Содержание и задачи процесса управления информационной безопасностью
Выбери формат для чтения
Загружаем конспект в формате docx
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
МОСКОВСКИЙ АВИАЦИОННЫЙ ИНСТИТУТ
(НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ)
Факультет радиоэлектроники летательных аппаратов
Кафедра № 402
Материал к лекционным занятиям по дисциплине
«Наименование дисциплины»
Москва, 2017 г.
ЛЕКЦИЯ 1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ.
СОДЕРЖАНИЕ И ЗАДАЧИ ПРОЦЕССА УПРАВЛЕНИЯ ИБ
Цели изучения темы
изучить составляющие информационной безопасности и их характеристику.
Требования к знаниям и умениям
Студент должен знать:
составляющие понятия "информационная безопасность";
определение целостности информации;
определения конфиденциальности и доступности информации.
Студент должен уметь:
объяснить, почему целостность, доступность и конфиденциальность являются главными составляющими информационной безопасности.
Ключевой термин
Ключевой термин: содержанием информационной безопасности.
Содержанием информационной безопасности являются целостность, доступность и конфиденциальность информации.
Второстепенные термины
доступность информации;
целостность информации;
конфиденциальность информации.
Структурная схема терминов
Как уже отмечено информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход.
Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
Обеспечением доступности информации.
Обеспечением целостности информации.
Обеспечением конфиденциальности информации.
Именно доступность, целостность и конфиденциальность являются равнозначными составляющими информационной безопасности.
Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем пользователям.
Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т. п.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: "Дорога ложка к обеду".
Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.
Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими, социальными и т. д.
Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы.
Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.
Рисунок 1.. Составляющие информационной безопасности
Как уже отмечалось, выделение этих категорий в качестве базовых составляющих информационной безопасности обусловлено необходимостью реализации комплексного подхода при обеспечении режима информационной безопасности. Кроме этого, нарушение одной из этих категорий может привести к нарушению или полной бесполезности двух других. Например, хищение пароля для доступа к компьютеру (нарушение конфиденциальности) может привести к его блокировке, уничтожению данных (нарушение доступности информации) или фальсификации информации, содержащейся в памяти компьютера (нарушение целостности информации).
Выводы по теме
Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
обеспечением доступности информации;
обеспечением целостности информации;
обеспечением конфиденциальности информации.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для которого она предназначена.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Перечислите составляющие информационной безопасности.
2. Приведите определение доступности информации.
3. Приведите определение целостности информации.
4. Приведите определение конфиденциальности информации.
5. Каким образом взаимосвязаны между собой составляющие информационной безопасности? Приведите собственные примеры.
ЛЕКЦИЯ 2. СИСТЕМНЫЙ ПОДХОД К ПРОЕКТИРОВАНИЮ, ВНЕДРЕНИЮ И ПОДДЕРЖАНИЮ СИСТЕМЫ
ОБЕСПЕЧЕНИЯ ИБ НА ПРЕДПРИЯТИИ
Цели изучения темы
изучить уровни формирования режима информационной безопасности;
получить представление о системном подходе, обеспечивающем информационную безопасность.
Требования к знаниям и умениям
Студент должен знать:
задачи информационной безопасности;
уровни формирования режима информационной безопасности;
особенности законодательно-правового и административного уровней;
подуровни программно-технического уровня.
Студент должен уметь:
распределять задачи информационной безопасности по уровням ее обеспечения.
Ключевой термин
Ключевой термин: система формирования режима информационной безопасности.
Система формирования режима информационной безопасности – многоуровневая система, обеспечивающая комплексную защиту информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений.
Второстепенные термины
законодательно-правовой уровень;
административный уровень;
программно-технический уровень.
Структурная схема терминов
Задачи информационной безопасности общества
Анализ основ информационной безопасности показал, что обеспечение безопасности является задачей комплексной. С одной стороны режима информационной, информационная безопасность предполагает, как минимум, обеспечение трех ее составляющих - доступность, целостность и конфиденциальность данных. И уже с учетом этого проблему информационной безопасности следует рассматривать комплексно. С другой стороны, информацией и информационными системами в буквальном смысле "пронизаны" все сферы общественной деятельности и влияние информации на общество все нарастает, поэтому обеспечение информационной безопасности также требует комплексного подхода.
В этой связи вполне закономерным является рассмотрение проблемы обеспечения информационной безопасности на нескольких уровнях, которые в совокупности обеспечивали бы защиту информации и информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений.
Рассматривая проблему информационной безопасности в широком смысле, можно отметить, что в этом случае речь идет об информационной безопасности всего общества и его жизнедеятельности, при этом на информационную безопасность возлагается задача по минимизации всех отрицательных последствий от всеобщей информатизации и содействия развитию всего общества при использовании информации как ресурса его развития.
В этой связи основными задачами информационной безопасности в широком смысле являются:
защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
защита прав граждан на владение, распоряжение и управление принадлежащей им информацией;
защита прав предпринимателей при осуществлении ими коммерческой деятельности;
защита конституционных прав граждан на тайну переписки, переговоров, личную тайну.
Рассматривая проблему информационной безопасности в узком смысле, отметим, что в этом случае речь идет о совокупности методов и средств защиты информации и ее материальных носителей, направленных на обеспечение целостности, конфиденциальности и доступности информации.
Исходя из этого, выделим следующие задачи информационной безопасности:
защита технических и программных средств информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий;
защита технических и программных средств информатизации от преднамеренных воздействий.
Заметим, что понятие "компьютерная безопасность", которому посвящена большая часть данного курса, как раз подходит под определение информационной безопасности в узком смысле, но не является полным ее содержанием, поскольку информационные системы и материальные носители информации связаны не только с компьютерами.
Уровни формирования режима информационной безопасности
С учетом изложенного выделим три уровня формирования режима информационной безопасности:
законодательно-правовой;
административный (организационный);
программно-технический.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры.
Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.).
Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows 2000, XP) или специальной программой шифрования.
Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения.
Выводы по теме
Основные задачи информационной безопасности:
защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
защита прав граждан на владение, распоряжение и управление принадлежащей им информации;
защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
защита технических и программных средств информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий;
защита технических и программных средств информатизации от преднамеренных воздействий.
Режим информационной безопасности включает три уровня:
законодательно-правовой;
административный (организационный);
программно-технический.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус.
Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации.
Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Перечислите задачи информационной безопасности общества.
2. Перечислите уровни формирования режима информационной безопасности.
3. Дайте краткую характеристику законодательно-правового уровня.
4. Какие подуровни включает программно-технический уровень?
5. Что включает административный уровень?
6. В чем особенность морально-этического подуровня?
ЛЕКЦИЯ 3. РЕСУРСЫ ПРЕДПРИЯТИЯ, ПОДЛЕЖАЩИЕ ЗАЩИТЕ С ТОЧКИ ЗРЕНИЯ ИБ
КОМПЛЕКС МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ КАК ОБЪЕКТ УПРАВЛЕНИЯ ИБ
Цели изучения темы
изучить содержание административного уровня обеспечения информационной безопасности.
Требования к знаниям и умениям
Студент должен знать:
цели и задачи административного уровня обеспечения информационной безопасности;
содержание административного уровня;
направления разработки политики безопасности.
Студент должен уметь:
определить политику безопасности организации.
Ключевой термин
Ключевой термин: политика безопасности.
Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации.
Второстепенные термины
угроза информационной безопасности;
риск от угрозы информационной безопасности.
Структурная схема терминов
Цели, задачи и содержание административного уровня
Административный уровень является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности. Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом информационной безопасности. Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.
Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.
Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности – программно-технический.
Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.
Содержанием административного уровня являются следующие мероприятия:
Разработка политики безопасности.
Проведение анализа угроз и расчета рисков.
Разработка политики информационной безопасности
Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.
Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.
Основные направления разработки политики безопасности:
определение объема и требуемого уровня защиты данных;
определение ролей субъектов информационных отношений.
В "Оранжевой книге" политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.
Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.
Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:
основные положения информационной безопасности организации;
область применения политики безопасности;
цели и задачи обеспечения информационной безопасности организации;
распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.
Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.
В состав автоматизированной информационной системы входят следующие компоненты:
аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;
программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;
данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;
персонал – обслуживающий персонал и пользователи.
Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.
Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.
С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):
специалист по информационной безопасности;
владелец информации;
поставщики аппаратного и программного обеспечения;
менеджер отдела;
операторы;
аудиторы.
В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.
Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).
Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.
Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.
Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.
Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.
Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.
Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.
Выводы по теме
Административный уровень является промежуточным уровнем между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности, задачей которого является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.
Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.
Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.
Содержанием административного уровня являются следующие мероприятия:
разработка политики безопасности;
проведение анализа угроз и расчета рисков;
выбор механизмов и средств обеспечения информационной безопасности.
Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений. При этом в политике безопасности излагается политика ролей субъектов информационных отношений.
Основные направления разработки политики безопасности:
определение объема и требуемого уровня защиты данных;
определение ролей субъектов информационных отношений.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Цели и задачи административного уровня обеспечения информационной безопасности.
2. Содержание административного уровня.
3. Дайте определение политики безопасности.
4. Направления разработки политики безопасности.
5. Перечислите составные элементы автоматизированных систем.
ЛЕКЦИЯ 4. КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ И ИБ
Современную организацию (предприятие, банк) принято считать социотехнической системой, объединяющей технологическую сущность и кадровое обеспечение и нацеленной на осуществление определенной общественно полезной миссии. Под управлением подразумевается наличие как минимум двух сторон – управляющей (субъект управления) и управляемой (объект управления).
Банк – социотехническая система и система внутренних партнёров по бизнесу. Банк трактуется с разных позиций:
• как социотехническая система состоит из людей и техники взаимодействующих между собой;
• как целевая система – любая фирма может рассматриваться как средство достижения целей. Основные цели организации – удовлетворение потребностей клиента или организации предоставляемыми услугами;
• как открытая система с её внешними связями. Исходя из такой посылки бизнес понимается как совокупность связей отношений с внутренними и внешними корпоративными партнёрами.
Одной из первостепенных задач, стоящих перед каждой банковской структурой, является ее постоянная адаптация к изменениям внешней среды, проявляющаяся в управлении кредитной и депозитной политиками, оптимизации филиальной сети, диверсификации номенклатуры основных продуктов и сопутствующих услуг и т.д. Банк – является динамичной социотехнической системой, трансформирующейся с целью перехода в очередное устойчивое и управляемое состояние.
Анализ структурно-функциональных особенностей предприятия с точки зрения политики безопасности
В настоящее время сложилась общепринятая международная практика (best practice) обеспечения режима информационной безопасности. Согласно этой практике достаточно важное место отводится задачам анализа информационных рисков компании и управления ими. Рассмотрим подробнее работы по обеспечению режима ИБ и покажем роль и место задач анализа и управления рисками.
Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):
• определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;
• оценка рисков;
• выбор контрмер, обеспечивающих режим ИБ;
• управление рисками;
• аудит системы управления ИБ;
• выработка политики безопасности.
Рисунок 1 – Обеспечение режима информационной безопасности. Основные этапы.
Как правило, определение политики безопасности сводится к ряду практических этапов.
Этап 1. Выбор национальных и международных руководящих документов и стандартов в области ИБ и формулирование на их базе основных требований и положений политики ИБ компании, включая:
• управление доступом к средствам вычислительной техники (СВТ), программам и данным, а также антивирусную защиту;
• вопросы резервного копирования;
• проведение ремонтных и восстановительных работ;
• информирование об инцидентах в области ИБ и пр.
Этап 2. Выработка подходов к управлению информационными рисками и принятие решения о выборе уровня защищенности КИС. Уровень защищенности в соответствии с зарубежными стандартами может быть минимальным (базовым) либо повышенным. Этим уровням защищенности соответствует минимальный (базовый) или полный вариант анализа информационных рисков.
Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.
Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.
Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:
• структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы;
• ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;
• технология обработки информации и решаемые задачи. Для решаемых задач следует построить модели обработки информации в терминах ресурсов;
• размещение средств СВТ и поддерживающей инфраструктуры.
Как правило, на этом этапе составляется документ, в котором фиксируются границы информационной системы, перечисляются информационные ресурсы компании, подлежащие защите, приводятся система критериев и методики для оценки ценности информационных активов компании.
На этапе постановки задачи оценки рисков обосновываются требования к методике оценки информационных рисков компании. В настоящее время существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер по защите информации. В частности, различают минимальные, или базовые, и повышенные, или полные, требования к режиму ИБ.
Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Такие требования применяются, как правило, к типовым проектным решениям. Существует ряд стандартов и спецификаций, в которых приводится минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры - вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать необязательно.
В случаях, когда нарушения режима ИБ ведут к тяжелым последствиям, базового уровня требований к режиму ИБ недостаточно и предъявляются дополнительно повышенные требования. Для формулирования дополнительных повышенных требований необходимо:
• определить ценность ресурсов;
• к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;
• рассчитать вероятности угроз;
• выявить уязвимости ресурсов;
• оценить потенциальный ущерб от воздействий злоумышленников.
Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о едином подходе к организации режима ИБ (рис. 2)
Рисунок 2 – Организация режима информационной безопасности
Этап 6. Выбор контрмер, обеспечивающих режим ИБ. На этом этапе обоснованно выбирается комплекс различных контрмер для защиты информации, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности. В дальнейшем предлагаемый комплекс контрмер реализуется в соответствии с принятой стратегией управления информационными рисками. Если проводится полный вариант анализа рисков, то для каждого риска дополнительно оценивается эффективность комплекса контрмер защиты информации.
И, наконец, на этапе аудита системы управления ИБ проверяется соответствие выбранных контрмер по защите информации целям и задачам бизнеса, декларированным в политике безопасности компании, выполняется оценка остаточных рисков и, в случае необходимости, оптимизация рисков.
Рассмотрим структуру предприятия с точки зрения ИБ.
Рисунок 3 – Организационная структура топ-менеджмента, ответственного за обеспечение безопасности
Основными функциями отдела по информационной безопасности являются следующие:
• разработка концепции и политики информационной безопасности компании, включая регламенты, корпоративные стандарты, руководства и должностные инструкции;
• выработка принципов классификации информационных активов компании и оценивания их защищенности;
• оценка информационных рисков и управление ими;
• обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;
• консультирование менеджеров компании по вопросам управления информационными рисками;
• согласование частных политик и регламентов безопасности среди подразделений компании;
• контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;
• взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;
• организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;
• информационное обеспечение руководства компании регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности компании, выдержками о результатах проверки выполнения политики безопасности;
Теоретические основы построения моделей политики информационной безопасности
Методы и сценарии оценивания информационных рисков
Как говорилось на предыдущих лекциях, в настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
• Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.
• Оценивание возможных угроз.
• Оценивание существующих уязвимостей.
• Оценивание эффективности средств обеспечения информационной безопасности .
Анализ риска также можно проводить согласно методике по следующему сценарию.
Рисунок 5 – Сценарий анализа информационных рисков компании
Каждый из шести этапов анализа риска должен быть конкретизирован. На первом и втором этапах выявляются сведения, составляющие для предприятия коммерческую тайну, которые предстоит защищать. Понятно, что такие сведения хранятся в установленных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с принятым регламентом. При этом основным фактором в технологии обращения с информацией является архитектура КИС, от которой во многом зависит защищенность информационных ресурсов предприятия.
В связи с этим необходимо подчеркнуть, что степень информационной безопасности определяется не только (а может быть и не столько) средствами и способами защиты, но и особенностями построения КИС. И когда говорят о КИС в защищенном исполнении, речь идет, прежде всего, о выборе такой архитектуры (топологии) системы обработки информации, расположения средств обработки конфиденциальной информации и способов ее хранения и передачи, которые существенно уменьшат число возможных точек доступа к информации.
Третий этап анализа риска – построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов КИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап).
На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей находятся вероятности реализации угроз по каждой из возможных точек атак.
На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации. При этом важно, что каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз .
Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации. Величина информационного риска по каждому ресурсу – это произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В данном произведении могут быть использованы различные способы взвешивания составляющих.
Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре КИС и внедренной в нее системы защиты информации.
Классификация угроз и уязвимостей
Как мы говорили на прошлой лекции, под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Угрозой интересам субъектов информационных отношений считается потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты КИС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов. В силу особенностей современных КИС существует значительное число различных видов угроз безопасности. Нарушением безопасности принято называть реализацию угрозы безопасности .
Основными видами угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);
• сбои и отказы оборудования (технических средств) АС;
• последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников и т.п.).
Таблица 4 – Системная классификация угроз безопасности информации [1]
Критерии классификации
Значения критериев
Содержание значения
критериев
Виды угроз
Физическая целостность
Логическая структура
Содержание
Конфиденциальность
Право собственности
Уничтожение (искажение).
Искажение структуры.
Несанкционированная модификация.
Несанкционированное получение.
Присвоение чужого права
Природа происхождения угроз
Случайная
Преднамеренная
Отказы, сбои, ошибки, стихийные бедствия, побочные влияния.
Злоумышленные действия людей
Источники угроз
Люди
Технические устройства
Модели, алгоритмы, программы
Технологические схемы обработки
Посторонние лица, пользователи, персонал.
