Менеджмент в сфере информационной безопасности
[+]
Уральский государственный технический университет
Опубликован: 14.10.2009 | Доступ: свободный | Студентов: 5321 / 2135 | Оценка: 4.39 / 4.29 | Длительность: 10:28:00
ISBN: 978-5-9963-0237-6
Темы: Безопасность, Менеджмент
Специальности: Менеджер
Теги: CERT, ISO 17799, telecommunications, анализ, аутсорсинг, базы данных, безопасность, государственная тайна, группа реагирования, инфраструктура, нарушение информационной безопасности, политика, политика использования, программное обеспечение, протоколы, процедуры, разработка, серверы, стандарты, угроза информационной безопасности, удостоверяющий центр, управление информационной безопасностью, электронная почта, элементы, эффективность
Лекция 13:

Предоставление услуг в сфере информационной безопасности
A
|
версия для печати
< Лекция 12 || Лекция 13: 123 || Лекция 14 >

Особенности некоторых видов услуг

Каждый вид услуг в этой сфере имеет свои специфические характеристики как с точки зрения организации работы компаний, оказывающих услуги, так и с точки зрения структуры рынка. Соответственно, для эффективной работы необходим индивидуальный подход к организации оказания таких услуг, а также организации взаимодействия между потребителями и поставщиками услуг.

Услуги по реагированию на инциденты (нарушения информационной безопасности), уже частично рассмотренные в одном из предыдущих разделов, являются одним из наиболее характерных примеров обоснованности и целесообразности передачи сервисов безопасности на аутсорсинг. В частности, целесообразность отказа от самостоятельного выполнения функций реагирования на инциденты и их (функций) централизации в специализирующейся на таких задачах компании связана с тем, что эта деятельность имеет следующие важные особенности:

  • требует постоянного (круглосуточного) дежурства, что предполагает содержание в штате как минимум пяти специалистов;
  • предполагает наличие высококвалифицированных (а следовательно, высокооплачиваемых и востребованных на рынке труда) специалистов, способных быстро предпринять эффективные меры противодействия возникающим угрозам (в том числе и применить контрмеры к нападающим в процессе длящейся атаки), а также самостоятельно принять необходимые решения в процессе отражения длящейся атаки;
  • загрузка дежурных специалистов, отвечающих за реагирование на инциденты, может быть крайне неравномерной.

Таким образом, эффект от централизации функций, связанных с реагированием на инциденты, складывается из нескольких составляющих и предоставляет возможности как для сокращения затрат и повышения уровня защищенности предприятий-клиентов, так и для получения прибыли фирмами-поставщиками таких услуг.

При этом разграничение функций между предприятием-клиентом и компанией-поставщиком услуг может зависеть от таких факторов, как:

  • уровень доверия предприятия-клиента к фирме-поставщику услуг;
  • сложившаяся практика оказания таких услуг и наличие у фирмы-поставщика необходимых специалистов с определенным уровнем квалификации;
  • состав, характеристики и функциональность информационных систем предприятия-клиента;
  • уровень квалификации сотрудников предприятия-клиента (как пользователей информационных систем, так и сотрудников департамента информационной безопасности);
  • оценка существующих рисков (вероятности нанесения ущерба);
  • оценка (в том числе и субъективная) того, насколько значимым является знание внутренней среды предприятия сотрудниками службы информационной безопасности и их способность "изнутри" координировать действия и решать проблемы в случае каких-либо инцидентов.

Кроме того, в некоторых случаях могут существовать определенные законодательные ограничения на аутсорсинг процессов безопасности (в частности, для государственных предприятий).

Основные вопросы проведения аудитов информационной безопасности (и, в частности, внешних аудитов) уже рассматривались нами в предыдущей лекции. Помимо уже указанных факторов, которые обуславливают необходимость проведения именно внешних аудитов, а не внутренних (более высокая квалификация специалистов, право делать заключения о соответствии международным стандартам и т.п.), важным является также и то обстоятельство, что внешние аудиторы, как правило, не заинтересованы в представлении необъективной информации (в отличие от внутренней службы информационной безопасности). В случае же, если предприятие захочет создать собственную независимую службу для проведения аудитов информационной безопасности (отдельно от департамента информационной безопасности и других подразделений предприятия), результатом могут оказаться очень большие затраты, тем более что частота проведения таких аудитов, как правило, является не очень большой.

Необходимость прибегать к услугам специализированных фирм, связанным с проверкой защищенности и надежности отдельных элементов информационной инфраструктуры (серверов, сетей, межсетевых экранов и т.п.), обусловлена, как правило, наличием у этих фирм специализированных программных и аппаратных средств, необходимых для проведения таких проверок (например, специализированных сканеров уязвимостей), а также наличие специальных знаний и навыков и разностороннего опыта, накопленного в процессе практической работы при проведении подобных проверок на различных предприятиях. Приобретение подобного опыта в рамках одного предприятия, пусть даже и очень крупного, практически невозможно.

