Политика безопасности

Содержание

9.2. Политика информационной безопасности

Под политикой безопасности организации понимают совокупность документиро­ванных управленческих решений, направленных на защиту информации и ассоции­рованных с ней ресурсов. Политика безопасности является тем средством, с помо­щью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компь­ютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают соб­ственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной плат­формы по обеспечению безопасности корпоративной системы. По мере роста ком­пьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, ко­торые четко предписывают, как должны выполняться конкретные задачи безопас­ности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, ме­неджер по персоналу может иметь доступ к частной информации любого сотруд­ника, в то время как специалист по отчетности может иметь доступ только к фи­нансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.

Политика безопасности определяет позицию организации по рациональному ис­пользованию компьютеров и сети, а также процедуры по предотвращению и реаги­рованию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфич­ных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информаци­онной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признают­ся реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация кото­рой должна обеспечить информационную безопасность. Под эту программу выде­ляются ресурсы, назначаются ответственные, определяется порядок контроля вы­полнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, при­надлежащую некоей организации, и связанную с ней политику безопасности .

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом бо­лее конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматри­ваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно не­зависимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важ­ность защиты сетевой среды, описать их роль в обеспечении безопасности, а так­же распределить конкретные обязанности по защите информации, циркулирую­щей в сети.

Область применения. В сферу действия данной политики попадают все аппарат­ные, программные и информационные ресурсы, входящие в локальную сеть предприя­тия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

  • обеспечение уровня безопасности, соответствующего нормативным докумен­там;

  • следование экономической целесообразности в выборе защитных мер (рас­ходы на защиту не должны превосходить предполагаемый ущерб от наруше­ния информационной безопасности);

  • обеспечение безопасности в каждой функциональной области локальной сети;

  • обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

  • обеспечение анализа регистрационной информации;

  • предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

  • выработка планов восстановления после аварий и иных критических ситуа­ций для всех функциональных областей с целью обеспечения непрерывности работы сети;

  • обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты бе­зопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользо­вателей сети приведены ниже.

Санкции. Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руковод­ством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут по­требоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик бе­зопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базо­вой политике специализированные политики безопасности. Организации меньше­го размера нуждаются только в некотором подмножестве специализированных по­литик. Многие из этих документов поддержки могут быть довольно краткими — объемом в одну — две страницы.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний .

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:

  • формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;

  • формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;

  • обеспечение материальной базы для соблюдения законов и правил;

  • формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в об­ласти информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важ­ных баз данных, на первом плане должна стоятьцелостность данных. Для организа­ции, занимающейся продажами, важна актуальность информации о предоставляе­мых услугах и ценах, а также еедоступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиден­циальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для защи­ты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна и такая ситуация, когда в сферу влияния вклю­чаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по проведению ее в жизнь, то есть политика мо­жет служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать суще­ствующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполни­тельскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для различ­ных систем, эксплуатируемых организацией.

Примеры таких вопросов — отношение к доступу в Интернет (проблема сочета­ния свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д.

Политика безопасности среднего уровня должна определять для каждого аспек­та информационной безопасности следующие моменты:

  • описание аспекта — позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организацияв данном аспекте;

  • область применения — следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;

  • роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

  • санкции — политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;

  • точки контакта — должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит должностное лицо.

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, — поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при сле­довании политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом;

  • при каких условиях можно читать и модифицировать данные;

  • как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений цело­стности, доступности и конфиденциальности, но она не должна на них останавли­ваться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мера­ми. Обычно наиболее формально задаются права доступа к объектам.

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

  • постоянно держать в поле зрения вопросы безопасности. Следить за тем, что­бы то же самое делали их подчиненные;

  • проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима бе­зопасности и выбирая эффективные средства защиты;

  • организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;

  • информировать администраторов локальной сети и администраторов серви­сов об изменении статуса каждого из подчиненных (переход на другую рабо­ту, увольнение и т.п.);

  • обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающе­го достаточной квалификацией для выполнения этой роли.

