Структурная схема КИС КБ «РосБалт» приведена на рис, 2.4. Исходные

данные Типы серверов

Общее количество серверов - 40, Все серверы производства компаний Sun:

Cheek Point (Solaris 2.7);

•1 сервер - для Application Oracle (Solaris 2.7);

•1 сервер - для E-Mail, Proxy, DNS; •10 серверов -»для сетей филиалов:

•5 серверов - для файловых систем пользователей, базы данных.

Типы рабочих станций

Количество рабочих станций на предприятии - 500. Платформы - Intel, ОС -Windows 98, решаемые задачи - работа с офисными приложениями (в основном MS Word, MS Excel), базами данных и специальными АРМ.

Количество сегментов и способы соединения Количество сегментов - 12. Способ подключения: модемы, маршрутизаторы. Сетевые протоколы

Используются только сетевые протоколы TCP/IP.

Варианты организации выхода в Internet

Они могут быть следующими:

способ подключения - выделенная линия; подключение через систему защиты: маршрутизаторы, система защиты сер веров, Firewall-1;

WEB - только внешний;

FTP — только внутренний;

контроль трафика: анализ загруженности сети;

контроль пользователей: разграничение доступа по IP адресу.

Использование встроенных средств мониторинга, безопасности и архивации

Данные средства могут использоваться следующим образом:

на основе средств защиты ОС Windows NT; разграничение сегментов сети через Firewall и через внутренние коммутаторы; мониторинг безопасности сети выполняется администраторами сети стандарт

ными средствами; используются локальные средства антивирусной защиты KAV, TrendMicro,

Symantec;

средства криптографической защиты информации не используются; архивирование проводится 1 раз в неделю стандартными средствами ОС; осуществляется контроль за действиями извне, внутри контроль ложится на использование паролей;

средства системного аудита не используются;

используются следующие средства защиты информации от НСД: SecretDisk производства компании Алдадин, Dallas Lock 4.1/5.0 PCI (производства ком пании Конфидент).

Данные о функционировании информационной системы

Служба информационной безопасности содержит штат в составе 10 человек (5 системных администраторов и администраторов баз данных, 3 .администратора безопасности it 2 системных аналитика). Приняты инструкций, в которых описан процесс регистрации пользователей. Доступ к информации разрешается согласно должностным инструкциям для сотрудников банка.

Организация системы информационной безопасности

В настоящее время ведется ряд мероприятий по выделению дополнительных специальных

серверов для хранения критичной информации.

2.1.4, Общие проблемы представителей отечественного бизнеса

Анализ исходных данных в представленных примерах даже без проведения детальных инструментальных проверок с помощью средств активного аудита и проведения полного анализа защищенности предприятий отчетливо показывает типичные проблемы отечественных компаний в сфере информационной безопасности. Если их обобщить, то можно указать следующие возможные угрозы утечки и/или несанкционированного использования конфиденциальной информации для всех рассмотренных корпоративных систем Internet/Intranet.

Угрозы безопасности рабочих станций:

возможен несанкционированный доступ к корпоративным информационным ресурсам с последующим перехватом, модификацией и уничтожением кон фиденциальной информации на рабочих станциях; отсутствует учет доступа пользователей к рабочим станциям и учет времени работы с информационными ресурсами компании;

не решен вопрос защиты от несанкционированного доступа в помещение по

регулярно не производятся анализ и статистика нарушений и формирование базы безопасности предприятия.

Типовая модель поведения нарушителя:

физическое подключение к элементам корпоративной сети; возможность прохода на территорию предприятия и физического доступа

посторонних лиц к узлам сети во время отсутствия персонала предприятия; свободный доступ к информационным ресурсам для лиц из числа персонала предприятия, не имеющих на это прав, и др.

Как предупредить указанные угрозы? Как управлять информационными рисками компании? Как оценить влияние состояния информационной безопасности на бизнес компании? Как проверить правильность и корректность установки гг настройки существующих средств обеспечения безопасности? Какие аппаратно-программные решения предприятию нужно дополнительно использовать для совершенствования собственной системы информационной безопасности? Как обосновать затраты на создание эффективной системы обеспечения информационной безопасности? Как быстро окупится такая система безопасности? По-видимому,, полный ответ на эти и другие вопросы можно получить лишь только в ходе проведения объективного аудита безопасности вашей корпоративной системы Internet/Intranet.

2.2. Выработка рекомендаций по результатам аудита безопасности

Создание эффективной системы информационной безопасности компании - это в действительности создание системы. Здесь мало обеспечить согласование протоколов стека TCP/IP и средств защиты информации в гетерогенной корпоративной сети под управлением различных клонов UNIX и операционной системы Windows. Необходимо собрать систему, для которой можно будет доказать отсутствие недекларированных возможностей работы злоумышленника и ошибок. Более того, система должна быть защищена от ошибок и даже злонамеренных действий ее легальных пользователей и системных администраторов, удобна в эксплуатации и, по возможности, прозрачна и гибка для конечных пользователей.

Поэтому в настоящее время происходит расширение не столько рынка отдельных средств защиты информации, сколько рынка конечных комплексных систем информационной безопасности (рис. 2.5).

И на этот рынок начинают выходить такие, компании-гиганты, как Microsoft, IBM, Cisco и другие, достигшие успехов в развитии компьютерных коммуникационных технологий. Однако даже эти компании страдают некоторой ограниченностью подхода к проблемам безопасности, стараясь решить их в рамках продуктов, выпускаемых ими же.

Действительно, вы можете прослушать курс по информационной безопасности компании Microsoft, и вам объяснят, что все вопросы безопасности сводятся к администрированию защищенной ОС Windows 2000 или Windows XP. С другой стороны, представители компании Cisco Systems расскажут вам, как создать целостную систему безопасности, используя только маршрутизаторы Cisco серии 1700 или выше, межсетевые экраны Cisco PIX, начиная с 501, а также соответствующие средства активного аудита и мониторинга. А компания Check Point может предложить вам развитые системы безопасности, подразумевая под этим набор межсетевых экранов и VPN, управляемых из единого центра. Это все очень напоминает старый анекдот о человеке, который на вступительном экзамене выташил незнакомый ему билет и начал рассказывать экзаменатору все, что

только знал, но только не по теме экзаменационных вопросов. И только единичные компании, например IBM, заявили о том, что не собираются объять необъятное и готовы предложить решения, состоящие не только из собственных продуктов (рис. 2.6).

Рис.2.6. Подход фирмы IBM к вопросам безопасности компьютерных систем.

Итак, что же такое система информационной безопасности? Само понятие «система информационной безопасности* предполагает декомпозицию задачи обеспечения безопасности на ряд взаимно связанных составляющих, каждая из которых имеет свое место в. системе и влияет на окончательный облик всей системы. Сегодня существуют различные варианты декомпозиции названной задачи (табл. 2,1).

Таблица 2.1. Варианты декомпозиции задачи защиты информации

централизованное управление безопасностью.

Различия в данных вариантах только подчеркивают сложность задачи обеспечения безопасности и показывают лишь некоторые проекции истинной архитектуры безопасности систем Internet/Intranet. По-видимому, полное описание системы информационной безопасности должно состоять не из одной, а из многих проекций системы, объединенных в единое целое.

2.2.1.Эволюция взглядов на обеспечение информационной безопасности компании

В основе современных взглядов на обеспечение безопасности корпоративных информационных систем лежит понимание комплексности системы информационной безопасности.

Впервые вопросы информационной безопасности стали актуальными с появлением больших ЭВМ (мэйнфреймов) - крупных автоматизированных систем, доступ к которым через терминалы имели многие пользователи. Наиболее полно системный подход к вопросам безопасности таких систем изложен в знаменитой «Оранжевой книге» Министерства обороны США, а также в руководящих документах (далее - РД) Гостехкомиссии при Президенте РФ.

Так, например, положения РД достаточно детально описывают основные функции системы информационной безопасности в автоматизированной системе

(далее - АС) досетсвых времен, состоящей из главного компьютера и подключенных: к нему локальных терминалов.

Однако с того времени произошли две серьезные перемены. 1. Появились удаленные терминалы. В результате

2. Терминал® стали независимыми от мэйнфреймов.

Терминалы работают под управлением своих собственных многозадачных. ОС, у них появились свои диски, порты и другие периферийные устройства. Пользователь терминала уже не может быть уверен, что терминал находится в его единоличном распоряжении, - на компьютере могут работать вредоносные программы.

Таким образом, АС разделилась па множество подсистем (удаленных компьютеров, серверов, сетевых устройств, средств коммуникации и г. п.). Более того, появились распределенные подсистемы управления всеми этими сложными аппаратно-

программными средствами,

С этого момента перечень задач обеспечения информационной безопасности пополнился следующим перечнем:

•задачами, описанными в РД Гостехкомиссии, достаточно сложными по своей постановке;

Для решения этих задач требуется целое множество аппаратно-программных средств защиты информации (рис. 2.7).

Следовательно, современные решения в области безопасности компьютерных систем должны обладать в определенной степени возможностью систематизации подсистем безопасности:

тов корпоративной информационной системы. МЭ позволяют обеспечивать защиту на следующих уровнях стека TCP/IP;

-уровне достуз ш к компонентам и сети в целом (МАС-адреса); -сетевом уровне (контроль IP-адресов);

— транспортном уровне («-машины состояний* основных протоколов); «ч прикладном уровне (прокси-еистемы);

нием другому приложению па другом компьютере, па основе протокола SSL); -прикладном (например, шифрование данных самостоятельно приложением);

•средства защиты на уровне операционной системы (ОС), осуществляющие контроль:

- за вирусами;

— запуска приложений; -запуска самой ОС; -за работой приложений;

-за доступом к ресурсам и др.;

•средства регламентации доступа на основе систем middle-ware. Их появление

обусловлено необходимостью регламентировать доступ множества пользова телей к множеству приложений и информационных ресурсов, часть которых

может быть замята или выключена централизованным образом. Именно системы middle-ware позволяют снять е пользователя гнет десятков паролей и организовать технологию single-sign-on - единство точки входа в систему. Данные системы осуществляют:

и процедуры допуска, что требует создания так называемой инфраструктуры публичных ключей - PKI;

• средства централизованного управления безопасностью корпоративной сис темы Internet/Intranet с помощью специальных средств, которые могут быть интегрированы в общие центры сетевого управления.

Понятно, что задача обеспечения безопасности корпоративных систем Internet/ Intranet на базе отдельных компонентов разных производителей является достаточно сложной.

Кроме того, если приподняться над корпоративной системой Internet/Intranet, то становится очевидной необходимость выполнения некоторых действий по обеспечению безопасности, выполняемых вне самой АС:

•обнаружение вторжений с помощью специальных систем обнаружения втор жения IDS ~ Intrusion Detection Systems, например Real Secure компании ISS, позволяющей с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени;

•аудит систем протоколирования, например, с помощью средств ОС Linux, которые представляют собой встроенные подсистемы записи всех происхо дящих событий, своего рода «черные ящики*-. Периодический анализ содер жимого таких средств может позволить выявить действия нарушителей или сбои в системе;

•сканирование обороны, например, с помощью сканера NetRecon компании

с целью выявления слабых мест в существующей системе защиты.

Сегодня на рынке средств защиты информации существует целый комплекс апробированных и сертифицированных технических решений по следующим основным направлениям:

(ЗАСТАВА) и др.;

•реализация защиты электронной почты, аудио- и видеопереговоров и другой информации, передаваемой по открытым каналам связи, с использованием

масштабе всего предприятия (решения компаний TrendMicro, Symantec и др,),;

•разграничение доступа к информационным ресурсам, а также защита от не санкционированного доступа к информации: Конфидент (Dallas Lock), Ин-

онных ресурсов с использованием технологии обнаружения вторжения (intrusion detection) компаний: ISS, например Internet Scanner, или Symantec - NetRecon.

Правильное применение этих и других средств возможно только при глубоком понимании основ защиты информации и увязывания их в единую централизованную систему обеспечения безопасности.

2,2.2, Облик корпоративной системы защиты

Какие продукты обеспечения безопасности нужны именно вашему предприятию? Как на основе этих продуктов можно построить эффективную систему обеспечения информационной безопасности предприятия? Как эти средства защиты информации правильно разместить в корпоративной системе Internet/Intranet? Каким образом правильно их увязать в единую систему централизованного управления? Попробуем найти возможные ответы на эти вопросы.

По мнению специалистов в области безопасности корпоративных систем Internet/Intranet, облик комплексной корпоративной системы защиты информации должен содержать следующие основные уровни обеспечения безопасности (рис. 2,8):

•уровень ядра; •уровень периметра;

•уровень удаленного и мобильного доступа.

Здесь для каждого уровня фиксируются адекватные поставленным целям определенные сервисы безопасности, например, на уровне периметра это могут быть межсетевые экраны (Firewalls), VPN-шлюзы, антивирусные шлюзы, системы обнаружения атак, IDS; на третьем уровне - сервисы обнаружения вторжений, VPN-клиенты, пакетные IP-фильтры, СЗИ от ИСД.

2,2.3. Централизованное управление информационной безопасностью компании

Для того чтобы корпоративные средства обеспечения информационной безопасности:, собранные воедино, представляли собой законченную комплексную систему, необходима система централизованного управления информационной безопасности предприятия. Сегодня такие системы предлагают единичные компании-лидеры.

Рассмотрим характеристики следующих систем централизованного управления безопасностью предприятия.

SecureWay - система централизованного управления безопасностью предприятия

SecureWay ~ продукт компании IBM Tivoli. Основное назначение:

•управление политикой безопасности предприятия; •ведение безопасной электронной коммерции;

•построение комплексной системы безопасности (Intranet, Internet). Особенности SecureWay:

•возможна интеграция с продуктами IBM. например с Network Firewall, Vault Registry;

•для централизованного управления безопасностью используются продукты

системы RACP, UNIX, NT; приложения ROMS,ERP, SAP R/3 и др.;

Таблица 2,2. Состав SecufeWay (окончание)

GSO-сервер (Windows NT, Windows 2000, AIX, Solaris),

GSQ-клиечт .(Windows NT, 9x, 2000),

GSO-объект (OS/390, OS/400, UNIX, NT, Netware, OS/2,

Lotus Notes)

Продукт eTrust - защита от атак в Internet

eTmst - продукт компании Computer Associates (CA), назначение продукта -защита от атак в Internet, Особенности:

• возможность интеграции с продуктами Unicenter TNG для централизованно го управления безопасностью;

•реализация функции прогностического управления безопасностью на основе методов паттернов (подобия), что позволяет выявлять и эффективно исполь зовать инварианты (эталоны) безопасного поведения корпоративной инфор мационной системы.

Состав eTrust представлен в табл. 2.3.

Таблица 2.3. Состав eTwst

Теперь рассмотрим некоторые решения обес печения информационной безопас­ ности компаний и организаций подробнее.

2.3. Межсетевое экранирование

Сегодня практически каждая отечественная компания обладает доступом к глобальной сети Internet. Все барьеры на пути к глобальным деловым коммуникациям сняты, временных рамок работы больше не существует, а общение с бизнес-партнерами осуществляется с помощью несложных манипуляций мышью в окне браузера. И в связи с этой открытостью и доступностью межсетевого взаимодействия возникают некоторые вопросы.

Являясь участником делового информационного взаимодействия, как вы обеспечиваете доступность, конфиденциальность и целостность личной и деловой информации? Как можете отразить компьютерные преступления и нарушения компьютерной безопасности, направленные против вас? Как можно предотвратить несанкционированный доступ злоумышленников в вашу корпоративную сеть? Попробуем найти ответы на эти вопросы

ирассмотрим возможные решения защиты корпоративных систем Internet/Intranet,

2.3.1.Специфика lnternet/lntranet-технологий

Специфика Internet-технологий такова, что они развиваются исключительно быстрыми темпами. В результате нормативно-правовая, а следовательно, и техническая база компьютерной безопасности практически всегда отстает от потребностей корпоративного заказчика, что и нашло свое подтверждение в следующем.

По данным Института компьютерной безопасности США (CSI - Computer Security Institute, www.gocsi.coin) и группы Computer Intrusion Squad Федерального Бюро Расследований 90% всех опрошенных в США корпоративных респондентов обнаружили атаки на свои сети, 273 корпорации понесли финансовые убытки на общую сумму более 265 млн. долларов. Так, например, совместный отчет CSI/FBI1 «2000. Компьютерные преступления. Обзор безопасности» содержит по-настоящему сенсационные статистические данные;

•90% опрошенных представителей крупных корпораций и правительственных организаций сообщили о незаконном проникновении в свои компьютерные сети; •70% - сообщили о хищении информации и финансовом мошенничестве;

•74% - понесли значительные финансовые убытки в результате взлома их сетей;

•27% - обнаружили атаки типа «отказ в обслуживании» (denial of service};

•79% - сообщили о несанкционированном доступе или других нарушениях безопасности;

•10% - были не в состоянии ответить, подвергались ли они компьютерным атакам за отчетный период; •85% - обнаружили компьютерные вирусы,

' Ш-Ф1-Д|-1к1,'.и,нил'Ве1}11) Рао-.тмошшш) (ФБР) США

в Internet (рис. 2.9).

Технология ISDN. Предприятие пользуется двумя цифровыми коммутируемы-дпт линиями (два В-каиала) для телефонных переговоров и для работы в Internet в произвольной комбинации (рис. 2.10). Скорость каждого В-канала при выходе в Internet составляет 64 Кбит/с (два В-канада- 128 Кбит/с).

Технология Frame Relay. В этом варианте предприятию доступно высокоскоростное соединение с Internet на основе специального маршрутизатора (рис, 2.11). Здесь скорость передачи данных колеблется между максимальной (64 Кбит/с) и минимально гарантированной в зависимости от загруженности используемой сети передачи данных.

Однако здесь возникает одна существенная проблема, Дело в, том, что все пе­ речисленные варианты подключения корпоративной сети к Internet, обладая

высокими характеристиками по производительности, в стандартной конфигурации не могут обеспечить:

безопасное взаимодействие пользователей и информационных ресурсов, рас

обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Решение данных задач становится возможным только при помощи технологий МЭ, организующей безопасное взаимодействие с внешней средой. Сравнительные характеристики возможных решений технологии МЭ приведены в табл. 2.4.

Таблица 2.4. Уровни защиты сети с помощью технологий МЭ

По мнению специалистов, при подключении сети предприятия к Internet реко­ мендуется защитить корпоративную сеть от несанкционированного доступа с помощью одного да следующих технических решений на основе:

« агшаратно,-программного или программного межсетевого экрана, например Cisco PIX

операционной системы семейства UNIX или реже MS Windows, усиленной специальными утилитами, реализующими фильтрацию пакетов-.

2.3.3. Межсетевые экраны

Сегодня защита корпоративной сети на основе межсетевого экрана позволяет получить максимальную степень безопасности и реализовать следующий список существенных возможностей:

• семантическую фильтрацию циркулирующих потоков данных; фильтрацию на основе сетевых адресов отправителя и получателя;

фильтрацию запросов на транспортном уровне на установление виртуальных соединений; фильтрацию запросов на прикладном уровне к прикладным сервисам;

локальную сигнализацию попыток нарушения правил фильтрации; запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась, и др.

Конкретные варианты МЭ, а также их функциональные характеристики приведены в табл,

Таблица 2.5. Сравнительные характеристики некоторых межсетевых экранов

Существенно, что только выделенные МЭ позволяют выполнить комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (на уровне IP-датаграмм) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так л на семантической (контентной), доступной только коммерческим специальным решениям.

В настоящее время все известные межсетевые экраны можно разделить на не­ сколько основных групп:

•по исполнению:

-аппаратно-программный; -программный;

•по функционированию на уровнях модели OSI:

-щлюэ экспертного типа (комбинация уровней OSI); -экранирующий шлюз (прикладной шлюз); -экранирующий транспорт (шлюз сеансового уровня);

-экранирующий маршрутизатор ( фильтр пакетов, сетевой уровень);

•по используемой технологии:

-контроль состояния протокола (statefut inspection); -на основе модулей-посредников (proxy);

•по схеме подключения:

-схема единой защиты сети; -схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

-схема с раздельной защитой закрытого и открытого сегментов сети. Цены на межсетевые экраны составляют от 1200 до 19000 долларов и выше.

2.3,4. Возможные варианты защиты сети

Рассмотрим варианты защиты корпоративной сети от несанкционированного доступа.

Возможный вариант защиты сети на базе аппаратно-программного межсетевого экрана основан на использовании межсетевого экрана Cisco FIX Firewall компании Cisco Systems (рис. 2.12), Отличительной особенностью межсетевого экрана FIX Firewall является специальная операционная система реального времени. Высокая производительность сетевого экрана базируется на схеме защиты, реализованной на алгоритме адаптивной безопасности (ASA - Adaptive Security Algorithm). Достоинствами этого решения являются:

•высокая производительность и пропускная способность до 170 Мбит/с (но вая модель Cisco PIX 535, появившаяся в России в марте 2001 года, поддер живает фантастическую пропускную способность до 4 Гбит/с);

•возможность поддержки от 56000 до 256000 и более одновременных сессий (TCP-соединений);

•преимущества пакетного и прикладного шлюзов; •простота и надежность в эксплуатации и установке;

•возможность сертификации в Гостехкомиссии России по классу 3 для МЭ и др.

Защита на основе маршрутизатора со встроенным пакетным межсетевым экраном

характеризуется высокой эффективностью и безопасностью, В настоящее время одним из наиболее интересных является вариант защиты на основе маршрутизаторов Cisco 1720 и 1750 (рис. 2.13).

Предлагаемое решение обладает следующими основными достоинствами; • возможность обеспечения безопасности «от точки до точки»: межсетевой экран, авторизация маршрута и маршрутизатора, туннель для маршрута и крип-тозашита данных;

• многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное^ поеледоаателыгое соединение,

такое как выделенная линия, Frame Relay, SMDS, Switched 56 и Х.25;

•возможность обеспечения качества услуги «от точки до точки» посредством

протокола резервирования ресурсов

кInternet (трансляция адресов - NAT.

•ВОЗМОЖНОС1 и Шиикиюацщ! у»д^,,_,^ь„

новлеине соединения по требованию (DDR), предоставление полосы по требованию (BOD) и OSPF по требованию, полустатическая маршрутизация, сжатие и фильтрация.

Высокая производительность маршрутизаторов основана на схеме пакетной фильтрации и возможности установки дополнительной защиты, реализованной на базе Firewall Feature Set (требуется дополнительный модуль и увеличение памяти). Достоинствами этого решения являются:

•высокая производительность и пропускная способность; •преимущества пакетного и прикладного шлюзов; •простота и надежность в эксплуатации и установке и др.

Защита на основе маршрутизатора со списками 'доступа основывается на ис­ пользовании специализированного маршрутизатора и является наиболее распро­ страненной на сегодняшний день (рис. 2.14).

Данный вариант обладает высокой эффективностью и достаточной безопасностью, На сегодняшний день наиболее интересными здесь являются решения на базе Cisco серии 1700, например Cisco 1750, и серии 2600. Основные преимущества такого решения заключаются в гибкости, мультисервисиом доступе, защите

инвестиций.

Для подключения сети предприятия к Internet можно использовать все существующие серии маршрутизаторов Cisco.

Защита пл базе ОС, усиленной функцией пакетной фильтрации, основывается на ОС

семейств UNIX, Linux или Windows, усиленной функцией пакетной фильтрации. В данном случае системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др.

Данное решение характеризуется минимальной начальной ценой (от 700 долларов за легальное программное обеспечение). Здесь по уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы, например Solaris, BSD или Linux.

Однако заметим, что затраты на сопровождение данного решения, как правило, сопоставимы, а в ряде случаев даже превосходят стоимость предыдущих вариантов зашиты.

2.3,5. Примеры защиты периметра сети

Рассмотрим возможные решения для следующих четырех типовых схем сети корпоративного заказчика:

Задача 1

Основной задачей в указанной конфигурации является организация безопасного

подключения корпоративной сети к Internet. Карта типовой сети:

•рабочие станции: Windows 95/98, Windows NT 4.0 wks;

•протоколы: TCP/IP, Netbios, IPX.

Возможные угрозы:

•несанкционированный доступ к ресурсам, съем информации; •отсутствие контроля прав, предоставляемых пользователям; •отсутствие защиты и протоколирования подключений пользователей; •блокирование работы сервера; •утечка информации через каналы сетевого взаимодействия;

•отсутствие проверки паролей на устойчивость к подбору.

Модель злоумышленника:

•физическое подключение к элементам сети; •беспрепятствепный вход в систему во время отсутствия персонала предприятия;

•доступ к информационным ресурсам лиц из числа персонала предприятия, не обладающих соответствующими правами.

Возможный вариант защиты:

Установить на Internet-сервер МЭ Firewall-1 от Check Point.

Особенности решения:

•приемлемая стоимость решения;

»сертификат Гостехкомиссим России по классу 3 защищенности для МЭ; •расчет на фиксированную конфигурацию сети;

•ориентация на ОС Windows NT, 2000 и клоны UNIX.

Задача 2

Основной задачей в указанной конфигурации является организация безолас него подключения корпоративной сети к. Internet.

Карта типовой сети:

•серверы: Windows NT standalone или контроллеры доменов, Novell Netware 4.1/4.11/5.0, FreeBSD, Linux;

•приложения: MS SQL 6.5/7,0 или Oracle 7/8, или PnstgresSQL 6.3/6.5; MS Exchange, или Sendmail, файловые серверы и серверы печати;

•рабочие станции: Windows 95/98, Windows NT 4.0 wks:

•протоколы: TCP/IP, Netbios, IPX.

Возможные угрозы:

•несанкционированный доступ к ресурсам, съем информации; •отсутствие контроля прав, предоставляемых пользователям; •отсутствие защиты и протоколирования подключений пользователей; •блокирование работы сервера;

•утечка информации через кана7гы сетевого взаимодействия; •отсутствие проверки паролей на устойчивость к подбору.

