Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

возможность обеспечения ее прозрачности и контролируемости.

Это необходимо учитывать при разработке политики бе зопасности

информационных систем.

Под прозрачностью здесь следует понимать возможность

получения объективной и целостной информации на всех уров нях

организации в ограниченные сроки без создания конфликтной

ситуации.

Под контролируемостью понимают возможность получения в

ограниченные сроки объективной оценки результатов решений,

принимаемых на данном уровне организации, и внесения

соответствующих изменений в действия сотрудников и

подразделений в целях получения желаемого результата.

Реализация этих свойств позволяет руководству организации:

- сосредоточить свое внимание на наиболее важных аспек тах

обеспечения безопасности организации;

- принимать решения на основе объективной и целостной

информации;

- контролировать возникающие риски;

- добиваться с большей эффективностью исполнения при-

нятых решений;

- отслеживать качество принимаемых решений и оперативно

вносить необходимые коррективы;

- значительно повысить предсказуемость результатов при-

нимаемых решений.

К настоящему времени в нашей стране еще не сложился

стандартный подход к оценке эффективности работы подраз-

делений информационной безопасности и определенный взгляд на

роль факторов, оказывающих влияние на уровень интег ральной

безопасности организации. Регулирующие ведомства пока не

подают признаков того, что они готовы трансформировать свои

взгляды в сторону более реального учета проблем и потребностей

гражданского сектора.

Все это, несомненно, влияет на выработку политики безо-

пасности информационных систем организации и ведет к не-

обходимости учета следующих факторов:

- определения целей защиты;

- определения объекта защиты;

- определения актуальных угроз, субъектов этих угроз, выбора

профилей защиты;

- разработки методов определения качества защиты или

выбора уже существующих систем критериальных оценок;

- получения гарантий защищенности системы.

В условиях сложившейся неопределенности достаточно

распространена ситуация, когда организация, заказывая ус луги в

сфере безопасности информационных систем, плохо представляет

себе роль и место конкретной услуги, равно как и ее вклад в

интегральный уровень безопасности. Как следствие, резко

увеличиваются затраты на обеспечение безопасности при

практической неопределенности в оценке достигнутого эффекта.

При этом парадокс состоит в том, что при дальнейших вложениях

неопределенность оценок практически не снижается, а сложность

реализации мер безопасности растет.

В практической работе по организации и поддержанию уровня

безопасности адекватного потребностям организации

(защищенности, сохранности) информационных ресурсов при

разработке политики безопасности в условиях неопределен ности и

неоднозначности действующей в стране концептуаль ной,

законодательной и нормативной базы волей-неволей приходится

сталкиваться с весьма разноплановыми факторами, влияющими на

формирование этой политики.

Следует также отметить, что любой заказчик услуг бе-

зопасности находится под сильным интеллектуальным дав лением

поставщиков таких услуг, и в первую очередь, поставщиков

оборудования и программных средств безопасности, а эти

средства ориентированы на самую распространенную модель угроз

- модель НСД. В результате, при отсутствии собственной

адекватной реалиям политики безопасности заказчик приобретает

те услуги, которые предлагают поставщики, а не те, которые

необходимы самой организации. Между тем, уровень многих фирм,

даже владеющих всеми необходимыми лицензиями, далек от со-

вершенства.

5.2 Многоуровневая модель объектов информационной

безопасности

Лучше понять комплекс упомянутых проблем, выстроить

эффективную политику безопасности организации, а также

политику работы с поставщиками услуг, помогает многоуровневая

модель структуризации объектов информационной бе зопасности,

суть которой состоит в следующем.

Анализ информационной инфраструктуры организации

позволяет выделить семь уровней технологий и реализуе мых ими

процессов, для которых принципиально различаются актуальные

угрозы, агенты этих угроз, методы защиты, критерии оценки

эффективности и, наконец, терминология [43].

Эта модель несколько условна. Не во всех случаях наличе -

ствуют все обозначенные уровни, однако в большой организа ции,

владеющей собственной корпоративной сетью, все уров ни

прослеживаются совершенно определенно.

