Рекомендации по снижению риска деструктивных воздействий на распределенные компьютерные системы, связанных с неправомерным нарушением и блокированием доступа к компьютерной информации
Обеспечение защищенности компьютерных систем от деструктивных воздействий, связанных с неправомерным нарушением и блокированием доступа к компьютерной информации, представляет собой комплекс организационных мероприятий (рис. 6.12):
Рис. 6.12. Организационное обеспечение безопасности компьютерной информации в отношении угроз неправомерного нарушения и блокирования доступа
Организационные мероприятия направлены на регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что неправомерное нарушениеи блокирование доступа к компьютерной информации существенно затрудняются.
Подробно организационные мероприятия рассматриваются в таблице
Категория мероприятий |
Группа мероприятий |
Мероприятие |
Организационно-правовые |
Повышение ответственности персонала |
Минимизация утечки информации через персонал (организация мероприятий по подбору и расстановке кадров, создание благоприятного климата в коллективе) |
Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен доступ |
||
Сотрудники, подрядчики и пользователи сторонней организации должны согласовать и подписать условия своего трудового договора, в котором установлены их ответственность и ответственность организации относительно ИБ |
Продолжение таблицы
|
|
К сотрудникам, нарушившим требования безопасности, должна быть применена дисциплинарная практика, установленная в организации |
Все сотрудники организации и, при необходимости, подрядчики и пользователи должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций |
||
В случае увольнения сотрудники обязаны вернуть все информационные активы организации, находящиеся в их пользовании, а их права доступа к информации и средствам обработки информации должны быть аннулированы |
||
В организации должны быть определены, документированы и формализованы правила безопасного использования информации и активов, связанных со средствами обработки компьютерной информации |
Продолжение таблицы
|
|
Должны быть установлены ответственность руководства и процедуры, позволяющие обеспечить быстрое, эффективное и последовательное реагирование на инциденты неправомерного доступа |
Организация работы с конфиденциальной информацией |
Организация хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах |
|
Организация регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище носителей конфиденциальной информации |
||
Контроль соблюдения требований по защите конфиденциальной информации |
||
Информация должна быть классифицирована исходя из правовых требований, ее конфиденциальности, а также ценности и критичности для организации |
||
Выделение специальных помещений и ср-в для хранения и обработки конфиденциальных данных |
Выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации, физическая защита их периметра |
Продолжение таблицы
|
|
Выделение специальных средств компьютерной техники для обработки конфиденциальной информации |
Безопасное сотрудничество со сторонними организациями |
Перед предоставлением доступа сторонним организациям или клиентам к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие меры безопасности |
|
Регулярное проведение мониторинга, аудита и анализа услуг, отчетов и актов, обеспечиваемых сторонними организациями |
||
Руководство организации должно поддерживать связь с компетентными органами в области информационной безопасности и участвовать в форумах и конференциях по информационной безопасности |
||
Разработка программного обеспечения с привлечением сторонних организаций должна проводиться под контролем и при мониторинге организации |
Продолжение таблицы
|
Разграничение прав доступа |
Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс, а также периодически проводить смену паролей |
Пользование оборудованием |
Вынос оборудования, информации или программного обеспечения из помещения организации только на основании соответствующего разрешения |
|
Физическая защита КС |
Ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля |
|
Привлечение специалистов по безопасности в штат организации |
Введение в штатное расписание должности специалиста по компьютерной безопасности (системного администратора) |
|
Организационно-технические |
Сбор информации |
На случай, если инцидент неправомерного доступа может привести к судебному разбирательству против лица или организации, информация должна быть собрана, сохранена и предоставлена согласно правилам оформления доказательств, изложенных в соответствующих документах |
Продолжение таблицы
|
Контроль и аудит |
Должны быть применены меры контроля для предотвращения нецелевого сбора средств обработки информации |
Безопасная работа в сети |
