Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

- информационная безопасность рассматривается руковод -

ством как чисто «техническая» проблема, отсутствует единая

программа (концепция, политика) развития системы обеспечения

информационной безопасности (СОИБ) компании;

- финансирование ведется в рамках общего ЙТ-бюджета;

- информационная безопасность реализуется средствами

нулевого уровня плюс средства резервного копирования, IK

тивирусные средства, межсетевые экраны, средства органи зации

VPN (построения виртуальных частных сетей), т.е. тра диционные

средства защиты

2-й уровень:

- информационная безопасность рассматривается руковод -

ством как комплекс организационных и технических мероп риятий,

существует понимание важности информационной безопасности

для производственных процессов, есть утвевж -денная

руководством программа развития СОИБ компании;

- финансирование ведется в рамках отдельного бюджета;

- информационная безопасность реализуется средствами

первого уровня плюс средства усиленной аутентификации, сред-

ства анализа почтовых сообщений и web-контента, IDS (системы

обнаружения вторжений), средства анализа защищенности, SSO

(средства однократной аутентификации), PKI (инфраструктура

открытых ключей) и организационные меры (внутренний и внешний

аудит, анализ риска, политика информационной безопасности,

положения, процедуры, регламенты и руководства).

3-й уровень:

- информационная безопасность является частью корпо-

ративной культуры, назначен CISA (старший администратор йо

вопросам обеспечения информационной безопасности);

- финансирование ведется в рамках отдельного бюджета;

- информационная безопасность реализуется средствами

второго уровня плюс системы управления информационной

безопасностью, CSIRT (группа реагирования на инциденты

нарушения информационной безопасности), SLA (соглашение об

уровне сервиса).

По информации Gartner Group (данные приводятся за 2001

год) процентное соотношение компаний применительно к опи-

санным четырем уровням выглядит следующим образом:

0 уровень - 30%,

1 уровень - 55%,

2 уровень - 10 %,

3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим

образом:

0 уровень - 20%,

1 уровень - 35%,

2 уровень - 30 %,

3 уровень - 15 %.

Статистика показывает [2], что большинство компаний (55%) в

настоящий момент внедрили минимально необходимый набор

традиционных технических средств защиты (1 уровень).

Внедрение дополнительных средств защиты (переход на

уровни 2 и 3) требует существенных финансовых вложений и

соответственного обоснования. Отсутствие единой програм мы

развития СОИБ, одобренной и подписанной руководством,

обостряет проблему обоснования вложений в безопасность.

В качестве такого обоснования могут выступать результа ты

анализа риска и статистика, накопленная по инцидентам.

Механизмы реализации анализа риска и накопления статистики

должны быть прописаны в политике информационной безопасности

компании.

Процесс анализа риска состоит из б последовательных эта пов

[31]:

- идентификация и классификация объектов защиты (ресурсов

компании, подлежащих защите);

- категорирование ресурсов;

- построение модели злоумышленника;

- идентификация, классификация и анализ угроз и уязви -

мостей;

- оценка риска;

- выбор организациоцных мер и технических средств за щиты.

На этапе идентификации и классификации объектов за» щиты

необходимо провести инвентаризацию ресурсов компании по

следующим направлениям:

- информационные ресурсы (конфиденциальная и критич ная

информация компании);

- программные ресурсы (ОС, СУБД, критичные приложения,

например ERP);

- физические ресурсы (сервера, рабочие станции, сетевое и

телекоммуникационное оборудование);

- сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня

конфиденциальности и критичнос ти ресурса. Под

конфиденциальностью понимается уровень секретности сведений,

которые хранятся, обрабатываются и передаются ресурсом, Под

критичностью понимается степень влияния ресурса на

эффективность функционирования производственных процессов

компании (например, в случае простоя телекоммуникацион ных

ресурсов компания - провайдер может разориться). Присвоив

параметрам конфиденциальности и критичности определенные

качественные значения, можно определить уровень значимости

каждого ресурса, с точки зрения его участия в производственных

процессах компании.

Для определения значимости ресурсов компании с точки

зрения информационной безопасности можно воспользовать ся

таблицей 1.1:

Таблица 1.1 Значимость ресурсов компании

Параметр/значение

критичный

существенны

незначительный

Строго конфиденциальный

Конфиденциальный

Для внутреннего пользования

Открытый

Например, файлы с информацией об уровне зарплат со-

трудников компании имеют значение «строго конфиденциально»

(параметр конфиденциальности) и значение «незначительный»

(параметр критичности). Подставив эти значе ния в таблицу, можно

получить интегральный показатель значимости данного ресурса.

