Постановка задач

Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого мы должны ответить на следующие вопросы.

1. Что именно мы намереваемся защищать?

Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:

кто является участником информационного процесса;

каковы задачи участников информационного процесса;

каким именно образом участники процесса выполняют стоящие перед ними задачи.

2. От чего мы собираемся защищать нашу систему?

Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:

каков критерий «нормального« прохождения процесса информационного взаимодействия;

какие возможны отклонения от "нормы".

3. От кого мы собираемся защищать нашу систему?

Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:

кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;

каких целей добиваются злоумышленники;

какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;

какие действия могут предпринять злоумышленники для достижения своих целей.

Развернутый ответ на первый вопрос является моделью информационного процесса. Подробный ответ на второй вопрос должен включать критерий "нормальности" процесса и список возможных отклонений от этой "нормальности", называемых в криптографии угрозами, - ситуаций, которые мы бы хотели сделать невозможными. Субъект, препятствующий нормальному протеканию процесса информационного взаимодействия, в криптографической традиции называется "злоумышленником", в качестве него может выступать в том числе и законный участник информационного обмена, желающий добиться преимуществ для себя. Развернутый ответ на третий вопрос называется в криптографии моделью злоумышленника. Злоумышленник - это не конкретное лицо, а некая персонифицированная сумма целей и возможностей, для которой справедлив принцип Паули из физики элементарных частиц: два субъекта, имеющие идентичные цели и возможности по их достижению, в криптографии рассматриваются как один и тот же злоумышленник. Ответив на все перечисленные выше вопросы, вы получите постановку задачи защиты своего информационного процесса.

Физическая защита

Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации. Воспрепятствовать в таком случае может лишь криптография, да и то не всегда. Например, если злоумышленник получил физический доступ к компьютеру, на котором хранятся секретные данные в зашифрованном виде, он может считать свою задачу выполненной. Он устанавливает на компьютер резидентную программу, которая перехватывает информацию в процессе ее зашифровки или расшифровки.

Прежде всего следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши провода проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.

Электромагнитная защита

Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.

Разумеется, экранировать помещение будет очень дорого. При решении такого вопроса главным станет фактор экономической целесообразности защиты, о котором говорилось выше.

Здесь будет уместно привести один экзотический случай из практики промышленного шпионажа двадцатилетней давности. Охотники до чужих секретов ухитрились снять секретную информацию буквально с воздуха. Они установили прослушивание помещения, где обрабатывались секретные документы. В те времена пользовались литерными печатающими устройствами. "Треск" работы таких принтеров достаточно легко удалось расшифровать и получить таким образом доступ ко всем распечатываемым документам.

Криптографическая защита

Человеческий фактор

Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.

Как возможно защититься от угроз со стороны собственных сотрудников, автор курса не знает. Решение такой задачи, если и возможно, то лежит в совершенно иной области. Единственное, что можно порекомендовать в рамках данного курса - попытаться свести к минимуму человеческий фактор в системах ЗИ.

Активная защита

Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются активные мероприятия против попыток получить доступ к вашей информации. Например, следующие:

поиск и выведение из строя устройств для скрытого съёма вашей информации;

выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;

выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;

создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;

демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.

Прочие меры

Естественно, в комплекс мер защиты информации входит и размещение соответствующего оборудования и оргструктур в специально оборудованных (в идеале - специально построенных) для этого помещениях. В строительных нормах предусмотрены особые требования к таким помещениям (см., например, Постановление Правительства Москвы от 06.05.97 N 324 "Об утверждении Московских городских строительных норм "Здания банковских учреждений" (МГСН 4.10-97)").

Часть ІІ. Практика

Объект

В качестве объекта защиты я решила выбрать один из офисов крупной нефте-газовой корпорации «British Petrolium» (См. приложение 1).

BP -- британская нефтегазовая компания, вторая по величине публично торгующаяся нефтегазовая компания в мире. Штаб-квартира -- в Лондоне.

Основана в 1908 как Anglo-Persian Oil Company, с 1954 -- British Petroleum Company. В 1998 British Petroleum слилась с American Oil Company (Amoco), образовав BP Amoco, после чего название British Petroleum перестало употребляться.

Главный управляющий компании -- лорд Джон Браун.

На протяжении почти всего столетия British Petroleum играла ведущую роль в мировой экономике. Сегодня ВР - третья по величине нефтяная и нефтехимическая корпорация мира, обладающая богатым опытом научно-исследовательской и практической деятельности в ключевых областях нефтебизнеса. Компания ведёт добычу нефти и газа во многих уголках земли, как на суше, так и на шельфе. BP владеет серьезными нефтеперерабатывающими и нефтехимическими мощностями, сетью АЗС, выпускает масла под маркой Castrol.

Подразделение компании BPSolar является мировым лидером в производстве и инсталяции фотоэлектрических элементов.

