Информационная безопасность / Общий_лекция
.pdf371
Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.
Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.
Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.
Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.
Последний принцип - всеобщая поддержка мер безопасности - носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.
373
определение требований к средствам защиты.
Изучение и систематизация угроз ЗИ предусматривает следующие этапы:
•выбор объектов ИС и информационных ресурсов, для которых будет проведен анализ;
•разработка методологии оценки риска;
•анализ угроз и определение слабых мест в защите;
•идентификация угроз и формирование списка угроз;
•формирование детального списка угроз и матрицы угрозы/элементы ИС или информационные ресурсы.
Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность. Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них, поэтому анализируемые виды уместно выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники.
Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер.
Когда намеченные меры приняты, необходимо проверить их действенность, например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки, если нет – следует проанализировать допущенные ошибки и провести повторную оценку рисков.
При разработке методологии оценки риска используются методы системного анализа, в результате получаются оценки предельно допустимого
и реального риска осуществления угроз в течение некоторого времени. В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с затратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероятности реализации угрозы и приходится ограничиваться качественными оценками. Оценка ущерба, который может нанести деятельности организации
374
реализация угроз безопасности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации.
Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, которые подвергаются риску, а также с ущербом, который может быть нанесен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточные риски и расходы по мероприятиям, связанным с защитой информации.
По результатам проведенной работы составляется документ, содержащий:
•перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения;
•защитные меры, необходимые для нейтрализации угроз;
•анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях остаточного риска и целесообразности применения конкретных вариантов защиты.
Управление риском (2) – процесс, состоящий в последовательном выполнении трех частей: определение риска в незащищенной ИС, применение средств защиты для сокращения риска и оценка остаточного риска.
Управление риском можно детализировать разбиением его на семь этапов.
1.Определение степени детализации, границ анализа и методологии.
2.Идентификация и оценка ценности ресурсов ИС.
3.Идентификация угроз и определение вероятности.
4.Измерение риска.
5.Выбор соответствующих мер и средств защиты.
6.Внедрение и тестирование средств защиты.
7.Одобрение остаточного риска.
Конечной целью управления риском является минимизация риска. Цель минимизации риска состоит в том, чтобы применить эффективные
меры защиты таким образом, чтобы остаточный риск в ИС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск недопустимо велик; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения, приемлем ли остаточный риск в ИС.
Дадим краткую характеристику этапам управления риском.
375
Этап 1. Определение степени детализации На этом этапе составляется перечень того, какие информационные и
технические ресурсы из состава ИС и с какой детальностью должны рассматриваться в процессе управления риском. Перечень может включать ИС в целом или ее части, такие, как функции коммуникаций данных, функции сервера, приложения и т.д.
Степень детализации можно представлять как сложность созданной логической модели всей ИС или ее частей, отражающую глубину процесса управления риском. Степень детализации будет отличаться для разных областей ИС. Например, некоторые области могут рассматриваться поверхностно, в то время как другие – глубоко и детально.
Этап 2. Идентификация и оценка ценности ресурсов ИС В ходе оценки ценностей выявляются и назначаются стоимости
ресурсов ИС. Этот шаг позволяет выделить ресурсы, приоритетные с точки зрения организации защиты. Ценности могут быть определены на основании воздействий и последствий для организации. Оценка рисков предполагает не только стоимость ресурсов, но и последствия в результате раскрытия, искажения, разрушения или порчи информационных и технических ресурсов ИС.
Стоимость ресурсов может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из простейших методик оценки потерь для ценности состоит в использовании качественного ранжирования на высокие, средние и низкие потери.
Одним из косвенных результатов этого процесса является создание детальной конфигурации ИС и функциональной схемы ее использования. Эта конфигурация должна описывать подключенные аппаратные средства ИС, главные используемые приложения, важную информацию, обрабатываемую в ИС, а также способ передачи этой информации через ИС. Конфигурация аппаратных средств содержит: серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д. Конфигурация программного обеспечения включает в себя: операционные системы серверов, операционные системы автоматизированных рабочих мест, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ИС, местоположение программного обеспечения в ИС. После того как описание конфигурации ИС
376
закончено и ценности определены, появится представление о том, из чего состоит ИС и какие ресурсы необходимо защищать в первую очередь.
Этап 3. Идентификация угроз и определение их вероятности На этом этапе должны быть выявлены угрозы и уязвимые места,
определены вероятности реализации угроз. Список угроз следует рассматривать в зависимости от степени детализации описания ИС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места. Более детальный анализ может связать угрозу с конкретной компонентой ИС.
