Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

3.6.3 Перехват факсимильной информации

Перехват факс-сообщений принципиально не отличается от

перехвата телефонных сообщений. Задача дополняется только

обработкой полученного сообщения. Обычно комплексы перехвата

и регистрации факс имильных сообщений состоят из:

- ПЭВМ с необходимыми, но вполне доступными рессур-сами;

- пакет программного обеспечения;

- стандартный аудио контроллер (SoundBlaster);

- устройство подключения к линии (адаптер).

Комплексы обеспечивают автоматическое обнаружение (оп -

ределение речевое или факсимильное сообщение) регистра цию

факсимильных сообщений на жесткий диск с последующей

возможностью автоматической демодуляции, дескремб -лирования

зарегистрированных сообщений и вывода их на дисплей и печать.

3.6.4 Перехват разговоров по радиотелефонам и сотовой связи

Перехват разговоров по радиотелефонам не представляет

трудности. Достаточно настроить приемник (сканер) на час тоту

несущей радиотелефона, находящегося в зоне приема и

установить соответствующий режим модуляции.

Для перехвата переговоров, ведущихся по мобильной сото вой

связи необходимо использовать более сложную аппарату ру. В

настоящее время существуют различные комплексы контроля

сотовой системы связи стандартов AMPS, DAMPS, NAMPS, NMT-

450, NMT-4501, разработанных и изготовленных в России и странах

Западной Европы. Комплексы позволяют обнаружи вать и

сопровоясдать по частоте входящие и исходящие звонки абонентов

сотовой связи* определять вх одящие и исходящие но мера

телефонов абонентов, осуществлять слежение по частоте за

каналом во время телефонного разговора, в том числе при пере-

ходе из соты в соту. Количество задаваемых для контроля або-

нентов определяется составом аппаратуры комплекса и версией

программного обеспечения и может достигать до 16 и более.

Имеется возможность вести автоматическую запись пере-

говоров на диктофон, вести на жестком диске ПЭВМ про токол

записей на диктофон, осуществлять полный мониторинг всех

сообщений, передаваемых по служебному каналу, а так же

определять радиослышимость всех базовых станций в точке их

приема с ранжировкой по уровням принимаемых от базовых

станций сигналов.

Стоимость подобных комплексов в зависимости от стан дарта

контролируемой системы связи и объемов решаемых задач может

составлять от 5 до 60 тысяч долларов. Перехват GSM-связи

значительно сложнее. Стандарт GSM (Groupe Speciale Mobile),

разработанный Европейским институ том телекоммуникационных

стандартов (European Telecommunications Standard institute), на

сегодняшний день является самым распространенным в мире - он

используется в 79 млн. сотовых аппаратов, преимущественно в

странах Европы и Азии. До сих пор считалось, что телефоны GSM

обладают столь надежной защитой, что их нельзя не только

прослушать, но и размножить, то есть сделать несколько

аппаратов, одновременно пользующихся одним и тем же номером.

Однако, сейчас на рынке СНГ предлагаются комплексы перехвата

сотовой GSM-связи производства Германии, Англии и Рос сии.

Стоимость таких комплексов российской разработки до статочно

высокая. Стоимость комплексов разработки Германии и Англии

почти на порядок выше.

3.6.5 Использование сети 220 В для передачи а кустической

информации из помещений

Для этих целей применяют так называемые сетевые «зак-

ладки». К этому типу «закладок» чаще всего относят устрой ства,

которые встраиваются в приборы, питающиеся от сети 220 В. или

сетевую арматуру (розетки, удлинители и т.д.). Передающее

устройство состоит из микрофона, усилителя и собственно

передатчика несущей низкой частоты. Частота несущей частоты

обычно используется в диапазоне от 10 до 350 кГц. Передача и

прием осуществляется по одной фазе или, если фазы разные, то

их связывают по высокой частоте через разделительный

конденсатор. Приемное устройство может быть изготовлено

специально, но иногда применяют до работанные блоки бытовых

переговорных устройств, которые сейчас продаются во многих

специализированных магазинах электронной техники. Сетевые

передатчики подобного класса легко камуфлируются под

различного рода электроприборы, не требуют дополнительного

питания от батарей и трудно обнаруживаются при использовании

поисковой аппаратуры, широко применяемой в настоящее время.

