Идеальная служба информационной безопасности

Что должно быть реализовано в организации при условии, что служба информационной безопасности работает в некоторых идеальных условиях (неограниченный бюджет, достаточное количество квалифицированных специалистов и т.п.):

1. Вся работа службы информационной безопасности (как и всего предприятия) организована в строгом соответствии с законодательством государства.
2. Все кандидаты для приема на работу проходят собеседование и проверку службой информационной безопасности. Вновь принятые работники и сторонние специалисты по контракту проходят обучение основам безопасности, ознакомление с нормативными документами по безопасности, теcтирование на уровень квалификации для работы с информационными системами и подтверждают подписью свое обязательчтво следовать нормативам организации (в том числе и по безопасности). Увольняющиеся работники проходят собеседование с представителем службы безопасности, увольнение работника сразу отражается в информационных системах (блокирование и удаление учетных записей, изъятие карт доступа и т.д.). Сотрудники организации проходят периодические семинары и обучение по информационной безопасности.
3. Ведется анализ моральной и психологической обстановки в организации, учет нарушений безопасности конкретными сотрудниками для выявления возможных тенденций. Поощряется тесный информационный контакт пользователей со службой безопасности. Выборочно или постоянно анализируется электронная почта сотрудников с соответствующим нормативным оформлением процедуры. Регулярно производится авторизованный мониторинг активности пользователя на рабочей станции.
4. Все данные, объекты и информационные системы проклассифицированны. Субъекты распределены по ролям. Определена надежная структура и внедрен механизм доступа субъектов к объектам с учетом наименьших привилегий и разделения обязанностей. Каждый новый объект своевременно классифицируется и устанавливается в общую схему информационного пространства.
5. Обеспечено нормативное пространство. Для всех информационных систем существуют политики, для функциональных обязанностей пользователей - правила, процедуры и методики. Изменения в работе организации и сотрудников адекватно отражаются в соответствующих документах.
6. Способы аутентификации пользователей находятся под контролем службы информационной безопасности, т.е. производится периодический анализ отсутствия слабых паролей, фактов передачи паролей другим лицам, оставление токенов без надзора и т.п. Идентификация пользователей стандартизирована, имеется четкая таблица соответствия пользователь - сетевые адреса, разрешенные для работы данного пользователя (username, IP-адрес, MAC-адрес и т.д.).
7. Внешний удаленный доступ в информационную сеть предприятия (выход во внешнее информационное пространство) ограничен единственным центральным шлюзом плюс существует резервный канал связи, неактивный в штатном режиме. Оба канала защищены межсетевыми экранами, которые надежно функционируют, корректно настроены и регулярно подвергаются проверке службой информационной безопасности. Все модемы и другие устройства удаленного доступа учтены и также сведены к указанной единой точке входа/выхода. Снаружи по отношению к точке входа установлен агент сетевой системы обнаружения атак (СОА).
8. Агент сетевой СОА присутствует на каждом сегменте в сети организации. Для СОА сигнатурного типа базы данных сигнатур регулярно обновляются, имеется специалист по созданию собственных сигнатур. Для СОА с выявлением аномалий определены все необходимые профили, которые регулярно пересматриваются. Кроме этого производится периодический анализ сетевой активности средствами сетевого мониторинга (перехватчиками сетевых пакетов - снифферами).
9. Агента СОА-хоста установлены на каждом узле сети, база данных атак (или профили) регулярно обновляются. Кроме этого производится периодический выборочный анализ регистрационных журналов (которые настроены на фиксацию всех событий), в том числе лично уполномоченным персоналом. СОА интегрирована с межсетевым экраном и другими устройствами защиты.
10. Настроено подробное ведение регистрационных журналов по всем информационным системам. Ведется регулярная автоматизированная обработка этих журналов, а также периодический выборочный ручной их анализ на предмет выявления подозрительных или злоумышленных событий. Система анализа информационной активности интегрирована с системой физического доступа сотрудников в здание и к рабочим местам. Все регистрационные журналы сохраняются наряду с резервными копиями и архивами бизнес-данных.
