Безопасность информационных систем

o "Он слишком многим доверял". Взлом производит обычно псевдопользователь, повышая свои полномочия до обычного, с использованием механизма доверия. Термин "доверие", также оказывающийся одной из важнейших брешей в безопасности UNIX, пришел из тех далеких времен, когда компьютерные системы хотели доверять друг другу. "Доверие" употребляется всякий раз, когда возникает ситуация, в которой хост может позволить пользователю (как правило удаленному) использовать локальные ресурсы без аутентификации (ввода пароля).

62. Принципы создания системы защиты на основе технических средств

· Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.

· Защита СВТ обеспечивается комплексом программно-технических средств.

· Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

· Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

· Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

· Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

· Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

64. Стандарты и рекомендации в области информационной безопасности

К нормативно-методическим документам можно отнести

§ Методические документы государственных органов России:

§ Доктрина информационной безопасности РФ;

§ Руководящие документы ФСТЭК (Гостехкомиссии России);

§ Приказы ФСБ;

§ Стандарты информационной безопасности, из которых выделяют:

§ Международные стандарты;

§ Государственные (национальные) стандарты РФ;

§ Рекомендации по стандартизации;

§ Методические указания.

Международные стандарты

§ BS 7799-1:2005 -- Британский стандарт BS 7799 первая часть. BS 7799 Part 1 -- Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ

§ BS 7799-2:2005 -- Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 -- Information Security management -- specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

§ BS 7799-3:2006 -- Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности

§ ISO/IEC 17799:2005 -- «Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.

§ ISO/IEC 27000 -- Словарь и определения.

§ ISO/IEC 27001:2005 -- «Информационные технологии -- Методы обеспечения безопасности -- Системы управления информационной безопасностью -- Требования». Международный стандарт, базирующийся на BS 7799-2:2005.

§ ISO/IEC 27002 -- Сейчас: ISO/IEC 17799:2005. «Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности». Дата выхода -- 2007 год.

§ ISO/IEC 27005 -- Сейчас: BS 7799-3:2006 -- Руководство по менеджменту рисков ИБ.

§ German Information Security Agency. IT Baseline Protection Manual -- Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

§ ГОСТ Р 50922-2006 -- Защита информации. Основные термины и определения.

§ Р 50.1.053-2005 -- Информационные технологии. Основные термины и определения в области технической защиты информации.

§ ГОСТ Р 51188--98 -- Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

§ ГОСТ Р 51275-2006 -- Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

§ ГОСТ Р ИСО/МЭК 15408-1-2008 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

§ ГОСТ Р ИСО/МЭК 15408-2-2008 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

§ ГОСТ Р ИСО/МЭК 15408-3-2008 -- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

§ ГОСТ Р ИСО/МЭК 15408 -- «Общие критерии оценки безопасности информационных технологий» -- стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности -- благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» -- защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

§ ГОСТ Р ИСО/МЭК 17799 -- «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением -- ISO/IEC 17799:2005.

§ ГОСТ Р ИСО/МЭК 27001 -- «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта -- ISO/IEC 27001:2005.

§ ГОСТ Р 51898-2002 -- Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

§ РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

Основополагающим документом в области защиты распределенных систем стали рекомендации X.800

Рекомендации X.800

Рекомендации X.800 -- документ довольно обширный. Мы сосредоточим внимание на специфически сетевых функциях (сервисах) безопасности, а также на необходимых для их реализации защитных механизмах. Одновременно мы познакомимся с основными понятиями данной области информационной безопасности.

Чтобы почувствовать специфику распределенных систем, достаточно рассмотреть такое стандартное средство защиты, как подотчетность. Помимо других целей, записи в регистрационном журнале могут служить доказательством того, что определенный пользователь совершил то или иное действие (точнее, действие было совершено от его имени). В результате пользователь не может отказаться от содеянного и в некоторых случаях несет за это наказание. В распределенных системах действие порой совершается на нескольких компьютерах и, вообще говоря, не исключено, что их регистрационные журналы противоречат друг другу. Так бывает, когда злоумышленнику удается подделать сетевой адрес и имя другого пользователя. Значит, нужны иные средства обеспечения "неотказуемости" (невозможности отказаться) от совершенных действий.

65. Классификация наиболее распространенных угроз

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

· Угрозы можно классифицировать по нескольким критериям:

o по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

o по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

o по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

o по расположению источника угроз (внутри/вне рассматриваемой ИС).

· Виды угроз информационной безопасности:

o Уничтожение информационных объектов

o Утечка информации

o Искажение информации

o Блокирование объекта информации

66. Управленческие меры обеспечения информационной безопасности: политика безопасности и программа безопасности

Политика безопасности

Главная цель мер, предпринимаемых на управленческом уровне, -- сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов.

