Часть 10. Методы обеспечения информационной безопасности

Основополагающие документы в области информационной безопасности

Понимая информационную безопасность как “состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в интересах граждан и организаций”, определяют:

  • угрозы безопасности информации,

  • источники этих угроз,
    •

  • способы их реализации и цели (противника, т.е. угрозы – надо знать в лицо!).

При этом нужно рассматривать как риски, так и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Для этих целей разработана “концептуальная модель информационной безопасности”, включающая следующие элементы:

Вопросы информационной безопасности разрабатываются многими международными и национальными организациями.

Среди опубликованных документов, наиболее системное отражение этих вопросов можно найти в следующих документах:

  • Оранжевая книга TCSEC

  • Гармонизированные критерии Европейских стран ITSEC

  • Концепция защиты от НСД Гостехкомиссии при президенте РФ

  • Рекомендации X.800

  • Интерпретация оранжевой книги

  • Стандарт ISO/IEC 15408 “Критерии оценки безопасности информационных технологий”


Обзор существующих методов обеспечения информационной безопасности

Множество существующих методов обеспечения информационной безопасности можно классифицировать по разным признакам. Только уместная комбинация этих методов позволит сетевому администратору обеспечить информационную безопасность. В целом все методы можно разделить на два класса:

  1. Организационно-правовые методы, включая воспитание у пользователей отношения недопустимости и нетерпимости к нарушениям ИБ.

  2. Организационно-технические методы


Правовые методы нашли отражение в серии документов международных и национальных организаций, регламентирующих все аспекты обеспечения ИБ. Этот процесс никогда не закончится, т.к. совершенствуются и методы нарушения ИБ.

Перечислим основные методы обеспечения информационной безопасности.

  1. 1. Авторизация

Авторизация позволяет создавать группы пользователей, наделять группы разными уровнями доступа к сетевым и информационным ресурсам, контролировать доступ пользователей к этим ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ресурсам. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью, как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.


2. Идентификация и аутентификация

Идентификация позволяет определить субъект (терминал, пользователя или процесс) по уникальному номеру, сетевому имени и т.п. признакам.

Аутентификация – это проверка подлинности субъекта, например, по паролю, PIN-коду, криптографическому ключу и т.п.

В последние годы активно внедряются следующие методы аутентификации:

2.1 Биометрия.

Варианты использования биометрии разнообразны: аутентификация по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному подчерку и подписи, по отпечаткам пальцев.


2.2 Смарткарты

Универсальным методом аутентификации является использование смарткарт (интеллектуальных карт). Их удобство заключается в портативности и широком спектре функций, позволяющем компании, выбрав данную технологию, постепенно достраивать необходимые компоненты защиты в зависимости от текущих потребностей системы безопасности.

Недостатки. Смарткарта относительно дорога в использовании.


2.3 eToken

eToken (электронный ключ) – это полнофункциональный аналог смарткарты, выполненный в виде брелка, подключаемого через USB порт (не требует наличия дорогостоящих карт-ридеров).

Различают электронные ключи с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные (активные).


2.4 Определение координат пользователя

GPS (Global Positioning System) – точность определения координат – до 5-15м.

GSM – до 100-300м в городе.

Другие – от 20м до 200м.

2.4 Криптография

Различают два основных метода шифрования – симметричный и асимметричный.

При симметричном методе один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Имеется стандарт на подобные методы - ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".

Недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю, что создает проблему с рассылкой ключей и требованием установления источника получения ключа.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись.

Недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. При этом следует учитывать, что асимметричные методы на 3 - 4 порядка медленнее симметричных.

3. Протоколирование и аудит

Протоколирование – сбор и накопление информации о событиях, происходящих в информационной системе предприятия.

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Протоколирование и аудит преследует следующие цели:

  • обеспечение подотчетности пользователей и администраторов;

  • обеспечение возможности реконструкции последовательности событий;

  • обнаружение попыток нарушений информационной безопасности;

  • предоставление информации для выявления и анализа проблем.


4. Экранирование

Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран контролирует все информационные потоки между двумя множествами систем.

5. Физическая защита

Администратору сети необходимо знать все возможные точки физического проникновения в сеть или нанесения ущерба.

Обычно рассматриваются следующие направления физической защиты:

  • физическое управление доступом к сетевым узлам и линиям связи;

  • противопожарные меры;

  • защита поддерживающей инфраструктуры (Эл/питание, водоснабжение и т.п.);

  • защита от перехвата данных;

  • защита мобильных систем;

Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, например анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, поэтому вместо того чтобы пытаться держать под контролем линии связи, заключая, например, их в надувную оболочку с обнаружением прокалывания, не лучше ли просто разместить свои офис в тихом особняке, поодаль от других домов.

