Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

Комплект типовых документов по информационной безопасности

Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

  1. GTS 0001 Политика информационной безопасности
  2. GTS 0002 Концепция обеспечения информационной безопасности
  3. GTS 0003 Положение о службе информационной безопасности
  4. GTS 0004 План защиты информационных активов от несанкционированного доступа
  5. GTS 0005 Правила обеспечения безопасности при работе пользователей в корпоративной сети
  6. GTS 0006 План обеспечения непрерывности бизнеса и Аварийные процедуры
  7. GTS 0007 Политика резервного копирования и восстановления данных
  8. GTS 0008 Политика управления доступом к ресурсам корпоративной сети
  9. GTS 0009 Политика управления инцидентами информационной безопасности
  10. GTS 0010 Политика обеспечения безопасности удаленного доступа
  11. GTS 0011 Политика обеспечения безопасности при взаимодействии с сетью Интернет
  12. GTS 0012 Политика антивирусной защиты
  13. GTS 0013 Парольная политика
  14. GTS 0014 Политика аудита информационной безопасности
  15. GTS 0015 Политика контроля состояния СУИБ со стороны руководства
  16. GTS 0016 Политика контроля эффективности СУИБ
  17. GTS 0017 Процедура планирования и реализации превентивных и корректирующих мер
  18. GTS 0018 Политика обеспечения безопасности платежных систем организации
  19. GTS 0019 Политика установки обновлений программного обеспечения
  20. GTS 0020 Руководство по защите конфиденциальной информации
  21. GTS 0021 Процедура управления документами и записями
  22. GTS 0022 Регламент использования мобильных устройств
  23. GTS 0023 Регламент работы с цифровыми носителями конфиденциальной информации
  24. GTS 0024 Политика контроля защищенности корпоративной сети
  25. GTS 0025 Политика инвентаризации информационных активов
  26. GTS 0026 Политика обеспечения физической безопасности помещений и оборудования
  27. GTS 0027 Политика обеспечения пропускного и внутриобъектового режима
  28. GTS 0028 Политика в области обучения и повышения осведомленности персонала по ИБ
  29. GTS 0029 Политика обеспечения ИБ при взаимодействии с третьими сторонами
  30. GTS 0030 Политика предотвращения утечки информации по каналам связи
  31. GTS 0031 Политика обеспечения безопасности электронного документооборота
  32. GTS 0032 Политика обеспечения целостности информационных активов
  33. GTS 0033 Технический стандарт безопасности ИТ-инфраструктуры
  34. GTS 0034 Политика регистрации и мониторинга событий ИБ
  35. GTS 0035 Политика обеспечения безопасности при разработке ПО
  36. GTS 0036 Политика обеспечения безопасного хранения защищаемой информации
  37. GTS 0037 Регламент администрирования сетевого оборудования

Типовые документы для внедрения системы управления информационной безопасностью организации

В основе организационных мер защиты информации лежат политики безопасности. В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова.

В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации.

В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения безопасности при взаимодействии с сетью Интернет» и т.п.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующий высокого профессионализма, отличного знания нормативной базы в области безопасности и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.

Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения политик безопасности. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально.

Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет, они зачастую являются непригодными для практического использования.

Мы предоставляем набор регулярно обновляемых шаблонов типовых организационно-распорядительных документов в формате MS Word, которые могут использоваться для разработки локальной нормативной базы организации в области информационной безопасности (политик, инструкций, концепций, положений, стандартов, регламентов и т.п.). Все предлагаемые документы успешно прошли стадию практического внедрения.

Эти документы необходимы любой организации для разработки локальной нормативной базы в области информационной безопасности (политик, процедур, инструкций, концепций, положений, стандартов, регламентов, планов, протоколов и т.п.

) при внедрении системы управления информационной безопасностью, документировании процессов и требований безопасности, распределении ролей и назначении ответственных за безопасность.

Все разрабатываемые GlobalTrust документы в обязательном порядке проходят практическую апробацию и являются завершенными рабочими документами.

