Барабанова М.И., Кияев В.И. Информационные технологии: открытые системы, сети, безопасность в системах и сетях

Подождите немного. Документ загружается.

202

• существующие косвенные расходы на организацию ИБ в компании

и, в частности, обеспечение непрерывности или устойчивости биз-

неса компании;

• экономия средств и ресурсов, внутренние и внешние доходы от

оказания услуг в области обеспечения ИБ.

Анализ собранных показателей позволяет оценить и сравнить состоя-

ние защищенности КИС компании с типовым профилем защиты, в том

числе показать узкие места в организации защиты, на которые следует об-

ратить внимание. Иными словами, на основе полученных данных можно

сформировать понятную с экономической точки зрения стратегию и так-

тику развития корпоративной системы защиты информации, например:

«Сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по

конкретным направлениям ИБ, то получим такой-то реальный экономиче-

ский эффект».

В целом определение затрат компании на ИБ подразумевает решение

следующих трех задач

• оценку текущего уровня ТСО корпоративной системы защиты ин-

формации и КИС в целом;

• аудит ИБ компании на основе сравнения уровня защищенности

компании и рекомендуемого (лучшая мировая практика) уровня

ТСО;

• формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводит-

ся сбор информации и расчет показателей ТСО организации по следую-

щим направлениям:

• существующие компоненты КИС (включая систему защиты ин-

формации) и информационные активы компании (серверы, клиент-

ские компьютеры, периферийные устройства, сетевые устройства);

• существующие расходы на аппаратные и программные средства

защиты информации (расходные материалы, амортизация);

• существующие расходы на организацию ИБ в компании (обслужи-

вание СЗИ и СКЗИ, а также штатных средств защиты периферий-

ных устройств, серверов, сетевых устройств, планирование и

управление процессами защиты информации, разработку концеп-

ции и политики безопасности и пр.);

• существующие расходы на организационные меры защиты инфор-

мации;

Источник: Петренко С. Оценка затрат на информационную безопасность.

http://www.citforum.ru/ security/articles/

203

• существующие косвенные расходы на организацию ИБ в компании

и, в частности, обеспечение непрерывности или устойчивости биз-

неса компании.

Аудит ИБ компании. По результатам собеседования с менеджерами ком-

пании и проведения инструментальных проверок уровня защищенности

организации выполняется анализ следующих основных аспектов:

• политики безопасности;

• надёжности организации защиты;

• классификации и управления информационными ресурсами;

• подготовленности персонала;

• физической безопасности;

• администрирования компьютерных систем и сетей;

• управления доступом к системам;

• разработки и сопровождения систем;

• планирования бесперебойной работы организации;

• проверки всей системы на соответствие требованиям ИБ.

На основе проведенного анализа выбирается модель ТСО, сравнимая

со средними и оптимальными значениями для репрезентативной группы

аналогичных организаций, имеющих схожие с рассматриваемой организа-

цией показатели по объему бизнеса. Такая группа выбирается из банка

данных по эффективности затрат на ИБ и эффективности соответствую-

щих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с мо-

дельным значением показателя ТСО позволяет провести анализ эффек-

тивности организации ИБ компании, результатом которого является опре-

деление «узких» мест в организации, причин их появления и выработка

дальнейших шагов по реорганизации корпоративной системы защиты ин-

формации и обеспечения требуемого уровня защищенности КИС.

Формирование целевой модели ТСО. По результатам проведенного ау-

дита моделируется целевая (желаемая) модель, учитывающая перспекти-

вы развития бизнеса и корпоративной системы защиты информации (ак-

тивы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалифи-

кация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты,

необходимые для проведения преобразований текущей среды в целевую

среду. В трудозатраты на внедрение включаются затраты на планирова-

ние, развертывание, обучение и разработку. Сюда же входят возможные

временные увеличения затрат на управление и поддержку. Для обоснова-

ния эффекта от внедрения новой корпоративной системы защиты инфор-

мации (ROI) могут быть использованы модельные характеристики сниже-

ния совокупных затрат (ТСО), отражающие возможные изменения в кор-

поративной системе защиты информации.

