Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

устойчивое запечатление информации на машинном или ином

носителе.

■ Уничтожение информации - внешнее воздействие на имуще-

ство (информацию), в результате которого оно прекращает свое

физическое существование либо приво дится в полную непри-

годность для использования по целевому назначению. Унич то-

женное имущество (информация) не может быть восста новлено

путем ремонта или реставрации и полностью выво дится из хо-

зяйственного оборота.

■ Уничтожение компьютерной информации - стирание ее в па-

мяти ЭВМ.

■ Повреждение информации — изменение свойств имущества

(информации) при котором существенно ухудшается его со-

стояние, у трачивается значительная часть его по лезных свойств

и оно становится полностью или частично непригодным для це-

левого использования.

■ Модификация компьютерной информации - внесение любых

изменений, кроме связанных с адаптацией про граммы для ЭВМ

или баз данных.

■ Блокирование компьютерной информации - искусственное

затруднение доступа пользователей к информации, не связанное

с ее уничтожением.

■ Несанкционированное уничтожение, блокирование, модиф и-

кация, копирование информации - любые не разрешенные зако-

ном, собственником или компетентным пользователем указан-

ные действия с информацией.

■ Обман (отрицание подлинности, навязывание ложной ин-

формации) — умышленное искажение или сокрытие ис тины с

целью ввести в заблуждение лицо, в ведении кото рого находи т-

ся имущество (информация) и таким образом добиться от него

добровольной передачи имущества (ин формации), а также со-

общение с этой целью заведомо лож ных сведений.

3.3. Источники угроз [^]

Внешние источники могут быть случайными или предна -

меренными и иметь разный уровень квалификации. К ним от-

носятся:

■ криминальные структуры;

■ потенциальные преступники и хакеры;

■ недобросовестные партнеры;

■ технический персонал поставщиков услуг;

■ представители надзорны х организаций и аварийных служб;

■ представители силовых структур.

Вну тренние субъекты (источники), как правило, представ ляют

собой высококвалифицированны х специалистов в обла сти разра-

ботки и эксплуатации программного обеспечения и технических

средств, знакомы со спецификой решаемых задач, структурой и

основными функциями и принципами работы программно-

аппаратных средств защиты информации, имеют возможность ис-

пользования штатного оборудования и технических средств сети. К

ним относятся:

■ основной персонал (пользователи, программисты, раз-

работчики);

■ представители службы защиты информации;

■ вспомогательный персонал (уборщики, о храна);

■ технический персонал (жизнеобеспечение, эксплуатация).

Технические средства, являю щиеся источниками потенци-

альных угроз безопасности информации, также могут быть внеш-

ними:

■ средства связи,

■ сети инженерных коммуникации (водоснабжения, канализа-

ции),

■ транспорт,

■ и внутренними:

■ некачественные те хнические средства обработки ин -

формации;

■ некачественные программные средства обработки ин-

формации;

■ вспомогательные технические средства (охраны, сигна -

лизации, телефонии);

■ другие технические средс тва, применяемые в учрежде нии.

3.4. Наиболее распространенные угрозы в интегри-

рованной информационной системе управления

предприятием [^]

Угроза нанесения вреда ЛВС и ИИСУП потенциально может

исходить от любого лица, объекта или события. Угрозы могут быть

злонамеренными, такими, как умышленная моди фикация критиче-

ской информации, или случайными, как ошибки в вычислениях или

непреднамеренное удаление фай ла. Угроза может быть также при-

родным явлением, как наво днение, ураган, молния и т. п. Непо-

средственный вред от реализованной угрозы, называется воздейс т-

вием угрозы.

Идентификация угроз предполагает рассмотрение воздей ствий

и последствий от реализации угроз. Обычно воздействие угроз

приводит к раскры тию, модификации, разрушению инфо рмации

или о тказу в информационном обслуживании. Более значительные

долговременные последствия реализации угрозы приводят к потере

бизнеса, нарушению тайны, граж данских прав, потере адекватно-

сти данных, по тере человеческой жизни и иным долговременным

эффектам.

Знание возможных угроз, а также уязвимы х мест защиты, нео б-

хо димо , чтобы выбрать наиболее экономичные средства обеспеч е-

ния безопасности.