Модель злоумышленника:

•физическое подключение к элементам сетш

•беспрепятственный вход в систему во время отсутствия персонала предприятия;

•доступ к информационным ресурсам лиц из числа персонала предприятия, не обладающих соответствующими правами,

Возможный вариант защиты:

Установить на InteTnct-сервер МЭ CybcrWallPLUS-IP(AP'). Особенности решения:

•приемлемая стоимость за вполне вднкурецтоспособиое решение; •наличие системы обнаружения атак,;

•наличие инструментария для написания собственных шаблонов политики безопасности предприятия;

•поддержка более ШО'О существующих протоколов;

•ориентация на ОС Windows NT и Windows 2000/XP,

Задача 3

Основной задачей в указанной конфигурации является организация безопасного подключения корпоративной сети к Internet.

Карта типовой сети:

• серверы: Windows NT standalone или контроллеры доменов, Novell Netware4.1/4.11/5.0, FreeBSD, Linux, SUN Spare/Solaris;

•приложения: MS SQL 6.5/7.0 или Oracle 7/8, MS Exchange или Lotus Notes; •файловые серверы и серверы печати;

•рабочие станции: Windows 95/98, Windows NT 4.0 wks;

•протоколы: TCP/IP, Netbios, IPX.

Возможные угрозы:

•несанкционированный доступ к ресурсам, съем информации; •отсутствие контроля прав, предоставляемых пользователям; •отсутствие защиты и протоколирования подключений пользователей; •блокирование работы сервера;

•утечка информации через каналы сетевого взаимодействия;

•отсутствие проверки паролей на устойчивость к подбору.

Модельзлоумышленника:

•физическое подключение к элементам сети; •беспрепятственный вход в систему во время отсутствия персонала предприятия;

• доступ к информационным ресурсам лиц из числа персонала предприятия, не обладающих соответствующими правами,

Возможный вариант защиты:

Установить на вход, в сеть маршрутизатор Cisco серии 2600 с Firewall Feature Set.

Особенности решения:

Задача 4

Основной задачей в указанной конфигурации является организация безопас-Шго подключения корпоративной сети к Internet. Карта типовой сети:

•серверы: Windows NT standalone или контроллеры доменов, Novell Netware 4.1/4.11/5.0, FreeBSD, Linux, SUN Spare/Solaris, IBM AIX;

•приложения: MS SQL 6.5/7.0 или Oracle 7/8, MS Exchange или Lotus Notes, файловые серверы и серверы печати;

•рабочие станции: Windows 95/98, Windows NT 4.0 wks;

•протоколы: TCP/IP, Netbios, IPX;

•PS X25 - 3 линии к 2 провайдерам - гарантированный доступ; волоконнооптические линии - 2 линии 2М и 32К (резерв).

Возможные угрозы:

•несанкционированный доступ к ресурсам, съем информации; •отсутствие контроля прав, предоставляемых пользователям;

•отсутствие защиты и протоколирования подключений пользователей; •блокирование работы сервера; •утечка информации через каналы сетевого взаимодействия;

•отсутствие проверки паролей на устойчивость к подбору.

Модель злоумышленника:

•физическое подключение к элементам сети;

•беспрепятственный вход в систему во время отсутствия персонала предпри ятия; •доступ к информационным ресурсам ляп, ш числа персонала предприятия,

не обладающих соответствующими правами.

Возможный вариант защиты:

Установить на Internet-сервер МЭ Firewall-1 от Check Point.

Особенности решения:

•приемлемая стоимость; •сертификат Гостехкомисст-ш России по 3 классу защищенности для МЭ;

•расчет на фиксированную конфигураичю сети;

• ориентация на ОС Windows NT, 2000 и клопы UNIX.

2.3,6. Защита внутренних корпоративных информационных ресурсов

Значительная часть различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, в связи с чем классический «пертшетровый» подход к созданию

системы защиты корпоративной сети становится недостаточно эффективным. О действительно защищенной от несанкционированного доступа сети можно говорить только при наличии в ней как средств защиты точек входа со стороны Internet, так и. решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов' и фрагментов локальной сети предприятия. Второе наилучшим образом обеспечивают решения на основе распределенных иди персональных межсетевых экранов.

Внутренние корпоративные серверы компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, Netware или, реже, семейства UNIX, например Linux или BSD. По этой причине корпоративные серверы становятся потенциально уязвимыми для различного рода атак. Между тем, профессиональная версия Windows 20002 не проводит мониторинг и регистрацию событий в сети, не выявляет подозрительную активность в ней и не блокирует множество входящих и исходящих соединений. He-достаток функций контроля доступа и,обнаружения вторжений открывают ОС корпоративных серверов, а соответственно и их приложения, для различного рода атак, например атак «отказ в обслуживании», а также внедрения «троянских копей» и подбора пароля.

Даже если сервер компании защищен стандартными средствами, это не предотвратит попытки нарушения безопасности самой операционной системы. Если злоумышленник, используя DoS-атаку, блокирует сервер, автоматически блокируется и приложение. Как результат, компания начинает нести убытки, связанные с нарушением работоспособности своей сети. Р1менно поэтому далее мы поведем речь об использовании специальных защитных механизмов для защиты .внутренних серверов компании от внешних атак,

2.3,7. Возможные варианты защиты корпоративных серверов

Простейшим способом защиты серверов является установка межсетевого экрана, например Firewa!l-1 NG компании. Check Point или Cisco PIXкомпании Cisco, между серверами и Internet.

При правильной конфигурации большинство межсетевых экранов могут защитить внутренние серверы от внешних злоумышленников, а некоторые из них могут даже выявлять и предотвращать атаки типа «отказ в обслуживании». Тем не менее, этот подход не лишен некоторых недостатков.

Когда корпоративные серверы защищены одннм-единствеиным межсетевым экраном, все правила контроля доступа и все верифицированные данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится узким местом и по мере возрастания нагрузки значительно теряет В производительности. Конечно, межсетевой экран может быть дополнен программным

обеспечением, балансирующим нагрузку (например, FIoodGate компании Check Point) и многопроцессорными модулями, но эти шаги только усложнят систему и повысят ее стоимость.

Альтернативой является установка продукта Firewall-1 или Cisco PIX перед каждым сервером. В этом1 варианте в результате того, что межсетевой экран становится ныделенньщ ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети.

Однако и данный подход имеет ряд существенных недостатков. Система из десяти

серверов потребовала бы десяти лицензированных конфигураций межсетевых экранов, работающих на десяти аппаратных платформах с десятью операционными, системами, требующими администрирования и обслуживания, Соответственно на порядок возрастают величина издержек, сложность администрирования и частота отказов. Даже если учесть, что влияние отказа отдельного межсетевого экрана сокращается в результате демонтажа лишь одной системы вместо десяти, среднее время наработки на отказ для десяти межсетевых экранов оказывается в десять раз хуже, чем для одного. Например, если в сервере происходит отказ аппаратного обеспечения в среднем один раз в двадцать месяцев, то при использовании десяти серверов этот промежуток времени сократится до двух.

Наиболее подходящим решением этой проблемы является размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача решается путем использования распределенных или персональных межсетевых экранов, например CyberwattPLUS компании Network-L

Данные решения существенно дополняют функциональные возможности традиционных (пер!гметровых) экранов и могут использоваться для защиты как внутренних, так и Internet-серверов.

Защита внутренних серверов охватывает:

•защиту серверов инфраструктуры от сетевых атак;

. серверы DNS, DHCP, LDAP, X.509» RADIUS, и т.п.;

•«укрытие» информации и приложений от доступа нежелательных пользователей;

•серверы файлов, Web-почты, терминалов, баз данных и т.н.;

•платформы управления SNMP; •проверку серверов на сетевые атаки.

Защита Internet-серверов распространяется на; •обеспечение безопасности бастионных серверов;

•серверы SMTP, HTTP, FTP и т.п.;

2.3.8. Особенности распределенных экранов

В отличие от традиционных брандмауэров, как правило, представляющих собой локальные «контрольные точки» контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны являются дополнительным программным обеспечением, которое бережно окутывает и защищает корпоративные серверы. Укажем основные особенности распределенных межсетевых экранов по следующим показателям,

Эффективность

Традиционный брандмауэр часто располагается па периметре сети, обеспечивая лишь один слой защиты. И если этот единственный слой нарушен, система оказывается незащищенной перед любыми атаками.

Персональный межсетевой экран функционирует на уровне ядра операционной

системы и надежно защищает корпоративные серверы, проверяя все входящие и исходящие пакеты.

Простота установки

Традиционный брандмауэр должен устанавливаться как часть конфигурации корпоративной сети,

Распределенный межсетевой экран представляет собой программное обеспечение, которое устанавливается и удаляется в считанные минуты.

Управление

Традиционный брандмауэр управляется сетевым администратором. Распределенный межсетевой экран может управляться либо сетевым администратором, либо пользователем локальной сети.

Производительность

Традиционный брандмауэр является устройством обеспечения межсетевого обмена с фиксированным ограничегшем производительности по пакетам в секунду. Он не подходит для растущих серверных парков, соединенных между собой коммутированными местными сетями.

Распределенный межсетевой экран позволяет производить ?гаращивание серверных парков без ущерба принятой политике безопасности. Несмотря на то что встроенный межсетевой экран в определенной мере загружается с центрального процессора хоста, обработка правил безопасности распространяется на всех участников серверного парка, допуская неограниченный рост сети.

Стоимость

Традиционные брандмауэры, как правило, являются системами с фиксированными функциями и достаточно высокой стоимостью (в среднем от 4500 долларов).

Распределенный межсетевой экран представляет собой программное обеспечение, которое стоит, как правило, от 1/5 до 1/10 цены традиционных экранов.

2.3.9. Возможные решения на основе распределенных экранов

Так как технология распределенных экранов появилась сравнительно недавно, то, рассматривая ниже возможное решение на примере межсетевого экрана (МЭ) CyberwallPLUS, остановимся на возможностях этого продукта более подробно. Датшй МЭ сочетает в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работает в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Несанкционированные виды деятельности, такие как попытки взлома и несанкционированного доступа, блокируются до перехода на уровень приложений сервера.

Перечислим осповные преимущества распределенных межсетевых экранов для зашиты корпоративных серверов:

•обеспечение безопасности входящего и исходящего трафика на всех NIC, за крепленных за сервером;

•обеспечение масштабируемойархитектуры путем распространения безопас

ности межсетевого экрана на многочисленные серверы;

•устранение традиционного продукта «брандмауэр» как единственного места сбоев;

•обеспечение недорогого, легкого в реализации и управлении решения без опасности (программное обеспечение сервера в сравнении с сетевым аппарат ным обеспечением)..

Существенно, что CyberwallPLUS~SV использует уникальную структуру безопасности и, обеспешгвая присутствие двух ее ключевых элементов - функций контроля доступа к ресурсам сети и активного обнаружения вторжений, защищает операционную систему Windows NT от попыток нарушения защиты. Ядро (двигатель) безопасности CyberwaliPLUS-SV расположено между сетевой картой сервера и стеком протоколов TCP/IP - ниже, чем защищаемые приложения.

Для обеспечения безопасности NT-приложений, гакпх как корпоративные серверы, рекомендуется защитить доступ к ним через операционную систему. Cyber-\vallPLUS-SV позволяет закрыть все неиспользуемые порты, тем самым ограничивая доступ к NTприложениям и сервисам. Те пли иные сервисы могут иметь специфические сетевые адреса для направления (входящий/исходящий) и для времени (дата, время Windows), которые обеспечивают определяемую базу правил контроля доступа.

CyberwallPLUS-SV также обеспечивает активное обнаружение вторжений для NTсистемы, защищая ее от атак и сканирования. Наиболее легким путем негативного воздействия на Internet-сервер является блокирование NT-сервера, на котором находится приложение. Обычно, это делается посредством DoS-атакп, при которой поток пакетов, отправленных к серверу, перегружает память и нарушает работоспособность. Другим способом нарушения защиты Internet-сервера является сканирование NT-сервера на наличие «задней двери» (backdoor) ПЛИ открытого порта, CyberwallPLUS^-SV предотвращает DuS-атакп и сканирование портов, конфигурируя систему безопасности, например ограничивай число обращений К серверу или число SYN-ccTMemoB за некоторый отрезок времени, Установки также определяют количество портов которые могут быть попользовали (опробованы) в течение определенного отрезка времени. Если эти условия нарушаются, CyberwallPLUS-SV может прервать соединение, заниезть нарушение и сообщить о нем администратору по электронное почте. В результате доступ к корпоративным-серверам для различного рола злоумышленников надежно (блокируется.

Таким образом,, межсетевые экраны CybcrwallPLlIS обеспечивают донолщгтел.ь-пый уровень защиты платформ под управлением операгшощюй системы Windows NT/2.00Q/XP, на которых установлены корпоративные, приложения, например Intcrnet- c'epBfp. Кроме того, C-yiK'fwaHPLtJS-SV .может также предотвратить применение известных типов атак для вторжении: на критичные серверы компании и сообщить администратору безопаслостн о подозрительной деятельности в сети. Приведем пример внутренней защиты корпоративной сети от несйнкцшпнро-ванного доступа (рис. 2Л9).

2.4. Антивирусная защита предприятия

В настоящее время проблема антивирусной защиты является одной из приоритетных проблем безопасности корпоративных информационных ресурсов организации. Актуальность данной проблемы объясняется следующими причинами:

•лавинообразный рост числа компьютерных вирусов. Так, например, в августе 1995 года был обнаружен первый макровпрус, а в настйящее время число

И.звеп пых мэкронируеой достигли 1000 и продолжает шггепсивп о расти. Данные послед! 11ix i [еаавпснмых отчетов сипдетслъетвутот о том, что среди]iii уровень заражения вирусами корпоративных компьютерных сетей относительно пх общего числа увеличился с 55% ц 1995 году до 99,9% в 2001 году; • неудовлетворительное состояние антпвпруспоП защиты в существующих корпоративных компьютер!IULX сетях. Сегодня сети российских компаний находятся к постоянном развитии. Однако вместе с этим развитием постоянно растет и число точек прошпсновешш вирусов в корпоративные сети Internet/ Intranet,. Кяк правило, лпащи точками иршшкповеппя вирусов являются: шлюзы н серверы InueriuM, серверы фапл-прпложении, серверы групповой работы н электронной почты, рабочие стангщн.

Эффективно решить данную проблему возможно при помощи специальной технологии Цептралтонанпого управления антивирусной защитой предприятия На основе спегцгальпых решении и продуктов.

Сегодня в зависимости от масштабов оргакпзйиип Н устаповленнон политики безопаспостп па предприятии сункк:твуют различные решения по централизованному управл.снида антивирусной защитой предприятия,, отличающиеся по стоимо-cTir и степени функциональности.

Для небольших предприятий, использующих до Десятка узлов, подойдут решения, имеющие удобный русскоязычный графическиfi интерфейс и допускающие локальное конфигурирование без применипгя централизованного управления, например лотальнiiTe решения KAV — Антивирус KacnepCKoso™ лаборатории Каспер-ского, Для крупных пред1)

Цель такого управления проста - блокировать вес возможные точки проникновения вирусов, такие как:

го обеспечения, полученного из Internet через Web или FTP-сервера и про инсталлированного на локальной рабочей станции;

и Word, инфицированные макровирусами.

Однако именно требование комплексного централизованного управления стало камнем преткновения для успешного создания аффективных комплексных систем антивирусной защиты корпоративных сетей в отечественных компаниях, что в конечном счете привело к столь широкому распространению компьютерных вирусов в сети Internet/Intranet, Так, согласно отчетам компании Trend Micro корпоративные пользователи постоянно сталкиваются с фактами проникновения вирусов в свои сети (табл. 2.6).

Приведем некоторые описания вирусов, которые нанесли наиболее существенный ущерб корпоративным заказчикам в последнее время:

•PE_FUNLOVE.4099 - это уже не новый резидентный вирус под Windows, который был обнаружен несколькими пользователями Internet. PE_FUNLOVE инфицирует файлы как на локальных дисках, так и и.а дисках, доступных по сети. При запуске

инфицированного файла PE_FUNLOVE.4099 записывает файл FLCSS.EXE в системный каталог Windows и пытается заразить все файлы с расширениями . ехе, . осх и . scr. Заражение будет происходить как на локальных дисках, так и на дисках, доступных во сети. На системах Windows NT PE_FUNLOVE.4099 пытается изменить NTLDR и NTOSKRNL.EXE с целью дать всем пользователям права администратора. Это происходит после перезагрузки системы вслед за тем, как пользователь с правами администраторазайдет в систему;

• TROJ NAVIDAD.E - это вариант TROJ_NAV1DAD.A, который был впервые обнаружен в ноябре 2000 года. Оригинальный TROJ_NAVIDAD.A содержит ошибку, приводящую к тому, что при запуске . ехе-файла выводится сообщение об ошибке. В новом вирусе этот недостаток исправлен, и он корректно инсталлируется в системе, послечеш.рассылает себя по адресам из адресной книги инфицированного пользователя в виде присоединенного файла Emanuel.exe. Несмотря на то, что TROJ_NAVIDAD.E был обнаружен в декабре 2001 года, он продолжает распространяться;

∙PE_KRIZ.450 (Деструктивный вирус, обнаруженный « in-the-wild »)- это старый 32-битный вирус под Windows, который был недавно обнаружен во многих странах. Так же как несколько других старых вирусов, PE_KRIZ.4050 смог вернуться, так как был выпущен по ошибке в патче к компьютерной игре. PE_KRIZ.4050 содержит деструктивную функцию, сходную с функцией вируса PE_CIH, которая позволяет ему изменять данные в CMOS и обнулять BIOS;

∙VBS_FUNNY - это новое семейство «червей», написанных на Visual Basic Scrit, которые были недавно обнаружены в Европе. При запуске эти «черви» ищут определенный ключ в реестре и, если его нет, рассылают по почте сообщения по всем адресам из адресной книги Microsoft Outlook с присоединенными к ним вирусом. Если указанный ключ найден, то черви записывают на диск исполняемый файл (startx.exe), который является известным «троянцем», похищающим пароли;

∙VBS_COLOMBIA – это новая модификация вируса VBS_LOVELETTER.A,

имеющего деструктивную функцию, нацеленную на файлы с расширениями: .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, jpg, .jpeg, .mp3, .mp2.

Полное описание этих и других вирусов, а также описание механизмов их действия можно найти по адресу: http://www.antivirus.com/vinfo.

Таким образом, приведенные факты распространения вирусов наглядно показывают, что использование локальных антивирусных решений в корпоративной сети является необходимым, но не достаточным средством для эффективной реализации антивирусной защиты предприятия.

Сложившаяся ситуация требует незамедлительного вмешательства соответствующих должностных лиц и принятия решений, направленных на обеспечение и создание систем антивирусной защиты предприятия.

По мнению специалистов, системы антивирусной защиты должны удовлетворять приведенным требованиям в табл.2.7 основным требованиям.

2.4.2. Возможные решения антивирусной защиты

В настоящее время на рынке средств защиты информации существует ряд решений, позволяющих предприятию эффективно защищать все основные компоненты корпоративной сети (шлюзы Internet/Intranet, брандмауэры, серверы, рабочие станции) от вирусов и друшх враждебных программ. Рассмотрим их особенности на примере некоторых решений.

Так, например, решение компании Trend Micro, в состав которого входит продукт InterScan VirusWall, является одним.из наиболее стабильных продуктов для антивирусной защиты и фильтрации информации шлюзов Internet и работающим на наиболее распространенных платформах семейства UNIX, в том числе Red Hat Linux, SuSE Linux и Turbo Linux, а также Windows NT/2000, Solaris и HP-UX, С помощью сканирования и обнаружения вирусов и враждебных программ в трафиках HTTP, SMTP и FTP, которые проходят через шлюз Internet, данное решение помогает останавливать вирусы /to тога, как они достигнут рабочих станций. В дополнение к этому данное решение, содержащее продукт InterScan eManager, обеспечивает фильтрацию информации и блокирование спама в корпоративных сетях. Кроме того, cManager может быть использован для идентификации и блокирования потенциально враждебных сообщений и вложенных файлов во время вирусной эпидемии.

Сущность решения для защиты шлюзов Internet заключается в следующем. InterScan устанавливается на сервере, который является шлюзом Internet. В данном решении задсйствуется технология распознавания, основанная на использовании правил и сигнатур для обнаружения и удаления вирусов и враждебных программ. Существенно, что такое решение Trend Micro, дополненное продуктом Trend Virus Control System, являющимся управляющей Web- и Microsoft Management Console-MMC-копсолью для централизованного администрирования, позволяет эффективно осуществлять антивирусную защиту шлюзов Internet, независимо от аппаратно-программной платформы. При этом все существующие в ^корпоративной сети заказчика антивирусные продукты управляются и реализуются как составная часть корпоративной антивирусной защиты. Также возможна интеграция InterScan с брандмауэрами Firewall-1 и другими продуктами в области безопасности компьютерных сетей.

Другое интересное для предприятия решение Trend Micro представляет собой интегрированное семейство антивирусных продуктов для среды Lotus Notes под названием Trend Enterprise Solution Suite (TESS) for Lotus Notes. Данное решение предоставляет комплексную антивирусную защиту рабочих станций, файловых серверов, шлюза Internet и возможность централизованного управления антивирусной защитой для предприятий, использующих платформу Lotus Notes для обмена сообщениями и групповой работы.

Примечательно, что окружение Notes является наиболее популярным среди крупных компаний и организаций, которым необходима высокомасштабируемая р надежная платформа для обеспечения совместной работы. Так, например, консалтинговая и маркетинговая фирма Radical! Group оценивает в 29% количество крупнейших, компаний из списка Fortune 1000, которые выбрали Lotus Notes в качестве корпоративного стандарта системы обмена сообщениями. Однако служба обмена

сообщениями Domino Notes, совместная работа с документами и возможности синхронизации серверов обеспечивают благоприятную среду для размножения, распространения между серверами вирусов, поступающих по электронной почте и Internet, вызывая заражение клиентских рабочих станций и уничтожение или порчу хранящейся там корпоративной информации.

В данном решении Trend Enterprise Solution Suite (TESS) for Lotus Notes объединяет в одном комплекте следующие антивирусные средства:

и управляющих элементов ActiveX;

•ServerProtect защищает многочисленные файл-серверы Windows NT и Novell

•ScanMail for Lotus Notes обнаруживает и удаляет вирусы из почты Notes, сов местно используемых баз данных также в процессе репликации;

» Trend Vims Control System (Trend VCS) предоставляет управление всеми этими продуктами с помощью единой Webили Windows-консоли.

Используемый в данном решении антивирусный пакет является одним из первых продуктов для Notes, сертифицированным ICSA (Международной ассоциацией компьютерной безопасности) как продукт, обнаруживающий 100% вирусов из списка наиболее распространенных «m-the-wilxb. И сегодня ScanMail for Lotus Notes остается единственным антивирусным продуктом, поддерживающим полный спектр корпоративных вычислительных платформ для Notes, включая Windows NT/2000, Solaris (SPARC), IBM eServer pSeries (RS/6000). ScanMail for Lotus Notes также поддерживает платформы Domino R5 для IBM zSeries (бывший

S/390), IBM iSeries (AS/400).

Отметим, что существуют и другие решения для антивирусной защиты различных компонентов корпоративной сети заказчика, использующие самые разнообразные по цене и функциональности продукты, например компании Trend Micro

(рис. 2.21).

Ключевым компонентом здесь является продукт под названием Trend Virus Control System (Trend VCS), позволяющий обеспечить централизованное администрирование и управление всеми антивирусными продуктами, установленными в сети заказчика (рис. 2.22). Использование Trend Virus Control System (Trend VCS) дает возможность предриятию усилить и одновременно упростить управление корпоративной политикой антивирусной безопасности.

Укажем основные технологические преимущества решений, позволяющих реализовать эффективное централизованное управление антивирусной защитой корпоративной сети предприятия;

• однообразный удаленный доступ с единой консоли управления к наиболее

распространенным антивирусным продуктам, установленным в сети;

•снижение требований к уровню, знаний компьютерных .платформ при ад министрировании разнородных антивирусных программ, установленных в сети;

•простота инсталляции сервера и клиентов антивирусной защиты для центра лизованного управления антивирусной защитой предприятия;

•использование перспективных технологий для Инсталляции агентов, измене ния конфигураций, обновлений вирусных сигнатур и •администрирования ан тивирусной защиты;

•поддержка наиболее распространс.шшх браузеров Microsoft IraeCuGt Explorer

и Netscape Navigator;

•реализация корпоративной политики антивирусной ИюйШташгге Полный спектр продуктов Trend Micro представлен в табл.. 2.8.

2.4.3. Методика построения корпоративных систем антивирусной защиты

Как на практике построить эффективную систему защиты корпоративной сета от вирусов?

Методически процесс построения корпоративной системы защиты от вирусов и других враждебных программ состоит из последовательного ряда следующих этапов.

Этап 1. Проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной безопасности (АВБ)

На первом этапе необходимо выявить специфику защищаемой сети, выбрать и обосновать несколько вариантов антивирусной защиты. Этап разбивается на следующие работы:

Результатом первого этапа является оценка общего состояния антивирусной защиты,

Этап 2. Разработка политики антивирусной безопасности

Этан содержит следующие шаги:

•классификация информационных ресурсов - перечень и степень защиты раз личных информационных ресурсов организации;

•силы обеспечения АВБ, разделение полномочий - структура и обязанности подразделения, ответственного за организацию антивирусной безопасности;

Результатом данного этапа является политика антивирусной безопасности предприятия.

Этап 3. Разработка плана обеспечения антивирусной безопасности

Выбор программных, средств: средства автоматизированной инвентаризации и мониторинга информационных

ресурсов.