Регистрации, передачи, хранения, переработки, выдачи.
Общего назначения, прикладные, вспомогательные, ручные, интерактивные, внутримашинные,
Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные)
Естественные угрозы – это угрозы, вызванные воздействиями на автоматизированные системы (АС) и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
• преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
На сегодняшний день для большенства предприятий и банковских систем самыми актуальными являются 3 угрозы:
• угроза доступности;
• угроза целостности;
• угроза конфиденциальности.
Угроза доступности
Угроза доступности (отказа служб) возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным – запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан
Доступность информации – свойство системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда возникает в этом необходимость.
Рисунок 6 – Дерево угрозы блокирования доступа к сетевому приложению
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих ИС.
Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники. По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль.
Угрозы доступности могут выглядеть грубо – как повреждение или даже разрушение оборудования (в том числе носителей данных) и может вызываться естественными причинами (чаще всего – грозами). Опасны протечки водопровода и отопительной системы, в сильную жару ломаются кондиционеры, установленные в серверных залах, набитых дорогостоящим оборудованием. Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители обычно хранят небрежно, не обеспечивая их защиту от вредного воздействия окружающей среды.
Пример удаленного потребления ресурсов – атака, получившая наименование "SYN-наводнение". Она представляет собой попытку переполнить таблицу "полуоткрытых" TCP-соединений сервера (установление соединений начинается, но не заканчивается), что приводит к затруднению установления новых соединений пользователей, то есть сервер блокируется.
Угроза целостности
Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую, в том числе и несанкционированное изменение информации при случайных ошибках программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, периодическая запланированная коррекция некоторой базы данных).
Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее не искаженности .
Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.
Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.
Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.
Угроза нарушения конфиденциальности
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.
В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Приведите классификацию угроз и уязвимостей?
2. Что представляет собой атака SYN-наводнение?
3. Дайте понятие термину - фишинг?
4. Охарактеризуйте угрозы безопасности
5. Перечислите основные этапы обеспечение режима информационной безопасности.
ЛЕКЦИЯ 5. МОДЕЛЬ НАРУШИТЕЛЯ ПОЛИТИКИ БЕЗОПАСНОСТИ
Особенности обеспечения информационной безопасности компьютерной сети заключаются в том, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений.
Второстепенные термины
удаленная угроза;
средства защиты компьютерных сетей.
Структурная схема терминов
В этой теме рассмотрим ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных антивирусных программ не дает положительного результата.
Особенности информационной безопасности в компьютерных сетях
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.
Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем – распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз – это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые – уязвимости в телекоммуникационных службах.
Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих "информационной безопасности":
целостности данных;
конфиденциальности данных;
доступности данных.
Целостность данных – одна из основных целей информационной безопасности сетей – предполагает, что данные не были изменены, подменены или уничтожены в процессе их передачи по линиям связи, между узлами вычислительной сети. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.
Конфиденциальность данных – вторая главная цель сетевой безопасности. При информационном обмене в вычислительных сетях большое количество информации относится к конфиденциальной, например, личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и др.
Доступность данных – третья цель безопасности данных в вычислительных сетях. Функциями вычислительных сетей являются совместный доступ к аппаратным и программным средствам сети и совместный доступ к данным. Нарушение информационной безопасности как раз и связана с невозможностью реализации этих функций.
В локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.
В глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сервисы, например, почтовый сервер, сервер доменных имен, web-сервер и др.
При рассмотрении вопросов, связанных с информационной безопасностью, в современных вычислительных сетях необходимо учитывать следующие факторы:
глобальную связанность;
разнородность корпоративных информационных систем;
распространение технологии "клиент/сервер".
Применительно к системам связи глобальная связанность означает, что речь идет о защите сетей, пользующихся внешними сервисами, основанными на протоколах TCP/IP, и предоставляющих аналогичные сервисы вовне. Весьма вероятно, что внешние сервисы находятся в других странах, поэтому от средств защиты в данном случае требуется следование стандартам, признанным на международном уровне. Национальные границы, законы, стандарты не должны препятствовать защите потоков данных между клиентами и серверами.
Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, общее усложнение проблем, связанных с защитой от несанкционированного доступа, необходимость привлечения для их решения новых программно-технических средств, например, межсетевых экранов.
Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возможность встраивания этих систем в современные корпоративные информационные структуры. Если, например, продукт, предназначенный для криптографической защиты, способен функционировать исключительно на платформе Wintel (Windows+Intel), то его практическая применимость вызывает серьезные сомнения.
Корпоративные информационные системы оказываются разнородными еще в одном важном отношении – в разных частях этих систем хранятся и обрабатываются данные разной степени важности и секретности.
Использования технологии "клиент/сервер" с точки зрения информационной безопасности имеет следующие особенности:
каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);
каждый сервис имеет свою трактовку понятий субъекта и объекта;
каждый сервис имеет специфические угрозы;
каждый сервис нужно по-своему администрировать;
средства безопасности в каждый сервис нужно встраивать по-особому.
Специфика средств защиты в компьютерных сетях
Особенности вычислительных сетей и, в первую очередь, глобальных, предопределяют необходимость использования специфических методов и средств защиты, например:
защита подключений к внешним сетям;
защита корпоративных потоков данных, передаваемых по открытым сетям;
защита потоков данных между клиентами и серверами;
обеспечение безопасности распределенной программной среды;
защита важнейших сервисов (в первую очередь – Web-сервиса);
аутентификация в открытых сетях.
Вопросы реализации таких методов защиты будут рассмотрены далее.
И в заключение рассмотрим еще одну особенность информационной безопасности, связанную с вычислительными сетями. В последнее время все четче просматривается незащищенность вычислительных сетей от глобальных атак.
Исторически первой глобальной атакой на компьютерные сети считается распространение вируса Морриса (4 ноября 1988) в сети "Arpanet", когда примерно из 60 000 компьютеров в сети было заражено около 10% (примерно 6 000). Неконтролируемый процесс распространения вируса привел к блокировке сети.
За последние два года как минимум успешными были три глобальные атаки:
21 октября 2002. Сеть "Internet". Запланированная DoS-атака на Интернет. В момент атаки нагрузка на Европейский сегмент Интернета возросла на 6%.
25 января 2003. Сеть "Internet". Флеш-червь "SQL. Slammer". Неконтролируемый процесс распространения вируса привел к перегрузке каналов передачи данных в Ю. Корее. Нагрузка на Европейский сегмент Интернета возросла примерно на 25%.
12 августа 2003. Сеть "Internet". Сетевой червь "Lovesan".
Успешные глобальные сетевые атаки, безусловно, являются самым разрушительным явлением, которое может произойти в современных сетях.
. Выводы по теме
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно – при помощи механизма сообщений.
Все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Удаленная угроза – потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи.
Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих информационной безопасности.
Особенности вычислительных сетей и, в первую очередь, глобальных, предопределяет необходимость использования специфических методов и средств защиты, таких как аутентификация в открытых сетях, защита подключений к внешним сетям, защита потоков данных между клиентами и серверами и др.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Особенности обеспечения информационной безопасности компьютерных сетей.
2. Дайте определение понятия "удаленная угроза".
3. Основные цели информационной безопасности компьютерных сетях.
4. В чем заключается специфика методов и средств защиты компьютерных сетей?
5. Поясните цели информационной безопасности
ЛЕКЦИЯ 6. РАЗГРАНИЧЕНИЕ ПОЛНОМОЧИЙ И ОТВЕТСТВЕННОСТИ ПЕРСОНАЛА, ОБЕСПЕЧИВАЮЩЕГО
РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ НОРМАТИВНО-МЕТОДИЧЕСКИХ И ОРГАНИЗАЦИОННО-
РАСПОРЯДИТЕЛЬНЫХ
Ключевой термин: сетевая модель передачи данных.
Сетевая модель передачи данных – многоуровневая модель, описывающая порядок передачи данных в вычислительной сети, включающая стек протоколов управления передачей данных между узлами вычислительной сети.
Второстепенные термины
модель открытых систем;
протокол передачи данных;
виртуальное соединение.
Структурная схема терминов
3.2.2. Понятие протокола передачи данных
Обмен информацией между ЭВМ на больших расстояниях всегда казался более важной задачей, чем локальный обмен. Поэтому ему уделялось больше внимания и, соответственно, велось большее финансирование во многих странах. Один из немногих открытых проектов по исследованию вычислительных сетей, финансировавшийся военным ведомством США, известен под названием сеть ARPA – Advanced Research Projects Agency. С самого начала в рамках этого проекта велись работы по объединению ресурсов многих вычислительных машин различного типа. В 1960-1970-е годы многие результаты, полученные при эксплуатации сети ARPA, были опубликованы в открытой печати. Это обстоятельство, а также тот факт, что почти все страны занялись практически слепым копированием не только аппаратной архитектуры американских машин, но и базового программного обеспечения, обусловили сильное влияние сети ARPA на многие другие сети, именно поэтому принято считать, что сеть ARPA является предшественницей знаменитой всемирной компьютерной сети Интернет.
Основной задачей сетевой общественности явилась разработка протоколов обмена информацией. Эта задача совершенно справедливо представлялась важнейшей, поскольку настоятельно требовалось заставить понимать друг друга компьютеры, обладавшие различной архитектурой и программным обеспечением. Первоначально разработчики многочисленных корпоративных сетей договаривались о внутренних протоколах информационного обмена в своих сетях. Никакой стандартизации не было. Но уже в 70-е годы специалистам стало совершенно ясно, что стандартизация необходима и неизбежна. В эти годы шел бурный процесс создания многочисленных национальных и международных комитетов и комиссий по стандартизации программных и аппаратных средств в области вычислительной техники и информационного обмена.
В общем случае протокол сетевого обмена информацией можно определить как перечень форматов передаваемых блоков данных, а также правил их обработки и соответствующих действий. Другими словами, протокол обмена данными – это подробная инструкция о том, какого типа информация передается по сети, в каком порядке обрабатываются данные, а также набор правил обработки этих данных.
Человек – оператор компьютера, включенного в сеть, тем или иным способом, например, с помощью программ-приложений, формирует и передает по сети сообщения, предназначенные для других людей или компьютеров. В ответ он также ожидает поступления сообщения. В этом смысле сообщение представляет собой логически законченную порцию информации, предназначенную для потребления конечными пользователями – человеком или прикладной программой. Например, это может быть набор алфавитно-цифровой и графической информации на экране или файл целиком. Сейчас сообщения неразрывно связывают с прикладным уровнем или, как его еще называют, уровнем приложений сетевых протоколов.
Сообщения могут проходить довольно сложный путь по сетям, стоять в очередях на передачу или обработку, в том числе, не доходить до адресата, о чем отправитель также должен быть уведомлен специальным сообщением.
Первоначально вычислительные сети были сетями коммутации сообщений. Это было оправдано, пока сообщения были сравнительно короткими. Но параллельно с этим всегда существовали задачи передачи на расстояние больших массивов информации. Решение этой задачи в сетях с коммутацией сообщений является неэффективным, поскольку длины сообщений имеют большой разброс – от очень коротких до очень длинных, что характерно для компьютерных сетей.
В связи с этим было предложено разбивать длинные сообщения на части – пакеты и передавать сообщения не целиком, а пакетами, вставляя в промежутках пакеты других сообщений. На месте назначения сообщения собираются из пакетов. Короткие сообщения при этом были вырожденным случаем пакета, равного сообщению.
В настоящее время почти все сети в мире являются сетями коммутации пакетов. Но способов обмена пакетами тоже может быть множество. Это связано со стратегией подтверждения правильности передачи.
3.2.3. Принципы организации обмена данными в вычислительных сетях
Существуют два принципа организации обмена данными:
Установление виртуального соединения с подтверждением приема каждого пакета.
Передача датаграмм.
Установление виртуального соединения или создание виртуального канала является более надежным способом обмена информацией. Поэтому он более предпочтителен при передаче данных на большие расстояния и (или) по физическим каналам, в которых возможны помехи. При виртуальном соединении пункт приема информации уведомляет отправителя о правильном или неправильном приеме каждого пакета. Если какой-то пакет принят неправильно, отправитель повторяет его передачу. Так длится до тех пор, пока все сообщение не будет успешно передано. На время передачи информации между двумя пунктами коммутируется канал, подобный каналу при телефонном разговоре. Виртуальным его называют потому, что в отличие от телефонного коммутированного канала обмен информацией может идти по различным физическим путям даже в процессе передачи одного сообщения.
Термин датаграмма образован по аналогии с термином телеграмма. Аналогия заключается том, что короткие пакеты – собственно датаграммы – пересылаются адресату без подтверждения получения каждой из них. О получении всего сообщения целиком должна уведомить целевая программа.
Транспортный протокол TCP и модель ТСР/IР
За время развития вычислительных сетей было предложено и реализовано много протоколов обмена данными, самыми удачными из которых явились семейство протоколов TCP/IP (Transmission Control Protocol/Internet Protocol – протокол управления передачей/межсетевой протокол).
ТСР/IР – это набор протоколов, состоящий из следующих компонентов:
межсетевой протокол (Internet Protocol), обеспечивающий адресацию в сетях (IP-адресацию);
межсетевой протокол управления сообщениями (Internet Control Message Protocol – ICMP), который обеспечивает низкоуровневую поддержку протокола IP, включая такие функции, как сообщения об ошибках, квитанции, содействие в маршрутизации и т. п.;
протокол разрешения адресов (Address Resolution Protocol – ARP), выполняющий преобразование логических сетевых адресов в аппаратные, а также обратный ему RARP (Reverse ARP);
протокол пользовательских датаграмм (User Datagramm Protocol – UDP);
протокол управления передачей (Transmission Control Protocol – TCP).
Протокол UDP обеспечивает передачу пакетов без проверки доставки, в то время как протокол TCP требует установления виртуального канала и соответственно подтверждения доставки пакета с повтором в случае ошибки.
Этот набор протоколов образует самую распространенную модель сетевого обмена данными, получившую название – TCP/IP. Модель TCP/IP иерархическая и включает четыре уровня.
Уровень
Название
Функция
4
Прикладной
Приложения пользователей, создание сообщений
3
Транспортный
Доставка данных между программами в сети
2
Сетевой
Адресация и маршрутизация
1
Канальный
Сетевые аппаратные средства и их драйверы
Прикладной уровень определяет способ общения пользовательских приложений. В системах "клиент-сервер" приложение-клиент должно знать, как посылать запрос, а приложение-сервер должно знать, как ответить на запрос. Этот уровень обеспечивает такие протоколы, как HTTP, FTP, Telnet.
Транспортный уровень позволяет сетевым приложениям получать сообщения по строго определенным каналам с конкретными параметрами.
На сетевом уровне определяются адреса включенных в сеть компьютеров, выделяются логические сети и подсети, реализуется маршрутизация между ними.
На канальном уровне определяется адресация физических интерфейсов сетевых устройств, например, сетевых плат. К этому уровню относятся программы управления физическими сетевыми устройствами, так называемые, драйверы.
Как уже отмечалось ранее, в сетях с коммутацией пакетов, а модель TCP/IP относится к таким, для передачи по сети сообщение (сформированное на прикладном уровне) разбивается на пакеты или датаграммы. Пакет или датаграмма – это часть сообщения с добавленным заголовком пакета или датаграммы.
На транспортном уровне к полезной информации добавляется заголовок – служебная информация. Для сетевого уровня полезной информацией является уже пакет или датаграмма транспортного уровня. К ним добавляется заголовок сетевого уровня.
Полученный блок данных называется IP-пакетом. Полезной нагрузкой для канального уровня является уже IP-пакет. Здесь перед передачей по каналу к нему добавляются собственный заголовок и еще завершитель. Получившийся блок называется кадром. Он и передается по сети.
Переданный по сети кадр в пункте назначения преобразуется в обратном порядке, проходя по уровням модели снизу вверх.
3.2.5. Выводы по теме
Протокол сетевого обмена информацией – это перечень форматов передаваемых блоков данных, а также правил их обработки и соответствующих действий.
Протокол обмена данными – это подробная инструкция о том, какого типа информация передается по сети, в каком порядке обрабатываются данные, а также набор правил обработки этих данных.
В настоящее время почти все сети в мире являются сетями коммутации пакетов.
Существуют два принципа организации обмена данными: установление виртуального соединения с подтверждением приема каждого пакета и передача датаграмм.
При виртуальном соединении пункт приема информации уведомляет отправителя о правильном или неправильном приеме каждого пакета. Виртуальным его называют потому, что в отличие от телефонного коммутированного канала обмен информацией может идти по различным физическим путям даже в процессе передачи одного сообщения.
При передаче датаграммы короткие пакеты пересылаются адресату без подтверждения получения каждой из них, а о получении всего сообщения целиком должна уведомить целевая программа.
ТСР/IР – это набор протоколов, состоящий из следующих компонентов: межсетевой протокол (IP), межсетевой протокол управления сообщениями (ICMP), протокол разрешения адресов (ARP), протокол пользовательских датаграмм (UDP) и протокол управления передачей (TCP).
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Что понимается под протоколом передачи данных?
2. Охарактеризуйте сети с коммутацией сообщений и коммутацией пакетов.
