Каталог продуктов
- Базовые продукты САПР
- 3D графика и анимация
Внедрение системы управления ИБ (СУИБ)
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
Технические средства реализуют определенный набор функций, направленных на обеспечение ИБ, позволяют автоматизировать процессы ИБ. Однако, для построения действительно эффективной системы защиты требуется проработать целый ряд организационных аспектов. В частности, необходимо определить ответственных за обеспечение ИБ и регламентировать взаимодействие между ними, необходимо формализовать процессы управления системой защиты, необходимо определить корпоративные нормы и правила, которым должны следовать все сотрудники компании. От целого ряда угроз ИБ невозможно или крайне сложно обеспечить защиту только техническими средствами. В первую очередь это касается внутренних угроз, исходящих от собственных сотрудников компании. А по статистике, около 80% ущерба наносят инциденты, вызванные именно сотрудниками компании. В таких ситуациях, на первый план выходят организационные мероприятия.
Организационное обеспечение ИБ должно представлять собой взаимосвязанную структуру документов, объединенных едиными принципами, начиная с высокоуровневых (концептуальных) документов и заканчивая детальными, ориентированными на ту или иную технологию или область деятельности. Наша компания готова предложить Вам услуги по разработке полного комплекта организационного обеспечения по ИБ.
- Концепция ИБ
- Политики ИБ
- Инструкции, регламенты по ИБ
- Разработка программы повышения осведомленности в области ИБ
- Проектирование и внедрение систем защиты
- Оптимизаци сетевой инфраструктуры
Концепция ИБ
Строить или модернизировать систему обеспечения ИБ необходимо, руководствуясь едиными принципами и подходами. В противном случае, конечный результат может представлять собой разрозненный набор технических средств и документов, который нельзя будет назвать "системой" и эффективность которого будет невысока. Соответственно, сделанные компанией инвестиции не дадут ожидаемого эффекта. Достаточно часто встречается ситуация, когда подразделение, ответственное за ИБ, осуществляет свою деятельность исходя только из собственного понимания о том, какие ресурсы являются значимыми для компании, какие цели и задачи ИБ действительно актуальны. При такой организации деятельности, возникают проблемы с обоснованием необходимости внедрения той или иной технологии перед руководством, проблемы с формированием и защитой бюджета на ИБ. Создание концепции ИБ призвано решить указанные проблемы. Концепция ИБ должна отражать позицию руководства компании в вопросах обеспечения ИБ, подтверждать, что руководство компании уделяет данному направлению внимание, определять цели, задачи и общие принципы, в соответствии с которыми будет строиться комплексная система защиты. Концепция должна представлять собой высокоуровневый документ, определяющий развитие системы защиты на несколько лет вперед.
В общем случае порядок проведения работ следующий:
- Проведение интервью с руководством компании, курирующим направление ИБ, руководством служб ИБ и ИТ. В процессе таких интервью выявляется позиция руководителей на вопросы обеспечения ИБ, формируется перечень типов критичных ресурсов и бизнес-процессов, определяются цели и задачи обеспечения ИБ исходя из специфики деятельности организации.
- Получение общей информации о существующем организационно-техническом состоянии системы защиты и текущих проблемах в ее организации.
- Формирование перечня объектов защиты, составление модели потенциального злоумышленника и угроз.
- Формирование целевой функциональной архитектуры системы обеспечения ИБ, определение ее технических и организационных составляющих и требований к ним.
- Разработка документа "Концепция информационной безопасности".
Результатом работы будет являться документ "Концепция информационной безопасности", содержащий:
- Цели и задачи обеспечения ИБ.
- Принципы обеспечения ИБ.
- Описание объекта защиты с указанием критичных ресурсов и бизнес-процессов.
- Модели угроз и потенциального злоумышленника.
- Целевая функциональная архитектура системы обеспечения ИБ.
- Зоны ответственности подразделений компании за обеспечение ИБ.
Политики ИБ
Следующим за концепцией уровнем детализации организационного обеспечения ИБ является набор политик. Политики являются узкоспециализированными документами и детально описывают требования по ИБ к определенной технологии или области деятельности. Целесообразно выделять общую политику, которая детализирует концепцию ИБ и содержит набор требований и правил, применимых к большинству областей и технологий, действующих в компании и частные политики ИБ. В общую политику ИБ могут быть включены требования по:
- аутентификации;
- контролю и разграничению доступа;
- правила предоставления доступа к ресурсам;
- требования к обработке информации, составляющей коммерческую тайну и персональные данные;
- требования по работе со средствами удаленного доступа, мобильными средствами доступа, электронной почтой, Интернет, средствами криптографической защиты;
- общие требования по антивирусной защите, резервному копированию и пр.