Самыми частными и опасными, с точки зрения размеров ущер-

ба, являю тся не угрозы даже, а непреднамеренные ошибки пользо-

вателей, операторов, системных администраторов и других , о б-

служивающих информационные системы лиц. Иногда такие ошиб-

ки являются угрозами (неправильно преднамеренно введенные

данные, ошибки в программе), а иногда это просто следствие чело-

веческих слабостей, которыми однако могут воспользоваться зло-

умышленники - таковы обычно ошибки администрирования, 65 %

потерь - следствие непреднамеренных ошибок. Пожары и наводне-

ния можно считать пустяками по сравнению с безграмотностью и

расхлябанностью многих сотрудников.

Очевидно, самый радикальный способ борьбы с непредна -

меренными ошибками — максимальная автоматизация и стро гий

контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба стоят кражи и подлоги.

Весьма опасны так называемые обиженные сотрудники -

нынешние и бывшие. Как правило, их действиями руководит же-

лание нанести вред организации-обидчику. С этой целью они мо-

гут:

■ повредить оборудование;

■ «встроить» логическую бомбу;

■ ввести неверные данные;

■ удалить данные или изменить их.

Обиженные со трудники, даже бывшие, знакомы с поряд ками в

организации и способны вредить весьма эффективно.

Угрозы, исхо дящие от окружающей среды, весьма разнооб-

разны. В первую очередь следует выделить нарушение инфра-

структуры - аварии электропитания, временное отсутствие связи,

перебои с водоснабжением, гражданские беспорядки и т. п. На до-

лю огня, воды и аналогичных «врагов», среди ко торы х самый

опасный — низкое качество электропитания, приходится 13 % по-

терь, которые обычно несут информационные системы.

Любопытно, что почти каждый Internet-сервер по несколько раз

в день подвергается попыткам проникновения: иногда такие по-

пытки оказываю тся удачными; часто из них связаны со шпиона-

жем. Отсю да очевидно, насколько серьезен с ин формационной

безопасностью.

Достаточно важен вопрос с программными вирусами. Они сер ь-

езно беспокоят обычно системных администраторов и операторов

различного толка. Правда, необ ходимое соблюдение несложных

правил сводит риск подобного заражения практически к ну лю.

Уязвимыми являются также слабые места ЛВС и ИИСУП. На-

пример, неавторизованный доступ (угроза) к ЛВС может быть

осуществлен посторонним человеком, угадавшим неза мысловатый,

к примеру, очевидный пароль. Уменьшение или ограничение уяз-

вимых мест ЛВС может снизить или вообще устранить риск угроз

ЛВС. Например, средство, которое может помочь пользователям

выбрать надежный пароль и т. д.

Ниже перечисляются наиболее распространенные техниче ские

угрозы и причины, в результа те ко торых они реализуются:

■ Неавторизованный доступ к ЛВС или ИИСУП - происхо дит

в результа те получения неавторизованным челове ком доступа к

ЛВС.

■ Несоответствующий доступ к ресурсам ЛВС - случается в

результате получения доступа к ресурсам ЛВС авторизо ванным

или неавторизованным человеком неавторизован ным способом.

■ Раскрытие данных - наступает в результате получения досту-

па к информации или ее чтения человеком и возмож ного рас-

крытия им информации случайным или неавторизованным на-

меренным образом.

■ Неавторизованная модификация данных и программ -

возможна в результате модификации, уда ления или разру шения

человеком данных и программного обеспечения ЛВС неавтор и-

зованным или случайным образом.

■ Раскрытие трафика ЛВС - произойдет в результате доступа к

информации или ее чтения человеком и возможного ее разгла-

шения случайным или неавторизованным намеренным образом

тогда, когда информация передается через ЛВС.

■ Подмена трафика ЛВС - это его использование неавто-

ризованным способом, когда появляю тся сообщения, имеющие

такой вид, будто они посланы законным заявленным отправите-

лем, а на самом деле это не та к.

■ Неработоспособность ЛВС — это следствие осуществле ния

угроз, которые не позволяют ресурсам ЛВС быть своевременно

доступными.

Служба защиты информации - это обычно целая совокупность

механизмов защиты и по ддерживающих их файлов дан ных и орга-

низационны х мер, которые предо храняют ЛВС и ИИСУП от кон-

кретных угроз. Например, служба аутентифи кации и идентифика-

ции помогает защитить ЛВС от неавторизованного доступа к ЛВС,

поскольку о т каждого пользователя требует, чтобы он непременно

идентифицировал себя, а также подтвердил истинность своего

идентификатора. Средства за щиты бывают надежными как прави-

ло, настолько, насколько надежны механизмы, процедуры и т. п.,

составляющие их.

