Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

виды отчетов:

–рекомендуемые контрмеры;

– детальная спецификация безопасности;

– оценка стоимости рекомендуемых контрмер;

– список контрмер, отсортированный в соответствии с их приори-

тетами;

– результирующий отчет по третьему этапу обследования;

– политика безопасности, включающая в себя описание требова ний без-

опасности, стратегий и принципов защиты ИС.

Грамотно применять метод CRAMM в состоянии только высоко-

квалифицированный аудитор, прошедший обучение. Если организа ция не

может себе позволить содержать в штате такого специалиста, тогда самым

правильным решением будет приглашение аудиторской фирмы, распола-

гающей штатом специалистов, которые имеют прак тический опыт приме-

нения метода CRAMM.

Обобщая практический опыт использования метода CRAMM при про-

ведении аудита безопасности, можно сделать следующие выво ды относи-

тельно сильных и слабых сторон этого метода.

К сильным сторонам метода CRAMM относятся следующие:

1. CRAMM является хорошо структурированным и широко опро-

бованным методом анализа рисков, позволяющим получать реаль ные

практические результаты.

2. Программный инструментарий CRAMM может использоваться на всех

стадиях проведения аудита безопасности ИС.

3. В основе программного продукта лежит достаточно объемная база

знаний по контрмерам в области информационной безопасности, базирую-

щаяся на рекомендациях стандарта BS7799.

4. Гибкость и универсальность метода CRAMM позволяют исполь зовать

его для аудита ИС любого уровня сложности и назначения.

5. CRAMM можно использовать в качестве инструмента для раз работки

плана непрерывности бизнеса и политик информационной бе зопасности

организации.

6. CRAMM может использоваться в качестве средства докумен тирования

механизмов безопасности ИС.

К недостаткам метода CRAMM можно отнести следующие:

1. Использование метода CRAMM требует специальной подготов ки и

высокой квалификации аудитора.

2. CRAMM в гораздо большей степени подходит для аудита уже суще-

ствующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, на-

ходящихся на стадии разработки.

3. Аудит по методу CRAMM — процесс достаточно трудоемкий и может

потребовать месяцев непрерывной работы аудитора.

4. Программный инструментарий CRAMM генерирует большое ко-

личество бумажной документации, которая не всегда оказывается полез-

ной на практике.

5. CRAMM не позволяет создавать собственные шаблоны отчетов или

модифицировать имеющиеся.

6. Возможность внесения дополнений в базу знаний CRAMM не доступ-

на пользователям, что вызывает определенные трудности при адаптации

этого метода к потребностям конкретной организации.

Risk Watch

Программное обеспечение Risk Watch, разрабатываемое амери канской

компанией Risk Watch Inc., является мощным средством анализа и управ-

ления рисками. В семейство Risk Watch входят про граммные продукты для

проведения различных видов аудита безо пасности. Оно включает в себя

следующие средства аудита и ана лиза рисков:

– Risk Watch for Physical Security — для физических методов защиты

ИС;

– Risk Watch for Information Systems — для информационных рисков;

– HIPAA-WATCH for Healthcare industry — для оценки соответствия тре-

бованиям стандарта HIPAA;

– Risk Watch RW17799 for ISO 17799 — для оценки требований стандар-

та ISO 17799.

В методе Risk Watch в качестве критериев для оценки и управ ления ри-

сками используются предсказание годовых потерь (Annual Loss Expectancy —

ALE) и оценка возврата от инвестиций (Return on Investment — ROI). Семей-

ство программных продуктов Risk Watch имеет массу достоинств. К недо-

статкам данного продукта можно отнести его относительно высокую стои-

мость.