Разработка требований и выбор средств антивирусной защиты: средства антивирусной защиты серверов в локальной сети; средства антивирусной защиты рабочих станций в локальной сети;

средства антивирусной защиты удаленных серверов/удаленных пользователей;

Перечень организационных мероприятий по обеспечению АВБ включает разработку (корректировку) должностных и рабочих инструкций персонала с учетом политики АВ Б и результатов анализа рисков:

периодический анализ и оценка ситуации по обеспечению АВБ;

мониторинг средств АВБ; план и порядок обновления средств АВБ;

контроль соблюдения персоналом своих обязанностей по обеспечению АВБ; план обучения определенных категорий пользователей; порядок действий в критических ситуациях.

Здесь основным результатом является пиан обеспечения антивирусной защиты предприятия.

Этап 4. Реализация плана антивирусной безопасности

Входе выполнения последнего этапа реализуется выбранный и утвержденный план антивирусной безопасности. Этап содержит следующие шаги:

поставка;

внедрение;

поддержка.

Врезультате выполнения данных работ становится возможным построить эффективную систему корпоративной антивирусной защиты.

2.4.4. Примеры возможных решений антивирусной защиты

Рассмотрим возможные решения антивирусной защиты для следующих четырех типовых схем корпоративных компьютерных сетей отечественных предприятий численностью:

до 50 пользователей (рис. 2.23 - Задача 1); до 100 пользователей (рис. 2.24 - Задача 2); до 250 пользователей (рис. 2.25 — Задача 3);

от 500 и выше пользователей (рис. 2,26 - Задача 4).

Задача 1, Централизованное управление антивирусной защитой сети небольшого предприятия

Основной задачей в указанной конфигурации является организация централизованного управления антивирусной защитой сети небольшого предприятия.

Карта типовой сети:

•серверы;

-Windows NT {.standalone или primary/backup controller) иди Novell Netware 4.1/4.11/5.0;

•приложения:

-MS SQL 6.5/7.0;

-MS Exchange или EsgfVj -Print server и File server.;

• рабочие станции;

-Windows 95/8;

- Windows NT 4,0 wks; Протоколы:

-TCP/IP;

-Netbios;

-IPX.

Возможные угрозы:

•отказы компьютерной техники;

•нарушение целостности ПО пли данных; •проблемы чтения/сохранения файлов данных; •гготеря доступа к данным;

» потеря конфиденциальности; •нарушеппе работы приложении; •проблемы вывода документов на печать.

Модель нарушителя:

•нарушение целостности критичных ресурсов компании; •внедрение враждебных закладок;

•нарушение работоспособности корпоративных серверов документооборота и БД.

Возможный вариант защиты:

• установить на NT-сервер администратора безопасности Trend Micro Vims Control Systeifi;

•установить на Internet-сервер InterScan VirusWall компании Trend Micro;

•установить на Ilitfernet-cepBep InterScan VirusWall cManager компании Trend

Micro;

•установить на Tnternet-сервер InterScan Applet Trap компании Trend Micro;

•установить на Microsoft Exchange Server ScanMail for MS Exchange Server компаний Trend Micro;

•установить на Lotus Notes ScanMail for Lotus Notes, компании Trend Micro;

•установить на HP OpenMail ScanMail for HP QpenMail компании Trend Micro;

•установить на LAN Server-NetWare ServerProtcct for NetWare компании Trend

Micro;

• установить на корпоративные рабочие станции OfticeScan Corporate Edition

компании Trend Micro.

Особенности решения:

•комплексное решение проблемы антивирусной защиты; •единое централизованное управление; •приемлемая стоимость решения; •фиксированная конфигурация сети;

•ориентация на ОС Windows NT, 2000 и клоны UNIX;

•поддержка Firewall-1 Check Point.

Использование данного варианта решения позволяет построить целостную систему управления антивирусной защитой и обеспечивает создание необходимого инструментария для администратора безопасности сети,, а также дает возможность интеграции со средствами обеспечения безопасности:компьютерных сетей.

Задача 2. Централизованное управление антивирусной защитой сети среднего предприятия

Основ! гои задачей в указанной конфигурации является организация централизованного управления антивирусной защитой сети среднего предприятия заказ

Карта типовой сети:

•серверы:

-Windows NT Standalone или primary /backup controller; -"Novell Netware 4.1/4.11/5.0;.

-FreeBSD и Linux;

•приложения:

-MS SQL 6.5/7.0 или Oracle 7/8 или PostgresSQL 6,3/6.5; -MS Exchange или Send mail;

-Print server и File server;

•рабочие станции:

-Windows 95/8; -Windows NT 4.0 wfa;

•протоколы:

-TCP/IP;

-Nctbios;

-IPX,

Возможные угрозы:

•отказы компьютерной техники; •нарушения целостности ПО или данных;

•проблемы т-ттеиия/сохранеиня файлов данных; •потеря доступа к данным; •потеря конфиденциальности;

•нарушения надежной работы приложений; •проблемы вывода документов на печать.

Модель нарушителя:

•блокировка почтовых серверов компании;

•вывод из. строя WWW-сервера компании;

•принудительное отключение клиентов сети предприятия от важных для ра боты корпоративных серверов.

Возможный вариант защиты:

•установить на NT-сервер Virus Control System компании Trend Micro;

•установить на Internet-сервер InterScan VirusWall компании Trend Micro;

• установить на Internet-сервер InterScan VirusWall eManager компании Trend

-Micro;

• установить на Internet-сервер InterScan AppletTrap компании Trend Micro; » установить на Microsoft Exchange Server Scan Mail for MS Exchange Server

компании Trend Micro;

• установить на Lotus Notes S.eanMail for Lotus Notes компании Trend Micro;

•установить на HP QpenMail ScanMail for HP OpenMail компании Trend Micro:

•установить на LAN Server-NetWare ServerProtect for NetWare компании Trend Micro;

« установить на корпоративные рабочие станции OfficeSean Corporate Edition компании Trend M icro.

Особенности решения:

•комплексное решение проблемы антивирусной защиты; •единой централизованное управление; •приемлемая стоимость решения; •фиксированная конфигурация сети;

•ориентация на ОС Windows NT, 2000 и клоны UNIX;

•поддержка Firewall-1 Check Point.

Дацмьтй вариант решения (TESS) лучше всего подходит для защиты корпоративных систем документооборота (Lotus Notes и пр.), а применение специальной консоли централизованного управления TVS позволяет эффективно управлять антивирусной защитой предприятия.

Задача 3. Централизованное управление антивирусной защитой сети крупного предприятия

Основной задачей в указанной конфигурации является организация центра­ лизованного управления антивирусной защитой сети крупного предприятия заказчика.

Карта типовой сети:

» серверы:

—Print server и File server;

•рабочие станции:

-Windows 95/8; -Windows NT 4,0 wks;

•протоколы:

-TCP/IP; -Netbios; -IPX.

Возможные угрозы:

•отказы компьютерной техники; •нарушения целостности ПО или данных;

« проблемы чтения/сохранения файлов данных; •потеря доступа к данным; •потеря конфиденциальности;

•нарушения надежной работы приложений; •проблемы вывода документов на печать.

Модель нарушителя:

•атака на системное программное обеспечение шлюзов Internet;

•активное и пассивное прослушивание трафика внутри сети путем внедрения закладок;

•Вывод из строя корпоративной системы документооборота и БД.

Возможный вариант защиты:

•установить на NT-сервер Virus Control System компании Trend Micro;

•установить на Internet-сервер InterScan VirusWall компании Trend Micro;

•установить на Internet-сервер InterScan VirusWall eManager компании Trend Micro;

•установить на Internet-сервер InterScan AppletTrap компании Trend Micro;

•установить на Microsoft Exchange Server ScanMail for MS Exchange Server компании Trend Micro;

•установить на Lotus Notes ScanMail for Lotus Notes компании Trend Micro;

•установить на HP OpenMail ScanMail for HP OpenMail компании Trend Micro;

•установить на LAN Server-NetWare ServerProtect for NetWare компании Trend Micro;

•установить на корпоративные рабочие станции OfficeScan Corporate Edition компании Trend Micro.

Особенности решения:

•комплексное решение проблемы антивирусной защиты; •единое централизованное управление; •приемлемая стоимость решения; •фиксированная конфигурация сети;

•ориентация на ОС Windows NT, 2000 и клоны UNIX;

•поддержка Firewall-1 Check Point.

Задача 4. Централизованное управление антивирусной защитой сети крупного предприятия со сложной разветвленной структурой и распределенными филиалами

Основной задачей является организация централизованного управления антивирусной защитой сети предприятия-заказчика со сложной разветвленной структурой и распределенными филиалами.

Карта типовой сети:

•серверы:

-Windows NT standalone или primary /backup controller; -Novell Netware 4.1/4.11/5.0;

-FrceBSD, Linux; -Sun Sparks или PC; -AIX;

•приложения:

-Oracle 7/8;

-MS Exchange или Lotus Notes; -Print server и File server;

•рабочие станции:

-Windows 95/8; -Windows NT 4.0 wks;

•протоколы: -ТСРДР; -Netbios; -IPX;

•PS X25 - 3 линии к 2 провайдерам, гарантированный доступ; •оптика - 2 линии 2М и 32К (резерв).

Возможные угрозы:

•отказы компьютерной техники; •нарушения целостности ПО или данных;

•проблемы чтения/сохранения файлов данных; •потеря доступа к данным; •потеря конфиденциальности;

•нарушения надежной работы приложений;

• проблемы вывода документов на печать.

Модель нарушителя:

•локальное иди удаленное физическое подключение к элементам сети с целью нарушения целостности ПО или данных;

•проникновение через Internet вирусов и враждебных апплетов;

•доступ и искажение информационных ресурсов персоналом предприятия.

Возможный вариант защиты:

•установить на NT-сервер Virus Control System компании Trend Micro;

•установить на Internet-сервер InterScan VirusWall компании Trend Micro;

•установить на Internet-сервер InterScan VirusWall eManager компании Trend Micro;

•установить на Internet-сервер InterScan AppletTrap компании Trend Micro;

•установить на Microsoft Exchange Server ScanMail for MS Exchange Server компании Trend Micro;

•установить на Lotus Notes ScanMail for Lotus Notes компании Trend Micro;

•установить на HP OpenMail ScanMail for HP OpenMail компании Trend Micro;

•установить на LAN Sewer-NetWare ServerProtect for NetWare компании Trend Micro;

•установить та корпоративные рабочие станции OfficeScan Corporate Edition компании Trend Micro,

Особенности решения:

•комплексное решение проблемы антивирусной зашиты," •единое централизованное управление; •приемлемая стоимость решения; •фиксированная конфигурация сети;

•ориентация на ОС Windows NX 2000 и клоны UNIX;

•поддержка Firewall-1 Check Point.

2.5. Проектирование виртуальных частных сетей

Сегодня широкое распространение получила реализация корпоративных систем информационной безопасности на основе одного из самых грамотных и экономически выгодных решений - технологии защищенных виртуальных частных сетей Virtual Private Network (VPN). Результаты анализа существующего спроса на предложения в области безопасности компьютерных сетей свидетельствуют Q том, что технология VPN является остро востребованной и привлекает вое, больше внимания со стороны специалистов. Причина такого интереса заключается в том, что VPN-технология действительно позволяет не только существенно сократить расходы на содержание предприятием выделенных каналов связи с удаленными подразделениями (филиалами) и мобильными сотрудниками, но и реально повысить безопасность обмена конфиденциальной информацией.

Исторически под одним термином VPN понимаются две достаточно большие и независимые группы совершено различных по своим целям, задачам и применяемым техническим решениям информационных технологий:

К первой группе VPN-технологий относятся такие специализированные технологии управления качеством обслуживания как RSVP, DiffServ, MPLS, а также некоторые базовые технологии построения публичных сетей со встроенными элементами поддержки качества обслуживания QoS (Frame Reby и ATM).

Вторая группа VPN-технологий выполняет функции авторизации абонентов корпоративных сетей и функции криптографической защиты передаваемых данных. Как правило, технологии этой группы представляет собой различные реализации механизма инкапсуляции стандартных сетевых пакетов канального (РРТР, L2F, L2TP), сетевого (SKIP, IPSec/IKE) и вышележащих уровней сетевого стека (SOCKS, SSL/TLS).

Очевидно, что для построения «настоящей» виртуальной частной сети необходима интеграция указанных двух групп VPN-технологий, что на практике не всегда возможно, особенно применительно к VPN-технологиям первой группы. VPN-технологии второй группы, наоборот, развиваются более быстрыми темпами, и по этой причине уже сегодня корпоративные распределенные корпорации могут их использовать для защиты конфиденциальной информации,

2,5,1. Построение безопасной корпоративной сети

Построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является достаточно трудоемкой задачей, сложность которой обуславливается следующими основными причинами:

сом и филиалами, офисом и мобильными или удаленными сотрудниками, сег ментами внутренней сети компании);

•необходимость построения централизованной системы управления всей кор поративной VPN;

•узкая полоса пропускания и откровенно плохое качество существующих ка налов связи, особенно с региональными подразделениями, и т.д.

Сложности построения корпоративных VPN усугубляются еще и тем, что до­ полнительно корпоративные заказчики предъявляют к VPN достаточно жесткие требования по:

• масштабируемости применяемых технических решений;

•интегрируемости с уже существующими средствами;

•легальности используемых алгоритмов и решений;

•пропускной способности защищаемой сети;

•стойкости применяемых криптоалгоритмов;

•унифицируемости VPN решения;

•общей совокупной стоимости построения корпоративной VPN.

Нетрудно заметить, что большинство из перечисленных выше требований находятся в явном противоречии друге другом. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из перечисленных требований, либо строить комбинированные решения:

•VPN на базе сетевых операционных систем;

•VPN на базе маршрутизаторов;

•VPN на базе межсетевых экранов (МЭ);

• VPN на базе специализированного программного обеспечения.

Каждое из упомянутых решений имеет свои достоинства и недостатки, которые рассмотрим на примере наиболее часто встречающихся в России VPN-продуктов,

Построение VPN на базе сетевой ОС

Построение VPN на базе сетевой ОС является достаточно удобным и дешевым средством создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем (ОС), позволяющих стоить VPN штатными средствами самой ОС, получили Windows NT/2000/XP,

По мнению специалистов, данное решение является оптимальным для построения VPN внутри локальных сетей или домена Windows NT/2000/XP, а также для построения VPNIntranet для небольших компаний с целью защиты некритичной для их бизнеса информации. В то же время крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT, показали, что используемый в этой ОС протокол РРТР имеет достаточно большое количество уязвимых мест:

Поэтому в своей новой ОС -Windows 2000/XP - компания Microsoft сделала ставку на реализацию более современного протокола IPSec. Однако результаты первых независимых тестов показали наличие серьезных проблем с безопасностью и у этой версии ОС, что потребовало вмешательства ФБР, срочной доработки системы и серьезных преобразований в компании Microsoft, нацеленных на обеспечение безопасности ее продуктов.

Построение VPN на базе маршрутизаторов

Безусловным лидером на рынке маршрутизаторов является компания Cisco Systems. Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой операционной системы Cisco IOS начиная с версии 12. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная ОС, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рис. 2.27). Как правило, из-за экспортных ограничений для шифрования данных в

канале по умолчанию используется алгоритм DES с длиной ключа 56 бит, что недостаточно в современных условиях.

Сравнительно недавно появился новый продукт компании - Cisco VPN Client, который позволяет стоить защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение VPN в локальных сетях и в Internet.

Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP. Этот протокол обеспечивает инкапсуляцию пакетов протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (РРР) для передачи по сетям, поддерживающим доставку кадров в каналах «точка-точка». Основным преимуществом L2TP является его независимость от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно сильным качеством L2TP является его поддержка в ОС Windows 2000, что, в принципе, позволяет строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная природа» L2TP протокола является причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составляющие маршрут сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что, очевидно, достаточно трудно гарантировать (не все из них являются современными маршрутизаторами Cisco). Видимо, по этой причине компания Cisco сегодня обратила пристальный взгляд на. продвижение VPN-протокола сетевого уровня - IPSec. Сегодня IPSec является одним из самых проработанных и совершенных Internet-протоколов в плане безопасности. В частности, IPSec обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждой датаграммы (для управления криптографическими ключами IPSec использует протокол IKE, хорошо

зарекомендовавший себя в своей более ранней версии Oakley). Кроме того,, работа протокола на сетевом уровне является одним its стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью

прозрачно: как для всех без исключения, приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSec позволяет маршрутизировать зашифрованные датаграммы без дополнительной пастропкй промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. И наконец, тот факт, что IPSec включен в качестве неотъемлемой части в Internet-протокол IPv6, делает его ещё более привлекательным для организация корпоративных VPN.

Ксожалению, IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP

идовольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными па низкоскоростных каналах связи, пока, к сожалению, имеющих в России наибольшее распространение.

Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что основной задачей этих устройств является маршрутизация трафика, а значит, крилтообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN.

Построение VPN на базе межсетевых экранов

Немалое количество специалистов по информационной безопасности считают, что построение VPN на базе межсетевых экранов (МЭ) является единственным оптимальным решением для обеспечения комплексной безопасности корпоративной информационной системы от атак из открытых сетей. Действительно, объединение функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита является решением не только технически грамотным, но и удобным для администрирования. В качестве примера рассмотрим типовую схему построения корпоративной VPN на базе популярного в России программлого продукта компании Check Point - Firewall-1/VPN-1,

МЭ Firewall-1 позволяет в рамках единого комплекса построить глубокоэшело­ нированный рубеж обороны для корпоративных информационных ресурсов. В состав такого комплекса входят как сам Firewall-1, так и набор продуктов для построения корпоративной VPN - Check Point VPN-1, средства обнаружения вторжений RealSecure, средства управления полосой пропускания FloodGate и т.д.

Подсистема построения VPN на базе Firewall-1 включает в себя программные продукты VPN-1 Gateway и VPN-1 Appliance, предназначенные для построения Intranet-VPN; VPN- 1 SecureServer, предназначенный для защиты выделенных серверов, а также VPN-1 SecuRemote и VPN-1 SecureClient - для построения VPN в локальных сетях и В Internet (рис. 2.28). Для шифрации трафика в каналах Firewall-1 использует известные криптоалгоритмы DES, CAST, IDEA, FWZ и др. Весь ряд продуктов Check Point VPN-1 реализован на базе открытых стандартов (IPSec), имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей (PKI), позволяет строить централизованную систему

управления и аудита И" тд„

Поэтому неудивительно, что продукция данной компании занимает 52% мирового рынка VPN согласно последнему исследованию Dataquest.

В итоге можно сказать, что построение VPN на базе МЭ выглядит вполне грамотным и сбалансированным решением. Однако ему тоже присущи некоторые недостатки, Прежде всего, это высокая стоимость такого решения в пересчете на одно рабочее место корпоративной сети и достаточно высокие требования к производительности МЭ даже при умеренной ширине полосы пропускания выходного канала связи. Очевидно, что вопросу производительности МЭ должно уделяться повышенное внимание при построении VPN, поскольку фактически вся нагрузка по криптообработке трафика ложится па МЭ. Причем даже в том случае, когда мы хотим объединить в VPN двух клиентов локальной сети.

2.5.2. Построение корпоративных VPN в российских условиях

До сих пор мы говорили о различных вариантах построения корпоративных VPN на базе продуктов исключительно западных производителей, поскольку, к сожалению, сетевые ОС и маршрутизаторы в России производятся в ограниченных объемах для нужд государственных органов, а МЭ с функциями VPN начали появляться только недавно. Однако при всех своих технологических преимуществах западные VPN-продукты имеют один общий недостаток, который в некоторых случаях может обесценить все имеющиеся достоинства. Речь идет о тех случаях, когда построение корпоративной VPN необходимо увязывать с положениями существующего сегодня в РФ законодательства.

Одним из неотъемлемых и, пожалуй, базовых элементов любого VPN-продукта является наличие в нем средств (модулей, аппаратных устройств и т.д.), осуществляющих криптографическое преобразование (шифрацню) данных.

Вопросы применения криптографии во всех развитых странах мира подвержены достаточно жесткому законодательному регулированию со стороны государства. Как правило, регулирование это касается трех сторон применения криптографии:

•сертификации средств криптографической защиты информации (СКЗИ);

•лицензирования деятельности организаций и предприятий, связанной с про изводством, распространением, эксплуатацией и других СКЗИ; •экспортно-импортных ограничений на СКЗИ.

Цель такого регулирования достаточно проста: для обеспечения собственной безопасности любому государству необходимо в максимальной степени обеспечить контроль за циркулирующей в компьютерных сетях информацией, причем желательно не только в своих национальных сетях и не только своей информации. Так, например, большинство имеющихся на российском рынке западных VPN-продуктов поставляются с криптоалгоритмом симметричного шифрования DES с .длиной ключа 56 бит. В табл. 2.9 приведены ориентировочные расчеты времени и материальных средств, которые необходимо затратить на взлом этого алгоритма методом «грубой силы», то есть путем полного перебора всех возможных ключей с использованием как стандартных компьютеров, так и специализированных криптоаналити-ческих аппаратных средств.

Характерно, что для приобретения СКЗИ с более криптостойким алгоритмом TripleDES с длиной ключа 168 бит иностранным компаниям необходимо получать специальное разрешение Государственного департамента США.

Российское законодательство также имеет ряд законодательных актов и инициатив, призванных регулировать использование СКЗИ на территории РФ. Отметим кратко те положения, которые прямо относятся к построению VPN,

Лицензирование деятельности в области Защиты информации и работ, связанных ,с созданием средств защиты информации (СЗИ), осуществляется Гостехко-миссией и ФАПСИ в рамках их компетенции.

Организация сертификации СЗИ и СКЗИ, в том числе и импортного производства, возложена на Гостехкомиссию и ФАПСИ при Президенте РФ. При этом органы ФАПСИ могут проводить сертификацию только средств криптографии и; шифрования (СКЗИ). Сертификацию СЗИ, не использующих методы криптографии и шифрования, организует

Гостехкомиссия РФ.

Обязательной сертификации подлежат СЗИ и СКЗИ, в том числе и иностранного производства, предназначенные для использования в информационных системах с обработкой информации, представляющей государственную тайну.

Государственным организациям, предприятиям и всем банкам, а также предприятиям, работающим по государственному заказу, и предприятиям и организациям при их информационном взаимодействии с Центральным Банком РФ запрещено использование СЗИ и СКЗИ, не имеющих сертификатов государственного

образца.

Ввоз-вывоз СКЗИ может быть разрешен таможенными органами только на основании соответствующего разрешения ФАПСИ после проведения необходимой технической экспертизы. Это, в первую очередь, требует обязательного проведения технической экспертизы СЗИ при пересечении границы РФ на предмет их отнесения к шифровальным средствам.

Из всего вышесказанного можно сделать следующий вывод: проектировщикам корпоративных VPN в некоторых случаях придется серьезным образом обратить внимание на отечественных производителей VPN-продуктов.

Всех российских производителей VPN-продуктов можно разделить на две группы: компании, предлагающие VPN-продукты, разработанные на базе известных мировых стандартов, и компании, предлагающие VPN-продукты на основе собственных разработок.

Так, например, VPN-продукты из первой группы используют известные и всесторонне изученные мировые стандарты и поддерживают сильные отечественные криптографические алгоритмы, такой, например, как (кстати, совершенно открытый) криптоалгоритм ГОСТ 28147-89 с длиной ключа 256 бит.

Среди отечественных производителей VPN-продуктов первой группы наибольшую известность и распространенность на сегодня имеют, пожалуй, два: криптографический комплекс Шифратор IP-пакетов (ШИП) производства МО ПЫИЭИ (www.sccurity.ru) и линейка программных продуктов серии ЗАСТАВА от компании ЭЛВИС+ (www.elvis.ru'). Достаточно активно и перспективно развивается VPN-продукт Континент-КНИГ! Информзащита (www.infosec.ru).Среди производителей второй группы - линейка программных продуктов VipNet компании ИнфоТекс (www.infotecs.ru). Поскольку указанные продукты являются специализированными VPN-продуктами, набор предоставляемых ими функциональных возможностей в некоторых случаях даже шире, чем у рассмотренных ранее западных конкурентов, а криптостойкость используемых криптоалгоритмов, безусловно, многократно

превышает соответствующие параметры поставляемых в Россию западных функ­ циональных аналогов,. Давайте рассмотрим характеристики некоторых из пере­ численных VPN-продуктов.

VPN-решения ЗАСТАВА

Продуктовая линейка программных VPN-продуктов ЗАСТАВА (сертифицирована Гостехкомиссисй РФ) включает в себя девять программных продуктов различного назначения, работающих под управлением ОС Windows 95/98/NT и Solaris Spare/Intel

[6J;

•МЭ «ЗАСТАВА» (с возможностью организации VPN); •ЗАСТАВА - Персональный клиент; •ЗАСТАВА - Корпоративный клиент; •центр управления ЗАСТАВА; •ЗАСТАВА - Сервер; •ЗАСТАВА - Офис;

•персональный центр сертификации ЗАСТАВА; •корпоративный центр сертификации ЗАСТАВА; •сервер сертификатов ЗАСТАВА.

ЗАСТАВА версий 2.5 для организации защищенных каналов связи использует протокол SKIP, а ЗАСТАВА версии 3.3 соответствует системе стандартов IPSec/IKE. Наличие полного продуктового ряда «клиент - сервер - шлюз» позволяет строить на базе ЗАСТАВЫ разнообразные VPN-решения как по функциональности, так и по стоимости. При этом защищенные каналы могут быть организованы как вне, так и внутри защищаемой сети (рис. 2.29).