11. На каждый компьютер в сети установлен антивирусный пакет, кроме того антивирусы установлены на почтовый сервер, межсетевой экран и другие ключевые узлы. Режим работы антивируса - перехват на лету (autoprotect). Антивирусные базы обновляются ежедневно, а также при поступлении информации о новом вирусе.
12. Ведется строгий учет движения любой единицы аппаратного обеспечения или ее составляющей, а также строгий учет аппаратной или программной конфигурации каждого объекта или системы. При изменении конфигурации немедленно производится сохранение соответствующих настроек. Ведется регулярный мониторинг производительности работы аппаратного обеспечения, операционных систем, информационной системы в целом.
13. Произведена подписка на соответствующие бюллетени по информационной безопасности, изучаются сообщения о новых атаках, вирусах, уязвимостях и т.п., новых решениях и механизмах по безопасности. Налажена процедура регулярного получения и установки программных заплат (patches, hotfixes, updates и т.п.) и их тестирование. Производится аналитическая работа по определению тенденций развития атак, появлению уязвимостей, новых продуктов на рынке безопасности, новых технологий.
14. Все каналы обмена данными в информационной сети криптографически защищены, внутри локальной сети организованы виртуальные сети. Любой обмен данными регистрируется в электронных журналах и снабжен средством контроля целостности. Обеспечен контроль целостности данных, системных файлов и т.п. на серверах и рабочих станциях. Обмен данными между пользователями производится с использованием электронной цифровой подписи. Организовано надежное управление криптографическими ключами.
15. Обеспечен контроль входящей и исходящей информации на внешних носителях. Установлены надежные защищенные (возможно, виртуальные) шлюзы обмена информацией с внешними информационными системами (обеспечены соответствующие интерфейсы, установлена связь с центром сертификатов, получен корневой сертификат организации и т.д.).
16. Регулярно производится процедура тестирования всей сети или отдельных систем на взлом. В распоряжении службы информационной безопасности имеется команда программистов для создания собственных программ или утилит для анализа защищенности либо, наоборот, для защиты объектов и систем.
17. После изменения любой единицы данных обеспечивается ее резервное копирование либо организовано избыточное сохранение данных (RAID). Обеспечивается географически разнесенное защищенное сохранение архивов и резервных копий. Все сетевые устройства имеют возможность быстрой замены (продублированы), все каналы передачи данных имеют альтернативные линии. Здание организации имеет горячий резерв (hotside). Обеспечено бесперебойное электропитание (и контроль его работы) основного и резервного зданий. Ключевые работники организации могут выполнять функции друг друга либо имеют функциональных дублеров. Имеется регулярно обновляемый аварийный план.
18. Контроль за любой системой или объектом децентрализован. Служба информационной безопасности принимает участие в любом проекте организации (в том числе и в разработке программного обеспечения) с правом внесения серьезных изменений и запретов в рамках своих функций. Служба имеет полномочия к принятию и реализации решений, связанных с информационной безопасностью.
19. Установлена система отвлечения внимания злоумышленника (honeypot), сформирована собственная команда реагирования на инциденты, установлена связь с аналогичными командами других организаций, внешними экспертами, силовыми структурами.
20. Обеспечено единое согласованное неротиворечивое управление всеми автоматизированными средствами информационной безопасности.

Следует обратить внимание на то, что одни работы носят одноразовый характер по типу "сделали и забыли". Вторые - это разовое выполнение с последующим минимальным контролем соответствия текущего состояния некоторым условиям. Третьи - периодические работы по истечении промежутка времени или наступлению какого-то события. И четвертые - рутинные постоянные работы типа мониторинга.

Естественно, что в реальной жизни не удастся реализовать эту идеальную программу полностью. Однако, во-первых, она обозначает некоторую цель, к которой следует стремиться, а во-вторых, многие из обозначенных пунктов можно реализовать в усеченном варианте.