Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

271

ГЛАВА 15. ПРОВЕДЕНИЕ КОМПЛЕКСНОГО

ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС

Эффективное управление вопросами обеспечения безопасности ин-

формации имеет принципиальное значение для существования любого пред-

приятия организации. Для принятия грамотных управленческих решений в

этой сфере и выработки адекватных мер организационного и технического

характера, необходимо:

− сформировать систему взглядов на проблему обеспечения безопасно-

сти информации и пути ее решения с учетом современных тенденций

развития ИТ и методов и средств защиты информации;

− выработать единую политику в области обеспечения безопасности

информации;

− выявить угрозы безопасности информации и оценить (по возможно-

сти) риски нанесения возможного ущерба;

− создать комплексную систему обеспечения безопасности информа-

ции;

− скоординировать деятельность подразделений по обеспечению безо-

пасности информации.

При создании любой информационной системы на базе современных

компьютерных технологий неизбежно возникает вопрос о защищенности

этой системы от внутренних и внешних угроз безопасности информации. Но

прежде чем решить, как и от кого защищать информацию, необходимо уяс-

нить реальное положение в области обеспечения безопасности информации

на предприятии и оценить степень защищенности информационных активов.

Для этого проводится комплексное обследование защищенности ИС (или ау-

дит безопасности), основанные на выявленных угрозах безопасности инфор-

мации и имеющихся методах их парирования, результаты которого позволя-

ют:

− оценить необходимость и достаточность принятых мер обеспечения

безопасности информации;

− сформировать политику безопасности;

− правильно выбрать степень защищенности информационной систе-

мы;

272

− выработать требования к средствам и методам защиты;

− добиться максимальной отдачи от инвестиций в создание и обслужи-

вание СОБИ.

Под термином комплексное обследование (аудит безопасности инфор-

мации) защищенности следует понимать системный процесс получения и

оценки объективных данных о текущем состоянии обеспечения безопасности

информации на объектах информатизации, действиях и событиях, происхо-

дящих в информационной системе, определяющих уровень их соответствия

определенному критерию. Комплексное обследование защищенности ИС

(аудит) позволяет оценить реальное положение в области защиты информа-

ции и принять комплекс обоснованных управленческих решений по обеспе-

чению необходимого уровня защищенности информационных активов пред-

приятия.

Очевидно, что для достижения главного результата - построения эф-

фективной СОБИ − необходимо выполнение целого спектра работ, однако,

первым этапом в данном спектре должен быть именно аудит защищенности

ИС. Такой подход позволит ускорить сроки внедрения СОБИ, оптимизиро-

вать бюджет системы защиты информации и обеспечить ее высокое качество.

15.1. Цель проведения обследования (аудита)

Аудит защищенности информационной системы ставит своей целью

методологическое обследование процессов, методов и средств обеспечения

безопасности информации при выполнении информационной системой сво-

его главного предназначения − информационное обеспечение бизнеса. При

этом предполагается, что сама информационная система является оптималь-

ной для решения бизнес-задач. Вместе с тем, результатом аудита защищен-

ности могут быть рекомендации по изменению инфраструктуры сети, когда

по экономическим соображениям нецелесообразно или невозможностью дос-

тичь требуемого уровня защищенности информации при существующей ин-

фраструктуре ИС.

Поскольку информационная безопасность должна быть обеспечена не

только на техническом, но и на организационно-административном уровне,

273

должный эффект может дать только комплексный подход к обследованию

(аудиту), то есть:

− проверка достаточности принятых программно-аппаратных и техни-

ческих мер защиты (соответствие установленным требованиям при-

меняемых в ИС программно-аппаратных средств защиты);

− проверка достаточности правовых, экономических и организацион-

ных мер защиты (физической защиты, работы персонала, регламен-

тации его действий).

Таким образом, целью проведения работ по комплексному обследова-

нию защищенности ИС является получение объективных данных о текущем

состоянии обеспечения безопасности информации на объектах ИС, позво-

ляющих провести минимизацию вероятности причинения ущерба собствен-

нику информационных активов в результате нарушения конфиденциально-

сти, целостности или доступности информации, подлежащей защите, за счет

получения несанкционированного доступа к ней, а также выработка комплек-

са мер, направленных на повышение степени защищенности информации ог-

раниченного доступа.