3. Чем отличается соединение по виртуальному каналу от передачи датаграмм?
4. Какие протоколы образуют модель TCP/IP?
5. Какие уровни входят в сетевую модель TCP/IP?
ЛЕКЦИЯ 7. СОСТАВ, РОЛЬ, МЕСТО И ОСОБЕННОСТИ ВЗАИМОДЕЙСТВИЯ СУБЪЕКТОВ ПРОЦЕССА УПРАВЛЕНИЯ ИБ
Цель: Обеспечить контроль доступа к производственной информации.
Доступ к компьютерным системам и данным необходимо контролировать исходя из производственных требований.
Такой контроль должен учитывать правила распространения информации и разграничения доступа, принятые в организации.
Документированная политика управления доступом к информации
Производственные требования к управлению доступом к системам необходимо определить и задокументировать. Для обеспечения надлежащего уровня контроля доступа к информационным сервисам и данным и его поддержания, следует четко сформулировать производственные требования к управлению доступом к системам для поставщиков услуг.
Каждый владелец производственного приложения должен четко сформулировать политику контроля доступа к данным, которая определяет права доступа каждого пользователя или группы пользователей. Эта политика должна учитывать следующее:
а) требования к безопасности отдельных производственных приложений;
б) правила распространения информации и раграничения доступа.
Следует рассмотреть возможность создания стандартных профилей полномочий доступа пользователей для общих категорий работ.
Управление доступом пользователей
Цель: Предотвратить несанкционированный доступ к компьютерным системам.
Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры.
Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.
Регистрация пользователей
Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.
Доступ к многопользовательским информационным системам необходимо контролировать посредством формального процесса регистрации пользователей, который должен, например:
а) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;
б) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций (см. Документированная политика управления доступом к информации) и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей (см. Разделение обязанностей);
в) предоставлять пользователям их права доступа в письменном виде;
г) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;
д) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;
е) вести формальный учет всех зарегистированных лиц, использующих систему;
ж) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;
з) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;
и) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.
Управление привилегиями
Использование специальных привилегий (см. Инцидент в системе безопасности) следует ограничить и контролировать.
Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством формального процесса определения полномочий следующим образом:
а) Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.
б) Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.
в) Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.
г) Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.
д) Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.
Управление пользовательскими паролями
В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:
а) Потребовать от пользователей подписания обязательства по хранению персональных паролей и паролей рабочих групп в секрете.
б) В тех случаях, когда пользователи дожны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя.
в) Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтвердить получение паролей.
Существуют другие технологии, например, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровеня безопасности оправдано.
Пересмотр прав доступа пользователей
Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:
а) пересмотр полномочий доступа пользователей через регулярные промежутки времени; рекомендуется период в 6 месяцев;
б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 3 месяца;
в) проверка предоставленных привелигий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.
Обязанности пользователей
Цель: Предотвратить несанкционированный доступ пользователей.
Крайне важным условием поддержания надлежащего режима безопасности является участие и помощь зарегистрированных пользователей.
Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.
Использование паролей
Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:
а) Назначать индивидуальные пароли для обеспечения подотчетности.
б) Хранить пароли в секрете.
в) Не записывать пароли на бумаге, если не представляется возможным ее хранение в защищенном месте.
г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей.
д) Выбирать пароли, содержащие не менее шести символов.
е) При выборе паролей не следует использовать:
месяцы года, дни недели и т.п.;
фамилии, инициалы и регистационные номера автомобилей;
названия и идентификаторы организаций;
номера телефонов или группы символов, состоящие из одних цифр;
пользовательские идентификаторы и имена, а также идентификаторы групп и другие системные идентификаторы;
более двух одинаковых символов, следующих друг за другом;
группы символов, состоящие из одних букв.
ж) Изменять пароли через регулярные промежутки времени (приблизительно через 30 суток) и избегать повторное или «циклическое» использование старых паролей.
з) Чаще изменять пароли для привилегированных системных ресурсов, например, пароли доступа к определенным системным утилитам.
и) Изменять временные пароли при первом входе в системы.
и) Не включать пароли в сценарии автоматического входа в системы, например, в макросы или функциональные клавиши.
Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.
Пользовательское оборудование, оставленное без присмотра
Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей, например, рабочие станции и файловые серверы, может потребовать специальной защиты от несанкционированного доступа в тех случаях, когда оно оставляется без присмотра на продолжительное время. Все пользователи и подрядчики должны знать требования к безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:
а) Завершить активные сеансы связи по окончанию работы, если их нельзя защитить посредством соответствующей блокировки.
б) Выйти из мэйнфреймов по окончании сеанса связи. Не ограничиваться только выключением ПК или терминала.
в) Защитить ПК или терминалы, которые не используются, с помощью блокировки с ключом или эквивалентного средства контроля, например, доступом по паролю.
Управление доступом к сети
Цель: Обеспечить защиту систем, объединенных в сеть.
Подключения к системам, объединенным в сеть, следует контролировать.
Это необходимо для того, чтобы подключенные пользователи и компьютерные системы не нарушали зашиту других сетевых сервисов. Средства контроля должны включать в себя следующее:
а) а. соответствующие интерфейсы между сетевыми сервисами;
б) надлежащие механизмы аутентификации удаленных пользователей и оборудования;
в) контроль доступа пользователей к информационным системам.
Предоставление ограниченных услуг
Доступ к сети и компьютерным системам, осуществляемый пользователем с конкретного терминала, должен предоставляться в соответствии с политикой управления доступом, принятой в организации (см. Документированная политика управления доступом к информации). В частности, пользователям следует предоставить только прямой доступ к сервисам, использование которых им разрешено.
Принудительная маршрутизация
В ряде случаев путь от пользовательского терминала к компьютерной системе необходимо контролировать. Современные сети предоставляют максимальные возможности для коллективного использования ресурсов и гибкость маршрутизации. Эти особенности также дают возможность несанкционированного доступа к производственным приложениям или незаконного использования информационных систем. Такой риск можно уменьшить, привлекая средства контроля для ограничения маршрута между пользовательским терминалом и компьютерными системами, доступ к которым пользователю разрешен, т.е. создавая принудительный маршрут.
Цель такой принудительной маршрутизации — предотвратить нежелательное «отклонение» пользователей от маршрута между пользовательским терминалом и системами, доступ к которым пользователю разрешен. Для этого обычно требуется реализация ряда средств контроля в нескольких точках пути. Принцип состоит в том, чтобы ограничить возможности выбора маршрута в каждой точке сети посредством предопределенных вариантов.
Примерами такого ограничения пути являются:
а) предоставление выделенных линий связи или телефонных номеров;
б) автоматическое подключение портов к определенным прикладным системам или шлюзам безопасности;
в) ограничение возможностей выбора маршрута с помощью системы меню и подменю для отдельных пользователей;
г) предотвращение неограниченного «блуждания» по сети.
В основе требований к принудительной маршрутизации должна лежать политика управления доступом, принятая в организации (см. Документированная политика управления доступом к информации).
Аутентификация пользователей
Несанкционированный доступ к производственным приложениям может быть осуществлен посредством внешнего подключения к компьютерам организации через общедоступные сети или сети, не принадлежащие организации. Поэтому необходима аутентификация подключений, осуществляемых удаленными пользователями через общедоступные (или не принадлежащие организации) сети.
Аутентификация может выполняться на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения необходимого уровня аутентификации, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации.
Как на сетевом уровне, так и на уровне компьютера аутентификацию удаленных пользователей можно осуществлять с помощью, например, систем оперативного реагирования на проблемы и шифрования линии связи. Использование выделенных частных линий связи или средства проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Аутентификация узлов сети
Несанкционированный доступ к производственному приложению может быть осуществлен посредством автоматического подключения удаленного компьютера, поэтому необходимо аутентифицировать подключения удаленных компьютерных систем. Это особенно важно если подключение осуществляется через открытую сеть, находящуюся вне пределов досягаемости администраторов безопасности организации.
Аутентификацию можно выполнять на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения требований к аутентификации удаленных систем, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации. На сетевом уровне аутентификация удаленной системы может быть осуществлена посредством аутентификации узлов сети с помощью, например, систем оперативного реагирования на проблемы или шифрования линии связи. Использование выделенных частных линий связи или средств проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Защита удаленного диагностического порта
Доступ к диагностическим портам необходимо контролировать.
Многие компьютеры оснащены портами для диагностики удаленного, коммутируемого подключения, используемые специалистами по техническому обслуживанию. Если такие диагностические порты не защищены, то их можно использовать для несанкционированного доступа. Поэтому их следует защитить с помощью надлежащих механизмов безопасности, например, посредством блокировки с ключом, и процедуры, которая гарантирует, что эти порты становятся доступными только после получения санкции от администратора компьютерной системы на доступ специалистов по техническому обслуживанию программно-аппаратного обеспечения.
Сегментация сетей
В ряде случаев может возникнуть необходимость в разбиении крупных сетей на отдельные сегменты.
По мере формирования деловых партнерских отношений, которые могут потребовать объединение и коллективное использование компьютеров и сетевых сервисов, вычислительные сети все больше и больше выходят за пределы традиционных границ организации. Такое расширение границ может увеличить риск несанкционированного доступа к функционирующим компьютерным системам, подключенным к сети, некоторые из которых могут потребовать защиты от других пользователей сети вследствие их уязвимости или важности для организации. В таких случаях необходимо рассмотреть возможность привлечения средств контроля для разделения групп пользователей и компьютеров.
Один из методов управления безопасностью крупных сетей состоит в их разбиении на несколько логических сегментов, каждый из которых защищен межсетевым экраном в пределах заданного периметра безопасности. Тогда доступ к сегментам сети можно контролировать с помощью шлюзов безопасности, привлекая надлежащие средства контроля маршрута и подключения (см. Контроль сетевых подключений и Управление сетевой маршрутизацией).
В основе критериев разбиения сетей на сегменты должна лежать политика управления доступом, принятая в организации и соответствующие требования (см. Производственные требования к управлению доступом к системам). Кроме того, эти критерии должны учитывать относительную стоимость и последствия от внедрения подходящей технологии сетевой маршрутизации и шлюзов для производительности систем.
Контроль сетевых подключений
Для удовлетворения требований политики управления доступом к определенным производственным приложениям, коллективно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать реализации средств контроля для ограничения возможности подключения пользователей. Такой контроль может быть осуществлен посредством межсетевых шлюзов, которые фильтруют передаваемые по сети данные с помощью предопределенных таблиц и правил. В основе ограничений на подключение пользователей должна лежать политика управления доступом к производственным приложениям Примерами таких ограничений являются:
пересылка только электронной почты;
односторонняя передача файлов;
двухсторонняя передача файлов;
интерактивный доступ;
доступ к сети только в определенное время суток или в определенную дату.
Управление сетевой маршрутизацией
Совместно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать привлечения средств контроля маршрутизации для подключения компьютерных систем и информационные потоки не нарушали политику управления доступом к производственным приложениям (см. Производственные требования к управлению доступом к системам).
Средства управления маршрутизацией должны быть основаны на механизмах проверки адреса источника данных и назначения. Такие средства можно реализовать на программном или аппаратном уровне. Те, кто реализует средства контроля должны хорошо знать сильные стороны используемых механизмов.
Защита сетевых сервисов
Существует целый ряд общедоступных и коммерческих сетевых сервисов, некоторые из которых предлагают дополнительные услуги. Сетевые сервисы могут иметь уникальные (возможно сложные) защитные характеристики. Организации, пользующиеся сетевыми сервисами, должны потребовать от своих поставщиков сетевых услуг четкого описания атрибутов безопасности всех используемых сервисов и определить последствия от нарушения режима безопасности для конфиденциальности, целостности, и доступности (см. Информационная безопасность) производственных приложений.
Управление доступом к компьютерам
Цель: Предотвратить несанкционированный доступ к компьютерам.
Доступ к компьютерным системам необходимо контролировать.
Такой доступ следует предоставлять только зарегистрированным пользователям. Компьютерные системы, обслуживающие многих пользователей, должны быть способны делать следующее:
а) идентифицировать и проверять подлинность личности пользователей, а также по необходимости терминал или местонахождение каждого зарегистрированного пользователя;
б) фиксировать случаи успешного и безуспешного доступа к системам;
в) предоставить систему управления паролями, которая обеспечивает выбор надежных паролей;
г) по необходимости ограничить время подключения пользователей.
Существуют также более мощные и дорогостоящие системы управления доступом, такие, как системы оперативного реагирования на проблемы. Использование таких систем оправдано в случае высокого риска нарушения режима безопасности организации.
Автоматическая идентификация терминалов
Для аутентификации подключений к конкретным узлам сети следует рассмотреть возможность автоматической идентификации терминалов. Автоматическая идентификация терминалов — это средство, которое можно использовать для тех приложений, для которых важно, чтобы сеанс связи можно было инициировать только с конкретного терминала. Идентификатор, присвоенный терминалу, можно использовать для указания того, разрешено ли конкретному терминалу инициировать сеанс связи или производить определенные действия. Для обеспечения безопасности терминального идентификатора, возможно потребуется физическая защита терминала.
Процедуры входа в систему с терминала
Доступ к информационным сервисам следует осуществлять с помощью надежной процедуры входа в системы.
Процедура входа в компьютерную систему (logon) должна сводить риск несанкционированного доступа к минимуму, поэтому она должна давать минимум информации о системе, чтобы избежать оказания излишней помощи незарегистрированному пользователю. Хорошая процедура входа в систему должна выполнять следующие функции:
а) не выводить на экран идентификаторы системы или приложения до тех пор, пока не завершится процесс входа в систему;
б) выводить на экран общее предупреждение о том, что только зарегистрированные пользователи имеют право доступа к компьютеру;
в) не предоставлять справочную информацию во время выполнения процедуры входа в систему, которая могла бы оказать помощь незарегистрированному пользователю;
г) проверять достоверность регистрационной информации только по завершении ввода всех данных. При возникновении сбойной ситуации система не должна указывать, какая часть введенных данных правильная или неправильная;
д) ограничить разрешаемое количество неудавшихся попыток входа в систему (рекомендуется три попытки), прежде чем принять меры:
по регистрации неудавшейся попытки;
по принудительному введению временной задержки между дальнейшими попытками входа в систему;
по разрыву канала связи;
е) разорвать канал связи и не давать справочную информацию после отвергнутой попытки входа в систему;
ж) задать минимальную и максимальную продолжительность процедуры входа в систему. При ее привышении система должна прервать процедуру входа;
з) выводить на экран следующую информацию по завершении успешного входа в систему:
дату и время предыдущей успешной попытки входа в систему;
подробности о неудавшихся попытках входа в систему, предпринятых с момента последнего успешного входа в нее.
Идентификаторы пользователей
Для отслеживания действий отдельных лиц, всем пользователям необходимо присвоить уникальные персональные идентификаторы. Пользовательские идентификаторы не должны указывать на уровень привилегий пользователя (см. Управление привилегиями), например, администратор, наблюдатель и т.п.
В исключительных ситуациях, в случае явных преимуществ для организации, можно использовать общий пользовательский идентификатор для группы пользователей или конкретного задания. Такие случаи должны быть утверждены руководством и задокументированы. Для обеспечения подотчетности могут потребоваться дополнительные средства контроля.
Система управления паролями
Для аутентификации пользователей необходимо использовать эффективную систему управления паролями. Пароли являются основным средством подтверждения полномочий доступа пользователя к компьютерной системе. Системы управления паролями должны предоставлять эффективное, интерактивное средство обеспечения надежных паролей
Хорошая система управления паролями должна:
а) по необходимости принуждать пользователей к применению индивидуальных паролей для обеспечения подотчетности;
б) по необходимости позволять пользователям выбирать и изменять свои собственные пароли, а также включать процедуру их подтверждения, чтобы избежать ошибок при их наборе;
в) задать минимальное количество символов в паролях;
г) принуждать пользователей к изменению паролей через регулярные промежутки времени в тех случаях, когда они сами поддерживают свои пароли;
д) по необходимости принуждать привилегированных пользователей, например тех, кто имеет доступ к системным утилитам, к более частому изменению паролей;
е) заставлять пользователей изменять временные пароли при первом входе в систему в тех случаях, когда они сами выбирают свои пароли
ж) вести учет предыдущих пользовательских паролей, например, за последние 12 месяцев и предотвращать их повторное использование пользователями;
з) не выводить пароли на экран при их наборе на клавиатуре;
и) хранить файлы паролей отдельно от основных данных прикладной системы;
и) хранить пароли в зашифрованном виде, использовать односторонний алгоритм шифрования;
к) изменять пароли, заданные поставщиком программного обеспечения по умолчанию, после его инсталляции;
л) в идеале проверять, выбрал ли пользователь надежный пароль, например, посредством проверки, не основан ли пароль на следующих данных:
месяцы года, дни недели и т.п.;
названия и идентификаторы организаций;
пользовательские идентификаторы, имена пользователей, идентификаторы групп и другие системные идентификаторы;
более чем два одинаковых символа, следующие друг за другом;
группы символов, состоящие из одних цифр или одних букв.
Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей
Необходимо рассмотреть возможность использования сигнала тревоги, предупреждающий о принуждении, для тех пользователей, которые могут быть мишенью для принуждения.