Одним из наиболее эффективных приемов при проведении такого рода проверок является пробное (тестовое) преодоление защиты, когда проверяющий имитирует определенное нападение с целью совершить нарушение (разрушить базу данных, выкрасть конфиденциальную информацию и т.п.). Основными задачами проверок такого рода являются:

  • оценка эффективности используемых технических (программных и аппаратных) средств защиты информации;
  • оценка эффективности работы специалистов, ответственных за реагирование на инциденты;
  • контроль соблюдения сотрудниками предприятия требований политики безопасности.

Для получения наиболее достоверных результатов желательно, чтобы на самом предприятии о проведении такого теста знали только несколько руководителей, ответственных за его организацию. Также важным условием проведения такой проверки является четкая договоренность о том, насколько далеко должна зайти атака и какой уровень проникновения и разрушительных действий является достаточным, для того чтобы достоверно продемонстрировать, что атакуемая (проверяемая) система является уязвимой. В любом случае вся ответственность за ущерб, нанесенный в результате осуществления такой проверки, полностью ложится на предприятие, заказавшее такую услугу.

Консультационные услуги, связанные с первичной постановкой системы управления информационной безопасностью (первичным анализом, формированием и внедрением политики безопасности), обычно бывают необходимы в той ситуации, когда предприятие впервые ставит для себя задачу целенаправленного систематического комплексного обеспечения информационной безопасности. В этих условиях привлечение сторонних консультантов является практически единственным способом сформировать достаточно адекватную и эффективную политику безопасности в относительно короткие сроки, так как само предприятие в такой ситуации обычно не имеет необходимых специалистов и руководителей, которые могли бы решить весь комплекс задач, связанных с оценкой рисков, инвентаризацией информационных активов, выработкой стратегии, формированием политики и организационной структуры департамента информационной безопасности.

Привлекаемая для решения всех этих задач консультационная компания должна будет провести анализ деятельности предприятия в нескольких разрезах: с точки зрения основных бизнес-процессов, с точки зрения имеющейся информационно-технологической и коммуникационной инфраструктуры, а также с точки зрения используемых приложений (программного обеспечения и баз данных). Таким образом, необходимое качество работы по обеспечению комплексной защищенности информационных ресурсов предприятия может быть достигнуто только в том случае, если у консалтинговой компании имеются необходимые специалисты, а также опыт работы как на подобных предприятиях, так и с подобными программными и аппаратными платформами. Высокие требования к квалификации специалистов, работающих в консалтинговых компаниях, объясняются необходимостью не просто понять особенности функционирования тех или иных бизнес-процессов и информационных систем, но и достаточно быстро оценить их слабые места, существующие риски и наиболее вероятные сценарии нанесения ущерба информационным ресурсам.

Услуги по администрированию информационных систем и средств защиты информации могут предоставляться как в комплексе с услугами по реагированию на инциденты, так и независимо от них. Фирмы-поставщики услуг могут осуществлять администрирование таких систем, как:

  • электронная почта (защита от вирусов, спама, нарушения конфиденциальности и других нарушений политики безопасности);
  • сетевое оборудование (сбор и анализ информации о функционировании маршрутизаторов, серверов и других устройств);
  • брандмауэры (конфигурирование и настройка доступа к сети, а также обеспечение своевременного реагирования на различные нарушения);
  • системы обнаружения вторжений (отслеживание всех "подозрительных" действий в отношении сетей, серверов, приложений и баз данных).

При этом предприятие-клиент может прибегать к услугам других фирм для контроля за тем, насколько эффективно осуществляется администрирование средств защиты информации, либо самостоятельно осуществлять такой контроль при помощи специальных сканеров.

При оказании услуг по администрированию фирма-поставщик, как правило, не может взять на себя полную ответственность за сохранность информации (так же как и при оказании услуг по реагированию на инциденты), однако для установления формальных отношений предприятие-клиент и фирма-поставщик могут выработать Соглашение об уровне обслуживания, которое должно предусматривать основные параметры функционирования информационных систем и их защищенности (гарантированное время надежной работы систем, гарантированные сроки восстановления работоспособности при нарушениях и т.п.).