Особенности второй редакции комплекта GTS 1035 v2

Вторая редакция комплекта типовых документов по информационной безопасности GTS 1035 v2, доступная для приобретения с начала 2015 года, существенным образом усовершенствована и дополнена по сравнению с предыдущими редакциями, в том числе:

  • Исправлены ошибки, улучшена структура и оформление документов
  • Унифицирован понятийный и терминологический аппарат
  • Актуализировано и дополнено содержание документов с целью приведения их в соответствие с современными нормативными документами и стандартами ИБ
  • Добавлено более десятка новых современных политик безопасности и приложений к ним
  • Учтены замечания и предложения, полученные от клиентов GlobalTrust

Приобретение комплектов документов

Приобрести комплект документов по информационной безопасности GTS 1035 v2, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине GTrust.ru. Поставка документов осуществляется в электронном виде в формате MS Word на CD-ROM или по e-mail.

Поддержка внедрения

Мы обеспечиваем полную поддержку внедрения системы управления информационной безопасностью (СУИБ) организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Онлайн поддержка внедрения и консультации по документам на форуме портала ISO27000.ru

Правила лицензирования

Лицензирование шаблонов типовых документов по информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Источник: http://globaltrust.ru/ru/produkty/komplekty-dokumentov-po-informacionnoi-bezopasnosti/tipovye-organizacionno-rasporyaditelnye-dokumenty-po-informacionnoi-bezopasnosti

S3R

Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Information technology. Security techniques. Part 1. Concepts and models for information and communications technology security management.

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. Information technology. Security techniques. Part 3. Techniques for the management of information technology security.
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология.

Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер. Information technology. Security techniques. Part 4. Selection of safeguards.
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети. Information technology. Security techniques. Part 5.

Management quidance on network security.
ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности. Financial services. Information security guidelines.
ГОСТ Р ИСО/МЭК 15026-2002 Информационная технология. Уровни целостности систем и программных средств. Information technology. System and software integrity levels.

ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model.
ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология.

Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements.
ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements.
ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности.

Information technology. Security techniques. Guide for the production of protection profiles and security targets.
ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью. Information technology. Code of practice for information security management.
ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология.

Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. Information technology. Security techniques. Information security incident management.
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. Information technology. Security techniques.

Methodology for IT security evaluation.
ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems.
ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности. Требования. Information technology. Security techniques. Information security management systems. Requirements.
ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology.

Security techniques. Requirements for bodies providing audit and certification of information security management systems.
Р 50.1.056 Техническая защита информации. Основные термины и определения.
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Computers technique.

Information protection against unauthorised access to information. General technical requirements.
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions.
ГОСТ Р 50922-96 Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions.
ГОСТ Р 51188-98 Защита информации.

Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Information security. Software testing for the existence of computer viruses. The sample manual.
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Protection of information. Object of informatisation. Factors influencing the information.

General.
ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Protection of information. Object of informatization. Factors influencing on information. General outlines.ГОСТ 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении.ГОСТ Р 51624-2000 Автоматизированные системы в защищенном исполнении.

Общие положения.

ГОСТ Р 51725.6-2002 Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности. Catalogization of products for federal state needs. Telecommunication networks and data bases. Requirements of information security.

ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты. Safety aspects. Guidelines for their inclusion in standards.
ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения. Safety of information. System of standards. Basic principles.
ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура показателей качества. Information protection. Information protection technology. Nomenclature of quality indices.
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. Information protection. Providing the security of networks telecommunications. General provisions.
ГОСТ Р 52633.0-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. Information protection. Information protection technology. Requirements to the means of high-reliability biometric authentication.
ГОСТ Р 52633-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. Information protection. Information protection technology. Requirements to the means of high-reliability biometric authentication.ГОСТ Р 52633.1-2009 Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации.ГОСТ Р 52633.2-2010 Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации.

ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования. Protection of information. Protective automatically systems. Testing for stability to intentional power electromagnetic influence. General requirements.

ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security.
ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods.
ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 1. General principles.
ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks.
ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions.
ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques.

 Национальные стандарты по криптографической защите информации

ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. Information technology. Cryptographic data security.

Formation and verification processes of [electronic] digital signature.
ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования. Information technology. Cryptographic data security. Hashing function.
ГОСТ 34.311-95 Информационная технология. Криптографическая защита информации. Функция хэширования. Information technology.

Cryptographic Data Security. Сashing function. 

Отраслевые стандарты информационной безопасности

Стандарты Банка России

СТО БР ИББС-1.0-2010 Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.
СТО БР ИББС-1.1-2007 Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Аудит информационной безопасности.
СТО БР ИББС-1.2-2010 Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям.

Подборка ГОСТов, российских национальных (государственных) и отраслевых стандартов в области информационной безопасности (© ЗАО НПО Эшелон, 2010 г.)

Possibly Related Posts:

Источник: https://s3r.ru/2010/10/standarty/security/

Регламент по обеспечению информационной безопасности

Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

Создание системы информационной безопасности в компании требует принятия регламентов, которыми будут определяться действия пользователя как во время стандартных бизнес-процессов, так и в чрезвычайных ситуациях.

Такие регламенты и положения решают несколько задач – упорядочивают работу с информацией, ложатся в основу политик безопасности DLP-систем, а в случае их нарушения конкретным сотрудником факт ознакомления с ними станет безусловным основанием для привлечения к ответственности.

Чем обусловливается необходимость принятия регламента

Нормативные акты в России не настаивают на обязательном принятии регламента информационной безопасности, это решение является инициативой компании, желающей повысить степень сохранности данных в информационной системе. Для обеспечения корректной работы DLP-системы содержащиеся в ней политики безопасности должны отражать нормы регламента.

В рамках аудита перед установкой системы бизнес-процессы, описанные в регламенте, могут быть исследованы с точки зрения целесообразности и, возможно, частично оптимизированы, чтобы избежать лишних трансакций.

Так, получение письменного согласия руководства и службы безопасности на передачу информации по каналам электронной почты может быть заменено на нажатие одной кнопки в системе электронного документооборота.

Структура регламента

Разрабатывая регламент информационной безопасности, каждая компания учитывает особенности процессов производства и информационной инфраструктуры, архитектуры системы.

У банка, внутренняя система которого не может иметь выход в Интернет и правила работы сотрудников которого устанавливаются стандартами Центрального банка РФ, и теплоэлектростанции, где основная задача информационной системы – поддержание безопасности, по-разному будет устроена модель взаимодействия сотрудников с рабочими станциями и сетями.

Будут различаться и регламенты. Для небольшой фирмы, работающей в торговле или сфере услуг, разрабатываемый ими регламент информационной безопасности будет иметь стандартизированную структуру.

Общие положения и основные обязанности пользователя

В этом разделе раскрываются основные понятия, используемые в документе, нормативно-правовые акты, на которые опирались разработчики, готовя документ, обязанности сотрудников по обеспечению безопасности.

Обычно именно в этом разделе прописана ответственность за соблюдение норм регламента и за обеспечение сохранности конфиденциальной информации.

Это крайне важно, так как работники, не уведомленные об обязанности по защите коммерческой тайны, конфиденциальной информации и иных сведений, имеющих особый режим доступа, могут передавать ее третьим лицам как намеренно, так и нет, оказавшись жертвой специалистов по социальной инженерии.

Требования информационной безопасности не могут быть выполнены, если работники не уведомлены о них под роспись. 

