StudyDocs.ru Logo

Часть 2.docx


Вне практик.Принципы противодействия внутренним нарушителям:Стейкхолдеры:Отдел кадровЮридический отделОтдел физической защитыВладельцы данныхIT и ИБОтдел разработкиКлючевые моменты:Сговор с аутсайдерами;Бизнес-партнёры;Моменты слияния и поглощения;Культурные различия: восприятие контекста, хроническая культура.Опр. Стейкхолдер — физическое лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиямСоциальная инженерия:Пассивная:Мусор;Технический канал;Поиск в открытых источниках.Активная:Онлайн:вредонос;фишинг;обратная социальная инженерия;прицельная социальная инженерия;Оффлайн:обратная социальная инженерия;прицельная социальная инженерия;вброс съемного носителя;Практика 1. Организационная документация ИБ и ПВУ: разработка и обеспечение исполнения.Рассматривать угрозы ИБ исходящие от инсайдеров и бизнес партнёров в рамках общей оценки рисков организации.Большая сложная табличка.Практика 2. Организационная документация ИБ и ПВУ: разработка и обеспечение исполнения.Необходимо добиваться исполнения правил и мер защиты.Опр. Стратегия обеспечения ИБ (закрытый документ) — самый высокоуровневый документ, определяющий:Цели ИБ;Основные пути развития;Механизмы оценки;Политика (частная политика).Опр. Политика обеспечения ИБ (все сотрудники организации обязаны быть ознакомлены, влияет на всех) — документ, определяющий:Частную политику ИБ;Регламент.Виды деятельности:Стратегическая (Plan) → Тактическая (Do, Check) → Операционная (Act).Plan → Do → Check → Act → Plan → …Опр. Болевые точки организации — моменты, когда можеь быть нарушена ИБ.Возможные болевые точки:Повышение/понижение;Изменение полномочий:;Слияние, поглощение.Практика 3. Обучение сотрудников ИБ в части ПВУ.Включить ознакомление с внутренними угрозами в периодическое обучение.Пример: Программа поддержки персонала.Сотрудники должны понимать, что информация есть собственность компании. Необходимо объяснить им принципы ИБ, а также проводить данные программы регулярно через определенное количество времени.Практика 4. Выявление потенциальных внутренних нарушителей на этапе найма.Начиная со времени найма сотрудника, необходимо реагировать на подозрительное и разрушительное его поведение.Важные пункты перед наймом:Справка об уголовной ответственности (из УДО);Справка из наркодиспансера;Справка от психолога;Профессиональные качества (годен ли нанимаемый для должности);Кредитная история;Образование;Рекомендательное письмо.Практика 5. Управление негативными ситуациями в рабочей среде. Болевые точки орг.изменений.Допустимое поведение на работе;Дресс-код;Допустимое использование ресурсов на работе;Развитие карьеры;Программа поддержки персонала.Трудности:Сложно предсказать финансовые условия;Связь между руководством и подчиненными.Практика 6. Знайте свои активы.Активы:финансы;информация;инфраструктура;сотрудники;процессы и функции;


Процесс управления конфигурацией и активами:Конфигурационная единица (Configuration Item):процессы;люди;софт;помещение;оборудование;сервисы.Актив (Asset):бухгалтерия.Конфигурационная база данных (CMDB):инвентаризация (ручная или программная);определение порога детальности для инвентаризации;процесс управления уязвимостями;повторная инвентаризация.При повторной инвентаризации можем найти “дырки” злоумышленника.Системная инженерия:Социальная инженерия;Утечка информации в интернет;Халатность;Потеря съемного носителя.Практика 7. Внедрение практики сильных паролей и управления учетными записями.Сильный пароль:Длина от 10 символов;Не использовать конкретные слова;Большой алфавит (регистр, цифры, спецсиволы);Не выдавать (палить) пароли;Разделять личные и промышленные пароли;Обновлять пароли время от времени.\Учетные записи (по полномочиям):Обычный пользователь;Привилегированный пользователь.Система разграничения доступа:Дискретная (UID);Групповая (UID, GID);Ролевая;Мандатная (метки доступа):классическая;модель Белла-ЛаПадулы.Опр. Роль — совокупность полномочий для выполнения производственных функций.Опр. Тайна — режим доступа к информации.Классификация информации:Информация ограниченного доступа:Гостайна;Другие виды тайн;Конфиденциальная информация (персональные данные).Информация открытого доступа.Модель Белла-ЛаПадулы:

321
“Секретно”RWRR
“Совершенно секретно”(W)RWR
“Особой важности”(W)(W)RW
Примечание: Без W — классическая мандатная система.Практика 8. Внедрение минимальных полномочий и разделение обязанностей.Нельзя совмещать следующие пары ролей:Администратор + администратор ИБ;Разработчик + тестер;Разработчик + эксплуататор;


