Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

создавалась при проектировании, эксплуатации и под держки

функционирования КИС. В ходе работ по аудиту исполнителем

производится сбор и анализ следующих форм до кументированной

информации:

- проектная и эксплуатационная документация на КИС;

- структурные и функциональные схемы участков КИС;

- организационно-распорядительные и нормативно-техни-

ческие документы по информационной безопасности;

- организационно-штатная структура подразделения, от-

вечающего за обеспечение информационной безопасности;

- перечень сведений конфиденциального характера;

- планы восстановления функционирования КИС при воз-

никновении аварийных ситуаций;

- должностные инструкции персонала, ответс твенного за

обеспечение информационной безопасности;

- программы и планы развития и совершенствования орга-

низационных и технических мер по обеспечению информаци онной

безопасности.

Интервьюирование персонала проводится с целью получения

исходной информации о КИС, отсутствующей в докумен тированном

виде, подтверждения актуальности документированной

информации и определения уровня осведомленнос ти сотрудников

в части требований по обеспечению информа-ционной

безопасности.

Помимо проведения интервью, на данном этапе обследова ния,

проводится наблюдение за реальными процессами, свя занными с

обеспечением информационной безопасности. На блюдения могут

касаться:

- процедуры регистрации/исключения пользователей, ге-

нерации и смены паролей;

- процедуры анализа журналов аудита и реагирования на

подозрительную активность;

- порядка изменения конфигурации и обновления сис темного

программного обеспечения сетевых устройств и сер веров;

- порядка обработки заявок на предоставление дополни

тельных прав доступа;

- порядка работы с наложенными средствами защиты (меж-

сетевые экраны, системы обнаружения вторжений, антиви русы и

т.д.);

- анализа действий, предпринятых при обработке произо-

шедших инцидентов;

- анализа действий, предпринятых при аварийных ситуа циях;

- порядка доступа в серверные помещения;

- других аспектов деятельности по обеспечению информа-

ционной безопасности.

При проведении анализа конфигурации типовых рабочих мест,

сетевых устройств и ключевых серверов их перечень определяется

по согласованию с заказчиком.

Целью такого анализа является оценка соответствия ре альной

конфигурации тому, что декларируется эксплуатационной

документацией, требованиями политики безопасности и

персоналом заказчика.

Важные аспекты конфигурации, критичные с точки зрения

обеспечения информационной безопасности, документи руются и

включаются в отчет об обследовании.

Анализу подлежат параметры аутентификации и контроля

доступа, механизмы авторизации, доступа и управления,

параметры аудита, меры защиты маршрутной информации, меры

защиты от внешних атак.

После получения исходных данных готовится отчет об об-

следовании. Отчет об обследовании является основой для пос-

ледующих этапов аудита: анализа рисков и разработки реко-

мендаций.

4.3 Анализ рисков нарушения информационной безопасности

предприятия

Анализ рисков нарушения информационной безопасности

позволяет идентифицировать существующие угрозы, оценить

результаты их потенциального воздействия как на обследуемую

КИС, так и на деятельность предприятия в целом.

Проведение данного этапа является важной стадией при

аудите информационной безопасности. Анализ рисков прово дится

для оценки реальных угроз нарушения информационной

безопасности и разработки рекомендаций, выполнение которых

позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является со -

гласованный с заказчиком отчет о проведенном обследова нии.

Анализ рисков дает возможность:

- адекватно оценить существующие угрозы;

- идентифицировать критичные ресурсы КИС;

- выработать адекватные требования по защите

информации;

сформировать перечень наиболее опасных уязвимых мест,

угроз и потенциальных злоумышленников;

- получить определенный уровень гарантий, основанный

на объективном экспертном заключении.

При анализе рисков осуществляется:

- классификация информационных ресурсов;

- составление модели потенциального злоумышленника;

- анализ уязвимостей;

- идентификация и оценка угроз нарушения информаци онной

безопасности;

- оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности

идентифицированных уязвимых мест и возможности их

использования потенциальным злоумышленником для осу-

ществления несанкционированных действий.

Предлагаемый подход к анализу рисков основан на м еж-

дународных стандартах (Cobit, ISO 13335, NIST SP 800-30).

На основании информации, полученной в ходе обе лед о -

вания КИС предприятия и результатов анализа рисков раз-

рабатываются рекомендации по совершенствованию системы

защиты, применение которых позволит минимизировать риски.

