Файл: Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 27.03.2024
Просмотров: 226
Скачиваний: 30
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2.5. Предотвращайте перегрузку ресурсов сервера,
ограничивая количество и частоту соединений, запросов
и другие переменные для каждого пользователя БД
Проводите валидацию протоколов БД. Внедрите решения по мониторин- гу активности БД, способные анализировать протокол и изолировать аномаль- ные соединения. В случае обнаружения нетипичного соединения решение должно активировать оповещение или блокировать транзакцию.
2.6. Согласованность ответов
DoS-атака на БД, направленная на перегрузку ресурсов сервера, приводит к задержке отклика БД. Сюда относятся как задержки ответов на отдельные за- просы, так и «торможение» системы в целом. Используйте решения, которые в случае задержки отклика проводят мониторинг времени реакции системы и ге- нерируют уведомления.
3. Аудит
3.1. Автоматизируйте аудит при помощи платформы DAP
Внедрите решение DAP в наиболее требовательных средах. Решение DAP лишено большинства недостатков, свойственных интегрированным в БД сред- ствам аудита.
3.2. Разграничение обязанностей
Решения DAP работают независимо от администраторов БД, что делает возможным разграничение обязанностей по аудиту и рутинное системное ад- министрирование. Помимо этого, они (решения) работают независимо от сер- вера БД и неуязвимы к атакам, нацеленным на повышение уровня привилегий пользователями без административных полномочий.
3.3. Кросс-платформенный аудит
DAP-решения поддерживают множество СУБД от разных поставщиков, что позволяет использовать единые стандарты и централизованные операции по аудиту в крупномасштабных и распределенных гетерогенных окружениях БД.
3.4. Быстродействие и эффективность
Ведущие DAP-решения могут использовать высокоэффективные устрой- ства, не влияющие на быстродействие БД. Фактически, возлагая функции ауди- та на сетевые устройства, а не применяя встроенные в СУБД средства аудита, можно повысить быстродействие БД.
Собирайте детальную информацию о транзакциях. DAP-решения могут использоваться для регистрации логов аудита, включающих такие данные, как имя исходного приложения, полный текст запроса, атрибуты ответа, исходная
ОС, имя хоста и т. д. Это необходимо для выполнения требований регуляторов, криминалистического анализа и более эффективного обнаружения случаев фрода.
8 / 10
29
Применяйте правила аудита для сбора информации, необходимой для выполнения требований таких стандартов безопасности, как SOX, PCI DSS и
HIPPA, или для соответствия внутренним стандартам аудита.
3.5. Генерируйте отчеты для оценки регуляторами и криминалистами
Оформляйте отчеты об активности БД, которые помогут удовлетворить требования регуляторов, проводить расследования злоупотреблений, собирать важную статистику и проводить мониторинг быстродействия системы. Вне- дряйте DAP-решения, способные вести отчетность согласно государственным и отраслевым стандартам и при необходимости подстраиваться под требования бизнеса.
4. Защита данных
4.1. Архивируйте внешние данные
Автоматизируйте процессы долгосрочного архивирования данных. Ис- пользуйте решения, которые можно настроить на периодическое сохранение данных во внешние системы хранения данных. Перед архивацией данные мож- но сжимать, шифровать и подписывать.
4.2. Применяйте шифрование к базам данных
Шифруйте конфиденциальные данные в гетерогенных окружениях. Это позволит вам защитить как рабочие, так и резервные копии БД, затем прово- дить аудит активности и контроль доступа к конфиденциальным данным поль- зователей, имеющим доступ к этим БД на уровне операционной системы и хра- нилищ. Внедряя аудит БД наряду с шифрованием, организации могут прово- дить мониторинг и контролировать как внутренних, так и внешних пользовате- лей.
5. Меры безопасности нетехнического характера
5.1. Задействуйте опытных специалистов
по информационной безопасности
Для защиты от растущего числа внешних и внутренних угроз нанимайте специалистов с опытом внедрения, администрирования и мониторинга решений по обеспечению безопасности. Непрерывное обучение и тренинги также важны для повышения уровня профессионализма. Привлекайте сторонних специали- стов по информационной безопасности для содействия во внедрении средств безопасности, проведения оценки и тестирования, обучения и поддержки ва- ших администраторов.
5.2. Обучайте своих сотрудников
Обучайте собственных сотрудников методам снижения риска, включая способы распознавания типичных киберугроз (например, целевого фишинга), рекомендациям по безопасному пользованию Интернетом и электронной по- чтой и обращением с паролями. Игнорирование обучения сотрудников мерам безопасности повышает риск взлома. Конечным результатом должны стать хо- рошо подготовленные пользователи, обученные безопасному обращению с конфиденциальными данными.
