Метод перестановки.
Суть: входной поток исходного текста делится на блоки, в каждом из которых выполняется перестановка символов. Запись по строкам матрицы, чтение по столбцам. Последовательность заполнения любая, чтение любое, задается ключом.
Характерна: простота алгоритма, возможность программной реализации и низкий уровень защиты.
При большой длине исходного текста в шифрованном тесте появляются статистические закономерности, ускоряется расшифровка через выявление.
Еще один (-) в систему для шифрования можно отправить несколько специально подобранных сообщений - будет легкое раскрытие.
Если длина блока К символов, то для раскрытия ключа достаточно пропустить через шифрованную машину К-1 блоков одинаковых символов, кроме одного символа.
Метод замен (подстановки).
Суть: символы исходного текста, записанные в одном алфавите, заменяются символа другого алфавита, в соответствии с принятым ключом преобразования.
Простейший метод: прямая замена исходных символов их эквивалентом из вектора замены. Для каждого очередного символа исходного текста отыскивается его местоположение в исходном алфавите, эквивалент из вектора замены выбирается как отстоящий на полученное смещение от начала алфавита. При дешифровании поиск производится в векторе замены, а эквивалент выбирается из алфавита.
Характерно: полученный таким способом текст имеет низкий уровень защиты.
Аддитивные методы.
В качестве ключа в этих методах используется некоторая последовательность букв того же алфавита, что и в исходном тексте.
Шифрование выполняется путем сложения символов исходного текста и ключа по модулю равному числу букв в алфавите.
Вариант метода: гаммирование - наложение на исходный текст некоторой последовательности кодов называемой гаммой. Процесс наложения осуществляется:
Символы исходного текста и гамма представляются в двоичном коде и располагаются один под другим
Каждая пара двоичных знаков заменяется одним двоичным знаком в соответствии с принятым алгоритмом.
Полученная последовательность двоичных знаков шифрованного текста заменяется символами алфавита в соответствии с принятым кодом.
Если ключ шифрования выбирается случайным образом (датчик псевдослучайных чисел), вскрыть практически невозможно.
Оптимальный вариант.
14.12.11
Криптоанализ.
Криптоанализ - наука получения открытого текста при отсутствии ключа. Успешно проведенный криптоанализ может раскрыть открытый текст или раскрыть ключ, после чего получится открыть текст. Раскрытие ключа без проведения криптоанализа не криптологическим способом называется копрометацией.
Попытка криптоанализа называется вскрытие (не обязательно успешное).
Существует 4 основных типа криптоаналитического вскрытия:
Вскрытие с использованием только шифротекста. У криптоаналитика есть шифротексты нескольких сообщений, зашифрованных одним и тем же алгоритмом шифрования. Задача криптоаналитика состоит в раскрытии открытого текста для как можно большего числа сообщений или получение ключа, которым защифрованы эти сообщения, с целью расшифровывания других, таким же образом зашифрованные сообщения.
Вскрытие с использование открытого текста. У криптоаналитика есть доступ не только в шифротекстам нескольких сообщений, но и к открытому тексту этих сообщений. Задача состоит в получении ключа (для расшифровывания других сообщений, зашифрованных таким же образом).
Вскрытие с использованием выбранного открытого текста. В этом случае у криптоаналитика доступ не только к шифротекстам и сообщениям, но и (информация по критериям для выбора) возможность выбирать открытых текст для подбора. Является модификацией второго.
Адаптивное вскрытие с использованием открытого текста. После выбора открытого текста криптоаналитик на основе полученных результатов может строить дальнейшие действия. Проверка - результат - адаптация - проверка на основе данных - проверка - результат...
Вскрытие с использованием выбранного шифротекста. Криптоаналитик может выбрать различные шифротексты для дешифрования и имеет доступ к дешифрованным открытым текстам. На основе данных может найти ключ.