3.5. Угрозы при взаимодействии интегрированной

информационной системы управления предприяти-

ем с Internet [^]

Организации расширяют свои Intranet, переходя от информации

статического содержания, передаваемой по общедос тупным кана-

лам Internet, к подключению разнообразных са-

мообслуживающихся приложений и организации цепочек эле к-

тронного бизнеса. Доступ к информации через Web делается более

полным и гибким. Это расширение использования Web изменило

подход к защите Web-пространства. Ведь организация должна

управлять не только теми, кто имеет доступ к его корпоративной

Web, но также и конкретными ресурсами каждого конкретного

пользователя с доступом. Получая выго ды от лучшего использова-

ния Intranet или Extranet, организация должна управлять доступом

ко всей информации, доступ ной через Web, позволяя пользовате-

лям доступ лишь к той информации, в которой они нуждаются и не

больше. Доступ ко всем имеющимся информационным средствам

может сделать организацию уязвимой к внутренним нападениям,

если пер вые не защищены соответствующим образом.

При взаимодействии ИИСУП с Internet основные угрозы для

информационной безопасности организации представляют:

■ несанкционированные внешние воздействия из Internet на

ИИСУП для получения доступа к ее ресурсам и/или нарушения

ее работоспособности;

■ отказы аппаратного и программного обеспечения под-

системы взаимодействия (нарушение работы каналов свя зи с In-

ternet, телекоммуникационного оборудования ЛВС, межсетевых

экранов);

■ непреднамеренные (ошибочные, случайные) действия со-

трудников организации, приводящие к непроизводи тельным за-

тратам времени и ресурсов, разглашению сведений ограничен-

ного пользования через Internet или нарушению работоспособ-

ности подсистемы взаимодействия ИИСУП с Internet;

■ преднамеренные действия сотрудников организации, приво-

дящие к разглашению сведений ограниченного пользования че-

рез Internet, а также нарушение работоспособности подсистемы

взаимодействия ИИСУП с Internet или же недоступность пре-

доставляемых организацией ус луг через Internet;

■ непреднамеренные (случайные, ошибочные) действия лиц,

осуществляющих администрирование подсистемы взаимодей-

ствия ИИСУП с Internet, приводящие к разгла шению сведений

ограниченного пользования или нарушению взаимодействия с

Internet;

■ преднамеренные действия (в корыстны х целях, по при -

нуждению третьих лиц, со злым умыслом и т. п.) сотрудни ков

организации, о твечающих за установку, сопровождение, адм и-

нистрирование системного, сетевого или прикладного пр о-

граммного обеспечения, технических средств зашиты и обеспе-

чения информационной безопасности подсистемы взаимодейс т-

вия ИИСУП с Internet, которые (дейс твия) приводят к разгла-

шению сведений ограниченного пользования или нарушению

взаимодействия с Internet.

Избежать выше упомянутых угроз можно, если построить спе-

циальную подсистему для защиты (ПЗ), соответствующей сле-

дующим требованиям:

■ ПЗ должна обеспечивать возможность доступа к Internet всем

пользователям ИИСУП.

■ ПЗ должна быть масштабируемой в целом. При изменении

количества и характеристик каналов связи с Internet донаст-

ройка и переконфигурация ПЗ до лжна быть минимальной.

■ ПЗ до лжна быть прозрачной в том, что касается исполь-

зования ресурсов и сервисов Internet при санкционирован ном

обращении к этим ресурсам со стороны пользователей ИИСУП.

■ ПЗ должна в минимальной степени использовать уже имею-

щиеся инфраструктуру ИИСУП и задействованные средства

защиты информации.

Может появиться вопрос: « Если возникаю т подобные тре -

бования к Internet нужно ли его использовать»? Разумеется, нужно.

Ведь Internet, означает предоставление значительных дополнитель-

ных возможностей для ведения информационно-аналитической

работы в интересах организации с использова нием всех необъят-

ных информационны х ресурсов сети Internet.

При подключении к сети Internet сотрудникам предоставляются

следующие стандартные сервисы :

■ электронная почта (e-mail);

■ телеконференции USENET;

■ доступ к ресурсам файл-серверов сети Internet по протоколу

ftp;

■ использование гипер текстовых ресурсов сети Internet по про-

токолу http.

