Компания «Импульс» предлагает услуги по оптимизации сетевой инфраструктуры с целью повышения защищенности.
Часто сетевая инфраструктура предприятия не соответствует требованиям по обеспечению безопасности. Причин такого положения множество, например стихийное развитие сети, отсутствие учета требований ИБ при ее проектировании. Однако сетевая инфраструктура – основа информационной системы и база для обеспечения её бесперебойной и безопасной эксплуатации.
Услуга позволяет:
-
получить текущую схему сети и экспертную оценку её защищенности;
-
сформировать перспективную схему с учетом требований ИБ;
-
задействовать встроенные и дополнительные защитные механизмы сетевого оборудования;
-
оценить информационные потоки в сети, спроектировать политику фильтрации трафика;
-
разработать документы, регламентирующие защиту сетевой инфраструктуры (требования по сетевой безопасности, стандарты и инструкции по настройке сетевого оборудования, политики фильтрации трафика и т.д.).
В общем случае порядок проведения работ следующий:
Построение текущей схемы сети:
-
анализ существующей схемы сети, проектной документации;
-
анализ настроек (конфигураций) сетевого оборудования, данных систем управления сетевым оборудование;
-
актуализация схемы сети (проведение проверок, позволяющих выяснить соответствие полученной схемы сети существующему положению);
Построение схемы информационных потоков:
-
инвентаризационное сканирование;
-
анализ сетевого трафика в различных точках сети;
-
анализ журналов активного сетевого оборудования.
Проведение работ по настройке сетевого оборудования
Подготовка отчета
Результатом работы будет являться отчет, содержащий:
текущую схему сети AS IS, включающую:
-
схему канального и физического уровня (коммутация оборудования, VLAN);
-
логическую схему маршрутизации трафика;
-
схему информационных потоков.
-
замечания и рекомендации по текущей схеме;
-
рекомендации по настройке сетевого оборудования;
-
перспективная схема сети с учетом замечаний;
-
описание политик фильтрации трафика в виде таблиц и списков контроля доступа (ACLS);
-
согласованный перечень нормативных документов (требования по сетевой безопасности, стандарты и инструкции по настройке сетевого оборудования, политики фильтрации трафика).
Концепция информационной безопасности
Строить или модернизировать систему обеспечения ИБ необходимо, руководствуясь едиными принципами и подходами. В противном случае, конечный результат может представлять собой разрозненный набор технических средств и документов, который нельзя будет назвать “системой” и эффективность которого будет невысока. Соответственно, сделанные компанией инвестиции не дадут ожидаемого эффекта.
Достаточно часто встречается ситуация, когда подразделение, ответственное за ИБ, осуществляет свою деятельность исходя только из собственного понимания о том, какие ресурсы являются значимыми для компании, какие цели и задачи ИБ действительно актуальны. При такой организации деятельности, возникают проблемы с обоснованием необходимости внедрения той или иной технологии перед руководством, проблемы с формированием и защитой бюджета на ИБ.
Создание концепции ИБ призвано решить указанные проблемы. Концепция ИБ должна отражать позицию руководства компании в вопросах обеспечения ИБ, подтверждать, что руководство компании уделяет данному направлению внимание, определять цели, задачи и общие принципы, в соответствии с которыми будет строиться комплексная система защиты. Концепция должна представлять собой высокоуровневый документ, определяющий развитие системы защиты на несколько лет вперед.
В общем случае порядок проведения работ следующий:
-
Проведение интервью с руководством компании, курирующим направление ИБ, руководством служб ИБ и ИТ. В процессе таких интервью выявляется позиция руководителей на вопросы обеспечения ИБ, формируется перечень типов критичных ресурсов и бизнес-процессов, определяются цели и задачи обеспечения ИБ исходя из специфики деятельности организации.
-
Получение общей информации о существующем организационно-техническом состоянии системы защиты и текущих проблемах в ее организации.
-
Формирование перечня объектов защиты, составление модели потенциального злоумышленника и угроз.
-
Формирование целевой функциональной архитектуры системы обеспечения ИБ, определение ее технических и организационных составляющих и требований к ним.
-
Разработка документа “Концепция информационной безопасности”.
Результатом работы будет являться документ “Концепция информационной безопасности”, содержащий:
-
Цели и задачи обеспечения ИБ.
-
Принципы обеспечения ИБ.
-
Описание объекта защиты с указанием критичных ресурсов и бизнес-процессов.
-
Модели угроз и потенциального злоумышленника.
-
Целевая функциональная архитектура системы обеспечения ИБ.
-
Зоны ответственности подразделений компании за обеспечение ИБ.
Внедрение системы управления информационной безопасности
Технические средства реализуют определенный набор функций, направленных на обеспечение ИБ.
Для построения действительно эффективной системы защиты требуется проработать целый ряд организационных аспектов.
В частности, необходимо определить ответственных за обеспечение ИБ и регламентировать взаимодействие между ними, необходимо формализовать процессы управления системой защиты, необходимо определить корпоративные нормы и правила, которым должны следовать все сотрудники компании.
От целого ряда угроз ИБ невозможно или крайне сложно обеспечить защиту только техническими средствами. В первую очередь это касается внутренних угроз, исходящих от собственных сотрудников компании. А по статистике, около 80% ущерба наносят инциденты, вызванные именно сотрудниками компании. В таких ситуациях, на первый план выходят организационные мероприятия.