Классификация учетных записей (по пользователю):Пользовательская:персональная;групповая (по возможности как можно меньше);Служебная:технологическая учетная запись (по возможности блокировать, разделять);системная учетная запись (необходимо разделить между админом и АИБом или заблокировать);учетные записи внештатного режима (при нештатных ситуациях).Принципы управления учетными записями:Следить за учетными записями;Минимум полномочий;Критически важные операции нельзя доверять одному человеку.Практика 9. Управление ИБ при использовании услуг облачных провайдеров.Необходимо определить точное соглашение по ИБ для каждого облачного сервиса, особенно в части ограничения доступа и возможности по мониторингу.Виды облаков:Частное облако (облако, находящееся у нас, на уровне компании);Коллективное облако;Публичное облако (iCloud, к примеру);Гибридное облако.Опр. Service Level Agreement (SLA) — определяет взаимные ответственности провайдера ИТ-сервиса и пользователей этого сервиса.Практика 10. Контроль привилегированных пользователей.Практика 11. Управление изменениями: применение процесса ITIL для ПВУ.Три стадии в организационных изменениях:Отторжение;Принятие без понимания;Принятие с пониманием.Техзадание → Эскизный проект → технорабочий проект → испытания → эксплуатация.Примечание: Все ТЗ должны согласовываться со службой безопасности.
DHL — склад эталонного железа.DSL — библиотека эталонного ПО.CMDB — конфигурационная база данных.Практика 12. Использование утилит корреляции событий или SIEM структуры.Логи должны просматриваться автоматически.Классы систем:Security information management (SIM, собирает все логи, приводит их к общему формату и предоставляет эту информаицю АИБу);Security Event Management (SEM, играет роль “красной лампочки”).Протоколы изменений: syslog, snmp, smtp.Security Infrormation and Event Management (SIEM):Сбор информации;Нормализация (приведение к общему виду, что за событие);Корреляция (совмещение всего вместе, что за атака);Выдача сообщения (Alert).Примечание: пункты c) и d) относятся к анализу.Виды анализа:Сигнатурный (поиск отклонений от нормы, бывают ложные срабатывания);Эталонный (следим за нормой, сравниваем с тем, что должно быть).Практика 13. Контроль удаленного доступа и MDM.Установить мониторинг и контроль удалённого доступа и мобильных устройств.Virtual Private Network (VPN):
При увольнении обязательно надо блокировать удаленный доступ.“Дыры” при использовании мобильных устройств:“Расшаренный” Wi-Fi, соединение Интранета и Internet;Съем информации;На мобильном устройстве присутствуют рабочие и личные приложения.Пути борьбы с уязвимостями:Mobile Device Manager (MDM, покупка спец. устройств и установка спец. ПО, дорогой способ);Bring Your Own Device (BYOD, опасно, но компании идут на это ради популяризации среди молодежи).Distance Banking “Obslujivanie” (DBO/ДБО).Практика 14. Процедура увольнения сотрудников.Необходимо разработать исчерпывающую процедуру увольнения сотрудника с участием:Непосредственного начальника;Финансового департамента;Отдела учета;Отдела ИБ;Отдела кадров;Отдел физической защиты.Виды аутентификации:“Я знаю” (пароль);“Я имею” (карточка);“Я есть” (биометрия).Практика 15. Резервирование и восстановление.Необходимо внедрить практику резервирования и восстановления.Виды резервов:Горячий резерв.Информация синхронизируется в реальном времени. Если что-то случается, то второй сервер сразу начинает работу.Теплый (условно-горячий) резерв.Информация синхронизируется раз в день.Холодный резерв.Второй сервер не работает пока не сломается первый. Данные на второй перекачиваются с перового раз в месяц.Примечание: Для надежности информацию с холодного резерва иногда переписывают еще и на магнитную ленту.Практика 16. Формализованная программа ПВУ.Управление инцидентами:Выявление:SIEM;Наблюдение;Аудит;AntiProud.Реагирование.План действий:Последовательность действий;Телефоны;Ответственные люди.Практика 17. Базовый уровень сетевого поведения.Практика 18. Контроль социальных медиа.Вообще не говорить о работе в соцсетях.Практика 19. Контроль утечки информации. DLP.Опр. Data Leak Prevention (DLP) – технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.Каналы утечки информации:Технические:ПЭМИН;акустика;виброакустика;гидроакустика;оптические;Rubish Diving;Социальные сети;Агентный канал;Недекларированные возможности;USBCD/DVD/Blu-Ray/Floppy и т.д.Рассказать человеку; Кража оборудования;Отсканировать/сфотографировать;Распечатать;Wi-Fi/анализ трафика/BT/IRDA (ИК-порт);Почта;Телефон; Факс;SMS/MMS;Написать записку;Вскрыть корпус;Key Logger.DLP контролирует:Социальные сети;Установку программ;USB конкретных устройств;Печать, зеркалирование, эталонный анализ;Почту.