204

Проиллюстрируем сказанное на примере определения оптимальной

величины соотношения «эффективность-рентабельность» [5-7]. Эффек-

тивные системы защиты стоят дорого и поэтому при формировании

контрмер, комплектовании отделов ИБ и выборе соответствующих про-

граммно-аппаратных средств необходимо учитывать рентабельность

средств защиты.

На рисунке 5.15 показано уменьшение относительного ущерба вслед-

ствие применения средств защиты информации. Здесь величина Q

– мера

общей эффективности защиты, R

0 –

величина максимального ущерба. Чем

больше Q

, тем меньший ущерб создадут угрозы. Таким образом, мерой

риска является величина (1 – Q

). Стремление обеспечить высокоэффек-

тивную защиту, когда Q

близко к 1 (или 100%), приводит к значительным

расходам на ресурсы. Чем выше совокупные ассигнования B

на ресурсы,

тем на большую эффективность защиты можно рассчитывать (рис. 5.15,

сплошная кривая). Однако чрезмерные расходы на собственную безопас-

ность не всегда оправданы экономически.

Рис. 5.15. Зависимость эффективности и рентабельности системы защиты

от величины общих ресурсов

Можно столкнуться с ситуацией, когда стоимость защиты В

превы-

сит уровень максимального ущерба от реализации угроз. В этом случае

возникает опасность угрозы «разорения» от защиты. Её уровень также

можно оценить, к примеру, величиной r

разности относительной «защи-

щенности» Q

и относительных затрат В

на ресурсы. Назовем эту ве-

личину рентабельностью защиты. Если она положительная (т. е. В

≤

), то защита рентабельна. В отличие от эффективности, чем больше

затраты B

, тем меньше рентабельность. Эта противоположность создает

неоднозначную ситуацию в выборе стратегии защиты, которую необхо-

205

димо заранее планировать, чтобы защита не привела к значительным

убыткам.

На рисунке 5.16 представлена типовая зависимость эффективности

защиты Q

и ее рентабельности r

от максимального ущерба R

. По сути,

это является мерой масштабности бизнеса. Легко видеть, что сделать за-

щиту одновременно и высокоэффективной, и высокорентабельной под си-

лу лишь крупным коммерческим структурам (область G), для которых ха-

рактерны большие величины максимального ущерба.

Достаточно, например, чтобы B

соотносилось с R

(1–Q

). Тогда при

→1 получим r

→1. В худшем положении оказываются интересы сред-

него (область М) и малого (область S) бизнеса, поскольку из-за ограни-

ченности ресурсов выбор стратегии защиты более сложен. Рекомендации

просты: надо обеспечить максимально возможную эффективность при по-

ложительном показателе рентабельности защиты. А это означает, что в

первую очередь следует противодействовать наиболее вероятным и опас-

ным угрозам. Малые и средние компании должны разумно сочетать не-

обходимую защиту и экономию ресурсов.

Рис. 5.16. Зависимость эффективности и рентабельности защиты

от величины максимального ущерба

Рисунок 5.17 показывает, какую выгоду могут обеспечить коопера-

тивные формы обеспечения ИБ. Здесь представлены характерные зависи-

мости величины риска R=R

*(1-Q

) и общих затрат на ресурсы B

от эф-

206

фективности автономной (I) и кооперативной (II) защиты. Точка пересе-

чения А

зависимостей R(Q) и B(Q) для автономной защиты соответствует

примерно области минимальных общих потерь R

(1–Q

)+B

. Экономия

ресурсов выразится в том, что исходная зависимость (I) окажется «выше»

новой зависимости (II), которая отображает кооперацию в использовании

ресурсов. Соответственно новая точка пересечения кривых А

окажется

правее прежней А

. Практически это означает, что при сохранении рента-

бельности защиты увеличивается ее эффективность. Причем выигрыш тем

существенней, чем больше экономия.

