Artículos

Metodología para la construcción de un sistema de seguridad de la información corporativa.

metodika postroeniya korporativnoi sistemi zashiti inform

Metodología para construir un sistema de seguridad de la información corporativa.

Metodología para la construcción de un sistema de seguridad de la información corporativa

Metodología para construyendo un sistema corporativo protección de la información
Sergey Petrenko

Fuente —

  La mayoría de los directores de servicios de automatización (CIO) y servicios de seguridad de la información (CISO) de empresas rusas probablemente se hayan preguntado: «Cómo evaluar el nivel de seguridad de los activos de información de una empresa y determinar las perspectivas de ¿Desarrollo de un sistema de seguridad de la información corporativa?». Intentemos encontrar la respuesta a esta pregunta urgente.

  El ritmo de desarrollo de las tecnologías de la información modernas es significativamente más rápido que el ritmo de desarrollo del marco consultivo y regulatorio de los documentos rectores que operan en Rusia. Por tanto, resolver la cuestión de evaluar el nivel de seguridad de los activos de información de una empresa está necesariamente asociado al problema de seleccionar criterios e indicadores de seguridad, así como a la eficacia del sistema de seguridad de la información corporativa. Como resultado, además de los requisitos y recomendaciones de las normas1, la Constitución y las leyes federales2, los documentos rectores de la Comisión Técnica Estatal de Rusia y FAPSI3, es necesario utilizar una serie de recomendaciones internacionales. Incluyendo la adaptación a las condiciones nacionales y la aplicación en la práctica de los métodos de las normas internacionales, como ISO 17799, 9001, 15408, BSI4 y otras, así como el uso de técnicas de gestión de riesgos de la información junto con evaluaciones de la eficiencia económica de las inversiones para garantizar la protección. de información de la empresa.

  Los métodos modernos de gestión de riesgos, diseño y mantenimiento de sistemas de seguridad de la información corporativa deberían permitir resolver una serie de problemas en el desarrollo estratégico a largo plazo de la empresa.

 En primer lugar, cuantificar el nivel actual de seguridad de la información de la empresa, lo que requerirá identificar riesgos a nivel legal, organizacional, gerencial, tecnológico y técnico para garantizar la protección de la información.

  En segundo lugar, desarrollar e implementar un plan integral para mejorar el sistema de seguridad de la información corporativa para lograr un nivel aceptable de seguridad para los activos de información de la empresa. Para hacer esto necesitas:

  • justificar y calcular inversiones financieras en seguridad basándose en tecnologías de análisis de riesgos, correlacionar los costos de seguridad con daños potenciales y la probabilidad de que ocurra;
  • identificar y priorizar el bloqueo de las vulnerabilidades más peligrosas antes de lanzar ataques a recursos vulnerables;
  • definir relaciones funcionales y áreas de responsabilidad en la interacción de departamentos y personas para garantizar la seguridad de la información de la empresa, crear el paquete necesario de documentación organizativa y administrativa;
  • desarrollar y coordinar con los servicios y autoridades supervisoras de la organización un proyecto para la implementación de los sistemas de seguridad necesarios, teniendo en cuenta el nivel actual y las tendencias en el desarrollo de las tecnologías de la información;
  • asegurar el mantenimiento del complejo de seguridad implementado de acuerdo con las cambiantes condiciones operativas de la organización, modificaciones periódicas de la documentación organizativa y administrativa, modificación de los procesos tecnológicos y modernización de los equipos técnicos de seguridad.

  Resolver estos problemas abre nuevas y amplias oportunidades para los funcionarios de diversos niveles.

  Esto ayudará a los altos directivos a evaluar de forma objetiva e independiente el nivel actual de seguridad de la información de la empresa, garantizar la formación de un concepto de seguridad unificado, calcular, acordar y justificar los costos necesarios para proteger la empresa. A partir de la valoración recibida, los jefes de departamentos y servicios podrán desarrollar y justificar las medidas organizativas necesarias (composición y estructura del servicio de seguridad de la información, normativa sobre secretos comerciales, un paquete de descripciones de puestos e instrucciones de actuación en situaciones de emergencia). . Los mandos intermedios podrán elegir razonablemente herramientas de seguridad de la información, así como adaptar y utilizar en su trabajo indicadores cuantitativos para evaluar la seguridad de la información, métodos de evaluación y gestión de la seguridad con referencia a la eficiencia económica de la empresa.