Надежные и проработанные решения по управлению ключевой инфраструктурой (с использованием протоколов СОР и LDAP), а также возможность поддержки как закрытых, так и открытых соединений и совместимость с VPN-продуктами других производителей (включая Sun Microsystems, Check Point, Cisco Systems), тоже делает ЗАСТАВУ весьма привлекательным продуктом для построения корпоративных VPN различного масштаба: от нескольких десятков (Персональный центр сертификации) до нескольких десятков тысяч рабочих станций и серверов ( Корпоративный центр сертификации).

Нельзя не упомянуть еще об одном качестве ЗАСТАВЫ, которое делает эти продукты понастоящему уникальными для российского рынка. VPN-продукты ЗАСТАВА не имеют встроенных криптоалгоритмов; все криптоалгоритмы носят внешний характер и взаимодействуют с базовым ПО через специально разработанный кррщтоинтерфейс. Это качество, во-первых, снимает с данного ПО экспортно-импортные ограничения, свойственные другим VPN-продуктам, а во-вторых, предоставляет пользователю полную свободу выбора криптоалгоритма для построения своей VPN. При этом в рамках одной сети существует возможность построения единой VPN на базе нескольких криптоалгоритмов, поскольку ЗАСТАВА одновременно может поддерживать работу до 256 кри птимодулей. В настоящее время

ЗАСТАВА работает с двумя основными модулями преобразования информации: модулем кодирования информации фирмы ЛАН-Крйпто (www.lancrypto.com), реализующим алгоритм ВЕСТА-2М - отраслевой стандарт газовой промышленности России (ОСТ 51 06 98), и криптомодулем Crypton-Emulator фирмы АНКАД (www.ahcud.ru). реализующим базовый отечественный криптоалгоритм ГОСТ 28147-89. Длина ключа в обоих алгоритмах - 256 бит, что гарантирует их высокую стойкость.

VPN-решения VipNet

Шкет программ Корпоративная положенная сеть ИНФОТЕКС (торговая марка VipNet)

сертифицирован Гостехкомиссией РФ. Криптографическое ядро данной системы (Домен- К) сертифироваво ФАПСИ (сертифицирующая лаборатория -

НТЦ «Атлас» ФАПСИ). Данный пакет (рис. 2.30) удовлетворяет следующим важным требованиям, дающим возможность его использования в стандартных локальных и глобальных сетях при высоком уровне безопасности в процессе информационного обмена:

•учитывая реальную потребность в ряде случаев работать одновременно с оп ределенными открытыми ресурсами, средство VPN должно выполнять функ ции достаточно мощного персонального сетевого экрана;

•обеспечение защиты широковещательных пакетов;

•достаточно высокая производительность для нормальной работы в локаль ных сетях;

•наличие средств централизованного управления и контроля виртуальной сети;

•при установке на мобильных компьютерах - возможность сохранения мно жественности конфигураций, что без дополнительных настроек позволило бы пользователю выбрать нужную конфигурацию при изменении места под ключения компьютера.

Линейка программных продуктов VipNet обеспечивает прозрачную защиту ин­ формационных потоков любых приложений и любых протоколов стека TCP/IP как для отдельных рабочих станций, файловых серверов, серверов приложений, маршрутизаторов, серверов удаленного доступа и др., так и сегментов IP-сетей, Одновременно VipNet выполняет функции персонального сетевого экрана для каждого компьютера и межсетевого экрана для сегментов IP-сетей.

Прикладные программы системы VipNet дополнительно предоставляют защищенные службы реального времени для циркулярного обмена сообщениями, проведения конференций, ведения переговоров, служб гарантированной доставки почтовой корреспонденции с процедурами электронной подписи и разграничением доступа к документам, служб автопроцессиига для автоматической доставки файлов.

Программное обеспечение системы VipNet функционирует в операционных средах Windows 95/98/ME/NT/2000, Linux (ожидается появление версий программного продукта для Spare Solaris и Intel Solaris). Производительность работы драйвера зашиты трафика в зависимости от операционной системы и мощности компьютера - от 2 до 32 Мбит/с и практически не ограничивает работу компьютеров даже в 100 Мбит/с сетях. Для разгрузки процессоров серверов сети и увеличения производительности до 60-96 Мбит/с в них может быть установлена PCI-пла-та ViPNet-Turbo 100. По информации производителя, ведутся работы по созданию специализированного устройства, обеспечивающего обработку трафика с производительностью до 700-800 Мбит/с.

2,5.3. Возможные рекомендации по выбору VPN-решений

Рекомендации по выбору средств построения корпоративных VPN целесообразно разделить на три группы в соответствии с организационно-правовой формойкомпании-заказчика и уровня секретности информации, которая будет обрабатываться в пределах проектируемой VPN:

•предприятия и организации (не. только государственные), работающие с ин формацией, представляющей государственную тайну; •государственные учреждения, не работающие с государственной тайной;

•негосударственные учреждения, желающие ограничить доступ к служебной, деловой, технической, экономической и другим видам информации, не пред ставляющей государственной тайны.

В соответствии с вышеизложенными положениями российского законодательства для компаний первой и второй группы на сегодня нет другой альтернативы, кроме как изначально ориентироваться на отечественных производителей VPN-цродуктов, имеющих

соответствующие лицензии и сертификаты Гостехкомиссии и ФАПСИ. Присутствующая сегодня тенденция явно свидетельствует о том, что список таких продуктов будет постоянно расширяться. Однако необходимо иметь в виду, что работа с информацией, представляющей государственную тайну, сопряжена с необходимостью выполнения достаточно большого объема различных организационно-технических мероприятий для удовлетворения большого количества разнообразных требований. Как показала практика, сегодня ни один из отечественных VPN-продуктов сам по себе не обеспечивает возможности защиты такого вида информации.

Из рассмотренных VPN-продуктов комплекс ШИП можно рекомендовать для использования в тех случаях, когда имеющиеся партнеры по производству (бизнесу) уже работают с этим продуктом и если компания имеет надежные каналы связи для поддержки работоспособности ключевой системы.

Сертифицированные Гостехкомиссией РФ продукты ЗАСТАВА целесообразно использовать в тех случаях, когда компании необходимо одновременно обеспечить наличие как защищенных, так и открытых соединений в Internet с удаленными подразделениями (сотрудниками). Кроме того, ЗАСТАВА представляет собой оптимальное решение также и в тех случаях, когда компания предпочитает иметь масштабируемое решение по созданию собственной ключевой инфраструктуры, способной работать с изменяющимся количеством абонентов.

Достаточно интересны VPN-решения VipNet компании Инфотекс и Континент-К НИП «Информзащита».

Наибольшей свободой выбора обладают, очевидно, компании третьей группы, которые сегодня практически могут использовать любые VPN-продукты, в том числе и западного производства. Тут на первый план выходят такие параметры как стоимость, функциональность, качество, производительность, криптостой-кость, трудоемкость обслуживания, совместимость с уже имеющимся парком оборудования и т.д.

Если попытаться дать общую рекомендацию, то, по мнению специалистов, оптимальным решением с точки зрения обеспечения информациошюй безопасности является построение VPN на базе МЭ. Хорошими кандидатами на эту роль являются Check Point FW-1/VPN-l в случае, если необходима богатая функциональноcть продукта, а также Cisco PIX Firewall- №ш необходима большая производительность и меньшая стоимость решения. Из отечественных решений также используются продукт ФПСУ-1Р компании Амикон, VPNпродукты компании Анкад, DataGuard компании Сигнал-Ком, VipNet компании ИнфоТскс и Континент-КНИП «Информ-защита», комплекс МЭ ЗАСТАВА с модулем построения VPN и др.

Довольно привлекательным решением выглядит построение корпоративной VPN на базе ЗАСТАВЫ с модулем кодирования ВЕСТА-2М, поскольку, помимо хорошей масштабируемости, функциональности и высокой стойкости, это решение позволяет легко и без дополнительных затрат (путем смены криптамодуля) решить проблему легитимности применения средств преобразования информации в случае ужесточения российского законодательства в этой области.

Технологии VPN-продуктов постоянно развиваются, поскольку интерес к данной технологии в последнее время усиливается. Вместе с тем, информационная безопасность корпоративных сетей и применение криптографии для защиты информации при передаче по открытым каналам связи являются достаточно «тонкими» областями знаний, поэтому

даже малейшая ошибка при проектировании корпоративной VPN может привести к фатальным для компании результатам. По этой причине необходимо быть особенно осмотрительным и даже скрупулезным как при выборе VPN-продуктов, так и при проектировании самой VPN.

2,5.4. Примеры возможных VPN-решений

Актуальность технологии VPN заключается в том, что она позволяет организовать защищенный обмен конфиденциальной информацией между указанными сторонами информационного взаимодействия, например между головным офисом и распределенными филиалами компаний. При этом конфиденциальность передаваемой информации обеспечивается путем шифрования данных, а целостность информации - с помощью электронной цифровой подписи (ЭЦП) или аналогичного метода, например вычисления имитовставки (см. ГОСТ 28147-89).

Рассмотрим схему, поясняющую смысл VPN (рис. 2.31).

Здесь защита передаваемой по сети информации осуществляется на выходе из каждой ЛВС с помощью VPN-агента, например криптографического маршрутизатора, выполняющего функции:

•маршрутизации IP-пакетов; •шифрования исходящего трафика; •фильтрации входящего трафика;

•расшифровки авторизованного входящего трафика и Др.

В качестве такого криптографического маршрутизатора может использоваться как обычный (неспециализированный) компьютер, оснащенный специальным программным обеспечением и аппаратурой (например, аппаратным шифратором), так Л специализированный маршрутизатор. Интересно, что в последнее время большинство мировых лидеров компьютерной индустрии активно встраивают в маршрутизаторы средства VPN. Так, например, названными характеристиками обладает

маршрутизатор Express 8205 VPN компании Intel, обеспечивающий шифрование трафика в соответствии с алгоритмом 3DES (IPSec).

Основное правило построения VPN — связь между защищенной локальной И глобальной сетями должна осуществляться только через VPN-агентов. Здесь категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPNагента. Другими словами, должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Существенное достоинство VPN состоит в том, что все действия по защите информации выполняются автоматически с помощью VPN-агента, никаких действий от пользователей на рабочих местах не требуется. Что же касается удаленных пользователей, то VPN-агент может быть установлен непосредственно на компьютере, с которого осуществляется доступ в Internet. Аналогично криптографическому маршрутизатору такой VPN-агент автоматически осуществляет шифрование и фильтрацию IP-пакетов при установлении VPN-соединения.

Возможные реализации VPN-агентов

Рассмотрим возможные реализации VPN-агентов на примере решений отечественной компании АНКАД [1], представляющей два VPN-агента: криптографический маршрутизатор ГР-датаграмм КРИПТОН-IP и Windows-NT-кяиент Crypton IP-semice яла

КРИПТОН-IP,

Криптографический маршрутизатор КРИПТОН-IP (далее - КМ) представляет собой программно-аппаратный комплекс, устанавливаемый на отдельный

компьютер, работающий под управлением ОС MS-DOS1. КМ обеспечивает контроль всего IP-трафика, циркулирующего между Internet и защищаемой ЛВС. К прохождению допускаются только пакеты, исходящие из узлов или предназначенные для узлов, связь с которыми разрешена (то есть узлов, совокупность которых и составляет VPN). Для защиты от несанкционированного доступа и защищаемую ЛВС используются методы фильтрации IP-пакетов по

определенным правилам с аутентификацией их источников и получателей КМ производит прозрачное шифрование трафика по алгоритму ГОСТ 2814789. Целостность передаваемой информации обеспечивается с помощью имито'й- ставки, вычисляемой также по алгоритму ГОСТ 28147-89. Помимо информацией-ных полей, зашифровываются также заголовки IP-пакетов, что позволяет скрытьвнутреннюю структуру защищаемых ЛВС. Вместо IPадресов отправителя и по-

лучателя пакета ставятся адреса КМ-отправителя и КМ-лолучятеля соответственно; таким образом, из внешней системы такой обмен данными выглядит как обмен сообщениями только между двумя VPN-агентами. Сокрытие внутренних адресов (их инкапсуляция в зашифрованный пакет) является весьма распространенной практикой при построении VPN. КМ поддерживает адаптеры Ethernet и РРР-соединенда. Здесь важно отметить, что КМ (или их совокупность) должен быть единственным способом связи между внешней сетью и защищаемой ЛВС; добавление любых других соединений сделает использование КМ бесполезным, поскольку над лежащая защита в этом случае не обеспечивается. Для защиты самого компьютера, на котором установлен КРИПТОН-IP, можно воспользоваться специальным средством

криптографической защиты информации от несанкционированного доступа, например КРИПТОН-ВЕТО (или дополнительно КРИПТОН-ЗАМКОМ).

Данное средство обеспечивает защиту целостности программных модулей комплекса и используемой операционной системы, а также разграничение доступа к.установленным на компьютере программным средствам и данным с регистрацией в электронном журнале цроцесса доступа к ресурсам комплекса. В данном случае защита целостности обеспечивается путем применения ЭЦПфайлов по алгоритму ГОСТ Р 34.10/11-94. В качестве шифратора используется устройство криптографической зашиты данных (УКЗД) КРИПТОН-4к/16, Второй VPN-агент компании АНКАД - программа Crypton IP-service обеспечивает автоматическое (прозрачное) шифрование 1Рдатаграмм, отправляемых с компьютера, на котором она установлена, а также расшифроваште информации принимаемых IP-датаграмм. Существенной особенностью программы Crypton IP-service является возможность ее установки непосредственно на рабочее место, то есть установки VPN-агента на выделенный компьютер не требуется, Crypton IP-service - это сервис Windows, активизируемый в процессе загрузки операционной системы. Таким (образом, для активизации программы не требуется входа в систему оператора, что важно при использовании данной программы на серверах сетей Windows NT.

В качестве шифратора про грамма может воспользоваться любым шифратором, доступным через программный интерфейс Crypton API, например УКЗД серии КРИПТОН или их программным эмулятором для Windows Crypton Emulator.

Существенно, что метод шифрования IP-пакетов данной программы идентичен методу шифрования комплекса КРИПТОН-IP, что позволяет организовывать смешанные VPN, в которых в качестве VPN-агентов участвуют и КРИПТОНIP, и Crypton IP-service. Название «клиент» данной программы условное - она является самодостаточной, то есть возможно построение VPN с использованием одних только Crypton IP-service,

Возможные VPN-решения для российских компаний

Теперь после ознакомления с возможными VPN-агентами рассмотрим возмож­ ные варианты зашиты сетей на основе технологии защищенной корпоративной VPN. В качестве примеров воспользуемся следующими типовыми схемами ЛВС, характеризующимися, прежде всего, количеством пользователей (ясно, что данное разделение весьма условно):

•до 50 пользователей - рис. 2.32; •до 100 пользователей - рис, 2.34; •до 250 пользователей - рис. 2.35;

•до 500 пользователей и выше - рис. 2.36.

На рис. 2.32 представлена типовая структура сети до 50 пользователей, преду­ сматривающей также возможность коммутации пользователей по соединению dial-up, подсоединяющихся, например, с помощью сервиса Windows NT RAS. Решение задачи защиты Internet-трафика между такой ЛВС и аналогичной, включая защиту соединений dial-up с удаленными пользователями, показано на рис. 2,33.

На выходе из локальной сети устанавливается криптомаршрутизатор КМ, со­ единяющийся с Internet. Каждому из пользователей, соединяющихся с КМ

dial-up, устанавливается Crypton IP-service. В этом случае клиент может соединяться не только с КМ провайдера, но и с любой из защищаемых с помощью КМ ЛВС через Internet.

Помимо защиты проходящего через Internet трафика решается также проблема несанкционированного доступа в локальную сеть из Internet, поскольку производится фильтрация всех входящих пакетов. При использовании предлагаемой схемы защиты возникают лишь некоторые проблемы.

КМ не защищен от атаки, направленной на отказ в обслуживании (DoS), то есть на временное выведение КМ из строя. На наш взгляд, это является общей болезнью всех межсетевых средств защиты; насколько нам известно, эффективных мер противодействия DoS-атакам пока не найдено.

Данная схема позволяет использовать Internet только как средство коммуникации; информационные ресурсы Internet являются недоступными из-за шифрования всего трафика. Варианты решения данной проблемы описаны ниже.

Ясно, что данная структура является размножающейся, то есть подобных об­

щающихся через Internet локальных сетей может быть сколько угодно. Также нет серьезных ограничений на количество коммутирующихся пользователей (кроме количества модемов на КМ,, если коммутация производится к КМ напрямую). Следует учесть, что перед вводом в действие данной схемы необходимо выполнить следующие требования.

Должна быть продумана политика безопасности КМ, включающая выбор ключевой системы (о ключевых системах КМ — ниже), принципы распределения ключей между различными КМ и удаленными пользователями, принципы шифрования и фильтрации lP-датаграмм. Особенно тщательно следует отнестись к распределению ключей, поскольку КМ позволяет устанавливать соответствие как между ключом шифрования и отдельным пользователем, гак и между ключом шифрования и группой пользователей'.

Вся информация ключей должна быть сгенерирована и распределена между пользователями системы.

Необходимо произвести настройку подсистемы шифрования и сетевых интерфейсов КМ.

Сам КМ должен бить защищен от несанкционированного доступа путем нагтрошш КРИПТОН-ВЕТО (в случае его использования; в противном случае КМ должен быть надежно затишен от физического доступа организационными мо­ рями).

Настоятельно рекомендуется назначить уполномоченное дидо - администра­ тора по безопасности;, в ведении которого: были бы следующие функции:

•определение политики безопасности; •выработка информации ключей и управление ее распределением;

•мониторинг действий КМ.

Типовая схема защищенной локальной сета численностью до 100 пользовате­ лей приведена на рис, 2.34.

По сравнению со схемой, приведенной на рис. 2.32, существует только одно принципиальное отличие - внутренние пользователи локальной сети разбиты на сегменты с различными правами Доступа. Данная проблема решается также с по­ мощью КМ достаточно просто; поскольку через КМ проходят все пакеты, легко организовать их фильтрацию.

Следует учесть, что нагрузка на КМ в данном случае будет весьма существенной, поскольку трафик в данной сети теоретически весьма превышает трафик it сети, показанной на рис. 2.32. В связи с этим можно рекомендовать использование в качестве КМ быстродействующего компьютера и использование быстрого аппаратного шифратора, а также следует распараллеливать информацию по не­ скольким КМ (это более актуально для следующих типовых схем, поэтому опи­ сано

Сегментов пользователей с различными правами доступа может быть любое количество. Это же справедливо и для следующей схемы (рис. 2.35), представляющей собой .пример защищенной сети населением до 250 пользователей,

Следует учесть, что КМ поддерживает только Ethernet, поэтому для ивдолъзр-вания КМ в сетях с другой сетевой технологией необходимо устанавливать специальный шлюз, например маршрутизатор с преобразованием пакетов: для сетей: с различной архитектурой. На схеме в качестве примера приведен маршрутизатор Cisco 2153 (или, например, Cisco 2G12), обеспечивакжщй преобразование пакетов Ethernet <—* Token Ring,

Сеть, схема которой представлена на рис. 2.36, принципиально отличается на­ личием выделенной связи с Internet у одного из защищаемых сегментов. В этом случае необходимо установить еще один КМ на выходе из защищаемого сегмен­ та. Тогда весь трафик данного сегмента будет шифроваться независимо от того., направлен ли он в другие сегменты данной сети или в Internet, Маршрутизатор, стоящий на выходе (в качестве примера - Cisco 800), выполняет также преобразование пакетов Ethernet <——» Х.25.

Как было сказано выше, нагрузка ш КМ, стоящий на выходе из локальной сети, весьма существенна. Кроме тою, трафик между данной локальной сетью и Internet может существенно превышать возможности Ethernet, что потребует его замены, напрлмер, на оптоволоконную линию. В этом случае следует установить несколько КМ, что сделает нагрузку на каждый мз них сравнимой с их ресурсами. Схема подобной замены (для схем на рис. 2.35 и 2.36) представлена на рис. 2.37.

Помимо простого разделения трафика по подобластям защищенности, данная схема позволяет более гибко организовывать политику безопасности. Кроме того, настройка подсистем шифрования каждого КМ будет существенно упрощена по сравнению с настройкой единственного КМ (па рис 2.35 и 2.36), что снизит вероятность ошибок администратора безопасности при настройке КМ.

Приведенная на рис. 2.37 структура является примером, группировка КМ и от­ ношения между ними и защищаемыми сегментами могут быть построены по любому принципу, однако следует учитывать, что при существенном наращивании количества КМ выработку общей политики безопасности и проведение соответствующих настроек могут весьма усложниться.

Отмстим, что оба используемых в представленных схемах средства отечественной компании ЛНКАД находятся в постоянном процессе усовершенствования по следующим направлениям:

•увеличение пропускной способности;

•обеспечение поддержки более быстрых интерфейсов, например Gigabit Ether net;

•добавление К КРИПТОН-IP функциональности межсетевого Экрана.

На последнем хочется остановиться подробнее. Именно эта возможность позво­ лит использовать возможности Internet полнос-п.Юуа ис только в качестве средства межсетевой коммуникации. О межсетевых экранах (брандмауэрах - firewalls) и их использовании в периодической литературе сказано пе меньше, чем про VPN-яапример в [40]. Поэтому приведем только последовательность шагов но усовершенствованию КМ для обеспече-

ния возможности его работы в качестве межсетевого экрана:

1. Обеспечение возможности пропуска трафика без шифрования по определенным портам (например, порт 80, соответствующий протоколу HTTP).

2, Открытие порта может сопровождаться также перечнем разрешенных (или запрещенных) IP-адресов, обмен с которыми возможен (или запрещен) по открытому порту.

Обе предыдущие возможности могут сопровождаться вероятностью их удаленного администрирования. При этом в целях безопасности удаленное администрирование может быть разрешено только изнутри одной из защищаемых сетей.

Однако следует учесть, что возможность открытого трафика является существенным послаблением в защите. Насколько нам известно, межсетевые экраны в принципе пе могут противостоять программным закладкам, инициирующим обмен данными из защищаемой сети1. Еще хуже дело обстоит в случае наличия в защищаемой сети злоумышленника. В любом из этих случаев

атака может быть произведена именно с использованием разрешенных протоколов, в первую очередь это касается протоколов HTTP и SMTP как наиболее часто используемых. КРИПТОН-IP обеспечивает защиту и от программных закладок, и от внутренних злоумышленников именно с помощью тотального шифрования всех проходящих IP-пакетов.

Используемые ключевые системы

В приведенных примерах КМ осуществляет шифрование информации с ис­ пользованием одной из двух возможных ключевых систем: ключевая система с открытым распределением ключей (PUBLIC) и ключевая система на основе полной матрицы ключей (PROTECTED).

Используемая ключевая система устанавливается при настройке КМ и должна быть единой для всех КМ, участвующих в построении VPN.

Обе ключевые системы подразумевают шифрование информации на случайных сеансовых ключах, различных для. каждого информационного пакета. Сеансовые ключи шифруются на долговременных ключах и передаются в зашифрованном виде в заголовке пакета, В ключевой системе PUBLIC в качестве долговременного

ключа используется ключ парной связи, вычисляемый по алгоритму Диффи- Хеллма-на из секретного ключа отправителя (то есть КМ, на котором происходит шифрование пакета) и открытого ключа получателя (КМ, которому предназначен пакет). В ключевой системе PROTECTED долговременным ключом является ключ парной связи из предварительно сгенерированной матрицы ключей. Для уменьшения статистики использования долговременного ключа в ключевой системе PROTECTED производится периодическая автоматическая смена ключей парной связи.

Вся ключевая информация должна быть предварительно сгенерирована и распределена между КМ, участвующими в создании VPN. Для генерации ключевой информации в системе PROTECTED фирмой АНКАД предлагается программно-аппаратный комплекс Центр Генерации Ключей. Ключи системы

PUBLIC совместимы по форматам с многими ЭЦП-продуктами фирмы АНКАД (например, Crypton ArcMail), поэтому для генерации ключей может быть использован любой из них.

Ключевая система PROTECTED предусматривает только централизованную генерацию ключей, тогда как при использовании ключевой системы PUBLIC возможна как централизованная, так и децентрализованная генерация ключей с их •последующей сертификацией в одном или нескольких сертификационных центрах. Ключевая система PUBLIC дает возможность передачи сертифицированных открытых ключей по каналам связи общего пользования, сопровождаемых бумажными документами, содержащими образ ключа для контроля целостности открытого ключа и ключа-сертификата.

Наиболее подробно методика вычисления ключей парной связи по алгоритму Диффи-Хеллмана, использование полной матрицы ключей, а также вопросы передачи и хранения ключевой информации освещены в книгах [44,48] и поэтому здесь не рассматриваются,

Необходимые организационные мероприятия

Для успешного использования КМ необходимо провести следующие организационные мероприятия:

•назначить администратора по безопасности, Ответственного за генерацию, сертификацию (или только сертификацию при децентрализованной генера ции ключей) и распространение ключей;

•рабочие места, на которых производится генерация и/или сертификация ключей, в обязательном порядке должны быть защищены от НС Д. Рекомен дуется установить защиту от НСД и на компьютеры с КМ;

•для всех ключей должен быть установлен срок действия, по истечении кото рого должна производиться их плановая смена;

•обеспечить тщательную защиту секретных ключей и ключей парной связи (для системы PROTECTED) от компрометации, а ключей-сертификатов - от подмены. Данные ключи должны храниться на персональных ключевых носи

телях, доступ к которым, может быть разрешен только уполномоченным липам (администраторам конкретных КМ). Следует учесть, что КМ позволяет ис

пользовать, смарт-карты в качестве персоналыгых ключевых насшх'Лен;

•должнъг быть предусмотрены меры экстренней смены ключевой информации при компрометации ей час га;

•рекомендуется регулярно анализировать создаваемые VPN-агентами журна лы операций;

•компьютеры, на которых установлены КМГ рекомендуется оснастить устрой ствами бесперебойного питания, Это особенно важно при использовании клю чевой системы PROTECTED для предотвращения возможной рассинхронизации ключей.