Рис. 5.17. Зависимости риска R и расходов на ресурсы В

от эффективности защиты Q

На практике в основном кооперируются по двум формам – матери-

ально-техническим и кадровым ресурсам, которые и являются составными

частями общего механизма обеспечения ИБ.

Библиографический список к главе 5

5-1. Department of Defense Trusted Computer System Evaliation Criteria

(TCSEC). – USA DoD 5200.28-STD, 1993.

5-2. Information Technology Security Evaluation Criteria (ITSEC). Harmo-

nised Criteria of France-Germany-the Netherlands-the United Kingdom. – De-

partment of Trade and Industry, London, 1991.

5-3. Галатенко В.А. Основы информационной безопасности. – М.: ИНТУИТ,

2006. – 208 с.

5-4. Торянинов Б.Н., Красковский А.П.. Экономическая безопасность

предпринимательской деятельности. – СПб.: Кредитформа, 2000. – 160 с.

207

5-5. Грунин О.А., Грунин С.О. Экономическая безопасность предприятия. –

СПб.: Питер, 2002. – 162 с.

5-6. Аванесов Г.М., Кондратьев В.С. Правовая информатика. – СПб.:

ИВЭСЭП, Знание, 2003. – 104 с.

5-7. Астахов А.Н. Анализ защищенности корпоративных систем // Откры-

тые системы, 2002. – № 7, 8.

5-8. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных

систем. – М.: Горячая линия – Телеком, 2000. – 452 с.

5-9. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных

корпоративных сетях и системах. – М.: ДМК Пресс, 2002. – 656 с.

Вопросы к главе 5

1. Что является содержанием понятия «экономическая безопасность пред-

приятия»?

2. Как можно охарактеризовать понятие «информационная безопасность»

и что оно в себя включает (основные составляющие)?

3. О каких основных аспектах следует говорить при построении систем

корпоративной информационной безопасности?

4. Для чего необходимо формировать политику информационной безо-

пасности и из каких основных разделов она состоит?

5. Кто разрабатывает политику информационной безопасности предпри-

ятия? Какие менеджеры и специалисты входят в рабочую группу?

6. Какие вопросы информационной безопасности являются ключевыми?

7. Из чего складывается инфраструктура информационной безопасности?

8. Какие существуют виды угроз ИБ и каким образом оцениваются соот-

ветствующие риски?

9. На какие виды подразделяется защищаемая информация?

10. На основании каких законов Российской Федерации осуществляется

правовое обеспечение и взаимодействие в информационной сфере?

11. Как распределяется ответственность в информационной сфере? Во

внешней среде предприятия? Во внутренней среде?

12. Что включает в себя модель информационной безопасности?

13. В каких аспектах рассматриваются мероприятия по защите информа-

ции?

14. Каким образом оценивается соотношение эффективности и рента-

бельности систем информационной безопасности?

208

Глава 6. ЗАЩИТА ИНФОРМАЦИИ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ, ЛОКАЛЬНЫХ

И ГЛОБАЛЬНЫХ КОМПЬЮТЕРНЫХ СЕТЯХ

Существование и развитие информационного общества на современ-

ном этапе невозможно без использования информационных сетей, гло-

бальных компьютерных сетей и сетей связи – радио, телевидения, фикси-

рованных и мобильных телефонных сетей, Internet и т.д. В связи с этим

обеспечение доверия и безопасности невозможно без предъявления к этим

сетям не только требований по обеспечению надёжности передачи дан-

ных, стабильности работы, качества и масштабов охвата, но и по обеспе-

чению информационной безопасности.