3.6.6 Перехват пейджинговых сообщений

В настоящее время разработаны и изготавливаются про-

граммно-аппаратные комплексы мониторинга пейджинговых

сообщений, в действующих на территориях стран СНГ систе мах

радиопейджинга стандарта POCSAG, FLEX, и др. Технология

пейджинга позволяет организовать прослушивание (мо ниторинг)

пейджинговых сообщений с помощью несложной аппаратуры

(сканирующий приемник плюс персональный ком пьютер -I-

специальное программное обеспечение). В связи с этим

пеиджинговые компании контролируются всеми, кому не лень, в т.ч.

и криминальными структурами и частными детективными фирмами,

занимающихся сбором информации по заявкам клиентов.

Комплекс мониторинга (перехвата) пейджинговых сообще ний

позволяет осуществлять прием и декодирование текстовых и

цифровых сообщений, передаваемых в системе радио-

пейджинговой связи и сохранять все принятые сообщения с

указанием даты и времени передачи на жестком диске персо-

нального компьютера в архивном файле. При этом может

производиться фильтрация потока сообщений, выделение данных,

адресованных конкретно одному или ряду абонентов по априорно

известным или экспериментально определенным кеп-кодам.

Параметры списков контролируемых абонентов мож но оперативно

изменять.

Итак, выше были рассмотрены возможные каналы утечки

информации, которые можно отнести к разряду наиболее

вероятных для любого государственного или коммерческого

предприятия, фирмы, банка, организации, учреждения. По-

лученные сведения можно использовать на первом этапе по-

строения комплексной системы защиты информации, то есть при

анализе угроз утечки конфиденциальной информации. Разумеется,

по возможности все выявленные и потенциаль ные каналы утечки

информации необходимо перекрыть организационными или

техническими мерами, но для этого нужна постоянная и серьезная

работа в этом направлении квалифицированных специалистов в

области технической защиты информации.

Глава 4 Аудит системы информационной

безопасности предприятия

Необходимым атрибутом успешного функционирования

большинства государственных и частных структур является их

собственная информационная безопасность. В зависимости от

рода деятельности предприятия, организации и т. д. необходимый

уровень защищенности может варьировать в широких пределах,

однако для его достижения однозначно необходимо использование

соответствующего комплекса специальных средств и мероприятий.

В настоящее время оценка уровня информационной за-

щищенности объекта (некоторой территории, здания, по мещения,

технического средства или их комплекса и т. п.), его сопоставление

с объективно необходимым уровнем, а в случае их несоответствия

подбор оптимального комплекса средств и мероприятий по

повышению информационной безопасности предс тавляет собой

весьма сложную нау коемкую задачу, требующую от исполнителя

наличия не только глубоких предметных знаний и практического

опыта, но и даже интуиции. В связи с этим ее решение было и

остаѐтся в значительной степени прерогативой ограниченного

круга специалистов. Эта задача, с одной стороны, характеризуется

высокой стоимостью процедуры анализа и оптимизации

информационной защищенности, с другой значительной

зависимостью конечного результата от субъективного фактора, что,

очевидно, представляет собой отрицательный момент.

Темпы развития современных информационных технологий

значительно опережают темпы разработки рекомендательной и

нормативно-правовой базы руководящих документов, действующих

на территории России. Поэтому решение вопроса об оценке уровня

защищенности информационных активов компании обязательно

связано с проблемой выбора критериев и показателей

защищенности, а также эффективности корпоративной системы

защиты информации. Вследствие этого, в дополнение к

требованиям и рекомендациям стандартов, Конституции и

федеральных законов, руководящих документов Гостехкомиссии

России и ФАПСИ, приходится использовать ряд международных

рекомендаций. В том числе адаптировать к отечественным ус -

ловиям и применять на практике методики международных

стандартов, таких, как ISO 17799, 9001, 15408, BSI и другие, а также

использовать методики управления информационными рисками в

совокупности с оценками экономической эффективности

инвестиций в обеспечение защиты информации компании.