Часто в криптоанализе аналитики используют индекс соответствия для того, чтобы определить находятся ли они на правильном пути. Теоретически ожидаемое значение индекса соответствия определяется следующим выражением:
N-длинна сообщения в буквах; m- число алфавитов (кот. Пользуются для шифрования)
Если у нас шифровка дает значение индекса больше, чем 0,066 - то вероятно использовалась одноалфавитная подстановка;
Если 0,052 <индекс <0,066 двухалфовитная подстановка
Если 0,047 <индекс<0,052 трехалфавитный шифр
Криптоаналитик берет наиболее часто встречающийся символ - предполагает, что это пробел. Затем берет следующий наиболее часто встречающийся символ и предполагает, что это английская е (анл, нем).
Принципиальное значение для надежности шифрования имеет длина кода ключа в аспекте отношение длины кода ключа к длине закрываемого этим ключом текста. Чем больше отношение приближается к единице - тем надежнее шифрование.
Тестовая транзакция - выдает деньги. Если не защитить - будет выдавать не тем.
ОШИБКИ КРИПТОСХЕМ.
Проектирование криптосхем = неблагодарная работа. т.к. тяжело получить информацию относительно просчетов, т.к. банковские и правительственные структуры не охотно делятся информацией.
Модель угрозы используемая проектировщиками была выбрана не та. Больше всего уязвимостей из-за неправильной системы управления.
Технические системы не являются тайнами, в то время как криптосхемы (тоже ИС) - репутация организаций.
Исследования уязвимости криптосхем предполагает практическое изучение их использования (банкоматы..) Должны исследоваться, чтобы определить где уязвимости, некоторые способы…анализируются фактические и возможные механизмы отказа; полученная информация важна для дальнейшего анализа комплексно таких систем.
Банкомат должен иметь возможность выполнять процедуру шифрования, либо выполнять проверку пин-кода интерактивным запросом.
Банки печатали на банковской карточке номер клиента полностью, на магнитной полосе не имелось криптографической избыточности.
Другой тип: сообщения в банкоматах не шифруется. Не выполняется шифрование сообщений и нет проверки процедуры подлинности. Электромагнитное излучение…Потрошение банкомата.
Тестовые транзакции. 14значная ключевая последовательность для тестовой выдачи 10 банкнот.
"Ложные терминалы" с середины 80х годов. Принимал любую карточку и выдавал пачку сигарет. Снимал чипы и пин-коды передавая по модему.
Шанс попасть в пин 1/3000; а сейчас разрешают ввести самому пин код. Не придерживаются шифрованию.
17.12.2011
Нападения на тонкие технические недоработки, атаки на такие системы (банковские или еще) интересны с социальной точки зрения. Стандарты ITSEC критерии оценки безопасности сран ЕС. В основе программы ИБ лежат предложение:
Реализация и технологические процедуры соответствующих продуктов (крупных стран, стран ЕС), должны стать свободны (все ошибки объединяются в единую структуру и удаляются). Цель: разработать набор продуктов, которые сертифицированы на отсутствие известных технических ошибок.
Для того, чтобы совершить нападение на такую сертифицированную систему специалисту необходимо обладать технической подготовкой на уровне технических специалистов ГОС Безопасности.
Шифрование. Банк:
Банк имеет некоторое число ключей, для которых необходимо обеспечить их секретность. Наиболее важные - пин-коды. Получил доступ - снимай деньги с клиентских карточек;
Терминальные ключи,
Зональные-ключи,
рабочие ключи (для технического обслуживания в большей мере).
Ключи могут использоваться для захвата (перехвата) пин-кода (через определенные действия выполняемые при использовании пин-кода).
Проблема: секретное хранение ключей.
Пин-коды необходимы для проверки транзакции. Терминальные и зональные - как минимум раз в день для генерации комплекта рабочих ключей, помимо своих функций.
Не многие банки могут позволить себе хороших специалистов; не все изделия обеспечивают защиту.
Программное обеспечение имеет точки прерывания для отладки программных продуктов инженерами фирмы производителя. Существование таких точек делает невозможных создание безопасных процедур управлением модулем безопасности.
Метод генерации ключа на базе времени суток (24 бита, 2 раза совпадение) - тонкие злоупотребления; терминал : транзакция одного на другое - оп и деньги ушли.