Информационная безопасность сетей представляет собой «состояние

защищённости сбалансированных интересов производителей информацион-

но-коммуникационных технологий и конкретно сетей, потребителей, опера-

торов и органов государственной власти в информационной сфере. В свою

очередь информационная сфера представляет собой совокупность ин-

формации, информационной инфраструктуры, субъектов, осуществляю-

щих сбор, формирование, распространение и использование информации,

а также системы регулирования отношений, возникающих при использо-

вании сетей связи»

Благодаря своей открытости и общедоступности компьютерные сети

и сети связи общего пользования являются удобным средством для обес-

печения взаимодействия граждан, бизнеса и органов государственной вла-

сти. Однако чем более открыты сети, тем более они уязвимы. Можно вы-

делить ряд особенностей, которые делают сети уязвимыми, а нарушите-

лей – практически неуловимыми:

• возможность действия нарушителей на расстоянии в сочетании с

возможностью сокрытия своих истинных персональных данных

(указанная особенность характерна, в частности, для сети Internet,

радиосетей, сетей кабельного телевидения, незаконного использо-

вания ресурсов телефонных сетей);

• возможность пропаганды и распространения средств нарушения

сетевой безопасности (например, распространение в Internet про-

граммных средств, позволяющих реализовывать несанкциониро-

ванный доступ к информационным ресурсам, нарушать авторские

права и т.д.);

• возможность многократного повторения атакующих сеть воздей-

ствий (например, генерация в Internet или телефонных сетях по-

Источник: Материалы Международного конгресса «Доверие и безопасность в инфор-

мационном обществе» 21 апреля 2003 г., www.rans.ru/arrangements/int_cong_doc.doc

209

токов вызовов, приводящих к нарушению функционирования уз-

лов сети).

Большинство владельцев и операторов принимают необходимые меры

по обеспечению информационной безопасности своих сетей. В то же вре-

мя для современного состояния информационной безопасности сетей ха-

рактерны следующие причины, приводящие к крупным проблемам, тре-

бующим скорейшего решения:

• использование несогласованных методов обеспечения информаци-

онной безопасности для разных компонентов сети, включая теле-

коммуникационные протоколы, информационные ресурсы и при-

ложения;

• широкое использование технических средств импортного произ-

водства, потенциально имеющих недекларированные возможности

(«закладки»);

• отсутствие комплексных решений по обеспечению информацион-

ной безопасности при интеграции и взаимодействии сетей;

• недостаточная проработка методологии документирования функ-

ционирования сетей, необходимого для создания доказательной ба-

зы правонарушений;

• широко распространённое отношение к обеспечению информаци-

онной безопасности как к товару или услуге, которые можно ку-

пить, а не как к процессу, который нужно не только создать, но ко-

торый нужно внедрить в постоянное использование и которым не-

обходимо постоянно управлять.

Наиболее часто встречающиеся дефекты защиты, отмеченные компа-

ниями, работающими в области электронного бизнеса и защиты информа-

ции:

• общие проблемы в брандмауэрах, операционных системах, сетях и

стандартных приложениях;

• неопознанные машины или приложения в сети;

• использование старых версий программного обеспечения на маши-

нах сети;

• неполная информация обо всех точках входа в сеть из внешней

среды;

• неполное изъятие прав доступа при увольнении сотрудников, на-

личие идентификаторов пользователей, используемых по умолча-

нию, неверно обслуживаемые права доступа;

• неоправданно открытые порты в брандмауэрах;

• необоснованный общий доступ к файловым системам;

• недостаточные требования к идентификации пользователя, соби-

рающегося изменить регистрационные записи пользователей;

210

• присутствие ненужных сервисов или приложений на машинах, тре-

бующих высокой степени защиты;

• использование слабозащищенных установочных параметров, при-

сваиваемых по умолчанию при инсталляции приложений, ввиду

чего становятся известны идентификаторы и пароли пользователей,

установленные по умолчанию;

• отсутствие защиты от взаимодействия внутреннего и внешнего

трафика сети;

• отсутствие проверок после внесения изменений в среду (например,

после инсталляции новых приложений или машин);

• отсутствие контроля вносимых изменений;

• отсутствие информации о внутренних угрозах безопасности;

• отсутствие информации о слабых местах различных методик ау-

тентификации при организации мощной защиты.