Существующие средства и меры защиты в ИС должны быть проанализированы, чтобы можно было определить, обеспечивают ли они адекватную защиту от соответствующей угрозы, в противном случае место возникновения угрозы можно рассматриваться как уязвимое место. После того как определенные угрозы и связанные с ними уязвимые места выявлены, с каждой парой угроза/уязвимое место должна быть связана вероятность того, что эта угроза будет реализована.
Этап 4. Измерение риска В широком смысле мера риска может рассматриваться как описание
видов неблагоприятных действий, влиянию которых может подвергнуться система, и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска. Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах.
Количественные подходы связаны с измерением риска в терминах денежных потерь.
Качественные – с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования.
Одномерные – рассматривают только ограниченные компоненты (риск = величина потери Ч частота потери).
Многомерные подходы рассматривают такие дополнительные компоненты в измерении риска, как надежность, безопасность или производительность.
Одним из наиболее важных аспектов меры риска является то, что ее представление должно быть понятным и логичным для тех, кто выбирает средства защиты и решает вопросы минимизации риска.
377
Этап 5. Выбор соответствующих мер и средств защиты Цель этого процесса состоит в выборе соответствующих мер и средств
защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска. Взаимосвязь между проверкой приемлемости риска и выбором средств защиты может быть итеративной.
Первоначально организация должна упорядочить уровни рисков, определенные в ходе оценки риска. Наряду с этим организация должна принять решение о количестве остаточного риска, который желательно принять после того, как выбранные меры и средства защиты будут установлены.
Эти начальные решения по принятию риска могут внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых мер и средств защиты известны, можно повторно провести проверку приемлемости риска и определить, достигнут ли уровень остаточного риска или необходимо изменить решения относительно его приемлемости, чтобы отразить информацию о свойствах предлагаемых средств защиты.
Отбор соответствующих средств защиты для механизмов, входящих в состав ИС, является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость средства его защиты была связана с мерой риска, при определении рентабельности средства зашиты.
Для вычисления общего отношения риск/стоимость используют меру риска и финансовую меру, связанную с каждым отношением угроза/механизм и рассчитывают отношение риска к стоимости (т.е. риск/стоимость). Значение этого отношения меньше единицы будет указывать, что стоимость средств защиты больше, чем риск, связанный с угрозой.
Этап 6. Внедрение и тестирование средств защиты Цель процесса внедрения и тестирования средств защиты состоит в
том, чтобы гарантировать правильность реализации средств защиты, обеспечить совместимость с другими функциональными возможностями ИС и средствами защиты и получить ожидаемую степень защиты.
Этот процесс начинается разработкой плана внедрения средств защиты, который должен учитывать такие факторы, как доступный объем финансирования, уровень подготовки пользователей и т.д. График испытаний для каждого средства защиты также включается в этот план. План должен показывать, как каждое средство защиты взаимодействует с другими средствами защиты или влияет на них (или функциональные возможности ИС). Важно не только то, что средство защиты исполняет свои функции, как
378
ожидается и обеспечивает требуемую защиту, но и то, что средство защиты не увеличивает риск неправильного функционирования ИС из-за конфликта с другим средством защиты.
Каждое средство должно быть проверено независимо от других средств, чтобы гарантировать обеспечение ожидаемой защиты. Однако это может оказаться неуместным, если средство предназначено для совместной работы с другими средствами.
Этап 7. Одобрение остаточного риска После того как все средства защиты реализованы, проверены и
найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место, должен теперь быть сокращен до приемлемого уровня или устранен. Если эти условия не соблюдены, то решения, принятые на предыдущих шагах, должны быть пересмотрены, чтобы определить надлежащие меры защиты.
Посещая семинары и презентации различных систем и продуктов по информационной безопасности, порой можно увидеть следующую картину. Представитель компании, представляющий продукт, расписывает в ярких красках достоинства и особенности своей системы, из которых можно сделать вывод, что данная система — это все что необходимо для обеспечения безопасности организации (пусть даже отдельного направления деятельности или отдельной подсистемы). При этом можно увидеть, как разгораются глаза у участников — посетителей семинара, специалистов, так или иначе обеспечивающих или отвечающих за безопасность конкретных предприятий. Можно с высокой степенью вероятности предположить, что некоторые из них по окончании семинара-презентации направятся к своему руководству с предложениями о приобретении рекламируемой системы, особенно если предприятие государственное или такое, где специалисты напрямую не заинтересованы в рациональном расходовании средств. Отвлекаясь от достоинств или недостатков любой из систем или продуктов, необходимо осознать то, что защита информационных ресурсов должна быть продумана и эффективна, поскольку она в определенной степени предназначена и для сохранения финансовых ресурсов организации. В этом смысле приобретение дорогого, разрекламированного средства информационной безопасности может идти вразрез с самими целями мероприятий по информационной безопасности.
