Информационная безопасность
..pdfрассматривается стандартный набор наиболее распространенных угрозбезопасностибезоценки вероятности их возникновения.
Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффективности защиты не рассматриваются. Подобный подход приемлем, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой.
Вряде случаев базового уровня безопасности оказывается недостаточно. Примером может служить АСУТП предприятия с непрерывным циклом производства, когда даже кратковременный выход из строя автоматизированной системы приводит к очень тяжелым последствиям. В этом и подобных случаях важно знать параметры, характеризующие уровень безопасности информационной системы (технологии): количественные оценки угроз безопасности, уязвимые места, ценность информационных ресурсов.
Вслучае повышенных требований в области ИБ используется полный вариант анализа рисков. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимых мест. Как правило, проводится анализ по критерию «стоимость/эффективность нескольких вариантов защиты».
8.4. Аудит системы управления ИБ
Бесполезно устанавливать контроль для защиты информационных систем, если никто не проверяет, эффективен ли он. Большинство организаций проводят систематический анализ своих информационных систем, чтобы гарантировать эффективность способов их контроля, – процесс, называемый аудитом компьютерных систем.
Многие крупные организации сами «охраняют» себя и имеют свои собственные внутренние контрольные комиссии. Другие могут использовать сторонние компании – для выполне-
71
elib.pstu.ru
ния аудита или проверки результатов своих собственных внутренних аудиторов.
Какой бы метод ни использовался, работа по проведению аудита состоит в следующем:
–провести оценку рисков – выявить угрозы информационным системам и оценить их финансовое и организационное воздействие;
–выделить все существующие формы контроля и оценить их эффективность;
–выявить уязвимые места и рекомендовать способ контроля для их уменьшения.
Классификация услуг аудита16
Активный аудит. Один из самых распространенных видов аудита. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий).
Зачастую компании – поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.
Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает
16 Технологии разведки для бизнеса. URL: http://it2b.ru.
72
elib.pstu.ru
хакер: ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.
Результатом активного аудита является информация обо всех уязвимых местах, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимые места и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.
Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год позволяет удостовериться, что уровень системы сетевой безопасности остается прежним.
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на требованиях, которые были предъявлены руководством в процессе проведения аудита; опи-
сании «идеальной» системы безопасности, основанной на аккуму-
лированном в компании-аудиторе мировомичастномопыте. При проведении экспертного аудита сотрудники компании-
аудитора совместно с представителями заказчика проводят следующие виды работ:
–сбор исходных данных об информационной системе, ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
–сбор информации об имеющихся организационнораспорядительных документах по обеспечению информационной безопасности и их анализ;
73
elib.pstu.ru
–определение точек ответственности систем, устройств и серверов ИС;
–формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе ИБ.
По результатам работы, проведенной на данном этапе, предлагается внести изменения (если они требуются) в существующую информационную систему и технологию обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня ИБ.
Аудит на соответствие стандартам. Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
–степень соответствия проверяемой информационной системы выбранным стандартам;
–степень соответствия собственным внутренним требованиям компании в области ИБ;
–количество и категории полученных несоответствий и замечаний;
–рекомендации по построению или модификации системы обеспечения ИБ, позволяющие привести ее в соответствие с рассматриваемым стандартом;
–подробная ссылка на основные документы заказчика, включая политику безопасности, описание процедур обеспече-
74
elib.pstu.ru
ния информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы ИБ:
–существующие руководящие документы Гостехкомиссии:
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее – РД для АС);
«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
«Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408–2002, или «Общие критерии оценки безопасности информационных технологий»);
–зарубежные и международные стандарты.
8.5. Политика информационной безопасности
Политика безопасности – это совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно подразделить на три уровня:
1.Политика ИБ верхнего уровня
Кверхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
– решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
75
elib.pstu.ru
–формулировка целей, которые преследует организация в области ИБ, определение общих направлений в достижении этих целей;
–обеспечение базы для соблюдения законов и правил;
–формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности.
Например, если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа, т.е. о конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению
76
elib.pstu.ru
ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Вопервых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень послушности персонала, а для этого нужно выработатьсистему поощренийинаказаний.
2.Политика ИБ среднего уровня
Ксреднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов: отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ к Интернету (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения ит.д.
Политика этого уровня должна содержать общее описание запрещенных действий и ответственности за них. Должно быть известно, куда следует обращаться за разъяснениями, помощью
идополнительной информацией. Обычно это должно быть должностное лицо, занимающее в данный момент данный пост.
3.Политика ИБ нижнего уровня
Политика безопасности нижнего уровня относится к конкретным сервисам. В отличие от двух верхних уровней рассматриваемая политика должна быть более детальной. Есть много действий, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти действия настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не на техническом
77
elib.pstu.ru
уровне. Приведем несколько вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
–Кто имеет право доступа к объектам, поддерживаемым сервисом?
–При каких условиях можно читать и модифицировать данные?
–Как организован удаленный доступ к сервису?
Цели политики нижнего уровня должны быть конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами.
Пример политики безопасности приведен в прил. В.
Вопросы для самопроверки
1.Перечислите компоненты для системного решения задач обеспечения информационной безопасности.
2.Перечислите наиболее распространенные угрозы, которым подвержены информационные системы.
3.Какие угрозы информационной безопасности являются самыми частыми и опасными?
4.Что такое компьютерный вирус и какие из них вам известны?
5.Что такое шпионская программа, какие их разновидности вам известны?
6.Отличаются ли риски информационной безопасности для предприятий разных сфер деятельности?
7.На чем должна основываться стратегия управления рис-
ками?
78
elib.pstu.ru
8.Какими средствами можно воспользоваться для уменьшения риска?
9.Что такое базовый уровень информационной безопасно-
сти?
10.Что такое активный аудит системы управления информационной безопасностью?
11.Что такое экспертный аудит системы управления информационной безопасностью?
12.Из каких разделов должна состоять политика информационной безопасности?
79
elib.pstu.ru
ЗАКЛЮЧЕНИЕ
Методы управления ИБ интенсивно развиваются. Основные направления развития связаны с совершенствованием:
–методологии выбора и формализации целей в области безопасности;
–инструментария (методик) для построения подсистемы ИБ в соответствии с выбранными целями;
–технологий аудита, позволяющих объективно оценить положение дел в области ИБ.
Эти составляющие неразрывно связаны и должны соответствовать друг другу. Использование современных методов управления ИБ позволяет поддерживать режим ИБ, соответствующий любым корректно сформулированным целям. Обязательной составной частью таких методов является действенная система аудита ИБ.
До недавнего времени лишь сравнительно небольшая доля организаций добровольно проходила аудит ИБ. Сейчас положение меняется. Приведение подсистем ИБ в соответствие с требованиями современных стандартов и добровольная сертификация на соответствие этим требованиям рассматриваются большинством руководителей как основной путь улучшения положения дел в области безопасности.
Гостехкомиссия России постоянно совершенствует нормативную базу информационной безопасности: выпускаются новые руководящие документы, изучается опыт зарубежных стран. Линия на гармонизацию национальных и международных стандартов, в том числе в области аудита безопасности информационных систем, представляется правильной и перспективной.
80
elib.pstu.ru