Модуль безопасности: защитить информацию от технических специалистов и работников банка получение секретной информации.
Сопоставимая по цене криптографическая защита не всегда дает защиту необходимого уровня. Модели безопасности имеют собственные мастер ключи для внутреннего использования, храниться должны строго. Резервная копия ключа как правило лежит в легко читаемой форме.
Проблемы связанные с технологией проектирования (банкоматов).
Код программ шифрования размещался в модуле управления. Банкоматы с антеннами - информация не зашифрованная по телефонной линии посылалась в филиалы банка: прослушиваешь линию, подделываешь карточку.
Большинство модулей безопасности возвращают целый диапазон кодов возврата на каждую транзакцию и некоторые из них дают предупреждение, что программист экспериментирует с реально используемым модулем. Можно написать простейший драйвер и
Субдоговора с фирмами по обслуживанию банков - передавали пин-коды - какая тут безопасность.
IT отдел лучше выращивать из банковских служащих. Специалисты - любопытны, авантюрны, но банковские работники с очень четкими рамками.
Больше даже не технических, а психологических ошибок - не проработана логика.
В конце дня алгоритм действий с четкими целями, для чего монотонные действия повторять ежедневно после завершения смены.
Разделение знаний и механических ключей - защита "физической" целостности людей.
Криптографические ключи не в очень удобной форме упакованы.
03.03.2012
Шифр СЦИТАЛЬ был применен еще в V в до н.э. во время военных действий Спарты + Персы
Деревянный цилиндр, определенного диаметра(СЦИТАЛЬ); обмотал пояс вдоль сциталя и написал шифр; размотанный пояс выглядел как оберег.
Развитие: менялся диаметр; писали вдоль из середины в две стороны. Ширина ленты равна диаметру сциталя.
6гранный карандаш
КРИПТОГРАФИЯ - РПОРФЯКИТГАИ
Шифр перестановки…
Другой исторический шифр ЦЕЗАРЯ
Каждая буква открытого текста заменяется на букву н-следующую за заменяемой в алфавите
Шифр замены
Модификация методы замены
Книжный метод
Безопасность шифрования определяется защищенностью применяемых ключей. Сама информация и метод могут быть открытыми.
Только шифрованные тексты есть
Когда шифрованные и открытые
Когда есть метод шифрования, но нет ключей// Иметь доступ к шифру и сам может зашифровывать и дешифровывать различную информации, но нет ключей
Главное, чтобы время вскрытия не превысило критичного для данной информации
Шифромашин (криптографические системы) великое множество, т.к. методов для конкретных ситуаций. Множество видов защищаемой информации. Особенности объекта шифрования накладывают ограничения на методы.
Под разнообразие требований - разнообразные шифры.
DES американский стандартный шифр
СКЗД наш отечественный
Криптографические протоколы - такая процедура взаимодействия абонентов, в результате которой абоненты достигают своих целей ( выполнение/решение задачи), а противники не достигают (в разных задачах могут иметь разные возможности).
Такие протоколы достаточно стандартизованы (внутренний стандарт), дальше такие могут применяться в многим другим задачам -> теория криптографических протоколов.
Протокол подписания контрактов: оба должны подписать.
Взаимодействуют два абонента, не доверяющие друг другу, хотят, чтобы выбор был сделан и изменить результат уже было нельзя..
7 декабря 2011 г.
17:52
Как конечный автомат….
Имитирует работу ОС
Абстракция обращения к ОС, явно описывающая то, как состояние может или не может изменяться.
Модель управления доступом работает не со всеми переменными состояниями и функциями системы.
Выбор переменных и функций, которые будут включены в моделирование, ща разработчиком (так, чтобы было адекватно безопасности)
Разработка МУД включает в себя определение элементов модели (переменных, функций, правил), а так же безопасного начального состояния.
Математически доказвается, что все функции и начальное состояние безопасны. После чего, путем математической индукции делается вывод о том, что если система первоначально находится в безопасном состоянии и функции перехода безопасны, то она останется в безопасном состоянии вне зависимости от того, в каком порядке и какие функции выполняются.