Современные методики управления рисками, проектирования

и сопровождения корпоративных систем защиты информации

должны позволять решить ряд задач перспектив -нош

стратегического развития компании [59].

Во-первых, количественно оценить текущий уровень ин-

формационной безопасности компании, что потребует выяв ления

рисков на правовом, организационно-управленческом,

технологическом, а также техническом уровнях обеспечения

защиты информации.

Во-вторых, разработать и реализовать комплексный план

совершенствования корпоративной системы защиты инфор мации

для достижения приемлемого уровня защищенности

информационных активов компании. Для этого необходимо:

- обосновать и произвести расчет финансовых вложений в

обеспечение безопасности на основе технологий анализа рис ков,

соотнести расходы на обеспечение безопасности с потен циальным

ущербом и вероятностью его возникновения;

- выявить и провести первоочередное блокирование наибо лее

опасных уязвимостей до осуществления атак на уязви мые ресурсы;

- определить функциональные отношения и зоны ответ-

ственности при взаимодействии подразделений и лиц по обес-

печению информационной безопасности компании создать

необходимый пакет организационно-распорядительной доку-

ментации;

- разработать и согласовать со службами организации, над-

зорными органами проект внедрения необходимых комплек сов

защиты, учитывающий современный уровень и тенденции развития

информационных технологий;

- обеспечить поддержание внедренного комплекса защиты в

соответствии с изменяющимися условиями работы органи зации,

регулярными доработками организационно-распорядительной

документации, модификацией технологических процессов и

модернизацией технических средств защиты.

Решение названных задач открывает новые широкие воз-

можности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и

независимо оценить текущей уровень информационной бе-

зопасности компании, обеспечить формирование единой кон цепции

безопасности, рассчитать, согласовать и обосновать необходимые

затраты на защиту компании. На основе полу ченной оценки

начальники отделов и служб смогут вырабо тать и обосновать

необходимые организационные меры (состав и структуру службы

информационной безопасности, положение о коммерческой тайне,

пакет должностных инструкций и инструкции действия в нештатных

ситуациях), Менеджеры среднего звена смогут обосн ованно

выбрать средства защиты информации, а также адаптировать и

использовать в своей работе количественные показатели оценки

информационной безопасности, методики оценки и управле ния

безопасностью с привязкой к экономической эффектив ности

компании.

Практические рекомендации по нейтрализации и локали зации

выявленных уязвимостей системы, полученные в результате

аналитических исследований, помогут в работе над проблемами

информационной безопасности на разных уровнях и, что особенно

важно, определить основные зоны ответственности, в том числе

материальной, за ненадлежащее ис пользование информационных

активов компании.

4.1. Разновидности аналитических работ по оценке

защищенности

Аналитические работы в области информационной безо-

пасности могут проводиться по следующим направлениям [59]:

1) «Комплексный анализ информационных систем компании и

подсистемы информационной безопасности на правовом,

методологическом, организационно-управленческом,

технологическом и техническом уровнях. Анализ рисков».

2) «Разработка комплексных рекомендаций по методоло-

гическому, организационно-управленческому, технологичес кому,

общетехническому и программно-аппаратному обеспечению

режима ИС компании»,

3) «Организационно-технологический анализ ИС компании»;

4) «Экспертиза решений и проектов».

5) «Работы по анализу документооборота и поставке типо вых

комплектов организационно-распорядительной документации».

6) «Работы, поддерживающие практическую реализацию

плана защиты».

7) «Повышение квалификации и переподготовка специа-

листов».