15.2. Стадии проведения обследования (аудита)

Процесс комплексного обследования (аудита) защищенности информа-

ционной системы состоит из трех основных частей:

− сбор необходимых исходных данных и их предварительный анализ

(или стадия планирования);

− оценка соответствия состояния защищенности ИС предъявляемым

требованиям и стандартам (стадии моделирования, тестирования и

анализа результатов). В качестве стандартов могу использоваться Ру-

ководящие Документы ФСТЭК России и требования ФСБ, ГОСТ

ИСО/МЭК 15408, IS0 17799 (ВS 7799), НIРРА и др.;

− формулирование рекомендаций по повышению безопасности инфор-

мации в обследуемой ИС (стадии разработки предложений и доку-

ментирования полученных результатов).

274

15.3. Виды обследования (аудита)

Процесс обследования (аудита) защищенности информационных сис-

тем является достаточно многогранным и учитывает множество параметров.

Обследование объединяет несколько различных форм работ, основанных на

единых принципах и методологии, но различающихся по содержанию конеч-

ной цели и объемам проводимых испытаний. Форма проводимого обследова-

ния (аудита) зависит, в первую очередь, от жизненного цикла обследуемого

проекта.

На разных этапах обследования используются различные методы: тех-

нические, аналитические, экспертные, расчетные. При этом, результаты, по-

лученные одними методами, могут дублироваться (дополняться) результата-

ми, полученными другими методами. Совокупность всех применяемых мето-

дов позволяет дать объективную оценку состояния обеспечения безопасности

информации на обследуемом объекте. Основными группами методов при об-

следовании являются:

− Экспертно-аналитические методы предусматривают проверку соот-

ветствия обследуемого объекта установленным требованиям по

безопасности информации на основании экспертной оценки полноты

и достаточности представленных документов по обеспечению необ-

ходимых мер защиты информации, а также соответствия реальных

условий эксплуатации оборудования предъявляемым требованиям по

размещению, монтажу и эксплуатации технических и программных

средств.

− Экспертно-инструментальные методы предполагают проведение

проверки функций или комплекса функций защиты информации с

помощью специального инструментария (тестирующих средств) и

средств мониторинга, а также путем пробного запуска средств защи-

ты информации и наблюдения реакции за их выполнением. В про-

цессе испытаний технических и программных средств используются

тестирующие средства, принятые в установленном порядке.

− Моделирование действий злоумышленника («дружественный взлом»

системы защиты информации) применяются после анализа результа-

тов, полученных в ходе использования первых двух групп методов, -

275

они необходимы как для контроля данных результатов, а также для

подтверждения реальных возможностей потенциальных злоумыш-

ленников (как внутренних, легально допущенных к работе с тем или

иным уровнем привилегий в ИС, так и внешних - в случае подключе-

ния ИС к глобальным информационным сетям). Кроме того, подоб-

ные методы могут использоваться для получения дополнительной

исходной информации об объекте, которую не удалось получить дру-

гими методами. Важным моментом является то, что применение ме-

тодов моделирования действий злоумышленника ограниченно. При

использовании данных методов необходимо учитывать, что при осу-

ществлении тестовой атаки, используемое в ИС оборудование может

быть выведено из строя, инфоресурсы утрачены или искажены.

15.4. Анализ угроз безопасности информации

Комплексное обследование защищенности информационной системы

предполагает обязательное проведение анализа угроз безопасности информа-

ции. Анализ угроз безопасности информации необходим для качественной и

количественной оценки реальных угроз, актуальных для обследуемой корпо-

ративной информационной системы, с целью построения СОБИ как системы

парирования конкретным угрозам безопасности информации.

Анализ возможностей реализации угроз безопасности информации ос-

новывается на построении модели угроз, классификации, анализе и оценки

источников угроз, уязвимостей (факторов) и методов реализации.

Анализ угроз безопасности информации основывается на вычислении

весовых коэффициентов опасности для источников угроз и уязвимостей,

сравнения этих коэффициентов с заранее заданным критерием и последова-

тельном сокращении (исключении) полного перечня возможных источников

угроз и уязвимостей до минимально актуального для конкретного объекта.