Среди иных возможных обязанностей сотрудников компаний и работников IT-подразделений:

  • исключать возможность доступа третьих лиц к документам, содержащим конфиденциальную информацию;
  • не использовать чужие средства идентификации и не передавать никому свои, не входить в систему под чужим логином;
  • соблюдать установленные уровни допуска к информации;
  • не переписывать на съемные носители конфиденциальные данные без санкции руководителя, не передавать их по любым каналам связи, не раскрывать лицам, не имеющим соответствующего уровня доступа; 
  • соблюдать требования и правила по работе со средствами технической защиты, в том числе со средствами криптографической защиты;
  • контролировать состояние автоматизированного рабочего места, сообщать СБ обо всех ситуациях, имеющих характер инцидентов информационной безопасности, а именно: нарушении целостности пломб, свидетельствующем о попытке проникнуть в охраняемую зону, некорректном срабатывании антивирусной защиты, нарушениях в работе программного обеспечения, выявленных изменениях файлов, выходе из строя периферийных устройств;
  • обеспечивать отсутствие на своем АРМ самостоятельно установленных программ;
  • исключать копирование любых файлов или текстовой информации в любых целях без получения санкции руководителя.

Этот перечень правил не является исчерпывающим. Часто в целях обеспечения информационной безопасности эти нормы выносят в отдельную инструкцию по работе с компьютерами и носителями информации, оставляя в регламенте только общие положения. 

Обеспечение антивирусной безопасности

Утечки информации благодаря целенаправленным хакерским атакам менее часты, чем ее хищение в целях осуществления конкурентной разведки, направленной на получение ценной информации о бизнесе компании. Но наиболее часто информация утрачивается, теряет целостность или попадает в руки третьих лиц благодаря действию вредоносных компьютерных программ – вирусов, троянов, логических бомб.

Поэтому целесообразно посвятить отдельный раздел регламента обеспечению антивирусной защиты.

В этом разделе необходимо рассмотреть:

  • основные пути и способы попадания зараженной вирусом информации в систему компании;
  • случаи, в которых пользователь вправе или обязан самостоятельно использовать антивирусную защиту и в которых он обязан сообщить об инциденте IT-подразделению, чтобы они могли принять решение в сфере своей компетенции;
  • действия, которые запрещены пользователю при работе со средствами антивирусной защиты, в частности, ее отключение.

Безопасность персональных данных

Если организация обрабатывает персональные данные сотрудников, клиентов или иных третьих лиц, нормативно-правовое регулирование такой обработки является достаточно строгим.

Выделение в регламенте по обеспечению информационной безопасности специального раздела, с одной стороны, окажется дублированием Положение об обработке персональных данных, с другой стороны, еще раз напомнит пользователю о серьезности задачи по сохранению их конфиденциальности.

В разделе могут содержаться следующие положения: 

  • основания доступа к информационным ресурсам и к обработке файлов, содержащих персональные данные. Обычно таким основанием является включение сотрудника в перечень лиц, имеющих право работать с персональными данными. Обеспечение ограничения допуска облегчает контроль за сотрудниками, которые могут удалять, изменять или разглашать информацию; 
  • обязанность работника изучать нормативно-правовые акты, посвященные вопросам защиты персональных данных, а также направленные на решение этой задачи технические средства и регламенты;
  • действия, которые запрещены сотруднику, допущенному к обработке ПД. Вносить изменения в конфигурацию компьютера или в программные продукты, обрабатывать персональные данные в присутствии третьих лиц, оставлять на рабочем месте документы или электронные носители информации, содержащие ПД, использовать ошибки в программах для распространения или изменения ПД;
  • меры ответственности, применяемые к лицам, допущенным к обработке персональных данных и благодаря действиям которых произошло их разглашение.

Работа в сети Интернет

Обеспечение информационной безопасности невозможно без соблюдения норм и правил по работе с Интернетом, электронной почтой, мессенджерами, иными каналами связи и передачи информации. В этом разделе устанавливаются разрешенные в компании способы использования Интернета, среди которых:

  • ведение сайта компании;
  • раскрытие информации о деятельности фирмы в случаях, предусмотренных федеральными законами;
  • информационно-аналитическая работа;
  • отправление почтовых сообщений. Чаще всего в компании устанавливают почтовый клиент, который позволяет отслеживать переписку.

В большинстве случаев и компаний иные способы использования Интернета должны согласовываться со службой безопасности или руководителем подразделения в целях обеспечения информационной безопасности.