Решение о том, использовать ли такой сигнал тревоги или нет, следует принимать исходя из оценки рисков. Для реагирования на сигнал тривоги необходимо определить обязанности и процедуры.
Время простоя терминалов
Для бездействующих терминалов в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации, или обслуживающих системы повышенного риска, необходимо установить время простоя для предотвращения доступа незарегистрированных пользователей. Средство установления времени простоя должно очищать экран терминала и завершать сеансы связи с приложениями и сетевыми сервисами после заданного периода бездействия. Время простоя должно задаваться исходя из риска нарушения режима безопасности пользовательского терминала.
Ограничение времени подключения
Дополнительную защиту приложений повышенного риска можно обеспечить посредством ограничения времени подключения. Ограничение разрешаемого периода подключения терминала к компьютерным системам позволяет уменьшить вероятность несанкционированного доступа. Применение такого средства контроля следует рассмотреть для компьютерных систем, поддерживающих конфиденциальные приложения, особенно для систем с терминалами, установленными в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации. Примерами таких ограничений являются:
а) использование предопределенных интервалов времени разрешенного доступа, например, для пакетной передачи файлов, или регулярных интерактивных сеансов связи небольшой продолжительности;
б) ограничение времени подключения обычными часами работы организации, если не требуется работа в сверхурочное время.
Управление доступом к приложениям
Цель: Предотвратить несанкционированный доступ к информации, хранимой в компьютерных системах.
Для управления доступом к прикладным системам и данным, необходимо использовать логические средства контроля доступа.
Логический доступ к компьютерным программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
а) контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в организации;
б) обеспечивать защиту программ-утилит, которые способны обойти средства контроля систем и приложений от несанкционированного доступа;
в) не нарушать защиту других систем, с которыми они разделяют информационные ресурсы.
Ограничение доступа к информации
Пользователям прикладных систем, в том числе обслуживающему персоналу следует предоставлять доступ к данным и приложениям в соответствии с политикой управления доступом к информации (см. Документированная политика управления доступом к информации), принятой в организации, исходя из индивидуальных потребностей в производственных приложениях. Чтобы удовлетворить требования политики управления доступом, необходимо рассмотреть следующие средства контроля:
а) предоставление системы меню для контроля доступа к приложениям;
б) ограничение знания пользователями данных и функций прикладных систем, доступ к которым им не разрешен, посредством соответствующего редактирования пользовательской документации;
в) контроль полномочий доступа пользователей, например, прав на чтение, запись, удаление, выполнение;
г) гарантирование того, что выходные данные от прикладных систем, поддерживающих конфиденциальную информацию, содержат только необходимые данные и посылаются только на терминалы и компьютеры, доступ к которым разрешен, включая периодический анализ таких выходных данных для обеспечения удаления ненужной информации.
Использование системных утилит
Большинство компьютерных систем поддерживают одну или несколько системных программ-утилит, которые способны обойти средства контроля системы и приложений. Необходимо ограничить и тщательно контролировать использование таких системных утилит. Предлагается использовать следующие средства контроля (по возможности):
а) защита системных утилит с помощью паролей;
б) изоляция системных утилит от прикладного программного обеспечения;
в) предоставление доступа к системным утилитам минимальному числу надежных, зарегистрированных пользователей;
г) предоставление разрешения на специальное использование системных утилит;
д) ограничение доступности системных утилит, например, временем внесения санкционированного изменения;
е) регистрация всех случаев использования системных утилит;
ж) определение и документирование уровней полномочий доступа к системным утилитам;
з) удаление всех ненужных утилит и системных программ.
Управление доступом к библиотекам исходных текстов программ
Для сведения риска повреждения компьютерных программ к минимуму, необходимо осуществлять жесткий контроль за доступом к библиотекам исходных текстов программ
а) Не следует хранить библиотеки исходных текстов программ в рабочих системах (по возможности).
б) Необходимо назначить библиотекаря программ для каждого приложения.
в) Обслуживающий персонал не должен иметь неограниченный доступ к библиотекам исходных текстов программ.
г) Не следует хранить разрабатываемые или сопровождаемые программы в рабочих библиотеках исходных текстов программ.
д) Обновление библиотек исходных текстов программ и выдача текстов программ программистам должны производиться только назначенным библиотекарем после получения санкции на доступ к приложению от руководителя обслуживающего персонала.
е) Распечатки программ следует хранить в защищенном месте (см. Защита системной документации).
ж) Необходимо фиксировать все случаи доступа к библиотекам исходных текстов программ в контрольном журнале.
з) Устаревшие версии исходных текстов программ следует архивировать с четким указанием точной даты и времени их использования вместе со всем вспомогательным программным обеспечением и информацией об управлении выполнением заданий, определением данных и процедур.
и) Сопровождение и копирование библиотек исходных текстов программ необходимо осуществлять в соответствии со строгими процедурами управления процессом внесения изменений
Изоляция уязвимых систем
Уязвимые системы могут потребовать выделенную (изолированную) вычислительную среду. Некоторые прикладные системы настолько уязвимы по отношению к возможной потере данных, что требуют специального обращения.
Уязвимость может указывать на необходимость запуска приложения на выделенном компьютере или разделения ресурсов только с надежными прикладными системами. Приложение также может не иметь никаких ограничений. Предлагаются следующие рекомендации:
а) Уязвимость прикладной системы должна быть явно определена ее владельцем и задокументирована
б) В случае, когда уязвимое приложение запускается в коллективно используемой среде, необходимо идентифицировать прикладные системы, с которыми оно будет разделять ресурсы, и согласовать их использование с владельцем этого приложения.
Слежение за доступом к системам и их использованием
Цель: Выявить несанкционированные действия.
Для обеспечения соответствия политике управления доступом и стандартам необходимо следить за системами.
Это необходимо для того, чтобы определить эффективность принятых мер и обеспечить соответствие модели политики управления доступом (см. Документированная политика управления доступом к информации).
Регистрация событий
Все чрезвычайные ситуации и события, связанные с нарушением режима безопасности, необходимо регистрировать в контрольном журнале. Записи в таком журнале следует хранить в течение заданного промежутка времени для оказания помощи в будущих расследованиях и осуществлении контроля за доступом. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные:
идентификаторы пользователей;
дата и время входа и выхода из системы;
идентификатор или местонахождение терминала (по возможности).
Слежение за использованием систем
Необходимо установить процедуры слежения за использованием систем.
Такие процедуры требуются для обеспечения выполнения пользователями только явно разрешенных процессов. Уровень контроля, требуемый для отдельных систем, следует определить с помощью независимой оценки рисков. Необходимо рассмотреть следующие пункты:
неудачные попытки доступа к системам;
анализ сеанса входа в систему на предмет выявления несанкционированного использования или восстановленных пользовательских идентификаторов;
выделение и использование ресурсов с привилегированным доступом;
отслеживание отдельных действий;
использование конфиденциальных ресурсов.
Все действия, связанные со слежением за системами, должны быть формально разрешены руководством.
Синхронизация системных часов
Для обеспечения точности контрольных журналов, которые могут потребоваться для расследований или в качестве свидетельства во время судебных разбирательств и при наложении дисциплинарных взысканий, важно правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству.
В тех случаях, когда компьютер или коммуникационное устройство поддерживает часы реального времени, необходимо их установить в соответствии с принятым стандартом, например, на Гринвичское среднее время или местное стандартное время. Поскольку некоторые часы, как известно, уходят со временем, необходимо иметь процедуру их проверки и коррекции в случае значительного ухода.
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1.Опишите процесс ограничение доступа к информации
2. С какой целью используется автоматическая идентификация терминалов
3.Опишите процесс аутентификация узлов сети
4.Перечислите этапы создания стандартных профилей полномочий доступа пользователей для общих категорий работ
5. Перечислите условия когда необходима аутентификация пользователей
1.
ЛЕКЦИЯ 8. ОРГАНИЗАЦИЯ КОНТРОЛЯ И МОТИВАЦИИ ВЫПОЛНЕНИЯ ПЕРСОНАЛОМ ТРЕБОВАНИЙ
НОРМАТИВНО-МЕТОДИЧЕСКИХ И ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ
Нормативно-методическое обеспечение системы управления персоналом – это документы организационно-методического, организационно-распорядительного, организационного, технико-экономического, технического, нормативно-технического и экономического характера и нормативно-справочные сведения, содержащие нормы, правила, требования , методы и другие положения, используемые в процессе управления персоналом организации и утвержденные в установленном порядке руководством компании. Нормативно-методическое обеспечение системы управления персоналом состоит в организации разработки и применении нормативно-методических документов, а также введении совокупности норм и правил в систему управления персоналом . Основополагающими организационными документами для компаний являются устав и учредительный договор. Далее важным организационно-распорядительным документом в области управления человеческими ресурсами являются правила внутреннего трудового распорядка. Следующим значимым документом является коллективный договор. Прочие указанные ниже документы организационно-методического и методического характера регламентируют выполнение функций по управлению персоналом: положение по формированию кадрового резерва в организации, положение по организации адаптации работников, положение по поддержанию благоприятного психологического климата и предотвращению конфликтов, положение по материальным компенсациям работникам, инструкции по соблюдению правил техники безопасности. Важнейшими внутренними организационно-регламентирующими документами являются положение об отделе и должностная инструкция.
Должностная инструкция является важнейшим организационно-распорядительным документом в системе менеджмента организации и системе управления персоналом, на основе которых строится распределение обязанностей в структурных подразделениях, эффективное их использование для достижения целей организации. Основной смысл должностных инструкций заключается в придании большей прозрачности трудовому процессу, облегчении адаптации нового сотрудника, обеспечении контроля за работой сотрудника и собственного самоконтроля, в образовательных функциях, задании стандартов и технологии выполнения поставленных задач.
Подробная должностная инструкция должна состоять из следующих частей: общие положения, требования к квалификации (уровень образования, знаний, умений, навыков, соответствующих названной должности), должностные обязанности, критерии успешности исполнения трудовых обязанностей, права работника, ответственность специалиста. В итоге получается достаточно большой документ, однако это детальное представление в дальнейшем дает возможность сделать процесс управления подчиненными более четким, понятным и прозрачным.
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1. Дайте определение понятию - нормативно-методическое обеспечение системы управления персоналом
2. Перечислите состав должностной инструкции
3. Дайте понятие определение понятию – должностная инструкция
4. В чем заключается нормативно-методическое обеспечение системы управления персоналом
5. Перечислите основополагающие организационные документы для компаний
1.
ЛЕКЦИЯ 9. ОРГАНИЗАЦИЯ КОНТРОЛЯ ЭФФЕКТИВНОСТИ ВЫПОЛНЕНИЯ ПЕРСОНАЛОМ, ОТВЕТСТВЕННЫМ ЗА
ИБ, СВОИХ ФУНКЦИОНАЛЬНЫХ ОБЯЗАННОСТЕЙ
Политика безопасности предприятия — это общие направления действий и принятия решений, обеспечивающих достижение целей безопасности предприятия. Этими целями могут быть:
укрепление дисциплины труда и повышение его производительности;
защита законных прав и интересов предприятия и персонала;
укрепление интеллектуального потенциала предприятия;
сохранение и увеличение собственности;
повышение конкурентоспособности произведенной продукции;
максимально полное обеспечение руководства предприятия достоверной оперативной информацией о деятельности структурных подразделений (дочерних предприятий, филиалов);
недопущение зависимости от случайных и неустойчивых деловых партнеров;
осуществление проверок отдельных видов деятельности предприятия и т. п.
В зависимости от целей обеспечения безопасности могут создаваться различные варианты структуры службы безопасности. Рассмотрим структуру СБ, состоящую из отделов финансовой разведки, физического сопровождения и охраны, расследований и мониторинга, финансового аудита (рис.).
Образец структуры СБ
Отдел финансовой разведки
Цель деятельности: своевременное выявление и представление руководству предприятия закрытой информации о реальных и потенциальных внешних угрозах его функционированию.
Осуществляет:
выявление и представление руководству информации, игнорирование которой станет потенциальной угрозой потери активов, с целью предупреждения правонарушений, затрагивающих экономические интересы предприятия;
изучение отрицательных и криминальных аспектов теневой экономики и рынка, мониторинг законодательства по финансовым вопросам;
определение надежности деловых партнеров, проверку их кредитоспособности, выявление и документирование фактов нарушений прав владельцев товарного знака.
Отдел физического сопровождения и охраны
Цель деятельности: предупреждение и противодействие преступным посягательствам.
Осуществляет:
комплекс мероприятий, направленных на предупреждение и непосредственную защиту определенных лиц от противоправных посягательств (причинение ущерба им, членам их семей и их имуществу);
охрану объектов предприятия, сопровождение грузов;
взаимодействие с правоохранительными органами и негосударственными охранительными структурами.
Целесообразно использовать для подготовки должностных инструкций работников основные положения Инструкции об организации служебной деятельности специальных подразделений милиции охраны «Титан», утвержденной приказом Министерства внутренних дел Украины от 25 ноября 2003 года № 1432.
Отдел расследований и мониторинга
Цель деятельности: выявление и документирование обстоятельств совершения действий, представляющих потенциальную опасность для предприятия, мониторинг отдельных направлений его деятельности.
Осуществляет:
расследование фактов разглашения коммерческой тайны предприятия, документирование обстоятельств совершения краж, растрат и т. п.;
надзор за четкой формулировкой прав, обязанностей и ответственности каждого работника; систематическую оценку работы каждого работника в необходимом объеме;
организацию работы в критических точках (стратегических сферах, видах деятельности);
защиту научно-технической информации и принимает меры по выявлению лиц, занимающихся экономическим шпионажем;
разработку перечня сведений, представляющих коммерческую тайну, и перечня сведений, не подлежащих разглашению посторонним лицам с целью личной безопасности работников и предприятия;
разработку инструкции по охране коммерческой тайны, содержащей основные требования по ее защите, и памяток работникам по ее сохранению;
разработку правил ведения секретного делопроизводства и правил приема посетителей на предприятии.
Отдел финансового аудита
Цель деятельности:
организация и проведение контрольных мероприятий;
выявление упущений и недостатков организационного, нормативно-правового и финансового характера, которые могут стать причиной ухудшения имущественного состояния предприятия;
разработка предложений по устранению отрицательных последствий.
Осуществляет:
контрольные мероприятия (ревизию, проверку, оценку, расследование и изучение финансово-хозяйственной деятельности предприятия или отдельных ее аспектов);
надзор за надежностью системы контроля на предприятии;
надзор за доступом к ресурсам и их учетом;
контроль достоверности проведенных операций;
сверку учетных данных с фактическими, организует и проводит инвентаризацию имущества и обязательств предприятия;
оценку общих результатов деятельности;
оценку отдельных операций, процессов и видов деятельности;
распределение и закрепление функций и задач за структурными подразделениями;
внедрение порядка отчетности работников о проделанной работе; определение объектов, объемов и сроков отчетности;
учетную политику, внедрение форм бухгалтерского учета, порядка и способа регистрации и обобщения информации;
разработку правил документооборота и технологий обработки учетной информации, дополнительной системы счетов и регистров аналитического учета.
Общие вопросы деятельности СБ предприятия
Структура СБ предприятия и положение об этой службе утверждаются приказом руководителя предприятия. Кроме того, нормативными документами предприятия целесообразно утвердить:
распределение и закрепление функций и задач за структурными подразделениями СБ;
должностные инструкции работников с четким определением их подчиненности и подотчетности;
порядок отчетности работников о проделанной работе; объекты, объемы и сроки отчетности;
учетную политику, формы бухгалтерского учета, порядок и способы регистрации и обобщения информации;
правила документооборота и технологии обработки учетной информации, дополнительные системы счетов и регистров аналитического учета.
Необходимо подчеркнуть, что структура СБ зависит от имеющихся или предвиденных рисков для предприятия, поэтому может изменяться или реформироваться. Внедрение системы мониторинга и оценки рисков даст возможность сосредоточиться на решении основных задач СБ и сэкономить человеческие и материальные ресурсы предприятия.
Оценка риска — это систематический процесс определения (идентификации), анализа и оценки риска с использованием профессиональных знаний специалистов, способных предусматривать достоверность возникновения угрожающих ситуаций, а также комплекс соответствующих средств и инструментов, направленных на их предотвращение.
Основные задачи СБ
Определение (идентификация) рисков предусматривает установление всех видов рисков, способных повлиять на деятельность предприятия в целом или отдельные ее аспекты, с целью определения наиболее рисковых сфер деятельности и установления ответственности за управление рисками в соответствующей сфере.
Идентификация рисков должна быть постоянным процессом с обязательным учетом изменений в сфере деятельности предприятия и правовой среде.
В ходе осуществления идентификации рисков необходимо информировать руководство предприятия о рисковых сферах, относительно которых должны проводиться мероприятия с целью их предотвращения или ограничения, а также определения их приоритетности.
Идентификация всех рисков предусматривает их классификацию по уровню отрицательных последствий, например по шкале: «высокий», «средний», «низкий», «допустимый».