Las recomendaciones prácticas para neutralizar y localizar las vulnerabilidades identificadas del sistema, obtenidas como resultado de la investigación analítica, ayudarán a trabajar en los problemas de seguridad de la información en diferentes niveles y, lo más importante, a identificar las principales áreas de responsabilidad, incluido el material, para la Uso indebido de la información de los activos de la empresa. Al determinar el alcance de la responsabilidad por los daños causados ​​al empleador, incluida la divulgación de secretos comerciales, uno debe guiarse por las disposiciones del capítulo. 39 del Código del Trabajo de la Federación de Rusia.

Tipos de trabajos analíticos para evaluar la seguridad

  El trabajo analítico en el campo de la seguridad de la información se puede realizar en las siguientes áreas:

   1) « Análisis integral de los sistemas de información (SI) y subsistema de seguridad de la información de la empresa a nivel legal, metodológico, organizacional, gerencial, tecnológico y técnico. Análisis de riesgos»;

  2)»Desarrollo de recomendaciones integrales sobre soporte metodológico, organizativo y de gestión, tecnológico, técnico general y de software y hardware del régimen de propiedad intelectual de la empresa»;

   3) &# 171;Análisis organizativo y tecnológico de la propiedad intelectual de la empresa»;

  4) «Examen de soluciones y proyectos»;

 5) «Trabajar en el análisis del flujo de documentos y suministrar conjuntos estándar de documentación organizativa y administrativa»;

  6) «Trabajo de apoyo a la práctica implementación del plan de protección»;

  7) «Formación avanzada y reciclaje de especialistas».

  Veamos brevemente cada uno de ellos.

La investigación y evaluación del estado de seguridad de la información del SI y el subsistema de seguridad de la información de la empresa implica evaluar su cumplimiento con los requisitos estándar de los documentos rectores de la Comisión Técnica Estatal del Presidente de la Federación de Rusia, el estándar. requisitos de las normas internacionales ISO y los requisitos correspondientes de la empresa cliente. La primera área también incluye trabajos realizados a partir de análisis de riesgos, investigación instrumental (estudio de elementos de la infraestructura de una red informática y sistema de información corporativo para detectar vulnerabilidades, estudio de la seguridad de los puntos de acceso a Internet). Este conjunto de trabajos también incluye un análisis del flujo de documentos, que, a su vez, puede identificarse como una dirección independiente.

Las recomendaciones pueden estar relacionadas con cuestiones fundamentales generales para garantizar la seguridad de la información (desarrollo de un concepto de seguridad de la información, desarrollo de una política corporativa de seguridad de la información a nivel organizacional, gerencial, legal, tecnológico y técnico), aplicable a muchas empresas. Además, las recomendaciones pueden ser bastante específicas y relacionarse con las actividades de una sola empresa (plan de protección de la información, trabajo adicional sobre el análisis y creación de soporte metodológico, organizativo, de gestión, tecnológico, de infraestructura y técnico para el régimen de seguridad de la información de la empresa).

El análisis organizativo y tecnológico de la propiedad intelectual de una empresa implica principalmente evaluar el cumplimiento de los requisitos estándar de los documentos rectores de la Federación de Rusia para el sistema de seguridad de la información de la empresa en el campo de los estándares organizativos y tecnológicos y el análisis del flujo de documentos de la empresa en el «confidencial» para el cumplimiento de los requisitos del concepto de seguridad de la información, la disposición sobre secretos comerciales y otros requisitos internos de la empresa para garantizar la confidencialidad de la información. Al mismo tiempo, el concepto interno de seguridad de la información (SI) de la empresa y las disposiciones sobre secretos comerciales deben cumplir con la legislación vigente, es decir, los requisitos de la Constitución de la Federación de Rusia, art. 128 y 139 del Código Civil de la Federación de Rusia, la Ley federal «sobre información, informatización y protección de la información», la Ley federal «sobre participación en el intercambio internacional de información» y otras regulaciones .