BP -- один из основных игроков водородной энергетики. Компания строит водородные заправочные станции, поставляет для них водород. Участвует в различных водородных демонстрационных проектах по всему миру.

Объём добычи BP в 2005 -- 1,47 млрд. баррелей нефтяного эквивалента (949 млн. баррелей нефти и 86,7 млрд. куб. м газа).

Общая численность персонала -- 102,9 тыс. человек (2004). Выручка компании за 2005 составила $295,2 млрд., чистая прибыль -- $26,8 млрд.

Причиной моего выбора является то, что офис нефтегазовой компании является одним из интереснейших объектов защиты. На серверах в офисе такой огромнейшей корпорации хранится немало ценнейшей информации, доступ к которой должен быть строго ограничен.

Предположим, что на сервере в данном конкретном офисе, который я буду защищать хранится информация о месторождениях нефти, газа, а также о некоторых крупных финансовых сделках корпорации. Ценность такой информации сложно переоценить.

Физическая защита

· серверная комната, в которой нахоится сервер, RAID-массиы, хранящие основные данные, резервные копии данных, маршрутизаторы, точки выхода в корпоративную сеть и в Internet, и т.д.;

· компьютеры в рабочей комнате, на посту охраны, в кабинетах и конференцзалах, т.е. оффисная сеть.

Некоторые меры защиты

Для защиты входной двери надо поставить на нее металлическую тяжелую дверь и камеру с кардридером или кодовой клавиатурой. Расположить пост охраны непосредственно в коридоре за или перед входной дверью. Установить вход по пропускам или по приглашению с записью в журнал.

Для охраны точек выхода в Internet или в корпоративную сеть необходимо установить аппаратные фаерволы. По-моему неплохим решением могут быть фаерволы Сіsco.

Для физического контроля за доступом к информации нужно:

· установить электронные системы обнаружения, такие как камеры (как видимые, так и скрытые), видеомагнитофоны, дверные переключатели, детекторы движения, звуковые датчики, лучи фотоэлемента, контактные переключатели, инфракрасные сенсоры и беспроводные технологии, в целостную систему обнаружения. Тщательно следить за информацией о состоянии и местоположении всех установленных устройств;

· вести инвентарный список всего компьютерного оборудования, которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклеить на эти устройства инвентарные номера корпорации или другие соответствующие идентификационные отметки. Ежегодно проверять наличие оборудования по записям в реестре. В случае несанкционированного проникновения в систему эти методы помогут определить, что пропало, и идентифицировать утраченную собственность;

· в BIOS запретить загрузку с дискет и компакт-дисков;

· не оставлять документацию о системах, архитектуре сети и паролях в общедоступном месте;

· защитить сетевые устройства, такие как маршрутизаторы, концентраторы и коммутаторы. Незаблокированный порт коммутатора может быть использован как точка входа в сеть.

Серверная комната хранит всю наиважнейшую информацию и потому требует дополнительных мера защиты. Вот комплекс мер необходимых для защиты серверной комнаты с учетом конкретных особенностей защищаемого объекта:

Защита по периметру

Замки и двери. Надежный замок в двери центра данных - первая строка физического обеспечения безопасности. Порекомендую кодовый замок, который поддерживает безопасность на уровне пользователя. Надо установите различные комбинации для каждого пользователя и периодически менять их. Ввести процедуру блокировки доступа пользователя, который покидает компанию. Стандартные замки с ключами или кодовые замки с единственной комбинацией небезопасны, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Лучше использовать замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную клавиатуру.

Замок нужно сконфигурировать для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который можно задействовать для печати журнала событий и списка пользователей. Кроме того, можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить.

Дверь лучше выбрать металлическую: она должна быть достаточно надежна, чтобы выдержать удар плечом. Укрепить дверную раму и обшивку, петли расположить так, чтобы злоумышленники не могли снять дверь снаружи, или установите несъемные петли. Использовать для крепления петель и несущей конструкции длинные винты, уходящие в стену. Приварить гайки любых болтов, которые выходят на поверхность стальных дверей.

Окон в серверной комнате не имеется.

Потолки и полы. Чтобы продвигаться незаметно на несколько десятков метров при кражах со взломом в магазине, грабитель, как известно, использует пространство фальшпотолков и фальшполов. Надо продлите стены серверного помещения выше фальшпотолка и ниже фальшпола, чтобы соединить реальные потолок и пол. Кроме того, чтобы перекрыть возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола, устанавливают датчики состояния окружающей среды (то есть уровня загазованности и температуры).

Стены, пол и потолок заэкранировать металлом

Электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за дверью), перенести их, либо запереть. Один из возможных способов проникновения в систему - отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Установить UPS для серверов и расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время отключения энергии.

Внутри центра данных

Безопасность шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери. Двери и замки могут быть усилены, но они одновременно мешают доступу при выключении серверов и дисководов.