4.4. Выработка рекомендаций по совершенствованию

системы защиты

При выработке рекомендаций анализируются следующие

характеристики построения и функционирования КИС:

а) организационные характеристики:

- наличие, полнота и актуальность организационно-регла-

ментных и нормативно-технических документов;

- разделение зон ответственности ролей персонала по обес -

печению информационной безопасности и его корректность;

- наличие документированных списков, описывающих пол-

номочия сотрудников по доступу к сетевым устройствам и

серверам;

- наличие планов по поддержке квалификации персонала,

ответственного за обеспечение информационной безо пасности;

- осведомленность пользователей и персонала, поддержи-

вающего функционирование КИС, о требованиях по обеспечению

информационной безопасности;

- корректность процедур управления изменениями и уста-

новления обновлений;

- порядок предоставления доступа к внутренним ресурсам

информационных систем;

- наличие механизмов разграничения доступа к докумен тации.

б) организационно-технические характеристики:

- возможности использования найденных уязвимых мест в

сетевых устройствах и серверах для реализации атак;

- наличие оперативного анализа журналов аудита и реаги -

рования на события, связанные с попытками несанкциониро-

ванного доступа, оценка полноты анализируемых событий, оценка

адекватности защиты журналов аудита;

- наличие процедур по обнаружению и фиксации инциден тов

информационной безопасности и механизмов расследова ния таких

инцидентов;

- наличие процедуры и документирование любых действий,

связанных с модификацией прав доступа, изменениями пара-

метров аудита;

- периодичность контроля защищенности сетевых устройств и

серверов;

- наличие процедуры отслеживания новых уязвимостей в

системном программном обеспечении и его обновления;

- ограничение доступа в серверные помещения;

- адекватность времени восстановления в случае сбоев кри-

тичных устройств и серверов;

- наличие зоны опытной эксплуатации новых решений,

процедуры тестирования и ввода в промышленную эксплуа тацию.

в) технические характеристики, связанные с архитек турой

КИС:

- топология и логическая организация сетевой инфраструк-

туры, адекватность контроля логических путей доступа, адек-

ватность сегментирования;

- топология и логическая организация системы защиты пе-

риметра, адекватность контроля доступа из внешних сетей;

- топология, логическая организация и адекватность контроля

доступа между сегментами;

- наличие узлов, сбои на которых приведут к невозможно сти

функционирования значительной части в КИС;

- наличие точек удаленного доступа к информационным

ресурсам КИС и адекватность защиты такого доступа.

г) технические характеристики, связанные с конфигурацией

сетевых устройств и серверов КИС:

- права доступа персонала к сетевым устройствам и серве рам,

оценка минимально необходимых прав, которые требуются для

выполнения производственных задач;

- соответствие списков контроля доступа на критичны.*

сетевых устройствах документированным требованиям;

- соответствие конфигурации операционных систем и гс-

пользованию штатных механизмов информационной безопасности

рекомендациям производителя и лучшей практике;

- наличие неиспользованных сервисов или сервисов, содер-

жащих известные уязвимости;

- соответствие механизма и стойкости процедуры аутенти-

фикации - критичности ресурсов, оценка адекватности парольной

политики и протоколирования деятельности опера» торов.

д) технические характеристики, связанные с использованием

встроенных механизмов информационной безопасности:

- требованиям и оценка адекватности существующей

конфигурации;

- оценка адекватности использования криптографической

защиты информации и процедуры распределения ключевой

информации;

- наличие антивирусной проверки трафика, а также анти-

вирусного контроля на рабочих станциях пользователей;

- наличие резервных копий файлов конфигурации и обра» зов

дисков для критичных сетевых устройств и серверов;

- наличие источников бесперебойного питания для критичных

сетевых устройств и серверов и их адекватность требованиям по

времени бесперебойной работы.

Рекомендации по результатам аудита информационной

безопасности могут включать предложения и рекомендации:

- по совершенствованию архитектуры и организации пост-

роения КИС;

- по изменению конфигурации существующих сетевых ус-

тройств и серверов;

- по изменению конфигурации существующих средств защиты;

- по активации дополнительных штатных механизмов бе-

зопасности на уровне системного программного обеспечения;

- по использованию дополнительных средств защиты;

- по разработке организационно-распорядительных и нор-

мативно-технических документов;

- по разработке программы осведомленности сотрудников в

части информационной безопасности;

- по пересмотру ролевых функций персонала и зон ответ-

ственности;

- перечень мероприятий по поддержке и повышению ква-

лификации персонала;

- периодичность и содержание работ по проведению анали за

рисков и аудита по информационной безопасности;

- по этапам развития системы информационной безопасности

заказчика.