Если в структуру СБ входит отдел финансового аудита, функционирование которого предусматривает осуществление внутреннего финансового контроля на предприятии, нужно определиться с контрольными функциями других структурных подразделений предприятия. При этом целесообразно избегать сосредоточения в одном структурном подразделении функций по получению, распределению и списанию ресурсов на нужды производства.
Такими контрольными функциями могут быть:
авторизация и подтверждение;
распределение обязанностей и полномочий;
контроль доступа к информации и ресурсам и их учету;
контроль достоверности проведенных операций;
сопоставление учетных данных с фактическими;
оценка общих результатов деятельности предприятия;
оценка отдельных операций, процессов и видов деятельности;
мониторинг выполнения работниками предприятия своих должностных обязанностей.
Авторизация и подтверждение — определение правил осуществления операций и требований к ним; осуществление всех операций только по разрешению (согласованию) руководителя предприятия (заместителя, руководителя определенного структурного подразделения) на всех уровнях управления; возможность четкого определения лиц, причастных к осуществлению операций; документирование и учет всех операций, контрольных процедур, обязанностей, полномочий и задач; сохранение документации.
Распределение обязанностей и полномочий — обязанности, полномочия и ответственность за осуществление всех операций должны распределяться между работниками. Каждый работник получает утвержденные должностные инструкции с четким определением прав, обязанностей и ответственности.
На одного работника не должны возлагаться обязанности и полномочия по осуществлению всех ключевых операций (указанное ограничение можно распространить и на лиц, состоящих в родстве).
Обязанности относительно полномочий на осуществление операций, непосредственное их проведение, учет и контроль должны, по возможности, распределяться между разными работниками. Кроме того, с учетом специфики деятельности предприятия целесообразно изменять обязанности и полномочия работников (ротация, замена в связи с отпуском, больничным, на время обучения и т. п.).
Нужно учесть, что сговор работников может привести к потерям или ограничению результативности указанной функции.
Небольшая численность работников предприятия может являться ограничением для применения соответствующих процедур контроля, которые должны компенсироваться установлением других приемлемых процедур контроля.
Контроль за доступом к информации и ресурсам и их учету. Доступ должен быть ограниченным (возможным исключительно для определенных работников, ответственных за сохранение и использование информации и ресурсов).
Объем ограничения зависит от уровня риска потери каждого отдельного вида ресурсов. При определении уровня риска должна учитываться ценность ресурса (стоимость, ликвидность и т. п.).
Ограничение доступа к ресурсам и их учету, а также закрепление ответственности за сохранение и использование ресурсов должны периодически проверяться и оцениваться.
Контроль за достоверностью проведенных операций должен осуществляться путем анализа имеющейся информации до и после проведения таких операций.
Пример
При получении товаров предприятием сравнивается количество поставленных товаров с количеством фактически заказанных товаров; количество товаров, зафиксированное в счетах, сравнивается с количеством фактически полученных товаров; устанавливаются их остатки на конкретную дату.
Сопоставление учетных данных с фактическими. Учетные записи должны постоянно сверяться с соответствующими документами при осуществлении операций. Учетные данные о наличии активов сравниваются с фактически имеющимися.
Пример
Бухгалтерские записи о движении средств на банковских счетах сверяются с соответствующими банковскими выписками; все товарно-материальные ценности подлежат обязательной инвентаризации.
Оценка общих результатов деятельности осуществляется на их соответствие поставленным задачам, а также условиям результативности и эффективности использования имеющихся возможностей. Если при осуществлении оценки устанавливается несоответствие этим показателям, определенные процессы и операции должны пересматриваться с целью их усовершенствования.
Оценка отдельных операций, процессов и видов деятельности. Операции, процессы и отдельные виды деятельности должны периодически пересматриваться для обеспечения уверенности в том, что они отвечают правилам, процедурам и другим требованиям.
Мониторинг выполнения работниками предприятия своих должностных обязанностей предусматривает четкое формулирование прав, обязанностей и ответственности каждого работника предприятия; надлежащую организацию работы на рисковых направлениях деятельности; мониторинг функций, осуществляемых работниками предприятия во время выполнения возложенных на них обязанностей с целью предотвращения неэкономичных, неэффективных расходов; оперативное реагирование на смену законодательного поля.
Конечно, решение тех или иных задач, на выполнение которых будет ориентирована деятельность СБ, потребует соответствующих умений и навыков работников СБ и создаст новый риск: накопления в указанном подразделении важной информации. Потеря ее в результате увольнения работников СБ или ненадлежащего выполнения ими своих служебных обязанностей может привести к необратимым последствиям. Таким образом, выражение «кадры решают все» в этом случае более чем актуально.
Создав надлежащие условия работы для наемных работников, необходимо определить основные принципы кадровой политики на предприятии, ведь риск принятия на работу работника, потенциально способного вследствие действий или бездеятельности руководства причинить ущерб, довольно значителен.
Кадровая политика должна предусматривать:
определение правил принятия работников на работу и их освобождения, вопросы карьерного роста, оценку их деятельности, мотивации;
установление и соблюдение системы конкурсного отбора на замещение вакантных должностей;
своевременное ознакомление работников с возложенными на них обязанностями, существующими правилами и порядком, изменениями в соответствующей сфере деятельности и законодательстве;
определение для каждого уровня должностей требований относительно уровня образования, опыта и квалификации работников; обеспечение их соблюдения и периодического повышения.
Нужно отметить, что между результатом, которого необходимо достигнуть, и укомплектованием подразделения СБ работниками с соответствующими навыками и опытом существует определенная зависимость.
Так, если СБ необходимо сосредоточиться только на финансовой безопасности, персонал должен обладать аналитическими способностями, иметь опыт работы ревизора, аудитора или бухгалтера (табл. 1).
Таблица 1. Зависимость результата от квалификации персонала
Результат
Квалификация работника (опыт работы)
Должен знать
Обеспечение самого эффективного использования всех видов ресурсов с целью предотвращения рисков и обеспечения стабильного функционирования предприятия в условиях рыночной экономики
Высшее образование финансово-экономического направления по образовательно-квалификационному уровню магистра, специалиста.
Стаж работы по специальности (на должностях аудитора, ревизора, бухгалтера) — не менее 3 лет
Основные положения нормативно-правовых актов, инструктивные и методические документы, регулирующие вопросы организации и осуществления финансового контроля, а также развитие соответствующих сфер (областей) экономики; основы управления, экономики, права, управления персоналом и рынка труда; основные принципы работы на компьютере и соответствующие программные средства
Защита информационных ресурсов и потоков от угроз несанкционированного доступа
Высшее образование по направлениям эксплуатации и обслуживания средств вычислительной техники по образовательно-квалификационному уровню магистра, специалиста.
Стаж работы по специальности (специалист в области информационных технологий) — не менее 2 лет
Основные положения нормативно-правовых актов, инструктивные и методические документы, регулирующие вопросы организации и ведения хозяйственной деятельности в сфере информационных технологий; нормативные, инструктивные и методические документы по статистическому учету; порядок автоматизированной обработки информации и формирования необходимых информационных баз данных; условия эксплуатации компьютерной техники, применения программных и других технических средств обработки информации; технологии разработки программных средств; практику применения действующего законодательства в этой области; формы и методы работы со средствами массовой информации; правила и нормы охраны труда и противопожарной защиты
Защита научно-технической информации (продукции)
Высшее образование юридического направления по образовательно-квалификационному уровню магистра, специалиста.
Стаж работы по специальности — не менее 3 лет
Основные положения нормативно-правовых актов, инструктивные и методические документы, регулирующие вопросы защиты научно-технической продукции, нормативные, инструктивные и методические документы по вопросам регистрации прав интеллектуальной собственности
Физическое сопровождение и охрана
Высшее образование юридического направления по образовательно-квалификационному уровню магистра, специалиста.
Стаж работы по специальности (в правоохранительных органах, частных охранительных структурах) — не менее 5 лет.
Соответствующая физическая подготовка
Основные положения нормативно-правовых актов, инструктивные и методические документы, регулирующие вопросы физической защиты и охраны собственности и граждан
Вместе с тем необходимо учесть основные факторы, существенно влияющие на функционирование СБ (табл. 2).
Таблица 2. Факторы влияния на функционирование СБ
Фактор
Влияние руководителя предприятия
Риск
Экономическая целесообразность
Финансовый
Стоимость финансовых расходов на обеспечение СБ не должна превышать оптимального уровня, поскольку теряется экономический эффект от ее функционирования
Создание службы, функционирование которой будет сведено только к «проеданию бюджета»
Законность
Правовой
В ходе функционирования СБ возможны случаи представления недостоверной информации о деятельности отдельных лиц
Потеря квалифицированных работников (их переход к конкурентам).
Рассмотрение споров в судебном порядке
Компетентность
Кадровый
Работники СБ должны выполнять поставленные перед ними задачи на профессиональном уровне, а при необходимости — специализироваться по основным направлениям функционирования предприятия
Принятие на работу работников с низким профессиональным опытом или уволенных с предыдущего места работы за нарушение действующего законодательства
Эффективность
Кадровый
Создание условий, в соответствии с которыми работники СБ в случае увольнения не могли бы использовать информацию с целью причинения ущерба предприятию. Работа СБ направлена на минимизацию рисков
Получение конкурентами информации, представляющей коммерческую тайну предприятия.
Неэффективная деятельность СБ может стать причиной как потери ресурсов, так и изменения ее кадрового состава
Дублирование функций
Организационный
Возможны случаи, когда функции СБ идентичны функциям служб внутреннего аудита
Конфликт между указанными подразделениями, неэффективное использование бюджета на содержание этих структур
Очень важно установить четкие правила для всех сотрудников СБ. Так, например, руководитель СБ, его заместители, руководители структурных подразделений должны:
осуществлять отбор работников с учетом их моральных, профессиональных и деловых качеств;
ие законодательству. При этом учитываются уровень знаний, опыт и профессиональные навыки подчиненных;
принципиально реагировать на факты ненадлежащего поведения подчиненных, в том числе по сообщениям (обращениям) работников предприятия;
предотвращать возникновение конфликта интересов у подчиненных, а в случае возникновения — оказывать содействие его оперативному разрешению;
объективно оценивать работу подчиненных, морально и материально их поощрять, налагать взыскания и применять другие меры воздействия согласно законодательству.
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1. Перечислите факторы влияния на функционирование СБ
2. Что должна предусматривать кадровая политика
3. Что предусматривает мониторинг выполнения работниками предприятия своих должностных обязанностей
4. Перечислите основные задачи СБ
ЛЕКЦИЯ 10. ТРЕБОВАНИЯ К АУДИТОРУ ИБ, ОСОБЕННОСТИ ВЗАИМОДЕЙСТВИЯ МЕЖДУ АУДИТОРОМ И
ЗАКАЗЧИКОМ
Аудит ИБ – это вид деятельности, заключающийся в сборе и оценке фактов ,касающихся функционирования технологий и осуществления ИБ, независимым лицом. Направлен на снижение до приемлемого уровня информационного риска. Вместе с тем А. обеспечивает не только проверку достоверностей показателей защищенности, но и разработку рекомендации по повышению эффективности защиты.
Цель А: решение конкретной задачи, в которой определяются системой нормативного регулирования аудиторской деятельности, договорными обязательствами аудитора и клиента. Аудиторами могут являться, как лицензированные частные лица, предоставляющие услуги по обеспечению ИБ, так федеральные службы.
Целями А могут быть:
1. Проверка достоверности документации.
2. Проведение анализа деятельности и подготовка рекомендаций по повышению качества представляемых услуг.
3. Проверка качества обеспечиваемой ИБ и так далее.
Действующая в РФ система нормативного регулирования аудиторской деятельности включает 3 основных уровня:
1. указы президента РФ, постановления правительства РФ и другие законодательные акты, призванные обеспечить эффективное функционирование А.
2. стандарты аудиторской деятельности.
3. методики, инструкции, положения, и другие документы, составляемые с целью разъяснения стандартов оказания помощи в их технической реализации и выработки способов выполнения аудита. Эти документы разрабатываются, как самими аудиторскими фирмами, так и федеральными службами, чтобы обеспечить единый подход к проведению проверок и контролю их результата в целом.
Аудиторские стандарты - формируют единые базовые требования к качеству и надежности аудита, и обеспечивает определенный уровень гарантии результатов.
Основная цель АС обеспечить всех А и пользователей, их услуг единообразным пониманием основных принципов и целей аудита.
Стандарты служат основанием для оценки качества проведения аудита и определения меры ответственности аудиторов при недобросовестном выполнении проверки.
Все стандарты рассматриваются и утверждаются на заседаниях комиссии по аудиторской деятельности при президенте РФ.
Существует 39 стандартов аудита разделенные на 3 группы:
1. Общие стандарты - представляют собой свод профессиональных требований относительно квалификации аудитора в независимости точки зрения аудитора, по вопросам выполняемой работы.
2. Стандарт проведения аудиторской проверки.
3. Стандарт составления отчета.
Виды аудита:
1. внешний - проводится независимой аудиторской фирмой с целью объективной оценки, достоверности качества имеющегося уровня ИБ.
2. внутренний - его цель: оценка эффективности функционирования системы. Достигается в процессе контроль со стороны специального органа.
Различия между внешним и внутренним аудитом вытекают из их основных задач. Если основной задачей внутреннего аудита является подготовка информационных материалов о состоянии данного объекта ИС, то задачей внешнего является подготовка соответствующего заключения о соответствии методов по повышению уровня ИБ.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Перечислите виды аудита
2. Сколько существует стандартов аудита
3. Дайте понятие аудиторские стандарты.
4. Что представляет собой аудит ИБ
ЛЕКЦИЯ 11. СОДЕРЖАНИЕ И ОРГАНИЗАЦИЯ ПРОЦЕССА АУДИТА ИБ
Важной составляющей развития современных предприятий является автоматизация бизнес-процессе в с использованием средств вычислительной техники и телекоммуникаций, следствием чего выступает неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде. В связи с этим автоматизированные системы (АС) становятся ключевыми в обеспечении эффективного выполнения бизнес-процессов предприятий, что приводит к повышению актуальности проблем, связанных с защитой информации от различных угроз. Известно, что в последнее время, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличении числа информационных атак, приводящих к значительным финансовым и материальным потерям.
Помимо действий злоумышленника есть другие, не менее опасные угрозы, о которых мы порой просто забываем. Например, это отказ оборудования, приводящий к сбоям в доступе к электронной информации, а в худшем случае - к частичной или полной ее потере. Более того, мы, как правило, совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности информационной системы (ИС) после кризиса.
Чтобы гарантировать эффективную защиту от информационных атак злоумышленников и от потери информации, предприятиям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит информационной безопасности (ИБ).
Можно выделить следующие основные виды аудита ИБ:
• экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
• оценка соответствия рекомендациям Международных стандартов, а также требованиям руководящих документов ФСТЭК;
• инструментальный анализ защищенности АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечении системы;
• комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования;
В зависимости от тех задач, которые необходимо решить предприятию, каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе. В качестве объекта аудита может выступать как АС предприятия в целом, так и ее отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
Рассмотрим более подробно различные виды аудита ИБ.
Экспертный аудит
Экспертный аудит представляет собой сравнение состояния ИБ с «идеальным» описанием, которое базируется на:
• требованиях, которые были предъявлены руководством в процессе проведения аудита;
• описании «идеальной» системы безопасности, основанном на аккумулированном в предприятии-аудиторе мировом и частном опыте.
При выполнении экспертного аудита сотрудники предприятия-аудитора совместно с представителями заказчика проводят следующие виды работ:
• сбор исходных данных об ИС, ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;
• сбор информации об имеющихся организационно-распорядительных документах по обеспечению ИБ и их анализ;
• определение точек ответственности систем, устройств и серверов ИС;
• формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Здесь важной частью проведения аудита является сбор данных об ИС путем интервьюирования представителей заказчика. Процесс делится на два этапа:
а) интервьюирование технических специалистов - сбор информации о функционировании сети;
б) опрос руководящего состава компании - выяснение требований, которые предъявляются к системе информационной безопасности.
Ключевой этап экспертного аудита - анализ проекта ИС, топологии сети и технологии обработки информации. В ходе анализа выявляются недостатки существующей топологии сети, снижающие уровень защищенности ИС.
Далее проводится анализ информационных потоков предприятия, позволяющий спроектировать систему обеспечения ИБ, которая будет соответствовать принципу разумной достаточности.
В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам ИБ. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение ИБ различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения ИБ, например:
• изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
• рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
• предложения по совершенствованию пакета организационно-распорядительных документов;
• предложения по этапам создания системы ИБ;
• ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала).
Инструментальный анализ защищенности АС, или Активный аудит
Активный аудит - это исследование состояния защищенности ИС с точки зрения некоего злоумышленника, обладающего высокой квалификацией в области информационных технологии.
Активный аудит представляет собой сбор информации о состоянии системы сетевой защиты с помощью специального программного обеспечения и специальных методов. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает злоумышленнику проникнуть в сети и нанести урон предприятию. В процессе проведения данного вида аудита моделируется как можно большее количество таких сетевых атак, которые может выполнить злоумышленник.
Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информации, доступной любому потенциальному нарушителю) сети заказчика.