Кроме того, всегда следует помнить, что недостаточно тщательное храпение .ин­ формации о ключах или неправильная настройка могут сделать бесполезными все. усилия то защите. Проникновение злоумышленника в одиц из сегментов VPN может поставить под сомнение защищенность всей VPN, поскольку дальнейшие действия злоумышленник может совершать от имени доверенной сети,

Часть 2

АУДИТ БЕЗОПАСНОСТИ: РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ

В дагшойчасти книги представлен обобщенный положительный опыт практи­ ческой ра|юты авторов, неоднократно выполненной совместно со специалистами компании Конфидент (4vww.confideTit.ru') на реальных объектах Заказшжа. Пред­ ставленный далее материал книги может быть полезен руководителям, их замес­ тителям по развитию, автоматизации и безопасности, начальникам служб авто­ матизации и информационной безопасности, а также всем лицам, ответственным да организацию информационной безопасности на предприятии при выполнения рекомендаций и требований руководящих и нормативных документов Гостехкомиссии России, ФЛПС'И, ФСБ, а также международных стандартов, главным образом: ISO 17799 (BS 7799), ISO 15408, ISO 9001:9004, BSI.

Вторая часть книги содержит описание основных подходов и практических приемов работы по анализу и оценке текущего состояния системы информацион­ ной безопасности предприятия; выработке рекомендаций и предложений по раз­ работке концепции и политики безопасности, нормативной документации, плана защиты предприятия; а также по проектированию и сопровождению корпоратив­ ной системы информационной безопасности. Основная цель этой части книги показать, на основе каких методик, практических методов и приемов аудита безо­ пасности становится возможным построить эффективную, экономически оправдан­ ную и сбалансированную систему обеспечения информационной безопасности предприятия на всех основных уровнях обеспечения: методологическом, органи­ зационно-управленческом, технологическом и техническом.

ГЛАВА 3

МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ АУДИТА БЕЗОПАСНОТТИ

3.1. Влияние аудита безопасности на развитие компании

3.1,1. Как оценить уровень безопасности корпоративной системы Internet/Intranet?

-Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: «Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?».

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос «как оценить уровень безопасности корпоративной информационной системы»- -обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Гостехкомисии России и ФАПСИ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками эко-комической эффективности инвестиций в обеспечение безопасности и защиты

информации.

Такие методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности должны позволить:

произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, техно­ логическом и техническом уровнях с использованием современных методик и средств;

•рассчитать и экономически обосновать перед руководством или акционерами

размер необходимых вложений в обеспечение безопасности на основе технологай анализа рисков, соотнести, расходы на обеспечение безопасности с потен

циальным ущербом и вероятностью, его возникновения;

•выявить и провести первоочередное блокирование наиболее опасных уязвимо - стей до осуществления атак на уязвимые ресурсы;

•определить функциональные отношения и зоны ответственности при взаи-

мвдейс-твии подразделений и лиц по обеспечению информационной безопас ности предприятия, создать необходимый пакет организационнораспоряди

тельной документации;

•разработать и согласовать со службами организации, надзорными органа ми проект внедрения необходимых комплексов защиты, учитывающий со

временный уровень и тенденции развития информационных технологий;

•обеспечить поддержание внедренного комплекса защиты в соответствии

должностными лицами разного уровня новые широкие возможности:

« руководителям организаций и предприятий позволяет обеспечить формирование единых политики и концепции безопасности

предприятия; рассчитать, согласовать и обосновать необходимые затраты в защиту предприятия; объективно и независимо оценить текущей уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик оценки информационной безопасности предприятий;

•начальникам служб автоматизации и информационной

безопасности пред приятия - получить оперативную и объективную качественную и количе ственную опенку состояния информационной безопасности предприятия на

всех основных уровнях рассмотрения вопросов безопасности:

организацион но-управленческом., технологическом и техническом; выработать и обосновать

необходимые меры организационного характера (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет долж

ностных инструкций и инструкции действия в нештатных ситуациях);

помо гают составить экономическое обоснование необходимых инвестиций в защи

ту -информации., обоснованно выбрать те или иные аппаратнопрограммные средства защиты информации в рамках сдтгноп концепции

безопасности в соответствии с требованиями распоряжений и руководящих документов Гос-техкомиссни России, ФАПСИ, а также международных стандартов ISO 17799, 9001, 15408, BSI; адаптировать и использовать Б своей работе предложенные количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой, к экономической составляющей эффективности предприятия;

• системным, сетевым администраторам и администраторам безопасности предприятия - объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия, техническое состояние аппаратно-программных средств защиты информации (межсетевых экранов, маршрутизаторов, хостов, серверов, корпоративных БД и приложений); успешно применять на практике рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно-программного уровня;

• сотрудникам и работникам предприятий и организаций - определить основные функциональные отношения и, что особенно важно, зоны ответственности, в том числе финансовой, за надлежащее использование информационных ресурсов и состояние политики безопасности предприятия.

3,1.3, Практические шаги аудита безопасности

Как на практике реализовать перечисленные возможности? По мнению специалистов, это становится возможным в ходе следующих практических шагов аудита безопасности,

1. Комплексный анализ И С предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.

1.1. Исследование и оценка состояния информационной безопасности КИС и подсистемы информационной безопасности предприятия.

1.1.1.Комплексная оценка соответствия типовых требований РД Гостехкомиссии РФ системе информационной безопасности предприятия.

1.1.2.Комплексная оценка соответствия типовых требовании междуна родных стандартов ISO системе информационной безопасности предприятия.

1.1.3.Комплексная оценка соответствия специальных требований За казчика системе информационной безопасности предприятия.

1.2. Работы на основе анализа рисков.

1.2.1.Анализ рисков. Уровень управления рисками на основе качествен ных оценок рисков.

1.2.2.Анализ рисков. Уровень управления рисками на основе количе ственных оценок рисков.

1.3.Инструментальные исследования.

1.3.1.Инструментальное исследование элементов инфраструктуры ком пьютерной сети и корпоративной информационной системы на на личие уязвимостей.

1.3.2.Инструментальное исследование защищенности точек доступа пред приятия в Internet.

1.4.Анализ документооборота предприятия.

2.Разработка комплексных рекомендаций по методологическому, организаци онно-управленческому, технологическому, общетехническому и программноаппаратному обеспечению режима информационной безопасности предпри ятия.

2.1.Разработка концепции обеспечения информационной безопасности пред приятия.

2.2.Разработка корпоративной политики обеспечения информационной без опасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях,

2.3.Разработка плана защиты предприятия Заказчика.

2.4.Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктур ного и технического обеспечения режима информационной безопасности предприятия Заказчика.

3. Организационно-технологический анализ ИС предприятия. 3.1.Оценка организационно-управленческого уровня безопасности,

3.1.1.Оценка соответствия типовым требованиям руководящих доку ментов РФ к системе информационной безопасности предприя тия в области организационно-технологических норм.

3.1.2.Анализ документооборота предприятия категории «конфиденци* ально» на соответствие требованиям концепции информационной

3.1.3.Дополнительные работы по исследованию и оценке информаци онной безопасности объекта.

3.2.Разработка рекомендаций по организационно-управленческому, техноло гическому, общетехническому обеспечению режима информационной без опасности предприятия.

3.2.1.Разработка элементов концепции обеспечения информационной

безопасности предприятия.

3.2.2.Разработка элементов корпоративной политики обеспечения инфор мационной безопасности предприятия на организационно-управ ленческом, правовом и технологическом уровнях.

4.Экспертиза решений и проектов.

4.1.Экспертиза решений и проектов автоматизации на соответствие требо ваниям по обеспечению информационной безопасности экспертно-доку- ментальным методом.

4.2.Экспертиза проектов подсистем информационной безопасности на соответ ствие требованиям по безопасности экспертно-документалъным методом.

5.Работы по анализу документооборота и поставке типовых комплектов орга низационно-распорядительной документации.

5.1.Анализ документооборота предприятия категории «конфиденциально» на соответствие требованиям концепции информационной безопасно сти, положению о коммерческой тайне, прочим внутренним требовани ям предприятия по обеспечению конфиденциальности информации.

5.2.Поставка комплекта типовой организационно-распорядительной доку ментации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

6. Работы, поддерживающие практическую реализацию плана защиты.

6.1.Разработка технического проекта модернизации средств защиты КИС, установленных у Заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.

6.2.Разработка системы поддержки принятия решений на предприятии Заказчика по обеспечению информационной безопасности предприятия на основе CASE-систем и программных СППР.

6.3.Подготовка предприятия к аттестации.

6.3.1.Подготовка «под ключ» предприятия к аттестации объектов ин форматизации заказчика на соответствие требованиям РД РФ.

6.3.2.Подготовка предприятия к аттестации КИС на соответствие тре бованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований ин формационной безопасности предприятия.

6.4. Разработка организационно-распорядительной и технологической доку ментации.

6.4.1.Разработка расширенного перечня сведений ограниченного рас пространения как части политики безопасности.

6.4.2.Разработка пакета организационно-распорядительной документа ции (ОРД) в соответствии с рекомендациями корпоративной

политики ИБ предприятия на организационно-уп равленческом и правовом уровне.

6.4.3.Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики И Б предприятия на организационно-управленческом

иправовом уровнях.

7.Повышение квалификаций и переподготовка специалистов.

7.1.Тренинга в области организационно-правовой составляющей защиты информации.

7.2.Обучение основам экономической безопасности. 7.3.Тренинги в области технологии защиты информации.

7.4.Тренинги по применению продуктов (технических средств) защиты ин формации,

7.5.Обучение действиям при попытке взлома информационных систем.

7.6.Обучение и тренинги по восстановлению работоспособности системы после нарушения штатного режима ее функционирования, а также но

восстановлению данных и программ из резервных копий.

8.Сопровождение системы информационной безопасности после проведенно го комплексного анализа или анализа элементов системы ИБ предприятия.

9,Ежегодная переоценка состояния ИБ.

Здесь под термином аудит информационной безопасности корпоративной системы Internet/Intranet понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности: методологическом, организационноуправленческом, технологическом и техническом. Таких оценок, которые позволяют выработать практические рекомендации по управлению и обеспечению информационной безопасности компании, адекватные поставленным целям и задачам развития бизнеса.

В целом независимо от своей разновидности, состава и объема аудит безопасности корпоративной системы Internet/Intranet должен позволить решить следующие актуальные задачи каждой проверяемой компании:

•обеспечить (при необходимости повысить) информационную безопасность предприятия;

•снизить потенциальные потери предприятия путем повышения устойчивости функционирования корпоративной сети;

•защитить конфиденциальную информацию, передаваемую по открытым ка налам связи;

•защитить информацию от умышленного искажения (разрушения), несанкци онированного копирования, доступа или использования;

•обеспечить контроль действий пользователей в корпоративной сети предпри ятия;

•своевременно оценить и переоценить информационные риски бизнес-дея тельности компании;

• выработать оптимальные планы развития и управления предприятием. Теперь посмотрим, что может лежать в основе проведения аудита информаци онной безопасности российских компаний.

3.2. Новое поколение стандартов информационной безопасности

В последнее время в разных странах появилось новое поколение стандартов информационной безопасности компьютерных информационных, систем, посвя

щенных практическим вопросам обеспечения и аудита информационной безопас ности. Это прежде всего международные и национальные стандарты оценки

и управления безопасностью ISO 15408. ISO 17799 (BS 7799),

BSI; стандарты аудита информационных систем и информационной безопасности СОВГГ, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.

В соответствии с этими стандартами обеспечение информационной безопасности в любой компании предполагает следующее. Во-первых,

определение целей обеспечения информационной безопасности компьютерных систем. Во-вторых, создание эффективной системы управления информационной безопасностью. В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оцени! соответствия информационной безопасности заявленным целям. В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, использование методик (с обоснованной

системой метрик и мер обеспечения информационной безопасности)

проведения аудита информационной безопасности, позволяющих объективно оценить текущее состояние дел.

Новое поколение стандартов отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992-1998 годов, большей формализацией аудиторской деятельности и более детальным комплексным учетом качественно и количественно проверяемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к аудиту, коща на соответствие определенным правилам проверяется не только программно-техническая составляющая информационной безопасности компьютерной системы, но и

организационно-административные меры по ее обеспечению. А для практики аудита исключительно важным стало принятие в период с 1996 по 2001 год стандартов аудита шчформациоцных систем и информационной без­ опасности, действующих и поныне. Так, например, с возможными стандартами Ассоциации аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation - ISACA), регламентирующими практику процедуры проведения аудита, а также права и обязанности аудиторов, можно познакомиться на сервере http://www.isaca.org. Представленные на сайте указанной Ассоциации стандарты объединены в следующие группы:

•хартия аудитора (010 Audit Charter) - определяет права и обязанности ауди тора;

•обеспечение независимости (020 Independence) - описаны гарантии профес сиональной независимости аудитора и взаимоотношения с другими компа ниями;

•профессиональная этика (030 Professional Ethics and Standards) - перечисле ны требования к профессиональной этике аудиторов и их взаимоотношени ям в профессиональной среде;

•требования к квалификации аудитора (040 Competence) - Приведен список формальных требований к знаниям и навыкам, необходимых для работы ауди тора;

•планирование работ по аудиту (050 Planning) - рассмотрена предоставляемая аудитору до начала работ документация и требования, которым должен отве чать план проверки;

•подотчетность действий аудитора (060 Performance of Audit Work) - описа на контрольные операции за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence);

•требования к отчетной документации (070 Reporting) - показана рекоменду

емая форма отчета и его содержание;

•последующие действия (080 Follow-Up Activities) - описана процедура над зора за исправлениями, которые вносятся после аудита.

Рассмотрим некоторые стандарты, затрагивающие вопросы аудита информационной безопасности, несколько подробнее.

3.2.1.Стандарты BSISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799- 2:2000

Пожалуй, сегодня для проведения аудита информационной безопасности ком­ пании наибольшую известность и распространение получил Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии (Information technology - Information security management)», Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью (Information security management - Part 1: Code of practice for information security management)» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий [85]:

•необходимость обеспечения информационной безопасности; •основные понятия и определения информационной безопасности; •политика информационной безопасности компании; •организация информационной безопасности на предприятии;

•классификация и управление корпоративными информационными ресурсами; •кадровый менеджмент и информационная безопасность; •физическая безопасность;

▪ администрирование безопасности корпоративных информационных систем;

•управление доступом;

•требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения; •управление бизнес-процессами компании с точки зрения информационной

безопасности;

• внутренний аудит информационной безопасности .компании.

Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью (Information security management - Part 2: Specification for information security management systems)» определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта [82]. В соответствии с положениями этого стандарта также, регламентируется процедура аудита

информационных корпоративных систем. Также дополнительную существенную помощь при проведении аудита безопасности компании могут оказать практические рекомендации Британского института стандартов - British Standards Institution (BSI), изданные в период 1995-2000 годов в виде следующей серии [79-81, 64, 83, 95, 73]:

•Введение в проблему управления информационной безопасности - Informa tion security management: an introduction;

•Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 certification;

•Руководство BS 7799 по оценке и управлению рисками - Guide to BS 7799

risk assessment and risk management;

• Готовы ли вы к аудиту на требования стандарта BS 7799 - Are you ready for

a BS 7799 audit?

• Руководство для проведения аудита на требования стандарта BS 7799 — Guide

to BS 7799 auditing;

•Практические рекомендации по управлению безопасностью информацион ных технологий - Code of practice for IT management.

Сегодня общими вопросами управления информационной безопасности ком­ паний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов - British Standards Institution(BSI) - (ww4v.bsi-global.com) и, в частности, служба UKAS (United Kingdom Accredited Service), Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах.

Рассмотрим основные положения методики проведения аудита и рекомендованные ею средства и методы оценки рисков: Guide to BS 7799 risk assessment and risk management. - DISC, PD 3002, 1998; Guide to BS 7799 auditing. - DISC, PD 3004, 1998. Существенно, что эти рекомендации вполне применимы к отечественным условиям и могут быть использованы при разработке соответствующих методик.

Особенно полезными представляются простейшие методы оценки и управления рисками, не требующие использования сложного и дорогостоящего программно­ го обеспечения.

Каждая компания, решившая провести аудит информационной безопасности, в соответствии с требованиями стандарта BS ISO/1EC 7799:2000 (BS 7799- 1:2000) должна осуществить подготовительные мероприятия, подготовить документацию и систему управления информационной безопасностью. Только после выполнения этих требований компания приглашает аудитора.

Подготовительные мероприятия включают в себя подготовку нормативно-ме­ тодической документации компании по организации информационной безопас­ ности и проведение внутренней проверки соответствия системы обеспечения

информационной безопасности компании требованиям стандарта Т SO 17799. Процесс аудита информационной безопасности компании начинается с подго­

товки детальных и подробных планов проведения аудита. Планы должны быть предоставлены соответствующим лицам компании до начала процедуры аудита безопасности. При этом важно, чтобы аудиторы были ознакомлены с тем, каким законодательно-правовым нормам и требованиям отраслевых и ведомственных стандартов следует проверяемая организация или компания. Далее начинается проверка нормативно-методической документации компании, которая может про­ водиться как внутри компании, так и за ее пределами. Состав проверяемой доку­ ментации может включать: Концепцию и Политику безопасности, описание рамок защищаемой системы (карту корпоративной системы Internet/Intranet, в том числе описание состава и структуры используемого в компании прикладного и системного программного обеспечения), должностные инструкции корпоративных пользователей, положения о Департаменте информационной безопасности, а также описания методик оценки и управления информационными рисками, оценки состояния информационной безопасности компании, правил и норм эксплуатации программно-технических средств обеспечения информационной безопасности и пр. Если компания уже проходила процедуру аудита, то также представляется отчет о предыдущей проверке и данные о всех выявленных ранее несоответствиях. Кроме того, должна быть подготовлена так называемая Ведомость соответствия — документ, в котором оценивается соответствие поставленных целей и средств управления информационной безопасностью требованиям стандарта.

Сущность аудита безопасности на соответствие системы управления информа­ ционной безопасностью компании требованиям стандарта заключается в проверке выполнения каждого положения стандарта ISO 17799. По каждому такому положению проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы причины невыполнения? На основе ответов составляется Ведомость соответствия, основная цель которой - аргументированное обоснование имеющихся отклонений информационной безопасности от требований стандарта ISO 17799. По завершении аудита безопасности выявленные несоответствия при необходимости могут быть устранены. Другими словами, в холе выполнения аудита всей компании в целом, аудитор, выполняющий данную работу, должен собрать доказательства того, что компания отвечает всем требованиям стандарта ISO 17799. Это делается на основе анализа документов, бесед с экспертами, а при необходимости и проведения соответствующих организационных проверок режима безопасности и инструментальных проверок компонентов корпоративной системы Internet/Intranet. В результате должны быть проверены: организация информационной безопасности компании, обязанности но обеспечению информационной безопасности сотрудников всех должностей, на­ личие документированной политики и стратегии информационной безопасности для компании и, в частности, документированной стратегии и общих положений подхода к оцениванию и управлению рисками. При этом обращается внимание на наличие документированных, применимых на практике методик по оценива­

нию и управлению рисками, обоснования правильности выбора средств защиты для информационной системы компании. Попутно выявляется наличие докумен­ тированных процедур оценки остаточного риска, проверки режима информационной безопасности, а также журналов, в которых фиксируются результаты проверки. У проверяющего аудитора должна быть полная ясность относительно наличия документированных правил обслуживания и администрирования информационной системы, наличия документированных распоряжений должностных лиц по проведению периодических проверок оценивания и управления рисками, документации ио системе управления информационной безопасностью и реестра необходимых средств.

Аудитор, проводящий аудит информационной безопасности компании, дол­ жен, по меньшей мере, выполнить выборочные проверки выводов, сделанных при оценивании рисков. Для каждого случая нужно подтвердить, что все, что подверглось выборочной проверке, имеет необходимую документацию в долж­ ном объеме, оценивание рисков было выполнено в соответствии с корректными методиками, а их результаты оформлены документально, достоверны и могут быть использованы. Кроме того, должен быть подтвержден факт соответствия рассматриваемым рискам средств обеспечения информационной безопасности, выбранных на основе рекомендаций BS ISO/IEC 7799:2000 (BS 7799-1:2000), их документирования, правильного использования и прохождения ими тестирования, а Также знания сотрудниками политики информационной безопасности компании. Используемая система управления информационной безопасностью должна быть надлежащим образом документирована и подготовлен документ «Ведомость соответствия», в котором описаны риски, используемые законодательные и нормативные требования, указаны выбранные средства обеспечения информационной безопасности и обоснован их выбор. В заключение проводящий аудит сотрудник должен стандартным образом оформить соответствующий документ.

В общем плане возможны два варианта аудита информационной безопасности: аудит компании в целом и аудит только информационной системы (в этом случае могут быть использованы также рекомендации международного стандарта ISO 15408, см. приложение 1) [89-91].

В первом случае компания должна подготовить для проверки:

•документы, подтверждающие внедрение в организации выработанной поли тики информационной безопасности и, в частности, наличие документиро ванного подхода к оцениванию и управлению рисками в рамках всей компа нии;

•описание организационной инфраструктуры информационной безопасности на местах - распределение обязанностей сотрудников по обеспечению без опасности; •обоснование выбора средств защиты для рассматриваемой системы;

•документацию на процессы обслуживания и администрирования информа ционной системы;

•документацию с описанием подходов к оцениванию и управлению рисками;

•документацию по подготовке периодических проверок по оцениванию и управ лению рисками;

•описание процедуры принятия уровня остаточного риска, с документирован ным выводом о реализации необходимых средств обеспечения информацион ной безопасности, степени их тестирования и корректности использования;

•документацию по системе управления информационной безопасностью и; ре естр средств управления безопасностью в документе «Ведомость соответ ствия»; •результаты оценивания рисков по информационной системе;

•описание контрмер для противодействия выявленным рискам.

Все перечисленные проверки выполняются с использованием принятых в ком­ пании подходов к оценке и управлению рисками.

В случае аудита только информационной системы компания должна подгото­ вить для проверки:

•описание политики информационной безопасности, документацию по систе ме управления информационной безопасностью и документ «Ведомость со ответствия», отражающий реальное состояние оцениваемой системы.

•документацию по проведенному оцениванию рисков; •документацию по средствам управления информационной безопасностью;

•доказательства эффективности принятых контрмер и результаты их тестиро вания.

Кроме того, при аудите только информационной системы аудитор должен подтвердить документированность вопросов, рассматриваемых в ходе проведения периодических проверок системы управления информационной безопасностью, а также корректность оценки рисков, выполненных посторонними или рекомендуемыми стандартом методами. Он должен заверить достоверность результатов оценки, подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом. Познакомившись со средствами обеспечения информационной безопасности, аудитор должен подтвердить, что Необходимые средства обеспечения информационной безопасности были установленыкорректно, прошли тестирование и правильно используются, сотрудники знакомы с Политикой информационной безопасности, а система управления информа­ ционной безопасностью должным образом документирована и подготовлен документ «Ведомость соответствия». В заключение проводящий аудит сотрудник должен стандартным образом оформить соответствующий документ.

В практических рекомендациях Британского института стандартов BSI отмечается, что в среднем трудоемкость аудита информационной безопасности средней и крупной компаний может составлять 30-45 человекодней работы аудитора. По результатам успешно выполненного аудита компании или ее информационной системы и: подсистемы информационной безопасности осуществляется выдача сертификатов на соответствие стандарту

BSISO/IEC 7799:2000 (BS 7799-1:2000), которые считаются действительными в течение 3 лет.

В процессе аудита подсистемы информационной безопасности компании на соответствие стандарту BS 1SO/IEC 7799:2000 (BS 7799-1:2000) аудиторы должны проанализировать наиболее важные аспекты информационной безопасности с учетом объема подлежащей защите проверяемой информации, ее специфики и ценности для проверяемой компании. Поскольку подобная деятельность аудитора в настоящее время с большим трудом поддается формальному описанию, , требует значительных знаний системного анализа и опыта аналогичной практической работы, опыт и компетентность аудитора являются существенными факторами качественно проведенного аудита безопасности корпоративной системы Internet/

Intranet.

В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандарта и рекомендаций по их исправлению. При этом аудиторы должны гарантировать выполнение всех требований процедуры аудита. Поскольку и аудиторам, и проверяемой компании необходимо знать, насколько серьезны обнаруженные недостатки и каковы способы их исправления, то в стандарте используются следующие категории несоответствия.

Существенное несоответствие- не выполняется одно или несколько базовых требований стандарта ISO 17999 или установлено использование неадекватных мер по обеспечению конфиденциальности, целостности или доступности критически важной информащш компании, приводящих к недопустимому информационному риску.

Несущественное несоответствие', не выполняются некоторые второстепенные требования, что несколько повышает информационные риски компании или снижает эффективность мер обеспечения 1Шформационной безопасности компании. Каждое выявленное несоответствие обязательно должно иметь ссылку на соответствующее требование стандарта ISO 17799. При выявлении в процессе проверки значительного числа несущественных несоответствий аудитор обязан исследовать возможность возникновения существенного несоответствия. После выявления несоответствий аудитор и представители компании обязаны наметить пути их устранения. По результатам проверки аудитор может сформу-шровать в отчетных документах замечание, если он допускает возможность усовершенствования подсистемы информационной безопасности компьютерной информационной системы. Реакция компании на замечания аудитора может быть различной, поскольку компании сами в добровольном порядке определяют свои действия по их устранению. Замечания фиксируются и при последующих проверках. Аудиторы обязаны выяснить действия компании по их устранению.

Аудитор анализирует предоставленные компанией ранее описанные документы, а в случае повторного аудита компании или ее подсистемы информационной безопасности предоставляет «Ведомость соответствия» -

документ, составленный аудитором при предыдущей проверке.