Некоторые компании формируют пакеты ресурсов Интернета, доступные пользователям в соответствии с их служебным статусом.

Здесь же оговаривается применение средств антивирусной и иной технической защиты, обязанности по архивации почтового трафика, запрет на использование на рабочем месте ноутбуков или смартфонов с самостоятельным выходом в Сеть.

Иные нормы

В этом разделе могут быть описаны правила работы с ключами электронно-цифровой подписи, со съемными носителями информации, средствами защиты информации, особенности использования корпоративных ноутбуков вне информационного периметра компании.

Внесенные в этот раздел правила зависят от особенностей информационной системы и бизнес-процессов, например, от наличия специального программного обеспечения, требующего соблюдения установленных в компании стандартов при администрировании и работе, например, такие правила могут касаться передачи информации из 1С в системы управленческого учета.

Регламент всегда утверждается на уровне руководства компании. Целесообразно включить ссылки на него и необходимость его неукоснительного выполнения в должностные инструкции и трудовые договоры. Это повысит исполнительскую дисциплину сотрудников, осознающих, что они могут быть привлечены к ответственности за неполное обеспечение и несоблюдение норм регламента информационной безопасности. 

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/reglament-po-obespecheniyu-informatsionnoj-bezopasnosti/

Программные средства обеспечения информационной безопасности предприятий

Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

Наталия Елманова

Наиболее распространенные виды атак

Антивирусное программное обеспечение

Корпоративные брандмауэры

Средства обнаружения атак

О политике и стандартах безопаcности

Прогнозы аналитиков

Популярные корпоративные антивирусы, представленные на мировом и российском рынках

Популярные аппаратные и программные корпоративные брандмауэры

Популярные средства обнаружения атак

Настоящая статья представляет собой краткий обзор наиболее распространенных корпоративных средств обеспечения информационной безопасности, а именно: средств антивирусной защиты, брандмауэров и средств обнаружения атак.

Здесь не рассматриваются продукты, предназначенные для персонального применения, равно как и сопутствующие технологии и средства (например, средства аутентификации и криптографические инструменты), поскольку информацию о них можно найти в других статьях данного спецвыпуска.

нформационная безопасность — непременное условие нормального функционирования любой компании, так или иначе связанной с внешним миром.

Все большее число компаний используют Интернет как одну из составляющих своего бизнеса, вследствие чего постоянно возрастает роль аппаратных и программных средств как для обеспечения безопасного функционирования внутренних приложений компании в ее IT-инфраструктуре, так и для общей политики компаний в области безопасности.

При этом нередко бывает весьма сложно оценить экономический эффект от внедрения подобных средств, по крайней мере в сравнении с оценкой эффективности офисных приложений или систем управления предприятием.

Согласно классификации аналитической компании Butler Group (http://www.butlergroup.com/), средства обеспечения информационной безопасности предприятий можно разделить на три большие группы: средства антивирусной защиты, брандмауэры и средства обнаружения атак.

Если первые две категории средств применяются довольно широко, то последняя группа является относительно новой, хотя некоторые продукты, относящиеся к классу брандмауэров, содержат и средства обнаружения атак.

Ниже мы подробнее остановимся на каждой из этих категорий, но прежде перечислим возможные виды нарушений информационной безопасности.

Наиболее распространенные виды атак

Как правило, атаки направлены на получение административных привилегий с целью запуска определенных процессов и неправомерного использования корпоративных ресурсов1.

Атака может исходить как извне, так и изнутри, но независимо от ее источника первым шагом должен стать поиск уязвимых мест, позволяющих получить административные права.

К сожалению, подобные уязвимые места существуют во многих программных продуктах и нередко хорошо документированы.

