Embed Size (px)
Citation preview
Обеспечение защиты информации на стадиях жизненного цикла
при разработке информационных систем.
Горбачев Евгений Васильевич Заместитель начальника управления ИБ – начальник отдела защиты ИС
апрель 2015 г.
Главные тезисы:
Все новые ИС должны отвечать требованиям бизнеса.
Все новые ИС должны отвечать требованиям безопасности.
Безопасность – это не проблема «безопасников», а спокойствие бизнеса и конкурентное преимущество.
Правильно простроенная система ИБ является конкурентным преимуществом.
Служба ИБ обеспечивает безопасность бизнеса в целом, но только бизнес является локомотивом изменений.
Финансовый результат (ущерб) от деятельности мошенников д.б. отнесен на финансовый результат конкретного бизнес-подразделения.
Информационная безопасность и бизнес в одной лодке …
Основные этапы жизненного цикла ИС с точки зрения ИБ:
Обследование и разработка ТЗ.
Проектирование.
Разработка ИС и тестирование.
Приемка и ввод в действие.
Эксплуатация.
Сопровождение и модернизация.
Вывод из эксплуатации.
На что следует обращать внимание: при обследовании и разработке ТЗ На начальной стадии определяются цели, задачи использования ИС и ее основные функции, определяются методы и средства разработки. Основными направлениями, как правило, являются: • определение угроз и оценка рисков ИБ, • взаимодействие по вопросам ИБ в рамках выполнения работ, • выбор средств и мер для защиты и нейтрализации угроз ИБ, • понимание требований законодательства и отнесение ИС к
определенной категории.
На что следует обращать внимание: при проектировании На этапе проектирования отправной точкой служит рабочий функционал и обеспечение его безопасности, которое описываются рядом нормативных требований. Это безопасность работы через интернет и электронную почту, ведение журналов событий, управление правами доступа и т. д. Информационные ресурсы, которые должны быть защищены, следует подразделять по соответствующим функциональным принципам. Требования к обеспечению безопасности тех или иных рабочих функций должны учитываться разработчиками на этапе проектирования системы.
На что следует обращать внимание: при разработке и тестировании Безопасность при разработке ИС может быть обеспечена следующими мерами: • Определение процедур разработки ИС. • Организация среды разработки. • Обучение сотрудников ИТ методам безопасной разработки. • Анализ и тестирование исходных кодов на наличие уязвимостей и
недекларированных возможностей При приобретении ИС необходимо уделить особое внимание оформлению договорных обязательств. Также следует учитывать наличие у разработчика необходимых лицензий на разработку и эксплуатацию средств и систем защиты.
На что следует обращать внимание: при приемке и вводе в действие • Наличие программы и методики испытаний (ПиМИ). ПиМИ должна
содержать мероприятия по проверке требований ИБ. • Проверка документации на ИС. С точки зрения ИБ документация как
минимум должна содержать: описание ролевой системы, описание механизмов доступа, регистрации событий, целостности, резервирования, параметры настроек безопасности.
• Обучение и подготовка администраторов и пользователей ИС. • Подготовка актов о завершении тестирования и приказа о вводе
системы в промышленную эксплуатацию. • Передача кода новой ИС в службу хранения эталонов ПО.
На что следует обращать внимание: при эксплуатации На стадии эксплуатации важно учитывать: • Работоспособность всех сервисов, доступность всем участникам
бизнес-процессов в соответствии с их ролями и полномочиями. • Сбор и анализ событий доступа и поддержки работы системы. • Создание резервных и архивных копий. Эти функции должны не
только присутствовать, но и быть оттестированными и практически отработанными.
Мероприятия на данном этапе должны выполняться и контролироваться с установленной периодичностью.
На что следует обращать внимание: при сопровождении и модернизации К основным процедурам относятся: • Оценка влияния вносимых изменений на состояние ИС. Каждое изменение,
будь то внедрение нового модуля, добавление нескольких полей данных или установка обновлений ОС на сервере ИС, должно анализироваться на предмет влияния на состояние защищенности ИС. Процедуры контроля изменений должны предусматривать порядок уведомления лиц, ответственных за ИБ, об изменениях ИС, а также порядок анализа изменений, их утверждении и документировании.
• Контроль параметров безопасности ИС. Контроль должен включать проверку корректности настроек и работоспособности защитных функций ИС. Дополнительно пользователями и администраторами ИС должен осуществляться постоянный мониторинг работоспособности защитных функций.
На что следует обращать внимание: при выводе из эксплуатации Для обеспечения безопасности на стадии вывода из эксплуатации рекомендуется разработать нормативный документ, содержащий мероприятия по уничтожению информации, утилизации компонентов ИС, а также архивированию и безопасному хранению информации. В данный процесс, помимо Службы ИБ, должны быть вовлечены владельцы ИС и сотрудники ИТ. Все действия по выводу из эксплуатации должны актироваться. На данном этапе необходимо уделять внимание следующим мероприятиям: • определение информации, подлежащей архивации и дальнейшему
хранению. • уничтожение всей информации из постоянной памяти ИС и носителей. • демонтаж и утилизация аппаратных средств ИС.
