Опубликован: 12.11.2012 | Доступ: свободный | Студентов: 1789 / 303 | Длительность: 18:27:00
Лекция 11:

Домен "Эксплуатация и сопровождение": процессы, отвечающие за безопасность, затраты ИТ и обучение пользователей

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Аннотация: Рассмотрены процессы домена "Эксплуатация и сопровождение", отвечающие за обеспечение безопасности, определение и распределение затрат на ИТ и обучение пользователей.

11.1. DS 5. Обеспечение безопасности систем

В современном мире защита информации является одной из приоритетных задач, так как информация сама по себе в большинстве случаев является наиболее ценным ресурсом организации. Информационная безопасность рассматривается в контексте трех понятий – целостности, конфиденциальности и доступности:

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Процесс "Обеспечение безопасности систем" отвечает за соблюдение этих свойств информации. Ключевой деятельностью в рамках процесса является назначение ролей и распределение ответственностей. Сюда также входит создание Политики информационной безопасности и процедур для ее осуществления. Политика информационной безопасности (Security Policy) - система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают организации достижение целей обеспечения безопасности систем. Обеспечение безопасности ИТ-активов требует непрерывного мониторинга с целью выявления наиболее слабых мест в системе защиты и их последующего устранения. Риски для бизнеса заключаются в возникновении прямого или косвенного ущерба в результате возникновения инцидентов информационной безопасности. Примером прямого ущерба может стать хищение финансовых средств, косвенного – потеря деловой репутации (например, в случае хищения персональных данных). Инцидент является следствием наличия уязвимостей. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ. Эффективная реализация процесса позволит минимизировать или вовсе исключить риски со стороны реализации уязвимостей.

Процесс "Обеспечение безопасности систем"

Рис. 11.1. Процесс "Обеспечение безопасности систем"

Обеспечение безопасности систем.

удовлетворяет следующим бизнес требованиям к ИТ

обеспечение целостности информации и инфраструктуры обработки данных, а также минимизация последствий для бизнеса от инцидентов и уязвимостей в системе безопасности.

сосредоточено на

определении политики ИТ-безопасности, планов и процедур, мониторинге, выявлении, отчетности и разрешении уязвимостей и инцидентов в области информационной безопасности.

достигается с помощью

  • Понимания требований безопасности, уязвимостей и угроз.
  • Стандартизованное управление идентификацией пользователей и авторизациями.
  • Регулярное тестирование аспектов, связанных с безопасностью.

результаты оцениваются с помощью следующих показателей

  • Число инцидентов, нанесших урон публичной корпоративной репутации.
  • Число систем, в которых не соблюдены требования по безопасности.
  • Число нарушений в разделении обязанностей.

В таблице 11.1 представлена информация, необходимая для процесса и ее источники.

Таблица 11.1.
Источник Входящая информация
PO 2 Информационная архитектура: принятая классификация данных
PO 3 Технологические стандарты
PO 9 Оценка рисков
AI 2 Спецификация управления безопасностью приложений
DS 1 Соглашения операционного уровня

В таблице 11.2 приведены результаты процесса и то, куда они должны поступить.

Таблица 11.2.
Результаты В процессы
Определение инцидентов в сфере безопасности DS 8
Специфические требования по повышению осведомленности в области безопасности DS 7
Отчеты об эффективности процессов ME 1
Требуемые изменения в безопасности AI 6
Уязвимые места и угрозы безопасности PO 9
План и политика ИТ-безопасности DS 11

Таблица 11.3 содержит таблицу ОУКИ для процесса, а таблица 11.4 – цели и показатели.

Таблица 11.3.
Действия\Функции Президент Финансовый директор Высшее руководство Директор по ИТ Владелец бизнес-процесса Руководитель эксплуатации системы Главный архитектор ИТ-системы Руководитель разработок Руководитель администрации ИТ Руководитель проектного офиса Аудит, риски, безопасность
Определить план безопасности ИТ и поддерживать его И К К У К К К К И И О
Определить, принять и применить процесс управления идентификацией пользователей И У К О О И К
Вести мониторинг потенциальных и существующих инцидентов в сфере безопасности У И О К К О
Вести периодический анализ и проверку прав доступа и полномочий пользователей И У К О
Установить и поддерживать процедуры поддержки и защиты криптографических ключей У О И К
Внедрить и поддерживать меры технического и процедурного контроля для защиты межсетевых информационных потоков У К К О О К
Проводить регулярный анализ уязвимых мест И У И К К К О
Таблица 11.4.
Цели Показатели
ИТ:
  • Убедиться в конфиденциальности критичной и конфиденциальной информации
  • убедиться в том, что авторизованные бизнес-транзакции и обмен данными заслуживают доверия
  • обеспечить целостность информации и инфраструктуры обработки данных
  • убедиться в том, что ИТ-услуги и инфраструктура устойчивы к сбоям вследствие ошибок, преднамеренной атаки или аварийной ситуации
  • убедиться в том, что ИТ-услуги и инфраструктура могут быть восстановлены в случае сбоев, вызванных ошибками, преднамеренной попыткой взлома или аварийной ситуацией
  • число инцидентов, имевших последствия для бизнеса
  • число систем, в которых не соблюдены требования безопасности
  • время, необходимое на предоставление, изменение или ликвидацию прав доступа
Процесса:
  • разрешить доступ к критичным данным только авторизованным пользователям
  • вести мониторинг и отчетность об уязвимых местах в системе безопасности и инцидентах
  • выявлять и пресекать неавторизованный доступ к информации, приложениям и инфраструктуре
  • минимизировать последствия от инцидентов и уязвимых мест в системе безопасности
  • число и тип предположительных и явных попыток нарушения прав доступа
  • доля пользователей, не исполняющих требования стандартов в области паролей
  • число и типы предотвращенных вредоносных программ
Действия:
  • понимание требований безопасности, уязвимостей и угроз
  • стандартизованное управление идентификацией пользователей и авторизациями
  • выявление инцидентов в области безопасности
  • регулярное тестирование аспектов, связанных с безопасностью
  • регулярность мониторинга различных типов инцидентов в сфере безопасности
  • число и типы устаревших учетных записей
  • число случаев блокировки неавторизованных IP-адресов, портов и типов трафика
  • доля компрометированных и аннулированных криптографических ключей
  • число авторизованных, аннулированных, восстановленных или измененных прав доступа

Цели контроля

  • DS 5.1. Управление ИТ-безопасностью

    Организовать управление ИТ безопасностью на максимально возможном организационном уровне, чтобы действия по обеспечению безопасности соответствовали требованиям бизнеса.