Организация передачи конфиденциальной информации по каналам связи только с использованием специальных инженерно-технических средств |
|
Ограничение времени соединения |
||
В сетях должны быть применены принципы разграничения групп информационных услуг, пользователей и информационных систем |
||
Защита информации, используемой в электронном обмене сообщениями |
||
Ограничение работы в сети |
Отключение от ЛВС, Internet тех средств компьютерной техники, которые связаны с работой с конфиденциальной информацией, либо организация межсетевых экранов |
|
Безопасная работа с носителями компьютерной информации |
Безопасная утилизация носителей информации при отсутствии необходимости в них |
|
Носители информации должны быть защищены от неправомерного доступа |
||
Носители информации должны быть защищены от неправомерного доступа |
Продолжение таблицы
|
Контроль приложениями входных и выходных данных |
Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности |
Данные, выводимые из приложений, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно |
||
Контроль доступа |
Для контроля доступа удаленных пользователей должны быть применены соответствующие меры аутентификации |
|
Контроль доступа к операционным системам должен быть обеспечен безопасной процедурой регистрации |
||
Автоматическая аутентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием |
||
Контроль и аудит |
Средства регистрации и информация журналов регистрации должны быть защищены от неправомерного доступа |
|
Действия системного администратора должны быть регистрируемыми |
||
Неисправности в работе компьютерной техники должны быть зарегистрированы, проанализированы и устранены |
Окончание таблицы
|
Использование криптографических средств |
Должны быть разработаны и внедрены правила использования криптографических средств защиты информации |
Для реализации организацией криптографических методов защиты должна быть использована система управления ключами |
||
Средства криптографической защиты должны быть использованы в соответствии с законами, нормативными актами и соответствующими соглашениями |
||
Резервное копирование |
Создание, проверка и тестирование резервных копий информации и программного обеспечения |
|
Организационно-экономические |
Стандартизация |
Стандартизация методов и средств защиты информации |
Сертификация |
Сертификация средств компьютерной техники и их сетей по требованиям информационной безопасности |
|
Лицензирование |
Лицензирование деятельности по сфере защиты информации |
|
Страхование рисков |
Страхование информационных рисков, связанных с функционированием компьютерных систем и сетей |
Вышеперечисленные мероприятия позволяют снизить риск неправомерного нарушения и блокирования доступа в распределенныхкомпьютерных системах. Практика показывает, что дополнение процесса рекрутинга в соответствии с алгоритмом на рис. 6.11 снижает риск неправомерного нарушения и блокирования доступа при уменьшении ущерба в два раза и сохранении разброса ущерба приблизительно на прежнем уровне. Покажем, как изменится риск для РКС, в каждом компоненте которой была выполнена интеграция процесса управления рисками в процесс найма.
Опишем,
каким образом данное мероприятие
скажется на параметрах 
.
Параметр m определяет среднее значение ущерба в логарифмическом масштабе. Пусть некоторое мероприятие снижает среднее значение ущерба. Пусть средний ущерб от инцидентов неправомерного доступа при реализации данного мероприятия уменьшился на k процентов. Тогда изменение параметра m в логарифмическом масштабе будет выглядеть следующим образом:
Аналогично
пусть некоторое мероприятие привело к
изменению параметра 
на q
процентов, причем коэффициент q
имеет знак «+», когда
параметр увеличился, и «-» в обратном
случае. Тогда изменение параметра
описывается параметром q
следующим образом:
Тогда формула для вычисления интегрального риска примет вид:
Таким образом, дополнение процесса рекрутинга характеризуется параметрами k=50%, q=0,5%.
На рис. 6.13 и 6.14 показано изменение риска для случая РКС из 3-х компонентов при применении в каждом компоненте процесса найма в соответствии с представленным алгоритмом.
Рис.6.13. Интегральный риск РКС до дополнения процесса рекрутинга
Рис.6.14. Интегральный риск РКС после дополнения процесса рекрутинга
На графике видно, что неравномерность риска после проведения мероприятия по его снижению осталась прежней, а диапазон ущерба заметно сократился. Имеем:
Таким образом, диапазон ущерба при дополнении процесса рекрутинга мерами по безопасности снизился на 50%.
Для оценки влияния того или иного мероприятия на параметры риска (определения коэффициентов k и q) необходимо проанализировать статистические данные по инцидентам неправомерного доступа к компьютерной информации до и после проведения данного мероприятия и выявить соответствующие закономерности.