Организация проведения работ по аудиту безопасности должна начинаться с официального вступительного собрания. На собрании до сотрудников, занимающихся вопросами безопасности, руководства среднего и верхнего звена (ТОР-менеджеров компании) доводятся следующие вопросы:

•план проведения аудита, в котором описано, что и когда планируется прове рять;

•поясняются методы оценки рисков, которые предполагается использовать к процессе проверки;

•объясняется процедура определения несоответствий, их квалификация и дей ствия по их устранению;

•разъясняются причины, по которым по результатам проверки могут быть сде ланы замечания, и возможная реакция на них;

•перечисляются руководящие документы аудитора и компании и правила до ступа к ним;

•выясняются возможные трудности, которые могут возникнуть в процессе ра боты - отсутствие ведущих специалистов и т.д.;

•обговаривается организация работы с конфиденциальными сведениями ком пании, необходимыми для проведения аудита, включая отчет о проведении аудита и замечания о несоответствиях.

Администрация компании должна понимать, что аудитору, возможно, потребуется обратиться к потенциально уязвимым участкам компьютерной информационной системы и конфиденциальной информации компании, например к спискам паролей и учетных записей корпоративных пользователей, личлым делам сотрудников, резулътам проверки лояльности сотрудников компании и пр.

После проведения аудита проводится заключительное собрание с руководителями верхнего звена, на которое выносится:

•подтверждение заявленных перед проверкой объема проверок и рамок аудита; •краткое изложение найденных несоответствий и согласованных изменений;

•ознакомление присутствующих с замечаниями и предложениями' по их устра нению;

•общие замечания по ходу аудита и комментарии к отчету;

•оглашение выводов: положительное заключение, отказ в сертификации или продолжение аудита;

• подтверждение взятых обязательств по сохранению конфиденциальности сведений, полученных в ходе аудита.

Участники вступительного и заключительного собраний должны быть

официально зарегистрированы. Главным результатом проведения аудита является официальный отчет, в котором должны быть отражены:

•степень соответствия проверяемой компьютерной информационной системы стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000) и собственным требова ниям компании в области информационной безопасности согласно плану проведения аудита и «Ведомости соответствия»;

•подробная ссылка на основные документы заказчика, включая политику без опасности, «Ведомость соответствия», описания процедур обеспечения ин формационной безопасности, дополнительные обязательные и необязатель ные стандарты и нормы, применяемые к данной компании;

•общие замечания по выводам проведения аудита; •количество и категории полученных несоответствий и замечаний;

•необходимость дополнительных действий по аудиту (если таковая имеется) и их обгний план; •список сотрудников, принимавших участие в тестировании.

Этот отчет является официальным документом проведения аудита. Оригинал отчета должен быть доступен сертифицирующему органу. В документе должны быть определены установленные проверяемой организацией и стандартами BS ISO/IEC 7799:2000 (BS 7799-1:2000) аспекты обеспечения безопасности, которые будут рассматриваться при каждой проверке. Отчет должен обновляться при каждом аудите.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/ IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности;

3.2.2. Стандарт COBIT 3rd Edition

К настоящему времени аудиторскими комтшгиями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (табл., 3,1).

в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация IS AC A координирует деятельность более чем 26000 аудиторов информационных систем (C1SA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет1 исследовательские работы, занимается подготовкой кадров, проводит конференции.

Ассоциация TSАСА под аудитом информационной безопасности в

Информационном системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и: доступности данных, достигаются ли цели предприятия в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA, основная цель ассоциации - ис­ следование, разработка, публикация и продвижение стандартизованного набора документов но управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе над названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит .из четырех частей [69-71]:

•Часть 1— краткое описание концепции (Executive Summary),;

•часть 2 - определения и основные понятия (Framework). Помимо требова ний и основных понятий в этой части сформулированы требования к ним;

•часть 3 - спецификации управляющих процессов и возможный инструмен тарий (Control Objectives);

•часть 4 - рекомендации по выполнению аудита компьютерных информаци онных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международ­ ному стандарту BS Т SO/IE С 7799:2000 (BS 7799-1:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 3.1

[69].

Кратко основная идея стандарта COBIT выражается следующим образом; все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных техно­ логий, являющиеся источником информации, которая используется в бизнсс-про- дессе. Информационная технология должна удовлетворять требованиям бн^цеепроцесса. Эти требования сгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, кото­ рые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам об­ работки информации, например: стиль, удобство интерфейсов. Характеристики

доставки информации получателю - показатели, в обобщенном виде входящие

впоказатели доступности и частично - конфиденциальности и целостности. Рас­ смотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых, доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой

всистеме информации, ее действенность. В третьих, показатели информацион­ ной безопасности =- конфиденциальность, целостность и доступность обрабаты­ ваемой в системе информации.

Встандарте COBIT выделены следующие этапы проведения аудита.

Подписание договорной и исходно-разрешительной документации. На этом эта­

пе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.

Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Ассоциация ISAC А выдвинула ряд требований к предоставлению информации при проведении аудита, которые были реализованы в стандарте COBIT. Основное требование, предъявляемое к информации, - это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной). Причем информация должна быть понятной для грамотного пользователя, что не исключает рассмотрения сложной информации, если она действительно необходима. Информация уместна, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание, существенность и своевременность. Информация называется существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Иногда полагают, что аналогом уме­ стности информации является требование полноты отражения операций за отчетный период. Информация является достоверной, если она не содержит су­ щественных ошибок или пристрастных оценок и правдиво отражает хозяйствен­ ную деятельность. Чтобы быть достоверной, информация должна быть правдивой, нейтральной (не должна содержать однобоких оценок), осмотрительной (готов­ ность к учету потенциальных убытков и, как следствие, создание резервов) и до­ статочной для принятия решений.

Анализ исходных данных проводится только с учетом достоверных исходных дан-ньгх. Требования к проведению анализа определяются на этапе сбора исходных данных, Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Выработка рекомендаций. Полученные в результате проведенного анализа ре­ комендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков вне­ дрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о теку­ щем состоянии информационных систем, техническом задании на внесение из­ менений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на. Три условные группы: организационные, технические и методологи­ ческие. Каждая из названных групп направлена на улучшение организационно­ го, технического или методологического обеспечения информационной систе­ мы. К организационной группе относятся опенки стратегического планирования, общего управления и инвестиций в инфйрманионную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению зат­ рат на обслуживание информационной системы, результаты проверки соответ­ ствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выпол­ няемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии ин­ формационной системы компании.

Контроль за выполнением рекомендаций подразумевает постоянное отслежива­ ние аудиторской компанией выполнения Заказчиком рекомендацией. Подписание отчетных, актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации как долгосрочные и краткосрочные планы развития информационной системы, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок

является одним из условий проведения профессионального аудита. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты которых могут вызвать сбои в работе в работе информационной системы-

Любая работающая информационная технология в модели COBIT проходит

следующие стадии жизненного цикла.

Планирование и организация работы, На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т. д. Всего на этой стадии выделяется i i основных задач,

Приобретение и ввод в действие. Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

Поставка и поддержка. Выда'тяется 13 основных задач данной стадии, предна-. значевных обеспечить эксплуатацию информационной технологии.

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на дайной стадии.

Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки

информации (рис. 3.2).

Кроме традиционных свойств информацииконфиденциальности, целостности и доступности - в модели дополнительно используются еще 4 свойства - действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

Отталкиваясь от решаемых компанией бизнес-задач, стандарт COBIT, учитывая заданные критерии оценки и имеющиеся в распоряжении ресурсы, предлагает описание основных работ по планированию и кампании разработки информационных систем, их комплектации и внедрению, мониторингу, управлению и обслуживанию. В стандарте четыре базовые группы (домена) разбиты на 34 подгруппы, состоящие из 318 объектов контроля, каждый из которых предоставляет аудитору достоверную актуальную информацию о текущем состоянии информационной системы

Системно скоординировав все лучшее в области аудита безопасности инфор мациопньтх систем,, стандарт предоставляет аудиторам пакет руководящих доку ментов. Документы стандарта на современном уровне описывают концептуальную последовательность действий аудитора по сбору данных об исследуемы: информационных системах и выдаче рекомендаций по их совершенствованию

Стандарт COBIT базируется на стандартах ISA, ISACF и других между:гародных стандартах и нормативных документах: технические стандарты, кодексы, критерии оценки информационных систем, профессиональные стандарты, требования к банковским услугам, системам электронной торговли, производству и т. д. Стандарт разработан и проанализирован сотрудниками ведущих консалтинговых компаний и используется в их работе наряду с другими положениями. Несмотря на сравнительно малый объем стандарта, он отвечает потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность его

использования как для проведения аудита информационной системы компании, так и для проектирования информационной системы, В первом случае стандарт COBIT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.

Стандарт СОВ1Т выгодно отличается от многочисленных аналогичных разра боток. К достоинствам стандарта следует отнести его достаточность, сравнитель но несложную адаптацию к специфике решаемой задачи, осуществимость масшта

бирования и наращивация возможностей исследуемых информационных систем. Он применим к любым программно-аппаратным решениям без изменения соб ственной структуры и заложенных в нем принципов. Стандарт характеризуется » широким диапазоном решаемых задач - от стратегического планирования до ана-

лиза работы отдельных элементов информационной системы, перекрестным контролем критически важных объектов контроля.

Ассоциация ISACA уделяет большое внимание регламентации различных аспектов деятельности аудитора. Разумная система регламентации наряду с высокой квалификацией аудиторов обеспечивает качество аудита информационной безопасности. Основным регламентирующим документом является мандат аудитора. Каждый сертифицированный аудитор CICA имеет мандат на проведение аудита, в котором указано следующее:

•ответственность (Responsibility) и обязанности аудитора: официальное разре шение на проведение работ с указанием их целей, рамки деятельности аудито

ра, объект, на котором проводится аудит, гарантии независимой проверки аудитором информационной системы, специальные требования к проведе

нию аудита, критически важные факторы, обеспечивающие успех проводи мых работ, и отчетные материалы - показатели работы аудитора;

•полномочия (Authority) аудитора: комплекс мероприятий по оценке оговорен ных рисков, право доступа к необходимым для проведения аудита сотрудни

кам и информации, выбор подлежащих аудиту подсистем компьютерной ин формационной системы;

подотчетность (Accountability) аудитора: порядок представления отчета руко водству компании, перечень доводимых до персонала основных результате аудита, процедуры независимой оценки результатов аудита, правила инфор­

мирования проверяемых о действиях аудитора. Кроме Того, процедура ауди­ та должна соответствовать стандартам и предварительному плану, а сам ауди­ тор отвечает эа качество проведения проверки, соблюдение сроков, сметной стоимости и может быть подвергнут штрафу.

Современные методы управления информационной безопасностью способны обеспечить решение любых корректно поставленных задач в области информаци­ онной безопасности. Уровень безопасности любой технологии может быть сколь угодно высок. Однако затраты из обеспечение высокого уровня безопасности могут оказаться чрезвычайно высокими. Выбор приемлемого уровня безопаснос­ ти при допустимых затратах является обязательным условием постановки задачи обеспечения информационной безопасности. Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает наличие системы показателей эффективности подсистемы безопас­ ности, методики их измерения, должностных лиц, уполномоченных принимать решение о допустимости определенного уровня остаточного риска в системы мо­ ниторинга, позволяющей отслеживать текущие параметры подсистемы безопас­ ности. Сложность в решении этой задачи заключается в нахождении подобного компромисса.

Умение правильно оценить угрозы информационной безопасности в конкрет­ ной ситуации, найти систему контрмер, обладающих приемлемым соотношением стоимость/эффективность, является одним из необходимых качеств аудитора. В IS АСА существуют учебные программы, помогающие овладеть этими навыками, например интерактивная обучающая программа ТАКС", доступная по адресу nttp://www.isac-a.org/tako.htm.

Теперь обобщим рекомендации рассмотренных выше международных стандар­ тов и попробуем выработать некоторые общие практические рекомендации и правила планирования и управления аудитом информационной безопасности российских компаний.

3.3. Планирование аудита информационной безопасности компании

В соответствии с рекомендациями международных стандартов инфорчационион безопасности процедура проведения аудита безопасности компании должна планироваться заранее. Для этого необходимо составить план проведения аудита, который должен отражать все мероприятия и процедуры, связанные с первоначальными и контрольными проверками продолжительностью более одного дня. Кроме того необходимо ознакомиться с соответствующей законодательной и нормативной базой для выявления требований по информационной безопасности, которые могут быть использованы для обеспечения информационной безопасности компании.

Для проведения аудита информационной безопасности компании необходимо подготовить в,се необходимые сведения о собственной структуре, бизнес-деятельности,, текущих проектах, состоянии информационной инфраструктуры и т, п. Кроме того, потребуется документально оформленные

Концепция и Политика безопасности компании, список непользуемого в компании системного и прикладного программного обеспечения, omtcam-ie технологии обработки данных, состав и структура подсистемы защиты информации, а также общая карта компьютерной сети компании.

План проведения аудита должен определять проверяемые области деятельно­ сти компании и время их проверки с указанием, какие именно требования международных стандартов, например ISO 17799. и руководящих документов Гостех-комиссии РФ будут проверяться (согласно «Ведомости соответствия»). Другими словами, план подготовки и проведения аудита должен определять потребности компании в оценке и объективном анализе состояния информационной безопасности, потребности в соответствующих аппаратнопрограммных средствах защиты информации, потребности в обучении и переподготовке службы информационной безопасности, а также освещать другие вопросы, ответы на которые невозможно дать без проведения аудита. В дальнейшем план проведения аудита с. внесенными в него изменениями по ходу проверок прилагается к отчету о проведении аудита. Кроме того, необходимо помнить о согласовании плана проведения аудита с Концепцией и Политикой информационной безопасности компании.

Рекомендуется выделять четыре возможных этапа планирования аудита: пойг гртовка аудита безопасности, анализ требований и исходных данных, расчет трудоемкости и стоимости выполняемых работ и документирование процедуры проведения аудита.

На подготовительном этапе исполнитель определяет общий порядок работ, устанавливающий последовательность выполнения и возможные затраты ресурсов, и согласовывает его с заказчиком. На этом этапе рассматриваются: • назначение и цеди предстоящего аудита, порядок их достижения. Принципы установки рамок проведения аудита. Функции, структура и состав корпоративной; системы Internet/Intranet, узкие места и потенциальные уязвимости в системе управления информационной безопасностью. Методики оценки квалификации специалистов и сотрудников службы информационной безопасности. Способы категорирования обрабатываемой в корпоративной информационной снстеме.информацни, например на общедоступную, конфиденциальную и строго конфиденциальную;

•методы: и инструментарии оценки временных затрат и затрат ресурсов ком­ пании на аудит информационной безопасности. Возможность испол ьзования результатов ранее проведенного аудита, в том числе анализа информацион­ ных рисков и анализа соответствия требованиям международных стандартов и руководящих, документов Гостехкомиссии РФ;

•состав группы экспертов в области безопасности корпоративных систем In ternet/Intranet it распределение обязанностей между ними;

•параметры корпоративной информационной сети компании и среды ее функ ционирования, оказывающие существенное влияние на качество аудита без опасности;

•совокупность учитываемых при проведении аудита безопасности требова

ний международных, государственных, межведомственных и внутренних стандартов;

•внутренняя отчетная документация, оформление я при необходимости корректировка концепции и политики информационной безопасности ком пании;

•перспективы и тенденции развития корпоративной системы защиты инфор мации компании, вопросы выработки стратегии и тактики ее развития.

Согласованный с заказчиком общий порядок проведения аудита безопасности компании может быть отражен в соответствующем техническом заданий.

Этап анализа требований и исходных данных составляет главную часть плани­ рования аудита. В процессе анализа рассматриваются:

• требования информационной безопасности. Цель аудита - объективно и опе­ ративно оценить и проверить соответствие исследуемой корпоративной сис­ темы защиты компании предъявляемым к ней требованиям информационной безопасности. Поэтому для такой оценки необходимо сначала рассмотреть требования информационной безопасности. Основными требованиями ин­ формационной безопасности для отечественных предприятий и компаний яв­ ляются требования руководящих документов Гостехкомиссии РФ, законов Российской Федерации, внутриведомственных, межведомственных, нацио­ нальных и международных стандартов. Кроме этого, для каждой корпоратив­ ной информационной системы необходимо учитывать специальные требова­ ния внутреннего использования, согласованные с концепцией и политикой безопасности компании. Такие внутренние требования рекомендуется форму­ лировать по результатам анализа информационных рисков компании, учиты­ вающих специфику конкретной компании;

• исходные данные для проведения аудита. В руководящем документе Гостехко­ миссии «Положение по аттестации объектов информатизации по требованиям безопасности информации» [47] приводится стандартный перечень исходных данных, необходимых для разработки программы и методики аттестационных испытаний. Помимо стандартных исходных данных могут использоваться и дополнительные исходные данные, специфичные для каждой конкретной компании, например статистика нарушений политики безопасности компании, статистика внешних и внутренних атак, уязвимости наиболее критичных корпоративных информационных ресурсов и т. д. Также нужно учитывать, что, как правило, руководство компании имеет собственные взгляды на информацию, предоставляемую в качестве исходных данных для аудита безопасности. Поэтому между заказчиком и исполнителем работ по аудиту информационной безопасности рекомендуется заключить специальное соглашение о конфи­ денциальности или соответствующий протокол о намерениях; • рамки проведения аудита. При определении рамок проведения аудита необходимо в равной степени учитывать организационный, технологический, и программнотехническийуровни обеспечения информационной безопасности. В противном случае результаты аудита не будут объективно отражать реальный уровень

информационной безопасности компании. Например, дорогостоящие аппаратно-программные средства зашиты информации могут оказаться бесполезными, если неправильно определены и реализованы меры И мероприятия на организационном и технологическом уровнях.. При опре­ делении рамок аудита необходимо зафиксировать штатные условия функци­ онирования корпоративной информационной системы безопасности компании. Такая фиксация может быть отражена в «Аттестате соответствия» или «Паспорте компании» и является необходимым условием для обеспечения требуемого уровня информационной безопасности компании и разработки планов действия в случае возникновения нештатных условий функциониро­ вания корпоративной системы Internet/Intranet;

• области детального изучения. При проведеиий аудита основное внимание должно уделяться компонентам и подсистемам, осуществляющим обработку конфиденциальной информации компании. При этом необходимо уметь рас­ считать возможный ущерб, который может быть нанесен компании в случае разглашения конфиденциальной информации и нарушения Политики без­ опасности. Это должно быть отражено в соответствующих, документах ком­ пании, регламентирующих ее политику информационной безопасности. Для определения возможного ущерба могут использоваться разнообразные фор­ мальные методы, например методы экспертных оценок. В качестве исходных данггых для принятия решения об областях детального изучения могут слу­ жить результаты ранее проведенного, текущего комплексного аудита безопас­ ности компании, результаты анализа информационных рисков компании и другие данные. Кроме того при необходимости уязвимые места дополни­ тельно могут быть исследованы специальными инструментальными провер­ ками с помощью так называемых сканеров и систем проверки уровня защи­ щенности;

• требуемый уровень детализации и полноты. В большинстве случаев для по­ лучения адекватных результатов достаточно провести базовый анализ корпо­ ративной системы защиты информации, позволяющий определить общий уровень информационной безопасности компании и проверить его на соответствие некоторым требованиям безопасности. В некоторых случаях дополнительно требуется: провести детальный анализ, цель которого - количественно оценить уровень информационной безопасности компании на основе специальных коли­ чественных метрик и мер информационной безопасности. Для этого сначала определяются все необходимые количественные показатели, а затем производится оценка уровня информационной'безопасности компании. Существенно, что при этом становится возможным сравнивать уровень безопасности рсомпанпн с. некоторым эталоном, определять тенденции и перспективы развития системы корпоративной безопасности, необходимые инвестиции и т. д. На этапе расчета трудоемкости и стоимости проводимых работ ло данным проведенного анализа оцениваются временные, финансовые, технические, информационные н прочие ресурсы;, необходимые для аудита информационной безопасности. Выделение ресурсов рекомендуется производить с учетом возможных нештатных ситуаций, способных увеличить трудоемкость аудита безопасности.

Завершается планирование аудита формализацией и документированием вы­ полнения аудита, что прежде всего подразумевает подготовку и согласование пла­ на проведения аудита. План проведения аудита в общем случае включает в себя следующие разделы:

•краткая характеристика работ. Включает все необходимые сведения о по рядке проведения работ;

•введение. Указывается актуальность проведения аудита безопасности, особен ности и требования к порядку проведения аудита, характеристика исследуе мого объекта, рамки проведения аудита, общий порядок работ, требования по фиксации результатов аудита. Дополнительно приводятся сведения о категорировании корпоративной информации, например конфиденциальной и строго конфиденциальной. Также перечисляются основные решаемые за дачи, ограничения, выполняемые функции н критерии оценивания уровня информационной безопасности компании, требования нормативных доку ментов Российской Федерации, международных стандартов и внутренних требований компании;

•распределение обязанностей. Определяется штат и функциональные обязан ности группы специалистов, которые будут проводить аудит безопасности;

•требования информационной безопасности. Фиксируется обоснованный выбор требований информационной безопасности, определяются критерии

ипоказатели оценки информационной безопасности компании, выбирают ся количественные метрики и меры безопасности. Помимо нормативной

изаконодательной базы Российской Федерации дополнительно рекоменду ется использовать требования международных и внутренних стандартов компании, актуальные для каждой отдельно взятой. Оценку инвестиций в модернизацию корпоративной системы защиты информации рекоменду ется проводить на основе результатов анализа информационных рисков компании;

•формализация щенок уровня безопасности компании. Определяются каче­ ственные и количественные параметры для получения объективных оценок уровня информационной безопасности компании. Перечисляются задачи, выполняемые при проведении базового и детального анализа информацион­ ных рисков. Состав задач зависит от того, на каком этапе жизненного цикла находится исследуемая безопасность корпоративной системы Internet/Intranet: этапе проектирования, эксплуатации или каком-то еще. В этом разделе отра­ жаются критичные информационные ресурсы компании, оценка экономичес­ кой эффективности ее деятельности, используемые модели, методы средства проведения аудита безопасности, исходные данные. Так, например, различия между процедурами аудита, выполняемыми на стадии проектирования и на ста­ дии эксплуатации корпоративной системы Internet/Intranet, заключаются в: полноте к глубине проработки вопросов практической реализации системы информационной безопасности, а также в строгости и проработанности соот­ ветствующих отчетных документов и спецификаций корпоративной системы

защиты информации;

•план-график работ. Определяются сроки, календарный план выполняемых работ, время юс 'окончания, формы отчетных документов, требования по при ему-сдаче работы и прочее;

•поддержка и сопровождение. Перечисляются требования к административной, технологической и технической поддержке аудита информационной безопас ности;

•отчетные документы. Основными отчетными документами являются Отчет по результатам аудита безопасности, Концепция и Политика информацион ной безопасности, План защиты компании;

•приложения. В приложениях приводятся протоколы проверок, а также информация по методикам и инструментарии проведения аудита, выявленные за­ мечания, рекомендации и прочее.

3,4. Управление аудитом информационной безопасности компании

В соответствии с международными стандартами информационной безопасно­ сти во время аудита формальные требования к политике безопасности не предъявляются.

Политика информационной безопасности определяет цель и последователь­ ность мероприятий руководства компании в области информационной безопас­ ности. В стандартах информационной безопасности подчеркивается необходи­ мость активной позиции высшего руководства компании в вопросах политики безопасности, поддержки сотрудников службы информационной безопасности, распространения политики безопасности среди сотрудников компании. Доку­ мент, в котором изложена политика информационной безопасности, должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информацион­ ной безопасности. В нем должна определяться информационная безопасность, указаны допускающие возможность измерения цели и показатели информацион­ ной безопасности, причины, до которым информационная безопасность имеет большое значение для компании.

Обеспечение режима информационной безопасности предусматривает созда ние В компаниисоответствующей структуры управления. В рамках этой структур!»: большее внимание уделяется регулярным совещаниям руководства но вопросам коррекции политики информационной безопасности, распределения обязанностей по обеспечению защиты и координации действий по поддержанию режима безопасности. При необходимости предусматриваются консультации специалистов iro вопросам защиты информации. Рекомендуется установить контакты с аналогичными специалистами других компаний, чтобы быть в курсе современных тенденций и стандартов, а также для рассмотрения случаев нарушения защиты. Следует всячески поощрять комплексный подход к проблемам, информационной безопасности, например совместную работу аудиторов, пользователей и администраторов для более эффективного решения проблем. Во время

аудита должно быть проведено независимое тестирование. Допускается проведение тестирования внешней организацией или внутренними аудиторами, не занимающимися эксплуатацией проверяемой системы управления информационной безопасностью. Для обеспечения безопасности при доступе внешних пользователей и компаний рекомендуется провести анализ рисков нарушения защиты с целью определения требований к средствам контроля. Эти средства должны быть согласованы и определены в договоре, заключенном с внешней компанией. Поэтому в соответствии с требованиями международных стандартов аудитор обязательно должен проанализировать договорные требования и проверить их выполнение.

Впроверяемой компании должна быть выполнена классификация ресурсов

иналажен контроль над их Использованием с целью обеспечения их зашиты, Поэтому все основные информационные ресурсы должны быть учтены и иметь ответственных лиц. Кроме того, следует назначить ответственных за реализацию защитных мер. При проведении аудита необходимо проверить список ресурсов, в котором как минимум должны быть указаны: тип ресурса, серийный номер, ответственный, уровень секретности, местонахождение, а в случае данных - носители информации, дата ввода и контрольной проверки. Для задания приоритетов в области обеспечения информационной безопасности следует .классифицировать информацию по категориям критичности. Некоторые виды информации могут потребовать дополнительной защиты или специального обращения. Категории критичности информации позволяют определить уровни ее защиты и уведомить пользователей о необходимости специального обращения с этой информацией. При проверке аудиторы должны убедиться, что система классификации по категориям критичности является четкой и полной, соответствует политике информационной безопасности, понимается сотрудниками и периодически пересматривается.