Исходными данными для проведения анализа служат результаты анке-

тирования сотрудников обследуемого объекта, направленные на уяснение

направленности его деятельности, предполагаемых приоритетов целей ИБ,

задач, решаемых ИС и условий расположения и эксплуатации объекта.

276

15.5. Состав работ по проведению аудита

15.5.1. Планирование проведения обследования

На этапе планирования проведения обследования (аудита) защищенно-

сти ИС необходимо провести:

− определение границ проведения обследования;

− выбор критериев оценки (требования, стандарты), по которым про-

водится обследование;

− определение порядка взаимодействия в ходе обследования;

− разработку программы обследования;

− определение условий обращения с конфиденциальной информацией.

15.5.2. Проведение комплексного обследования

Проведение комплексного обследования включает в себя следующие

этапы:

− Сбор исходных данных для обследования;

− Классификация информационных ресурсов компании;

− Моделирование процессов нарушения безопасности информации и

анализ угроз безопасности информации компании;

− Определение (уточнение) требуемого уровня гарантий безопасности

в соответствии с выбранными критериями оценки;

− Анализ имеющихся организационно-распорядительных документов о

порядке функционирования корпоративной информационной систе-

мы и защите информации;

− Анализ структуры состава и принципов функционирования корпора-

тивной информационной системы и существующей системы защиты

информации;

− Анализ деятельности персонала компании по обеспечению безопас-

ности информации.

277

15.5.3. Оценка эффективности существующей системы защиты ИС

с применением специализированных инструментариев

Оценка эффективности существующей системы защиты ИС включает:

1. Определение и фиксирование на момент проверки реальной конфигу-

рации средств защиты ИС

2. Проведение испытаний программных и программно-аппаратных

средств защиты, а также встроенных механизмов защиты общесис-

темного программного обеспечения, используемых в ИС для защиты

информации:

− тестовые испытания программных средств зашиты

− тестовые испытания защиты ИС от утечки за счет наводок и ПЭМИ

− тестовые испытания защиты информации от утечки по акустическо-

му и виброакустическому канала

− подготовка предложений по повышению защищенности сети от не-

санкционированного доступа

3. Проведение испытаний функций системы защиты информации мето-

дом моделирования действий злоумышленника

− определение места и порядка подключения тестирующих средств;

− анализ сетевой топологии и установленных сервисов:

− проведение сетевого сканирования и определение установленных

сервисов:

− проведение анализа трафика и сбор критичной информации с приме-

нением программ пассивного анализа (программ-снифферов и про-

грамм обнаружения вторжений):

− обнаружение имеющихся уязвимостей по имеющимся сигнатурам:

− оценка защищенности коммутируемого доступа:

− анализ полученных результатов тестовых испытаний.

Контрольные вопросы

1. Какие виды аудита ИБ возможно провести в КИС?

2. С чего начинается аудит ИБ?

3. Что наиболее достоверно определит качество КЗИ КИС?

278

ГЛОССАРИЙ ТЕРМИНОВ

1. Администратор защиты – субъект доступа, ответственный за защиту ав-

томатизированной системы от несанкционированного доступа к информации.

2. Аттестация - специфическая форма аудита, который проводится на этапе,

предшествующем началу обработки защищаемой информации, с целью под-

тверждения соответствия принятого комплекса мер и средств обеспечения ИБ

установленным требованиям и стандартам.

3. Аутентификация – проверка принадлежности субъекту доступа предъяв-

ленного им идентификатора; подтверждение подлинности.

4. Безопасность информации – состояние защищенности информации, об-

рабатываемой средствами вычислительной техники или автоматизированной

системы, от внутренних или внешних угроз.

5. Верификация – процесс сравнения двух уровней спецификации средств

вычислительной техники или автоматизированных систем на надлежащее со-

ответствие.

6. Внутриобъектовый режим

−

порядок, обеспечиваемый совокупностью

мероприятий и правил, выполняемых лицами, находящимися на охраняемых

объектах, в соответствии с требованиями внутреннего трудового распорядка

и пожарной безопасности.

7. Декодер –

- Устройство, преобразующее закодированный текст в исходную форму

(вид), декодирующее устройство.

- Электронное устройство, предназначенное для выбора и реализации одно-

го из способов передачи данных, например, для направления данных в инди-

видуальные ячейки памяти внутри быстродействующего запоминающего

устройства ЭВМ.

8. Декодирование – в информационных системах – процесс преобразования

кодированных данных в исходную или другую пригодную для чтения форму.

9. Дискреционное управление доступом – разграничение доступа между

поименованными субъектами и поименованными объектами. Субъект с опре-

деленным правом доступа может передать это право любому другому субъек-

ту.

10. Диспетчер доступа (ядро защиты) – технические, программные и мик-

279

ропрограммные элементы комплекса средств защиты, реализующие концеп-

цию диспетчера доступа.

11. Документированная информация – зафиксированная на материальном

носителе путем документирования информация с реквизитами, позволяющи-

ми определить такую информацию или в установленных законодательством

Российской Федерации случаях ее материальный носитель.

12. Доступ к информации – возможность получения информации и ее ис-

пользования.

13. Задержка – замедление продвижения нарушителя к цели.

14. Защита информации – представляет собой принятие правовых, органи-

зационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтоже-

ния, модифицирования, блокирования, копирования, предоставления, рас-

пространения, а также от иных неправомерных действий в отношении такой

информации;

- соблюдение конфиденциальности информации ограниченного доступа;

- реализацию права на доступ к информации.

15. Защита от несанкционированного доступа (защита от НСД) – предот-

вращение или существенное затруднение несанкционированного доступа.

16. Защищенное средство вычислительной техники (защищенная автома-

тизированная система) – средство вычислительной техники (автоматизиро-

ванная система), в котором реализован комплекс средств защиты.

17. Идентификатор доступа – уникальный признак субъекта или объекта

доступа.

18. Идентификация – присвоение субъектам и объектам доступа идентифи-

катора и (или) сравнение предъявляемого идентификатора с перечнем при-

своенных идентификаторов.

19. Информационная система – совокупность содержащейся в базах данных

информации и обеспечивающих ее обработку информационных технологий и

технических средств.

20. Информационно-телекоммуникационная сеть – технологическая сис-

тема, предназначенная для передачи по линиям связи информации, доступ к

которой осуществляется с использованием средств вычислительной техники.

21. Информационные технологии – процессы, методы поиска, сбора, хране-

280

ния, обработки, предоставления, распространения информации и способы

осуществления таких процессов и методов.

22. Информация – сведения (сообщения, данные) независимо от формы их

представления.

23. Караул

−

вооруженное подразделение, назначенное для выполнения бое-

вой задачи по охране и обороне объектов, их зданий, строений, сооружений,

прилегающих к ним территорий и акваторий, транспортных средств, грузов, в

том числе при их транспортировке, денежных средств и иного имущества, а

также для обеспечения установленного на объектах пропускного и внутри-

объектового режима.

24. Категория опасности объекта охраны − комплексная характеристика,

отражающая степень потенциальной опасности − условный индекс, характе-

ризующий степень потенциальной угрозы безопасности в случае осуществле-

ния акта несанкционированного доступа на объект охраны.

25. Класс защищенности средств вычислительной техники, автоматизи-

рованной системы – определенная совокупность требований по защите

средств вычислительной техники (автоматизированной системы) от несанк-

ционированного доступа к информации.

26. Кодирование –

- В информационных системах: процесс преобразования текстовых и дру-

гих материалов из одной системы символов в другую.

- Процесс отображения дискретных сообщений сигналами в виде опреде-

ленных сочетаний символов.

- Процесс преобразования детальной спецификации из одной программы в

другую программу.

- Процесс шифрования.

27. Комплекс средств защиты (КСЗ) – совокупность программных и техни-

ческих средств, создаваемая и поддерживаемая для обеспечения защиты

средств вычислительной техники или автоматизированных систем от несанк-

ционированного доступа к информации.

28. Комплексная защита информации (КЗИ) – совокупность людей, проце-

дур и оборудования, защищающих информацию от несанкционированного

доступа, модификации либо отказа доступа.

29. Комплексное обследование защищенности (аудит безопасности ин-