По завершении данного вида аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности ИС от действий злоумышленника при минимальных затратах на ИБ.
Активный аудит необходимо проводить периодически для уверенности в том, что уровень безопасности ИС не снизился.
Аудит на соответствие стандартам
При его проведении состояние ИБ сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
• степень соответствия проверяемой ИС выбранным стандартам;
• степень соответствия собственным внутренним требованиям компании в области ИБ;
• количество и категории полученных несоответствий и замечаний;
• рекомендации по построению или модификации системы обеспечения ИБ, позволяющие привести ее в соответствие с рассматриваемым стандартом;
• подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения ИБ, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
При обеспечении ИБ важно понимать, что:
• обеспечение ИБ - это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты;
• в основе этого процесса лежит периодический анализ защищенности ИС в разрезе видов угроз и динамики их развития;
• ИС в своем развитии должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита ИБ.
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1. Основные виды аудита безопасности
2. Опишите экспертный аудит
3. Опишите инструментальный анализ защищенности
4. Охарактеризуйте понятие обеспечении ИБ
ЛЕКЦИЯ 12. ОЦЕНКА РИСКОВ ИБ
В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.
2) Оценивание возможных угроз.
3) Оценивание существующих уязвимостей.
4) Оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
- показателей ценности информационных ресурсов;
- вероятности реализации угроз для ресурсов;
- эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
- степенью легкости, с которой уязвимость может быть использована.
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативноправовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.
Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Вопервых, определение основных целей и задач защиты информационных активов компании. Вовторых, создание эффективной системы оценки и управления информационными рисками. Втретьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. Вчетвертых, применение специального инструментария оценивания и управления рисками.
Качественные методики управления рисками
Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних ITаудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 177992002.
Стандарт ISO 17799 содержит две части.
В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: • Политика безопасности. • Организация защиты. • Классификация и управление информационными ресурсами. • Управление персоналом. • Физическая безопасность. • Администрирование компьютерных систем и сетей. • Управление доступом к системам. • Разработка и сопровождение систем. • Планирование бесперебойной работы организации. • Проверка системы на соответствие требованиям ИБ.
Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для ITаудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.
К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмотрим названные методики.
COBRA
Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативнорегулирующих органов, например, требованиями руководящих документов (РД) Гостехкомиссии при Президенте РФ.
Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнестранзакций компании (рис. 1. - Пример тематического сборника вопросов COBRA). Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.
RA Software Tool
Методика и одноименное инструментальное средство RA Software Tool (рис. 2. - Основные модули методики RA Software Tool) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.
Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.
Количественные методики управления рисками
Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной Email) выбрать с учетом известных ограничений бизнесресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют: • Создавать модели информационных активов компании с точки зрения безопасности; • Классифицировать и оценивать ценности активов; • Составлять списки наиболее значимых угроз и уязвимостей безопасности; • Ранжировать угрозы и уязвимости безопасности; • Обосновывать средства и меры контроля рисков; • Оценивать эффективность/стоимость различных вариантов защиты; • Формализовать и автоматизировать процедуры оценивания и управления рисками.
Одной из наиболее известных методик этого класса является методика CRAMM.
CRAMM
сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммерческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.
Основными целями методики CRAMM являются: • Формализация и автоматизация процедур анализа и управления рисками; • Оптимизация расходов на средства контроля и защиты; • Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем; • Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; • Обоснование эффективности предлагаемых мер защиты и средств контроля; • Управление изменениями и инцидентами; • Поддержка непрерывности бизнеса; • Оперативное принятие решений по вопросам управления безопасностью и пр.
Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).
На первом этапе инициации — «Initiation» — определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.
На этапе идентификации и оценки ресурсов — «Identification and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.
На этапе оценивания угроз и уязвимостей — «Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.
Этап анализа рисков — «Risk Analysis» — позволяет получить качественные и количественные оценки рисков.
На этапе управления рисками — «Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.
Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).
В этой схеме условно выделим следующие элементы системы: • рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира; • почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет; • сервер обработки, на котором установлена СУБД; • сервер резервного копирования; • рабочие места группы оперативного реагирования; • рабочее место администратора безопасности; • рабочее место администратора БД.
Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.
Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.
Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.
Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (EndUserService), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.
Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: • недоступность ресурса в течение определенного периода времени; • разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение; • нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; • модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; • ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии: • ущерб репутации организации; • нарушение действующего законодательства; • ущерб для здоровья персонала; • ущерб, связанный с разглашением персональных данных отдельных лиц; • финансовые потери от разглашения информации; • финансовые потери, связанные с восстановлением ресурсов; • потери, связанные с невозможностью выполнения обязательств; • дезорганизация деятельности.
Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.
Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.
К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?
Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.
Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.
Ущерб репутации организации: 2 — негативная реакция отдельных чиновников, общественных деятелей; 4 — критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 — негативная реакция отдельных депутатов Думы, Совета Федерации; 8 — критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 — негативная реакция на уровне Президента и Правительства.
Ущерб для здоровья персонала: 2 — минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 — ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 — серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 — гибель людей.
Финансовые потери, связанныес восстановлением ресурсов: 2 — менее $1000; 6 — от $1000 до $10 000; 8 — от $10 000 до $100 000; 10 — свыше $100 000.
Дезорганизация деятельностив связи с недоступностью данных: 2 — отсутствие доступа к информации до 15 минут; 4 — отсутствие доступа к информации до 1 часа; 6 — отсутствие доступа к информации до 3 часов; 8 — отсутствие доступа к информации от 12 часов; 10 — отсутствие доступа к информации более суток.
Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров (рис.7. - Оценка ценности информационных ресурсов).
На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какойлибо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.
На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.
Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).
При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 8. -Оценка уровня угрозы безопасности по косвенным факторам).
Уровень угроз оценивается, в зависимости от ответов, как: • очень высокий; • высокий; • средний; • низкий; • очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как: • высокий; • средний; • низкий; • отсутствует.
Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.
Управление рисками. Основные шаги стадии управления рисками представлены на рис. 9.
На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям: • Обеспечение безопасности на сетевом уровне. • Обеспечение физической безопасности. • Обеспечение безопасности поддерживающей инфраструктуры. • Меры безопасности на уровне системного администратора.
В результате выполнения данного этапа формируется несколько видов отчетов.
Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.
Методика MethodWare
Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: • ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. • ПО управления жизненным циклом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. • ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.
Давайте кратко рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях. Давайте рассмотрим перечисленные этапы подробнее. Описание рисков. Задается матрица рисков на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.
Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.
Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.
Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа рисков.
Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.
Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASEсредств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективностьстоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектноориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнестранзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективностьстоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Охарактеризуйте стандарт стандарт ISO 17799.
2. Опишите методику Method Ware
3. Опишите возможности CRAMM
4. Перечислите качественные методики управления рисками
ЛЕКЦИЯ 13. ОТЧЕТНЫЕ ДОКУМЕНТЫ ПО РЕЗУЛЬТАТАМ АУДИТА
Название этого комплекса мероприятий говорит само за себя. Аудит информационной безопасности представляет собой независимую проверку или экспертную оценку обеспечения безопасности информационной системы (ИС) какого-либо предприятия, учреждения или организации на основе специально разработанных критериев и показателей. Говоря простым языком, например, аудит информационной безопасности банка сводится к тому, чтобы оценить уровень защиты баз данных клиентов, проводимых банковских операций, сохранности электронных денежных средств, сохранности банковской тайны и т. д. в случае вмешательства в деятельность учреждения посторонними лицами извне, использующими электронные и компьютерные средства. Наверняка, среди читателей найдется хотя бы один человек, которому звонили домой или на мобильный телефон с предложением оформления кредита или депозитного вклада, причем из банка, с которым он никак не связан. То же самое касается и предложения покупок от каких-то магазинов.
Откуда всплыл ваш номер? Все просто. Если человек ранее брал кредит или вкладывал деньги на депозитный счет, естественно, его данные были сохранены в единой клиентской базе. При звонке из другого банка или магазина можно сделать единственный вывод: информация о нем незаконно попала в третьи руки. Как? В общем случае можно выделить два варианта: либо она была украдена, либо передана сотрудниками банка третьим лицам осознанно. Для того чтобы такие вещи не происходили, и нужно вовремя проводить аудит информационной безопасности банка, причем это касается не только компьютерных или «железных» средств защиты, но всего персонала банковского учреждения.
Основные направления аудита информационной безопасности Что касается сферы применения такого аудита, как правило, их различают несколько: полная проверка объектов, задействованных в процессах информатизации (компьютерные автоматизированные системы, средства коммуникации, приема, передачи и обработки информационных данных, технических средств, помещений для проведения конфиденциальных встреч, систем наблюдения и т.д.); проверка надежности защиты конфиденциальной информации с ограниченным доступом (определение возможных каналов утечки и потенциальных дыр в системе безопасности, позволяющих получить к ней доступ извне с использованием стандартных и нестандартных методов); проверка всех электронных технических средств и локальных компьютерных систем на предмет воздействия на них электромагнитного излучения и наводок, позволяющих отключить их или привести в негодность; проектная часть, включающая в себя работы по созданию концепции безопасности и применения ее в практическом исполнении (защита компьютерных систем, помещений, средств связи и т.д.). Когда возникает необходимость проведения аудита? Не говоря о критических ситуациях, когда защита уже была нарушена, аудит информационной безопасности в организации может проводиться и в некоторых других случаях. Как правило, сюда включают расширение компании, слияния, поглощения, присоединения другими предприятиями, смену концепции курса бизнеса или руководства, изменения в международном законодательстве или в правовых актах внутри отдельно взятой страны, достаточно серьезных изменения в информационной инфраструктуре.
Виды аудита Сегодня сама классификация такого типа аудита, по мнению многих аналитиков и экспертов, является не устоявшейся. Поэтому и разделение на классы в некоторых случаях может быть весьма условным. Тем не менее в общем случае аудит информационной безопасности можно разделить на внешний и внутренний. Внешний аудит, проводимый независимыми экспертами, имеющими на это право, обычно представляет собой разовую проверку, которая может быть инициирована руководством предприятия, акционерами, правоохранительными органами и т.д. Считается, что внешний аудит информационной безопасности рекомендован (а не обязателен) для проведения регулярно в течение установленного промежутка времени. Но для некоторых организаций и предприятий, согласно законодательства, он является обязательным (например, финансовые учреждения и организации, акционерные общества и др.). Внутренний аудит информационной безопасности является процессом постоянным. Он базируется на специальном «Положении о внутреннем аудите». Что это такое? По сути, это аттестационные мероприятия, проводимые в организации, в сроки, утвержденные руководством. Проведение аудита информационной безопасности обеспечивается специальными структурными подразделением предприятия.
Альтернативная классификация видов аудита Кроме выше описанного разделения на классы в общем случае, можно выделить еще несколько составляющих, принятых в международной классификации: экспертная проверка состояния защищенности информации и информационных систем на основе личного опыта экспертов, ее проводящих; аттестация систем и мер безопасности на предмет соответствия международным стандартам (ISO 17799) и государственным правовым документам, регулирующим эту сферу деятельности; анализ защищенности информационных систем с применением технических средств, направленный на выявление потенциальных уязвимостей в программно-аппаратном комплексе. Иногда может применяться и так называемый комплексный аудит, который включает в себя все вышеперечисленные виды. Кстати, именно он дает наиболее объективные результаты. Постановочные цели и задачи Любая проверка, будь то внутренняя или внешняя, начинается с постановки целей и задач. Если говорить проще, нужно определить, зачем, что и как будет проверяться. Это и предопределит дальнейшую методику проведения всего процесса. Поставленных задач, в зависимости от специфики структуры самого предприятия, организации, учреждения и его деятельности, может быть достаточно много. Однако среди всего этого выделяют унифицированные цели аудита информационной безопасности: оценка состояния защищенности информации и информационных систем; анализ возможных рисков, связанных с угрозой проникновения в ИС извне, и возможных методов осуществления такого вмешательства; локализация дыр и прорех в системе безопасности; анализ соответствия уровня безопасности информационных систем действующим стандартам и нормативно-правовым актам; разработка и выдача рекомендаций, предполагающих устранение существующих проблем, а также усовершенствование существующих средств защиты и внедрение новых разработок.
Методика и средства проведения аудита Теперь несколько слов о том, как проходит проверка и какие этапы и средства она в себя включает.
Проведение аудита информационной безопасности состоит из нескольких основных этапов: инициирование процедуры проверки (четкое определение прав и обязанностей аудитора, подготовка аудитором плана проверки и его согласование с руководством, решение вопроса о границах проведения исследования, накладывание на сотрудников организации обязательства в помощи и своевременном предоставлении необходимой информации); сбор исходных данных (структура системы безопасности, распределение средств обеспечения безопасности, уровни функционирования системы безопасности, анализ методов получения и предоставления информации, определение каналов связи и взаимодействия ИС с другими структурами, иерархия пользователей компьютерных сетей, определение протоколов и т.д.); проведение комплексной или частичной проверки; анализ полученных данных (анализ рисков любого типа и соответствия стандартам); выдача рекомендаций по устранению возможных проблем; создание отчетной документации. Первый этап является наиболее простым, поскольку его решение принимается исключительно между руководством предприятия и аудитором. Границы проведения анализа могут быть рассмотрены на общем собрании сотрудников или акционеров. Все это в большей степени относится к правовому полю. Второй этап сбора исходных данных, будь то проведение внутреннего аудита информационной безопасности или внешней независимой аттестации, является наиболее ресурсоемким. Связано это с тем, что на этой стадии нужно не только изучить техническую документацию, касающуюся всего программно-аппаратного комплекса, но и провести узконаправленное интервьюирование сотрудников компании, причем в большинстве случаев даже с заполнением специальных опросных листов или анкет. Что же касается технической документации, здесь важно получить данные о структуре ИС и приоритетных уровнях прав доступа к ней сотрудников, определить общесистемное и прикладное программное обеспечение (используемые операционные системы, приложения для ведения бизнеса, управления им и учета), а также установленные средства защиты софтверного и непрограммного типа (антивирусы, файрволлы и т.д.). Кроме того, сюда включается полная проверка сетей и провайдеров, предоставляющих услуги связи (организация сети, используемые протоколы для подключения, типы каналов связи, методы передачи и приема информационных потоков и многое другое). Как уже понятно, это занимает достаточно много времени.
На следующем этапе определяются методы аудита информационной безопасности. Их различают три: анализ рисков (самая сложная методика, базирующаяся на определении аудитором возможности проникновения в ИС и нарушения ее целостности с применением всех возможных методов и средств); оценка соответствия стандартам и законодательным актам (наиболее простой и самый практичный метод, основанный на сравнении текущего состояния дел и требований международных стандартов и внутригосударственных документов в сфере информационной безопасности); комбинированный метод, объединяющий два первых. После получения результатов проверки начинается их анализ.
Средства аудита информационной безопасности, которые применяются для анализа, могут быть достаточно разнообразными. Все зависит от специфики деятельности предприятия, типа информации, используемого программного обеспечения, средств защиты и пр. Однако, как можно заметить по первой методике, аудитору, главным образом, придется опираться на собственный опыт. А это означает только то, что он должен обладать соответствующей квалификацией в сфере информационных технологий и защиты данных.
На основе такого анализа аудитор и рассчитывает возможные риски. Заметьте, он должен разбираться не только в операционных системах или программах, используемых, например, для ведения бизнеса или бухгалтерского учета, но и четко понимать, каким образом злоумышленник может проникнуть в информационную систему с целью кражи, порчи и уничтожения данных, создания предпосылок для нарушений в работе компьютеров, распространения вирусов или вредоносного ПО
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Причины нарушения безопасности информации при ее обработке криптографическими средствами.
2. Понятие атаки на систему информационной безопасности. Особенности локальных атак.
3. Распределенные информационные системы. Удаленные атаки на информационную систему.
4. Каналы передачи данных. Утечка информации. Атаки на каналы передачи данных.
5. Физические средства обеспечения информационной безопасности.
ЛЕКЦИЯ 14. ВЫПОЛНЕНИЕ РЕКОМЕНДАЦИЙ ПО ИТОГАМ ПРОВЕДЕНИЯ АУДИТА ИБ
Оценка результатов аудита и рекомендации по устранению проблем
На основе проведенного анализа эксперт делает заключение о состоянии защиты и выдает рекомендации по устранению имеющихся или возможных проблем, модернизации системы безопасности и т.д. При этом рекомендации должны быть не только объективными, но и четко привязанными к реалиям специфики предприятия. Иными словами, советы по апгрейду конфигурации компьютеров или программного обеспечения не принимаются. В равной степени это относится и к советам по увольнению «ненадежных» сотрудников, установке новых систем слежения без конкретного указания их назначения, места установки и целесообразности. Исходя из проведенного анализа, как правило, различают несколько групп рисков.