  El examen correcto de las soluciones y proyectos juega un papel importante para garantizar el funcionamiento de todo el sistema de seguridad de la información y debe cumplir con los requisitos para garantizar la seguridad de la información utilizando el método documental experto. Examen de proyectos de subsistemas — requisitos de seguridad mediante el método pericial-documental.

  El trabajo de análisis del flujo de documentos y suministro de conjuntos estándar de documentación organizativa y administrativa, por regla general, incluye dos áreas:

  • análisis del flujo de documentos de una empresa en la categoría &#171 ;confidencial» para el cumplimiento de los requisitos del concepto de seguridad de la información, las disposiciones sobre secretos comerciales y otros requisitos internos de la empresa para garantizar la confidencialidad de la información;
  • suministro de un conjunto de documentación organizativa y administrativa estándar de acuerdo con las recomendaciones de la política corporativa de seguridad de la información de la empresa a nivel organizativo, directivo y legal.

  El trabajo que sustenta la implementación práctica del plan de seguridad de la información, en particular, consiste en lo siguiente:

  • desarrollo de un plan técnico proyecto de modernización de las herramientas de protección IP instaladas en la empresa a partir de los resultados de un estudio analítico integral de la red corporativa;
  • preparar a la empresa para la certificación (para la certificación de los objetos de informatización del cliente para el cumplimiento de los requisitos de los documentos rectores de la Comisión Técnica Estatal del Presidente de la Federación de Rusia, así como para el cumplimiento de los requisitos de seguridad de las normas internacionales ISO 15408, Norma ISO 17799, ISO 9001 garantizando al mismo tiempo los requisitos de seguridad de la información de la empresa);
  • desarrollo de una lista ampliada de información restringida como parte de la política de seguridad;
  • desarrollo de un paquete de documentación organizativa y administrativa de acuerdo con las recomendaciones de la política corporativa de seguridad de la información de la empresa a nivel organizativo, gerencial y legal;
  • entrega de un conjunto de documentación organizativa y administrativa estándar de acuerdo con las recomendaciones de la política corporativa de seguridad de la información de la empresa a nivel organizativo, directivo y legal.

  El nivel de seguridad de la información de una empresa depende en gran medida de las calificaciones de los especialistas. Para mejorar las habilidades y la reconversión del personal, se recomienda realizar capacitaciones sobre el uso de herramientas de seguridad de la información, tecnologías de seguridad de la información y capacitar a los empleados en los conceptos básicos de la seguridad económica.

   La reevaluación anual del estado de seguridad de la información de la empresa también juega un papel importante.

  La reevaluación anual del estado de seguridad de la información de la empresa también juega un papel importante.

Metodología para la construcción de un sistema de seguridad de la información corporativa

  De conformidad con el art. 20 de la Ley Federal «Sobre Información, Informatización y Protección de la Información» los fines de la protección de la información son, entre otros: prevención de fuga, robo, pérdida, distorsión, falsificación de información; prevención de acciones no autorizadas para destruir, modificar, distorsionar, copiar, bloquear información; Prevención de otras formas de interferencia ilegal en los recursos y sistemas de información.

  El objetivo principal de cualquier sistema de seguridad de la información es garantizar el funcionamiento sostenible de un objeto: prevenir amenazas a su seguridad, proteger los intereses legítimos del propietario de la información de ataques ilegales, incluidos delitos penales en el ámbito de las relaciones. en cuestión, previsto por el Código Penal de la Federación de Rusia5, que garantiza las actividades de producción normales de todos los departamentos de la instalación. Otra tarea se reduce a mejorar la calidad de los servicios prestados y garantizar la seguridad de los derechos de propiedad y los intereses de los clientes6.

  Para ello es necesario: ​​

  • clasificar la información como de acceso restringido (secreto oficial)7;
  • predecir e identificar rápidamente amenazas a la seguridad de los recursos de información, causas y condiciones propicias para causar daños financieros, materiales y morales, interrumpiendo su normal funcionamiento y desarrollo8;
  • crear condiciones operativas con la menor probabilidad de que se produzcan amenazas a la seguridad de la información recursos y causando diversos tipos de daños9;
  • crear un mecanismo y condiciones para una respuesta rápida a las amenazas a la seguridad de la información y las manifestaciones de tendencias negativas en el funcionamiento, la supresión efectiva de los ataques a los recursos sobre la base de medidas y medios legales, organizativos y técnicos para garantizar la seguridad10;
  • crear condiciones para la máxima compensación posible y localización de daños causados ​​por acciones ilegales de personas físicas y jurídicas, y así debilitar el posible impacto negativo de las consecuencias de una violación de la seguridad de la información11.