  • DS 5.2. План по ИТ-безопасности

    Преобразовать бизнес требования, а также требования в отношении рисков и соответствия требованиям в общий план по ИТ-безопасности, учитывающий ИТ- инфраструктуру и корпоративную культуру обеспечения безопасности. Следует убедиться в том, что план внедрен посредством политик безопасности, процедур и подкреплен инвестициям в услуги, персонал, аппаратное и программное обеспечение. Проинформировать заинтересованные стороны и пользователей о политиках и процедурах в области безопасности.

  • DS 5.3. Управление идентификацией

    Следует убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ-системах (приложениях, ИТ-среде, системных операциях, разработке и обеспечении) может быть однозначно идентифицирована. Обеспечить идентификацию посредством механизмов авторизации. Подтвердить, что права на доступ пользователей к системам и данным соответствуют определенным и документированным бизнес потребностям и должностным обязанностям, соотнесенными с конкретными пользователями. Следует убедиться, что права на доступ пользователей, запрашиваемые руководством пользователей, подтверждены владельцами систем и предоставляются уполномоченным лицом в области безопасности. Хранить учетные записи пользователей и профили прав доступа в централизованном банке данных. Осуществлять на практике эффективные с точки зрения затрат технические и процедурные мероприятия для установления идентификации пользователей, аутентификации и обеспечения прав доступа.

  • DS 5.4. Управление учетными записями пользователей

    Обеспечить управление запросами, созданием, приостановкой, изменением и ликвидацией учетных записей пользователей и связанных с ними полномочий с помощью комплекса процедур. Внедрить процедуру утверждения предоставляемых прав доступа со стороны владельцев данных или систем. Данные процедуры должны применяться по отношению ко всем пользователям, включая администраторов (привилегированных пользователей), а также внутренних и внешних пользователей, в обычных и аварийных условиях. Права и обязанности, относящиеся к доступу к корпоративным системам и информации, должны быть определены для всех типов пользователей в договорном порядке. Осуществлять регулярный управленческий мониторинг всех учетных записей и связанных с ними прав и полномочий.

  • DS 5.5. Тестирование, надзор и мониторинг в сфере ИТ-безопасности

    Осуществлять тестирование и мониторинг внедрения ИТ-безопасности, упреждая события. Вопросы, связанные с ИТ-безопасностью должны своевременно пересматриваться с целью соответствия основным корпоративным принципам безопасности. Регистрация событий и мониторинг помогут предотвратить на ранних этапах и/или выявить и своевременно сообщить о необычной и/или ненормальной деятельности, по отношению к которой, возможно, следует принять меры.

  • DS 5.6. Определение инцидентов в сфере безопасности

    Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно было классифицировать и устранить в процессе управления проблемами и инцидентами.

  • DS 5.7. Защита технологий безопасности

    Обеспечить защиту от взлома для технологий, связанных с безопасностью, и не разглашать соответствующую документацию без необходимости.

  • DS 5.8. Управление ключами криптозащиты

    Определить политику и процедуры по выпуску, изменению, отмене, уничтожению, распространению, сертификации, хранению, активации, использованию и архивированию криптографических ключей для обеспечения их защиты от несанкционированного изменения и раскрытия.

  • DS 5.9. Выявление, предупреждение и устранение последствий от вредоносного программного обеспечения

    Принимать превентивные, выявляющие и устраняющие меры (особенно по установке обновлений, связанных с безопасностью и защитой от вирусов) в рамках организации для защиты информационных систем и технологий от вредоносных программ (вирусов, червей, шпионских программ, спама).

  • DS 5.10. Сетевая безопасность

    Применять технологии обеспечения безопасности и соответствующие процедуры управления (межсетевые экраны, устройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для авторизации доступа и контроля информационных межсетевых потоков.

  • DS 5.11. Обмен критичными данными

    Осуществлять обмен критичными данными (транзакциями) только посредством надежного канала или носителя, которые гарантируют аутентичность содержания, доказательства отправления и получения, а также невозможность отказа от факта обмена данными.

  • DS 6. Определение и распределение затрат

    Потребность в рыночной и объективной системе распределения затрат на ИТ требует точной оценки этих затрат и соглашения с бизнес пользователями. Данный процесс включает в себя создание и применение системы учета, распределения и отчетности по затратам на ИТ для пользователей услуг. Справедливая система распределения дает возможность бизнесу принимать более компетентные решения по использованию ИТ услуг.

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Максим Цапко
Максим Цапко

Я наконец закончил курс "Управление ИТ-проектами". Как получить документ об окончании курса.

Дмитрий Лобанов
Дмитрий Лобанов

Управление ИТ на основе COBIT 4.1

: в перечне литературы, п.15 - отсутствует документ по ссылке https://www.rusonyx.ru/support/agreements/

Алексей Янов
Алексей Янов
Россия, Москва, МГТУ им Н.Э.Баумана, 2002
Сергей Уткин
Сергей Уткин
Россия