Как правило, предложения по очень хорошим, эффектив ным и

сертифицированным средствам обеспечения безопас ности не

выходят за III уровень и защищают от угроз, исходящих от субъекта

НСД.

Таблица 5.1 Уровни информационной безопасности

семиуровневой модели объектов информационной безопасности

Номер

уровня

Название уровня

VII

Уровень бизнес-процессов

Уровень приложений

Уровень систем управления базами

данных

Уровень операционных систем

III

Уровень сетевых приложений

Сетевой уровень

Физический уровень

Однако парадокс ситуации заключается в том, что наибо лее

опасным субъектом угроз в организации является легаль ный

пользователь, допущенный к ее ресурсам (в частности, это

подтверждает с татистика по преступлениям в банковской сфере.)

Значение субъекта легального доступа резко возрастает от III к VI

уровню - именно там, где практически нет специальных средств

защиты и вся безопасность базируется на настройках систем

управления доступом, аудита, обеспечения целостности программ

и штатности выполняемых бизнес-процессов.

На устойчивость обеспечивающих безопасность настроек

влияет их доступность большому числу администраторов си стем и

программистов. Так как степеней свободы у специали стов данной

категории много, а мониторинг их деятельности, как правило,

весьма слаб, в этой зоне налицо отсутствие «прозрачности» и

высокая степень риска. Иными словами, на этих уровнях резко

возрастает роль «человеческого фактора», самой нестабильной и

изменчивой составляющей во всей совокупности проблем,

влияющих на безопасность.

Еще тяжелее ситуация на VII уровне. Здесь царит так на-

зываемый «пользователь», т.е. «субъект легального доступа». Для

него компьютер - не более чем вспомогательный инстру мент на его

рабочем столе, со средствами НСД он сталкивается только при

наборе пароля на вход и при его замене, в чужие каталоги не

лазает, о проблемах настроек маршрути заторов сети и сетевой

безопасности понятия не имеет. Кроме того, как правило, он

располагает разнообразными средствами коммуникаций (факс,

телефон, электронную почту, Internet) и, само собой, может

скопировать данные на отчуждаемый носитель. ИТ-служба

постоянно заботится о том, чтобы пре доставить ему еще больше

услуг, больше удобств. Совсем иная картина в сфере

безопасности. Подразделение безопасность информационных

систем доступные ему инструменты уже применило, все остальное,

как правило, формально не подпадает под его компетенцию. В

компетенцию какой службы попадает проблема злоупотребления

легальным доступом? Тут нет готовых решений. К сожалению,

можно дать рекомендации лишь общего характера.

В организации должна существовать детальная админи-

стративная политика в отношении персонала. Эта полити ка должна

подробно регламентировать и минимизировать права доступа

сотрудников к информации, цели этого дос тупа, требования по

регламенту использования доступной информации.

Административная политика должна подкрепляться не менее

детальным аудитом действий пользователя с доверенной ему

информацией. Таким аудитом должны быть охваче ны не одни

пользователи, но все, кто имеет легальные права доступа к

информации, настройкам оборудования, базам дан ных,

операционным системам и т.д. Расхождение административной

политики и аудита означает наличие «конфликта интересов»

организации и ее сотрудника.

Необходимо соблюдение принципа «прозрачности»: сотруд ник

должен внятно объяснить все свои действия с информацией,

выявленные системой аудита.

Должен существовать свод корпоративных морально-эти-

ческих требований, четко регламентирующих правила пове дения

сотрудника, позволяющих выявить «конфликт интересов» и

дающих возможность руководству применить, в слу чае

необходимости, административные меры взыскания.

С персоналом должна проводиться воспитательная рабо та,

целью которой является выработка у людей этики корпо ративного

поведения и отношения к ресурсам организации.

