Рынок труда в сфере информационной безопасности

СПРАВОЧНАЯ ИНФОРМАЦИЯ Список сокращений ГИС Государственная информационная система ГосСОПКА Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак ИБ Информационная безопасность ИС Информационная система ИСПДн Информационная система персональных данных ИТ Информационные технологии КИИ Критическая информационная инфраструктура РФ КТ Коммерческая тайна ПДн Персональные данные ПЭМИН Побочные электромагнитные излучения и наводки СКЗИ Средство криптографической защиты информации СОИБ Система обеспечения информационной безопасности СУИБ Система управления информационной безопасностью ТЗКИ Техническая защита конфиденциальной информации ЭП Электронная подпись Рынок труда в сфере ИБ Развитие ИТ, автоматизация все новых и новых бизнес-процессов не только повышает производительность и качество выпускаемой продукции, но также ведет и к увеличению количества возможных угроз ИБ. Это, в свою очередь, приводит к необходимости создания на предприятии структурного подразделения по ИБ или, для небольших предприятий, выделения роли ответственного за ИБ в рамках отдела ИТ. Рост рынка труда в сфере ИБ также стимулируется развитием законодательства РФ в сфере ИБ, которое обязует предприятие создавать СОИБ и грозит штрафами, а в некоторых случаях и уголовной ответственностью. Вакансии в сфере ИБ условно можно разделить на 4 группы: № Наименование вакансии Основные обязанности Ключевые навыки, которые необходимо освоить, чтобы претендовать на данную должность 1 Специалист службы ИБ Разработка организационно-распорядительной документации по ИБ (приказы, положения, регламенты и т.п.); Оценка рисков; Принятие решений по выбору СЗИ и точек их установки; Написание технических заданий на создание/модернизацию СОИБ; Разработка технико-экономических обоснований внедрения СЗИ/СОИБ Знание методик моделирования угроз и оценки рисков; Знание законодательства РФ в сфере ИБ; Знание лучших практик ИБ (рекомендаций международных сообществ по ИБ и производителей СЗИ); Навыки написания технических заданий; Навыки проектирования; Навыки разработки технико-экономических обоснований 2 Инженер ИБ Установка и администрирование СЗИ Администрирование системного ПО; Администрирование сети; Знание/опыт работы с конкретными СЗИ (например: криптошлюз ViPnet, средство анализа защищенности MaxPatrol, антивирус Kaspersky Endpoint Security) 3 Пентестер Санкционированный взлом сети; Формирование рекомендаций по повышению уровня ИБ Администрирование системного ПО; Администрирование сети; Навыки программирования; Опыт работы с ПО, предназначенным для взлома (эксплойты, сетевые сканеры и т.п.) 4 Разработчик СЗИ Разработка СЗИ; Тестирование СЗИ Навыки программирования; Навыки тестирования ПО Обратите внимание, что пентест (Penetration Test) – это услуга, которая осуществляется санкционированно по заданию самого взламываемого предприятия сотрудниками службы ИБ предприятия или внешней компанией на основании договора, заключенного на проведение работ по пентесту. Любой иной взлом является несанкционированным и наказывается согласно Уголовному кодексу РФ. Обязательно прочитать следующие статьи УК РФ (штрафы+лишение свободы до 10 лет): УК РФ Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Статья 272. Неправомерный доступ к компьютерной информации Статья 273. Создание, использование и распространение вредоносных компьютерных программ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации Термины и определения Чтобы что-то обсуждать, нужно сначала определиться со смыслом, который вкладывается в тот или иной термин. Соответственно необходимо владеть терминологией в сфере информационной безопасности. Определения процитированы из федеральных законов и ГОСТ1. 1) анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации. 2) безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. 3) доступ к информации - возможность получения информации и ее использования; 4) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; 5) инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. (Инцидентами информационной безопасности являются: утрата услуг, оборудования или устройств; системные сбои или перегрузки; ошибки пользователей; несоблюдение политики или рекомендаций по ИБ; нарушение физических мер защиты; неконтролируемые изменения систем; сбои программного обеспечения и отказы технических средств; нарушение правил доступа.) 6) компьютерная атака - целенаправленное воздействие программных и (или) программноаппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации; 7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; 8) модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. 9) мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. 10) несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. 11) носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. 12) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; 13) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 14) объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. 15) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных; 16) оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 17) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 18) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; 19) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; 20) система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. 21) система управления информационной безопасностью; СУИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. 22) событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью. 23) средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. 24) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей; 25) угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. 26) уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Лекции 1-2 Введение Для обеспечения информационной безопасности (далее – ИБ) на предприятии необходимо: 1) внедрить систему обеспечения информационной безопасности (далее – СОИБ); 2) управлять процессами обеспечения информационной безопасности. Настоящий курс представляет собой краткое содержание знаний, которыми необходимо обладать, приступая к созданию СОИБ и системы управления информационной безопасностью (далее – СУИБ). Этапы создания СОИБ Система обеспечения информационной безопасности на предприятии2 (далее - СОИБ) включает в себя программные и программно-аппаратные средства защиты информации (далее – СЗИ), организационно-распорядительные документы, регламентирующие процессы обеспечения ИБ на предприятии, и работников, участвующих в обеспечении ИБ. Как правило, выделяют следующие этапы создания СОИБ: № Этап Результат 1. Обследование корпоративной сети Отчет об обследовании, содержащий описание информационных систем (далее – ИС) и перечень информации (информационных активов), которая подлежит защите 2. Моделирование угроз безопасности информации, обрабатываемой в ИС Модель нарушителя, перечень возможных угроз, расчет их актуальности 3. Формирование требований к СОИБ Техническое задание на создание/модернизацию СОИБ 4. Техническое проектирование СОИБ Пояснительная записка на создание/модернизацию СОИБ, Спецификация оборудования и программного обеспечения, Схема структурная комплекса технических средств 5. Разработка рабочей документации на СОИБ Схема соединений комплексов технических средств, Схема соединений комплексов технических средств, Схема электропитания и заземления, План расположения оборудования и проводок (в части серверного и коммутационного оборудования, вновь прокладываемых линий связи) 6. Разработка эксплуатационной документации СОИБ Руководства администраторов СОИБ 7. Разработка организационно-распорядительных документов, регламентирующих правила и процедуры ИБ Пакет организационно-распорядительных документов (положения, регламенты, инструкции, приказы о назначении ответственных лиц и т.п.) 8. Внедрение СЗИ Акт установки и настройки СЗИ 9. Испытания СОИБ Протоколы испытаний, акт ввода в эксплуатации Испытания СОИБ (предварительные испытания, опытная эксплуатация, приемочные испытания) рекомендуется проводить согласно ГОСТ 34.603-92 «Виды испытаний автоматизированных систем». Объекты защиты На этапе обследования должны быть выявлены ИС предприятия, виды информации, которые обрабатываются в ИС, для каждого вида информации должны быть определены свойства безопасности информации, которые необходимо обеспечивать с помощью СОИБ. Свойства безопасности информации С точки зрения информационной безопасности выделяют следующие основные свойства безопасности информации: конфиденциальность, целостность и доступность. Конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы. Для остальных субъектов системы эта информация должна быть неизвестной Целостность информации – ее свойство быть неизменной в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий. Доступность информации – ее свойство быть доступной для авторизованных законных субъектов системы. Соответственно при построении СОИБ необходимо учитывать, какие именно свойства безопасности информации требуется обеспечивать. Виды защищаемой информации Виды защищаемой информации: 1) государственная тайна; 2) конфиденциальная информация; 3) общедоступная информация (для нее необходимо обеспечивать только целостность и доступность). Классификация конфиденциальной информации приведена в Указе Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера". Различают следующие виды конфиденциальной информации: 1) персональные данные (далее – ПДн); 2) судебная тайна; 3) служебная тайна; 4) профессиональная тайна (врачебная, нотариальная, адвокатская тайна, тайна переписки и т.