При этом для составления сводного отчета используется два основных показателя: вероятность проведения атаки и ущерб, нанесенный компании в результате (потеря активов, снижение репутации, потеря имиджа и пр.). Однако показатели по группам не совпадают. Так, например, показатель низкого уровня для вероятности атаки является лучшим. Для ущерба – наоборот. Только после этого составляется отчет, в котором детально расписываются все этапы, методы и средства проведенных исследований. Он согласовывается с руководством и подписывается двумя сторонами – предприятием и аудитором. Если аудит внутренний, составляет такой отчет глава соответствующего структурного подразделения, после чего он, опять же, подписывается руководителем. Аудит информационной безопасности: пример Наконец, рассмотрим самый простой пример ситуации, которая уже случалась. Многим, кстати, она может показаться очень знакомой. Так, например, некий сотрудник компании, занимающейся закупками в США, установил на компьютер мессенджер ICQ (имя сотрудника и название фирмы не называется по понятным соображениям).
Переговоры велись именно посредством этой программы. Но «аська» является достаточно уязвимой в плане безопасности. Сам сотрудник при регистрации номера на тот момент либо не имел адреса электронной почты, либо просто не захотел его давать. Вместо этого он указал что-то похожее на e-mail, причем даже с несуществующим доменом. Что бы сделал злоумышленник? Как показал аудит информационной безопасности, он бы зарегистрировал точно такой же домен и создал бы в нем другой регистрационный терминал, после чего мог отослать сообщение в компанию Mirabilis, которая владеет сервисом ICQ, с просьбой восстановления пароля по причине его утери (что и было бы сделано). Поскольку сервер получателя не являлся почтовым, на нем был включен редирект – перенаправление на существующую почту злоумышленника. Как результат, он получает доступ к переписке с указанным номером ICQ и сообщает поставщику об изменении адреса получателя товара в определенной стране. Таким образом, груз отправляется неизвестно куда. И это самый безобидный пример. Так, мелкое хулиганство. А что говорить о более серьезных хакерах, которые способны куда на больше
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Дайте определение понятию – аудит ИТ?
2. Охарактеризуйте принцип работы редирект.
3. Перечислите стандартные рекомендации по устранению проблем информационной безопасности
ЛЕКЦИЯ 15. ВЫБОР НЕОБХОДИМЫХ ПРОГРАММНЫХ И ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ
Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.
Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.
Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.
Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.
Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:
- внешние события, вызванные действиями других сервисов;
- внутренние события, вызванные действиями самого сервиса;
- клиентские события, вызванные действиями пользователей и администраторов.
Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.
Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд- мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду.
Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты.
При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки.
Ключом называется число, используемое криптографическим алгоритмом для шифрования текста.
В криптографии используется два метода шифрования - симметричное и асимметричное.
При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей.
Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку.
Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровки Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Охарактеризуйте ассиметричное шифрование
2. Перечислите методы шифрования
3. Дайте определение понятию - протоколирование
4.Приведите примеры программно-аппаратные средства защиты информации
ЛЕКЦИЯ 16. ПРОГРАММНЫЕ СРЕДСТВА АВТОМАТИЗАЦИИ ПРОЦЕДУР ПРОВЕДЕНИЯ АУДИТА ИБ И АНАЛИЗА ПОЛИТИКИ ИБ
Анализ видов используемых программных продуктов
Выполнение комплекса работ при аудите информационной безопасности связано с большим объемом анализируемой информации, проведением оценок рисков и представления их в виде определенных документов. Кроме этого встает задача поиска уязвимости ресурсов и в целом анализа защищенности информационных систем.
Все эти задачи решить на основе использования «бумажных» методик не всегда предоставляется возможным.
Поэтому фирмы, занимающиеся проведением внешнего аудита используют различные программные продукты, которые можно разделить по назначению и методике использования на два вида:
инструментарий для анализа и управления рисками;
средства анализа защищенности информационных систем.
Первый вид программных систем построен на использовании методик одного из видов международных стандартов BS 7799 (метод CRAMM), стандарте ISO 17799 (система COBRA и система Кондор), американских стандартов в области анализа и управления рисками (RiskWatch).
Второй вид программных средств ориентирован на анализ защищенности автоматизированных систем (АС). Здесь можно выделить две группы систем, основанных:
на использовании технологии интеллектуальных программных агентов(например, система ESM компании Symantec )
использовании метода анализа на основе активного тестирования механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС.
В качестве примера систем, использующих этот метод, могут быть приведены сетевые сканеры и наиболее известные из них Nessus.
Ниже рассмотрены общие характеристики названных систем.
Система CRAMM
Этот метод и программный комплекс на его основе был разработан в Великобритании(в1985г.) и в дальнейшем доработан с учетом требований Британского стандарта BS 7799, принятого в1995г.
В настоящее время CRAMM является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.
Целью разработки метода являлось создание формализованной
процедуры, позволяющей:
убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
обеспечить проведение работ в сжатые сроки;
автоматизировать процесс анализа требований безопасности;
представить обоснование для мер противодействия;
оценивать эффективность контрмер, сравнивать различные варианты контрмер;
генерировать отчеты.
Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.
Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.
Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему и существует все возможные риски идентифицированы;
уязвимости ресурсов идентифицированы и их уровни оценены;
угрозы идентифицированы и их уровни оценены;
контрмеры эффективны;
расходы, связанные с ИБ, оправданы. уверенность в том, что:
Выполнение автоматизированных процедур в рамках метода CRAMM предполагает выделение трех последовательных этапов.
На первом этапе проводится анализ применяемых средств базового уровня системы защиты и делается заключение о соответствии уровню рисков.
Если по результатам проведения первого этапа установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.
На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.
На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.
Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.
В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.
Общая схема анализа угроз, уязвимостей и выбора контрмер показана на рис. 3.1.
Рис. Концептуальная схема проведения обследования по методу CRAMM
Процедура аудита в методеCRAMM является формализованной.
На каждом этапе генерируется довольно большое количество промежуточных и результирующих отчетов.
Так, на первом этапе создаются следующие виды отчетов:
Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними.
Оценка критичности ресурсов.
Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.
На втором этапе проведения обследования создаются следующие виды отчетов:
Результаты оценки уровня угроз и уязвимостей.
Результаты оценки величины рисков.
Результирующий отчет по второму этапу анализа рисков.
По результатам третьего этапа обследования создаются следующие виды отчетов:
Рекомендуемые контрмеры.
Детальная спецификация безопасности.
Оценка стоимости рекомендуемых контрмер.
Список контрмер, отсортированный в соответствии с их приоритетами.
Результирующий отчет по третьему этапу обследования.
Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС.
Список мероприятий по обеспечению безопасности.
Особого внимания заслуживают возможности CRAMM по автоматической генерации нескольких вариантов мер противодействия, адекватных выявленным рискам и их уровням, число которых в базе данных системы составляет более1000. Все контрмеры разбиты на 61 группу:
идентификация и аутентификация;
логическое управление доступом;
протоколирование;
аудит;
безопасность многократного использования объектов;
тестирование систем;
контроль целостности ПО;
управление вводом/выводом;
управление безопасностью в сети;
обеспечение неотказуемости;
обеспечение конфиденциальности вне соединения;
управление доступом в сети;
физическая безопасность сети;
защита сообщений;
обеспечение целостности данных вне соединения;
сохранение правильной последовательности сообщений;
пополнение трафика;
контроль операций в системе;
контроль действий системного администратора;
контроль действий прикладных программистов;
контроль операций по поддержке прикладного ПО;
контроль операций по обслуживанию СВТ;
контроль пользователей;
контроль ввода/вывода приложений;
финансовая отчетность;
контроль выходных документов;
контроль носителей данных;
контроль транспортировки физических носителей данных;
резервное копирование и восстановление для серверов;
резервирование и восстановление сетевых интерфейсов;
резервирование и восстановление сетевых сервисов;
восстановление помещений;
резервирование и восстановление носителей данных;
планирование восстановления;
резервное копирование данных;
планирование потребностей в ресурсах;
защита от сбоев СВТ;
обеспечение физической безопасности помещений;
оптимизация расположения СВТ в помещениях;
организация зон безопасности;
защита от краж;
физическая защита СВТ;
контрмеры против террористов и экстремистов;
защита средств контроля доставки;
обнаружение бомб и взрывчатых веществ;
защита от минирования со стороны сотрудников и посторонних
лиц;
защита от пожара;
защита от затоплений;
защита от природных катаклизмов;
защита источников электропитания;
защита поддерживающей инфраструктуры;
защита персонала;
обучение персонала;
политика безопасности;
инфраструктура безопасности;
оповещение об инцидентах;
проверка жалоб.
Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.
Обобщая практический опыт использования метода CRAMM при проведении аудита безопасности, можно сделать следующие выводы, относительно сильных и слабых сторон этого метода.
К сильным сторонам методаCRAMM относится следующее:
CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты.
Программный инструментарийCRAMM может использоваться на всех стадиях проведения аудита безопасности ИС.
В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799.
Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения.
CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации.
CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.
К недостаткам метода CRAMM можно отнести следующее:
Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.
Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
Система КОНДОР
Существует целый ряд зарубежных и отечественных систем, позволяющих провести проверку соответствия информационной системы требованием стандарта ISO 17799. В основе этих программных комплексов лежит использование принципов экспертных систем, включающих обширные базы знаний по угрозам и уязвимостям и большое количество вопросников. Наиболее известной из зарубежных систем этого класса является система COBRA. Аналогом подобной системы является система КОНДОР, разработанная российской консалтинговой компанией Digital Security .
Рассмотрим более подробно эту систему.
КОНДОР – предназначен для проверки соответствия политики информационной безопасности предприятия требованиям ISO 17799.
КОНДОР включает в себя более200 вопросов, соответствующих 10 направлениям, определяемых стандартом ISO 17799.
Принцип работы системы заключается в постановке вопросов пользователю и составлении рекомендаций и отчетов на их основе. На рис. 3.2 представлено рабочее окно системы КОНДОР при анализе направления "Контроль доступа" в компании.
После определения ответов на поставленные вопросы система Кондор создает отчеты, которые включают:
Ответы на вопросы
Диаграммы и статистику (представлена на рис. 3.3)
Анализ рисков
Данные, представленные в разделе «Диаграммы и статистика» и «Анализ рисков», являются результатом работы системы и могут быть использованы при оценке информационной безопасности компании.
Рис. Вопросы анализа по направлению «Контроль доступа» в системе КОНДОР
Рис. Диаграммы и статистика в системе КОНДОР
Кроме анализа система КОНДОР предоставляет ряд документов, требований и инструкций, которые могут помочь специалисту в разработке общей политики безопасности компании.
К недостаткам системы "КОНДОР" можно отнести:
отсутствие возможности установки пользователем значимости каждого требования;
отсутствие возможности внесения пользователем комментариев.
Демо-версия системы доступна для скачивания и изучения с официального сайта разработчиков http://www.dsec.ru/.
К наиболее важным элементам политики безопасности даются комментарии и рекомендации эксперта. По желанию специалиста, работающего с системой, может быть сформирован общий отчет, а также отдельные отчеты по одному или нескольким разделам стандарта ISO 17799.
Все варианты отчетов сопровождаются аналитическими диаграммами. Важной является процедура последовательного внесения изменений в политику безопасности с учетом выданных рекомендаций, что позволяет постепенно привести рассматриваемую на предприятии ситуацию в полное соответствие с требованиями стандарта ISO 17799.
Сетевые сканеры
Основным фактором, определяющим защищенность АС от угроз безопасности, является наличие в АС уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов АС, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором. Наличие уязвимостей в системе защиты АС, в конечном счете, приводит к успешному осуществлению атак, использующих эти уязвимости.
Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов(списков проверки). Сканер является необходимым инструментом в арсенале любого администратора, либо аудитора безопасности АС.
Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers), использовавшиеся с начала80-х и не потерявшие актуальности по сей день.
Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования.
Современный сетевой сканер выполняет четыре основные задачи:
идентификация доступных сетевых ресурсов;
идентификация доступных сетевых сервисов;
идентификация имеющихся уязвимостей сетевых сервисов;
выдача рекомендаций по устранению уязвимостей.
В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.
Принцип работы сканера заключается в моделировании действия злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких какhost, showmount, traceout, rusers, finger, ping и т. п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.
В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных - предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к1000. Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около800 уязвимостей UNIX, Windows и NetWare систем и постоянно обновляется черезWeb. Рассмотрение его свойств позволит составить представление обо всех продуктах этого класса. Сетевой сканер Nessus может рассматриваться в качестве достойной альтернативы коммерческим сканерам. Nessus является свободно распространяемым и постоянно обновляемым программным продуктом. Удобный графический интерфейс позволяет определять параметры сеанса сканирования, наблюдать за ходом сканирования, создавать и просматривать отчеты.
По своим функциональным возможностям сканер защищенности Nessus находится в одном ряду, а по некоторым параметрам и превосходит такие широко известные коммерческие сканеры, как NetRecon компании Symantec, Internet Scanner компании ISS и CyberCop Scanner компанииNAI.
Версии 0.99 серверной части сканера Nessus была сертифицирована в Гостехкомиссии России (Сертификат N 361 от18 сентября2000 г.).
Сценарии атак реализованы в NESSUS в качестве подключаемых модулей (plugins). Количество подключаемых модулей постоянно увеличивается, в настоящее время насчитывается более700. Новые внешние модули, эмулирующие атаки, можно инсталлировать, скопировав файлы, содержащие их исходные тексты, с web - сервера разработчиков www.nessus.org.
Nessus предоставляет очень широкие возможности по поиску уязвимостей корпоративных сетей и исследованию структуры сетевых сервисов. Помимо использования стандартных способов сканирования ТСР и UDP портов, Nessus позволяет осуществлять поиск уязвимостей в реализациях протоколов управления сетью ICMP и SNMP. Кроме того, поддерживаются различные стелс - режимы сканирования, реализуемые популярным некоммерческим стелс - сканером nmap, который можно рассматривать в качестве одного из компонентов сканера Nessus. Другой популярный некоммерческий сканер queso используется в составе Nessus для определения типа и номера версии сканируемой ОС.
Высокая скорость сканирования достигается за счет использования при реализации сканера Nessus много потоковой архитектуры программирования, позволяющей осуществлять одновременное параллельное сканирование сетевых хостов. Для сканирования каждого хоста сервером nessusd создается отдельный поток выполнения.
Подробное описание используемых методов сканирования TCP/UDP портов можно найти в онлайновой документации на сканер nmap.
При реализации Nessus использована нетипичная для сетевых сканеров клиент/серверная архитектура. Взаимодействие между клиентом и сервером осуществляется по защищенному клиент-серверному протоколу, предусматривающему использование надежной схемы аутентификации и шифрование передаваемых данных. Сервер nessusd работает только в среде UNIX и предназначен для выполнения сценариев сканирования. Механизмы собственной безопасности, реализованные в сервере nessusd, позволяют осуществлять аутентификацию пользователей сканера, ограничивать полномочия пользователей по выполнению сканирования и регистрировать все действия пользователей в журнале регистрации событий на сервере.
Клиентская часть Nessus работает и в среде UNIX, и в среде Windows и реализует графический интерфейс пользователя для управления сервером nessusd. Пользователь сканера перед запуском сеанса сканирования определяет параметры сканирования, указывая диапазон сканируемых IP-адресов и TCP/UDP портов, максимальное количество потоков сканирования(число одновременно сканируемых хостов), методы и сценарии сканирования (plugins), которые будут использоваться.
Все сценарии сканирования разделены на группы по типам реализуемых ими сетевых атак, обнаруживаемых уязвимостей, а также по видам тестируемых сетевых сервисов. Так, имеются специальные группы сценариев:
Backdoors для обнаружения "троянских" программ;
Gain Shell Remotely - для реализации атак на получение пользовательских полномочий на удаленной UNIX системе;
Firewalls - для тестирования МЭ;
FTP - для тестирования FTP-серверов;
Windows - для поиска уязвимостей Windows-систем и т.п.
Особую группу сценариев сканирования Denail of Service составляют атаки на отказ в обслуживании(DoS). Единственный способ убедиться в том, что сканируемая система подвержена той или иной DoS - это выполнить эту атаку и посмотреть на реакцию системы. Эта группа сценариев, однако, является потенциально опасной, т.к. их запуск может привести к непредсказуемым последствиям для сканируемой сети, включая сбои в работе серверов и рабочих станций, потерю данных и полный паралич" корпоративной сети. Поэтому большинство DoS в данной группе по умолчанию отключено.
Для написания сценариев атак служит специализированный С-подобный язык программирования высокого уровня NASL (Nessus Attack Scripting Language). Существует также интерфейс прикладного программирования(API) для разработки подключаемых модулей со сценариями атак на языкеC, однако, предпочтительным является все же использование NASL.
NASL является интерпретируемым языком программирования, что обеспечивает его независимость от платформы. Он предоставляет мощные средства для реализации любых сценариев сетевого взаимодействия, требующих формирования IP-пакетов произвольного вида.
Результаты работы сканера Nessus представляются в виде специальных протоколов. Данные об обнаруженных уязвимостях сортируются по IP-адресам просканированных хостов. Найденные уязвимости могут быть про ранжированы. Наиболее критичные (security holes) уязвимости выделяются красным цветом, менее критичные (security warning) – желтым. По каждой уязвимости приводится ее описание, оценка ассоциированного с ней риска (Risk Factor) и рекомендации по ее ликвидации (Solution).
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1. Охарактеризуйте работу сетевых сканеров.
2. Приведите список мероприятий по обеспечению безопасности.