На каждом уровне иерархии специалисты, работающие с

информационными ресурсами, используют свою, присущ ую только

этому уровню терминологию. Из нее и формируется понятийный

аппарат в области безопасности. При этом такой аппарат не может

быть применен на соседнем уровне, а специалисты I и VII уровней

просто не понимают друг друга. Действительно, можно ли

требовать от специалиста, осуществляющего регистрацию

документа, даже в электронной форме, чтобы он знал и понимал, в

чем выражается, что означает и каким должно быть переходное

затухание сигнала при совместном пробеге кабелей связи?

Многоуровневая модель позволяет учесть и присутствие

легального пользователя. При этом с каждым следующим уровнем

данный фактор становится все значительнее.

Очевидно и то, что говорить о каких-либо гарантиях безо-

пасности без конкретной привязки к конкретному уровню модели

бессмысленно. Хотелось бы отметить в этой связи, что говорить о

равнопрочности защиты можно только в том случае, если

необходимый уровень безопасности достигнут на каждом «этаже».

Ну а уровень безопасности достигается пу тем применения набора

адекватных модели угроз и свойственных рассматриваемому

уровню инструментов защиты. Таким образом, многое зависит от

имеющегося инструментария.

До III уровня дела обстоят совсем неплохо. Вопросы тех-

нической защиты от НСД неплохо проработаны, имеются до-

статочно эффективные сертифицированные средства обеспечения

безопасности. Вопрос только в их стоимости и удобстве

эксплуатации. Дальше ситуация серьезно меняется. На уров нях

выше III практически нет специальных сертифицированных средств

защиты, безопасность целиком базируется на программных

настройках систем управления доступом, аудита, обеспечения

целостности программ и платности бизнес -процессов. На

устойчивость обеспечивающих безопасность настроек влияет две

группы факторов.

Качество работы администраторов систем, которые должны

отслеживать все изменения административной политики

подразделения, своевременно внося изменения в настройки

системы управления доступом. Практика показывает, что со

временем это качество ослабевает, а политика управления

доступом, предоставленные пользователям права и пароли

перестают соответствовать административной политике.

Доступность настроек, особенно при построении сетей на

персональных компьютерах, как правило, имеющих из быточные и

не нужные простому пользователю автономные возможности по их

администрированию, доступные большому числу пользователей,

администраторов систем и программистов.

Решением в данной ситуации является переход к центра -

лизованной обработке и централизованному управлению бе-

зопасностью, развитие аудита событий в системе с обязательным

оперативным разбором информации с целью обеспечения их

прозрачности для службы безопасности, а также усиление

административного компонента в управлении персона лом. Именно

это демонстрируют крупнейшие ИТ-корпорации» которые добились

практически полной централизации не только обработки, но и

администрирования ресурсов, исключив из этого процесса

собственно пользователей и поставив под контроль и аудит

администраторов.

Это, в свою очередь, требует наличия понятной и логич ной

политики безопасности, разработанной для конкретной

организации и с учетом ресурсов, которые являются для нее

критическими. Так, в организации, предоставляющей услуги

передачи межбанковских платежей, защищаемый ресурс будет

одним, а в банках, которые пользуются э той системой, -

совершенно иным. Естественно, что и политики безопасности в

этих организациях отличаются, включая в первом случае одну

группу уровней модели, а во втором - другую группу. Но в таком

случае они отличаются и по видам угроз, и по агентам э тих угроз, и

по методам защиты, и п'* критериям оценки безопасности. При

кажущейся внешней схожести и общей сфере деятельности двух

этих организаций, безопасность информационных систем в них

разительно различается.

5.3 Правила построения системы информа ционной

безопасности предприятия

Система информационной безопасности предприятия дол жна

быть построена с соблюдением следующих правил [5]:

Профилактика возможных угроз. Необходимо своевременное

выявление возможных угроз безопасности предприятия, анализ

которых позволит разработать соответствующие про филактические

меры.

Законность. Меры по обеспечению безопасности разраба-

тываются на основе и в рамках действующих правовых актов.

Локальные правовые акты предприятия не должны противоречить

законам и подзаконным актам.