  Al realizar el trabajo, se puede utilizar el siguiente modelo para la construcción de un sistema de seguridad de la información corporativa (Fig. 1), basado en la adaptación de los Criterios Generales (ISO 15408) y el análisis de riesgos (ISO 17799). Este modelo cumple con los documentos reglamentarios especiales sobre seguridad de la información adoptados en la Federación de Rusia, la norma internacional ISO/IEC 15408 «Tecnología de la información — métodos de protección — criterios para evaluar la seguridad de la información», norma ISO/IEC 17799 «Gestión de la seguridad de la información» y tiene en cuenta las tendencias de desarrollo del marco regulatorio nacional (en particular, la Comisión Técnica Estatal de la Federación de Rusia) en cuestiones de seguridad de la información.

Fig. 1. Modelo para la construcción de un sistema de seguridad de la información corporativa

  El modelo de seguridad de la información presentado — se trata de un conjunto de factores objetivos externos e internos y su impacto en el estado de seguridad de la información en la instalación y en la seguridad de los recursos materiales o de información.

  Se consideran los siguientes factores objetivos:

  • amenazas a la seguridad de la información, caracterizadas por la probabilidad de ocurrencia y la probabilidad de implementación;
  • vulnerabilidades del sistema de información o del sistema de contramedidas (sistema de seguridad de la información) que afectan la probabilidad de que se realice la amenaza;
  • riesgo — un factor que refleja el posible daño a la organización como resultado de la implementación de una amenaza a la seguridad de la información: la fuga de información y su mal uso (el riesgo refleja en última instancia pérdidas financieras probables, directas o indirectas).

  Para construir un sistema de seguridad de la información equilibrado, se supone que inicialmente se realiza un análisis de riesgos en el campo de la seguridad de la información. Luego determine el nivel óptimo de riesgo para la organización según el criterio especificado. El sistema de seguridad de la información (contramedidas) debe construirse de tal manera que alcance un nivel de riesgo determinado.

  La metodología propuesta para realizar el trabajo analítico le permite analizar y documentar completamente los requisitos asociados con garantizar la seguridad de la información, evitar los costos de medidas de seguridad innecesarias que son posibles con una evaluación subjetiva de los riesgos y brindar asistencia en la planificación e implementación. protección en todas las etapas del ciclo de vida de los sistemas de información, garantizar que el trabajo se lleve a cabo en un corto tiempo, proporcionar una justificación para elegir contramedidas, evaluar la efectividad de las contramedidas, comparar diferentes opciones de contramedidas.

  En el transcurso del trabajo se deben establecer los límites del estudio. Para ello, es necesario asignar recursos del sistema de información, para los cuales se obtendrán evaluaciones de riesgos en el futuro. En este caso, es necesario separar los recursos considerados y los elementos externos con los que se interactúa. Los recursos pueden ser equipos informáticos, software, datos y también de conformidad con el art. 2 de la Ley Federal «Sobre Información, Informatización y Protección de la Información» — recursos de información — documentos individuales y conjuntos individuales de documentos, documentos y conjuntos de documentos en sistemas de información (bibliotecas, archivos, fondos, bancos de datos, otros sistemas de información). Ejemplos de elementos externos son las redes de comunicación (párrafo 4 del artículo 2 de la Ley Federal «Sobre Comunicaciones»), servicios externos, etc.

  Al construir el modelo, se tendrán en cuenta las relaciones entre los recursos. Por ejemplo, la falla de algunos equipos puede provocar la pérdida de datos o la falla de otro elemento crítico del sistema. Estas relaciones determinan la base para construir un modelo de organización desde el punto de vista de la seguridad de la información.

