- •Управление информационной безопасностью
- •Основные программно-технические меры
- •Идентификация и аутентификация
- •Наиболее распространенные угрозы
- •Общая структура управления иб на предприятии
- •Общие принципы Управления информационной безопасностью на государственном уровне
- •Операционные регуляторы
- •Управление персоналом
- •Физическая защита
- •Организационная структура, персонал и основные задачи департамента информационной безопасности предприятия
- •Основные задачи
- •Операционные регуляторы
- •Планирование восстановительных работ
- •Операционные регуляторы
- •Поддержание работоспособности
- •Политика безопасности в примерах
- •Описание аспекта.
- •Область применения.
- •Позиция организации.
- •Роли и обязанности (общие положения).
- •Законопослушность.
- •Роли и обязанности (детальное изложение). Руководители подразделений обязаны:
- •Администраторы локальной сети обязаны:
- •Администраторы сервисов обязаны:
- •Пользователи обязаны:
- •Политика информационной безопасности предприятия: верхний уровень
- •Политика информационной безопасности предприятия: нижний уровень
- •Политика информационной безопасности предприятия: средний уровень
- •1. Предварительное обследование системы иб.
- •Предпосылки развития управления иб предприятии
- •Программа реализации политики безопасности — управленческий аспект
- •2. Проектирование системы иб.
- •Основные программно-технические меры
- •Протоколирование и аудит
- •Работа с персоналом предприятия
- •Операционные регуляторы
- •Реакция на нарушения режима безопасности
- •Структура организационного обеспечения информационной безопасности на уровне государств
- •Структура политики информационной безопасности и процесс ее разработки
- •Основные программно-технические меры
- •Управление доступом
- •Управление рисками
- •Функции Департамента информационной безопасности, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия
Основные программно-технические меры
Программно-технические меры образуют последний и самый важный рубеж информационной защиты. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.
Мы рассмотрим следующие основные сервисы безопасности:
идентификацию и аутентификацию,
управление доступом,
протоколирование и аудит,
криптографию,
экранирование.
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит — это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (например, раз в день).
Реализация протоколирования и аудита преследует следующие главные цели [12]:
обеспечение подотчетности пользователей и администраторов;
обеспечение возможности реконструкции последовательности событий;
обнаружение попыток нарушения информационной безопасности;
предоставление информации для выявления и анализа проблем.
Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались пе речисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность. Разумный подход к данному вопросу предлагается в "Оранжевой книге" (см. Разд. Анализ регистрационной информации).
Еще одна особенность протоколирования и аудита — зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистраци онной информации. Возможно, для защиты привлекаются и криптографические методы.
Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.
Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.
Обнаружение попыток нарушений информационной безопасности — тема сложная, требующая, вообще говоря, привлечения методов искусственного интеллекта. Как выявлять подозрительные события? Иногда это легко (что может быть подозрительнее последовательности неудачных входов в систему?), иногда сложно (некто больше обычного пользуется модемом, чтобы передать за пределы организации конфиденциальную информацию). В любом случае, организуя оперативный или периодический аудит, следует сформулировать для себя или для программы критерии отбора записей, требующих детального анализа. При правильной постановке подобная деятельность может существенно усилить защиту. Напомним, что поимка немецких хакеров, действовавших по заказу КГБ, началась с выявления подозрительного расхождения в несколько центов в ежедневном отчете крупного вычислительного центра.
Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.
Трудной проблемой является организация согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами (см. Разд. Распространение подхода клиент/сервер на информационную безопасность), которые возьмут протоколирование на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.
Протоколирование и аудит можно превратить в бессмысленную формальность, а можно — в эффективный инструмент поддержания режима информационной безопасности.
47-Пять приоритетов в деятельности США по обеспечению ИБ
Пять приоритетов в деятельности США по обеспечению ИБ
В феврале 2003 года администрацией президента Джорджа Буша-младшего была опубликована "Национальная стратегия достижения безопасности в киберпространстве" ("National Strategy to Secure Cyberspace"), описывающая пять приоритетов в деятельности США по обеспечению информационной безопасности и основные задачи в рамках этих приоритетов на среднесрочную и долгосрочную перспективу [51].
Фактически данные документы могут считаться официальной общенациональной политикой США в сфере информационной безопасности, на основе которой строится вся система деятельности государственной власти в этой области и структура государственных органов, обеспечивающих информационную безопасность в стране.