9 / 10
30
ЛЕКЦИЯ 4. ПОЛИТИКА БЕЗОПАСНОСТИ
Под целостностью подразумевается отсутствие ненадлежащих измене- ний. Ни одному пользователю АС, в том числе авторизованному, не должны быть разрешены такие изменения данных, которые повлекут за собой их раз- рушение или потерю.
При рассмотрении вопроса целостности данных используется интегриро- ванный подход, включающий в себя девять теоретических принципов:
1) корректность транзакций;
2) минимизация привилегий;
3) аутентификация пользователей;
4) разграничение функциональных обязанностей;
5) аудит произошедших событий;
6) объективный контроль;
7) управление передачей привилегий;
8) обеспечение непрерывной работоспособности;
9) простота использования защитных механизмов.
Политика безопасности организации — совокупность документиро- ванных руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределе- ние ценной информации (рис. 6).
Политика безопасности зависит от:
– конкретной технологии обработки информации;
– используемых технических и программных средств;
– расположения организации.
Политика безопасности устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Она заставляет людей делать вещи, которые они не хотят делать. Однако она имеет огромное значение для органи- зации и является наиболее важной составляющей работы отдела информацион- ной безопасности.
Политика безопасности определяет:
– безопасность внутри организации;
– место каждого служащего в системе безопасности.
Существуют различные политики, для которых есть три основных обще- принятых раздела.
Цель. Каждая политика и процедура имеют четко определенную цель, описывающая причины, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
10 / 10
31
Рис. 6
Общая политика информационной безопасности
Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур, которые должны быть надлежащим образом обучены и знать все требования политики.
Политика безопасности строится на основе анализа рисков, которые при- знаются реальными для информационной системы организации (рис. 7). Следу- ет выяснить, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект.
Рис. 7
Схема политики информационной безопасности
Риском называется произведение «возможного ущерба от атаки» на «ве- роятность такой атаки».
Ущерб от атаки может быть представлен следующим образом (табл. 2).
1 / 10
32
Таблица 2
Ущерб от атаки
Величина
ущерба
Описание
0
Раскрытие информации нанесет ничтожный моральный и финансовый ущерб фирме
1
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изме- няются минимально
3
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы
5
Фирма прекращает существование
Вероятность атаки представляется в соответствии со следующей табли- цей 3.
Таблица 3
Вероятность атаки
Вероятность
Средняя частота появления
0 данный вид атаки отсутствует
1 реже чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал.
А вот оценку вероятности появления атаки лучше доверить техническим со- трудникам фирмы.
Следующим этапом является составление таблицы рисков предприятия
(табл. 4).
Таблица 4
Риски предприятия
Описание атаки
Ущерб
Вероятность
Риск (=Ущерб×
×Вероятность)
Спам (переполнение почтового ящика) 1 4
4
Копирование жесткого диска из централь- ного офиса
3 1 3
… …
…
2
Итого:
9
На этом этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7.
Сначала проверяется каждая строка таблицы на непревышение риска это- го значения. Если такое превышение имеет место, значит данная строка — это
2 / 10
33
одна из первоочередных целей разработки политики безопасности. Затем про- изводится сравнение удвоенного значения (в нашем случае 7 × 2 = 14) с инте- гральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит в сис- теме безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение инте- грального риска, и производится попытка их уменьшить или устранить полно- стью.
Когда проведен анализ рисков и определена стратегия защиты, составля- ется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответст- венные, определяется порядок контроля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Политика безопасности обычно оформляется в виде документа, вклю-
чающего такие разделы, как описание проблемы, область применения, позиция
организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы.Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям со- вместно использовать программы и данные, что увеличивает угрозу безопасно- сти. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данно- го документа. Документ преследует следующие цели: продемонстрировать со- трудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения.В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с се- тью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.Целью организации является обеспечение целост- ности, доступности и конфиденциальности данных, а также их полноты и акту- альности. Более частными целями являются:
– обеспечение уровня безопасности, соответствующего нормативным до- кументам;
– следование экономической целесообразности в выборе защитных мер
(расходы на защиту не должны превосходить предполагаемый ущерб от нару- шения информационной безопасности);
– обеспечение безопасности в каждой функциональной области локаль- ной сети;
– обеспечение подотчетности всех действий пользователей с информа- цией и ресурсами;
3 / 10
ограничивая количество и частоту соединений, запросов
и другие переменные для каждого пользователя БД
Проводите валидацию протоколов БД. Внедрите решения по мониторин- гу активности БД, способные анализировать протокол и изолировать аномаль- ные соединения. В случае обнаружения нетипичного соединения решение должно активировать оповещение или блокировать транзакцию.