Физическая защита, как и другие области информационной безопасности, должна базироваться на здравом смысле, который подскажет большинство решений.


6. Поддержание текущей работоспособности

Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки. Можно выделить следующие направления повседневной деятельности:

  • поддержка пользователей - "стол справок";

  • поддержка программного обеспечения;

  • конфигурационное управление;

  • резервное копирование;

  • управление носителями;

  • документирование;

  • регламентные работы.



Угрозы информационной безопасности в сети Интернет

Наиболее открытой публичной сетью является сеть Интернет.

По опыту известно, что эта сеть и наиболее небезопасна с информационной точки зрения. Для успешного решения вопросов информационной безопасности, необходима оценка угроз и связанных с ними рисков.

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

  • Ознакомление с конфиденциальной информацией различными путями и способами без нарушения её целостности;

  • Модификация информации как частичное или значительное изменение состава и содержания сведений;

  • Разрушение (уничтожение) информации с целью прямого нанесения материального ущерба.

Противоправные действия с информацией приводят к нарушению её конфиденциальности, полноты, достоверности или доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.


В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

  • Уровня угроз, которым подвергается организация и видимость организации из внешнего мира

  • Уязвимости организации к последствиям потенциальных инцидентов с безопасностью

  • Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.


Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения "достаточно хорошей безопасности", чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу.


1. Угрозы/видимость

Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп - от логичных (получение чего-либо без денег) до иррациональных (разрушение информации).

Типичными угрозами в среде Интернета являются:

  • Сбой в работе одной из компонент сети. Сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.

  • Сканирование информации - неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.

  • Использование информации не по назначению - использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.

  • Неавторизованное удаление, модификация или раскрытие информации - специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.

  • Проникновение - атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.

  • Маскарад - попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы (рассматриваются в следующем разделе) и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий. Так Служба Внутреннего Контроля более видна, чем Орнитологический Отдел.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использование глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.


2. Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям - устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее , средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей. Хотя это и кажется простым, поддержание точного списка систем, сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.

Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению работы. Самые серьезные последствия - это когда затрагиваются внешние функции, такие как доставка продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за потенциальной потери доверия клиентов в будущем.

Второй фактор - это учет политических или организационных последствий. В некоторых корпорациях верхний уровень руководства организацией может подумать, прочитав статью в известной газете о проникновении в их сеть, что произошла катастрофа, даже если при это организация не понесла никаких финансовых убытков. В более открытых средах, таких как университеты или научные центры, руководство может на основании инцидента принять решение о введении ограничений на доступ. Эти факторы надо учитывать при определении уязвимости организации к инцидентам с безопасностью.


3. Матрица профиля

Таблица 1- Матрица профиля риска

Угрозы

Рейтинг

Видимость

Рейтинг

Число очков

Ни одна из угроз не считается реальной

1

Очень маленькая

1

  

Возможность возникновения угроз тяжело оценить

3

Средняя, периодические публикации об организации

3

  

Угрозы реальны, имел место ряд случаев их возникновения

5

Большая, постоянные публикации об организации

5

  

Последствия

Рейтинг

Уязвимость

Рейтинг

Число очков

Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска

1

Инциденты считаются приемлемыми как необходимое условие бизнеса; руководство организации с пониманием относится к этому

1

  

Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль

3

Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности

3

  

Будут затронуты внешние функции организации, нанесен большой финаносвый ущерб

5

Руководители организации станут жестче относиться к безопасности ,пострадают взаимоотношения с деловыми партнерами

5

  

Общее число очков:

   

Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются:

  • 2 - 10: низкий риск

  • 11 - 29: средний риск

  • 30 - 50: высокий риск


4. Учет информационных ценностей

Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью, каждый сетевой администратор должен вести учет информационных систем в его зоне ответственности. Список должен включать в себя все существующую аппаратную часть вычислительной Среды, программы, электронные документы, базы данных и каналы связи.

Для каждой информационной ценности должна быть описана следующая информация:

  • Тип: оборудование, программа, данные

  • Используется в системе общего назначения или критическом приложении

  • Ответственный за данную информационную ценность

  • Ее физическое или логическое местоположение

  • Учетный номер, где это возможно.


5. Система общего назначения

Система общего назначения - это "взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие(неспецифические) задачи или обеспечивать их выполнение". Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.


6. Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение - это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем.

Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.


7. Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как "Коммерческая тайна" и "Для служебного пользования" . Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности - КРИТИЧЕСКАЯ ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса , и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

  • КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это - информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.

  • КОММЕРЧЕСКАЯ ТАЙНА: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.

  • ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.

  • ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам