Процедурный уровень информационной безопасности
Меры процедурного уровня ориентированы на людей, а не на технические средства.
На процедурном уровне можно выделить следующие классы мер:
1. Управление персоналом
2. Физическая защита
3. Поддержание работоспособности
4. Реагирование на нарушения системы безопасности
5. Планирование восстановительных работ
Два основных принципа, необходимых для использования для сотрудников:
1. Разделение обязанностей – необходимость разделять роли и обязанности, чтобы один человек не мог нарушить критически важные для организации процессы.
2. Минимизация привилегий
Критичность и тщательность отбора кандидатов зависит от описания должности. Нормы процедуры информационной безопасности организации выдаются вместе с должностными инструкциями.
Ограничения:
1. Перемещение сотрудника
2. Увольнение
3. Внешние сотрудники
Администрирование безопасности необходимо отделить от администрирования системы. Удаленный доступ к администрированию.
Второй класс процедурного уровня - Физическая защита:
1. Необходимо защищать здание, прилегающую территорию, поддерживающую инфраструктуру
Основной принцип физической защиты – это непрерывность защиты в пространстве и времени.
Следующий класс – поддержание работоспособности. Это класс мер, связанный с ежедневным обслуживанием информационной системы. Такие как: поддержка пользователей, ПО, конфигурационное управление, резервное копирование и другие регламентные работы.
Следующий класс: Реагирование на нарушения системы безопасности. Реакция на нарушение безопасности преследует 3 основных цели:
1. Локализация инцидента и уменьшение наносимого вреда
2. Выявление нарушителя
3. Предупреждение повторных нарушений
Следующий класс: Планирование восстановительных работ. Этот процесс можно разделить на следующие этапы:
1. Выявление критически важных функций организации, установление приоритетов
2. Идентификация ресурсов, необходимая для выполнение критически важных функций
3. Определение перечня возможных аварий
4. Разработка стратегии восстановительных работ
5. Подготовка к реализации выбранной стратегии
Критичные ресурсы разделяют на следующие категории:
1. Персонал
2. Информационная структура – компьютеры и ПО, данные, документация, информационное взаимодействие с внешними организациями.
3. Физическая инфраструктура – здания, инженерные коммуникации, средства связи и много другое.
Управление рисками
Рассматриваются на административном уровне информационной безопасности. Это означает, что ресурсы, необходимые для выполнения программ управления рисками может обеспечить только руководство организации.
Суть мероприятия по управлению рисками состоит в том, чтобы оценивать их размер, выработать эффективные меры снижения риска, затем убедиться, что риски сохраняются приемлемыми.
Управление рисками включают в себя 2 вида деятельности, которые чередуются циклическими:
1. Оценка или переоценка рисков (изменения)
2. Выбор защитных средств (нейтрализация)
По отношению к рискам возможны следующие действия:
1. Ликвидация риска
2. Уменьшение риска (дополнительная защита)
3. Принятие риска (выбор плана действий)
4. Принятие риска (выбор плана действий)
Этапы управления рисками:
1. Выбор объектов
2. Выбор методологии оценки рисков
3. Идентификация ресурсов
4. Анализ угроз и их последствий
5. Оценка рисков
6. Выбор защитных мер
7. Реализация и проверки выбранных мер
8. Оценка остаточного риска
Криптографические методы
Современная криптография включает 4 раздела:
1. Симметричная криптосистема
2. Криптосистема с открытым ключом
3. Система электронной подписи
4. Управление ключами
Основные направления использования криптографических методов:
1. Передача конфиденциальной информации по каналам связи
2. Установление подлинности передаваемых документов
3. Хранение информации на носителях в зашифрованном виде.