2.6. Согласованность ответов
DoS-атака на БД, направленная на перегрузку ресурсов сервера, приводит к задержке отклика БД. Сюда относятся как задержки ответов на отдельные за- просы, так и «торможение» системы в целом. Используйте решения, которые в случае задержки отклика проводят мониторинг времени реакции системы и ге- нерируют уведомления.
3. Аудит
3.1. Автоматизируйте аудит при помощи платформы DAP
Внедрите решение DAP в наиболее требовательных средах. Решение DAP лишено большинства недостатков, свойственных интегрированным в БД сред- ствам аудита.
3.2. Разграничение обязанностей
Решения DAP работают независимо от администраторов БД, что делает возможным разграничение обязанностей по аудиту и рутинное системное ад- министрирование. Помимо этого, они (решения) работают независимо от сер- вера БД и неуязвимы к атакам, нацеленным на повышение уровня привилегий пользователями без административных полномочий.
3.3. Кросс-платформенный аудит
DAP-решения поддерживают множество СУБД от разных поставщиков, что позволяет использовать единые стандарты и централизованные операции по аудиту в крупномасштабных и распределенных гетерогенных окружениях БД.
3.4. Быстродействие и эффективность
Ведущие DAP-решения могут использовать высокоэффективные устрой- ства, не влияющие на быстродействие БД. Фактически, возлагая функции ауди- та на сетевые устройства, а не применяя встроенные в СУБД средства аудита, можно повысить быстродействие БД.
Собирайте детальную информацию о транзакциях. DAP-решения могут использоваться для регистрации логов аудита, включающих такие данные, как имя исходного приложения, полный текст запроса, атрибуты ответа, исходная
ОС, имя хоста и т. д. Это необходимо для выполнения требований регуляторов, криминалистического анализа и более эффективного обнаружения случаев фрода.
8 / 10
29
Применяйте правила аудита для сбора информации, необходимой для выполнения требований таких стандартов безопасности, как SOX, PCI DSS и
HIPPA, или для соответствия внутренним стандартам аудита.
3.5. Генерируйте отчеты для оценки регуляторами и криминалистами
Оформляйте отчеты об активности БД, которые помогут удовлетворить требования регуляторов, проводить расследования злоупотреблений, собирать важную статистику и проводить мониторинг быстродействия системы. Вне- дряйте DAP-решения, способные вести отчетность согласно государственным и отраслевым стандартам и при необходимости подстраиваться под требования бизнеса.
4. Защита данных
4.1. Архивируйте внешние данные
Автоматизируйте процессы долгосрочного архивирования данных. Ис- пользуйте решения, которые можно настроить на периодическое сохранение данных во внешние системы хранения данных. Перед архивацией данные мож- но сжимать, шифровать и подписывать.
4.2. Применяйте шифрование к базам данных
Шифруйте конфиденциальные данные в гетерогенных окружениях. Это позволит вам защитить как рабочие, так и резервные копии БД, затем прово- дить аудит активности и контроль доступа к конфиденциальным данным поль- зователей, имеющим доступ к этим БД на уровне операционной системы и хра- нилищ. Внедряя аудит БД наряду с шифрованием, организации могут прово- дить мониторинг и контролировать как внутренних, так и внешних пользовате- лей.
5. Меры безопасности нетехнического характера
5.1. Задействуйте опытных специалистов
по информационной безопасности
Для защиты от растущего числа внешних и внутренних угроз нанимайте специалистов с опытом внедрения, администрирования и мониторинга решений по обеспечению безопасности. Непрерывное обучение и тренинги также важны для повышения уровня профессионализма. Привлекайте сторонних специали- стов по информационной безопасности для содействия во внедрении средств безопасности, проведения оценки и тестирования, обучения и поддержки ва- ших администраторов.
5.2. Обучайте своих сотрудников
Обучайте собственных сотрудников методам снижения риска, включая способы распознавания типичных киберугроз (например, целевого фишинга), рекомендациям по безопасному пользованию Интернетом и электронной по- чтой и обращением с паролями. Игнорирование обучения сотрудников мерам безопасности повышает риск взлома. Конечным результатом должны стать хо- рошо подготовленные пользователи, обученные безопасному обращению с конфиденциальными данными.