Как показывает опыт практической деятельности, важную роль в информационной безопасности компании играет кадровая политика. Поэтому с целью уменьшения риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов рекомендуется контролировать сотрудников в течение всего рабочего времени, а вопросы безопасности учитывать еще на стадии набора персонала, включая в их -должностные инструкции и договоры соответствующие положения. Руководители должны убедиться в том, что в должностных инструкциях

отражена вся присущая данной должности ответственность за безопасность. Сле­ дует надлежащим образом проверить принимаемых на работу лиц, особенно если они будут работать с критичной информацией. Весь персонал компании" и пользователи информационных ресурсов из внешних компаний должны подписать обязательство о неразглашении конфиденциальных сведений. Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами. Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ к

информационным ресурсам компании: их права, обязанности и ограничения. Аудиторы должны проверить должностные инструкции персонала и процедуру отбора кандидатов на должности, связанные с доступом к критически важной информации, убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности я понимают значение Защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности предприятии.

Требования к безопасности должны быть определены Ж согласованы до разра­ ботки информационных систем. Средства защиты оказываются более дешевыми и эффективными, если их предусмотреть во время проектирования. Все требова­ нии к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии задания тре-.бованйй к Проекту, обосновать, согласовать и документировать в рамках общего плана работ по созданию информационной системы. Аудиторы должны убедиться, что на стадии проектирования был проведен анализ вопросов безопасности.

Для предотвращения потери, модификации и несанкционированного исполь­ зования данных в прикладных системах при проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства протоколирования и аудита. Другими словами, проектиро­ вание и эксплуатация информационной системы должна соответствовать стандартам базового уровня зацрпценности. Системы, которые поддерживают или оказывают влияние па уязвимые цепные или критически важные информационные ресурсы предприятия, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста но безопасности с учетом .идентифицированных угроз и возможных последствий их реализации. Аудиторы должны убедиться, что обеспечивается базовый уровень защищенности при вводе данных, конфиденциальная информация шифруется, используются механизмы проверки подлинности сообщений.

Для минимизации ущерба от нарушений режима информационной безопасно­ сти и недопущения повторений подобных инцидентов необходимо немедленно сообщать по административным каналам. Все сотрудники должны быть ознакомлены с процедурой уведомления: о различных типах инцидентов: нарушение безопасности, угроза безопасности или сбой. Они обязаны сообщать обо всех случаях Такого рода в соответствующую службу Па предприятии должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников;, которые нарушают режим безопасности. Поэтому аудиторы должны проверить, существует ли четкое определение то го, что. является нарушением режима информационной безопасности и знает ли персонал об этом.

Информационные системы, поддерживающие критически важные или уязви­ мые сервисы компании, должны быть размещены в защищенных мостах. Для уменьшения риска несанкционированного доступа к средствам

вычислительной техники, сервисам, их повреждения и вмешательства в работу или повреждения бумажной документации и носителей информации рекомендуется определить Правила поведения на подобных рабочих местах Задача аудитора заключается в проверке размещения критически важных ресурсов в зонах безопасности, имеющих соответствующий пропускной режим. Администрации компании необходимо обеспечить физическую защиту оборудования для недопущения его повреждения. Следует уделить внимание проблемам размещения оборудования и сто утилизации. Могут потребоваться специальные меры для защиты от несанкционированного доступа и других угроз, а также для защиты вепомагатедаиого оборудования, например системы электропитания и кабельных сетей. Во время аудита проверяется состояние физической защиты оборудования, поддерживающей инфраструктуры, защита от аварий электроснабжения, техническое об­ служивание. Особое внимание уделяется обследованию оборудования, расположенного вне здания.

Среду разработки и эксплуатационную среду необходимо жестко контролиро­ вать. Администраторы, отвечающие за прикладные системы, должны анализиро­ вать изменения, которые предлагается внести в системы, чтобы убедиться, что они не нарушат безопасность среды разработки или эксплуатационной среды. Тем самым достигается информационная безопасность программного обеспечения и данных. Это накладывает на аудиторов обязанность проверить наличие процедур контроля па всех этапах жизненного цикла. Для обеспечения правильной и надежной работы информационных систем необходимо определить обязанности и процедуры, по администрированию и обеспечению функционирования компьютеров и сетейОни должны быть зафиксированы в инструкциях и процедурах реагирования на инциденты. Для уменьшения риска некорректных или несанкционированных действий следует применять принцип разделения обязанностей. Аудиторы должны проверить наличие правил по эксплуатации, разработке, сопровождению, тестированию и убедиться, что все необходимые операции додж* яым образом документированы.

Добиться минимума риска отказов информационных систем проще всего во время проектирования информационной системы и ее приемки. Эксплуатационные требования к новым системам следует определить, документировать и проверить до их приемки. Должны быть выработаны требования к переходу на аварийный режим для сервисов, Поддерживающих несколько приложений. Должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования. Во время проверки аудиторы должны проверить критерии приемки информационных систем, оценки их производительности, планы восстановительных работ по каждому сервису

Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения требуется принятие соответствующих мер предосторожности. В настоящее время существует пелый ряд вредоносных программ («компьютерные вирусы», «сетевые черви», «троянские ко ни» и

«логические бомбы»), которые используют уязвимость программного обеспечения по отношению к несанкционированной модификации. Администраторы информационных систем должны быть всегда готовы к проникновению вредоносного программного обсспечешш в информационные системы и принимать специальные меры по предотвращению или обнаружению его внедрения. В частности, важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах. Аудиторы должны убедиться, что процедуры, препятствующие внедрению вредоносного программного обеспечения, должным образом оформлены документально, приняты адекватные меры предосторожности, случаи заражения регистрируются.

Управление безопасностью сетей, отдельные сегменты которых находятся за пределами компании, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут потребоваться специальные , меры. Аудиторы должны проверить меры, применяемые для зашиты подобных сетевых сегментов. Для предотвращения повреждения информационных ресурсов и перебоев в работе компании необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определить процедуры для защиты носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа. Во время аудита следует проверить установленные процедуры контроля, режим хранения носителей информации.

Обмен данными и программами между компаниями необходимо осуществлять на основе формальных соглашений, предусматривающих предотвращение потерь, модификацию и несанкционированное использование данных. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты. Аудиторы должны проверить существующие меры защиты электронного обмена данными, меры информационной безопасности внутреннего электронного

документооборота.

В корпоративной системе Internet/Intranet должны быть установлены правила разграничения доступа и распространения информации, контролирующие до­ ступ к информации. Доступ к сервисам и. данным в еда-теме необходимо контро­ лировать в соответствии с требованиями компании. Во время проверки аудиторам следует проверить соответствие установленных правил доступа к информации существующей производственной необходимости. Для управления процессом предоставления прав доступа к информационным системам требуются формаль­ ные процедуры. Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей - от начальной регистрации до удале­ ния учетных записей пользователей, для которых доступ закрывается. Особое внимание следует уделить процессу предоставления особых прав, позволяющих обойти средства системного контроля. Аудиторы должны проверить формальные

процедуры регистрации и соответствие фактического положения вещей установ­ ленным процедурам. Следует проконтролировать использование особых приви­ легий. Важным условием поддержания режима информационной безопасности, предотвращения несанкционированного доступа пользователей является соблюде­ ние правил работы зарегистрированными пользователями. Пользователи должны знать свои обязанности по обеспечению контроля доступа, особенно в части использования паролей и защиты пользовательского оборудования. Поэтому аудиторы должны проверить знание пользователями своих обязанностей и фактическое их выполнение. При работе в сети следует контролировать подключение сервисов в сеть. Это необходимо для того, чтобы защитить другие сетевые сервисы. В число средств контроля должны входить интерфейсы между сетевыми сервисами, механизмы аутентификации удаленных пользователей и оборудования, контроль доступа пользователей к информационным системам. Аудиторы должны проверить, что пользователи имеют доступ только к тем сервисам, которые им необходимы. Если проводится политика управления маршрутизацией, необходимо выяснить, как она реализуется на практике. Доступ к компьютерам следует предоставлять только зарегистрированным пользователям. Многопользовательские системы должны

•идентифицировать и проверять подлинность пользователей, а также, при не обходимости, используемый терминал и/или местонахождение пользователя; •фиксировать удачные и неудачные попытки входа;

•предоставить систему управления паролями, обеспечивающую выбор надеж ных паролей;

•при необходимости ограничивать длительность сеансов работы пользователей.

Существуют также более мощные и дорогостоящие системы управления до­ ступом, использование которых оправдано в случае высокого риска нарушения режима безопасности. При проверке этой части информационной системы ауди­ торы должны проконтролировать как минимум использование парольной защиты: периодичность смены паролей, использование общих паролей, длину и структуру паролей. При необходимости проверяются прочие механизмы: идентификация терминалов для некоторых соединений, система сигнализации о попытках несанкционированного доступа.

Для управления доступом к прикладным системам и данным необходимо использовать средства логического контроля доступа. Доступ к программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в компании, обеспечивать защиту от несанкционированного доступа утилит, которые способны обойти средства системного контроля, не нарушать защиту других систем, с которыми они разделяют информационные ресурсы. Во время проверки все это должно

быть проверено аудитором.

Чтобы проверить, как осуществляется политика управления доступом, следу­ ет проводить текущий контроль системы, необходимый для определения эф­

фективности принятых мер и проверки соответствия политики управления доступом существующей практике. Аудиторы должны проверить соответствие политики управления доступом существующей практике. Доступ к системным файлам необходимо контролировать. Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой принадлежит данная прикладная система или программное обеспечение. Аудиторы должны выяснить, как устанавливаются и тестируются новые версии, регистрируются изменения, хранятся рабочие версии программного

обеспечения.

Для защиты критически важных производственных процессов от последствий , крупных аварий и катастроф необходимо иметь планы обеспечения бесперебой­ ной работы компании. Должен существовать процесс разработки и реализации штанов быстрого восстановления критически важных производственных процес­ сов и сервисов. Процесс планирования бесперебойной работы должен включать в себя меры по идентификации и уменьшению рисков, ликвидации последствий реализации угроз и быстрому восстановлению основных производственных про­ цессов и сервисов. Аудиторы должны проверить общие принципы имеющихся планов обеспечения бесперебойной работы компании и практику их использова­ ния. При разработке, сопровождении и использовании информационных систем должны учитываться правовые и договорные требованиями к безопасности с це­ лью недопущения нарушений договорных обязательств и требований действующего законодательства при поддержании режима информационной безопасности. Подобные требования необходимо определить в явном виде и документировать. Также следует определить и документировать выбранные средства контроля. Во время проверки аудиторы должны проверить соблюдение норм действующего законодательства, а также меры по защите важных документов и личной информации.

Для обеспечения соответствия режима информационной безопасности полити­ ке и стандартам безопасности предприятия необходимо регулярно проверять со­ стояние информационной безопасности системы. Прежде всего следует проверить соответствие режима информационной безопасности декларированной политике безопасности и принятым стандартами обеспечения безопасности. А во время аудиторских проверок должны регулярно проверяться все стороны деятельности, имеющие отнотгение к безопасности, В степень их соответствия политике без­ опасности. Чтобы свести до минимума вмешательство в процесс тестирования ин­ формационной компьютерной системы и воздействие тестирования на штатную работу, следует иметь средства для защиты рабочих и тестируемых систем. Аудиторы проверяют наличие планов тестирования и организацию доступа к инструментальным средствам тестирования.

3.5.Соотношение отечественной

имеждународной терминологии аудита

Вобласти безопасности компьютерных информационных систем сложилась

отечественная терминология, отличающаяся от международной терминологии, но не противоречащая ей. Если в международной практике термин аудит информа­ ционной безопасности уже имеет самостоятельное значение, то в России понятие аудита применяется наряду с понятиями сертификации и аттестации, несущи­ ми несколько другую смысловую нагрузку.

Аттестация для многих коммерческих компьютерных систем является добро­ вольным мероприятием. Однако существует целый ряд автоматизированных сис­ тем предприятий, для которых аттестация, согласно действующему отечественному законодательству, является обязательным условием для начала или продолжения их эксплуатации. По мнению специалистов [3], в России аттестация по существу только начинает внедряться в практик}' создания и применения корпоративных систем Internet/Intranet.

В высокотехнологичных странах мира, например в США, руководящие доку­ менты в области аттестации были изданы еще в начале 80-х годов. Несколько позднее в России также были приняты соответствующе законы, постановления правительства и нормативные документы Гостехкомиссии в области аудита и ат­ тестации по требованиям информационной безопасности;

» Аттестационные испытания АС по требованиям безопасности информа­ ции, Типовая методика испытаний объектов информатики по требованиям безопасности информации (Аттестация АС). - Гостехкомисспя России, 1995;

•Автоматизированные системы, защита от несанкционированного доступа к ин формации. Классификация автоматизированных систем и требования по за щите информации. - Гостехкомиссия России. Руководящий документ, 1997; •О сертификации продукции и услуг. - Закон РФ № 5151-1 от 10.06.93;

•О сертификации средств защиты информации. - Постановление правитель ства РФ № 608 от 26.06.95;

•Перечень средств защиты информации, подлежащих сертификации в Систе ме аудита Гостехкомиссии России. - Гостехкомиссия России, 1995;

•Положение о государственном лицензировании деятельности в. области за щиты информации. - Гостехкомиссия России, ФАПСИ, 190*7; Положение о сертификации средств защиты информации пр требованиям бе зопасности информации (с дополнениями в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертифи кации средств защиты информации*). - Гостехкомиссия России, 1996;

•Положение об аккредитации испытательных лабораторий и органов по сер тификации средств защиты информации по требованиям безопасности инфор мации. - Гостехкомиссия России, 1994;

•Положение об аккредитации органов по аттестованию объектов информати ки, испытательных центров и органов по сертификации продукции по требо ваниям безопасности информации. - Гостехкомиссия России, 1994;

•Положение по аттестации объектов информатизации по требованиям без опасности информации, - Гостехкомиссия России, 1994;

•Система сертификации средств криптографической защиты информации (Система сертификации СКзИ), 1993;

•Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. - Гостехкомиссия России, 1994.

В этих официальных документах определены такие основные понятия, как сер­ тификация средств защиты информации, объекты информатизации, аттеста­ ция объектов информатизации по требованиям информационной безопасности и др. Так, под сертификацией средств защиты информации по требованиям без­ опасности информации понимается деятельность по подтверждению их соответ­ ствия требованиям государственных стандартов или иных нормативных доку­ ментов по защите информации, утвержденных Гостехкомиссией России [44]. Объекты информатизации - это автоматизированные системы различного уров­ ня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены. А под аттестацией объектов ин­ форматизации понимается комплекс организационно-технических мероприя­ тий, в результате которых подтверждается, что объект соответствует требовани­ ям стандарта или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [47].

Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит го­ сударственной регистрации в установленном Госстандартом России порядке. Организационную структуру системы сертификации составляет Гостехкомис­ сия России - федеральный орган по сертификации средств защиты информа­ ции и аттестации объектов информатизации по требованиям информационной безопасности, центральный орган системы сертификации средств защиты ин­ формации, органы по сертификации средств защиты информации, испытатель­ ные центры (лаборатории) и заявители (разработчики, изготовители, поставщи­ ки, потребители средств защиты информации). А в систему аттестации входят Гостехкомиссия России, органы по аттестации объектов информатизации по тре­ бованиям информационной безопасности, испытательные центры (лаборатории) и заявители (заказчики, владельцы, разработчики аттестуемых объектов инфор­ матизации). Функции системы сертификации и аттестации определены в руко­ водящих документах Гостехкомиссии [44,47]. Основными целями создания си­ стемы сертификации являются:

•Соблюдение требований государственной системы защиты информации; •создание условий для качественного и эффективного обеспечения потреби телей сертифицированными средствами зашиты информации; •обеспечение национальной безопасности в сфере информатизации;

•содействие формированию рынка защищенных информационных техноло гий и средств их обеспечения;

•формирование и осуществление единой научно-технической и промышлен ной политики в сфере информатизации с учетом современных требований по защите информации; •поддержка проектов и программ информатизации.

Система сертификации средств защиты информации по требованиям инфор­ мационной безопасности включает в себя и аттестацию объектов информатиза­

ции по требованиям информационной безопасности и подлежит государственной регистрации в установленном Госстандартом России порядке. В руководящих документах приведен Перечень средств защиты информации, подлежащих обяза­ тельной сертификации [39]. Добровольная сертификация осуществляется по ини­ циативе разработчика, изготовителя или потребителя средства зашиты информа­ ции. Порядок проведения сертификации включает:

•подачу и рассмотрение заявки на сертификацию средств защиты инфор мации;

•испытания сертифицируемых средств защиты информации и аттестацию их производства;

•экспертизу результатов испытаний, оформление, регистрацию и выдачу сер тификата и лицензии на право использования знака соответствия;

•осуществление государственного контроля и надзора, инспекционного кон троля за соблюдением правил обязательной сертификации и за сертифици рованными средствами зашиты информации; •информирование о результатах сертификации средств защиты информации; •рассмотрение апелляций.

Под аттестацией объектов информатизации понимается комплекс организа­ ционно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, что объект соответствует требованиям нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем конфиденциальности на период, установленный в «Аттестате соответствия» [4, 46. 47, 56]. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств зашиты требуемому уровню безопасности информации. Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

•анализ исходных данных по аттестуемому объекту информатизации; •предварительное ознакомление с аттестуемым объектом информатизации;

•проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точ ки зрения ее соответствия требованиям нормативной и методической доку ментации;

•проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

•проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации средств зашиты информации по требованиям безопасности информации;

•проведение комплексных аттестационных испытаний объекта информатиза ции в реальных условиях эксплуатации;

•анализ результатов экспертного обследования и комплексных аттестацион ных испытаний объекта информатизации и утверждение заключения по ре зультатам аттестации.

Исходя из этого перечня работ Гостехкомиссией России была разработана ти­ повая методика аттестационных испытаний [4J. В соответствии с отечественным законодательством Российской Федерации часть объектов информации подлежит обязательной аттестации, а в остальных случаях аттестация носит добровольный характер, так называемая добровольная аттестация, и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации должна предшествовать началу обработки подлежащей защите информации. Органы по аттестации аккредитуются Гостехкомиссией России по определенным правилам [45, 46], В России система аттестации автоматизированных систем, в том числе и кор­

поративных систем Internet/Intranet, является составной частью Единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации, организация функционирования которой осуществляется Гостехкомиссией при Президенте РФ. В руководящих документах Гостехкомиссии рассматривается концепция защиты информации от несанкционированного доступа, которая выделяет следующие два направления: направление, связанное со средствами вычислительной техники (СВТ), и направление, связанное с автоматизированными системами (АС). Первое направление при рассмотрении вопросов защиты средств вычислительной техники ограничивается рассмотрением только программно-технических аспектов функционирования систем, а второе направление дополнительно предполагает рассмотрение организационных мер защиты, вопросов физического доступа, зашиты информа­ ции от утечки по техническим каналам и т. п. При этом СВТ являются компонентами, необходимыми для построения (АС). Таким образом АС включают в себя обслуживающий персонал и систему организационных мероприятий, а также помещения, пользовательскую информацию, бумажную документацию и up. Другими словами, АС охватывает собственно корпоративную компьютерную сеть и внешнюю среду, оказывающую на есть определенное влияние, Существование двух названных направлении защиты информации от НСД послужило причиной отличия используемой в России терминологии от международной терминологии. Понятие «сертификация по требованиям безопасности*- в России относится к СВТ, аттестация - к АС, в то время как в США в обоих случаях используется понятие «сертификация».

В американской нормативной документации термин «сертификация* приме­ няется но отношению к следующим компонентам АС: программному обеспечению, аппаратным компонентам, приложениям, системам, терминалам, сетям и другим объектам. При этом процессы проведения аттестации АС отличаются деталями выполнения отдельных работ. Согласно терминологии

4,1. Аудит безопасности в российских условиях

Какие же подходы и направления аудита безопасности сегодня используют специалисты в российских компаниях? Давайте посмотрим. В настоящее время существует три главных практических подхода к анализу и оценке текущего состояния информационной безопасности предприятия:

•анализ требований к корпоративной системе информационной безопасности;

•инструментальные проверки состояния информационной безопасности пред приятия; •анализ информационных рисков предприятия.

Первый подход обычно используется при определении так называемого базового уровня информационной безопасности предприятия, когда достаточно выработать и проверить их соблюдение па практике некоторых общих требований обеспечения информационной безопасности предприятия. Сегодня существует два основных способа определения названных требований: основанные на жестких априорных (действующих РД Гостехкомиссии РФ) и на гибких адаптивных требованиях (ISO 15408). Более перспективным считается второй способ, что и подтверждается международной практикой выполнения подобных работ.

Второй подход, так называемый «активный аудит» (например, OSS TM-2.0 wvAv.ideahamster.org). используется в основном для выявления возможных уязви-мостей технического уровня обеспечения информационной безопасности предприятия. Данный подход является, безусловно, необходимым, но явно недостаточным для адекватного поставленным целям обеспечения информационной безопасности предприятия. Дело в том, что в атом подходе уделяется мало внимания организационно-режимным средствам и мероприятиям, которые являются преимущественными по отношению к другим мерам и средствам защиты. В результате при неправильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным следование рекомендациям, полученным в ходе выполнения работ по активному аудиту сети предприятия. Другими словами, практика работ отчетливо показывает, что любая проверка эффективности системы защиты предприятия должна начинаться с контроля и проверки организационнорежимных мер и средств защиты. Цель этих мероприятий - выявление нарушений действующие на данном предприятии инструкций по обеспечению режима, а также определение степени соответствия данных инструкций возложенным па них задачам.

Третий подход (ISO 17799) используется для проведения полного анализа защищенности корпоративной сети и управления информационной безопасностью предприятия на основе специальных методов и инструментальных средств, построенных с использованием структурных методик системного анализа и проектирования (SSADM - Structured Systems

Analysis and Design), например COBRA, CRAMM [52]. Данные методики позволяют:

•убедиться, что требования, предъявляемые к организации системы безопас ности, полностью проанализированы и документированы;

•избежать расходов на принятие излишних мер безопасности, что возможно при субъективной оценке рисков,;

•оказывать помощь в планировании и осуществлении зашиты на всех стадиях жизненного цикла информационных систем;

•обеспечить проведение работ в сжатые сроки; •автоматизировать процесс анализа требований безопасности; •.предоставить обоснование для мер противодействия; •оценивать эффективность различных вариантов контрмер; •генерировать отчеты.

Очевидно, что в зависимости от поставленной задачи аудита безопасности на предприятии может быть использован любой из указанных подходов, а при необходимости - и их комбинация. Теперь рассмотрим сущность каждого подхода несколько подробнее,

4,1.1. Анализ требований информационной безопасности

Для создания эффективной системы обеспечения информационной безопасности необходимо достаточно корректно построить иерархическую систему показателей эффективности, точно соответствующих целям и задачам формируемой системы.

На сегодня существует два способа выбора показателей (критериев) защищенности информации:

•определение минимального набора необходимых для защиты информации функ ций, соответствующего конкретному классу защищенности в соответствии

с принятыми стандартами, например существующими Руководящими доку ментами Гостехкомиссии РФ;

•определение профиля защиты, в котором учитываются особенности решения задач защиты информации на предприятии (в соответствии с международ

ными стандартами ISO 15408, ISO 17799, британским стандартом BSI). На практике можно использовать два этих способа. Однако более гибким

применительно к построению современных систем защиты информации является второй, что подтверждается мировой практикой.

Данный способ связан с необходимостью объединения в единой системе множества технических средств и программ, используемых в открытых вычислительных системах или сетях. Термин «открытые» следует понимать таким образом, что соответствующая определенным стандартам вычислительная система будет открыта для взаимосвязи с любой другой

системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам защиты информации от

НСД,

Следуя по пути интеграции, в 199Q году Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation, или просто Common Criteria (Общие критерии). В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполне­ ния программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).

В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/1EC 15408 под названием «Общие критерии оценки безопасности информационных технологий (ОК)» - см. приложение 1.

Существенно, что «Общие критерии* обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК -

полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. Использование методик данного стандарта позволяет определить для предприятия те критерии, которые могут быть использованы в качестве основы для выра­ ботки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уров] гя защиты устанавливается уровень доверия.

Результаты оценок защиты позволяют определить для предприятия достаточ­ ность зашиты корпоративной информационной системы.

Вместе с тем в ОК главное внимание уделено защите от НСД. Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остались не рассмотренными, например оценка административных мер безопасности, оценка безопасности от побочных электромагнитных иатучений, методики оценки

различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации.

Поэтому необходимо дополнять данный подход рядом своих собственных апро­ бированных методик оценки важнейших элементов защиты. Дополненные таким образом ОК можно использовать как при задании требований к продуктам и систе­ мам информационных технологий, так и при оценке их безопасности на всех эта­ пах жизненного цикла корпоративной информационной системы предприятия.

В результате на практике становится возможным реализовать следующие су­ щественные особенности:

•охватить весь спектр информационных технологий (ИТ) и учесть особеннос ти каждой конкретной системы при задании требований по безопасности.

Предлагаемые адаптированные ОК предназначены для оценки безопасности как систем ИТ, разрабатываемых для автоматизации в конкретной области применения, так и отдельных продуктов ИТ, которые имеют универсальное предназначение. Такие О К применимы к одеикс безопасности как аппарат ных средств, так н программного обеспечения ИТ;

•избежать жесткой классификации ИТ по уровню безопасности.