Различные варианты методик категорирования приведены в

международном стандарте ISO TR 13335 [129].

Построение модели злоумышленника - это процесс класси-

фикации потенциальных нарушителей по следующим параметрам:

- тип злоумышленника (конкурент, клиент, разработчик,

сотрудник компании и т.д.);

- положение злоумышленника по отношению к объектам

защиты (внутренний, внешний);

- уровень знаний об объектах защиты и окружении (высо кий,

средний, низкий);

- уровень возможностей по доступу к объектам защиты

(максимальные, средние, минимальные);

- время действия (постоянно, в определенные временные

интервалы);

- место действия (предполагаемое месторасположение зло

умышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумыш-

ленника качественные значения можно определить потейци-ал

злоумышленника (интегральную характеристику возмож ностей

злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязви мостей

позволяют определить пути реализации атак на объек ты защиты.

Уязвимости - это свойства ресурса или его окружения,

используемые злоумышленником для реализации угроз. Перечень

уязвимостей программных ресурсов можно най ти в сети Интернет,

Угрозы классифицируются по следующим признакам:

- наименование угрозы;

- тип злоумышленника;

- средства реализации;

- используемые уязвимости;

- совершаемые действия;

- частота реализации.

Основной параметр - частота реализации угрозы. Она зависит

от значений параметров «потенциал злоумышленника» и

«защищенность ресурса». Значение параметра «защищенность

ресурса» определяется путем экспертных оценок. При

определении значения параметра принимается во внимание

субъективные параметры злоумышленника: мотива ция для

реализации угрозы и статистика от попыток реализации угроз

данного типа (в случае ее наличия). Результатом этапа анализа

угроз и уязвимостей является оценка параметра «частота

реализации» по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от

угроз нарушения информационной безопасности для каждого

ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух пара метров:

- значимость ресурса;

- частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выби -

раются адекватные организационные меры и технические сред-

ства защиты.

Единственным уязвимым местом в предлагаемой методи ке

оценке риска и соответственно обосновании необходимос ти

внедрения новых или изменения существующих техноло гий

защиты является определение параметра «частота реализации

угрозы». Единственный путь получения объектив ных значений

этого параметра - накопление статистики по инцидентам.

Накопленная статистика, например, за год позволит определить

количество реализаций угроз (определенного типа) на ресурс

(определенного типа). Работу по накоплению статистики

целесообразно вести в рамках процедуры обработки инцидентов.

Она состоит из следующих процессов:

- идентификация нарушения;

- фиксация нарушения;

- принятие решения об обработке инцидента;

- регистрация инцидента;

- назначение исполнителей;

- сопровождение обработки инцидента;

- фиксация действий и результатов расследования;

- определение ущерба;

- закрытие процесса.

Накопление статистики по инцидентам помимо получе ния

объективных данных, необходимых для обоснования вложений в

ИБ, позволяет оценить эффективность функ ционирования СОИБ.

Накопленная за определенный временной интервал статистика

позволяет отследить общую тенденцию в сторону уменьшения или

увеличения количества инцидентов.

Получить достоверную информацию о деятельности фир мы

незаконным путем достаточно трудно, если фирма с по ниманием

относится к сохранности коммерческой тайны и создания

соответствующей системы защиты. В то же время многие под

безопасностью понимают, прежде всего, физичес кую

защищенность, иногда включая отдельные требования

информационной защиты коммерческих интересов, что не

способствует решению проблем безопасности в комплексе.

Каждый коммерческий объект должен строить свою систему

защиты информации на концептуальной основе, исходя из

назначения объекта, его размеров, условий размещения, характера

деятельности и т.д.

При разработке концепции защиты необходимо исходить из

детального анализа направлений деятельности предприни-

мательской структуры и комплексных требований защиты.

Особенно, если структуры применяют в своей деятельности

средства информатики.

Учитывая многообразие потенциальных угроз информа ции в

системе обработки данных, сложность с труктуры и фун кций, а

также участие человека в технологическом процессе обработки

информации, цели защиты информации могут быть достигнуты

только путем создания системы защиты информации на основе

комплексного подхода. И начинать создание системы надо с оценки

угроз безопасности деятельности коммерческого объекта, а исходя

из полученных результатов анализа, принимается решение о

построении всей системы защиты, и выбираются необходимые

средства.

Глава 2 Классификация угроз безопасности

информации

Офис обычной современной фирмы или банка представля ет

собой напичканные электроникой помещения, где информация,

представляющая собой коммерческую тайну, может на ходиться на

бумажных носителях, на машинных, передавать ся по телефону,

телефаксу, телексу, обрабатываться, хранить ся и передаваться

средствами вычислительной техники, запи сываться и

воспроизводиться магнитофонами, диктофонами,

видеомагнитофонами. Наконец, информация присутствует в

воздушной среде в виде акустических сигналов при переговорах.

Далее все действия, направленные на получение, обработку,

запись, хранение и передачу конфиденциальной информа ции

любого вида, будем называть - обработка данных.

Современная информационная система представляет со бой

сложную систему, состоящую из большого числа компонентов

различной степени автономности, которые связаны между собой и

обмениваются данными. Практически каж дый компонент может

подвергнуться внешнему воздействию или выйти из строя.

Компоненты автоматизированной информационной системы можно

разбить на следующие группы [109]:

- аппаратные средства - компьютеры и их составные части

(процессоры, мониторы, терминалы, периферийные устройства -

дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

- программное обеспечение - приобретенные программы,

исходные, объектные, загрузочные модули; операционные системы

и системные программы (компиляторы, компонов щики и др.)

утилиты, диагностические программы и т.д.;

- данны е - хранимые временно и постоянно, на магнитных

носителях, печатные, архивы, системные журналы и т.д.;

- персонал - обслуживающий персонал и пользователи.

Угрозы информационной безопасности объекта можно раз -

граничить на внутренние и внешние [50].

Внутренние угрозы безопасности объекта защиты:

- неквалифицированная корпоративная политика по орга-

низации корпоративных информационных технологий и уп-

равлению безопасностью корпорации;

- отсутствие должной квалификации персонала по обеспе-

чению деятельности и управлению объектом защиты;

- преднамеренные и непреднамеренные действия персонала

по нарушению безопасности;

- предательство персонала;

- техногенные аварии и разрушения, пожары.

Внешние угрозы безопасности объекта защиты:

- негативные воздействия недобросовестных конкурентов и

государственных структур;

- преднамеренные и непреднамеренные действия заинте-

ресованных структур и физических лиц (сбор информации, шантаж,

искажение имиджа, угрозы физического воздействия

и др.);

- утечка конфиденциальной информации из носителей ин-

формации и обусловленных каналов связи;

- несанкционированное проникновение на объект защиты;

- несанкционированный доступ к носителям информации и

обусловленным каналам связи с целью хищения, искажения,

уничтожения, блокирования информации;

- стихийные бедствия и другие форс-мажорные обстоя-

тельства;

- преднамеренные и непреднамеренные действия системных

интеграторов и поставщиков услуг по обеспечению безо пасности,

поставщиков технических и программных продуктов, кадров.

Общая классификация угроз автоматизированной инфор -

мационной системе объекта выглядит следующим образом [42]:

1. Угрозы конфиденциальности данных и программ. Реа-

лизуются при несанкционированном доступе к данным (на пример, к

сведениям о состоянии счетов клиентов банка), про граммам или

каналам связи.

Информация, обрабатываемая на компьютерах или пере-

даваемая по локальным сетям передачи данных, может быть снята

через технические каналы утечки. При этом использу ется

аппаратура, осуществляющая анализ электромагнитных излучений,

возникающих при работе компьютера.

Такой съем информации представляет собой сложную тех-

ническую задачу и требует привлечения квалифицированных

специалистов. С помощью приемного устройства, выполнен ного на

базе стандартного телевизора, можно перехватывать информацию,

выводимую на экраны дисплеев компьютеров с расстояния в

тысячу и более метров.

Определенные сведения о работе компьютерной системы

извлекаются даже в том случае, когда ведется наблюдение за

процессом обмена сообщениями без доступа к их содержанию.

2. Угрозы целостности данных, программ, аппаратуры.