Администраторы локальной сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности. Они обязаны:

  • обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

  • оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;

  • использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относя­щуюся к сети в целом и к файловым серверам в особенности;

  • не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;

  • разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обна­ружении и ликвидации вредоносного кода;

  • регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

  • выполнять все изменения сетевой аппаратно-программной конфигурации;

  • гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

  • периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопа­сности. Они обязаны:

  • управлять правами доступа пользователей к обслуживаемым объектам;

  • оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении ин­формации для их наказания;

  • регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

  • выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

  • ежедневно анализировать регистрационную информацию, относящуюся к сер­вису. Регулярно контролировать сервис на предмет вредоносного программ­ного обеспечения;

  • периодически производить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуа­циях. Они обязаны:

  • знать и соблюдать законы, правила, принятые в данной организации, полити­ку безопасности, процедуры безопасности. Использовать доступные защит­ные механизмы для обеспечения конфиденциальности и целостности своей информации;

  • использовать механизм защиты файлов и должным образом задавать права доступа;

  • выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

  • информировать администраторов или руководство о нарушениях безопасно­сти и иных подозрительных ситуациях;

  • не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

  • всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

  • обеспечивать резервное копирование информации с жесткого диска своего компьютера;

  • знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предуп­реждения проникновения вредоносного кода, его обнаружения и уничтоже­ния;

  • знать и соблюдать правила поведения в экстренных ситуациях, последова­тельность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее вы­полнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая по­литика безопасности, отражающая комплексный подход организации к защите сво­их ресурсов и информационных активов

>Политика безопасности

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы

Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Величина ущерба Описание
0 Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1 Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2 Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
3 Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4 Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5 Фирма прекращает существование

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

Вероятность Средняя частота появления
0 Данный вид атаки отсутствует
1 реже, чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Для чего нужна формализация защиты информации

Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.

Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.

Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.

Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.

В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «КИБ СёрчИнформ» разработано 250 готовых политик безопасности, которые предназначены компаниям из разных сфер.

Несостоявшиеся политики

Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.

Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.

Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.

К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.

Организация и внедрение ИБ

После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:

  • ознакомить коллектив с утвержденной политикой обработки информации;
  • знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
  • тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
  • активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
  • составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
  • раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.

Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы компании, у которых нет выделенной ИБ-службы, могут воспользоваться услугой аутсорсинг информационной безопасности.

Лица, пытающиеся получить несанкционированный доступ к информации

В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.

Потенциальные внешние нарушители:

  1. Посетители офиса.
  2. Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
  3. Хакеры.
  4. Сторонние структуры, в том числе конкуренты, а также криминальные группировки.

Потенциальные внутренние нарушители:

  1. Пользователи компьютерной техники из числа сотрудников.
  2. Программисты, системные администраторы.
  3. Технический персонал.

Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.

При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.

>БЕСПЛАТНЫЙ ТЕСТ-ДРАЙВ DLP-СИСТЕМЫ

Мы уверены в своих продуктах и предоставляем для тестирования полнофункциональные версии ПО.

Политика информационной безопасности

Настоящая Политика является основополагающим документом, регулирующим деятельность Группы компаний Softline в области информационной безопасности.

Корпоративные требования в сфере обеспечения информационной безопасности распространяются на все регионы деятельности и на все бизнес-подразделения Группы компаний Softline.

Политика информационной безопасности закладывает требования к менеджменту информационной безопасности в соответствии с требованиями международного стандарта ISO27001:2013 (действующая в области Технической Поддержки).

Настоящий документ включает в себя следующие аспекты:

  • Цели в области информационной безопасности.
  • Задачи обеспечения информационной безопасности.
  • Принципы обеспечения информационной безопасности.
  • Ответственность за нарушение Политики информационной безопасности.

Настоящий документ обязателен к исполнению всем сотрудникам Группы компаний Softline.

Документ «Политика информационной безопасности»

ОБЩИЕ ПОЛОЖЕНИЯ

Под информационной безопасностью понимается состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.

Политика информационной безопасности разработана в соответствии с положениями международного стандарта ISO/IEC 27001:2013.

Политика информационной безопасности утверждается Председателем совета директоров Группы компаний Softline.

Пересмотр Политики проводится на регулярной основе не реже одного раз в год.

Ответственность за общий контроль содержания настоящего документа и внесение в него изменений возлагается на Руководителя Департамента безопасности.

ЦЕЛИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В области информационной безопасности Группой компаний Softline устанавливаются следующие стратегические цели:

  • Повышение конкурентоспособности бизнеса Группы компаний Softline.
  • Соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности.
  • Повышение деловой репутации и корпоративной культуры Группы компаний Softline.
  • Эффективное управление информационной безопасностью и непрерывное совершенствование системы управления информационной безопасностью.
  • Достижение адекватности мер по защите от угроз информационной безопасности.
  • Обеспечение безопасности корпоративных активов Группы компаний Softline, включая персонал, материально-технические ценности, информационные ресурсы, бизнес-процессы.

ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Система обеспечения информационной безопасности Группы компаний Softline должна решать следующие задачи:

  • Вовлечение высшего руководства Группы компаний Softline в процесс обеспечения информационной безопасности: деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Группы компаний Softline.
  • Соответствие требованиям законодательства РФ: Группа компаний Softline реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
  • Согласованность действий по обеспечению информационной, физической и экономической безопасности: действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Группы компаний Softline и согласованы между собой по целям, задачам, принципам, методам и средствам.
  • Применение экономически целесообразных мер: Группа компаний Softline стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
  • Проверка работников: все кандидаты на вакантные должности в Группе компаний Softline в обязательном порядке проходят проверку в соответствии с установленными процедурами.
  • Документированность требований информационной безопасности: в Группе компаний Softline все требования в области информационной безопасности фиксируются в разрабатываемых внутренних нормативных документах.
  • Повышение осведомленности в вопросах обеспечения информационной безопасности: документированные требования в области информационной безопасности доводятся до сведения работников всех бизнес-подразделений Группы компаний Softline и контрагентов в части их касающейся.
  • Реагирование на инциденты информационной безопасности: Группа компаний Softline стремится выявлять, учитывать и оперативно реагировать на действительные, предпринимаемые и вероятные нарушения информационной безопасности.
  • Оценка рисков: в Группе компаний Softline на постоянной основе реализуются мероприятия по оценке и управлению рисками информационной безопасности, повышению уровня защищенности информационных активов.
  • Учет требований информационной безопасности в проектной деятельности: помимо операционной деятельности, Группа компаний Softline стремится учитывать требования информационной безопасности в проектной деятельности. Разработка и документирование требований по обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов, связанных с обработкой, хранением и передачей информации.
  • Постоянное совершенствование системы управления информационной безопасностью: совершенствование системы управления информационной безопасности является непрерывным процессом.

ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Принцип системности

В Группе компаний Softline активы рассматриваются как взаимосвязанные и взаимовлияющие компоненты единой системы. Учитывается максимально возможное количество сценариев поведения системы в случае возникновения угроз информационной безопасности. Система защиты строится с учетом не только всех известных каналов получения несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип полноты (комплексности)

Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты информации. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающих все существующие каналы угроз и не содержащих слабых мест на стыках отдельных ее компонентов.

Принцип эшелонированности

Нельзя полагаться на один защитный рубеж, каким бы надежным он ни казался. Система обеспечения информационной безопасности стоится таким образом, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.

Принцип равнопрочности

Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки реальных угроз либо применения неадекватных мер защиты.

Принцип непрерывности

В Группе компаний Softline обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие соответствующих мер на всех этапах жизненного цикла активов.

Принцип разумной достаточности

Руководство Группы компаний Softline исходит из того, что создать «абсолютную» защиту активов невозможно. Поэтому выбор средств защиты активов, адекватных реально существующим угрозам (т.е. обеспечивающих допустимый уровень возможного ущерба в случае реализации угроз), осуществляется на основе проведения анализа рисков.

Принцип законности

При выборе и реализации мер и средств обеспечения информационной безопасности Группой компаний Softline строго соблюдается законодательство Российской Федерации, требования нормативных правовых и технических документов в области обеспечения информационной безопасности Группы компаний Softline.

Принцип управляемости

Все процессы обеспечения и управления информационной безопасностью в Группе компаний Softline должны быть управляемыми, т. е. должна быть возможность мониторинга и измерения процессов и компонентов, своевременного выявления нарушений информационной безопасности и принятия соответствующих мер.

Принцип персональной ответственности

Ответственность за обеспечение безопасности активов возлагается на каждого работника в пределах его полномочий.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В случае нарушения установленных правил работы с информационными активами работник может быть ограничен в правах доступа к таким активам, а также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.

3.1. Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности, рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоей организации, и связанную с ней политику безопасности .

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

О обеспечение уровня безопасности, соответствующего нормативным документам;

О следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

О обеспечение безопасности в каждой функциональной области локальной сети;

О обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

О обеспечение анализа регистрационной информации;

О предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

О выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

О обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети приведены ниже.

Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими — объемом в одну-две страницы.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний .

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:

О формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

О формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;

О обеспечение материальной базы для соблюдения законов и правил;

О формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателем’!. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политика может служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.

Примеры таких вопросов — отношение к доступу в Интернет (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д.

Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:

О описание аспекта — позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организация в данном аспекте;

О область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

О роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

О санкции — политика должна содержать общее описание запрещенных действий и наказаний за них;

О тонки контакта — должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо.