ПО Risk Watch реализует методику, включающую 4 фазы:

1) определение предмета исследования. На этом этапе описыва ются па-

раметры организации (тип организации, состав исследуемой ИС, базовые

требования ИБ и др.). Описание формализуется в ряде подпунктов, каждый

из которых описывается подробно;

2) ввод данных. На этом этапе описываются конкретные характе ристики

ИС. Подробно описываются ресурсы, потери и классы инци дентов, которые

получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей исполь зуется опросник, содержа-

щий около 600 вопросов, возможны добавление новых и корректировка

старых вопросов. Задается частота возникновения каждой из выделенных

угроз, степень уязвимости и ценности ресурсов. Все это потом используется

для расчета эффек тивности внедрения СЗИ;

3) оценка рисков. Устанавливается связь между ресурсами, по терями,

угрозами и уязвимостями. Для рисков рассчитывается мате матическое

ожидание потерь за год;

4) генерация отчетов. На этой фазе могут генерироваться сле дующие

виды отчетов:

– краткие итоги;

– полные и краткие отчеты об элементах фаз 1 и 2;

– отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реа-

лизации угроз;

– отчет об угрозах и мерах противодействия;

– отчет о результатах аудита безопасности.

Рассмотренный метод требует сравнительно небольших трудо затрат

и наиболее эффективен при анализе рисков на программно-техническом

уровне.

COBRA

Система COBRA (Consultative Objective and Bi-Functional Risk Analysis),

разрабатываемая компанией Risk Associates, является сред ством анализа

рисков и оценки соответствия ИС стандарту ISO 17799. Производителем ПО,

реализующего систему COBRA, является ком пания С&А Systems Security Ltd.

COBRA реализует методы количе ственной оценки рисков, а также инстру-

менты для консалтинга и про ведения обзоров безопасности. При разработ-

ке инструментария COBRA были использованы принципы построения экс-

пертных сис тем, обширная база знаний по угрозам и уязвимостям, а также

боль шое количество вопросников, с успехом применяющихся на практи-

ке. В семейство программных продуктов COBRA входят COBRA ISO 17799

Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection

Consultant.

COBRA позволяет представить требования стандарта в виде те-

матических «вопросников» по отдельным аспектам деятельности орга-

низации. Анализ рисков, выполняемых по этому методу, соответству ет ба-

зовому уровню безопасности. Метод достаточно прост, так как необходимо

ответить на несколько десятков вопросов, а затем авто матически формиру-

ется отчет.

Простота ПО и легкость использования позволяет использовать этот

метод при проведении аудита или для работы специалистов служб, отве-

чающих за обеспечение ИБ.

ПО «АванГард»

Институт системного анализа РАН РФ разработал ПО «АванГард», явля-

ющееся экспертной системой управления ИБ. Предлагаются две версии ПО:

«АванГард-Анализ» для проведения анализа рисков и «АванГард-Контроль»

для управления рисками.

Данное ПО обладает развитыми средствами для построения мо делей

ИС с позиции ИБ. В отличие от других методов в нем можно строить модели

различных уровней (административного, программно-технического). Ав-

торы методики определили риск как произведение ущерба на вероятность

риска. При этом ущерб и вероятность долж ны быть введены в модель. Су-

ществует справочная база данных. Выбор значений и их ввод осуществляет

специалист (пользователь) организации. База данных заполняется под кон-

кретный заказ, поэто му такое ПО может использоваться для построения ве-

домственных методик анализа и управления рисками.

Глава 4. Процедурный уровень обеспечения ИБ

К процедурному уровню относятся меры обеспечения безопасно сти,

реализуемые людьми. Выделяются следующие группы процедур ных мер,

направленных на обеспечение ИБ (первые две группы — основные, осталь-

ные — вспомогательные группы мер):

1) управление персоналом;

2) физическая защита;

3) поддержание работоспособности;

4) реагирование на нарушения режима безопасности;

5) планирование восстановительных работ.

В рамках управления персоналом для каждой должности должны су-

ществовать квалификационные требования по информа ционной безопас-

ности. В должностные инструкции должны вхо дить разделы, касающиеся

безопасности. Каждого работника нуж но научить мерам безопасности тео-

ретически и оттренировать выполнение этих мер практически (и прово-

дить подобные трени ровки дважды в год).

Существует два общих принципа, которые следует иметь в виду при

управлении персоналом:

– разделение обязанностей;

– минимизация привилегий.

Принцип разделения обязанностей предписывает так распре делять

роли и ответственность, чтобы один человек не мог на рушить критиче-

ски важный для организации процесс. Например, нежелательна ситуация,

когда платежи от имени организации вы полняет один человек. Надежнее

поручить одному сотруднику, например, оформлять заявки на платежи, а

другому — заверять эти заявки.