п.); 5) коммерческая тайна (далее – КТ); 6) сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них; 7) сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных и иных актов. Других видов конфиденциальной информации не существует! Как правило, на предприятии обрабатывается два вида конфиденциальной информации: ПДн и КТ. Для каждого вида информации существуют отдельные нормы законодательства, устанавливающие требования к обеспечению ее безопасности. Типы ИС Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационные системы включают в себя: • государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов; • муниципальные информационные системы, созданные на основании решения органа местного самоуправления; • иные информационные системы. К иным информационным системам, требования к обеспечению безопасности которых отдельно регламентируются законодательством РФ, относятся: • информационные системы персональных данных (далее – ИСПДн); • автоматизированные системы управления технологическим процессом (АСУ ТП); • объекты критической информационной инфраструктуры РФ (далее – КИИ). Лекция 3. Требования законодательства РФ по ИБ На этапе формирования требований к СОИБ учитываются: 1) актуальные угрозы ИБ (необходимо выбрать меры защиты информации, которые нейтрализуют актуальные угрозы); 2) требования законодательства РФ по ИБ. Итоговый набор требований к СОИБ оформляется в виде технического задания на создание/модернизацию СОИБ. Рассмотрим требования законодательства РФ по ИБ к СОИБ. Основным законом РФ в сфере ИБ (для любой организации и любой ИС) является Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Данный нормативный акт определяет общие принципы защиты информации в государстве, но не устанавливает конкретные требования к СОИБ. При создании СОИБ необходимо применять разный набор законодательных актов в зависимости от вида защищаемой информации и/или вида ИС. В таблице ниже перечислены нормативные документы, требования которых должны быть учтены при построении СОИБ для защиты ПДн, для защиты информации в государственных информационных системах (далее – ГИС), для защиты объектов КИИ, для защиты КТ. Требования законодательства РФ к СОИБ В области защиты ПДн В области защиты КТ В области защиты ГИС В области защиты объектов КИИ • Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных». • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости». • Федеральный закон РФ от 29.07.2004 № 98-ФЗ «О коммерческой тайне». (см. статью 10 закона!) • Федеральный Закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». • Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». • Методический документ ФСТЭК России от 11.02.2014 «Меры защиты информации в госудрственных информационных системах». • Указ Президента РФ от 17.03.2018 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». • Федеральный закон Российской Федерации от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». • Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». • Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». • Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Требования по обеспечению безопасности ЗОКИИ).защите персональных данных для каждого из уровней защищённости». • Приказы ФСБ России от 24.07.2018 № 367, от 24.07.2018 № 368, от 06.05.2019 №196, от 19.06.2019 N 282 ГИС Требования к защите ГИС формируются с учетом класса ГИС. Классификация ГИС приведена в Приказе ФСТЭК № 17. Различаются три класса защищенности ГИС. КИИ Требования к объекту КИИ формируются с учетом его категории значимости, которая присваивается согласно ПП РФ № 127. Сами требования для каждой категории значимости перечислены в приказе ФСТЭК России № 239. ПДн Часть требований к защите ПДн описана непосредственно в ФЗ № 152 (статьи 18, 18.1, 19 – прочитать!), из которых, в том числе, следует, что оператор ПДн должен назначить ответственного за организацию обработки ПДн, опубликовать политику обработки ПДн (желательно на официальном веб-сайте) и обеспечить сбор согласий на обработку ПДн в случаях, когда нет других законных оснований обработки ПДн. Важным вопросом является, что относить к ПДн, а что нет. Закон не дает однозначного ответа. Теоретически любую информацию, косвенно связанную с физическим лицом, можно отнести к ПДн. В спорных ситуациях рекомендуется руководствоваться здравым смыслом, оценивая, действительно ли физическое лицо заинтересовано в защите этой информации, а также ориентироваться на практику прохождения проверок Роскомнадзором (уполномоченный орган по защите прав субъектов ПДн) и на судебную практику. Так согласно текущей судебной практике к ПДн следует относить cookie-файлы и ip-адреса. ФЗ № 152 устанавливает особые требования для следующих категорий ПДн: 1) специальные категории ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; 2) биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн3; 3) в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его 4) общедоступные ПДн – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн с его письменного согласия. Основная часть требований к защите ИСПДн формируются с учетом уровня защищенности (далее – УЗ) ПДн, который присваивается согласно ПП РФ № 1119 следующим образом (на рисунке ниже 1, 2, 3 тип – это типы угроз, которые также описаны в ПП РФ № 1119): Как правило, оператор ИСПДн принимает решение считать актуальными угрозы 3 типа4. Таким образом, наиболее распространенным является УЗ 4. К УЗ 4 в ПП РФ № 1119 предъявляются следующие требования: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Для более высоких УЗ в ПП РФ установлены дополнительные требования. Основной перечень требований к СОИБ ИСПДн определяется на основании Приказа ФСТЭК России № 21, где в приложении перечислены меры безопасности ПДн для каждого УЗ. Данные меры подробнее мы рассмотрим на практическом занятии. КТ За нарушения законодательства по КТ не предусмотрены штрафы, однако, в случае его невыполнения считается, что на предприятии не введен режим КТ и, следовательно, невозможно потребовать возмещения ущерба за разглашение КТ, ни со своего сотрудника, ни с любого другого физического или юридического лица. Утверждать наличие режима КТ можно в случае выполнения следующих требований (ст. 10 ФЗ № 98): 1) определение перечня информации, составляющей коммерческую тайну (утверждается перечень КТ, с которым знакомятся под подпись все сотрудники); 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (Во-первых, утверждается «Положение о КТ», с которым знакомятся под подпись все сотрудники, во-вторых, принимаются меры по ограничению доступа к ИС, содержащим КТ: как минимум ролевое разграничение доступа, а в идеале – с разработкой модели угроз безопасности КТ и принятием мер по нейтрализации выявленных актуальных угроз.); 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (утверждается перечень сотрудников, имеющих доступ к КТ, с которым данные сотрудники знакомятся под подпись); 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров (в договоре должен быть пункт о конфиденциальности КТ); 5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). Проектирование СОИБ К программным и программно-аппаратным средствам СОИБ относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных. Параметры и характеристики применяемых средств защиты информации должны обеспечивать реализацию технических мер, описанных в Техническом задании на создание СОИБ. В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства защищаемой ИС (при их наличии). Средства защиты информации должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации. Порядок применения средств защиты информации определяется предприятием в организационно-распорядительных документах по ИБ. Примеры организационно-распорядительных документов по ИБ: • Политика ИБ; • Регламент управления доступом к ИС; • Регламент защиты машинных носителей информации; • Регламент аудита информационной безопасности; • Регламент антивирусной защиты; • Регламент защиты технических средств ЛВС; • Регламент управления инцидентами информационной безопасности; • План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак; • Регламент обновления ПО; • План мероприятий по обеспечению безопасности ЛВС; • План обучения и повышения осведомленности работников по вопросам ИБ. Базовые рекомендации построения защищенной ЛВС Все объекты корпоративной сети должны иметь уникальные имена, отражающие их функциональное назначение. Для работы в корпоративной сети всем пользователям создаются уникальные учетные записи (желательно с применением Microsoft Active Directory), позволяющие однозначно их идентифицировать. Права доступа в ИС должны предоставляться только для выполнения функциональных обязанностей и в минимально необходимом объеме. Для защиты удаленного доступа к ресурсам корпоративной сети и защиты трафика, выходящего за пределы контролируемой зоны, должна применяться технология vpn. Для ограничения прав доступа пользователей в Интернет, блокирование запрещенных веб-сайтов и снижения нагрузки на каналы передачи данных должен использоваться прокси-сервер. Корпоративная сеть должна быть сегментирована на IP-подсети. Рекомендуется выделять следующие сегменты корпоративной сети, которым предъявляются отдельные требования по обеспечению безопасности: • DMZ; • серверный сегмент; • сегмент управления; • внутренняя сеть; • гостевая сеть. В DMZ размещаются веб-серверы, серверы, используемые для предоставления сетевых сервисов внешним пользователям корпоративной сети. DMZ, как правило, располагается между сетью Интернет и сегментов внутренней