Частные политики ИБ могут разрабатываться под конкретные технологические платформы, используемые в компании. Частные политики могут содержать требования по настройке штатных механизмов ИБ в ОС, СУБД и прикладном ПО в соответствии с рекомендациями производителей и международных стандартов (Microsoft Windows, SUN Solaris, Linux, Microsoft SQL, Oracle, Microsoft Exchange, IIS, Apache, SAP R/3, сетевое оборудования, включая WiFi и пр.). Также, частные политики могут содержать требования по настройке специализированных средств ИБ (Cisco PIX, CheckPoint Firewall, средства PKI, криптографической защиты, средства антивирусной защиты, резервного копирования и пр.).
В общем случае порядок проведения работ следующий:
- Сбор и анализ информации по используемым технологиям и существующим процессам ИБ.
- Анализ существующей нормативно-технической базы по ИБ Заказчика. Анализ применимости требований международных стандартов и рекомендаций, рекомендаций производителей к ИТ-инфраструктуре Заказчика.
- Формирование совокупности требований и правил по ИБ для различных технологий и областей деятельности.
- Разработка комплекта политик ИБ.
Результатом работы будет являться комплект политик ИБ, где каждый документ будет содержать:
- Цель документа и область его действия.
- Требования к вводу в действие, эксплуатации и выводу из эксплуатации той или иной технологии.
- Зоны ответственности за выполнения политики.
Инструкции, регламенты по ИБ
В отличие от концепции и политик, инструкции ИБ связаны непосредственно с конкретными ролями, а регламенты по ИБ - с процессами. Инструкции разрабатываются для определенных категорий персонала Заказчика (ролей). Инструкция должна содержать описание обязанностей, полномочий и ответственности, которые возлагаются на ту или иную роль, описание того, как данная роль осуществляет взаимодействие с другими ролями. Инструкции могут быть разработаны, например, для администраторов ИБ, аудиторов ИБ, аналитиков ИБ и пр. Отдельно, могут разрабатываться разделы по ИБ в инструкции для корпоративных пользователей и сотрудников ИТ службы. Регламенты предназначены для того, чтобы формализовать процессы, связанные с обеспечением ИБ и определить роли, ответственные за корректную организацию того или иного процесса. Регламенты могут быть разработаны для:
- процессов резервного копирования и восстановления;
- антивирусной защиты;
- выпуска, эксплуатации и отзыва криптографических ключей;
- управления учетными записями пользователей;
- обработки инцидентов ИБ;
- обработки нештатных/чрезвычайных ситуаций и пр.
В общем случае порядок проведения работ следующий:
- Сбор и анализ информации о существующей организационно-штатной структуре, ответственной за обеспечение ИБ.
- Формализация действующих у Заказчика процессов, связанных с обеспечением ИБ.
- Выявление расхождений существующего распределения обязанностей и действующих процессов с концепцией и политиками ИБ, лучшими практиками (best practices).
- Разработка комплекта инструкций и регламентов по ИБ.
Результатом работы будет являться комплект инструкций и регламентов по ИБ. Структура и содержание каждого документа определяется его спецификой.
Разработка программы повышения осведомленности в области ИБ
Создание комплекта организационного обеспечения по ИБ является необходимым, но не всегда достаточным условием для построения системы ИБ. Положения организационных документов могут не работать из-за непонимания, нежелания сотрудников их выполнять или из-за того, что сотрудник просто не знаком с ними. Ряд сотрудников может не считать вопросы ИБ важными, не понимать, к каким последствиям для компании может привести халатное отношение к вопросам ИБ. Обеспечение ИБ требует, чтобы в этот процесс были вовлечены все сотрудники компании. Начиная с высшего руководства и заканчивая рядовыми пользователями. Основной целью разработки программы осведомленности является формирование механизма донесения требований ИБ до всех категорий сотрудников компании и контроля за информированностью сотрудников. Все сотрудники должны понимать свои обязанности и ответственность за обеспечение ИБ.
В общем случае порядок проведения работ следующий:
- Определение областей ИБ, в которых необходимо повысить осведомленность сотрудников.
- Сбор и анализ действующих в компании организационных документов по ИБ, информация из которых должна быть доведена до сотрудников.
- Разработка требований ИБ в тех областях, по которым у Заказчика отсутствуют нормативные документы.
