НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и рекомендательный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 2. Стандарт ISO 27001:2005 как основа для построения комплексной системы информационно безопасности.

Рассмотрим построение системы информационной безопасности, которые реализуются техническими средствами. Для того, чтобы определить какие системы нам необхоимы, воспользуемся стандартом ISO 27001:2005.
Ниже в таблице приведены наименования требований с определением системы реализующей данной требование.

Применение стандарта ISO 27001:2005
№ по ISO 27001 Наименование требования Описание требования Система, реализующая требования
А.8.3.3 Лишение прав доступа После окончания срока действия трудового контракта или соглашения права доступа всех штатных сотрудников, подрядных и сторонних организаций к информации и средствам обработки информации должны быть ликвидированы либо настроены в соответствии с новой должностью. Система управления правами доступа. Реализуется с помощью программного обеспечения компании Varonis DatAdvantage, DataPrevilege.
A.10.2.2 Мониторинг и проверка работы третьих лиц Работы, отчёты и записи, выполняемые третьими лицами должны постоянно контролироваться и проверяться, необходимо регулярно проводить аудиты. Система контроля за действия ми пользователей и привилегированных пользователей. Реализуется с помощью программно-аппаратного комплекса Balabit.
А.10.10.4 Регистрация действий администраторов и операторов Необходимо регистрировать все действия системного администратора и системных операторов. Система контроля за действия ми пользователей и привилегированных пользователей (Balabit). Система контроля пользователей (Spector360). Хостовая часть DLP систем, реализованная агентами (зависит от политики и функционала DLP систем: IWTM+IWDM)
А.10.6.2 Безопасность сетевых служб Необходимо определить особенности защиты, уровни безопасности и требования менеджмента для всех сетевых служб, а также включать их в любые договоры оказания услуг связи, независимо от того, обеспечена работа этих служб силами организации либо внешними источниками. Система защиты сетевых сервисов от атак на отказ в обслуживании (DDoS Prevention). Антивирусная защита серверного сегмента и сегмента компьютеров пользователй.
A.10.8.1 Политики и процедуры обмена информацией Необходимо предусмотреть политики, строгие процедуры и средства управления обменом информации, чтобы защитить данные при использовании различных средств связи. Система контроля интернет трафика. Данный пункт представляет собой правила, по которым должна быть настроена данная система. Программно-аппаратный комплекс компании Инфовотч и Websense.
A.10.8.4 Электронный обмен сообщениями Необходимо соответствующим образом защищать передаваемую в электронных сообщениях информацию. Данное требование реализуется с помощью использования систем:
  1. Система защиты каналов передачи данных, реализуется с помощью программно-аппаратного комплекса построения VPN туннелей.
  2. Система шифрования конфиденциальных данных, реализуются с помощью программно-аппаратного комплекса Oracle IRM.
A.10.10.4 Регистрация действий администраторов и операторов Необходимо регистрировать все действия системного администратора и системных операторов. Система контроля за действия ми пользователей и привилегированных пользователей. Реализуется с помощью программно-аппаратного комплекса Balabit.
А.10.10.5 Регистрация ошибок Необходимо регистрировать и анализировать ошибки, предпринимать соответствующие меры. Cистема управления событиями и информацией о безопасности (SIEM RSA envision).
А.11.2.1 Регистрация пользователей Должна иметь место формальная процедура регистрации и отмены регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и сервисам. Система управления правами доступа. Реализуется с помощью программного обеспечения компании Varonis DatAdvantage, DataPrevilege.
A.11.2.2 Управление привилегиями Необходимо ограничивать и контролировать распределение и использование привилегий. Система управления правами доступа. Реализуется с помощью программного обеспечения компании Varonis DatAdvantage, DataPrevilege.
А.11.2.3 Управление паролями пользователей Необходимо предусмотреть строгую процедуру управления назначением паролей. Система управления правами доступа. Реализуется с помощью программного обеспечения компании Varonis DatAdvantage, DataPrevilege.
A.11.2.4 Пересмотр прав доступа пользователей Руководство должно регулярно пересматривать права доступа пользователей, следуя формальной процедуре. Система управления правами доступа. Реализуется с помощью программного обеспечения компании Varonis DatAdvantage, DataPrevilege.
A.11.7.1 Мобильная вычислительная техника и коммуникации Необходимо предусмотреть строгую политику безопасности, а также принять соответствующие мероприятия по безопасности для защиты от рисков, связанных с использованием средств мобильной вычислительной техники и коммуникации. Система контроля за мобильными устройствами. Реализуется с помощью программно-аппаратного обеспечения MobileIron и компонента endpoint программно-аппаратного комплекса Websense.
А.12.2.3 А.12.2.3 Целостность сообщений Необходимо идентифицировать требования для обеспечения достоверности и защиты целостности сообщений в приложениях, а также идентифицировать и внедрить соответствующие средства управления. Системы ЭЦП (КриптоПро CSP).
A.12.5.4 Утечка информации Необходимо предотвратить возможности для утечки Данное требование реализуется с помощью использования систем:
  1. Система шифрования конфиденциальных данных, реализуются с помощью программно-аппаратного комплекса Oracle IRM.
  2. Система контроля интернет трафика. Данный пункт представляет собой правила, по которым должна быть настроена данная система. Программно-аппаратный комплекс компании Инфовотч и Websense.
A.12.6.1 Контроль технических уязвимостей Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценить подверженность организации воздействию данных угроз, а также принять соответствующие меры по сокращению связанных с ними рисков. Система контроля технических уязвимостей. Реализуется с использованием программно-аппаратного комплекса MaxPatrol.
A.13.1.1 Оповещение о событиях информационной безопасности Необходимо максимально быстро по соответствующим каналам передавать руководству информацию о событиях в информационной безопасности. Система управления событиями и информацией о безопасности (SIEM). Реализуется с использованием программно-аппартаного комплекса RSA enVision.
A.13.1.2 Оповещение об уязвимостях защиты Необходимо требовать от всех штатных сотрудников, подрядных и сторонних организаций, работающих с информационными системами и службами, отслеживания и уведомления о наблюдаемой или подозрительной неустойчивости безопасности в информационных системах, службах. Система контроля технических уязвимостей. Реализуется с использованием программно-аппаратного комплекса MaxPatrol.
A.13.2.3 Сбор улик В случаях, когда наказание индивида либо организации за случившийся инцидент безопасности требует правового вмешательства (либо привлечения к административной или уголовной ответственности), необходимо произвести сбор улик, сохранение их и представление их в соответствии с правилами сбора доказательств, установленными в соответствующих органах правосудия. Данное требование закрывается системами:
  1. Система контроля за действия ми пользователей и привилегированных пользователей. Реализуется с помощью программно-аппаратного комплекса Spector 360 и Balabit.
  2. Система контроля интернет трафика. Данный пункт представляет собой правила, по которым должна быть настроена данная система. Программно-аппаратный комплекс компании Инфовотч и Websense.

В сухом остатке, мы получаем список подсистем информационной безопасности, которые необходимо реализовать, чтобы соответствовать стандарту ISO 27001:2005 и реализовать концепцию построения системы информационной безопасности.
Список подсистем ниже:



Николай Ткаченко, 2015 г.