Само же подключение к сети Internet должно строго контро-

лироваться со стороны специальной информационной служ бы -

СИБ, которая уполномочена на подобное разрешение.

Все компоненты программного и аппаратного обеспечения

пользователя сети Internet должны испо льзоваться только в слу-

жебных целях.

Необ ходимо иметь в виду, ч то запрещается использовать с о-

единения с Internet для:

■ передачи конфиденциальной информации, определен ной в

«Перечне информационных ресурсов, подлежащих защите»,

лицам, не имеющим соответствующих полномочий. Конфиде н-

циальная информация может передаваться только в зашифр о-

ванном виде, с использованием приня тых в организации алго-

ритмов и программ;

■ получения программного обеспечения;

■ использования PC и серверов АС организации с целью нача-

ла атак на другие АС;

■ неавторизованного сканирования и зондирования, а также

другого исследования узлов сетей. Пользователям сети Internet

запрещается самостоятельная

реконфигурация PC, добавление или удаление программного обес-

печения, а также распространение и установка на других PC и сер-

верах организации любого программного обеспечения, полученно-

го по каналам Internet.

Реконфигурация системного или программного обеспечения

производится исключительно специалистами УИБ в присутс твии

администратора информационной безопасности предприятия.

Каждое рабочее место должно быть оснащено антивирус ными

программными средствами. Состав и параметры настройки таких

средств определяются УИБ.

Каждый пользователь сети Internet в организации несет персо-

нальную о тветственность за свои действия и за вводи -

мую/выводимую информацию.

Контроль за деяте льностью пользовате лей сети Internet в орга-

низации, включая прием/отправление электронной почты и статей

телеконференций, доступ к информационным серверам Internet,

установку программного обеспечения и изменение конфигурации

PC и серверов АС организации, осуществляется СИБ организации.

4.Анализ уязвимости информационных сис-

тем и оценка рисков [^]

4.1. Уязвимость информационных систем [^]

Вместе с колоссальным ростом популярности Internet возникает

беспрецедентная угроза разглашения персональ ных данных, кри-

тически важны х корпоративных ресурсов, государственных тайн и

т. д. Каждый день хакеры подвергают угрозе эти ресурсы, пытаясь

получить к ним доступ в результате специальных ата к. Эти а таки,

становятся все более опасными, чему способствуют следующих два

основных фактора.

Во-первых, это повсеместное распространение Интернет. Сего-

дня к этой сети подключены уже миллионы устройств. И поэтому

вероятность доступа хакеров к наиболее уязвимым устройствам

постоянно возрастает. Кроме того, широкое распространение Ин-

тернет позволяе т хакерам обмениваться ин формацией в глобаль-

ном масштабе. Простой поиск по ключевым словам типа «хакер»,

«взлом», «hack», «crack» или «phreak» уже даст вам тысячи сайтов,

на многих из ко торых вполне можно обнаружить множество вр е-

доносных кодов и способов их использования.

Во-вторы х, это всеобщее распространение простых в ис -

пользовании операционных систем и средств их разработки. Э то

обстоятельство значительно облегчает задачу хакера. Раньше он

должен был обладать хорошими навыками программирования,

чтобы создавать и распространять простые в использовании пр и-

ложения. Теперь же чтобы получить доступ к хакерскому средству,

надо просто узнать IP-адрес нужного сайта, и для проведения атаки

затем щелкнуть мышкой.

4.2. Классификация сетевых атак. [^]

Сетевые атаки столь же разнообразны, как и системы, про-

тив которых они направлены. Некоторые атаки отличаются боль-

шой сложностью. Другие может осуществить обычный оператор,

даже не предполагающий, какие последствия может иметь его дея-

тельность. Для оценки типов атак необходимо знать не которые о г-

раничения, изначально присущие протоколу TPC/IP. Сеть Интернет

создавалась для связи между государственными учреждениями и

университетами в помощь учебному процессу и научным исследо-

ваниям. Создатели этой сети не подозревали, наско лько широко

она распространится. В результа те, в спецификациях ранних вер-

сий интернет-протокола (IP) о тсутствовали требования безопасно-

сти. Именно поэтому многие IP являются изначально уязвимыми.