Принцип минимизации привилегий предписывает выделять пользовате-

лям только те права доступа, которые необходимы им для выполнения слу-

жебных обязанностей. Назначение этого прин ципа очевидно — уменьшить

ущерб от случайных или умышленных некорректных действий пользова-

телей.

Весьма эффективны организационно-психологические меры за щиты

информации:

– дробление, распределение информации между сотрудниками;

– ведение учета ознакомления сотрудников с особо важной ин-

формацией;

– распространение информации только через контролируемые кана-

лы;

– назначение лиц, ответственных за контроль документации;

– обязательное уничтожение неиспользованных копий докумен тов и

записей;

– четкое определение коммерческой тайны для персонала;

– составление, регулярная оценка и обновление перечня инфор мации,

представляющей коммерческую тайну;

– включение пункта о неразглашении коммерческой тайны в тру довой

договор, правила внутреннего распорядка и должностные ин струкции;

– включение положений о неразглашении тайны в соглашения и дого-

воры с партнерами.

Особо следует остановиться на мерах по обеспечению ИБ при увольне-

нии сотрудника. О намерениях сотрудника уволиться косвен но свидетель-

ствует посещение соответствующих сайтов в Интерне те, рассылка резюме.

С этого момента вся переписка с рабочего адреса и некоторые операции

на компьютере должны быть взяты под негласный контроль. Как можно

скорее в отсутствие данного пользо вателя необходимо сделать резервную

копию всех его файлов. При нимая во внимание, что сотрудник может изме-

нить свои намерения и остаться, а также допуская, что просмотр вакансий

мог осуществ ляться по просьбе знакомых, ищущих работу, нет необходимо-

сти принимать сразу явные меры безопасности.

Если сотрудник объявил о своем увольнении, можно принять следую-

щие меры:

– проинформировать всех сотрудников о предстоящем увольне нии и

запретить передавать ему любую или какую-то конкретную информацию,

имеющую отношение к работе;

– сделать резервную копию файлов пользователя;

– организовать передачу дел;

– постепенно, по мере передачи дел, сокращать права доступа к инфор-

мации;

– по необходимости организовать сопровождение увольнения спе-

циалистом по информационной безопасности.

Если сотрудник уличен в промышленном шпионаже, необходимо сде-

лать следующее:

– немедленно лишить его всех прав доступа к ИТ;

– немедленно скорректировать права доступа к общим информа-

ционным ресурсам (базам данных, принтерам, факсам), перекрыть входы

во внешние сети или изменить правила доступа к ним;

– все сотрудники должны сменить личные пароли, при этом до их сведе-

ния доводится следующая информация: «Сотрудник N с (дата) не работает.

При любых попытках контакта с его стороны немедленно сообщать в служ-

бу безопасности»;

– некоторое время контроль ИС осуществляется в усиленном режиме.

Если сотрудник увольняется не по причине уличения в промыш ленном

шпионаже, то перечисленные меры не должны быть чрезмер но настойчи-

вы, дабы не оказывать негативного воздействия на психо логическое состо-

яние человека. Необходимо внушить сотруднику, что таков общий порядок

и он лично ни в чем не подозревается.

Если сотрудники увидят, что увольнение каждого пользователя ПК не-

разрывно связано с моральным ущербом, то пострадает общий социально-

психологический климат: организация будет ассоциировать ся с тюрьмой

или сектой. Кроме того, нецелесообразно портить отно шения со всеми

увольняющимися сотрудниками: кто-то может вер нуться, а кто-то — ока-

зать помощь.

Если сотрудника увольняют, уличив в промышленном шпионаже, то

процедура сопровождения остается на усмотрение службы безо пасности.

Задача службы управления персоналом: происходящее не должно нанести

ущерб социально-психологическому климату в кол лективе, а по возможно-

сти, напротив, консолидировать остальных сотрудников.

Меры по обеспечению информационной безопасности с позиций «чело-

веческого фактора» можно рассматривать в качестве щита от воровства ин-

формации как специфического ресурса, имеющего зна чительную ценность.

Безопасность компьютерной системы зависит от окружения, в ко тором

она работает. Необходимо принять меры для защиты зданий и прилегаю-

щей территории, поддерживающей инфраструктуры и са мих компьюте-

ров.