В разработке МУД можно выделить следующие шаги:
Определение переменных состояния, имеющих отношение к безопасности. Обычно переменные состояния представляют собой состояния объектов и субъектов системы, их атрибуты безопасности и права доступа между объектами.
Определение условий для безопасного состояния - это определение является выражение отношений между значениями переменных состояний истинность которого должна обеспечиваться при переходах состояния.
Определение функций перехода из состояния в состояние- эти функции описывают допустимые способы изменения переменных состояния. Такие функции так же могут называться так же правилами изменения доступа, поскольку их цель указание изменений, которые может производить система, а не в определении всех возможных изменений. Правила (вкл в модель) мб общими, допускать наличие функций, которых нет в реальной системе; но система не может менять переменное состояние каким-то способом, который не допускается функцией.
Можно выделить несколько характерных этапов "определения переменных" в системе:
Назначение функции
Определение взаимосвязи между переменными состояния (предыдущим и новым состоянием)
Определяется, что функция не задает какого-либо конкретного порядка выполнения алгоритма операций.
Функция элементарна.
Доказывается, что функции обеспечивают сохранение безопасного состояния, т.е. для того, чтобы удостоверится в безопасности модели необходимо для каждой функции перехода доказать, что если система находится в безопасном состоянии до начала выполнения функции перехода, то система останется в этом состоянии и после перехода.
Определение начального состояния. Математически начальное состояние выражается как множество начальных значений всех переменных состояний системы. Простейшим начальным состоянием является состояние без каких-либо объектов и субъектов.
Безопасное начальное состояние (далее) предполагает наличие некоторого множества субъектов и объектов, которое было определено математическим путем.
Доказывается, что начальное состояние безопасно в соответствии с определением.
Тема, которую мы пропустили...
21 декабря 2011 г.
18:02
Тема: Вирусные атаки, защита.
Любая сетевая структура делится на сегменты, в рамках которых работают пользователи.
Внутри сегментная атака означает, что пользователь и злоумышленник находятся на доверительном уровне относительно друг друга. От атак этого вида защищает только программное и техническое обеспечение самого пользователя.
При межсегментной атаке пользователь и злоумышленник разделены программно-техническими комплексами между сетевыми сегментами, что дополнительно защищает пользователя от вредоносного воздействия. Некоторые методы обеспечения защиты: для того, чтобы минимизировать урон от атак злоумышленников, необходимо использовать различные методы защиты данных и ИС. Выделяются 3 основных класса методов:
Человеческий - за защищенностью системы следит сам человек (пользователь/сисадмин) с помощью специальных программ, обеспечивающие контроль за производимыми в системе действиями и изменениями в информации: системы контроля и сдерживания. Среди них выделяют следующие типы
Системы контроля трафика, система фиксирует какой объем информации передан и получен по каналам связи. Достаточно большое количество программ; особенность: учет входящего и исходящего трафика, определение источника и приемника данных.
Системы обнаружения спама, фиксируют информацию не направленную на конкретного пользователя и не являющуюся ему полезной.
Антивирусные мониторы, отслеживают поступление на компьютер пользователя вирусного ПО и фиксируют их наличие (сейчас отдельно от антивируса редко, т.к. удаление должно осуществляться другим ПО)
Системы анализа содержания информации, программы, которые проверяют наличие данных , которые могут нанести вред имеющимся на компьютере пользователя программам; эти данные представляют из себя закодированный текст, который может запускать различные вредоносные программы и/или менять характер работ самих программ на компе.
Технический уровень защиты, когда защиту системы осуществляют технические устройства. В практической реализации множество всяких разных, рядовому пользователю не очень доступны. Электронно-механические предметы. Электронные ключи - используют пользователи. Шифрование данных часто в таких устройствах используется.
Программный уровень, когда защиту информации обеспечивают компьютерные программы, регулярно контролирующие действия пользователя и обеспечивающие права пользователя и обеспечивающие права доступа к данным и программам. Такие методы защиты разделяются на:
Антивирусные программы (пакеты), которые контролируют наличие вирусов на компьютере, выполняют действия по исправлению (лечению) поврежденных вирусов программ или удалению вирусных программ и модулей.