Под политикой безопасности понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно подразделить на три уровня.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

· решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности,

· определение ответственных за продвижение программы, формулировка целей, которые преследует организация в области информационной безопасности,

· определение общих направлений в достижении этих целей,

· обеспечение базы для соблюдения законов и правил,

· формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

· Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

o организация должна соблюдать существующие законы;

o следует контролировать действия лиц, ответственных за выработку программы безопасности;

o необходимо обеспечить определенную степень послушности персонала, а для этого нужно выработать систему поощрений и наказаний.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов:

· отношение к передовым (но, возможно, недостаточно проверенным) технологиям,

· доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?),

· использование домашних компьютеров,

· применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

· Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как обеспечение, которое не было одобрено и/или закуплено на уровне организации.

· Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика по поводу неофициального программного обеспечения организаций-субподрядчиков? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

· Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов по политике безопасности (как и перечень этих документов) может быть существенно разным для разных организаций.

· Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

· Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

· Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта -- цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

· Кто имеет право доступа к объектам, поддерживаемым сервисом?

· При каких условиях можно читать и модифицировать данные?

· Как организован удаленный доступ к сервису?

При формулировке целей, политика нижнего уровня может отправляться от соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними. Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству придется найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованы. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

· Политика безопасности организации, владеющей ЛВС

o Описание аспекта

§ Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные; это увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите, чем отдельная машина. Эти повышенные меры безопасности и являются предметом данного документа.

§ Документ преследует две главные цели -- продемонстрировать сотрудникам организации важность защиты сетевой среды и описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

· Область применения

o В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью; в том числе на пользователей, субподрядчиков и поставщиков.

· Позиция организации

Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· Обеспечение уровня безопасности, соответствующего нормативным документам.

· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

· Обеспечение безопасности в каждой функциональной области локальной сети.

· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

· Обеспечение анализа регистрационной информации.

· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Роли и обязанности (общие положения)

Следующие группы людей отвечают за реализацию сформулированных выше целей. Детально их обязанности будут описаны ниже.

· Руководители подразделений. Они отвечают за доведение положений политики безопасности до пользователей и за контакты с пользователями.

· Администраторы локальной сети. Они обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

· Администраторы сервисов. Они отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.

· Пользователи. Они обязаны использовать локальную сеть в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Законопослушность

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала будут рассматриваться руководством для принятия мер вплоть до увольнения.

Роли и обязанности (детальное изложение)

Руководители подразделений обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.

· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

· Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

· Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

· Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

· Следить за новинками в области информационной безопасности, информировать о них пользователей и руководство.

· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.

· Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.

· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

· Выполнять все изменения сетевой аппаратно-программной конфигурации.

· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

· Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны

· Управлять правами доступа пользователей к обслуживаемым объектам.

· Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

· Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

· Регулярно контролировать сервис на предмет зловредного программного обеспечения.

· Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны

· Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

· Использовать механизм защиты файлов и должным образом задавать права доступа.

· Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

· Помогать другим пользователям соблюдать меры безопасности. Указывать им на замеченные упущения с их стороны.

· Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

· Не использовать слабости в защите сервисов и локальной сети в целом.

· Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

· Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

· Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.

· Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

· Знать слабости, которые используются для неавторизованного доступа.

· Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

· Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Таковы основные положения, касающиеся политики безопасности.

Программа безопасности

После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.

Проведение политики безопасности в жизнь требует использования трех видов регуляторов:

· управленческих,

· операционных и

· программно-технических.

В данном разделе рассматривается управленческий аспект программы безопасности.

Чтобы понять и реализовать любую программу, ее целесообразно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней -- верхнего, или центрального, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

· Управление рисками (оценка рисков, выбор эффективных средств защиты).

· Координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.

· Стратегическое планирование.

· Контроль деятельности в области информационной безопасности.

Девиз второго пункта можно сформулировать как "эффективность и экономия". Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников организации, в максимальной степени использовать знания каждого из них. Например, если одно из подразделений специализируется на UNIX-системах, а в других подразделениях такие системы установлены в небольшом числе экземпляров, нет смысла всем становиться специалистами по UNIX-защите -- лучше вменить в обязанность сотрудникам первого подразделения следить за всеми UNIX-системами. Правда, отсутствие дублирования, вообще говоря, противоречит надежности. Если в организации есть специалист, знания которого уникальны, его болезнь или увольнение могут стать тяжелой потерей. Вероятно, лучшее "лекарство от незаменимости" -- документирование накопленных знаний и освоенных процедур.

В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать четко определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. Без подобной поддержки распоряжения "офицеров безопасности" останутся пустым звуком.

Цель программы нижнего уровня -- обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне:

· решается, какие механизмы защиты использовать,

· закупаются и устанавливаются технические средства,

· выполняется повседневное администрирование,

· отслеживается состояние слабых мест и т.п.