Кратко рассмотрим каждое из них.

Исследование и оценка состояния информационной безо-

пасности ИС и подсистемы информационной безопасности

компании предполагают проведение их оценки на соответствие

типовым требованиям руководящих документов Гостехкомис-сии

при Президенте РФ, типовым требованиям международ ных

стандартов ISO и соответствующим требованиям компании-

заказчика. К первой области также относятся работы» проводимые

на основе анализа рисков, инструментальные исследования

(исследование элементов инфраструктуры компьютерной сети и

корпоративной информационной системы на наличие уязвимостей,

исследование защищенности точек доступа в Internet). Данный

комплекс работ также включает в себя и анализ документооборота,

который, в свою очередь, можно выделить и как самостоятельное

направление.

Рекомендации могут касаться общих основополагающих

вопросов обеспечения безопасности информации (разработка

концепции информационной безопасности, разработка кор-

поративной политики охраны информации на организацион но-

управленческом, правовом, технологическом и техничес ком

уровнях), применимых на многих компаниях. Также рекомендации

могут быть вполне конкретными и относиться к деятельности одной

единственной компании (план защиты информации,

дополнительные работы по анализу и созданию

методологического, организационно-управленческого, техно-

логического, инфраструктзфного и технического обеспечения

режима информационной безопасности компании).

Организационно-технологический анализ ИС компании в

основном предполагает проведение оценки соответствия типовым

требованиям руководящих документов РФ к системе ин-

формационной безопасности компании в области организаци онно-

технологических норм и анализ документооборота ком пании

категории «конфиденциально» на соответствие требова ниям

концепции информационной безопасности, положению о

коммерческой тайне, прочим внутренним требованиям компа нии по

обеспечению конфиденциальности информации. При этом

собственно внутрифирменная концепция информационной

безопасности и положение о коммерческой тайне должны

соответствовать действующему законодательству, а именно

требованиям Конституции РФ, ст.ст. 128 и 139 Гражданского

кодекса РФ, Федерального закона «Об информации, информа-

тизации и защите информации», других нормативных актов.

Правильная экспертиза решений и проектов играет важ ную

роль в обеспечении функционирования всей системы ин-

формационной безопасности и должна соответствовать требо-

ваниям по обеспечению информационной безопасности экс-пертно-

документальным методом. Экспертиза проектов подсистем -

требованиям по безопасности экспертно-документаль-ным

методом.

Работы по анализу документооборота и поставке типовых

комплектов организационно-распорядительной документации, как

правило, включают два направления:

- анализ документооборота компании категории «конфи-

денциально» на соответствие требованиям концепции инфор-

мационной безопасности, положению о коммерческой тайне,

прочим внутренним требованиям компании по обеспечению

конфиденциальности информации;

- поставку комплекта типовой организационно-распоряди-

тельной документации в соответствии с рекомендациями кор-

поративной политики ИБ компании на организационно-уп-

равленческом и правовом уровне.

Работы, поддерживающие практическую реализацию плана

информационной безопасности, в частности, заключаются в

следующем:

- разработка технического проекта модернизации средств

защиты ИС, установленных на фирме по результатам прове-

денного комплексного аналитического исследования корпо ративной

сети;

- подготовка компании к аттестации (к аттестации объектов

информатизации заказчика на соответствие требованиям

руководящих документов Гостехкомиссии при Президенте РФ а

также на соответствие требованиям безопасности междуна родных

стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при

обеспечении требований информационной безопасности

компании);

- разработка расширенного перечня сведений ограничен ного

распространения как части политики безопасности;

- разработка пакета организационно-распорядительной

документации в соответствии с рекомендациями корпоратив ной

политики ИБ компании на организационно-управленческом и

правовом уровне;

- поставка комплекта типовой организационно-распоряди-

тельной документации в соответствии с рекомендациями кор-

поративной политики ИБ компании на организационно-уп-

равленческом и правовом уровнях.

Уровень информационной безопасности компании во мно гом

зависит от квалификации специалистов. В целях повышения

квалификации и переподготовки кадров рекомендуется проводить

тренинги по применению средств защиты информации, технологии

защиты информации, обучать сотруд ников основам экономической

безопасности.

Немаловажную роль играет и ежегодная переоценка состояния

информационной безопасности компании.

Проведение аудита состояния информационной безопасно сти

корпоративной информационной системы (КИС) заказчика

осуществляется в три этапа [32]:

- проведение комплексного обследования КИС;

- проведение анализа рисков;

- разработка рекомендаций по совершенствованию системы

защиты КИС и плана внедрения рекомендаций.

4.2 Комплексное обследование корпоративной

информационной системы

Комплексное обследование корпоративной информацион ной

системы проводится с целью сбора информации о существующем

положении дел по обеспечению информационной безопасности

для всех ключевых составляющих КИС пред приятия.

Информация, получаемая при проведении обследования,

позволяет выявить возможные слабые места в системе ин-

формационной безопасности, определить адекватность и эф-

фективность используемых организационно-технических мер,

применяемых для защиты ресурсов в КИС.

На данном этапе уточняются цели и задачи аудита, фор-

мируется рабочая группа. В состав рабочей группы должны входить

сотрудники предприятия, которые обеспечивают пред ставление

всей необходимой информации, контролируют процессы

проведения обследования, а также участвуют в согласовании его

результатов (промежуточных и конечных). Учас тники рабочей

группы от Исполнителя отвечают за квалифицированное

проведение работ по обследованию предметных областей в

соответствии с определенными целями и задачами проекта,

согласуют процессы и результаты проведения обследования.

Задачи, решаемые при проведении комплексного обследо -

вания:

- сбор и ан&яиз документированной информации;

- анализ и изучение существующей организационно - штатной

структуры предприятия, а также структуры и порядка

функционирования КИС;

- интервьюирование персонала;

- анализ конфигурации типовых рабочих мест, ключевых

устройств и серверов.

На этапе комплексного обследования собранная информа ция

анализируется на предмет непротиворечивости, полноты и

достаточности. По результатам анализа определяются пос-

ледующие действия формирование запроса на получение до-

полнительной информации, проведение дополнительных ис-

следований.

Представители исполнителя получают существующую до-

кументированную информацию о функционировании КИС. Эта

информация выборочно проверяется посредством интервью и в

процессе анализа конфигурации сетевого оборудования i.

серверов. Существующие недокументированные процессы,

существенные с точки зрения информационной безопасности,

которые выявляются по результатам интервью и визуального

наблюдения, документируются и включаются в отчет об

обследовании.

Сбор и анализ информации с последующей ее оценкой, ана-

лизом рисков и выдачей рекомендаций осуществляется по таким

основным компонентам КИС, как:

- топология КИС и сетевые соединения;

- архитектура сопряжения с внешними информационными

ресурсами и пользователями;

- типы информационных ресурсов, хранимых и обрабаты-

ваемых на серверах заказчика;

- сведения о конфиденциальности и критичности данных;

- информационные потоки, циркулирующие в КИС, ха-

рактеристика передаваемой информации;

- системное программное обеспечение, организация и уп-

равление сетевыми сервисами;

- использование штатных средств операционных систем и

сетевого оборудования;

- специализированные программно-технические средства

защиты информации;

- существующие методы управления информационной бе-

зопасностью;

- концептуальные документы по информационной безопас-

ности;

- специализированные средства защиты ресурсов КИС;

- организационно-штатная структура подразделения,

отвечающего за информационную безопасность;

- функции и зоны ответственности персонала;

- принципы и способы взаимодействия подразделения, от-

ветственного за обеспечение информационной безопасности, с ИТ-

подразделениями;

- другие организационные и технические меры защиты

информации.

Отправной точкой при сборе и анализе документированной

информации КИС заказчика является существующая на момент

обследования документированная информация, кото рая