В соответствии со стратегией информационной безопасности основными государственными приоритетами в этой области являются [51]:
становление и развитие национальной системы реагирования на происшествия в сфере информационной безопасности;
реализация комплексной системы мер по уменьшению угроз информационной безопасности;
обеспечение подготовки специалистов в сфере компьютерной безопасности и обеспечение ответственного отношения всего населения страны к вопросам защиты информации;
обеспечение защиты информационных систем, имеющих отношение к государственным органам;
развитие различных форм кооперации (в том числе и международной) в сфере обеспечения информационной безопасности.
Приоритет 1. Развитие системы реагирования на происшествия в сфере информационной безопасности предполагает, что быстрое обнаружение атак и своевременный обмен информацией о них во многих случаях могут значительно снизить ущерб. Для обеспечения безопасности Стратегия предполагает реализацию следующих основных мероприятий:
разработку архитектуры взаимодействия как правительственных, так и неправительственных структур, которая обеспечила бы реагирование на инциденты;
обеспечение как тактического, так и стратегического анализа атак на информационные ресурсы, а также оценки их уязвимости;
поощрение распространения частными компаниями имеющейся у них информации об общем состоянии дел в сфере информационной безопасности;
расширение работы "Информационной сети для предупреждений об угрозах критической инфраструктуре" (CWIN) для поддержки роли Министерства национальной безопасности в разрешении кризисов и некоторых других.
Приоритет 2. Реализация программы устранения угроз для информационной безопасности и уязвимостей в информационных системах предполагает, что наличие уязвимостей в различных информационных системах само по себе в определенной мере обуславливает возможность атак на них и, соответственно, является источником опасностей для элементов критически важной инфраструктуры страны. Таким образом, устранение уязвимостей является одним из наиболее важных направлений работы по обеспечению информационной безопасности. Для обеспечения безопасности Стратегия предполагает реализацию следующих основных мероприятий:
расширение возможностей проведения расследований компьютерных преступлений для последующего предотвращения возможных атак;
создание общенационального механизма для оценки уязвимостей с целью обеспечения более полного понимания негативных последствий от реализации угроз и использования уязвимостей;
повышение безопасности сети Интернет путем совершенствования используемых протоколов и механизмов маршрутизации и некоторых других.
Приоритет 3. Развитие ответственного отношения к вопросам информационной безопасности и подготовка кадров в этой сфере предполагает, что источником многих уязвимостей является недостаточно ответственное отношение некоторых пользователей, системных администраторов и разработчиков информационных систем к вопросам защиты информации, их недостаточная осведомленность и информированность в этой сфере. Для обеспечения безопасности Стратегия предполагает реализацию следующих четырех основных мероприятий:
продвижение многосторонней общенациональной программы по информированию и развитию ответственного отношения граждан страны к обеспечению безопасности тех информационных систем, к которым они имеют какой-либо доступ;
поощрение создания программ подготовки специалистов, которые обеспечили бы удовлетворение потребности в персонале;
повышение эффективности существующих программ подготовки специалистов в сфере информационной безопасности;
поддержание усилий частных компаний по созданию, распространению и обеспечению всеобщего признания сертификационных программ в сфере информационной безопасности.
Приоритет 4. Охрана государственных информационных ресурсов. Для решения задач в этой сфере Стратегия предполагает реализацию следующих основных мероприятий:
обеспечение непрерывного оценивания угроз для государственных информационных систем и существующих в них (системах) уязвимостей;
обеспечение безопасности локальных правительственных беспроводных сетей;
обеспечение безопасности при передаче процессов на аутсорсинг и проведении закупок для правительственных нужд и некоторых других.
Приоритет 5. Развитие кооперации между различными ведомствами и компаниями, а также международной кооперации в сфере обеспечения информационной безопасности обусловлено тем, что практически все информационные системы (и в стране, и в мире) являются взаимосвязанными и требуют глобального системного подхода к вопросам защиты информации. Для решения задач в этой сфере Стратегия предполагает реализацию следующих основных мероприятий:
усиление контрразведывательной деятельности в сферах, имеющих отношение к информационным системам и технологиям;
поощрение создания национальных и международных сетей наблюдения и предупреждения ("watch-and-warning networks"), обеспечивающих выявление и предупреждение атак на информационные ресурсы;
поощрение присоединения других стран к Конвенции Совета Европы по киберпреступлениям или совершенствования национальных законодательств и некоторых других.
48-Работа с персоналом предприятия