Организационное обеспечение ИБ должно представлять собой взаимосвязанную структуру, объединенных едиными принципами, начиная с высокоуровневых (концептуальных) документов и заканчивая детальными, ориентированными на ту или иную технологию или область деятельности. Наша компания готова предложить Вам услуги по разработке полного комплекта организационного обеспечения по ИБ.
Для обеспечения высокого уровня защиты от актуальных угроз, система управления информационной безопасностью должна включать в себя как технические, так организационные механизмы. Разнообразие вариантов нанесения ущерба владельцу ИС и повышение общего уровня потенциального злоумышленника требует использование всё более и более сложных средств защиты. В связи с этим интеграция различных продуктов по обеспечению безопасности защиты в единую управляемую систему является сложной инженерной задачей.
Компания Импульс выполняет работы по проектированию и внедрению систем обеспечения безопасности различных компонентов ИС. В ходе проектирования максимально задействуются встроенные защитные механизмы ОС, СУБД и прикладных систем, что позволяет реализовать преимущества концепции с минимальными затратами. Выбор дополнительных средств защиты, предлагаемых Заказчику обосновывается на различных показателях. Но не в последнюю очередь он зависит от результатов, которые эти средства показали в ходе тестирования на проникновение.
В ходе работы могут быть затронуты различные компоненты СУИБ, такие как:
-
Подсистема защиты периметра сетевой безопасности.
-
Защита систем электронной почты, защиты от вирусов и СПАМа.
-
Обеспечение безопасности рабочих станций и мобильных клиентов.
-
Безопасность беспроводных сетей.
-
Защита Web-приложений.
-
Системы обнаружения и предотвращения атак.
-
Системы корреляции и анализа событий ИБ.
Политики информационной безопасности
Следующим за концепцией уровнем детализации организационного обеспечения ИБ является набор политик. Политики являются узкоспециализированными документами и детально описывают требования по ИБ к определенной технологии или области деятельности.
Целесообразно выделять общую политику, которая детализирует концепцию ИБ и содержит набор требований и правил, применимых к большинству областей и технологий, действующих в компании и частные политики ИБ.
В общую политику ИБ могут быть включены требования по:
-
аутентификации;
-
контролю и разграничению доступа;
-
правила предоставления доступа к ресурсам;
-
требования к обработке информации, составляющей коммерческую тайну и персональные данные;
-
требования по работе со средствами удаленного доступа, мобильными средствами доступа, электронной почтой, Интернет, средствами криптографической защиты;
-
общие требования по антивирусной защите, резервному копированию и пр.
Частные политики ИБ могут разрабатываться под конкретные технологические платформы, используемые в компании. Частные политики могут содержать требования по настройке штатных механизмов ИБ в ОС, СУБД и прикладном ПО в соответствии с рекомендациями производителей и международных стандартов (Microsoft Windows, Linux, Microsoft SQL, Microsoft Exchange, IIS, Apache, сетевое оборудования, включая WiFi и пр.). Также, частные политики могут содержать требования по настройке специализированных средств ИБ (Cisco PIX, CheckPoint Firewall, средства PKI, криптографической защиты, средства антивирусной защиты, резервного копирования и пр.).
В общем случае порядок проведения работ следующий:
-
Сбор и анализ информации по используемым технологиям и существующим процессам ИБ.
-
Анализ существующей нормативно-технической базы по ИБ Заказчика. Анализ применимости требований международных стандартов и рекомендаций, рекомендаций производителей к ИТ-инфраструктуре Заказчика.
-
Формирование совокупности требований и правил по ИБ для различных технологий и областей деятельности.
-
Разработка комплекта политик ИБ.
Результатом работы будет являться комплект политик ИБ, где каждый документ будет содержать:
-
Цель документа и область его действия.
-
Требования к вводу в действие, эксплуатации и выводу из эксплуатации той или иной технологии.
-
Зоны ответственности за выполнения политики.
-
Инструкции, регламенты
Инструкции информационной безопасности
В отличие от концепции и политик, инструкции ИБ связаны непосредственно с конкретными ролями, а регламенты по ИБ – с процессами.
Инструкции разрабатываются для определенных категорий персонала Заказчика (ролей). Инструкция должна содержать описание обязанностей, полномочий и ответственности, которые возлагаются на ту или иную роль, описание того, как данная роль осуществляет взаимодействие с другими ролями. Инструкции могут быть разработаны, например, для администраторов ИБ, аудиторов ИБ, аналитиков ИБ и пр. Отдельно, могут разрабатываться разделы по ИБ в инструкции для корпоративных пользователей и сотрудников ИТ службы.
Регламенты предназначены для того, чтобы формализовать процессы, связанные с обеспечением ИБ и определить роли, ответственные за корректную организацию того или иного процесса.
Регламенты могут быть разработаны для:
-
процессов резервного копирования и восстановления;
-
антивирусной защиты;
-
выпуска, эксплуатации и отзыва криптографических ключей;
-
управления учетными записями пользователей;
-
обработки инцидентов ИБ;
-
обработки нештатных/чрезвычайных ситуаций и пр.
В общем случае порядок проведения работ следующий:
-
Сбор и анализ информации о существующей организационно-штатной структуре, ответственной за обеспечение ИБ.
-
Формализация действующих у Заказчика процессов, связанных с обеспечением ИБ.
-
Выявление расхождений существующего распределения обязанностей и действующих процессов с концепцией и политиками ИБ, лучшими практиками (best practices).
-
Разработка комплекта инструкций и регламентов по ИБ.