Целостность данных и программ нарушается при несанкцио-

нированном уничтожении, добавлении лишних элементов и

модификации записей о состоянии счетов, изменении поряд ка

расположения данных, формировании фальсифицирован ных

платежных документов в ответ на законные запросы, при активной

ретрансляции сообщений с их задержкой.

Несанкционированная модификация информации о безопас-

ности системы может привести к несанкционированным дей ствиям

(неверной маршрутизации или утрате передаваемых данных) или

искажению смысла передаваемых сообщений. Целостность

аппаратуры нарушается при ее повреждении, похищении или

незаконном изменении алгоритмов работы.

3. Угрозы доступности данных. Возникают в том случае, когда

объект (пользователь или процесс) не получает доступа к законно

выделенным ему службам или ресурсам. Эта угроза реализуется

захватом всех ресурсов, блокированием линий связи

несанкционированным объектом в результате пе редачи по ним

своей информации или исключением необходимой системной

информации.

Эта угроза может привести к ненадежности или плохому

качеству обслуживания в системе и, следовательно, потенциально

будет влиять на достоверность и своевременность доставки

платежных документов.

4. Угрозы отказа от выполнения трансакций. Возникают в том

случае, когда легальный пользователь передает или принимает

платежные документы, а потом отрицает это, чтобы снять с себя

ответственность.

Оценка уязвимости автоматизированной информацион ной

системы и построение модели воздействий предполага ют изучение

всех вариантов реализации перечисленных выше угроз и

выявление последствий, к которым они приводят.

Угрозы информационной безопасности могут обуславливаться

как человеческими факторами, так и человеко-машинными и

машинными факторами.

Человеческие факторы свою очередь подразделяются на:

пассивные угрозы (угрозы, вызванные деятельностью, носящей

случайный, неумышленный характер) и активные угрозы (угрозы,

обусловленные умышленными, преднамеренны ми действиями

людей). Это угрозы, связанные:

- с передачей, искажением и уничтожением научных открытий,

изобретений, секретов производства, новых технологий по

корыстным и другим антиобщественным мотивам (документация,

чертежи, описания открытий и изобретений и другие материалы);

- с просмотром и передачей различной документации, про-

смотром «мусора»;

- с подслушиванием и передачей служебных и других на учно-

технических и коммерческих разговоров;

- с целенаправленной «утечкой умов»» знаний, информа ции

(например, в связи с получением другого гражданства, по

корыстным мотивам).

Человеко-машинные и машинные факторы подразделяются

на:

Пассивные угрозы. Это угрозы, связанные:

- с ошибками процесса проектирования, разработки и

изготовления систем и их компонентов (здания, сооружения,

помещения, компьютеры, средства связи, операционные системы,

прикладные программы и др.);

- с ошибками в работе аппаратуры из-за некачественного ее

изготовления; с ошибками процесса подготовки и обработки

информации (ошибки программистов и пользователей из -за

недостаточной квалификации и некачественного обслужи вания,

ошибки операторов при подготовке, вводе и выводе данных,

корректировке и обработке информации).

Активные угрозы. Это:

- угрозы, связанные с несанкционированным доступом к

ресурсам автоматизированной информационной системы (вне-

сение технических изменений в средства вычислительной техники

и средства связи, подключение к средствам вычисли тельной

техники и каналам связи, хищение различных видов носителей

информации: дискет, описаний, распечаток и других материалов,

просмотр вводимых данных, распечаток, просмотр «мус ора»);

- угрозы, реализуемые бесконтактным способом (сбор элек-

тромагнитных излучений, перехват сигналов, наводимых в цепях

(токопроводящие коммуникации), визуально-оптичес кие способы

добычи информации, подслушивание служебных и научно-

технических разговоров и т. п.).

Существуют угрозы нанесения ущерба системам обработки

данных, вызываемые физическими воздействиями стихий ных

природных явлений, не зависящие от человека.

Однако более широк и опасен круг искусственных угроз,

вызванных человеческой деятельностью, среди которых, исходя из

мотивов, можно выделить [2]:

- неумышленные (непреднамеренные) угрозы, вызываемые

ошибками в проектировании, подготовке, обработке и переда че

информации (научно-технической, коммерческой, валютно-

финансовой и др.); ошибками в действиях обслуживающего

персонала, программного обеспечения, случайными сбоями в

работе средств вычислительной техники и линий связи, энер-

госнабжения, ошибками пользователей, воздействием на