Сниффе ры пакетов

Сниффер пакетов представляет собой прикладную про грамму,

которая использует сетевую карту, работающую в режиме promis-

cuous mode (в этом режиме все пакеты, полученные по физическим

каналам, сетевой адаптер отправляет приложению для обработки).

При этом сниффер перехваты вает все сетевые пакеты, которые пе-

редаются через определенный домен. В настоящее время сниффе-

ры работают в сетях на вполне законном основании. Они исполь-

зуются для диагностики неисправностей и анализа трафика. Одна-

ко ввиду того, что некоторые сетевые приложения передают дан-

ные в текстовом формате (telnet, FTP, SMTP, POP3 и т. д.)> с помо-

щью сниффера можно узнать полезную, а иногда и конфи-

денциальную информацию (например, имена пользователей и па-

роли).

Перехват имен и паролей представляет собой большую опа с-

ность, так как пользователи часто применяю т один и то т же логин

и пароль для множества приложений и сис тем. Многие пользова-

тели вообще имеют один пароль для доступа ко всем ресурсам и

приложениям. Если приложение работает в режиме клиент/сервер,

а аутентификационные данные передаются по сети в читаемом

текс товом формате, эту информацию с большой вероятностью

можно использовать для доступа к другим корпоративным или

внешним ресурсам. Хакеры слишком хорошо знают и используют

человеческие слабости (методы атак часто базируются на методах

социальной инженерии). Они прекрасно понимают, что люди поль-

зуются одним и тем же паролем для доступа к множеству ресурсов,

и поэтому им часто удается, узнав тот или иной пароль, полу чать

доступ к важной информации. В любом случае хакер мо жет полу-

чить доступ к пользовате льс кому ресурсу на системном уровне и с

его помощью создать нового «незаконного» пользователя ресурсов

той или иной сети.

Смягчить угрозу сниффинга пакетов можно с помощью та ких

средств, как:

• Аутентификация — это сильные средства защиты от сниф-

финга пакетов, поскольку их трудно игнорировать или обойти.

Примером такой аутентификации являются однократные пар о-

ли (ОТР - One-Time Passwords). OTP - это технология двухфак-

торной аутентификации, основанной на сочетании того, что у

вас есть, с тем, что вы знаете. Типичным примером двухфак-

торной аутентификации является работа обычного банкомата,

который опознает вас, во-первых, по вашей пластиковой кар-

точке и, во-вторы х, по вводимому вами ПИН-коду. Для аутен-

тификации в системе ОТР также требуется ПИН-код и ваша

личная карточка. Под «карточкой» (token) понимается аппарат-

ное или программное средство, генери рующее (по случайному

принципу) уникальный одномоментный однократный пароль.

Если хакер узнает этот пароль с помощью сниффера, эта ин-

формация для него будет бесполезной, потому что в этот мо-

мент пароль уже считается ис пользованным и выводится после

этого из употребления. Однако этот способ эффективен то лько

для борьбы с перехва том паролей. Снифферы, перехватываю-

щие другую информацию (например, сообщения электронной

почты), не теряют своей эффективности, к сожалению.

• Коммутируемая инфраструктура — Это также способ

борьбы со сниффингом пакетов в сетевой среде. При этом ост-

рота угрозы заметно снижается. Ведь, к примеру, во всей орга-

низации используется коммутируемый Ethernet, то хакеры по-

лучают тогда доступ лишь к трафику, поступающему на тот

порт, к ко торому они подключены. И не далее.

• Анти-с нифферы — Способ борьбы со сниффингом, заклю-

чающийся в установке аппаратных или программных средств,

распознающих снифферы, работающие в вашей сети. Эти сред-

ства не могут полностью ликвидировать угрозу, но, как и мно-

гие другие средства сете вой безопасности, они включа ются в

общую систему защиты. Так называемые «анти-снифферы» из-

меряют время реагирования хостов и определяют, не прихо ди т-

ся ли хостам обрабатывать «лишний» трафик.

• Криптография - Э то самый эффективный способ борьбы со

сниффингом пакетов, который правда, не предо твра щает пере-

хвата и не распознает работу снифферов, но дела ет ее бесполез-

ной. Если канал связи является криптогра фически защищен, то

это значит, что хакер перехватывает не сообщение, а зашифр о-

ванный текст (то есть непонятную ему последовательность би-

тов).

IР-спуфинг

IP-спуфинг происхо дит, когда хакер, находящийся внутри кор-

порации или вне ее выдает себя за санкционированного пользова-