Межсетевые экраны (файерволы и брндмауеры), программы которые контролируют доступ внешних пользователей к компьютеру, программам и данным, разграничивая определенные права доступа
Все, кто на 3 канале обладают нашими правами. П1 и П2 не могут с нами, Нельзя пройти через перегородку, через фаер вол, т.к. все каналы внешние должны входить в него.
Системы обнаружения атак, специальные программы, которые не просто контролируют доступ пользователей к ресурсам компьютера, а еще определяют, какие действия выполняет этот пользователь. В такие программы заранее заложены методы обнаружения наиболее часто используемых атак пользователей: проверка наличия свободных сетевых ресурсов, определение версии ОС, определение данных сетевых карт, оценка служебных команд.
Системы шифрования данных, программные модули, обеспечивающие кодирование данных по определенных математическим и лингвистическим данным. В результате работы таких модулей без них прочитать данные будет невозможно (кроме как с использованием криптоанализа)
Парольная защита, методы заложенные в программные модули и обеспечивающие распределение прав доступа в соответствии с данными, которые пользователь введет при запросе системы.
Если использовать все эти меры в комплексе - то обеспечивается достаточный уровень защиты от вредоносного ПО. Данные должны иметь несколько резервных копий, если они важны.
Максимальное развитие получили такие угрозы как вирусы, несанкционированный доступ к ресурсам пользователей. Для того, чтобы избежать больших потерь при реализации этих угроз, необходимо в первую очередь защитить компьютер от вирусных атак. Сами по себе программы делятся не 3 основные группы:
Вирусы - именно те программы, которые нарушают работоспособность ПО и технических устройств с целью выведения из строя компьютерной техники или уничтожения данных. (аналог человеческому заболеванию). Через сеть реже, чаще через сеть.
Червь - программы, которые внедряются в ПО, служат для медленного выедания данных, его медленнее находят, чем вирус. Самое главное, что он прячется. Мб занесен через носитель, либо сеть.
Троян - программа, заносится через сетевые ресурсы. При "лечении" рушатся данные, если нет то возможен рецидив, либо вирус. Через них может осуществляться удаленное управление. Делает что-то без нашего ведома от нашего имени. Служит в первую очередь для сбора данных.
Для того, чтобы обеспечить защиту необходимы антивирусные пакеты и файервол (либо комплекс), особенно если есть сеть.
У нас это ДокторВеб, Касперский, NOD, Semantek
Антивирусный пакет состоит из следующих компонентов:
Монитор - модуль, обеспечивающий проверку в момент обращения к файлу и записи его на диск. Сами эти программы, их работа, обычно пользователям не нужны. Если мы хотим что-то получить, то обращаемся к области systemtry
Сканер - модуль, обеспечивающий проверку файлов по запросу пользователя с выводом информации о найденных вирусах.
Доктор - модуль, обеспечивающий восстановление ("лечение") и удаление вирусов с компьютера пользователя. Этот режим (режим доктора, лечения) может быть настроен на автоматическое лечение при обнаружении вируса, либо с подтверждения пользователя.
Существуют дополнительные программные решения в части обнаружения и лечения вирусов (червей и троянов, т.к. они прячутся и обычными пакетами не находятся).
Для поиска и лечения червей и троянов используются специализированные программы.
Практика управления информационной безопасностью.
14 января 2012 г.
12:34
14.01.2012
Тема: Практика управления ИБ.
Современные бизнес процессы сильно зависят от ИС. (конфиденциальность, доступность)
Риски, связанные с угрозами ИБ, реализация рисков способна затруднить работу ИС.
Если не уделять иб достаточно внимания, можно остаться без штанов.
Цели обеспечения ИБ с точки зрения управления ИБ.
Организации, которые хотят обеспечить ИБ своих структур, должны обеспечить целостность конфиденциальность и внутреннюю доступность своих информационных ресурсов.
