В. Андрианов - Обеспечение информационной безопасности бизнеса

Структурно СОИБ КЦОИ БР состоит из ядра системы и специализированных подсистем управления и мониторинга (СПУМ) в составе: СПУМ z/OS, СПУМ MS Windows КЦОИ БР, СПУМ ЛВС КЦОИ БР, СПУМ антивирусной защитой КЦОИ БР, СПУМ СЗИ от НСД и СПУМ СУБД КЦОИ БР.

СОИБ КЦОИ БР обеспечивает реализацию требований к функциям СОИБ и взаимодействие со смежными специализированными подсистемами управления и мониторинга.

Ядро системы СОИБ КЦОИ БР обеспечивает выполнение функций СОИБ КЦОИ БР и осуществляет взаимодействие со СПУМ.

Специализированные подсистемы управления и мониторинга (СПУМ) СОИБ КЦОИ БР входят в состав СОИБ БР и обеспечивают взаимодействие ядра СОИБ БР с соответствующими подконтрольными системами КЦОИ БР.

Выполнение функций СОИБ КЦОИ БР в отношении подконтрольных объектов обеспечивается ядром СОИБ КЦОИ БР при отсутствии агентов на подконтрольных объектах или ядром СОИБ КЦОИ БР совместно со СПУМ при наличии агентов на подконтрольных объектах.

С целью обеспечения отказоустойчивости и катастрофоустойчивости работы СОИБ КЦОИ БР программные средства, обеспечивающие функционирование СОИБ КЦОИ БР, установлены особым образом, в специальной конфигурации и со специальными настройками.

Структурная схема СОИБ КЦОИ представлена ниже. На схеме выделены объекты, подконтрольные СОИБ КЦОИ БР.

Программные средства подконтрольных систем состоят из операционных систем z/OS, Suse Linux и Windows Server 2003, Windows XP, WebSphere Application Server, СУБД Oracle и MS SQL.

Следует отметить, что СОИБ КЦОИ БР является гибкой и развивающейся информационной системой. Продуманные особенности структуры СОИБ КЦОИ БР (ядро и набор СПУМ), а также мощность программных средств, используемых для реализации системы, позволяют обеспечить широкие возможности по масштабируемости системы и добавлению новых подконтрольных систем в контур СОИБ КЦОИ БР в будущем.

В ЗАО «ЕС-лизинг» разработан монитор TopCM (Top Control Manager), предназначенный для осуществления полного контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения повышенного уровня информационной безопасности вычислительного процесса, построенного на базе z/OS. Монитор TopCM способен полностью контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связей, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений. Кроме того, монитор может контролировать функционирование всех прикладных и системных программ, включая их взаимодействие друг с другом, попытки получения несанкционированного доступа к ресурсам, попытки неавторизованных программ нарушить или вмешаться в работу управляющей или других прикладных программ, а также повысить свой собственный статус или уровень авторизации в системе.

Одной из важнейших функций монитора является возможность обнаружения и пресечения попыток выполнения инструкций процессора, необъявленных в открытом описании принципов работы z/архитектуры. Возможность контролировать подобные события относится к программам любого типа, управляющим или прикладным, независимо от уровня их авторизации.

Монитор TopCM запускается в среде z/OS как обычное задание в области V = R и представляет собой авторизованную программу. На этапе инициализации программа переходит в супервизорный режим и получает нулевой ключ доступа к памяти. Затем программа формирует свою собственную префиксную страницу и заменяет ею префиксную страницу z/OS. Если конфигурация вычислительной установки мультипроцессорная, TopCM заменяет своими собственными префиксные страницы z/OS для всех процессоров, входящих в конфигурацию.

1. Risk Metrics Technical Document. — JPMorgan, 4th edition, December, 1996

2. Taylor W. F. Principles of Scientific Management. — New York: Harper & Row, 1911.

3. Гольдштейн Г. Я. Основы менеджмента — Таганрог: ТРТУ, 2003.

4. ГОСТ Р 51897-2002, Менеджмент риска. Термины и определения.

5. ГОСТ Р 51898-2002, Аспекты безопасности. Правила включения в стандарты.

6. Нив Генри Р. Пространство доктора Деминга: Принципы построения устойчивого бизнеса. — М.: Альпина Бизнес Букс, 2005.

7. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. — Cambridge (Mass.) Mass. Inst. of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.

8. ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.

9. Европейское качество = European Quality: журнал/Европейская организация по качеству; перевод/ФГУП РИА «Стандарты и качество» — 2001, № 2.

10. ИСО 31000, Risk management — Principles and guidelines on implementation.

11. ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements.

12. ISO/IEC 38500:2008, Corporate governance of information technology.

13. ISO GUIDE 72:2001, Guidelines for the justification and development of management system standards.

14. ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance.

15. Technical Report ISO/IEC TR 18044, Information technology — Security techniques — Information security incident management.

16. NIST Special Publication 800-61, Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, January 2004.

17. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

18. ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management.

19. Excerpted from the Executive Summary of the Report Issued by The Committee of Sponsoring Organizations of the Treadway Commission. «Internal control — Integrated framework», 1992.

20. The Committee of Sponsoring Organizations of the Treadway Commission. «Internal Control over Financial Reporting — Guidance for Smaller Public Companies», 2006.

21. ISO/ШС 20000, Information technology — Service management.

22. ISO/IEC 15939, Software engineering — Software measurement process.

23. ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement.

24. Gartner. The Price of Information Security. Strategic Analysis Report.

25. Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006.

26. СТО БР ИББС — 1.0-2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

27. СТО БР ИББС — 1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.

28. BSI PAS 56 Guide to Business Continuity Management (BCM)

29. ISO/IEC 15504 Information technology — Process assessment.

30. NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems.

31. Зефиров С. Л., Голованов В. Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд. 2006. № 3.