Автор работы: Пользователь скрыл имя, 04 Июня 2013 в 23:10, курсовая работа
Как правило, в мировой практике такой документ называется политика безопасности организации, но в нашей стране до недавнего времени не было четких требования к документу такого рода.
Актуальность разработки политики безопасности возникла с формированием новейшей нормативно-правовой базой в области информационной безопасности: ГОСТ 15408-02, ГОСТ 15.002-00, а также ожидаемой отечественной редакцией ISO 17799. Объектом исследования является политика безопасности организации.
Цель работы исследование и разработка политики безопасности организации с учетом новейших нормативных баз.
Введение………………………………………………………………..….3
Политика безопасности: основное содержание………………...…5
Новые нормативные требования, касающиеся политики безопасности организации………………………………...……5
ГОСТ 15408 – «Критерии оценки безопасности информационных технологий»…………………………………6
ISO 17799 – Неформальный подход к разработке политики безопасности…………………………………………….……….8
Пример структуры неформальной политики безопасности…………………………….………….…….…….12
Формализация положений политики безопасности……….……14
Средства управления и идентификация системы……………14
Функциональные средства………………………….…………15
Технические средства………………………………………….17
Разработка политики безопасности организации: средства автоматизации…………………………….…………….……………19
Особенности разработки политики безопасности …….……..19
Система COBRA………………………………………………..21
Кондор: ISO 17799……………………………………………..26
CC Toolbox: автоматизация разработки формальной политики безопасности……………………………….….……29
Заключение……………………………………….….…….…………….31
Библиографический список………………………………….………..33
3. Действия, связанные с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданий по безопасности.
4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации.
В настоящее время на рынке отсутствуют системы, которые предоставляли бы исчерпывающие средства для автоматизации всех перечисленных аспектов разработки политики безопасности. Наиболее широко представлены средства для автоматизации анализа рисков, а также для проверки соответствия информационной системы компании положениям того или иного стандарта.
Именно на последних системах в силу их относительной новизны, а также с учетом роли, которую они потенциально могут сыграть для популяризации соответствующих стандартов, стоит остановиться подробнее.
3.2. Система COBRA
Наиболее известный программный продукт, предназначенный для проверки выполнения требований стандарта ISO 17799, – это система COBRA производства компании C & A Systems Security Ltd. Помимо анализа соответствия информационной системы компании положениям стандарта, система обеспечивает также автоматизацию проведения анализа рисков.
Оценка соответствия системы положениям стандарта ISO 17799 производится следующим образом. Пользователю предлагается ответить на ряд вопросов из следующих групп (рис. 2):
Рисунок 2. – Группы вопросов, на основании которых производится оценка соответствия системы по стандарту ISO 17799
1. Классификация активов и управление ими. Под активами в данном случае понимаются материальные и информационные ценности, рассматриваются вопросы их учета и классификации.
2. Планирование непрерывности ведения бизнеса. Рассматриваются вопросы разработки планов непрерывного ведения бизнеса, их тестирования и распределения ответственности.
3. Управление компьютерами и операциями. Выделяется широкий перечень вопросов, связанных с управлением процессами и сервисами безопасности.
4. Соответствие. Рассматриваются вопросы соответствия информационной инфраструктуры различного рода требованиям, инструкциям и рекомендациям.
5. Безопасность персонала. Рассматриваются вопросы распределения ответственности по реализации положений политики безопасности между сотрудниками, а также порядок приема сотрудников.
6. Физическая безопасность и безопасность среды. Рассматриваются вопросы организации физической защиты на территории предприятия, охраны, контроля физического доступа, энергетической и противопожарной безопасности.
7. Организация безопасности.
Рассматриваются вопросы организации службы информационной безопасности на предприятии – в частности, создания форумов по безопасности, а также порядок взаимодействия со сторонними экспертами по безопасности и распределение ролей в ходе реализации мероприятий по защите информации между сотрудниками.
8. Политика безопасности. Вопросы данного раздела преследуют цель определить положение политики безопасности в системе мер по обеспечению информационной безопасности организации, а также позволяют оценить структуру этого документа и его применяемость на практике.
9. Управление доступом к системе. Рассматриваются вопросы контроля и разграничения доступа, а также категорирования защищаемой информации.
10. Разработка и поддержка системы. Рассматриваются вопросы обеспечения информационной безопасности системы на протяжении всего жизненного цикла. В частности, оцениваются применяемые технологии анализа рисков. Для ответа на очередной вопрос предлагается выбрать либо один, либо несколько возможных вариантов (рис. 3).
Рисунок 3. – Вопрос, предполагающий выбор единственного ответа.
Для значительной части вопросов имеются комментарии, поясняющие используемые понятия. На основании сведений, полученных в ходе выполнения всех вопросников или некоторой их части, COBRA автоматически генерирует отчет (рис. 4):
Рисунок 4. – Отчет, генерируемый системой COBRA
Структура отчета.
1. Введение. Содержит общую информацию о сгенерированном отчете.
2. Обзор проверки соответствия. В разделе детализируется информация об использованном вопроснике, выделяются использованные модули и категории вопросов.
3. Анализ несоответствий. Раздел содержит исчерпывающий анализ выявленных несоответствий с указанием ссылок на соответствующие разделы стандарта ISO 17799.
4. Требования по улучшению. Приводятся рекомендации по устранению обнаруженных несоответствий.
5. Перечень вопросов и ответов. Раздел содержит перечень вопросов, которые были использованы при построении отчета, и соответствующих ответов.
Проведенный анализ показывает, что система COBRA действительно позволяет реализовать исчерпывающую проверку соответствия информационной системы положениям стандарта ISO 17799.
Однако необходимо подчеркнуть, что COBRA ни в коей мере не претендует на то, чтобы заменить собой эксперта в области информационной безопасности. Действительно, достоверность результатов анализа, проведенного с помощью COBRA, полностью определяется адекватностью ответов на вопросники, которые, в свою очередь, требуют глубокого понимания механизмов обеспечения информационной безопасности, а также архитектуры и особенностей реализации подлежащей оценке информационной системы. Тем не менее в руках специалиста COBRA может стать удобным инструментом, позволяющим значительно ускорить процесс разработки и реализации неформальной политики безопасности.
Спартанский интерфейс программы не отличается особой изысканностью, однако навигация в большинстве случаев достаточно удобна и интуитивно понятна.
Наиболее серьезным препятствием для распространения системы в России является ее англоязычность, которая во многих случаях исключает возможность непосредственного использования сгенерированных отчетов.
3.3. КОНДОР: ISO 17799
Программный комплекс КОНДОР (разработчик – компания Digital Security) является русскоязычным аналогом COBRA-подобной системы, также предназначенной для оценки соответствия информационной системы положениям стандарта ISO 17799. Концепции этих двух пакетов совершенно аналогичны: на основании ответов на вопросы генерируется отчет.
Вопросы структурированы в следующие разделы:
● политика безопасности;
● организационные меры;
● управление ресурсами;
● безопасность персонала;
● физическая безопасность;
● управление процессами;
● контроль доступа;
● непрерывность бизнеса;
● соответствие системы;
● разработка систем.
По глубине анализа КОНДОР несколько проще, чем COBRA. Кроме того, возможности по анализу рисков у текущей версии системы отсутствуют.
В текущей версии есть определенные некорректности, впрочем, принципиально не снижающие ценность продукта. Так, в блоке «Политика безопасности» можно на первый же вопрос ответить, что политика безопасности в организации отсутствует – но разговор на этом не будет закончен, придется описывать подробные характеристики этой политики безопасности. Соответственно, при построении диаграммы в отчете полученные данные анализируются исключительно с количественной точки зрения – в приведенном на рис. 6 примере требования к несуществующей политики безопасности скорее выполнены, чем не выполнены.
Рисунок 6. – Политика безопасности отсутствует, однако выполнена большая часть требований к ней
Наименее проработанным, на наш взгляд, компонентом системы КОНДОР является генератор отчетов. Собственно отчет (рис. 5) представляет собой перечень разделов стандарта с указанием тех из них, с которыми выявлено соответствие.
Рисунок 5. – Отчет, сгенерированный системой КОНДОР
К некоторым из положений стандарта доступны краткие комментарии. Также имеется возможность построения диаграмм, показывающих степень соответствия системы требованиям стандарта. Какие либо рекомендации или выводы частично отсутствуют, что несколько снижает эффективность использования подобного рода отчетов.