Список возможных видов атак, которые могут использовать в своих целях «слабое звено» программного продукта, довольно широк — начиная с угадывания паролей и заканчивая атаками на Web-серверы и внедрением в Web-страницы объектов, содержащих исполняемый код (таких, как элементы управления ActiveX). К самым распространенным из них относятся:

  • переполнение буфера — неавторизованный пользователь направляет большое число запросов приложению, на которое производится атака, вследствие чего становится недоступной функциональность данного приложения, связанная с реакцией на запланированную одновременно с этим атаку. Хотя такой вид атаки известен очень давно, приложения, обладающие подобной уязвимостью, по-прежнему создаются;
  • использование стандартных паролей — этот вид рассчитан на то, что администратор сети или базы данных не изменил административных паролей, значение которых по умолчанию документировано и, следовательно, известно;
  • malware (malicious softeware) — использует специальное программное обеспечение, предназначенное для несанкционированного мониторинга сети, поиска уязвимых мест и выявления паролей;
  • вирусы — разновидность malware; это ПО, служащее, как правило, для разрушения данных либо для нарушения в работе сети и отличающееся способностью к саморазмножению. Нередко вирусы используются и для получения контроля над сетью или для несанкционированного доступа к ресурсам;
  • отказ в обслуживании (Denial of Service, DoS) — один из наиболее распространенных видов сетевых атак. Простейшая форма проявления подобной атаки — отказ от выполнения вполне легитимного запроса в связи с тем, что все ресурсы сети (либо функционирующего в ней программного обеспечения) заняты обслуживанием большого количества запросов, поступающих из других источников. Отметим, что следует не только защищать свою сеть от подобных атак, но и предотвращать возможность использования ее в качестве источника атаки на сети других компаний.

Обычно средства обеспечения информационной безопасности применяются в комплексе, поэтому во многих источниках нередко говорят не о конкретных продуктах, а о платформах безопасности — security platforms. Далее мы рассмотрим наиболее распространенные составные части таких платформ.

Антивирусное программное обеспечение

Антивирусное программное обеспечение предназначено для защиты предприятия от различных типов вирусных атак.

Поскольку сегодня передача вирусов происходит в основном посредством сообщений электронной почты, наиболее распространенной категорией корпоративного антивирусного ПО являются антивирусы для почтовых серверов, распознающие сигнатуры вирусов внутри сообщений.

Наряду с этим многие компании выпускают антивирусное ПО для файловых серверов, а также специализированное ПО, используемое Интернет-провайдерами.

Антивирусное ПО обязательно содержит следующие компоненты:

  • приложение для управления настройками;
  • средства сканирования файлов и поиска сигнатур вирусов;
  • база данных или библиотека, содержащая определения известных вирусов (заметим, что успешность функционирования антивирусного ПО зависит от регулярности обновления баз данных, содержащих определения вирусов).

По сведениям аналитической компании Gartner Group, лидерами рынка антивирусного программного обеспечения являются Network Associates, Symantec, TrendMicro.

Значительную роль на рынке играют и компании Sophos, Computer Associates, F-Secure.

Все указанные фирмы производят продукты для настольных систем, файловых серверов, SMTP-шлюзов, Web- и FTP-серверов, а также позволяют поддерживать распределенные системы.

На российском рынке, помимо перечисленных выше продуктов, широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука».

Корпоративные брандмауэры

Корпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы.

Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет происхождения или соответствия иным правилам пропускания пакетов), после чего пакет либо пропускается, либо нет.

Обычно брандмауэры могут выполнять роль фильтра пакетов или роль прокси-сервера, в последнем случае брандмауэр выступает в качестве посредника в выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения между локальной и внешней сетями.

При выборе брандмауэра компании обычно руководствуются результатами независимого тестирования. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), также носящий название Common Criteria Standard.

Самыми популярными производителями корпоративных брандмауэров, с точки зрения Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation.

Отметим, что продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec — это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.

Средства обнаружения атак

Средства обнаружения атак предназначены для определения событий, которые могут быть интерпретированы как попытка атаки, и для уведомления об этом IT-администратора.