Инфраструктура публичных ключей

Инфраструктура публичных ключей (Public Key Infrastructure, PKI) представляет собой сложную организационно-техническую систему, основанную на современных технологиях и развитых организационных стандартах, которая позволяет эффективно решать некоторые ключевые проблемы информационной безопасности и, в частности, проблемы защиты данных, передаваемых по сетям (как локальным, так и глобальным), и идентификации сторон, участвующих в информационном обмене (пользователей, информационных систем, программных процессов). Технология PKI является основным инструментом, при помощи которого на основе законодательной базы (в частности, на основе Федерального Закона РФ "Об электронной цифровой подписи", принятого в 2002 году) может быть создан юридически значимый документооборот, который, в свою очередь, может стать основой для активного развития электронной торговли, оказания финансовых, информационных и других услуг, а также осуществления электронных платежей через информационные сети общего пользования. Возможность использования этой технологии для осуществления платежей и хозяйственных сделок связана с тем, что ее самым важным элементом является так называемый цифровой сертификат, выдаваемый третьей стороной, которая фактически является гарантом того, что сделки, совершаемые с использованием определенного цифрового сертификата, совершаются от имени определенного лица. Таким образом, одним из ключевых элементов инфраструктуры публичных ключей являются так называемые "удостоверяющие центры"2Данный термин, введенный Федеральным Законом "Об электронной цифровой подписи", является прямым аналогом термина Certificate Authority, используемого в англоязычной литературе и стандартах. (Certificate Authority, CA) – организационные структуры, осуществляющие идентификацию личностей (если речь идет о выдаче сертификата для одного человека) и выдачу электронного сертификата установленного образца, однозначно и достоверно представляющего этого человека. Также эти центры решают множество дополнительных задач, связанных с обеспечением эффективной работы инфраструктуры публичных ключей: ведут списки аннулированных сертификатов, обновляют истекшие сертификаты и т.п. В целом вся совокупность используемых технических и организационных решений, а также действующая юридическая база дают возможность однозначно связывать цифровой сертификат (цифровую подпись) с определенным физическим лицом и также гарантировать, что не происходит нарушения целостности передаваемых сообщений [7].

В настоящее время достаточно хорошо разработаны базовые технические стандарты и информационные технологии (средства криптографии, алгоритмы, реализующие хэш-функции и т.п.), необходимые для построения средств защиты на основе PKI. Дальнейшие перспективы развития в данной сфере связаны, главным образом, с совершенствованием рынка услуг и организационных механизмов.

Идеология работы PKI предполагает создание сетей и иерархически взаимосвязанных структур множества различных удостоверяющих центров, работающих в рамках единой согласованной политики и опирающихся на общий "корневой" удостоверяющий центр. На практике же наиболее распространено создание самостоятельных разрозненных удостоверяющих центров, создаваемых отдельными предприятиями (например, коммерческими банками) на основе тиражируемых программных и аппаратных решений для обеспечения защищенности и придания юридической значимости создаваемым документам и транзакциям, осуществляемым в корпоративных информационных системах (таким как, например, платежные поручения) служащими, клиентами и бизнес-партнерами предприятия. В случае если предприятие самостоятельно развертывает PKI в рамках собственной информационной системы, все взаимоотношения между администрацией и пользователями регулируются внутренней политикой, вопросы разработки которой были рассмотрены в предыдущей главе.

При этом одним из возможных подходов к внедрению технологии PKI является передача функций, связанных с выдачей и дальнейшим обращением цифровых сертификатов, на аутсорсинг. Передача функций удостоверяющего центра сторонней специализированной компании, как правило, решает для предприятия две важных задачи:

  • позволяет избежать значительных расходов, связанных с закупкой и поддержанием программных и аппаратных средств, а также наймом и обучением персонала;
  • дает возможность применять цифровые сертификаты за пределами своего предприятия, а также использовать на предприятии сертификаты сотрудников других предприятий.

В свою очередь, компания, выполняющая функции удостоверяющего центра, может передать часть работ, которые связаны с проверкой документов лиц, претендующих на получение сертификата, и их консультированием, своим партнерам – так называемым "регистрационным центрам". Их основная функция заключается в упрощении и ускорении процедуры проверки документов и идентификации личности при выдаче сертификата для лиц, которые не могут лично явиться в удостоверяющий центр.

Именно на основе сетей регистрационных центров, а также взаимодействия различных удостоверяющих центров (их объединения в единую сеть) должно происходить построение универсальной общедоступной инфраструктуры публичных ключей. Предполагается, что основными пользователями – клиентами удостоверяющих центров, желающими получить цифровые сертификаты, – должны быть лица, заинтересованные в доступе к различным специализированным электронным сервисам, облегчающим взаимодействие как с различными коммерческими структурами (например, банками), так и с государственными органами. Однако на практике продвижение технологии PKI и ее широкое использование сильно затруднено в связи с множеством объективных и субъективных факторов, таких как:

  • неготовность многих предприятий и особенно государственных органов к использованию данной технологии и, в частности, к параллельному использованию как обычных "бумажных" документов, так и электронных (заверенных электронными подписями);
  • отсутствием у многих людей достаточных навыков обращения с компьютерной техникой, а также доступа в сеть Интернет;
  • отсутствием у многих людей культуры использования электронных документов и электронной подписи, за которую необходимо нести ответственность;
  • ограниченная совместимость некоторых средств защиты информации, используемых в России, со средствами защиты информации, применяемыми в других странах.

В результате перспективы решения важных организационных задач, таких как унификация технологий электронно-цифровой подписи и развитие общефедеральных удостоверяющих центров, оказываются неопределенными и во многом зависят от квалификации отдельных представителей профессионального сообщества и их отношения к данной проблеме.

Дальше >>
< Лекция 12 || Лекция 13: 123 || Лекция 14 >

Вопросы и ответы

вопросов: 14
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

ответить
Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

ответить