Обычно за программу нижнего уровня отвечают администраторы сервисов. Необходимо, однако, сделать одну оговорку. Программа безопасности не должна превращаться в набор технических средств, встроенных в систему -- иначе она потеряет независимость и, как следствие, авторитет, высшее руководство забудет про нее и перестанет выделять ресурсы. У защиты есть много управленческих и операционных аспектов, и об этом следует постоянно помнить.

67. Управленческие меры обеспечения информационной безопасности: управление рисками

Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.

Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности:

· оценку (измерение) рисков;

· выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

1. Выбор анализируемых объектов и степени детальности их рассмотрения;

2. Выбор методологии оценки рисков;

3. Идентификация активов;

4. Анализ угроз и их последствий, определение слабостей в защите;

5. Оценка рисков;

6. Выбор защитных мер;

7. Реализация и проверка выбранных мер;

8. Оценка остаточного риска.

Этапы 6 и 7 относятся к выбору защитных регуляторов, остальные - к оценке рисков.

Уже перечисление этапов показывает, что управление рисками -- процесс циклический. По существу, последний этап -- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Выбор анализируемых объектов и степени детальности их рассмотрения -- первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

Вообще говоря, уязвимым является каждый компонент информационной системы -- от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса:

· приемлемы ли существующие риски, и, если нет, то

· какие защитные средства экономически выгодно использовать.

При идентификации активов, то есть тех ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования.

Если информационной основой организации является локальная сеть, то в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами, Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.

Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Управление рисками -- процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации -- увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.

Первый шаг в анализе угроз - их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение. Информация из раздела 8.2 (Наиболее распространенные угрозы) может служить при этом отправной точкой.

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простои метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый -- к среднему, два последних -- к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные меры защиты. Как правило, для ликвидации или сглаживания слабости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

Результаты работы по анализу рисков целесообразно свести в таблицу/

Таблица 8 - Типичная форма для анализа рисков

Описание риска	Возможный эффект	Возможная стоимость риска	Вероятность	Приоритет	Меры защиты	Стоимость мер защиты
1	2	3	4	5	6	7

68. Управленческие меры обеспечения информационной безопасности: безопасность в жизненном цикле системы

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Известно, что добавить новую возможность к уже готовой системе на порядок труднее и дороже, чем изначально запроектировать и реализовать ее. То же справедливо и для информационной безопасности.

Выделим в жизненном цикле следующие этапы:

· Инициация. На этом этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.

· Закупка. На этом этапе составляются спецификации, прорабатываются варианты закупки, выполняется собственно закупка.

· Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.

· Эксплуатация. На этом этапе сервис не только работает и администрируется, но и подвергается модификациям.

· Выведение из эксплуатации. Происходит переход на новый сервис.

Рассмотрим действия, выполняемые на каждом из этапов, более детально.

На этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий сервис; выполняются прикидки, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

В плане безопасности важнейшим действием на этом этапе является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Необходимо сформулировать ответы на следующие вопросы:

· Какого рода информация предназначается для обслуживания новым сервисом?

· Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

· Каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

· Есть ли какие-либо особенности нового сервиса, требующие принятия специальных операционных мер (например, территориальная разнесенность компонентов)?

· Каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?

· Каковы законодательные положения и внутренние правила, которым должен удовлетворять новый сервис?

Этап закупки -- один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, послепродажное обслуживание, обучение персонала. Разумеется, особое внимание должно быть уделено вопросам совместимости нового сервиса с существующей конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации. Все технические средства должны иметь соответствующие сертификаты.

Период эксплуатации -- самый длительный и сложный. С психологической точки зрения наибольшую опасность в это время составляют небольшие изменения в конфигурации сервиса, в поведении пользователей и администраторов. Если безопасность не поддерживать, она имеет свойство ослабевать. Пользователи не столь ревностно выполняют должностные инструкции, администраторы с меньшей тщательностью анализируют регистрационную информацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности остались одни воспоминания.

Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

Операционные регуляторы

Данный раздел посвящен мерам безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает первостепенного внимания.

Будут рассмотрены следующие темы:

· управление персоналом,

· физическая защита,

· поддержание работоспособности,

· реакция на нарушения режима безопасности,

· планирование восстановительных работ.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше -- с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

· разделение обязанностей,

· минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому -- заверять эти заявки.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно -- уменьшить ущерб от случайных или умышленных некорректных действий пользователей.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем критичнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла усложнять ее сверх необходимого. В то же время неразумно и совсем отказываться от предварительной проверки, рискуя принять на работу человека с уголовным прошлым или с душевными болезнями.

Когда кандидат отобран, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно (в идеале -- одновременно с извещением о наказании или увольнении). Возможно и физическое ограничение доступа к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.

К управлению сотрудниками примыкает администрирование лиц, работающих по контракту (например, специалистов фирмы-поставщика, помогающих запустить новую систему). В соответствии с принципом минимизации привилегий, им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Проблема, однако, в том, что на начальном этапе внедрения "внешние" сотрудники будут администрировать "местных", а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способность быстро обучаться, а также оперативное проведение учебных курсов. Важны и принципы выбора деловых партнеров.

69. Операционные регуляторы: управление персоналом

Данный раздел посвящен мерам безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает первостепенного внимания.

Будут рассмотрены следующие темы:

· управление персоналом,

· физическая защита,

· поддержание работоспособности,

· реакция на нарушения режима безопасности,

· планирование восстановительных работ.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше -- с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

· разделение обязанностей,

· минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому -- заверять эти заявки.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно -- уменьшить ущерб от случайных или умышленных некорректных действий пользователей.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем критичнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла усложнять ее сверх необходимого. В то же время неразумно и совсем отказываться от предварительной проверки, рискуя принять на работу человека с уголовным прошлым или с душевными болезнями.

Когда кандидат отобран, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий. Техническую сложность составляют временные перемещения сотрудника, выполнение им обязанностей взамен лица, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сначала дать, а через некоторое время взять обратно. В такие периоды профиль активности пользователя резко меняется, что создает трудности при выявлении подозрительных ситуаций. Определенную аккуратность следует соблюдать и при выдаче новых постоянных полномочий, не забывая изымать старые права доступа.

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно (в идеале -- одновременно с извещением о наказании или увольнении). Возможно и физическое ограничение доступа к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.

К управлению сотрудниками примыкает администрирование лиц, работающих по контракту (например, специалистов фирмы-поставщика, помогающих запустить новую систему). В соответствии с принципом минимизации привилегий, им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Проблема, однако, в том, что на начальном этапе внедрения "внешние" сотрудники будут администрировать "местных", а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способность быстро обучаться, а также оперативное проведение учебных курсов. Важны и принципы выбора деловых партнеров.

Иногда внешние организации принимают на обслуживание и администрирование ответственные компоненты компьютерной системы, например, сетевое оборудование. Нередко администрирование выполняется в удаленном режиме. Вообще говоря, это создает в системе дополнительные слабости, которые необходимо компенсировать усиленным контролем средств удаленного доступа или, опять-таки, обучением собственных сотрудников. Мы видим, что проблема обучения -- одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не сможет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Из педагогической психологии известно: чтобы обучение было эффективным, ему должен предшествовать этап мотивации. Сотрудникам необходимо объяснить, зачем нужна учеба, зачем нужны меры безопасности. Обычно и то, и другое вызывает раздражение, поскольку мешает основной деятельности. Важно, чтобы сотрудники смотрели на вещи шире, имея в виду долговременные интересы организации и свои собственные. Обучение должно проводиться регулярно и в то же время каждый раз по-новому, иначе оно превратится в формальность и потеряет эффективность. К сожалению, здесь не существует общих рецептов, все зависит от изобретательности организаторов.

70. Операционные регуляторы: физическая защита, поддержание работоспособности

Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

Мы кратко рассмотрим следующие направления физической защиты:

· физическое управление доступом,

· противопожарные меры,

· защита поддерживающей инфраструктуры,

· защита от перехвата данных, в частности, путем контроля за побочными электромагнитными излучениями (ПЭМИН),

· защита мобильных систем.

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п. Средства физического управления доступом известны давно -- это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое. Важно в максимальной степени разграничить компьютеры и поток посетителей или, в крайнем случае, позаботиться о том, чтобы от окон и дверей не просматривались экраны мониторов и принтеры. Необходимо, чтобы посетители отличались от штатных сотрудников. Если отличие состоит в том, что посетителям выдаются идентификационные карточки, а сотрудники ходят "без опознавательных знаков", злоумышленнику достаточно снять карточку, чтобы его считали "своим". Очевидно, карточки разных видов нужны всем.

Пожары по-прежнему случаются и наносят большой ущерб. Наглядным примером может служить пожар на Останкинской телебашне в сентябре 2000 г. Для борьбы с огнем есть профессионалы и следует следовать всем необходимым инструкциям и наставлениям. Отметим лишь крайнюю желательность установки противопожарной сигнализации и автоматических средств пожаротушения. Обратим также внимание на то, как защитные меры могут создавать новые слабости. Если на работу взят новый охранник, это, вероятно, улучшает физическое управление доступом. Если же он по ночам курит и пьет, то повышенная пожарная опасность делает его скорее врагом, чем другом организации.