При разработке рекомендаций делается ссылка на те уяз-

вимые места, которые устраняются или минимизируются для

данной рекомендации, а также на те риски, которые могут быть

снижены за счет внедрения рекомендаций.

Перечень рекомендаций согласуется с заказчиком на пред мет

возможности их реализации. Определяются рекоменда ции,

которые могут быть реализованы заказчиком самостоя тельно и

рекомендации, для реализации которых необходимо привлечение

внешнего подрядчика. Совместно с заказчиком определяются

этапы реализации рекомендаций и определя ются точки и

механизмы контроля.

Отдельно стоит подчеркнуть, что оценке и выдаче реко -

мендаций подлежит не только документированная деятельность по

обеспечению информационной безопасности, но и деятельность,

осуществляемая персоналом заказчика на недокументированной

основе. В последнем случае в отчете об обследовании эксперты

исполнителя производят документирование такой деятельности.

Глава 5 Организация системы информационной

безопасности предприятия

Понятие «безопасность» весьма широко и многообразно и

покрывает самые разные сферы деятельности, начиная с эко-

номической безопасности и заканчивая вопросами физической

защиты персонала и охраны зданий и сооружений. Среди

комплекса направлений деятельности присутствует и группа задач,

связанная с обеспечением безопасности информацион ных

ресурсов предприятия и относимая, в соответствии с устоявшейся

практикой, к понятию «информационная безопас ность» [43].

Современное состояние обеспечения безопасности инфор-

мации в корпоративных структурах характеризуются двумя

основными особенностями [50].

С одной стороны рынок организационных и технических

средств и методов защиты представляет широчайшие возмож ности

для выбора отечественных и зарубежных средств обеспечения

безопасности.

С другой стороны слабое понимание и недооценка значи мости

и ценности информации для корпоративных структур различной

формы собственности, упрощенный подход к организации

деятельности службы безопасности, не говоря уже о комплексных

решениях по защите информации, системном анализе и системах

управления безопасностью объектов защиты.

Для владельца одинаково важно предотвратить утечку

информации по обусловленному каналу связи и через мусорную

корзинку, избежать уничтожения информации в базах данных через

шлюз Internet или через пожар от окурка, небрежно брошенного

нерадивым сотрудником.

Следует учитывать, что обеспечение безопасности имеет

множество аспектов оно имеет как организационное, техни ческое,

так и «человеческое» лицо.

Руководство предприятия однозначно должно понимать, что

недооценка действующих или предполагаемых угроз может

привести к ущербу, величина и вероятность которого растет

пропорционально успехам и значимости предприятия в

иерархической лестнице общества.

Практика показывает, что лучше учиться на ошибках Других и

исповедовать принцип Principiis obsta-противодействуй вначале.

Это обойдется значительно дешевле.

5.1. Постановка задачи и порядок ее решения

Решение проблемы обеспечения безопасности информации на

современном уровне требует системного подхода, который

предполагает систематизацию определенных задач и порядок их

решения. Что защищать? Где защищать? Когда защищать? От чего

защищать? И, наконец, чем защищать?

Рассмотрим порядок и основные составляющие, которые

необходимо учитывать при системном анализе объекта защиты.

Будем рассматривать предприятие как объект защиты, состоящий

из: -

- вида деятельности или класса решаемых задач, порож-

дающих информацию с ограниченным доступом и необходи мость

ее защиты;

- носителей информации различной физической природы

(персонал, технические устройства, твердые носители, поля,

химические среды и т.д.);

- обусловленных каналов связи между носителями инфор-

мации, обеспечивающих функционирование объекта защиты;

- протоколов хранения, обработки и обмена информацией

между носителями;

- функциональных параметров объекта защиты и его

элементов, характеризующих режимы хранения, обработки и

передачи информации с ограниченным доступом и их изме нение во

времени;

- физического пространства, в котором располагаются но -

сители и каналы связи (здания, сооружения, транспорт, тер ритория

и т.д.);

- требований по обеспечению безопасности информации.

Изучение поведения информации в носителях и ее движения

по обусловленным каналам связи позволяет получить модель

функционирования объекта защиты. Такая модель дает

возможность ответить на первые три вопроса, Что? Где? Ког да? и

таким образом обеспечить наблюдаемость объекта защиты как

объекта управления безопасностью.

С позиций системного анализа этот ответ представляет со бой

не что иное, как модель всего объекта защиты, адекватность,

полнота и точность которой будет, скорее всего, опре деляться

разумной достаточностью.