3. Представьте графически концептуальную схему проведения обследования по методу CRAMM
4. Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
ЛЕКЦИЯ 17. ПРОГРАММНЫЕ СРЕДСТВА ПОДДЕРЖКИ ПРОЦЕССОВ УПРАВЛЕНИЯ ИБ
Использование программных средств для поддержки управления безопасностью
Деятельность по обеспечению информационной безопасности на предприятии может поддерживаться программными продуктами различных типов. В большинстве случаев программная поддержка реализации политики информационной безопасности обеспечивается функциями и программными модулями, которые встроены непосредственно в программное обеспечение, создающее условия для хранения, обработки и передачи информации (операционные системы, системы управления базами данных, системы электронной почты, MRP/ERP-системы). Практически все современные программные продукты имеют внутренние средства, позволяющие четко определить права тех или иных пользователей, разграничить доступ к информации, распределить использование системных ресурсов и ввести другие ограничения, которые в целом должны обеспечить соблюдение установленных требований и реализацию политики информационной безопасности.
Применение других инструментальных средств, как правило, не является обязательным, но во многих случаях позволяет повысить эффективность и качество многих работ, связанных с оценкой рисков, разработкой организационной документации, контролем за выполнением установленных требований и выполнением многих других важных функций. Таким образом, выделяется отдельный классспециальных программных продуктов, предназначенных исключительно для поддержания процессов разработки политик безопасности и управления информационной безопасностью на организационном уровне. Основными функциями таких программ являются справочно-информационная поддержка, помощь при обработке управленческой информации, оценке рисков и подготовке необходимых документов. В частности, для этих целей может использоваться ПО следующих основных видов:
сборники (интерактивные электронные справочники), которые содержат типовые документы (шаблоны документов), используемые для управления информационной безопасностью, описания отдельных процессов и процедур, связанных с обеспечением информационной безопасности, должностных обязанностей и функций сотрудников предприятия;
системы, предназначенные для накопления и обработки сведений о рисках и проведения сводных оценочных расчетов показателей риска;
ПО, интегрированное в информационную систему предприятия и позволяющее автоматически контролировать соблюдение установленных политик безопасности, а также помогающее формировать заключения о текущем состоянии информационной безопасности (в т.ч. путем анализа действий пользователей в информационной системе, а также путем анализа журналов операционных систем, программ, средств защиты и сетевого оборудования);
ПО, осуществляющее поддержку процессов аудита информационной безопасности.
Также с управлением информационной безопасностью связаны программные продукты, которые:
автоматически (централизовано и унифицировано) управляют учетными записями и правами доступа одновременно в нескольких элементах информационной инфраструктуры (базах данных, приложениях и т.п.);
производят автоматическое сканирование отдельных элементов информационной инфраструктуры (операционных систем, программ, средств защиты информации) и их проверку на устойчивость и наличие уязвимостей;
производят автоматическое обновление программных продуктов с целью устранения выявленных уязвимостей (установку т.н. "патчей", "заплаток").
Программная поддержка работы с политикой безопасности
Сборники (справочники), которые содержат типовые документы, связанные с обеспечением информационной безопасности, могут включать в себя:
образцы политик безопасности разных уровней для предприятий, функционирующих в различных сферах деятельности и предъявляющих различные требования к уровню защищенности информации;
образцы (шаблоны, бланки) документов, используемых в процессах защиты информации (обязательств о неразглашении информации, отчетов о состоянии информационной безопасности и т.п.);
образцы разделов различных договоров (контрактов с различными контрагентами или трудовых договоров с сотрудниками предприятия), содержащие требования к обеспечению информационной безопасности.
Такого рода электронные справочники могут выпускаться как на основе оригинальных методических разработок, так и на основе общепризнанных стандартов (таких как ISO 17799) с целью содействовать прохождению сертификации на соответствие этим стандартам. Выпускаемые электронные справочники могут быть дополнены учебниками, текстами стандартов и другими методическими материалами, выпущенными в виде брошюр. Одним из наиболее полных является электронный справочник "Information Security PoliciesMade Easy" американской компании Information Shield, Inc. Девятая версия этого справочника содержит более 1360 образцов и шаблонов различных документов, созданных с учетом требований стандарта ISO 17799 и относящихся ко всем аспектами информационной безопасности предприятия.
Концепции более развитых программных продуктов, основанных на интерактивном интеллектуальном анализе и совершенствовании политики безопасности, предполагают, что пользователь (менеджер) сначала внесет всю необходимую информацию о состоянии информационной безопасности на своем предприятии (ответит на задаваемые программой вопросы), а затем получит детальный отчет о состоянии информационной безопасности, описание уровня соответствия требованиям стандартов, рекомендации поусовершенствованию действующей политики безопасности и другие отчеты. Таким образом, программное обеспечение позволяет увязывать в единый процесс процедуры первичного сбора информации о предприятии, анализа фактического уровня организационного обеспечения информационной безопасности, разработки документации, адаптации методов управления к определенным требованиям (например, стандарта ISO 17799) и проведение аудитов информационной безопасности.
Одним из таких программных продуктов является система "COBRA", поставляемая британской компанией "C&A Systems Security Ltd." в двух вариантах: сокращенная версия включает в себя модуль "COBRA ISO17799 Consultant", а полная версия, помимо него, содержит также дополнительные средства анализа рисков ("Risk Consultant") и специальный модуль, позволяющий создавать и модифицировать собственные базы знаний и наборы вопросов для исследования состояния информационной безопасности ("Module Manager"). Базовый модуль этой системы предназначен для оценки того, в какой степени работа по защите информационной безопасности соответствует требованиям стандарта ISO 17799. На первом этапе его использования вступает в работу "Question Module" — Модуль ответов на вопросы, который содержит набор вопросов, разделенных на группы в соответствии со структурой стандарта ISO 17799: безопасность персонала, политика безопасности, управление доступом, планирование непрерывной работы и т.п.
Рис. 17.1. Группы вопросов, используемых для анализа состояния информационной безопасности системой "COBRA"
На основе введенной таким образом информации может быть получен отчет о состоянии информационной безопасности и степени ее соответствия требованиям стандарта. В частности, такой отчет может состоять из пяти основных разделов:
Вводная часть
Перечень основных направлений работы, подвергнутых проверке
Оценка уровня несоответствий
Перечень организационных мероприятий, реализация которых необходима для выполнения требований стандарта
Перечень заданных вопросов и данных на них ответов
Помимо текстовой части, в отчет также могут быть включены графики, наглядно отражающие уровни выполнения требований стандарта (см. рис. 17.3).
Дополнительные модули, входящие в полную версию программного продукта, необходимы для обеспечения более полного и гибкого анализа рисков в условиях конкретного предприятия.
Рис. 17.2. Раздел отчета о состояний информационной безопасности, содержащий организационные рекомендации
Рис. 17.3. График, наглядно отражающий степень выполнения требований стандарта
К числу программных продуктов такого рода, аналогичных британской системе "COBRA", относится также "Программный комплекс управления политикой информационной безопасности компании КОНДОР+", поставляемый Санкт-Петербургской фирмой "Диджитал Секьюрити". Он содержит как электронные справочники, так и модуль, осуществляющий интерактивное взаимодействие с пользователем в процессе анализа и совершенствования политики информационной безопасности. Данный программный комплекс, помимо сборника типовых политик безопасности, включает в себя четыре основных функциональных модуля (раздела):
"Проект" — предназначен для сбора информации о состоянии информационной безопасности;
"Отчеты" — предназначен для детального анализа состояния информационной безопасности на основе введенных данных;
"Диаграммы/статистика" — предназначен для сводного анализа состояния информационной безопасности;
"Анализ рисков" — предназначен для количественной оценки существующих рисков.
Рис. 17.4. Основные модули "Программного комплекса КОНДОР+"
Так же как и в системе "COBRA", в модуле "Проект" "Программного комплекса КОНДОР+" пользователю – ответственному менеджеру – предлагается ответить на вопросы, сгруппированные в соответствии со структурой стандарта ISO 17799 и имеющие определенные варианты ответов.
Рис. 17.5. Модуль "Проект": Ответы на вопросы о состоянии информационной безопасности
На основе введенной таким образом информации программа автоматически формирует как сводную статистику, представляемую в виде диаграмм для каждого раздела стандарта ISO 17799, так и детализированные отчеты об имеющихся несоответствиях.
Рис. 17.6. Графическое представление сводных данных об имеющихся несоответствиях
Рис. 17.7. Описания отдельных несоответствий в модуле "Отчеты"
При анализе несоответствий в модуле "Отчеты" пользователь имеет возможность при помощи справочной подсистемы обратиться к комментариям и рекомендациям экспертов, описывающим отдельные вопросы практического применения стандарта ISO 17799.
Рис. 17.8. Вызов экспертного комментария по определенному вопросу
Таким образом, программный комплекс "КОНДОР+" позволяет провести весь комплекс работ по сбору сведений о состоянии информационной безопасности и организации защитных мер на предприятии, сопоставлению фактического положения дел с требованиями стандарта ISO 17799 (как укрупненно, так и детально) и определению приоритетных направлений дальнейшего развития системы менеджмента.
Программная поддержка анализа рисков
Анализ рисков для информационной безопасности (как количественный, так и качественный), представляет собой одну из наиболее сложных задач в общей системе организационной и аналитической работы. Методологии анализа рисков и программные средства, реализующие эти методологии, как правило, предполагают выполнение следующих основных шагов, необходимых для формирования комплексной оценки существующих рисков:
сбор информации об объектах защиты;
выявление и оценка возможных угроз и уязвимостей;
формирование сводной оценки рисков.
В большинстве случаев конечной целью такого анализа является формализованная оценка потребности предприятия в безопасности и определение основных приоритетов развития системы защиты информации, а также создание информационной базы для оценки экономической эффективности вложений в реализацию отдельных мероприятий по обеспечению информационной безопасности.
Одним из инструментальных средств анализа рисков является семейство программных продуктов "CRAMM", поставляемых британской компанией "Insight Consulting": "CRAMM Expert" и "CRAMM Express". Данный программный пакет основан на одноименной методике анализа рисков (CCTA Risk Analysis and Management Method — CRAMM), разработанной в 1985-1987 годах Центральным агентством по компьютерам и телекоммуникациям (Central Computer and Telecommunications Agency — CCTA) Великобритании и в дальнейшем переданной в ведение Службы безопасности Великобритании. Первую коммерческую версию программного продукта, который автоматизирует аналитические процедуры, осуществляемые в соответствии с методом CRAMM, CCTA выпустила в 1988 году, а его четвертая версия была выпущена в 2001 году уже компанией Insight Consulting.
Использование системы CRAMM включает в себя несколько последовательных этапов:
изучение всех элементов анализируемой информационной системы;
оценка угроз для информационной системы;
сводный анализ рисков;
принятие мер к устранению выявленных недостатков (см. рис. 17.9).
Рис. 17.9. Общая схема использования системы CRAMM
Начальным этапом использования этой системы является инвентаризация всех информационных активов, относящихся к анализируемой информационной системе: сетевого оборудования, вычислительной техники, программного обеспечения, информации, содержащейся в базах данных и т.п. При этом необходимо классифицировать все имеющиеся объекты и отразить взаимосвязи между отдельными компонентами информационной системы и так называемыми пользовательскими сервисами – теми задачами, которые информационная система непосредственно решает на предприятии (подготовка отчетности, планирование, передача сообщений и т.п.).
Далее для каждого информационного ресурса необходимо определить возможные последствия различных негативных воздействий, в частности, таких как:
недоступность ресурса для использования в течение некоторого периода времени;
нарушение целостности (в том числе частичное или полное разрушение) ресурса;
нарушение конфиденциальности информации;
ошибки при обработке информации;
нарушения в процессах передачи информации.
Параллельно с этим необходимо выявить основные возможные внешние воздействия, которые могут повлиять на функционирование информационной системы. На этой основе может быть произведен сводный анализ рисков.
Рис. 17.10. Оценка взаимосвязей между различными угрозами и информационными сервисами в системе CRAMM
На основе всех введенных данных и по результатам расчетов и обработки информации могут быть получены сводные характеристики уровней риска для анализируемой информационной системы и, в частности, для отдельных информационных сервисов (см. рис. 17.11).
Рис. 17.11. Пример сводной оценки рисков недоступности двух информационных подсистем
После того как произведена оценка рисков, система предлагает реализовать конкретные меры по повышению уровня защищенности, используя введенную информацию о состоянии информационной безопасности, а также собственную "Библиотеку контрмер" — базу знаний, которая содержит примеры и рекомендации (как конкретные, так и общие), относящиеся к различным аспектам защиты информационных ресурсов. С их применением может быть начат переход от анализа рисков к непосредственным управленческим действиям по обеспечению информационной безопасности:
разработка мероприятий по противодействию угрозам (см. рис. 17.12);
совершенствование системы реагирования на инциденты;
устранение несоответствий требованиям стандарта ISO 17799 и других нормативных документов (см. рис. 17.13).
Рис. 17.12. "Дерево контрмер" системы CRAMM
Рис. 17.13. Окно анализа несоответствий требованиям стандарта ISO17799/BS7799
Таким образом, в результате использования всех перечисленных инструментов системы CRAMM предприятие может осуществить комплекс работ по управлению информационной безопасностью и создать не только хорошо контролируемую систему защиты информации, но и информационную базу, позволяющую в будущем оценить целесообразность вложений в реализацию дополнительных мероприятий пообеспечению информационной безопасности и инвестиций в отдельные средства защиты информации.
Программные средства, интегрируемые в информационную систему предприятия
Еще одним направлением развития программных средств, обеспечивающих поддержку организационной работы в сфере информационной безопасности, является создание и внедрение комплексных средств анализа поведения пользователей в информационной системе. Во многом такие функции и используемые алгоритмы схожи с функциями и алгоритмами средств обнаружения вторжений. Основные функции таких программных средств:
проверка действий пользователей на их соответствие действующим политикам безопасности;
выявление нарушений действующей политики информационной безопасности;
установление лиц, чьи действия приводят к нарушениям и создают угрозы информационной безопасности.
Основными функциями, реализуемыми программным обеспечением такого типа, являются сбор первичных данных о действиях пользователей, их автоматизированный анализ с учетом требований политики безопасности и осуществление необходимых активных действий: информирование администраторов, временное ограничение прав пользователей и т.п.
Один из программных продуктов такого типа — "INSIDER — Система обнаружения внутреннего нарушителя", поставляемая российской компанией "Праймтек". Эта система накапливает сведения о поведении пользователей, а также позволяет инициировать определенные активные действия (например, для предотвращения выявленного длящегося нарушения).
В частности, для анализа поведения пользователей в информационной системе могут быть использованы следующие данные:
показатели интенсивности использования различных пользовательских приложений;
показатели интенсивности (частоты, объема) чтения, копирования и удаления файлов;
показатели интенсивности отправки и приема электронных сообщений;
показатели интенсивности передачи данных по сети;
попытки подбора паролей;
действия с системными файлами и реестром;
действия с системными утилитами и т.п.
Таким образом, у администраторов информационных систем, специалистов по информационной безопасности и руководителей предприятия появляются возможности для реагирования на инциденты, пресечения потенциально опасных действий и выявления нарушителей из числа персонала предприятия.
Также среди информационных платформ, интегрируемых в информационную систему предприятия и специально предназначенных для реализации и контроля выполнения политик безопасности, выделяются такие продукты, как:
Tivoli Security Information and Event Manager компании IBM, а также комплекс смежных продуктов, относящихся к т.н. IBM security framework;
MARS: Security Monitoring, Analysis, and Response System компании Cisco.
Tivoli Security Information and Event Manager включает в себя:
Tivoli Security Operations Manager;
Tivoli Compliance Insight Manager.
Tivoli Compliance Insight Manager представляет собой специальную программную платформу, которая обеспечивает контроль выполнения требований политики безопасности, а также автоматизирует значительную часть работы при проведении аудитов информационной безопасности и анализе защищенности данных. В частности, данное ПО обеспечивает сбор, анализ и защищенное хранение журналов (логов) работы различных приложений, операционных систем и платформ и их интерпретацию в терминах, понятных нетехническим специалистам. Таким образом, отчеты, формируемые данной системой, могут быть понятны бизнес-менеджерам и аудиторам и использованы для контроля выполнения требований политик безопасности.
Tivoli Security Operations Manager предназначен для контроля событий в корпоративной информационной системе и выявления нарушений и подозрительных действий в режиме близком к режиму реального времени.
Система MARS также обеспечивает сбор и централизованное хранение данных о системных событиях, которые поступают от различных устройств и платформ, входящих в корпоративную информационную систему, и обеспечивает возможность централизованного оперативного контроля за соблюдением установленных требований. Также MARS интегрирован с программным комплексом Cisco Security Manager, который, в свою очередь, позволяет централизовано и унифицировано управлять настройками безопасности в различных системах защиты и системах обнаружения вторжений, установленных в компании.
КОНТРОЛЬНЫЕ ВОПРОСЫ:
1.Перечислите требования стандарта ISO17799/BS7799.
2.Перечислите использование программных средств для поддержки управления безопасностью
3.Опишите работу INSIDER — Система обнаружения внутреннего нарушителя