Часто можно услышать подобную логику рассуждений: на данном компьютере лежит конфиденциальная информация, следовательно, поместить его за межсетевой экран (или установить на нем персональный
379
межсетевой экран), антивирусное (в данном случае анти-троянское) программное обеспечение, сканнер атак на хост, программу контроля целостности системных файлов и вдобавок ко всему оснастить его системой биометрического контроля доступа, скажем, по отпечатку пальца. Суммарные расходы на защиту компьютера начинают превышать стоимость самого компьютера с операционной системой и приложениями. (При этом, правда, иногда упускается из виду, что оператор, работающий на данной станции с указанными секретными данными, готов поделиться этими секретными данными за сумму, сравнимую с его месячной заработной платой, возможно, это несколько десятков, пусть даже сотен долларов.) Если же, как это обычно бывает, информация распределена между станциями сети, стоимость защиты вырастает в существенные суммы. Однако какой конкретный ущерб принесет разглашение этой информации? Очевидно, что это неприятно, особенно если такой инцидент стал достоянием публики. Но каково материальное выражение этого ущерба?
Некоторые руководящие документы по информационной безопасности косвенно или явно формально указывают на основной принцип определения требуемого уровня защиты. Обычно он формулируется так: "Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую данная защита должна предотвратить". Реже принимается другой принцип: "Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки". Первый подход обычно характерен для коммерческих организаций, ориентированных на получение прибыли, второй подход — для организаций работающих, например, с государственными секретами, когда построение защиты подразумевает более существенные расходы.
Однако, если измерить произведенные расходы на приобретение и установку систем защиты информации достаточно легко, то оценить, сколько необходимо потратить на обеспечение безопасности, сложнее. Скажем, если разглашение информации по компрометирующим действиям западного политика может привести к его отставке, то на территории бывшего СССР
это может наоборот прибавить политику популярности.
Управлением рисками следует заниматься не только при планировании глобальных модификаций информационного пространства организации, но и в ряде более мелких случаев. Например, организация использует большую автоматизированную систему, приобретенную у стороннего поставщика, но при этом она открыта к модификации (в ней присутствуют детализированные описания API).
Одним из элементов обеспечения информационной безопасности является анализ регистрационных журналов системы. Однако стандартная
380
поставка системы такова, что журнал неполон и дополнительную информацию приходится собирать из других подсистем (допустим, из журналов операционной системы), для чего необходима дополнительная работа, которая выливается в одну штатную единицу оператора мониторинга журналов.
Возможные альтернативные решения имеющейся проблемы:принять на работу оператора для выполнения необходимых работ;
заказать у поставщика обновление системы с расширенным регистрационным журналом;
поручить своим программистам разработать дополнительный модуль с помощью имеющихся API;
приобрести отдельный продукт, который будет производить анализ разрозненных регистрационных журналов, возможно, как одну из подфункций к другой полезной деятельности.
Выбирать подходящий вариант из имеющихся можно только после оценки потенциального ущерба оттого, что атака будет реализована по причине отсутствия каких-либо работ по анализу регистрационных журналов системы. Ведь возможно, что стоимость реализации любого из четырех приведенных проектов окажется значительно больше вероятных потерь организации в случае атаки.
Оценка рисков как часть направления информационной безопасности
— управления рисками, является существенным инструментом в построении защиты. Однако для эффективного использования этого инструмента необходимо выполнить ряд условий, например, перейти от качественных понятий к количественным. Скажем, "получение доступа к данной информации приведет к краху компании" — это качественное описание, а "разглашение данной информации потребует выплаты суммы п\ клиентам, «2 конкурентам, «з судебные издержки" — это количественное описание. Этот процесс значительно облегчен, если в организации уже произведена классификация информационных активов.
Тема 4.2. Программно-аппаратные средства идентификации и аутентификации пользователей.
1.Идентификация и аутентификация. Основные понятия и классификация
2.Простая аутентификация
3.Аппаратно-программные средства типа «электронный замок»
4.Биометрическая аутентификация. Строгая аутентификация