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, — поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

О кто имеет право доступа к объектам, поддерживаемым сервисом;

О при каких условиях можно читать и модифицировать данные;

О как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

О постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же самое делали их подчиненные;

О проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

О организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;

О информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

О обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:

О обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

О оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;

О использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

О не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;

О разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;

О регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

О выполнять все изменения сетевой аппаратно-программной конфигурации;

О гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

О периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

О управлять правами доступа пользователей к обслуживаемым объектам;

О оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;

О регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

О выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

О ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;

О периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Они обязаны:

О знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

О использовать механизм защиты файлов и должным образом задавать права доступа;

О выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

О информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;

О не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

О всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

О обеспечивать резервное копирование информации с жесткого диска своего компьютера;

О знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

О знать н соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование

78 ПОЛИТИКА БЕЗОПАСНОСТИ _*

программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.

Основы информационной безопасности

Ответы на курс: Основы информационной безопасности

Из принципа разнообразия защитных средств следует, что:
в разных точках подключения корпоративной сети к Internet необходимо устанавливать разные межсетевые экраны
защитные средства нужно менять как можно чаще
каждую точку подключения корпоративной сети к Internet необходимо защищать несколькими видами средств безопасности
Объектно-ориентированный подход помогает справляться с:
сложностью систем
недостаточной реактивностью систем
некачественным пользовательским интерфейсом
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
доступность
целостность
конфиденциальность
правдивое отражение действительности
Средний ущерб от компьютерного преступления в США составляет примерно:
сотни тысяч долларов
десятки долларов
копейки
Сложность обеспечения информационной безопасности является следствием:
невнимания широкой общественности к данной проблематике
быстрого прогресса информационных технологий, ведущего к постоянному изменению информационных систем и требований к ним
все большей зависимости общества от информационных систем
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на текстовый редактор могут быть наложены следующие ограничения:
запрет на чтение каких-либо файлов, кроме редактируемых и конфигурационных
запрет на выполнение каких-либо файлов
запрет на изменение каких-либо файлов, кроме редактируемых и конфигурационных
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:
запрет на изменение каких-либо файлов
запрет на чтение файлов, кроме просматриваемых и конфигурационных
запрет на изменение файлов, кроме просматриваемых и конфигурационных
Самыми опасными угрозами являются:
непреднамеренные ошибки штатных сотрудников
атаки хакеров
вирусные инфекции
Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
просчеты при администрировании информационных систем
необходимость постоянной модификации информационных систем
сложность современных информационных систем
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
аутентификация
идентификация
туннелирование
Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
логическое управление доступом
произвольное управление доступом
принудительное управление доступом
Уровень безопасности A, согласно «Оранжевой книге», характеризуется:
принудительным управлением доступом
произвольным управлением доступом
верифицируемой безопасностью
В число целей программы безопасности верхнего уровня входят:
определение ответственных за информационные сервисы
управление рисками
определение мер наказания за нарушения политики безопасности
Первый шаг в анализе угроз — это:
идентификация угроз
ликвидация угроз
аутентификация угроз
Оценка рисков позволяет ответить на следующие вопросы:
какие защитные средства экономически целесообразно использовать?
как спроектировать надежную защиту?
какую политику безопасности предпочесть?
Управление рисками включает в себя следующие виды деятельности:
определение ответственных за анализ рисков
выбор эффективных защитных средств
измерение рисков
В число возможных стратегий нейтрализации рисков входят:
сокрытие риска
уменьшение риска
афиширование риска
В число основных принципов архитектурной безопасности входят:
применение наиболее передовых технических решений
применение простых, апробированных решений
сочетание простых и сложных защитных средств
Контроль целостности может использоваться для:
предупреждения нарушений ИБ
обнаружения нарушений
локализации последствий нарушений
В число универсальных сервисов безопасности входят:
протоколирование и аудит
экранирование
средства построения виртуальных локальных сетей
Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