  Este modelo, de acuerdo con la metodología propuesta, se construye de la siguiente manera: para los recursos asignados se determina su valor, tanto desde el punto de vista de las posibles pérdidas financieras asociadas a ellos, como desde el punto de vista de daño a la reputación de la organización, interrupción de sus actividades y daño intangible por la divulgación de información confidencial, etc. Luego se describen las relaciones de recursos, se identifican las amenazas a la seguridad y se evalúa la probabilidad de su implementación.

  Con base en el modelo construido, es posible seleccionar razonablemente un sistema de contramedidas que reduzca los riesgos a niveles aceptables y tenga la mayor rentabilidad. Parte del sistema de contramedidas incluirá recomendaciones para realizar controles periódicos de la eficacia del sistema de protección.

  Garantizar mayores requisitos de seguridad de la información implica medidas apropiadas en todas las etapas del ciclo de vida de la tecnología de la información. La planificación de estas actividades se lleva a cabo una vez finalizada la etapa de análisis de riesgos y selección de contramedidas. Un componente obligatorio de estos planes es la verificación periódica del cumplimiento del régimen de seguridad de la información existente con la política de seguridad, la certificación del sistema de información (tecnología) para el cumplimiento de los requisitos de un determinado estándar de seguridad.

  Al finalizar el trabajo, será posible determinar una medida de garantía de seguridad del entorno de información, en base a la evaluación con la que se puede confiar en el entorno de información del objeto. Este enfoque supone que una mayor seguridad proviene de un mayor esfuerzo al realizar una evaluación de la seguridad. La adecuación de la evaluación se basa en la participación en el proceso de evaluación de un mayor número de elementos del entorno de información del objeto, la profundidad lograda mediante el uso de un mayor número de proyectos y descripciones de los detalles de implementación al diseñar un sistema de seguridad, rigor. , que consiste en el uso de un mayor número de herramientas y métodos de búsqueda destinados a detectar vulnerabilidades menos evidentes o a reducir la probabilidad de su presencia.

Formación de una política de seguridad organizacional

  Antes de proponer cualquier solución de sistema de seguridad de la información, se debe desarrollar una política de seguridad. Una política de seguridad organizacional describe cómo se otorgan y utilizan los derechos de acceso de los usuarios, y los requisitos para la responsabilidad del usuario por sus acciones de seguridad. Un sistema de seguridad de la información (ISS) será eficaz si respalda de manera confiable el cumplimiento de las reglas de la política de seguridad, y viceversa. Etapas de la construcción de una política de seguridad organizacional — se trata de introducir una estructura de valores en la descripción del objeto de automatización y realizar un análisis de riesgos, y definir las reglas para cualquier proceso de uso de este tipo de acceso a los recursos del objeto de automatización que tienen un determinado grado de valor.

  La política de seguridad de la organización se formaliza en un documento separado, que es acordado y aprobado por el Cliente.

  En primer lugar, es necesario elaborar una descripción detallada del objetivo general de construir un sistema de seguridad para un objeto, expresado a través de un conjunto de factores o criterios que esclarezcan el objetivo. Un conjunto de factores sirve como base para determinar los requisitos del sistema (selección de alternativas). Los factores de seguridad, a su vez, se pueden dividir en legales, tecnológicos, técnicos y organizativos.

  Los requisitos para garantizar la protección lograda se expresan mediante evaluaciones de las funciones de seguridad de la ISS del objeto. La fortaleza de una función de seguridad se evalúa a nivel de mecanismo de seguridad individual y los resultados determinan la capacidad relativa de la función de seguridad asociada para contrarrestar las amenazas identificadas. A partir del potencial de ataque conocido, la fuerza de la función de defensa se determina, por ejemplo, mediante las categorías «básica», «media», «alta». El potencial de ataque se determina examinando las capacidades, recursos y motivaciones del atacante.

  La lista de requisitos para un sistema de seguridad de la información, un diseño preliminar, un plan de protección (en adelante, documentación técnica, TD) contiene un conjunto de requisitos de seguridad para el entorno de información de un objeto, que pueden referirse a el correspondiente perfil de seguridad, y además contener requisitos formulados explícitamente.