Очевидно, что только теперь можно наиболее полно отве тить

на вопрос «От чего защищать?», т.е. определить действующие и

предполагаемые угрозы, выявить наиболее веро ятные каналы

утечки информации.

Проведение аудита системы информационной безопасности

предприятия дает возможность провести наиболее обосно ванный

выбор организационных и технических средств за щиты, как на

этапе создания объекта, так и на этапе его эксплуатации и, таким

образом, обеспечить свойство управ ляемости объекта защиты как

объекта управления.

Общими характеристиками для организационных и тех-

нических средств защиты являются стоимость защиты, сто имость

внедрения, стоимость эксплуатации, время внедрения, степень

защиты.

Следовательно, модель объекта защиты как системы, дей -

ствующие и предполагаемые угрозы, организационные и тех-

нические средства и методы защиты определяют содержание и

порядок проведения деятельности по обеспечению безопасности

корпорации.

Рассмотрение основных элементов и свойств объекта за щиты

как системы позволяет обоснованно утверждать, что предприятие

возможно представить как сложную систему с точки зрения

обеспечения безопасности, так как ему присущи 4 характерных

свойства, являющихся фундаментальными в определении сложной

системы в терминах теории множеств. Это целостность и

членимость, наличие обусловленных связей, определенная

организация и наличие интегра-тивных качеств [50].

Системный анализ позволяет осуществить действительно

комплексный подход к обеспечению безопасности, включая

статическое и динамическое состояния объекта защиты, обес-

печить полноту и непрерывность действий по обеспечению

безопасности, разработать общий подход к проектированию

комплексных систем управления безопасностью.

Одним из обобщенных параметров, характеризующих ус-

тойчивость информационной инфраструктуры, является показатель

«живучести», включающий в качестве компонентов безопасность,

надежность и доступность [43]. Под «живучес тью» следует

подразумевать способность инфраструктуры достигать

поставленной цели постоянным (непрерывным ) способом в

условиях атак, сбоев и аварий. Целью же является устойчивость и

процветающая деятельность организации в целом.

Естественно, достижение эффекта только в одном из ком -

понентов (в том числе, и в безопасности информационных систем)

не даст руководству необходимых гарантий того, что

информационная инфраструктура, а потому и само предпри ятие

будет функционировать надлежащим образом.

Как следствие, исключительную практичность приобрета ет

вопрос о методах и критериях оценки безопасности инфор-

мационных систем. Система оценок должна носить интеграль ный

характер, так как руководство предприятия по сути дела интересует

не столько конкретный уровень безопасности в частных

технологических вопросах, сколько общий уровень качества

функционирования самого предприятия, обеспечиваемый, в том

числе, и уровнем безопасности информацион ных систем.

С практической точки зрения этот вопрос - самый тяжелый.

Имеющиеся подходы к проблеме создания инструмен тов и методик

оценки интегрального уровня информационной безопасности

организации весьма противоречивы. Тем не менее, перечислим

существующие подходы [43]:

- использование стандартов и норм аудита финансовых

организаций, включая аудит их информационных систем и аудит

безопасности этих систем;

- проведение аудита ИТ-инфраструктуры организации по

стандарту безопасности компьютерных систем ISO 17799;

- применение для оценки защищенности информационных

систем с тандартов ISO 15408 «Открытые критерии»;

- использование для оценки защищенности информацион ных

систем частных методик и критериев, предназначенных для оценки

криптографической стойкости алгоритмов шифрования и

защищенности информации от у течки по техническим каналам.

При этом происходит фактическая подмена модели угроз, в

центре которой стоят проблемы борьбы с легальным пользо-

вателем системы (он, как уже упоминалось, и является основным

источником проблем), моделью соответствующих ве домств, в

центре которых стоят субъекты несанкционирован ного доступа.

При таком подходе фактически одни и те же вопросы в

организации подвергаются различным проверкам по различ ным

методикам, по итогам которых выносятся определен ные суждения

об уровне безопасности отдельных подсистем. Руководство как

было, так и остается в некотором неведении в отношении того,

насколько правильно организована работа, достаточен ли уровень

безопасности, не обесценились ли вложения в эту сферу, или,

напротив, не слишком ли много средств расходуется на

безопасность.

Применительно к целям руководства, которое объективно

заинтересованно в обеспечении устойчивого и эффективного

функционирования организации, безопасность является обес-

печивающей основные задачи функцией, проявляясь при этом на

всех уровнях функционирования организации и оказывая прямое

воздействие на ее деятельность в целом.

С этой точки зрения важнейшим свойством безопасности в

обеспечении интересов организации в целом оказывается