инкапсуляция
наследование
полиморфизм
В число основных понятий ролевого управления доступом входит:
субъект
объект
метод
Цифровой сертификат содержит:
открытый ключ удостоверяющего центра
имя удостоверяющего центра
секретный ключ удостоверяющего центра
Криптография необходима для реализации следующих сервисов безопасности:
контроль доступа
контроль защищенности
контроль целостности
Пороговый метод выявления атак хорош тем, что он:
поднимает мало ложных тревог
способен обнаруживать неизвестные атаки
прост в настройке и эксплуатации
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
минимизация привилегий
апробированность всех процессов и составных частей информационной системы
унификация процессов и составных частей
Доступность достигается за счет применения мер, направленных на повышение:
безотказности
дисциплинированности
лояльности
Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
систем активного аудита
систем идентификации
систем анализа защищенности
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
сетевом
сеансовом
уровне представления
Согласно стандарту X.700, в число функций управления конфигурацией входят:
запуск и остановка компонентов
выбор закупаемой конфигурации
изменение конфигурации системы
Сервисы безопасности подразделяются на:
локализующие, сужающие зону воздействия нарушений
буферизующие, сглаживающие злоумышленную активность
глобализующие, расширяющие зону поиска нарушителя
Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
да, поскольку обеспечение информационной безопасности — проблема комплексная
нет, поскольку информационная безопасность — техническая дисциплина
не имеет значения, поскольку если что-то понадобится, это легко найти
Окно опасности появляется, когда:
устанавливается новое ПО
появляется возможность использовать уязвимость
становится известно о средствах использования уязвимости
Эффективность информационного сервиса может измеряться как:
максимальное время обслуживания запроса
рентабельность работы сервиса
количество одновременно обслуживаемых пользователей
Среднее время наработки на отказ:
пропорционально интенсивности отказов
не зависит от интенсивности отказов
обратно пропорционально интенсивности отказов
Что понимается под информационной безопасностью:
защита душевного здоровья телезрителей
обеспечение информационной независимости России
защита от нанесения неприемлемого ущерба субъектам информационных отношений
Реализация протоколирования и аудита преследует следующие главные цели:
недопущение попыток нарушений информационной безопасности
недопущение атак на доступность
обнаружение попыток нарушений информационной безопасности
имя пользователя
открытый ключ пользователя
секретный ключ пользователя
наличия многочисленных высококвалифицированных злоумышленников
комплексного характера данной проблемы, требующей для своего решения привлечения специалистов разного профиля
развития глобальных сетей
Контейнеры в компонентных объектных средах предоставляют:
средства для сохранения компонентов
механизмы транспортировки компонентов
общий контекст взаимодействия с другими компонентами и с окружением
Уголовный кодекс РФ не предусматривает наказания за:
неправомерный доступ к компьютерной информации
увлечение компьютерными играми в рабочее время
нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
экранирование
аутентификация
идентификация
В число целей политики безопасности верхнего уровня входят:
формулировка административных решений по важнейшим аспектам реализации программы безопасности
обеспечение базы для соблюдения законов и правил
выбор методов аутентификации пользователей
Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
разделение статических и динамических данных
шифрование всей информации
формирование составных сервисов по содержательному принципу
Экранирование на сетевом и транспортном уровнях может обеспечить:
выборочное выполнение команд прикладного протокола
разграничение доступа по сетевым адресам
контроль объема данных, переданных по TCP-соединению
Главная цель мер, предпринимаемых на административном уровне:
сформировать программу безопасности и обеспечить ее выполнение
отчитаться перед вышестоящими инстанциями
выполнить положения действующего законодательства
Политика безопасности строится на основе:
анализа рисков
общих представлений об ИС организации
изучения политик родственных организаций
Статистический метод выявления атак хорош тем, что он:
способен обнаруживать неизвестные атаки
поднимает мало ложных тревог
прост в настройке и эксплуатации
Уровень риска является функцией:
стоимости защитных средств
числа уязвимостей в системе
вероятности реализации угрозы
Окно опасности перестает существовать, когда:
производитель ПО выпускает заплату
заплата устанавливается в защищаемой ИС
администратор безопасности узнает об угрозе
что делать, чтобы риски стали приемлемыми?
существующие риски приемлемы?
кто виноват в том, что риски неприемлемы?
При использовании сервера аутентификации Kerberos пароли по сети:
передаются в зашифрованном виде
не передаются
передаются в открытом виде
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
объектно-ориентированный подход популярен в академических кругах
объектно-ориентированный подход поддержан обширным инструментарием
с программно-технической точки зрения, информационная безопасность — ветвь информационных технологий и должна развиваться по тем же законам
На межсетевые экраны целесообразно возложить следующие функции:
антивирусный контроль компьютеров внутренней сети
антивирусный контроль компьютеров внешней сети
антивирусный контроль «на лету»
В число классов мер процедурного уровня входят:
управление персоналками
управление персоналом
реагирование на нарушения режима безопасности
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
процедурные меры
программно-технические меры
меры обеспечения конфиденциальности

Вам также может понравиться

Об авторе admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *