рекомендуется
проводить внешний аудит регулярно. Внутренний аудит представляет собой
непрерывную деятельность, которая осуществляется на основании утвержденного
плана и в соответствии с правилами изложенными, например в «Положении о
внутреннем аудите», подготовка которого осуществляется подразделением
внутреннего аудита и утверждается руководством организации. Аудит безопасности
информационных систем является одной из составляющих ИТ аудита. Целями
проведения аудита безопасности являются:
•
анализ рисков, связанных с возможностью осуществления угроз
безопасности в отношении ресурсов КИС;
•
оценка текущего уровня защищенности КИС;
•
локализация узких мест в системе защиты КИС;
•
оценка соответствия КИС существующим стандартам в области
информационной безопасности;
•
выработка рекомендаций по внедрению новых и повышению
эффективности существующих механизмов безопасности КИС.
3.2.1 Определение и задачи
аудита
Под термином «аудит» КИС
понимается системный процесс получения и оценки объективных данных о текущем
состоянии КИС, действиях и событиях, происходящих в ней, устанавливающий
уровень их соответствия определенному критерию и предоставляющий результаты
заказчику.
В настоящее время актуальность
аудита резко возросла, это связано с увеличением зависимости организаций от
информации и КИС. Рынок насыщен аппаратно-программным обеспечением, многие
организации в силу ряда причин (наиболее нейтральная из которых - это моральное
старение оборудования и программного обеспечения) видят неадекватность ранее
вложенных средств в информационные системы и ищут пути решения этой проблемы.
Их может быть два: с одной стороны - это полная замена КИС, что влечет за собой
большие капиталовложения, с другой - модернизация КИС. Последний вариант
решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы,
например, что оставить из имеющихся аппаратно-программных средств, как
обеспечить совместимость старых и новых элементов КИС.
Более существенная причина
проведения аудита состоит в том, что при модернизации и внедрении новых
технологий их потенциал полностью не реализуется. Аудит КИС позволяет добиться
максимальной отдачи от средств, инвестируемых в создание и обслуживание КИС.
Кроме того, возросла
уязвимость КИС за счет повышения сложности их элементов, увеличения объемов
программного обеспечения, появления новых технологий передачи и хранения
данных.
Спектр угроз расширился. Это
обусловлено следующими причинами:
•
передача информации по сетям общего пользования;
•
«информационные войны» конкурирующих организаций;
•
высокая текучесть кадров с низким уровнем порядочности.
По данным некоторых западных
аналитических агентств до 95% попыток несанкционированного доступа к
конфиденциальной информации происходит по инициативе бывших сотрудников
организации.
Аудит ИБ в информационной
системе это процесс сбора сведений, позволяющих установить:
•
обеспечивается ли безопасность ресурсов организации (включая
данные);
•
обеспечиваются ли необходимые параметры целостности и доступности
данных;
•
достигаются ли цели организации в части эффективности
информационных технологий.
Проведение аудита позволит
оценить текущую безопасность функционирования КИС, оценить риски,
прогнозировать и управлять их влиянием на бизнес процессы организации,
корректно и обоснованно подойти к вопросу обеспечения безопасности
информационных активов организации, основные из которых:
•
идеи;
•
знания;
•
проекты;
•
результаты внутренних обследований.
В настоящее время многие
системные интеграторы на телекоммуникационном рынке декларируют поставку
полного, законченного решения. К сожалению, в лучшем случае все сводится к
проектированию и поставке оборудования и программного обеспечения. Построение
информационной инфраструктуры «остается за кадром» и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается
отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа,
документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще у клиентов
возникают к системным интеграторам, проектным организациям, поставщикам
оборудования вопросы следующего содержания:
•
Что дальше? (Наличие стратегического плана развития организации,
место и роль КИС в этом плане, прогнозирование проблемных ситуаций).
•
Соответствует ли наша КИС целям и задачам бизнеса? Не превратился
ли бизнес в придаток информационной системы?
•
Как оптимизировать инвестиции в КИС?
•
Что происходит внутри этого «черного ящика» - КИС организации? Сбои
в работе КИС, как выявить и локализовать проблемы?
•
Как решаются вопросы безопасности и контроля доступа?
•
Подрядные организации провели поставку, монтаж, пусконаладку. Как
оценить их работу? Есть ли недостатки, если есть, то какие?
•
Когда необходимо провести модернизацию оборудования и ПО? Как
обосновать необходимость модернизации?
•
Как установить единую систему управления и мониторинга КИС? Какие
выгоды она предоставит?
•
Руководитель организации, руководитель IT подразделения должны иметь
возможность получать достоверную информацию о текущем состоянии КИС в
кратчайшие сроки. Возможно ли это?
•
Почему все время производится закупка дополнительного
оборудования?
•
Сотрудники IT подразделения постоянно чему-либо учатся, есть ли в этом необходимость?
•
Какие действия предпринимать в случае возникновения внештатной
ситуации?
•
Какие возникают риски при размещении конфиденциальной информации в
КИС организации? Как минимизировать эти риски?
•
Как снизить стоимость владения КИС?
•
Как оптимально использовать сложившуюся КИС при развитии бизнеса?
На эти и другие подобные
вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все
проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно
получить достоверную, обоснованную информацию. Для этого в консалтинговых
компаниях во всем мире существует определенная специфическая услуга - аудит
компьютерной информационной системы (КИС).
Подход к проведению аудита
КИС, как отдельной самостоятельной услуги, с течением времени упорядочился и
стандартизировался. Крупные и средние аудиторские компании образовали
ассоциации -союзы профессионалов в области аудита КИС, которые занимаются
созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как
правило, это закрытые стандарты, тщательно охраняемое ноу-хау.
Однако существует ассоциация
- The Information Systems Audit and Control Association & Foundation (ISACA), занимающаяся открытой стандартизацией аудита КИС.
3.2.2 ISACA
Она основана в 1969 году и
по состоянию на 2002 год объединяла более 23000 членов из более чем 100 стран.
Ассоциация ISACA координирует деятельность более чем 26000 аудиторов
информационных систем (CISA - Certified Information System Auditor и CISM - Certified Information Security Manager), имеет свою систему стандартов в этой области, ведет
исследовательские работы, занимается подготовкой кадров, проводит конференции.
Основная декларируемая цель
ассоциации - это исследование, разработка, публикация и продвижение
стандартизованного набора документов по управлению информационной технологией
для ежедневного использования администраторами и аудиторами информационных
систем.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 |