Существуют следующие направления физической защиты:

– физическое управление доступом;

– противопожарные меры;

– защита поддерживающей инфраструктуры;

– защита от перехвата данных;

– защита мобильных (переносных) систем.

Меры физического управления доступом позволяют контролиро вать и

при необходимости ограничивать вход и выход сотрудников и посетителей.

Контролироваться может все здание организации и, кро ме того, отдельные

помещения, например, те, где расположены серверы, коммуникационная

аппаратура и т.п. Средства физического управления доступом известны

давно — это охрана, двери с замка ми, перегородки, телекамеры, датчики

движения и т. п.

Для предотвращения пожаров необходимы противопожарные сиг-

нализации и автоматические средства пожаротушения. Их целесооб разно

интегрировать с информационной системой организации.

К поддерживающей инфраструктуре можно отнести системы электро-,

водо- и теплоснабжения, кондиционеры, средства коммуни каций. К ним

применимы те же требования целостности и доступно сти, что и к инфор-

мационным системам. Для обеспечения целостно сти нужно защищать обо-

рудование от краж и повреждений. Для поддержания доступности целе-

сообразно выбирать оборудование с максимальным временем наработки

на отказ, дублировать ответствен ные узлы, всегда иметь под рукой запча-

сти.

Перехват данных может осуществляться разными способами: под-

сматриванием за экраном монитора, чтением пакетов, передавае мых по

локальной сети, улавливанием стука кнопок на клавиатуре, анализом по-

бочных электромагнитных излучений и наводок. Для защиты от перехвата

ответственные системы следует располагать как можно дальше от границ

контролируемой зоны. Сетевой трафик рекомендуется шифровать.

Портативные компьютеры — частый объект кражи. Следует на-

стоятельно рекомендовать сотрудникам шифрование данных на же стких

дисках ноутбуков.

Рассмотрим более детально физические средства защиты.

4.1. Физические средства защмты

Физические средства защиты — это разнообразные устройства, при-

способления, конструкции, аппараты, предназначенные для обна ружения

и пресечения угроз, создания препятствий на пути их рас пространения и

ликвидации их последствий.

К физическим средствам относятся механические, электромеха-

нические, электронные, электронно-оптические, радио- и радиотехни-

ческие и другие устройства, системы и сооружения, предназначен ные для

воспрещения несанкционированного доступа (входа, выхода), проноса (вы-

носа) средств и материалов и других возможных видов преступных дей-

ствий.

Эти средства применяются для решения следующих задач:

1) охрана территории предприятия и наблюдение за ней;

2) охрана зданий, внутренних помещений и контроль за ними;

3) охрана оборудования, производимой продукции и переме щаемых но-

сителей информации;

4) осуществление контролируемого доступа в залы и помещения;

5) оборудование контрольно-пропускных пунктов (постов) тех-

ническими средствами, обеспечивающими достоверный контроль прохо-

дящих, объективную регистрацию прохода и предотвращения несанкцио-

нированного (в том числе и силового) проникновения зло умышленников.

Все технические средства защиты объектов можно разделить на три ка-

тегории — средства обнаружения, средства предупреждения и ликвидации

угроз.

Охранная сигнализация и охранное телевидение, например, отно сятся

к средствам обнаружения угроз (угроза проникновения, угроза шантажом

и др.). Заборы вокруг объекта — это средство предупреж дения несанкцио-

нированного проникновения на территорию; усилен ные двери, стены, по-

толки, решетки на окнах. А, к примеру, средства пожаротушения или про-

граммные средства для восстановления по врежденных баз данных — это

средства ликвидации угроз.

Физический периметр безопасности

Физическая защита должна быть основана на определенных пе риметрах

безопасности и обеспечиваться путем установки в органи зации ряда ба-

рьеров, расположенных в стратегических местах. Тре бования к каждому

защитному барьеру и его месторасположению должны определяться цен-

ностью ресурсов и сервисов, подлежащих защите, а также рисками наруше-

ния безопасности и существующи ми защитными мерами. Каждый уровень

физической защиты должен иметь определенный периметр безопасности,

в пределах которого должен быть обеспечен надлежащий уровень защиты.

