3.3. Планирование мер обеспечения информационной безопасностиПолитика безопасности определяет, что нужно защищать, а процедуры защиты – как надо защищать. Поэтому после определения официальной политики безопасности следует подготовить конкретизирующие ее плановые документы, описывающие практические процедуры защиты при работе АС. Таких документов обычно два:
1. План защиты. 2. План обеспечения непрерывной работы и восстановления функционирования АС. 3.3.1. План защиты План защиты – документ, определяющий текущую реализацию системы ОБИ и необходимый в повседневной работе. План защиты периодически пересматривается с целью совершенствования и приведения в соответствии с текущим состоянием АС и системы ОБИ. Указанный план необходим для следующего: - определения общих правил обработки информации в АС, ее систему ОБИ, подготовку специалистов и т. п. - фиксирования текущего состояния и состава АС и системы ОБИ, - определения должностных обязанностей и степени ответственности сотрудников. План может содержать следующие группы сведений: 1. Общие положения, отражающие политику безопасности; 2. Текущее состояние системы и ее уязвимость; 3. Рекомендации по реализации системы защиты; 4. Ответственность персонала; 5. Порядок ввода в действие средств защиты; 6. Порядок пересмотра средств защиты. Следует помнить, что дублирование сведений в различных документах не допустимо. То есть в планах отражаются лишь требующие конкретизации положения политики безопасности. В нашей стране на 2008 год стандарты и рекомендации в области информационной безопасности корпоративных сетей находятся на стадии становления. Потому основное содержание плана защиты мы рассмотрим в контексте Руководства по информационной безопасности предприятия в США . Итак, общие положения плана отражают политику безопасности и анализ риска. Это является базой выработки процедур безопасности, в деталях описывающих шаги, предпринимаемые организацией для ОБИ. Следующим разделом плана является детальное описание текущего состояния АС и ее уязвимости. Данный раздел является отражением анализа риска. Перечислим наиболее характерные уязвимости АС предприятия, на которые следует особо обратить внимание при составлении плана защиты, это: - точки доступа; - неправильно сконфигурированные системы; - программные ошибки; - внутренние враги. Следует, однако, помнить, что в каждой организации есть собственные, присущие только ей, уязвимые места: для этого и проводится анализ риска. Стержнем плана являются рекомендации по реализации системы ОБИ, т. е. реальному воплощению политики безопасности в жизнь [15]. Здесь целесообразно отметить следующие сведения: 1. Рекомендации по выбору общих средств и способов защиты. Выбираемые средства защиты образуют первостепенную линию обороны. Поэтому важно, чтобы средства и способы ОБИ были выбраны правильно. Например, если самой большой угрозой для АС считаются стихийные бедствия, то, видимо, нет смысла использовать биометрические устройства для аутентификации. С другой стороны, если велика опасность в несанкционированных действиях со стороны сотрудников организации, то следует сделать упор на средствах регистрации и аудита совершаемых действий. 2. Определение стратегий защиты. Важнейшим способом защиты активов является использование нескольких различных стратегий (принцип эшелонированности обороны). Если одна линия обороны прорвана, вступает следующая стратегия. Например, хранение съемного винчестера в личном сейфе может удачно сочетаться с динамическим кодированием информации на нем. Комбинация из нескольких несложных стратегий может оказаться более прочной, чем один даже очень сложный метод защиты. 3. Физическая защита. Понятно, что свободный физический доступ является плацдармом для поражения информационного ресурса предприятия. Теоретически, одни программно-аппаратные средства не обеспечивают абсолютной защиты АС. Кроме того, некоторые механизмы безопасности выполняют свои функции исключительно при условии физической защиты. Поэтому, критически важные коммуникационные каналы, серверы, системы хранения информации и другие важные компоненты АС должны находиться в физически защищенных помещениях. 