Для сбора информации об информационной системе может быть использована любая или комбинация следующих техник:
Опросные листы. Для сбора необходимой информации персонал, выполняющий оценку рисков, может разработать опросные листы, касающиеся управленческих и операционных механизмов, планируемых или используемых в информационной системе. Эти опросные листы должны распространяться в технической и нетехнической форме персоналу, который занимается проектированием или поддержкой информационной системы. Опросные листы могут также использоваться непосредственно в течение интервьюирования.
Интервьюирование. Интервьюирование с персоналом, который поддерживает и управляет информационную, систему может помочь в оценке рисков для сбора полезной информации об ИС (например, как система управляется и функционирует). Непосредственное посещение информационной системы также позволяет персоналу, который выполняет оценку рисков, осмотреть и собрать информацию о физической, операционной безопасности и безопасности среды этой ИС. Приложение А содержит примеры вопросов, которые задаются в течение интервьюирования с персоналом ИС, для достижения персоналом, который проводит анализ рисков, лучшего понимания операционных характеристик организации. Для систем, которые все еще находятся в фазе проектирования, посещение будет возможностью сбора данных непосредственно на месте внедрения, что поможет оценить физическую среду, в которой ИС будет функционировать.
Образцы вопросов для интервьюирования
- Кто являются авторизованными пользователями?
- Какие задачи пользователей организации?
- Какие задачи решает система в отношении деятельности организации?
- Какова важность системы для решения пользователями своих задач?
предыдущаяследующа
ТЕХНИКИ СБОРА ИНФОРМАЦИИ О СИСТЕМЕ
- Какие требования доступности системы?
- Какая информация (входная и выходная) важна для организации?
- Какая информация создается, потребляется, обрабатывается, хранится или принимается системой?
- Какова важность информации системы для выполнения пользователям своих задач?
- Как распределены информационные потоки?
- Какие типы информации обрабатываются и хранятся в системе (например, финансовая, персональные данные, данные о разработках и исследованиях, медицинские данные, управляющая)?
- Какой уровень конфиденциальности информации системы?
- Какая информация, обрабатываемая в/о системе, не должна раскрываться и кому?
- Где конкретно обрабатывается и хранится информация?
- Какие типы хранилищ информации используются?
- Каково потенциальное влияние события несанкционированного раскрытия информации?
- Каковы требования по доступности и целостности информации?
- Как отразится на организации ненадежность информации или системы?
- Какое допустимо время простоя системы для организации? Как это время простоя относится к значению времени восстановления? К каким иным вариантам обработки или связи пользователи могут получить доступ?
- Может ли нарушение в работе или недоступность функций безопасности или системы привести к вреду здоровья или смерти персонала?
ОБЗОР ДОКУМЕНТОВ
Технические паспорта, Документы политики (например, законодательные документы, директивы), системная документация (например, руководства пользователей по системе, руководство администрирования системы, проектная документация, документы по приобретению), и документация по безопасности системы (например, предыдущие отчеты аудита, отчеты оценки рисков, результаты тестирования системы, планы безопасности системы[1], концепция безопасности) может обеспечить хорошей информацией о механизмах безопасности, которые используются и планируются в ИС. Анализ влияния или оценка критичности ресурсов обеспечивается информацией относительно чувствительности данных и систем.
Использование автоматизированных средств сканирования. Упреждающие технические методы могут быть использованы для эффективного сбора анализа информации. Для примера, средства картографирования сети могут определять службы, которые запущены на больших группах узлов системы и обеспечивают быстрый способ построения индивидуальных профилей целевой информационной системы (систем).
Очень хорошо, если в организации внедрен процесс управления активами (а лучше – конфигурациями). Информация от этих процессов позволяет видеть, какие активы и в каком состоянии есть в организации на текущий момент, позволяет эффективно управлять ими, отслеживать изменения.
Для более эффективного управления активами необходимо, чтобы на любой АРМ, сервер, оборудование, сервис был «Технический паспорт». Нужна паспортизация!!!
К средствам автоматизированного сбора информации об активах можно отнести такое средство, как «CA Asset Manager», «IBM Tivoli Configuration Manager», HP Remedy® Asset Management
Tivoli Configuration Manager может точно сообщить, какое программное обеспечение установлено на предприятии. Он может опознать тысячи коммерческих приложений, к тому же его легко настроить для опознавания приложений собственной разработки. Tivoli Configuration Manager регистрирует детальную информацию об архитектуре системы, о модели, об операционной системе и аппаратных средствах. Кроме того, простая в работе функция IBM Tivoli Inventory позволяет запрашивать у конечных пользователей информацию, недоступную для автоматического сканирования.