Предлагаются следующие рекомендации:

1) периметр безопасности должен соответствовать ценности за-

щищаемых ресурсов и сервисов;

2) периметр безопасности должен быть четко определен;

3) вспомогательное оборудование (например, фотокопировальные

аппараты, факс-машины) должно быть так размещено, чтобы умень шить

риск несанкционированного доступа к защищенным областям или компро-

метации конфиденциальной информации;

4) физические барьеры должны по необходимости простираться от

пола до потолка, чтобы предотвратить несанкционированный дос туп в по-

мещение и загрязнение окружающей среды;

5) не следует предоставлять посторонним лицам информацию о том,

что делается в защищенных областях без надобности;

6) следует рассмотреть возможность установления запрета на работу

в одиночку без надлежащего контроля; это необходимо как для безопасно-

сти, так и для предотвращения вредоносных действий;

7) компьютерное оборудование, принадлежащее организации, следует

размещать в специально предназначенных для этого мес тах, отдельно от

оборудования, контролируемого сторонними орга низациями;

8) в нерабочее время защищенные области должны быть физи чески не-

доступны (закрыты на замки) и периодически проверяться охраной;

9) персоналу, осуществляющему техническое обслуживание сер висов,

должен быть предоставлен доступ в защищенные области толь ко в случае

необходимости и после получения разрешения. По необ ходимости доступ

такого персонала (особенно к конфиденциальным данным) следует огра-

ничить, а их действия следует отслеживать;

10) в пределах периметра безопасности использование фотографи-

ческой, звукозаписывающей и видео аппаратуры должно быть запре щено,

за исключением санкционированных случаев.

Контроль доступа в помещения

В защищенных областях следует установить надлежащий конт роль до-

ступа в помещения, чтобы только персонал, имеющий соот ветствующие

полномочия, имел к ним доступ. Предлагается рас смотреть следующие

средства контроля:

1) за посетителями защищенных областей необходимо устано вить над-

зор, а дата и время их входа и выхода должны регистриро ваться. Посети-

телям должен быть предоставлен доступ для конкрет ных, разрешенных

целей;

2) весь персонал, работающий в защищенных областях, должен носить

на одежде хорошо различимые идентификационные карточки; кроме того,

следует рекомендовать им спрашивать пропуск у незна комых лиц;

3) необходимо немедленно изъять права доступа в защищенные обла-

сти у сотрудников, увольняющихся с данного места работы.

Защита центров данных и компьютерных залов

Центры данных и компьютерные залы, поддерживающие крити чески

важные сервисы организации, должны иметь падежную физи ческую защи-

ту. При выборе и обустройстве соответствующих помещений необходимо

принять во внимание возможность повреждения оборудования в резуль-

тате пожара, наводнения, взрывов, граждан ских беспорядков и других ава-

рий. Следует также рассмотреть угро зы безопасности, которые представля-

ют соседние помещения.

Необходимо рассмотреть следующие меры:

1) разместить ключевые системы подальше от общедоступных мест и

мест прохождения общественного транспорта;

2) здания не должны привлекать внимание и выдавать свое на значение

(по возможности); не должно быть явных признаков как снаружи, так и вну-

три здания, указывающих на присутствие вычис лительных ресурсов;

3) внутренние телефонные справочники не должны указывать на ме-

стонахождение вычислительных ресурсов;

4) опасные и горючие материалы следует хранить в соответствии с

инструкциями на безопасном расстоянии от месторасположения вычисли-

тельных ресурсов. Не следует хранить расходные материа лы для компью-

теров, например, бумагу для принтеров в компьютер ных залах;

5) резервное оборудование и носители информации, на которых хранят-

ся резервные копии, следует разместить на безопасном рас стоянии, чтобы

избежать их повреждения в случае аварии на основ ном рабочем месте;

6) следует установить соответствующее сигнальное и защитное обору-

дование, например, тепловые и дымовые детекторы, пожарную сигнализа-

цию, средства пожаротушения, а также предусмотреть по жарные лестницы.

Сигнальное и защитное оборудование необходимо регулярно проверять в

соответствии с инструкциями производителей;

7) процедуры реагирования на чрезвычайные ситуации необхо димо

полностью задокументировать и регулярно тестировать;

8) двери и окна должны быть заперты, когда в помещении в данное

время никого нет. Следует рассмотреть возможность защиты окон снару-