Данные средства можно разделить на две категории по принципу их функционирования: средства, анализирующие трафик всей сети (в этом случае на рабочих станциях сети нередко устанавливается часть соответствующего программного обеспечения, называемая агентом), и средства, анализирующие трафик конкретного компьютера (например, корпоративного Web-сервера). Средства обнаружения атак, как и брандмауэры, могут быть реализованы и в виде программного обеспечения, и в виде аппаратно-программного комплекса. Очевидно, что подобные средства требуют тщательной настройки, чтобы, с одной стороны, были обнаружены истинные попытки атак, а с другой — чтобы по возможности были исключены ложные срабатывания.

Лидерами рынка средств обнаружения атак, по мнению Gartner Group, являются Cisco Systems, Internet Security Systems, Enterasys Networks и Symantec. По данным Butler Group, весьма популярными производителями этой категории средств обеспечения безопасности являются также Computer Associates и Entercept Security Technology.

Средства, анализирующие трафик конкретного компьютера, производятся компаниями Symantec и Entercept Security Technology. Продукт Cisco IDS 4210 является аппаратно-программным комплексом, остальные вышеперечисленные продукты — программными средствами, которые выполняются под управлением стандартных операционных систем на обычных компьютерах.

О политике и стандартах безопаcности

Рассмотренное в этой статье программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила применения компьютеров, сети и данных, а также процедуры, предназначенные для предотвращения нарушения этих правил и для реакции на подобные нарушения, если таковые возникнут. Отметим также, что при выработке подобной политики требуется оценка рисков, связанных с той или иной деятельностью, например в случае предоставления бизнес-партнерам данных из корпоративной информационной системы. Полезные рекомендации на этот счет содержатся в международных стандартах, в частности в международном стандарте безопасности информационных систем ISO 17799. Выбор аппаратных и программных средств обеспечения безопасности во многом определяется политикой, выработанной конкретной компанией.

Прогнозы аналитиков

Рассмотрев современное состояние рынка корпоративных средств обеспечения информационной безопасности, в заключение приведем некоторые прогнозы аналитиков по поводу того, в каком направлении будут развиваться указанные категории продуктов.

Согласно прогнозам Gartner Group, одним из ключевых направлений развития рынка корпоративных средств обеспечения информационной безопасности будет дальнейшее развитие так называемых платформ безопасности (security platforms), комбинирующих аппаратные и программные брандмауэры, средства обнаружения атак, средства поиска уязвимостей, антивирусное программное обеспечение и, возможно, средства сканирования электронной почты и антиспамовые средства.

Еще одним фактором, влияющим на развитие технологий обеспечения корпоративной безопасности, по мнению Gartner Group, станет рост применения Web-сервисов. Поэтому от производителей брандмауэров и средств обнаружения атак следует ожидать выпуска дополнительных инструментов защиты сетей от атак, использующих в качестве средств проникновения SOAP-сообщения и XML-данные.

Литература:

  1. Wheatman V. Security & Privacy in 2003: Complex and Uncertain // Gartner Research Note AV-18-9698, 6 Dec. 2002.
  2. Nicolett M., Easley M. The Emerging IT Security Management Market // Gartner Research Note AV-18-3417, 17 Oct. 2002.
  3. Hallawell A. Enterprise Antivirus 2002 MQ: Room for Improvement // Gartner Research Note M-16-2229, 22 May 2002.
  4. Stiennon R. CIO Update: The Gartner Firewall Magic Quadrant for 2H02 // Gartner Research Note IGG-09252002-03, Sept. 25, 2002.
  5. Easley M., Pescatore J., Stiennon R. Intrusion Detection System 1H02 Magic Quadrant // Gartner Research Note M-17-0773, 1 Aug. 2002.
  6. Network Security. The Benefits and Pitfalls of Contemporary Network Security Technologies // Technology Evaluation and Comparison Report, Butler Group, Feb., 2003.
  7. Обзор вирусной активности за 2002 г. // Лаборатория Касперского, http://www.kaspersky.ru/news.html?id=1189502.

КомпьютерПресс 3'2003

Источник: https://compress.ru/article.aspx?id=10115

Мир закона
Добавить комментарий