Комплексное использование сил и средств. Для обеспечения

безопасности используются все имеющиеся в распоряже нии

предприятия силы и средства. Каждый сотрудник дол жен, в рамках

своей компетенции, участвовать в обеспечении безопасности

предприятия. Организационной формой комп лексного

использования сил и средств является программа (план работ)

обеспечения безопасности предприятия.

Координация и взаимодействие внутри и вне предприя тия.

Меры противодействия угрозам осуществляются на ос нове

взаимодействия и координации усилий всех подразде лений, служб

предприятия, а также установления необходимых контактов с

внешними организациями, способными оказать необходимое

содействие в обеспечении безопасности предприятия.

Организовать координацию и взаимодействие внутри и вне

предприятия может служба безопасности (СБ) предприятия (либо

руководитель предприятия, если СБ в организации нет).

Сочетание гласности с секретностью. Доведение информации

до сведения персонала предприятия и общественности в

допустимых пределах мер безопасности выполняет важнейшую

роль - предотвращение потенциальных и реальных угроз.

Компетентность. Сотрудники должны решать вопросы обес-

печения безопасности на профессиональном уровне, а в необ-

ходимых случаях специализироваться по основным его на-

правлениям.

Экономическая целесообразность. Стоимость финансовых

затрат на обеспечение безопасности не должна превышать тот

оптимальный уровень, при котором теряется экономический смысл

их применения.

Плановая основа деятельности. Деятельность по обеспечению

безопасности должна строиться на основе комплексной программы

обеспечения безопасности предприятия, подпрог рамм обеспечения

безопасности по основным его видам (эко номическая, научно -

техническая, экологическая, технологическая и т. д.) и

разрабатываемых для их исполнения планов работы

подразделений предприятия и отдельных сотрудников.

Системность. Этот принцип предполагает учет всех факто ров,

оказывающих влияние на безопасность предприятия, включение в

деятельность по его обеспечению всех сотрудников, использование

всех сил и средств.

5.4 Принципы защиты информ ации

Построение системы защиты целесообразно проводить с

принципами защиты, которые достаточно универсальны для самых

разных предметных областей (инженерное обеспече ние в армии,

физическая безопасность лиц и территорий и т.д.) [6]:

- Адекватность (разумная достаточность). Совокупная сто-

имость защиты (временные, людские и денежные ресурсы) должна

быть ниже стоимости защищаемых ресурсов. Если оборот

компании составляет 10 тыс. долларов в месяц, вряд ли есть

смысл развертывать систему на миллион долларов (так, же как и

наоборот).

- Системность. Важность этого принципа особо проявляется

при построении крупных систем защиты. Он состоит в том, что

система защиты должна строиться не абстрактно (защита от всего),

а на основе анализа угроз, средств защиты от этих угроз, поиска

оптимального набора этих средств и построения системы.

- Прозрачность для легальных пользователей. Введение

механизмов безопасности (в частности аутентифик ации пользо-

вателей) неизбежно приводит к усложнению их действий. Тем не

менее, никакой механизм не должен требовать невыполнимых

действий (например, еженедельно придумывать 10 -знач-ный

пароль и нигде его не записывать) или затягивать проце дуру

доступа к информации.

- Равностойкость звеньев. Звенья это элементы защиты,

преодоление любого из которых означает преодоление всей

защиты. Понятно, что нельзя слабость одних звеньев ком-

пенсировать усилением других. В любом случае, прочность защиты

(или ее уровня, см. ниже) определяется прочностью самого слабого

звена. И если нелояльный сотрудник готов за 100 долларов

«скинуть на дискету» ценную информацию, то злоумышленник вряд

ли будет выстраивать сложную хакерскую атаку для достижения

той же цели.

- Непрерывность. В общем-то, та же равностойкость, только

во временной области. Если мы решаем, что будем что-то и как-то

защищать, то надо защищать именно так в любой момент времени.

Нельзя, например, решить по пятницам делать резервное

копирование информации, а в последнюю пятницу месяца устроить

«санитарный день». Закон подлости неумолим: именно в тот

момент, когда меры по защите информации будут ослаблены,

произойдет то, от чего мы защищались. Временный провал в

защите, так же, как и слабое звено, делает ее бессмысленной.