Внешний контроль (мониторинг). Установить второй контрольный узел за пределами серверной комнаты. Этот узел подаст сигнал тревоги, если злоумышленник выведет из строя сетевое соединение или отключит первичное устройство, чтобы избежать сообщения из серверной. Установить и обслуживать второй контрольный пост надо, стараясь обойтись минимальным количеством сотрудников.

Создать вторую резервную копию данных и поместить в другое хорошо защищенное помещение. В корпорации должно быть общее место для хранения архивов.

Организационная защита

Как известно, большая часть повреждения и утечки информации происходит по вине персонала. Поэтому на персонал надо обратить самое пристальное внимание.

В частности необходимо всеми доступными методами обеспечивать лояльность персонала, проводить специализированное обучение и разъяснения на тему «Наиболее распространенные заблуждения, предубеждения и ошибки, приводящие к искажению, уничтожению и утечке информации». Очень важным, с моей точки зрения, составление грамотной политики безопасности и ознакомление с ней под подпись всех сотрудников.

В этой части я написала политику безопасности для корпорации «ВР» и несколько изменила ее в соответствии с особенностями данного офиса.

Общим принципом политики сетевой безопасности в Корпорации является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. Другими словами, если нет специального разрешения на проведение конкретных действий или использование конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказаниям, описанным позднее в этой политике.

Эта политика состоит из двух основных частей - политики для работы в отдельной сети и политики для работы в межсетевой среде. Межсетевая среда(интернет) - это термин, применяемый при описании ситуации, когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Примерами межсетевой среды является Интернет, а также корпоративная сеть, и эта политика будет использовать такую нотацию при ссылке на них. Эта политика применима в равной степени ко всем интернетам, но некоторые ее компоненты специально описаны для среды Интернета. Рассмотрение ситуации работы в сети и межсетевой среде в дальнейшем разбивается на две подпроблемы - периметр безопасности и внутренняя безопасность. Для сети, которая не присоединена к интернету, периметр безопасности не нужен, иначе, для того чтобы защитить соединение с интернетом, нужно реализовать элементы политик периметра безопасности. Политика внутренней безопасности одинаково применима как к сетям, так и к интернетам, политика же периметра безопасности применима только к интернетам.

Сетевая часть политики описывает подход к обеспечению безопасности для одной сети, обычно ЛВС, независимо от того, присоединена она к интернету или нет. Межсетевая часть этой политики описывает подход к проблеме безопасности в любой сети, соединенной с другой сетью, независимо от того, осуществляется ли это соединение через одну ЛВС, группу ЛВС или глобальную сеть, такую как Интернет. Соединения через глобальную сеть могут быть выделенными каналами между удаленными друг от друга местами или соединениями через Интернет.

Реализация политики безопасности

Область действия

Эта политика применима к данному офису Корпорацции как кодной из ее составляющих. В случае спора в отношении правильности интерпретации или реализации данной политики, последнее слово будет за комитетом по безопасности в Корпорации. Ответственность за выполнение этой политики в рассматриваемом оффисе возлагается на начальника службы безопасности офиса, кто может в свою очередь переложить часть этой ответственности на других лиц. Уточнения и интерпретации этой политики могут быть получены из комитета по безопасности в тех случаях, когда имеет место очевидный конфликт между местными требованиями или различные толкования положений основной политики.

Реализация

Каждое должностное лицо и служащий Корпорации, который администрирует или использует сетевые ресурсы Корпорации, отвечает за строгое соблюдение данной политики. Каждый человек должен обязательно сообщать о подозреваемых или реальных уязвимых местах в безопасности своему непосредственному начальнику. В Корпорации имеется своя группа улаживания инцидентов с компьютерной безопасностью(ГУИКБ), которая может и должна уведомляться в обязательном порядке об основных инцидентах, при которых произошли компрометация, неправильное использование или порча информационных ценностей Корпорации. В нашем офисе организовала своя ГУИКБ для более быстрого выявления уязвимых мест в защите и заделывания их. Хотя сотрудники, входящие в ГУИКБ, имеют свои основные должностные обязанности, вопросы безопасности имеют приоритет по отношению к ним, и должны решаться в первую очередь.

Описание политики

Сети

Политика безопасности, описываемая здесь, в равной степени применима ко всем сетевым компонентам Корпорации.

Интересы организации

Сетевые ресурсы Корпорации существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации( служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Корпорация понимает, что попытки использования ограничений типа “только в интересах Корпорации” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед Корпорацией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать для работы”

Доступ к информационным ценностям Корпорации не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками , а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться комитетом по безопасности, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе Корпорация поддерживает и поощряет совместное использование и обмен информацией между подразделениями Корпорации там, где этот обмен не входит в противоречие с принципом “знать только то, что тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения( вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры Корпорации, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

Аутентификация

Доступ к любой информационной ценности Корпорации не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации Корпорации для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками Корпорации или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию Корпорации, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне Корпорации, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.