4. Выявление неавторизованной деятельности. Для этого могут использоваться следующие способы и средства: Анализ сообщений пользователей. Пользователи в своей работе сталкиваются с различными некорректными ситуациями, отдельные из которых могут свидетельствовать о неавторизованной деятельности нарушителей либо собственной оплошности. Например, пользователь (соблюдающий политику безопасности) зафиксировал более поздний вход в систему, чем был на самом деле. Или пользователь обнаружил истощение или изменение личных ресурсов (памяти на диске), неудачу при входе в систему, появление неизвестных файлов или еще что-то необычное. Отслеживание использования системы с помощью несложных пакетных файлов и программ. Такие программы можно разработать самому. К примеру, создать стандартный список пользователей и прав к ним (с помощью команд ОС) и его периодически сравнивать с текущим списком (опять же командой ОС). Обычно администратор с помощью «подручных» команд и утилит может: сравнивать текущий список активных пользователей, контролировать учетные записи с целью определения профиля использования системы (необычные записи и др.), просматривать системные средства регистрации (syslog в UNIX), контролировать сообщения об ошибках – неудачных входах, выявлять запуск программ, которые не авторизованы или к которым нет прав у нарушителя. Мониторинг системы администратором. Мониторинг представляет собой оперативное получение и анализ информации о состоянии АС с помощью специализированных средств контроля. Это является наиболее мощным средством выявления неавторизованной деятельности в режиме реального времени. Ведение и анализ регистрационного журнала системы. Это позволяет фиксировать заданные события, связанные с информационной безопасностью. Важность анализа (аудита) регистрационных журналов трудно переоценить: они важны и для обнаружения и отслеживания нарушителя, выявления слабых мест в системе защиты, оптимизации производительности и безопасности, наконец, для выявления пассивных сотрудников и др. Для мониторинга и аудита обычно требуются специализированные системы контроля и сетевые анализаторы. 5. В разделе могут быть освещены действия в случае подозрений неавторизованной деятельности, однако, подробное изложение данного вопроса представлено в плане обеспечения непрерывной работы и восстановления. 6. Правила безопасной работы персонала. Обычно правила делятся в соответствии с категориями персонала, а именно: - правила безопасной работы, различные действия, процедуры докладов пользователей, - правила администрирования, конфигурационного управления, процедуры сохранения/восстановления, процедуры докладов администраторов. 7. Ресурсы для предупреждения нарушений безопасности. В данном разделе описываются программные, аппаратные и процедурные ресурсы, реализующие политику безопасности. Интегрированная система безопасности корпоративной сети обычно включает следующие средства: - системы и средства аутентификации (действия администратора, запрос-ответные парольные системы, система Kerberos, интеллектуальные карты и др.); - средства обеспечения целостности информации (контрольные суммы, иммитовставки, хеширование); - средства обеспечения конфиденциальности (шифрование) и средства аутентификации источника данных (электронная подпись); - сетевые соединения, межсетевые экраны и средства ограничения сетевого доступа (шлюзовые маршрутные таблицы, фильтрующие маршрутизаторы). Особо в плане могут быть выделены типы процедур безопасности АС предприятия. Перечислим наиболее типичные процедуры защиты информации: 1. Проверка системной безопасности. Элементом таких проверок является ревизия политики безопасности и защитных механизмов. Примерами могут быть плановые учения и отдельные проверки некоторых процедур. 2. Процедуры управления счетами. Это необходимо для предотвращения несанкционированного доступа к системе. Должны быть процедуры управления счетами и администраторов, и пользователей. Администратор отвечает за заведение, удаление счетов и осуществляет общий контроль. Пользователь может контролировать, пользовался ли кто-нибудь его счетом. 3. Процедуры управления паролями (процедуры выбора пароля и смены пароля). 4. Процедуры конфигурационного управления. После рекомендаций по реализации защиты в плане могут быть конкретизированы ответственность и обязанности персонала. Заканчивается план определением общих вопросов жизненного цикла системы защиты: внедрение, эксплуатация, сопровождение и снятие с эксплуатации. Здесь могут быть определены сроки и периодичность проверки систем защиты в соответствии с порядком пересмотра политики безопасности и анализа риска.
3.3.2. План обеспечения непрерывной работы и восстановления Частью реакции на нарушения безопасности является предварительная подготовка ответных мер. Под этим понимается поддержание должного уровня защиты так, чтобы ущерб мог быть ограничен, а в дальнейшем исключен. Указанный план определяет действия персонала АС в критических ситуациях с целью обеспечения непрерывной работы и восстановления функционирования АС. Он должен исключить двусмысленности, возникающие во время инцидента. Необходимость указанного плана диктуется следующим: - предотвращением угрозы жизни людей; - экономическими целями; - требованиями по защите секретной, критически важной (особенно невосстановимой) информации; - нежелательной оглаской в прессе; - правовым аспектом (например, возможно преследование организации в судебном порядке). Кроме того, наличие плана благотворно влияет на моральную обстановку в коллективе. Руководство знает, что при неблагоприятных условиях не придется начинать все сначала, пользователи уверены – какая-то часть их труда будет сохранена. Обычно план состоит из двух частей, описывающих: 1. Меры реагирования на нарушения безопасности. 2. Восстановительные работы. Меры реагирования на нарушения Данные меры направлены на обнаружение и нейтрализацию нарушений. Они преследуют две основные цели: - ограничение распространения угрозы и снижение ущерба, - недопущение повторных нарушений. В соответствии с этим строится указанная часть плана, которая содержит следующие группы сведений: 1. Основные положения. 2. Оценка инцидента. 3. Оповещение. 4. Ответные меры. 5. Правовой аспект. 6. Регистрационная документация. В основных положениях документа формулируются цели политики безопасности в вопросах реакции на нарушения. Важно заранее определить приоритеты при решении спорных вопросов. После уяснения целей и приоритетов, они подлежат упорядочиванию по степени важности. В таблице 3.2 представлен пример типовых целей и приоритетов системы безопасности АС предприятия. Большинство нарушений безопасности достаточно трудно идентифицируются. Для выявления нарушений безопасности в документе могут быть определены признаки нарушений. Таковыми могут быть: отказы подсистем, неестественная активность и ненормальные действия некоторых пользователей, новые файлы со странными именами, рассогласование в учетной информации, необычно низкая производительность, подозрительные пробы (многочисленные неудачные попытки входа), подозрительное изменение размеров и дат файлов или их удаление, появление новых пользовательских счетов, попытки записи в системные файлы, аномалии (звуковые сигналы и сообщения) и т. д. Таблица 3.2 Вариант упорядочивания целей и приоритетов
Идентификации инцидента сопутствует определение масштаба его последствия. Здесь целесообразно выяснить: затрагивает ли нарушение несколько организаций и подсистем АС, находится ли под угрозой критически важная информация, какой источник нарушения, каковы могут быть потенциальные потери, какие материальные и временные ресурсы могут понадобиться для ликвидации нарушения и др. В плане описывается схема оповещения конкретных лиц, указывается руководство и ответственные лица, оговариваются вопросы взаимодействия с группами быстрого реагирования (собственная группа или внешняя), связи с общественностью (могут быть подготовлены пресс-релизы), с правоохранительными органами. Здесь же рекомендуется осветить стандартные формулировки докладов. При выработке ответных мер определяются следующие процедуры: - сдерживания распространения нарушения (как ограничить атакуемую область), - ликвидации последствий, - восстановление, - анализ случившегося с извлечением уроков. Очень важно, чтобы реакции на нарушения были зарегистрированы. По крайней мере, фиксируются: системные события (следует приобщить к документации регистрационный журнал системы), все действия с указанием времени, все телефонные разговоры. Восстановительные работы После нарушения следует предпринять ряд действий по восстановлению нормального функционирования АС. Этому посвящена данная часть плана. Основными положениями документа являются следующие: 1. Оперативный пересмотр политики. 2. Устранение слабостей. 3. Усвоение уроков. 4. Совершенствование политики и процедур. Оперативный пересмотр политики начинается со следующих действий: - переучета системных активов (как инцидент повлиял на состояние системы), - пересмотра программы ОБИ с учетом извлеченных уроков, - производства нового анализа риска, - проведения следствия против нарушителей. Самым ответственным пунктом является описание процесса восстановления и устранения слабостей системы. Здесь перечисляются следующие процедуры: определения механизма вторжения, оценки нанесенного ущерба, определения порядка восстановительных работ, подведения итогов с уяснением уроков после восстановления, определения порядка ведения журнала безопасности. После этого описывается порядок «разбора полетов». Здесь рекомендуется составить отчет, в котором описывается инцидент и его ликвидация, описываются дополнительные ресурсы: дополнительные и новые методы, устройства и средства защиты информации, библиотека по ОБИ. Здесь же определяется порядок формирования группы из системных администраторов, которая станет ядром службы безопасности предприятия. В заключение документа описывается порядок пересмотра политики ОБИ и порядок доклада об инцидентах.
3.3.3. Реализация планов Планы, как известно, являются не догмой, а руководством к действию. Поэтому рассмотрим подробнее основные процедуры обеспечения безопасности АС. Многие из них являются обычными действиями администраторов по поддержанию нормального функционирования системы, однако так или иначе, они связаны с информационной безопасностью. К основным процедурам обеспечения безопасности относятся: - проверка системы и средств безопасности; управление паролями; управление счетами; поддержка пользователей; сопровождение программного обеспечения; конфигурационное управление; резервное копирование; управление носителями; документирование. Систематические проверки безопасности – необходимое условие надежного функционирования АС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности АС. Управление паролями является наиболее важной процедурой обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80 % инцидентов в АС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей. Управление счетами – рутинные действия администратора по предотвращению НСД. Администратор отвечает за заведение, контроль длительности действия и ликвидацию счетов, а также осуществляет общий контроль. Важно, чтобы пользователи сами принимали активное участие в проверке безопасности собственных систем, например, отслеживали время использования своего счета. Так же, как и с паролями, администратор должен периодически контролировать легитимность использования счетов путем использования сетевых анализаторов и анализа системных журналов. Поддержка пользователей состоит в обучении, консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения. Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки и совершенствованию качества системы безопасности. Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника. Первая обязанность администратора – это эксплуатация и научно-техническое сопровождение вверенного ему программного обеспечения. В связи с этим, администратор должен выполнять следующие действия: - контролировать безопасность вычислительного процесса с целью выявления компьютерных вирусов, сбоев и отказов функционирования программ и запуска неавторизованных программ и процессов; - контролировать целостность программного обеспечения (неавторизованную модификацию) на предмет выявления программных закладок, недокументированных функций и других программных дефектов; - обеспечивать восстановление программ с эталонных копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения. Процедуры конфигурационного управления. Администратор обеспечивает функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки в конфигурации систем являются причиной незащищенности распределенных АС. Дело в том, что конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности АС. Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями. Поэтому на практике нестандартное конфигурирование, как правило, используют для экранирующих систем - для исключения «стандартных» атак. Конфигурации внутренних систем, расположенных за межсетевым экраном, делают стандартными. Резервное копирование – традиционный способ обеспечения работоспособности системы на случай порчи или утраты информационно-программного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разумеется, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого стихийного бедствия и действия злоумышленника. Управление носителями включает процедуры по их хранению, учету, выдаче, контролю правильности использования и уничтожения носителей. Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями. Вся деятельность по безопасности отягощена документированием. Система документации очень разнообразна: от идеологии фирмы и конструкторской документации до журнала выдачи магнитных носителей и учета времени работы. Основное внимание в документировании уделяется вопросам сбора, выдачи и хранения документов. Важно выделить документы, действительно важные для безопасности системы. Последнее время наметилась тенденция в реализации безбумажной технологии – создание электронных архивов документов администратора безопасности. Однако следует знать, что в России такие документы пока не имеют юридической силы.
|