- Формирование программы осведомленности.
Результатом работы будет являться:
- Отчет "Программа осведомленности сотрудников по вопросам ИБ", содержащий: перечень требований по ИБ, категории сотрудников, для которых предназначена программа, порядок реализации программы и способы доведения и контроля выполнения требований и пр.
- Курсы по информационной безопасности в формате Microsoft PowerPoint по различным областям ИБ. Контрольный список вопросов для каждого курса для контроля усвоения материала.
- Могут создаваться маркетинговые материалы: листовки, постеры, флеш-ролики, видео-ролики.
Логическим продолжением услуги по разработке программы осведомленности являются работы:
- Тесты на проникновение
- Оценка эффективности программы повышения осведомленности в области ИБ
Проектирование и внедрение систем защиты
Для обеспечения высокого уровня защиты от актуальных угроз, система управления информационной безопасностью должна включать в себя как технические, так организационные механизмы. Разнообразие вариантов нанесения ущерба владельцу ИС и повышение общего уровня потенциального злоумышленника требует использование всё более и более сложных средств защиты. В связи с этим интеграция различных продуктов по обеспечению безопасности защиты в единую управляемую систему является сложной инженерной задачей. Компания Positive Technologies выполняет работы по проектированию и внедрению систем обеспечения безопасности различных компонентов ИС. В ходе проектирования максимально задействуются встроенные защитные механизмы ОС, СУБД и прикладных систем, что позволяет реализовать преимущества концепции "Эшелонированной защиты" (Defense in Depth) с минимальными затратами. Выбор дополнительных средств защиты, предлагаемых Заказчику обосновывается на различных показателях. Но не в последнюю очередь он зависит от результатов, которые эти средства показали в ходе тестирования на проникновение.
В ходе работы могут быть затронуты различные компоненты СУИБ, такие как:
- Подсистема защиты периметра сетевой безопасности.
- Защита систем электронной почты, защиты от вирусов и СПАМа.
- Обеспечение безопасности рабочих станций и мобильных клиентов.
- Безопасность беспроводных сетей.
- Защита Web-приложений.
- Системы обнаружения и предотвращения атак.
- Системы корреляции и анализа событий ИБ.
Оптимизация сетевой инфраструктуры
Зачастую сетевая инфраструктура предприятия не соответствует требованиям по обеспечению безопасности. Причин такого положения множество, например стихийное развитие сети, отсутствие учета требований ИБ при ее проектировании. Однако сетевая инфраструктура - основа информационной системы и база для обеспечения её бесперебойной и безопасной эксплуатации. Компания Positive Technologies предлагает услуги по оптимизации сетевой инфраструктуры на основе на оборудования Cisco с целью повышения защищенности. Услуга позволяет:
- получить текущую схему сети и экспертную оценку её защищенности;
- сформировать перспективную схему с учетом требований ИБ;
- задействовать встроенные и дополнительные защитные механизмы сетевого оборудования;
- оценить информационные потоки в сети, спроектировать политику фильтрации трафика;
- разработать документы, регламентирующие защиту сетевой инфраструктуры (требования по сетевой безопасности, стандарты и инструкции по настройке сетевого оборудования, политики фильтрации трафика и т.д.).
В общем случае порядок проведения работ следующий:
- Построение текущей схемы сети:
- анализ существующей схемы сети, проектной документации;
- анализ настроек (конфигураций) сетевого оборудования, данных систем управления сетевым оборудование (HP OpenView, Cisco Works и т.п.);
- актуализация схемы сети (проведение проверок, позволяющих выяснить соответствие полученной схемы сети существующему положению);
- Построение схемы информационных потоков:
- инвентаризационное сканирование;
- анализ сетевого трафика в различных точках сети;
- анализ журналов активного сетевого оборудования.
- Проведение работ по настройке сетевого оборудования
- Подготовка отчета
Результатом работы будет являться отчет, содержащий:
- текущую схему сети AS IS, включающую:
- схему канального и физического уровня (коммутация оборудования, VLAN);
- логическую схему маршрутизации трафика;
- схему информационных потоков.
- замечания и рекомендации по текущей схеме;
- рекомендации по настройке сетевого оборудования;
- перспективная схема сети с учетом замечаний;
- описание политик фильтрации трафика в виде таблиц и списков контроля доступа (ACLS);
- согласованный перечень нормативных документов (требования по сетевой безопасности, стандарты и инструкции по настройке сетевого оборудования, политики фильтрации трафика).