Исполнение требований законодательства (152-ФЗ, 63-ФЗ);
Требования по управлению доступом на основе ролей;
Требования по логированию действий администраторов и пользователей;
Требования по обеспечению целостности всех видов информации в системе;
Требования по обеспечению доступности системы и ее элементов;
Требования по резервному и архивному копированию;
Требования к SLA информационной системы.
Основные требования ИБ:
Пример бизнес-процесса согласования заявок на автоматизацию
В части разработки критериев
В части оценки Заявок на соответствие критериям
Заявка на автоматизацию
ЗАКАЗЧИК
Анализ Заявки
Разработка схемы БП
Разработка ФТ
Технолог
Без разработки требований
Технолог
Технолог
• БП – Бизнес-процесс • ФТ – Функциональные требования • ПО – Программное обеспечение
Разработка/ доработка ПО
по Заявке
ИТ
Раздел с требованиями
ИБ
Согласование схемы БП (для любой схемы). Предоставление
требований ИБ.
Оценка Заявок на соответствие критериям наличия рисков информацион-ной безопасности
Маршрутизация Заявок на Службу ИБ в зависимости от результатов оценки
Технолог Служба ИБ
Технолог
Формальный контроль Заявок на заполнение раздела ИБ. Заявки с незаполненным разделом в работу не принимаются.
Контроль Заявки*
Согласование ФТ. Предоставление требований
ИБ.
Для Заявок, несущих риск информационной безопасности. Для всех Заявок, в рамках которых разрабатывается схема БП.
Для Заявок, не несущих риск информационной безопасности.
Служба ИБ
Выборочный контроль Заявок**
Выборочный контроль ФТ**
Служба ИБ
* По результатам контроля ИБ Заявки, направляемые для реализации в ИТ без разработки схемы/ФТ, могут быть дополнены требованиями ИБ либо возвращены Технологам для разработки ФТ (с предоставлением требований ИБ).
** Служба ИБ вправе направить замечания Технологам не позднее срока, установленного для согласования документа.
Критерии оценки Заявки на автоматизацию на соответствие требованиям ИБ (пример) Общие требования к Заявке на автоматизацию (формальный контроль Технолога).
1. Все Заявки должны быть утверждены на уровне руководителя подразделения. 2. Если Заказчик не является владельцем дорабатываемой информационной системы, то должно быть
получено согласие владельца информационного ресурса на данную доработку. 3. В Заявке должны быть отражены предполагаемые пользователи дорабатываемой функциональности
(подразделение/должность). 4. Заявка должна содержать заполненное приложение «Требования информационной безопасности».
Требования и критерии обеспечения ИБ в части распределения/назначения прав доступа (критерии используются Технологами при маршрутизации Заявок в Службу ИБ)
1. В Заявке должно быть отражено требует ли эта доработка внесение изменений в права на доступ для пользователей дорабатываемой функциональности (да/нет). Если указано ДА, то необходимо согласование ИБ.
Требования и критерии обеспечения ИБ в части информационного обмена (критерии используются Технологами при маршрутизации Заявок в Службу ИБ)
1. В Заявке должно быть отражено предполагается ли обработка и передача данных пластиковых карт (да/нет). Если указано ДА, то необходимо согласование ИБ.
2. В Заявке должно быть отражено предполагается ли применение криптографических средств (шифрование, ЭП) (да/нет). Если указано ДА, то необходимо согласование ИБ.
3. В Заявке должно быть отражено предполагается ли информационный обмен между информационными системами (как внутри сети, так и с внешними системами) (да/нет). Если указано ДА, то необходимо согласование ИБ (должна быть разработана схема обмена данными, с указанием по каким протоколам предполагается обмен).
4. В Заявке должно быть отражено, предполагается ли обработка и передача персональных данных клиентов вне сети Банка (да/нет). Если указано ДА, то необходимо согласование ИБ.
О чем надо помнить …
Любая функциональность ИС может быть использована мошенниками. Поэтому достаточно сложно переоценить необходимость вовлечения служб ИБ в процессы жизненного цикла ИС.
При одинаковой функциональности тех или иных систем (ИТ и технологии становятся все более похожи друг на друга) безопасность может стать действительно конкурентным преимуществом.
Попытки соблюдения 3 основных принципов ИБ (целостность, доступность, конфиденциальность) на самом деле тянут за собой большой пласт проблем (например: при обеспечении целостности надо помнить про сохранение эталонов ПО, СУБД, чтобы в последующем можно было отобразить нужную нам информацию в ее исходном виде).
Спасибо за внимание.
Горбачев Евгений Васильевич Тел. 8 (495) 925-8000 (доб. 11365)
E-mail: [email protected]