Деятельность современных бизнес структур нацелена на получения прибыли путем продажи товаров/услуг (продуктов), то ИБ направленна на предоставление безопасных, эффективных и засуживающих доверия продуктов и услуг клиентам и бизнес партнерам, так же на предотвращение мошенничества и разглашение конфиденциальной информации , на обеспечение соответствия законам и регулирующим актам.
Основные принципы управления рисками иб.
Подавляющее большинство организаций (несмотря на разные сфера деятельности) используют 5 принципов (шагов, важных моментов) управления рисками ИБ:
Оценить риск и определить потребность;
Установить централизованное управление;
Внедрить необходимые политики и соответствующие средства контроля;
Содействовать осведомленности сотрудников;
Контролировать и оценивать эффективность политики механизмов контроля.
Существенный фактор эффективного осуществления этих принципов - связующий цикл деятельности, гарантирующий, что управление ИБ постоянно нацелено на текущие риски, гарантирующий, что управление ИБ постоянно нацелено на текущие риски.
Важно, чтобы высший менеджмент организации признавал наличие рисков ИС.
Такие шаги позволяют увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок (внешних/внутренних) .
Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменений в политиках и средствах контроля.
Все эти действия централизованно координируются службой безопасности или штатом специалистов, состоящих из консультантов (ИТ) , представителей бизнес подразделений и менеджмента организации.
Методы реализации программы ИБ.
Для реализации 5 принципов управления используется 16 методов. Все методы ключевые.
Для реализации 1 принципа "Оценить риск и определить потребность" 4 практики (мтеода:
Признать существующие информационные ресурсы в качестве существенных активов организации (наравне с финансами и др)
Разработать практические процедуры оценки рисков, связывающих безопасность и требования бизнеса.
Установить ответственность менеджеров бизнес-подразделений и менеджеров программы (ИТ).
Непрерывное управление рисками
Для реализации 2 принципа "Установить централизованное управление" используются так же 4 практики:
(5) Определение руководящей группы для выполнения ключевых действия
(6) Предоставление руководящей группы простого и независимого доступа к менеджменту организации (взаимодействие в т.ч.)
(7) Определение и выделение бюджета и персонала (ресурсов).
(8) Повышение профессионализма и технических знаний персонала.
Для реализации 3 принципа "Внедрить необходимые политики и соответствующие средства контроля" существует 3 практики:
Установление взаимосвязи политик (инструкции) и бизнес риска.
Установление различий между политиками и руководящими принципами организации.
Обеспечение сопровождения политик руководящей группы.
Для 4 принципа "Содействовать осведомленности сотрудников" есть 2 метода:
Непрерывное обучение пользователей (сотрудников) на примере реальных рисков и соответствующих политик.
Использование дружественного подхода (внутри априори все лояльны)
Для обеспечения 5 принципа "Контролировать и оценивать эффективность политики механизмов контроля" 3 метода:
Контроль факторов влияющих на риски и указывающих на эффективность ИБ;
Использование полученных результатов для координации будущих усилий и (усиления) ответственности менеджмента;
Отслеживание новых методов, инструментов и средства контроля.
Первый шаг реализации программы (задачи) это оценить риск и определить потребность. Безопасность рассматривается как набор политик и соответствующих средств контроля (сама по себе не рассматривается), предназначенных для обеспечения бизнес процессов и уменьшения сопутствующих им рисков. Определение бизнес рисков связанных с информационной безопасностью - отправная точка цикла управления рисками (иб).
Признание существующий рисков (1) менеджментом организации - если удается добиться такого подхода - гарантия, что ИБ серьёзно рассматривается на всех уровнях менеджмента (начиная с высшего). Специалисты будут обеспечены ресурсами.
Разработка практических процедур (2) - существуют множество методологий. Мировой опыт успешного управления рисками описывает относительно простой способ предусматривающий участи различных подразделений (не ИТ в т.ч.) со знаниями бизнес процессов (технические специалисты и бизнес специалисты) . Понимание рисков не предусматривает точного количества рисков, правильной оценки ущерба. Необходимо понимать возможность возникновения рисков в данной организации. Найти направления. Данные о полных рисках (статистику), вызванные несовершенством контроля, нет смысла собирать данные - они устаревают. Менеджеры бизнес-подразделений и ит специалисты должны полагаться на наиболее полную информацию о возможных рисках (досконально знать свою организацию).