ОБЗОР ДОКУМЕНТОВ
Asset Manager. Ключевые особенности
- Инвентаризация оборудования.
- Инвентаризация ПО.
- Мониторинг использования приложений.
- Инвентаризация сети.
- Интеллектуальный поиск ПО.
- База данных идентификации ПО.
- Управление конфигурациями.
Remedy® Asset Management. Учет, контроль и управление ресурсами ИТ на уровне предприятия с меняющимися взаимосвязями между ними на протяжении всего их жизненного цикла;
Регулярное отслеживание текущего состояния ИТ-активов становится отдельной сложной задачей, стоящей перед службой ИТ. Без этого невозможно обеспечить предоставление ИТ-услуг требуемого качества и оптимальное с финансовой точки зрения выделение ИТ-ресурсов
Движение по направлению «Инвентаризация и управление ИТ-активами» позволит повысить доступность и актуальность информации об ИТ-активах компании за счет следующих факторов:
- автообнаружение и сбор информации об имеющихся ИТ-активах;
- добавление всей собранной информации в централизованное хранилище;
- внедрение базы данных конфигураций (CMDB) с открытой архитектурой; к этой базе данных можно подключать различные источники данных, а задача удобно организовать хранение и предоставление информации по ИТ-активам решается с помощью этой базы данных легко и просто.
Желательно на этапе определения характеристик системы ее паспортизовать и построить модели функционирования БП, где отражены основные БП, бизнес-функции, используемые ими ресурсы и роли. Бизнес-процессы описываются в рамках определенных нотаций – IDEF0, ARIS. В них можно отразить и организационную структуру.
Слева – входящие ресурсы, справа – выходящие, сверху – ограничения, снизу – роли, ресурсы на базе которых происходит выполнение БП.
ОБЗОР ДОКУМЕНТОВ
Показать информационные ресурсы, аппаратные ресурсы и пользовательские роли на моделях.
предыдущаяследующа
ОПРЕДЕЛЕНИЕ УЯЗВИМОСТЕЙ
Уязвимость – недостаток или слабость в безопасности системы: процедурах, дизайне, реализации или внутренних механизмах, которые могут быть использованы (произвольным образом или преднамеренно) и привести к бреши безопасности или нарушению политики безопасности системы.
Анализ рисков ИС должен включать анализ уязвимостей связанных со средой системы. Цель этого шага – разработка перечня уязвимостей системы, которые являются недостатками или слабостями, которые могут быть использованы и привести к возникновению бреши в безопасности или нарушению политики безопасности системы.
Рекомендуемые методы для определения уязвимостей системы – использование источников и публикация освещающих уязвимости, проведение тестов безопасности системы и разработка проверочных листов для анализа выполнения требований безопасности.
Уязвимости подразделяются на технические (например, уязвимость в ПО), технологические (ошибка проектирования), организационные.
- Если проект ИС еще не доработан, поиск уязвимостей должен фокусироваться на политиках безопасности организации, планируемых процедурах безопасности и определениях требований к системе и анализ безопасности продуктов поставщиков или разработчиков.
- Если ИС реализуется, определение уязвимостей должно быть расширено для включения туда более специфичной информации, такой как планируемые особенности безопасности, описанные в проектной документации и результаты сертификации, тестирования и оценки системы.
- Если ИС уже эксплуатируется, процесс определения уязвимостей должен включать анализ безопасности ИС и механизмов безопасности – технические и процедурные, используемые для защиты системы.
ИСТОЧНИКИ УЯЗВИМОСТЕЙ
- Отчеты предыдущих оценок рисков ИС.
- Отчеты аудита ИС, отчеты аномалий системы, отчеты обзора безопасности, тесты системы.
- БД уязвимостей, например, таких как база уязвимостей NIST I-CAT (http://icat.nist.gov).
- Консультационные материалы по безопасности, такие как FedCIRC и Департамент Энергетики – Материалы по Возможным Компьютерным Инцидентам (Department of Energy’s ComputerIncident Advisory Capability bulletins).
- Материалы поставщиков решений и разработчиков.
- Коммерческие команды реагирования на инциденты и рассылки (например, форум SecurityFocus.com).
- Уведомления об уязвимостях и объявления для военных систем.
- Анализ безопасности ПО.