Любая успешная атака нарушителя, направленная на реализацию уг-

розы информационной безопасности сети, опирается на полученные на-

рушителем знания об особенностях её построения и слабых местах. При-

чинами появления уязвимостей в сетях могут быть:

• уязвимые зоны в поставляемом программном продукте;

• нарушение технологий передачи информации и управления;

• внедрение компонентов и программ, реализующих не деклариро-

ванные функции и нарушающих нормальное функционирование

сетей;

• невыполнение реализованными механизмами защиты сети задан-

ных требований к процессу обеспечения информационной безо-

пасности или предъявление непродуманного набора требований;

• использование не сертифицированных в соответствии с требова-

ниями безопасности отечественных и зарубежных информацион-

ных технологий, средств информатизации и связи, а также средств

защиты информации и контроля их эффективности.

Постоянный аудит сетей связи с целью выявления уязвимостей и воз-

можных угроз обеспечивает определение «слабого звена», а уровень за-

щищённости «слабого звена» определяет, в конечном счёте, уровень ин-

формационной безопасности сети в целом.

Принципиальным является рассмотрение воздействий нарушителей

или атак как неизбежного фактора функционирования сетей связи. В

этих условиях обеспечение информационной безопасности сетей связи

становится триединой задачей, включающей мониторинг функциониро-

вания, обнаружение атак и принятие адекватных мер противодействия.

Адекватные меры противодействия могут носить технический характер и

предусматривать реконфигурацию информационной сферы сети. Они

211

могут быть также организационными и предусматривать обращение опе-

раторов сетей связи к силовым структурам с предоставлением необходи-

мой информации для выявления и привлечения к ответственности нару-

шителей.

Обеспечение информационной безопасности сетей связи означает

создание процесса, которым необходимо постоянно управлять и который

является неотъемлемой составной частью процесса функционирования се-

тей связи. Построив бизнес-модель функционирования сети, включающую

процесс управления обеспечением информационной безопасности, необ-

ходимо далее определить стандарты информационной безопасности, под-

держивающие эту бизнес-модель. Значение исследований процессов стан-

дартизации и совершенствования нормативно-правовой базы будет посто-

янно возрастать.

Вопросы информационной безопасности, защиты информации и дан-

ных неразрывно связаны с безопасностью программно-аппаратных ком-

плексов и сетевых устройств, образующих информационные системы и

сети различного назначения. Такие системы должны отвечать серьёзным

требованиям по обеспечению надёжности сбора, обработки, архивирова-

ния и передачи данных по открытым и закрытым сетям и обеспечению их

максимальной защиты.

6.1. Определение защищенной информационной системы

В отличие от локальных корпоративных сетей, подключенных к

Internet, где обычные средства безопасности в большой степени решают

проблемы защиты внутренних сегментов сети от несанкционированного

доступа, распределенные корпоративные информационные системы, сис-

темы электронной коммерции и предоставления услуг пользователям

Internet предъявляют повышенные требования в плане обеспечения ин-

формационной безопасности.

Межсетевые экраны, системы обнаружения атак, сканеры для выявле-

ния уязвимостей в узлах сети, операционных систем и СУБД, фильтры па-

кетов данных на маршрутизаторах – достаточно ли всего этого мощного

арсенала (так называемого «жёсткого периметра») для обеспечения безо-

пасности критически важных информационных систем, работающих в In-

ternet и Intranet? Практика и накопленный к настоящему времени опыт по-

казывают – чаще всего нет!

В «Оранжевой книге» надежная и защищённая информационная сис-

тема определяется как «система, использующая достаточные аппаратные

и программные средства, чтобы обеспечить одновременную достоверную