(3) Установить ответственность менеджеров бизнес-подразделений и менеджеров программы (ИТ).
- менеджеры бизнес-подразделений несут первичную ответственность за определение уровня безопасности, т.е. конфиденциальности ит ресурсов на их участках работы, поскольку менеджеры бизнес-подразделений способны определить, какой из информационных ресурсов является наиболее критичным. Саму безопасность обеспечивают ИТ специалисты, а менеджеры точки прорыва и возможное влияние на бизнес процессы в случае нарушения целостности этих ресурсов. Менеджеры б-п могут указать какими средствами контроля из внутри можно этот процесс контролировать.
Привлекая менеджеров к работе получаем более качественную защиту бизнес-процессов.
(4) Непрерывное управление рисками: чтобы гарантировать постоянно высокий уровень контроля - необходима непрерывная защита. Факторы и уязвимости (которые раньше не были таковыми), методы прорыва, новые угрозы (технологии), уровень надежности - постоянный мониторинг.
Установить централизованное управление (5) Определение руководящей группы для выполнения ключевых действия: руководящая группа средство навязывать не может, скорее как консультант бизнес-подразделений, влияющий на принятия решений по обеспечению безопасности. \\ айти и менеджеры и эксперты по бизнес
Руководящая группа:
Является катализатором (ускорителем) процесса контроля, гарантирующим, что риски ИБ рассматриваются непрерывно; сами менеджеры непрерывно рассматривать побочную область не будут.
Является центральным консультационным ресурсом для подразделения организации;
Это средство доведения до руководства организации информации о состоянии иб и принимаемых решений.
И кроме всего этого руководящая группа позволяет централизованно управлять поставленными задачами, чтобы не было дублирования различных задач подразделений.
Необходимо обеспечить возможность обсуждение между группой и руководством, чтобы не было разногласий в обеспечении безопасности. Дабы исключить конфликты между менеджерами бизнес подразделений и информационщиками.
Гарантирует полное понимание рисков и доступ специалистов до принятия решений.
Важно: выделить бюджет (7), который позволит планировать з.п сотрудников и оплату на обучение. Стимулирование менеджеров. Штат варьируется от целей (и бюджета), как айти так и менеджеры.
(8) Повышение профессионализма и технических знаний персонала: т.к. все сотрудники должны участвовать в различных аспектах программы иб, для этого должны обладать знаниями и навыками в необходимом объеме. Соответственно необходимо поднимать их профессиональный уровень: тренинги (сотрудники организации с достаточными навыками и знаниями; сторонние консультанты) по повышению навыков и знаний. Для обеспечения минимума сотрудникам бизнес-подразделений
(9) Внедрить необходимые политики и соответствующие средства контроля: политики в области ИБ являются основанием для принятия определенных процедур и выбора средств (механизмов) контроля и управления. Политика - первичный механизм с помощью которого менеджмент доводит свое мнение и требования для сотрудников, клиентов и деловых партнеров. Для иб (как и для других областей внутреннего контроля) требования политик зависят напрямую от результатов оценки уровня рисков.
Практическая задача:
Установление взаимосвязи политик (инструкции) и бизнес риска: определить всесторонний набор адекватных политик, доступных и понятных пользователям.
Очень важно обеспечить непрерывное сопровождение политик (непрерывная корректировка) в связи с изменениями бизнес процессов для своевременного реагирования на выявляемые риски и возможные разногласия.
Установить отличия между политиками руководящими принципами этой организации. Общий подход к созданию политик иб должен предусматривать две позиции (два раздела):
Краткие и лаконичные политики высокого уровня; политики предусматривают основные и обязательные требования, принятые высшим менеджментом для всей организации.