Отдельной критики заслуживает интерфейс программы. Просмотр отчета достаточно неудобен и требует навигации в четырех направлениях, то же самое можно сказать о справочной системе.
При всем при этом, к очевидному достоинству системы КОНДОР по сравнению с COBRA является русскоязычный интерфейс.
3.4. CC Toolbox: автоматизация разработки формальной политики безопасности
Рассмотренные системы ориентированы исключительно на проверку соответствия требованиям стандарта ISO 17799, что соответствует неформальному уровню разработки политики безопасности. Формальный уровень, в свою очередь, предполагает использование инструментария КОБИТ, и наиболее известным средством автоматизации в данном случае является пакет CC Toolbox.
Общий вид интерфейса пакет CC Toolbox представлен на рис. 7.
Рисунок 7. – Интерфейс системы CCTools
Система обеспечивает автоматизацию разработки двух типов документов:
● профилей защиты;
● заданий по безопасности.
Порядок работы с CC Toolbox во многом аналогичен продуктам COBRA и КОНДОР. Пользователю предлагается ответить на ряд вопросов, полностью специфицирующих все разделы профиля защиты или задания по безопасности.
На основании информации, полученной из анализа ответов на вопросы, генерируется соответствующий документ, который может быть экспортирован в html-формат или распечатан.
Поскольку требования КОБИТ в отличие от ISO 17799 являются формальными, проблемы полноты вопросников не возникает. Выбор компонентов КОБИТ осуществляется интуитивно понятным образом и в естественном порядке. Принятая концепция позволяет учитывать логические связи между разделами документа, что позволяет эффективным образом вносить изменения в процессе разработки профиля защиты или задания по безопасности.
Итак, пакет CC Toolbox может быть с успехом использован при формализации политики безопасности. Единственным ограничением является опять-таки англоязычность пакета. Однако с учетом аутентичности перевода отечественной версии КОБИТ можно предположить, что разработка русскоязычной версии не составит особого труда. Разработка такой версии продукта могла бы самым благоприятным образом повлиять на ход внедрения ГОСТ Р ИСО/МЭК 154082002 в нашей стране.
Заключение
На неформальном описательном уровне политики безопасности организации может быть успешно разработана на основании стандарта ISO 17799. Однако, хотя в ряде случаев результаты такого подхода оказываются вполне достаточными для координации мероприятий по комплексному обеспечению информационной безопасности организации, зачастую требуется формальное определение требований политики безопасности. Преимущества формального подхода очевидны:
● формальные положения политики безопасности допускают исчерпывающий анализ их полноты и непротиворечивости;
● облегчается процесс проверки соответствия объекта оценки положениям политики безопасности.
В качестве базы для формализации положений политики безопасности целесообразно выбрать КОБИТ. Указанный мета-стандарт содержит исчерпывающий комплекс требований, которые могут быть успешно использованы для построения разного рода стандартов, а значит, и для формализации неформально изложенных требований политики безопасности. Структура соответствующего документа ничем не регламентируется, однако целесообразно представлять политику безопасности организации как Профиль защиты объекта оценки «Информационная инфраструктура организации». Конкретные же инструкции по реализации положений политики безопасности можно рассматривать как Задание по безопасности этого же объекта оценки.
В настоящее время на рынке отсутствуют системы, которые предоставляли бы исчерпывающие средства для автоматизации всех аспектов разработки политики безопасности. Наиболее широко представлены средства для автоматизации анализа рисков, а также для проверки соответствия информационной системы компании положениям того или иного стандарта.
Со становлением новейшей нормативной базы информационной безопасности сформировались основные требования к политики безопасности как концептуальному и общеорганизационному документу по информационной безопасности организации. Детальные требования к содержанию политики безопасности будут определены с выходом в свет отечественного прототипа стандарта ISO 17799, а также «Общей методологии оценки безопасности информационных технологий», однако вступивший в силу в текущем году ГОСТ 15408 предоставляет средства формализации основных положение политики безопасности.
Кроме того, в распоряжении экспертов уже имеется линейка инструментальных средств, позволяющих автоматизировать ряд формальных операций по разработке политики безопасности. Дальнейшее развитие подобных продуктов должно стать одним из факторов, способствующих успешному применению новейшей нормативно-правовой базы в области обеспечения информационной безопасности.
Библиографический список
Информация о работе Разработка политики безопасности организации в свете новейшей нормативной базы