9 / 10
30
ЛЕКЦИЯ 4. ПОЛИТИКА БЕЗОПАСНОСТИ
Под целостностью подразумевается отсутствие ненадлежащих измене- ний. Ни одному пользователю АС, в том числе авторизованному, не должны быть разрешены такие изменения данных, которые повлекут за собой их раз- рушение или потерю.
При рассмотрении вопроса целостности данных используется интегриро- ванный подход, включающий в себя девять теоретических принципов:
1) корректность транзакций;
2) минимизация привилегий;
3) аутентификация пользователей;
4) разграничение функциональных обязанностей;
5) аудит произошедших событий;
6) объективный контроль;
7) управление передачей привилегий;
8) обеспечение непрерывной работоспособности;
9) простота использования защитных механизмов.
Политика безопасности организации — совокупность документиро- ванных руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределе- ние ценной информации (рис. 6).
Политика безопасности зависит от:
– конкретной технологии обработки информации;
– используемых технических и программных средств;
– расположения организации.
Политика безопасности устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Она заставляет людей делать вещи, которые они не хотят делать. Однако она имеет огромное значение для органи- зации и является наиболее важной составляющей работы отдела информацион- ной безопасности.
Политика безопасности определяет:
– безопасность внутри организации;
– место каждого служащего в системе безопасности.
Существуют различные политики, для которых есть три основных обще- принятых раздела.
Цель. Каждая политика и процедура имеют четко определенную цель, описывающая причины, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
10 / 10
31
Рис. 6
Общая политика информационной безопасности
Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур, которые должны быть надлежащим образом обучены и знать все требования политики.
Политика безопасности строится на основе анализа рисков, которые при- знаются реальными для информационной системы организации (рис. 7). Следу- ет выяснить, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект.
Рис. 7
Схема политики информационной безопасности
Риском называется произведение «возможного ущерба от атаки» на «ве- роятность такой атаки».
Ущерб от атаки может быть представлен следующим образом (табл. 2).
1 / 10
32
Таблица 2
Ущерб от атаки
Величина
ущерба
Описание
0
Раскрытие информации нанесет ничтожный моральный и финансовый ущерб фирме
1
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изме- няются минимально
3
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы
5
Фирма прекращает существование
Вероятность атаки представляется в соответствии со следующей табли- цей 3.
Таблица 3
Вероятность атаки
Вероятность
Средняя частота появления
0 данный вид атаки отсутствует
1 реже чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал.
А вот оценку вероятности появления атаки лучше доверить техническим со- трудникам фирмы.
Следующим этапом является составление таблицы рисков предприятия
(табл. 4).
Таблица 4
Риски предприятия
Описание атаки
Ущерб
Вероятность
Риск (=Ущерб×
×Вероятность)
Спам (переполнение почтового ящика) 1 4
4
Копирование жесткого диска из централь- ного офиса
3 1 3
… …
…
2
Итого:
9
На этом этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7.
Сначала проверяется каждая строка таблицы на непревышение риска это- го значения. Если такое превышение имеет место, значит данная строка — это
2 / 10
33
одна из первоочередных целей разработки политики безопасности. Затем про- изводится сравнение удвоенного значения (в нашем случае 7 × 2 = 14) с инте- гральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит в сис- теме безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение инте- грального риска, и производится попытка их уменьшить или устранить полно- стью.
Когда проведен анализ рисков и определена стратегия защиты, составля- ется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответст- венные, определяется порядок контроля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Политика безопасности обычно оформляется в виде документа, вклю-
чающего такие разделы, как описание проблемы, область применения, позиция
организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы.Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям со- вместно использовать программы и данные, что увеличивает угрозу безопасно- сти. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данно- го документа. Документ преследует следующие цели: продемонстрировать со- трудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения.В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с се- тью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.Целью организации является обеспечение целост- ности, доступности и конфиденциальности данных, а также их полноты и акту- альности. Более частными целями являются:
– обеспечение уровня безопасности, соответствующего нормативным до- кументам;
– следование экономической целесообразности в выборе защитных мер
(расходы на защиту не должны превосходить предполагаемый ущерб от нару- шения информационной безопасности);
– обеспечение безопасности в каждой функциональной области локаль- ной сети;
– обеспечение подотчетности всех действий пользователей с информа- цией и ресурсами;
3 / 10