И более детальную информацию, предоставленную в практических руководствах и стандартах; не являются обязательными для всех бизнес-подразделений, они узконаправлены; такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах иб, предоставив возможность маневра менеджерам бизнес-подразделения, и сделав политики более легкими для понимания сотрудниками.
Миссия организации не должна вступать в противоречие с политиками безопасности.
(11) Обеспечение сопровождения политик руководящей группы: р.группа должна быть ответственна за разработку политики иб организации, во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами.
Р.Группа должна обеспечивать консультационные функции.
Такой подход помогает уладить и предотвратить недоразумения, а так же принимать необходимые меры, даже если они не предусмотрены политиками. Сначала принимаем меры, а потом дорабатываем политики, если есть угроза в настоящий момент.
Политики должны быть доступными, чтобы пользователи при необходимости могли получить доступ к их актуальной версии. Пользователи должны расписываться в том, что они ознакомлены с политикой, до того, как им будет предоставлен доступ к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение будет служить гарантией того, что пользователь не должен будет сказать "я не знал".
(12) Содействовать максимально возможному уровню осведомленности сотрудников для качественной работы. Компетентность пользователей является необходимым условием для обеспечения иб. Политика должна быть понятна пользователям, пользователи должны соответствовать политике. Непрерывное обучение пользователей и других сотрудников на примере возникающих рисков или примерах из жизни. Р.группа должна обеспечивать стратегию постоянного развития сотрудников. Р.группа должна сосредоточить усилия на всеобщем пони мании рисков, политик и методов контроля, направленных на уменьшение этих рисков.
Использовать дружественные подход (стимулировать не только "должны/обязаны", но и поощрять).
(14) Контролировать и оценивать эффективность политики механизмов контроля: аб подлежит контролю и периодической переоценке, чтобы гарантировать адекватность политик и средств контроля поставленным целям. Сами методы контроля так же подлежат переоценки
(1)Контроль факторов влияющих на риски и указывающих на эффективность ИБ:
В первую очередь должен быть сосредоточен на наличии и использование средств и методов контроля направленных на уменьшение рисков;
Оценка эффективности программной безопасности и политик улучшающих понимание пользователей и сокращающих количество инцидентов. (сбой, неадекватное поведение пользователей); такие проверки предусматривают тестирование средств и методов контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности и соответствие политик решению таких ситуаций а так же другие индикаторы.
Эффективность работы самый ргруппы должна быть оценена, по основным показателям:
Число проведенных тренингов и встреч
Число выполненных оценок рисков.
Число сертифицированных специалистов.
Отсутствие инцидентов, затрудняющих работу организации; либо количество их наличия.
Снижение числа новых проектов внедренных с задержкой из-за иб (заложены в планы; проекты по бизнес-процессу).
Полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований от информационной безопасности.
Снижение числа инцидентов влекущих за собой потерю, искажение, несанкционированный доступ (внешняя угроза) к информации.
(15) Использование полученных результатов для координации будущих усилий и (усиления) ответственности менеджмента: контроль приводит организацию в соответствие с принятыми политиками. Но полные выгоды не достигаются, елси полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистов в области ИБ и менеджерам бизнес-подразделений средства для следующих действи:
Переоценки ранее идентифицированных рисков.
Определение ранее новых участков риска.
Переоценка достаточности и уместности существующих средств и методов контроля и действий по обеспечению ИБ.
Определение потребности в новых средствах и механизмах контроля, и в каких именно
Переадресация контрольных усилий (что мы будем контролировать дальше)/контролирующих действий
Результаты контроля могут использоваться для оценки деятельности бизнес-менеджеров ответственных за понимание и уменьшение рисков в бизнес-подразделений (не как еще одна обязанность за свою же зп, а как доп действие за доп плату).
(16) Отслеживание новых методов, инструментов и средства контроля:
25.01.2012
Важно гарантировать, чтобы специалисты в области ИБ не отставали от разрабатываемых методов и инструментов, располагали самой актуальной информацией об уязвимости ИС и приложений. Высший менеджмент должен гарантировать, что обладает необходимыми ресурсами.
Есть все признаки гениальности кроме самой гениальности
25.01.2012