- Многоуровневость. Многоуровневая защита встречается

повсеместно, достаточно побродить по руинам средневековой

крепости. Зачем защита строится в несколько уровней, которые

должен преодолевать как злоумышленник, так и легальный

пользователь (которому, понятно, это делать легче)? К сожалению,

всегда существует вероятность того, что какой-то уровень может

быть преодолен либо в силу непредвиденных случайностей, либо с

ненулевой вероятностью. Простая математика подсказывает: если

один уровень гарантирует защиту в 90%, то три уровня (ни в коем

случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати,

резерв экономии: путем эшелонирования недорогих и

относительно ненадежных средств защиты можно малой кровью

добиться очень высокой степени защиты.

Учет этих принципов поможет избежать лишних расходов при

построении системы защиты информации и в то же вре мя добиться

действительно высокого уровня информационной безопасности

бизнеса.

5.5 Методы и средства обеспечения информационной

безопасности орг анизации.

Методами обеспечения защиты информации являются сле -

дующие [42]:

- препятствие;

- управление доступом;

- маскировка;

- регламентация;

- принуждение;

- побуждение.

Препятствие - метод физического преграждения пути зло-

умышленнику к защищаемой информации (к аппаратуре,

носителям информации и т. п.).

Управление доступом - метод защиты информации

регулированием использования всех ресурсов автоматизирован-

ной информационной системы организации.

Управление доступом включает следующие функции за» щиты:

- идентификацию пользователей, персонала и ресурсов ль.

формационной системы (присвоение каждому объекту персо-

нального идентификатора);

- аутентификацию (установление подлинности) объекта или

субъекта по предъявленному им идентификатору;

- проверку полномочии (проверка соответствия дня недели,

времени суток, запрашиваемых ресурсов и процедур уста-

новленному регламенту);

- разрешение и создание условий работы в пределах уста-

новленного регламента;

- регистрацию (протоколирование) обращений к защищаемым

ресурсам;

- реагирование (сигнализация, отключение, задержка работ,

отказ в запросе) при попытках несанкционированных действий.

Маскировка - метод защиты информации в автоматизиро-

ванной информационной системе путем ее криптографичес кого

закрытия.

Регламентация - метод защиты информации, создающий такие

условия автоматизированной обработки, хранения и передачи

информации, при которых возможность несанкционированного

доступа к ней сводилась бы к минимуму.

Принуждение - такой метод защиты информации, при котором

пользователи и персонал системы вынуждены соблю дать правила

обработки, передачи и использования защищаемой информации

под угрозой материальной, административ ной или уголовной

ответственности.

Побуждение - такой метод защиты информации, который

побуждает пользователей и персонал системы не нарушать

установленные правила за счет соблюдения сложившихся

моральных и этических норм.

Указанные выше методы обеспечения информационной

безопасности организации реализуются на практике приме нением

различных механизмов защиты, для создания которых

используются следующие основные средства:

- физические,

- аппаратные,

- программные,

- аппаратно-программные,

- криптографические,

- организационные,

- законодательные,

- морально-этические.

Физические средства защиты предназначены для внеш ней

охраны территории объектов, защиты компонентов авто-

матизированной информационной системы предприятия и

реализуются в виде автономных устройств и систем.

Наряду с традиционными механическими системами при

доминирующем участии человека разрабатываются и внедряются

универсальные автоматизированные электронные сис темы

физической защиты, предназначенные для охраны территорий,

охраны помещений, организации пропускного режима, организации

наблюдения; системы пожарной сигнализации; системы

предотвращения хищения носителей.

Аппаратные средства защиты — это различные элект-

ронные, электромеханические и другие устройства, непосред-

ственно встроенные в блоки автоматизированной информа ционной

системы или оформленные в виде самостоятельных устройств и

сопрягающиеся с этими блоками. Они предназначены для

внутренней защиты структурных элементов средств и систем

вычислительной техники: терминалов, процессоров,

периферийного оборудования, линий связи и т.д.