  En general, el desarrollo de TD incluye:

  • aclaración de las funciones de protección;
  • elección de principios arquitectónicos para construir un sistema de seguridad de la información;
  • desarrollo de la estructura lógica del sistema de seguridad de la información (descripción clara de las interfaces);
  • aclaración de los requisitos de las funciones de asegurar la garantizabilidad de la ISS;
  • Desarrollo de una metodología y programa de pruebas para el cumplimiento de los requisitos formulados.

  En la etapa de evaluación de la seguridad lograda, se evalúa la medida para garantizar la seguridad del entorno de la información. La medida de aseguramiento se basa en la evaluación con la que, después de implementar las medidas recomendadas, se puede confiar en el entorno de información del objeto. Los supuestos básicos de esta metodología suponen que el grado de seguridad se deriva de la eficacia de los esfuerzos de evaluación de la seguridad. Un aumento en los esfuerzos de evaluación implica:

  • un número significativo de elementos del entorno de información del objeto que participan en el proceso de evaluación;
  • ampliación de los tipos de proyectos y descripciones de los detalles de ejecución al diseñar un sistema de seguridad;
  • rigor, que consiste en utilizar más herramientas y técnicas de búsqueda encaminadas a detectar vulnerabilidades menos evidentes o reducir la probabilidad de su presencia.

Conclusión

  En general, la metodología analizada anteriormente le permite evaluar o reevaluar el nivel del estado actual de seguridad de los activos de información de una empresa, así como desarrollar recomendaciones para garantizar (aumentar) la seguridad de la información de la empresa. Incluyendo la reducción de las pérdidas potenciales de la empresa aumentando la estabilidad de la red corporativa, desarrollando un concepto y una política de seguridad para la empresa. Además, la metodología considerada nos permite proponer planes para proteger la información confidencial de la empresa transmitida a través de canales de comunicación abiertos, protegiendo la información de la empresa de distorsión (destrucción) intencional, acceso no autorizado a ella, copia o uso.

 Literatura

  1. GOST 51583-00 «Protección de la información. El procedimiento para crear sistemas automatizados en un diseño seguro. Requisitos generales.» GOST R 51624-00 «Protección de la información. Sistemas automatizados en un diseño seguro. Requisitos generales.»

  2. Ley Federal «Sobre Información, Informatización y Protección de la Información», No. 24-FZ, 1995, art. 2, Constitución de la Federación de Rusia, art. 23, Código Civil de la Federación de Rusia, Parte I, art. 139, 128.

  3. Consulte la nota a pie de página 1, GOST R ISO 7498-2-99 «Tecnología de la información. Interconexión de sistemas abiertos. Modelo básico de referencia. Parte 1. Arquitectura de seguridad de la información.

4. Las normas de seguridad internacionales ISO fueron desarrolladas por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) y regulan las cuestiones de seguridad de la información. En Rusia, las normas ISO aún no son generalmente aceptadas, con la excepción de ISO 15408, cuya versión adaptada fue adoptada por Gosstandart y la Comisión Técnica Estatal en el verano de 2002. Los ISO no entran en conflicto con las normas y recomendaciones de la Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia y la FAPSI vigente en la Federación de Rusia y su uso está recomendado por los principales expertos en el campo de la seguridad de la información. Los textos ISO se pueden encontrar en: http://iso.org/

  5. Código Penal de la Federación de Rusia, 1996, art. 183, 272 — 274.

  6. Rumyantsev O.G., Dodonov V.N., Diccionario enciclopédico jurídico, M., «INFRA-M», 1997.

  7. Decreto del Presidente de la Federación de Rusia del 6 de marzo de 1997 No. 188 «Sobre la aprobación de la Lista de información confidencial». Decreto del Gobierno de la Federación de Rusia de 5 de diciembre de 1991 No. 35 «Sobre la lista de información que no puede constituir un secreto comercial».

  8. Ver nota a pie de página 1, 2.

  9 Ley Federal «Sobre la Información, Informatización y Protección de la Información», No. 24-FZ, 1995, art.

  10. Véase la nota a pie de página 8, Constitución de la Federación de Rusia, art. 23.

  11. Véase la nota a pie de página 9, Código Civil de la Federación de Rusia, Parte I, art. 139, 128.

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять