WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 | 3 | 4 | 5 |
Безопасность информационных систем 1 Методические указания по курсу «Безопасность информационных систем» Длительность курса 16 академических часов Данный курс представляет собой обзор современных методов, средств и технологий для решения задач в области безопасности. В курсе рассматриваются решения на основе последних разработок программного обеспечения фирмы Microsoft.

Важные сведения о безопасности …………………………………………………………….4 ч Повод для внедрения безопасности Управление рисками безопасности Этап Оценки Рисков Модель эшелонированной защиты Управление внедрением обновлением безопасности………………………………….45 мин Практическая работа «использование инструмента MBSA» Внедрение защиты для серверов Windows 2000 и Windows 2003………………………...4 ч Усиление защиты рядовых серверов Усиление безопасности контроллеров домена Усиление безопасности для серверов, выполняющих определенные функции Усиление безопасности контроллеров домена Внедрение защиты для клиентов на Windows 2000 и Windows XP…………………45 мин Внедрение безопасности сети и ее периметра……………………………………………….6 ч Определение попыток вторжения Защита соединений для достижения конфиденциальности передаваемой информации Обеспечение безопасного удаленного соединения Внедрение защиты для беспроводных сетей...……………………………………………..2 ч Рекомендации по практической работе «использование инструмента MBSA».

Работа демонстрирует возможности программы MBSA, которую предварительно нужно скачать по адресу http://www.microsoft.com/downloads/details.aspxFamilyId=4B4ABA06-B5F94DAD-BE9D-7B51EC2E5AC9&displaylang=en, установить на каждый компьютер.

Рекомендации по использованию ресурсов сайта Microsoft.

Основой данного курса является использование материалов курсов по безопасности с сайта Microsoft: 2801 Security Guidance Training I и 2802 Security Guidance Training II. Данные курсы находятся по адресу http://www.microsoft.com/learning/syllabi/en-us/2801cfinal.mspx и http://www.microsoft.com/learning/syllabi/en-us/2802cfinal.mspx.

Курс 2801 посвящен основам безопасности, внедрению защиты серверов Windows 2000 и 2003, безопасности на клиентах под управлением Windows 2000 и XP. Курс 2802 посвящен защите периметра сети, серверов приложений, беспроводных сетей и усилению безопасности различных систем.

Материалы по безопасности также присутствуют на сайте http://msdn.microsoft.com/security/.

При разработке курса также были взяты материалы с www.securitylab.ru, security.compulenta.ru и www.sciencedirect.com.

©УЦ СамГТУ & Softline Academy, 2006 А. Крылова Безопасность информационных систем Важные сведения о безопасности Повод для внедрения безопасности Взлом защиты может повлиять на предприятие по-разному. Понимание возможных последствий взлома защиты и определение наиболее опасных вариантов взлома защиты с возможностью дальнейшего построения бизнес-структуры предприятия, защищенной от атак, связанных с компьютером.

Последствия взлома защиты:

- потеря репутации;

- потеря или компрометация данных;

- прерывание бизнес-процессов;

- правовые последствия;

- потеря доверия пользователей;

- потеря доверия инвесторов;

- потеря доходов.

Избежание возможных нежелательных последствий взлома безопасности является одним из наиболее вынужденных поводов для внедрения стратегии безопасности.

По исследования ФБР(FBI) и Институт по вычислительной безопасности (CSI) за 2004г.

наибольшие потери предприятия понесли от вирусов, атак на отказ обслуживания (DoS) и потери частной информации.

Итак, преимущества от внедрения защиты :

-сокращение времени простоя и издержками, связанными с недоступностью систем и приложение;

-уменьшение затраты на рабочую силу в связи с неэффективным развертыванием обновлений безопасности;

- сокращение потери данных из-за вирусов или взлома информационной защиты;

- усиление защиты интеллектуальной собственности.

Управление рисками безопасности Фаза оценки рисков методом Microsoft для управления рисками безопасности представляет собой формальный метод для определения и выявления приоритетов в данной организации.

Данный метод обеспечивает подробные инструкции по Оценке Рисков и может быть разделен ©УЦ СамГТУ & Softline Academy, 2006 А. Крылова Безопасность информационных систем на 3 части, включающих планирование, сбор сведений о рисках и выявление приоритетов.

После выполнения этапа Оценки Рисков и разработки перечня наиболее ценных рисков, предприятие должно рассмотреть самые важные риски и принять соответствующие меры к уменьшению степени данных рисков. Данный этап известен как Поддержка Принятия Решения.

Последние 2 этапа управления оценки рисков известны как Внедрение Управления и Оценка Эффективности Мероприятий. На этапе Внедрение Управления руководители предприятий создают и выполняют планы на основе списка управления решениями, который появляется в процессе Принятия Решения для уменьшения рисков, определенных на этапе Оценки Рисков. Этап Оценки Эффективности Мероприятий заключается в том, что группа управления рисками безопасности постоянно проверяет, что средства управления, внедренные на предыдущем этапе, действительно обеспечивают ожидаемую степень защиты.

Внедрение метода Microsoft для управления рисками безопасности Данный метод включает в себя качественный и количественный подходы. В количественной оценке рисков целью является подсчет реальной числовой стоимости каждой составляющей.



Когда вы используете качественный подход к управлению рисками, вы не пытаетесь определить только денежную стоимость активов, ожидаемые потери и стоимость управления.

Вместо этого вы подсчитываете относительную стоимость. Метод Microsoft для управления рисками безопасности является значительно более быстрым, чем традиционный количественный подход, а также он еще и обеспечивает хорошо детализированные результаты и легко подтверждается при внедрении. Метод Microsoft для управления рисками безопасности состоит из 4 частей:

- Оценка Рисков. Данный этап включает в себя как качественные, так и количественные методики. Количественный подход используется для быстрой сортировки целого списка рисков безопасности. Наивысшие риски определяются после более детальной проверки с использованием количественного подхода. Результатом данного этапа является более короткий список наиболее важных рисков, которые были детально проверены.

- Поддержка Принятия Решения. Список, созданный на этапе оценки рисков, используется на данном этапе для сбора и подсчета возможных решений управления и комитетом соблюдения безопасности данного предприятия рекомендуются самые подходящие для уменьшения наибольших рисков.

- Внедрение Управления. На этом этапе владельцы реализуют решения управления на местах.

- Оценка Эффективности Мероприятий. Данный четвертый этап используется для проверки, что средства управления действительно полностью обеспечивают ожидаемую степень защиты и наблюдают изменения среды, такие как установка новых приложений или инструментов для взлома, которые способны изменить параметры риска предприятия. К тому же текущие средства управления должны пересматриваться для новых, подобных средств из-за изменений и прогресса в технологиях в области защиты.

Управление рисками – непрерывный процесс, цикл повторяется для каждой новой оценки риска. Частота, с которой повторяется данный цикл, изменяется от предприятия к предприятию.

Этап Оценки Рисков Представляет собой формальный процесс определения и приоритизации рисков на предприятии. Руководство Microsoft для управления рисками безопасности обеспечивает детальные указания по оценке рисков и разбивает данный этап на 3 части:

1. Планирование. Создание основы для удачной оценки рисков.

©УЦ СамГТУ & Softline Academy, 2006 А. Крылова Безопасность информационных систем 2. Неподробный сбор сведений. Сбор информации о рисках в течение обсуждений рисков.

Одной из первых задач данного процесса – это определение активов данного предприятия.

3. Выявление приоритетных рисков. Расположение выявленных рисков с помощью последовательно повторяющегося процесса.

На этапе Оценки Рисков вы собираете данные о рисках и затем используете их для выявления приоритетных рисков.

Сбор сведений Первый шаг в вашей оценке рисков – это планирование и внедрение процесса сбора данных.

На этапе сбора данных первыми данными являются:

- Активы предприятия. Все, что является ценным для процесса ведения бизнеса;

- Описание активов. Краткое описание актива и его владельца для упрощения общего понимания на этапе Оценки Рисков. Сюда также включается описание применения актива.

- Угрозы безопасности. Причины и события, которые могут негативно сказаться на активе, как-то потеря конфиденциальности, целостности или доступности актива.

- Уязвимости. Слабость или отсутствие управления, которые могут быть использованы для нанесения удара по активу.

- Текущая среда управления. Описание текущих средств управления и эффективности на предприятии.

- Предлагаемые средства управления. Исходные предложения по снижению рисков.

Ключевые факторы по успешному сбору данных заключаются в следующем:

- встречи с владельцами предприятия. Это поможет им понять риски в денежном эквиваленте. В дальнейшем, владельцы или контролируют, или влияют на выделяемые для IT средства. Если они не понимают потенциальных угроз, то процесс выделения средств будет трудным. Владельцы также управляют корпоративной культурой и влияют на поведение работников. Эти факторы могут быть исключительно эффективными инструментами при управлении рисками.

- выстраивание поддержки. Владельцы играют исключительную роль в процессе оценки рисков. Они отвечают за определение активов своего предприятия и оценки издержек при возможных угрозах для данных активов. Если вы формализуете эту обязанность, то вы позволите отделу по информационной безопасности и владельцам в равной степени успешно участвовать в управлении рисками. Поддержка нужд данного процесса должна происходить на самом высоком уровне руководства и проникать повсюду на предприятии. Если руководство не поддерживает инициативы по программе безопасности, то в итоге программа не будет выполнена.

- выстраивание доброжелательных отношений. Информационная безопасность это сложная деловая деятельность, потому что задача ограничения рисков часто рассматривается как ограничение использования или производительности работников. Используйте встречи, как инструмент построения альянса с владельцами. Помочь владельцам понять важность управления рисками и их роли в дальнейшей программе.

Определение и классификация активов Активы определяются как нечто, имеющее ценность для предприятия. Они включают нематериальные активы, такие как репутация компании или имя торговой марки, и материальные активы, такие как физическая инфраструктура.

Метод Microsoft для управления рисками безопасности использует 3 качественных класса активов для измерения угрозы активу предприятия:





- Высокая степень угрозы бизнесу. Нарушение конфиденциальности и целостности или доступности этих активов является причиной тяжелых или катастрофических потерь для предприятия. Примеры видов информации, которая может быть включена в этот класс:

©УЦ СамГТУ & Softline Academy, 2006 А. Крылова Безопасность информационных систем • Высокочувствительные деловые сведения, такие как финансовые сведения или интеллектуальная собственность;

• Активы, подчиняющиеся особенным требованиям регулирования (директивы, законодательные акты, соглашения);

• Сверхважная персональная идентификационная информация (ПИИ), такие как номера социального обеспечения или номера водительских прав.

- Умеренная степень угрозы бизнесу. Нарушение конфиденциальности и целостности или доступности этих активов является умеренными потерями для предприятия:

• Внутренняя информация: рабочие каталоги, сведения заказов на поставку, структура сети, информация с внутренних веб-сайтов и данные о файлах внутреннего пользования;

• Важная персональная идентификационная информация – это подкатегория идентификационной информации о персоне относительное расовой принадлежности, национальных корней, политических пристрастий и т.д.

- Малая степень угрозы бизнесу. Активы, не принадлежащие к двум вышеуказанным категориям, относятся к активам с небольшой степенью угрозы. Эти активы обычно включают повсеместно распространенную информацию, неавторизованное раскрытие которой не несет за собой значительных финансовых потерь, правовых или распорядительных вопросов, эксплуатационных остановок или преимуществ для конкурентов:

• Доступ на чтения веб-страниц общего доступа;

• Опубликованные пресс-релизы, брошюры, документы, содержащие выпущенную продукцию.

Выявление приоритетов риска Следующие 4 пункта очерчивают процесс выбора приоритетов риска:

- Определение угрозы и уязвимости для каждого актива. В процессе классификации рисков вы определяете угрозу предприятию для каждого актива предприятия. Вам также необходимо определить уязвимость каждого актива. Уязвимость актива – это расширенный возможный вред активу. Например, уязвимость такого актива как веб-сайт, имеющего только статическую информацию довольно низкая, поскольку наибольший серьезный вред – это возможность потери информации на веб-сайте или атака на отказ обслуживания (Denial- оf-Service – DoS-атака). Уязвимость веб-сайта, работающего с клиентами и содержащего конфиденциальную информацию, более высока по причине возможности утечки информации о данных клиента.

- Определение текущего управления. В процессе разработки приоритетов риска также определяется каким образом данный актив будет защищен. Если ваш актив является сверхуязвимым и имеет высокую степень угрозы для вашего бизнеса, но у вас уже есть высокоэффективные средства контроля за безопасностью, тогда риск, которому подвергается данный актив, может не быть таким высоким, как у актива с меньшей степенью риска, но с несоответствующими средствами управления.

-Определение вероятности атаки на актив. В качестве части оценки риска также рассматривается возможный вред, который может быть нанесен активу, с помощью атаки.

Определение этой возможности оценивается путем рассмотрения инцидентов с безопасностью на предприятии за прошедшее время. Также рассматриваются недавние инциденты, произошедшие на других предприятиях.

- Детальное определение уровня риска. Объединяется вся информация, полученная на предыдущих 3 пунктах для определения детальное определение уровня риска каждого актива. Оценка риска может быть установлена различными способами. Для каждого актива ©УЦ СамГТУ & Softline Academy, 2006 А. Крылова Безопасность информационных систем можно выбрать диапазон значений от 1 до100. Или можно применить количественную оценку уровня риска как высокую, умеренную или малую.

Исключительно важно также обсуждать с владельцами предприятия эффективные способы управления рисками. Для того чтобы это сделать, нужно осуществить формирование риска для каждого актива. Это делается следующим образом:

Рис.Этап Поддержки Принятия Решения После определения риска для каждого актива, следующим этапом вы определяете, как работать с наиболее важными рисками самым эффективным и финансово-результативным способом. Конечный результат будет представлять собой понятный и действенный план для управления, принятия, передачи или аннулирования каждого из важных рисков, определенных в процессе оценки рисков. Этап поддержки принятия решения делится на определение решений управления и стратегии ограничения риска.

Сначала вы должны составить список новых возможных средств управления для каждого риска, рассмотрев следующие вопросы:

- Какие шаги должна предпринять организация для противостояния и предотвращения инцидентов с рисками Например, для снижения возможности использования пароля другим лицом внедрить многофакторную аутентификацию, или во избежание дискредитации систем с помощью выполнения вредоносного кода развернуть инфраструктуру автоматического обновления.

- Что должна предпринять организация для восстановления, в случае если все-таки инцидент имел место Например: основать, финансировать и обучить группу, отвечающую за инциденты, или внедрить и протестировать резервные данные и процессы восстановления на всех компьютерах, под управлением серверных операционных систем.

Pages:     || 2 | 3 | 4 | 5 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.