сети. Во внутренней сети размещаются АРМ пользователей. Серверный сегмент – сегмент корпоративной сети, в котором размещается серверное оборудование, обеспечивающее функционирование ИС. Гостевая сеть – сегмент корпоративной сети, к которому допускается подключение на временной основе оборудования, не принадлежащего предприятию. Периметр каждого из сегментов должен защищаться межсетевым экраном. Межсетевые экраны должны быть настроены по принципу «явно неразрешенное – запрещено». Неиспользуемые порты сетевого оборудования должны быть заблокированы. Межсетевые экраны, реализующие защиту периметров сегментов корпоративной сети должны резервироваться, их конфигурации подлежат регулярному резервному копированию. Дополнительные рекомендации по организации защиты периметра DMZ: • входящий и исходящий трафик в DMZ должен проверяться антивирусом и системой обнаружения вторжений; • в DMZ не должна обрабатываться конфиденциальная информация; • в DMZ нельзя использовать ту же среду виртуализации, на базе которой функционируют виртуальные машины внутреннего сегмента/ серверного сегмента/ сегмента управления; Дополнительные рекомендации по организации защиты периметра сетевого сегмента: Сетевые подключения к серверной ферме так же должны контролировать- • входящий и исходящий трафик в серверный сегмент должен проверяться системой обнаружения вторжений; • особо критичные ИС рекомендуется выделять в отдельные серверные сегменты Гостевой сегмент изолируется от всех остальных сегментов корпоративной сети. Доступ из гостевой сети к ресурсам остальных сегментов корпоративной сети, за исключением размещенных в DMZ – запрещается. Дополнительный рекомендации к беспроводной гостевой сети: • радиосигнал оборудования беспроводной сети не должен распространяться за пределы контролируемой; • должна быть создана отдельная DMZ, позволяющая исключить несанкционированный доступ в корпоративную сеть из гостевой беспроводной сети; • оборудование беспроводных гостевых сетей должно обеспечивать: - поиск, отображение фильтрация клиентов по mac, netbios name, имя точки доступа, дата подключения, последней активности); - возможность оперативной блокировки, отключения клиента от сети; - регулировку уровня мощности передаваемого радиосигнала. Интернет-связь подлежит резервированию на случай аварии (должно быть второе подключение у альтернативного интернет-провайдера). Серверное, сетевое оборудование, средства защиты сети должны быть надежно защищены от несанкционированного физического доступа и размещаться в помещениях, отвечающих эксплуатационным требованиям производителя оборудования. Средства защиты периметров должны размещаться только в помещениях, оснащенных системами контроля и управления доступом, охранного видеонаблюдения. Система управления информационной безопасностью Система управления информационной безопасностью5 (далее - СУИБ) является частью общей системы управления предприятием, основывается на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы защиты информации. Один из основных компонентов СУИБ – процесс управления рисками ИБ, в результате которого принимаются решения, какие риски ИБ являются приемлемыми, а какие – нет. Неприемлемые риски должны быть обработаны путем внедрения в СОИБ экономически обоснованных мер обеспечения ИБ. Другой важный компонент СУИБ - планирование реализации выбранных мер СОИБ. Планирование позволяет распределять затраты на обеспечение ИБ как в краткосрочной, так и в долгосрочной перспективах. При создании СУИБ необходимо взаимодействие с высшим руководством предприятия и представителями структурных подразделений, обрабатывающих защищаемую информацию, чтобы выявить их ожидания от системы. В настоящее время считается престижным, если предприятие имеет подтверждение соответствия ее СУИБ международному стандарту ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001 "Information technology - Security techniques - Information security management systems - Requirements", IDT). Для подтверждения соответствия привлекаются внешние аудиторские компании. Согласно стандарту ИСО/МЭК 27001 для структурирования всех процессов СУИБ используется модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), представленная на рисунке ниже, где СМИБ=СУИБ.   Планирование (разработка СУИБ) Разработка политики, установление целей, процессов и процедур СУИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации Осуществление (внедрение и обеспечение функционирования СУИБ) Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СУИБ Проверка (проведение мониторинга и анализа СУИБ) Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СУИБ и информирование высшего руководства о результатах для последующего анализа Действие (поддержка и улучшение СУИБ) Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СУИБ