Вместо этого становится возможным использовать сформированные по опре­ деленным правилам типовые наборы требований по различным видам ИТ, уровням защиты информации (ЗИ) и другим классификационным призна­ кам. Перечень типовых требований не регламентируется - они формируются но результатам прохождения определенной процедуры согласования и апроба­ ции. С целью оптимального сочетания типовых требований с требованиями, учитывающими особенности конкретной области применения ИТ, использу­ ются два ключевых понятия: профиль защиты и задание по безопасности. Профиль защиты представляет собой функционально полный, прошедший ап­ робацию, стандартизованный набор требований, предназначенный для много­ кратного использования.

Задание по безопасности - это полная комбинация требований, являющихся необходимыми для создания н оценки информационной безопасности (ИБ) конкретной системы или продукта ITT.

Таким образом, работы по анализу требований, реализуемые па основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ. В целом же предоставляется развитая система структурированных требований для выбора механизмов обеспечения безопасности при .проектировании и разработке ИТ;

•предложить широкий спектр, детальность и структурированность требо ваний к механизмам безопасности, мерам и средствам обеспечения их реа лизации.

Предлагаемые адаптированные ОК содержат две категории требований: функ­ циональные и требования гарантированности.

Первые описывают функции, которые должны быть реализованы в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые

должны быть использованы в процессе создания ИТ для получения необ­ ходимой уверенности в правильности реализации механизмов безопасности и их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопаспости;

•охватить весь жизненный цик.ч ИТ, начиная от формирования целей и требо ваний обеспечения безопасности и кончая поставкой и наладкой ИТ на кон кретном объекте;

•реализовать возможность формирования наборов требований по уровням без опасности ИТ, сопоставимых с другими системами оценки,

Преемственность предлагаемых оценок безопасности достигается за счет воз можности формирования профилей защиты, соответствующих наборам тре бований, которые определяют уровни безопасности ИТ в других системах;

•обеспечить комплексность подхода к обеспечению безопасности ИТ.

Адаптация О К позволяет обеспечить безопасность ИТ на всех этапах жизнен ного цикла КИС; от этапа анализа требований (на этапе формирования за мысла информационной системы) до реализации, эксплуатации и сопровож дения системы. Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:

-безопасность окружающей среды (законы, нормативные документы, орга низационные меры, физическое окружение, определяющие условия приме нения ИТ, а также существующие и возможные угрозы безопасности ИТ); -цели безопасности (намерения, определяющие направленность мер по про тиводействию выявленным угрозам и обеспечению безопасности); -требования безопасности (полученный в результате анализа целей безопас ности набор технических требований для механизмов безопасности и гаран тированности их реализации, обеспечивающий достижение сформулиро ванных целей); -спецификации безопасности (проектное представление механизмов без

опасности, реализация которых гарантирует выполнение требований без опасности); -разработка (реализация механизмов безопасности со спецификациями);

• обеспечить комплексность оценки безопасности ИТ.

Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:

-профиля защиты; -задания по безопасности;

-реализованных механизмов безопасности,

В первом случае устанавливается, что сформированный профиль является полным,: последовательным, технически правильным и пригодным для ис­ пользования в качестве типового для определенного класса ИТ. Использова­ ние оцененных, апробированных и стандартизованных профилей защиты дает

возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и. изделиям и исключить дополнитель­ ные затраты на их обоснование.

Вторая стадия призвана установить» что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически пра­ вильный набор требований, необходимых для обеспечения безопасности кон­ кретного объекта. Задание по безопасности подлежит согласованию на пред­ приятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС. Наконец, цель третьей стадии - установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности;

• предусмотреть расширяемость требований к безопасности ИТ. Адаптация ОК позволяет предложить наиболее полный на настоящее время набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей и разработчиков инфор­ мационных систем, Интересно отметить, что в настоящее время Европейской ассоциацией произ­

водителей компьютерной техники ЕСМА уже проводятся проекты по разра­ ботке стандарта «Расширенный Коммерческий функциональный класс оценки безопасности (E-COFG)». В этом документе принятый в 1993 году стандарт ЕСМА-205 «Коммерческий функциональный класс оценки безопасности (COFC)» перерабатывается в соответствии с Требованиями и терминологией ОК.

И если данный подход дополнить еще анализом требований по организации режима информационной безопасности предприятия, то получится достаточ­ но мощный инструмент для проведения аудита корпоративных систем Inter­ net/Intranet (приложение 1).

4.1,2. Инструментальные проверки уровня безопасности компании

Как правило, инструментальные проверки относятся к проверке на соответ­ ствие заявленным целям и задачам политики безопасности компания нижнего технического уровня обеспечения информационной безопасности компании. При этом пе рассматриваются первые три уровня обеспечения безопасности, а имен­ но:, нормативно-методический, организационный и технологический.

Актуальность инструментальных проверок объясняется тем, что, как показы­ вает практика работ, постоянное развитие сети предприятия (появление новых рабочих станций, узлов сети, реконфигурация программных средств и т. п.) при­ водит к появлению новых угроз и уязвнмостей в корпоративной системе защиты. В связи с этим особенно важно заблаговременно произвести оценку безопасности корпоративной системы защиты информации для своевременного выявления и внесения изменений в соответствующие настройки КИС и ее подсистем защиты.

Для этого рекомендуется использовать специализированные программные сред­ ства обследования корпоративных сетей с целью выявления уязвимых мест (на­

личия «дыр») для электронного вторжения, а также комплексной оценки степени защищенности от атак нарушителей. Специальные средства анализа защищенно­ сти позволяют оперативно проверить десятки и сотни территориально разнесен­ ных узлов сети. При этом они не только выявляют большинство угроз и уязви­ мых мест информационной системы, но и позволяют выработать рекомендации администраторам безопасности по их устранению.

Сегодня наиболее популярны среди обширного семейства коммерческих паке­ тов продукты компании Internet Security Systems, входящие в семейство SAFEsuite: Internet Scanner и System Security Scanner, NetRecon и ESM компании Symantec, а также продукты компании Cisco Systems: система обнаружения несанкционированного доступа Cisco Secure Intrusion Detection System (бывший NetRanger) и сканер уязвимости системы безопасности Cisco Secure Scanner (бывший NetSonar). Все названные средства активного инструментального исследования корпоративной сети рекомендуется использовать на своем предприятии (приложение 2). Приведем особенности некоторых названных инструментов.

Особенности средств активного аудита

Средства Internet Scanner и System Security Scanner производства компании Internet Security Systems

Internet Scanner предназначен для определения уязвимых мест в средствах за­ щиты Web-серверов, межсетевых экранов (firewalls), серверов и рабочих станций, работающих под управлением ОС Windows NT/2000/XP, SunOS, Solaris, Lunix, HP Unix, Windows 9x и т. п.

Принцип работы Internet Scanner основан па моделировании известных мето­ дов, используемых для несанкционированного проникновения в компьютерные сети. База данных, содержащая информацию о вариантах взлома сети, содержит сведения о более чем 240 методах,

Результатом работы программ, входящих в систему Internet Scanner, является отчет о найденных уязвимых местах анализируемого модуля сети. По требованию администратора в отчет включается перечень мер, необходимых для повышения уровня защищенности системы.

Система Internet Scanner содержит следующие подсистемы: Web Seeurity Seamier, Firewall Scanner, Intranet Scanner:

•подсистема Web Security Scanner предназначена для тестиршяшпя внешних

iг локальных WWW-серверов. В процессе анализа проверяется настройка сервера, его файловый модуль, HTML-страшщы, соответствующие сервисы: RFC, NFS, Semi-Mail,. FTP,"x Windows, Netbios, Rsh it Rlogin, CGl-скрипты, Finger, ;a также те 6ло'Кй) которые могут быть использованы злоумышлснникрм для взлома;

•Firewall Scanner предназначен для тестирования межсетевых экранов (как снаружи корпоративной сети, так и изнутри нее), операционной системы, под управлением которой он работает, и прикладных программ, доступных через

него. Подсистема позволяет проверять сервисы, доступные через межсетевые экраны, правила фильтрации и т.п;

•подсистема Intranet Scanner применяется для тестирования любого устрой ства, имеющего IP-адрес (рабочая станция, сервер, интеллектуальный прин тер и т.п.), и определения тех настроек, которые могут быть использованы злоумышленником для взлома сети.

System Security Scanner предназначен для контроля надежности отдельных компьютеров, хостов, работающих под управлением ОС UNIX или Windows NT/2QOO/XP, В процессе анализа она сверяет права доступа одного или нескольких пользователей по отношению к системным или прикладным файлам. При этом фиксируется наличие вирусов, настройки ОС, целостность файлов и паролей, признаки взлома анализируемого компьютера и т. п. Отличительной особенностью данной системы является возможность устранения выявленных недостатков.

Сканер уязвимости системы безопасности Symantec NetRecon

NetRecon - это сканер для оценки уязвимостей корпоративных систем, кото­ рый позволяет моделировать распространенные сценарии вторжения и нападения на корпоративную сеть, В результате становится возможным сначала выявить и описать уязвимые места в корпоративной сети, а затем предложить меры по их устранению, NetRecon позволяет систематизировать причины уязвимости сети, описать точную последовательность действий, которые могут быть предприняты при попытке несанкционированного доступа, Сканер функционирует на операционных системах: Windows NT 4.0 Workstation или Server с установленным пакетом обновления Service Pack 3 или более поздней версией пакета, Windows 2000 Workstation или Server.

Основп ые возможности:

•проверка различных операционных систем, в том числе клонов UNIX, Linux,

Windows 2000/ХР, Windows NT, Windows 95/98 и Netware;

•проверка различных стеков протоколов TCP/IP, IPX/SPX и NetBEUI;

•тестирование разнообразных компонентов и сервисов корпоративных систем

Intranet/Internet;

•возможность интеграции с другими системами и средствами обеспечения без

опасности, например ESM;

•оперативное отображение в графическом виде результатов проверки безопас ности.

Отличительные особенности:

•развитые средства выявления и оценки слабых мест корпоративной системы

с точки зрения информационной безопасности; •проверка корпоративной системы; на наличие уязвим остей с учетом накоп ленных результатов;

•оперативное и точное определение истинной причины возникновения уязвимостей сети; •развитые возможности подготовки отчетов.

Система Enterprise Security Manager компании Symantec

Система Enterprise Security Manager позволяет автоматизировать процессы централизованного планирования, администрирования и контроля технической политики информационной безопасности предприятия в сложной гетерогенной среде: серверы под управлением клонов ОС UNIX, ОС NetWare, ОС семейства Microsoft Windows, переносные и настильные рабочие станции, миникомпьютё-ры, большие и суперЭВМ.

Основные возможности:

•поддерживает 35 операционных систем, включая Microsoft Windows NT, Work

station и Server, Microsoft Windows 2000/XP, UNIX, NetWare и OpenVMS;

•оперативно реагирует на нарушения политики безопасности в автоматическом и автоматизированном режимах на основе специально сгенерированных отчетов;

•позволяет производить интеграцию с другими средствами обеспечения без опасности;

•обеспечивает криптографическую защиту потоков передачи служебной ин формации;

•позволяет удаленно выполнять функции администрирования политики без опасности сети компании.

Отличительные особенности:

•удобный графический интерфейс; •развитые возможности подготовки и анализа отчетов;

•возможность задания настроек системы безопасности по умолчанию; •регулярные обновления продукта и развитая система поддержки продукта;

•Поддержка развивающихся сетей на основе разнообразных агентов, управляемых с помощью одной консоли.

Сканер уязвимости системы безопасности Cisco Secure Scanner (NetSonar)

Программное обеспечение Cisco Secure Scanner (NetSonar) обеспечивает всесторонний анализ уязвимости системы безопасности, выполняет подробное отображение сети и составляет электронную опись систем сети. Как активное приложение в наборе средств системы безопасности сети, программное обеспечение Cisco Secure Scanner (NetSonar) обеспечивает современные средства уведомления конечного пользователя и консультантов

но безопасности о внутренних аспектах уязвимости сети, таким образом, позволяя эффективно решать потенциальные проблемы безопасности.

Основные возможности:

•гибкое лицензирование, Лицензии Cisco Secure Scanner (NetSonar) не при вязаны к конкретному диапазону IP-адресов, что позволяет заказчикам ис пользовать Cisco Secure Scanner (NetSonar) в условиях непрерывно меняю щегося сетевого окружения;

•интуитивный пользовательский интерфейс Cisco Secure Scanner (NetSonar) позволяет быстро выполнять сканирование сети даже тем пользователям, ко

торые не обладают данными обо всех ее слабых местах. Cisco Secure Scanner (NetSonar) также можно запускать в заранее определенное или случайным образом выбранное время;

•автоматическое обнаружение узлов и услуг Cisco Secure Scanner (NetSonar) позволяет собирать информацию обо всех сетевых устройствах, находящих ся в исследуемой сети: WWW- и. почтовых серверах, межсетевых экранах, а также маршрутизаторах, серверах удаленного доступа и т. д. Эта функция позволяет пользователям составить полную архитектуру устройств в сети и ак тивизированных услуг путем опроса сетевых устройств по протоколам SNMP;

•инновационные технологии управления данными и предоставлением инфор мации позволяют легко определить уязвимые места исследуемой сети и со

ставить подробный отчет о возможных проблемах. Уникальная запатентован

ная Cisco база данных и используемые методы отображения информации дают возможность пользователям получать результаты сканирования в лю бых представлениях и с любым уровнем детализации;

•развитые методы составления отчетов позволяют получать гипертекстовые отчеты с графиками и таблицами, сгруппированными для различной ауди тории.

В целом же следует заметить, что инструментальные проверки, названные ак­ тивным аудитом, являются необходимыми, но явно не достаточными для качественного исследования текущего состояния информационной безопасности па предприятии. Дело в том, что они применимы исключительно на техническом уровне оценки защищенности и в дальнейшем требуют взаимного увязывания с основными целями развития и управления предприятием, Другими словами, выявленные уязвимости технического характера не позволяют получить ответы на следующие актуальные вопросы;: как наличие выявленных портив сети предприятия повлияет на общий уровень безопасности сети, как выявленные уязвимости настроек корпоративных серверов отразятся на текущем состоянии ин­ формационной безопасности, какой экономический ущерб в целом понесет

предприятие в результате использования злоумышленником выявленных уязвимостей. Иначе говоря, активный аудит обязательно следует дополнять другими методами исследования защищенности корпоративных сетей предприятий, например методами анализа и оценки информационных рисков.

4,1.3. Анализ информационных рисков компании

Подход на основе анализа информационных рисков компании является наиболее интересным и значимым для практики аудита безопасности. Это объясняется тем, что анализ риска позволяет эффективно управлять информационной безопасностью предприятия. Для этого в начале работ по анализу риска необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено, и выработать рекомендации по практике защиты.

Анализ риска производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера.

Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности н доступности. Часто забывается, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:

•сбоев оборудования, ведущих к потере или Искажению информации;

•физических воздействий, в том числе в результате стихийных бедствий;

•ошибок в программном обеспечении (в том числе недокументированных воз можностей).

Поэтому под термином «атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.

Для проведения анализа риска необходимо определить или адаптировать для конкретного предприятия:

•общую стратегию и тактику проведения потенциальным нарушителем «на ступательных операций и боевых действий»;

•возможные способы проведения атак на систему обработки и защиты инфор мации;

•сценарий осуществления противоправных действий; •характеристики каналов утечки информации и НСД;

•вероятности установления информационного контакта (реализации угроз); •перечень возможных информационных инфекций;

•способы применения и тактико-технические возможности средств ведения технической разведки; •модель нарушителя;

•методику оценки информационной безопасности.

Кроме того, для построения надежной системы защиты информации предпри­ ятия необходимо:

•выявить все возможные угрозы безопасности информации; •оценить последствия их проявления;

•определить необходимые меры и средства зашиты с учетом требований нор мативных документов, экономической целесообразности, совместимости н бесконфликтности с используемым программным обеспечением; •оценить эффективность выбранных мер и средств защиты.

Анализ риска можно проводить согласно следующей методике по сценарию, изображенному на рис. 4.1,

Здесь представлены все 6 этапов анализа риска (все они детализируются в каждом конкретном случае для того или иного предприятия). На первом и втором этапах определяются сведения, составляющие для предприятия коммерческую тайну, которые предстоит защищать.

Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по каналам связи, обрабатываются для организации таких передач и, наконец, подлежат соответствующей профилю предприятия переработке. При этом определяющим фактором в технологии обращения с информацией является архитектура КИС, которая во многом определяет за­ щищенность информационных ресурсов предприятия, В связи с этим необходимо еще раз подчеркнуть, что степень информационной

безопасности определяется не только (а может быть и не столько) средствами и способами защиты, но и осо~ бенностями построения КИС. И когда говорят о КИС в защищенном исполнении, речь идет прежде всего о выборе такой архитектуры (топологии) системы обработки информации, расположения средств обработки конфиденциальной информации, выбора способов ее храпения и передачи, которые в значительной степени уменьшат количество мест доступа к информации.

Третий этап анализа риска — построение каналов доступа, утсчки или воздей­ ствия на информационные ресурсы основных узлов КИС. Каждый канат доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Апалил способов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап). На пятом этапе исходя из .известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам.

Результаты работы представляются в виде, удобном для их восприятия и вы^- работки решений по коррекции существующей системы защиты информации,

При этим каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из эле­ ментарных вероятностей доступа к отдельным точкам прохождения информации. Величина, информационного риска по каждому ресурсу определяется как про­ изведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В этом произведении могут использо­ ваться различные способы взвешивания составляющих.

Сложение рисков по всем ресурсам дает величину суммарного риска при при­ нятой архитектуре КИС и внедренной в нес системы защиты информации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры КИС, становится возможным представить и рассмотреть различные значения суммарного риска за счет изменения вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с отобранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.

При построении систем обеспечения информационной безопасности также нуж­ но определить стратегию управления рисками на предприятии,

На сегодня известно несколько подходов к управлению рисками. Один из паиболее распространенных - уменьшение риска путем использования соответству­ ющих способов и средств защиты, Близким по сути является подход, связанный с уклонением от риска. От некоторых классов рисков можно уклониться: напри­ мер, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клнентов.

Наконец, в некоторых случаях допустимо принятие риска. Здесь важно опре­ деляться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. В этом случае приходится решать оптими­ зационную задачу.

После того как определена стратегия управления рисками, производится окон­ чательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресур­ сов. В экспертное заключение включаются все материалы анализа рисков и реко­ мендации но их снижению.

Отметим, что проведение анализа рисков и оценки потерь требуют глубоких системных знаний и аналитического мышления во многих смежных областях проблемы защиты информации (приложение 3). В противном случае построить падежную систему информационной безопасности на выделенные средства в за­ данные сроки невозможно.

4.2. Методы оценивания информационных рисков компании

Сегодня на практике используются различные методы оценки и управления информационными рисками отечественных компаний, например оценка инфор­ мационных рисков компании может выполняться по следующим основным эта­ пам [50, 53]:

•идентификация и количественная оценка информационных ресурсов компа нии, значимых для бизнеса; •оценивание возможных угроз;

•оценивание существующих уязвимостей;

•оценивание эффективности средств обеспечения информационной безопас ности.

Предполагается, что значимые для бизнеса уязвимые информационные ресур­ сы компании подвергаются риску, если по отношению к ним существуют какиелибо угрозы. Другими словами, риски характеризует опасность, которой могут подвергаться компоненты корпоративной системы Internet/Intranet. При этом информационные риски компании зависят от:

•показателей ценности информационных ресурсов; •вероятности реализации угроз для ресурсов;

•эффективности существующих или планируемых средств обеспечения ин формационной безопасности,

Цель оценивания рисков состоит в определении характеристик рисков корпо­ ративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень Информационной безопасности компании. При оценивании рисков

учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсом, значимости угроз и уязвим остей,, эффективность средств защиты могут быть определены как количественными методами, например при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации В течение заданного отрезка времени для некоторого ресурса компании. При этом вероятность того, что угроза реализуется, определяется следующими основными показазателями:

•привлекательностью ресурса - используется при рассмотрении угрозы от умыш ленного воздействия со стороны человека;

•возможностью использования ресурса для получения дохода — при рассмот рении угрозы от умышленного воздействия со стороны человека;

•техническими возможностями реализации угрозы - применяется при умыш ленном воздействии со стороны человека; •степенью легкости, с которой уязвимость может быть использована.

4,2,1, Табличные методы оценки рисков

В настоящее время известно множество табличных методов оценки инфор­ мационных рисков компании. Важно, чтобы компания выбрала для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты. Рассмотрим несколько примеров подобных методов оценивания рисков, которые рекомендованы международными стандартами информационной безопасности, главным образом ISO 17799 (BS 7799). Существенно, что в этих рекомендуемых методах количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены иди восстановления работоспособности ресурса, то есть количественными методами. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть при помощи определения затрат на их приобретение или восстановление количественными методами. Если обнаружится, что какое-либо прикладное программное обеспечение имеет особые требования к конфиденциальности или целостности, например, исходный текст имеет высокую коммерческую ценность, то оценка этого ресурса производится в стоимостном выражении по той же схеме, что и для информационных ресурсов.

Количественные показатели информационных ресурсов рекомендуется оце­ нивать но результатам опросов сотрудников компании - владельцев информа­ ции, то есть должностных лиц компании, которые могут определить ценность информации, ее характеристики и степень критичности, исходя из фактичес­ кого положения аел,. На основе результатов опроса производится оценивание показателей и степени .критичности информационных ресурсов для наихудше­

го варианта развития событий вплоть до рассмотрения потенциальных воздей­ ствий на бизнес-деятельность компании при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, недоступности на различные сроки, вызванных отказами в обслуживании сис­ тем обработки данных и даже физическом уничтожении. При этом процесс по­ лучения количественных показателей может дополняться соответствующими методиками оценивания других критически важных ресурсов компании, учиты­ вающих:

•безопасность псрсонаяа; •разглашение частной информации;

» требования по соблюдению законодательных и нормативных положений; •ограничения, вытекающие из законодательства; •коммерческие и экономические интересы;

•финансовые потери и нарушения в производственной деятельности; •общественные отношения; •коммерческую политику и коммерческие операции; •потерю репутации компании.

Далее количественные показатели используются там, где это допустимо и оправ­ дано, а качественные - где количественные оценки по ряду причин затруднены. При этом наибольшее распространение получило оценивание качественных пока­ зателей при помощи специально разработанных для этих целей балльных шкал, подобных той, которая приводится далее; четырехбалльная шкала от 1 до 4 баллов.

Следующей операцией является заполнение пар опросных листов, В которых по каждому из типов угроз и связанной с ним группе ресурсов оцениваются уров- 1:СИ угроз как вероятность реализации угроз и уровни уязвимостей как степень лег­ кости, с которой реализованная угроза способна привести к негативному воздей­ ствию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий». Необходимую информа­ цию собирают, опрашивая ТОР-менеджеров компании, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая на места и анализируя документацию компании.

Рассмотрим пример.

Проведем анализ следующих типов угроз:

•умышленные несанкционированные действия людей; •непредвиденные случайности; •ошибки со стороны персонала;

•аварии оборудования, программного обеспечения И средств связи.

Относящиеся к каждому типу негативных воздействий уровни рисков, соответ­ ствующих показателям ценности ресурсов, показателям угроз и уязвимостей, оце­ ниваются при помощи таблицы, аналогичной табл. 4.1,

Количественный показатель риска определяется в шкале от 1 до 8. Соответ­ ствующие значения заносятся в таблицу. Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если суще^ ствует уязвимость без связанной с ней угрозой или существует угроза, не связан­ ная с какими-либо уязвимыми местами, то рисков нет. Но и в этом случае следует предусмотреть изменение положения дел. Каждая строка в таблице определяется показателем ресурса, а каждый столбец — степенью опасности угрозы и уязвимости. Например, ресурс имеет показатель 3, угроза имеет степень «высокая», а уязвимость — «низкая». Показатель риска в данном случае будет 5. Размер таблицы, учитывающей количество степеней опасности угроз, степеней опасности уязвимостей и категорий ценности ресурсов, может быть изменен в соответствии со спецификой конкретной компании,

Описанный подход определяется классификацией рассматриваемых рисков. После того как оценивание рисков было выполнено первый раз, его результаты целесообразно сохранить, например, в базе данных. Эта мера в дальнейшем позволит легко повторить последующее оценивание рисков компании.

Ранжирование угроз

В матрице или таблице можно наглядно отразить связь между угрозами, нега­ тивными воздействиями и возможностями реализации. Для этого нужно выпол­ нить следующие шаги (табл. 4.2). На первом шаге оценить негативное воздей­ ствие по заранее определенной шкале, например от 1 до 5 для каждого ресурса, которому угрожает опасность (колонка b в таблице). На втором шаге по заранее заданной шкале, например от 1 до 5, оцепить реальность реализации (колонка с в таблице) каждой угрозы (колонка а в таблице). На третьем шаге вычислить показатель риска при помощи перемножения чисел в колонках b и с, по которому и производится ранжирование угроз (колонка е). В этом примере для наименьшего негативного воздействия и для наименьшей реальности реализации выбран показатель 1.

Оценивание показателей частоты повторяемости и возможного ущерба от риска

Рассмотрим пример оценки негативного воздействия угрозы. Эта задача решается при помощи оценивания двух значений: ценности ресурса и частоты повторяемости риска. Перечисленные значения определяют показатель ценности для каждого ресурса. Вначале каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам. После того, как баллы всех ресурсов анализируемой корпоративной системы будут просуммированы, определяется количественный показатель риска для системы. Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и степени легкости, с которой может быть использована уязвимость. В результате получим таблицу, аналогичную табл. 4.3.

Затем определяется показатель пары ресурс/угроза. На каждую пару ресурс/угроза составляется таблица (см.табл. 4.4), в которой суммируются показатели ресурса и угрозы.

На заключительном этапе суммируются все итоговые баллы по всем ресурсам системы и формируется ее общий балл. Его можно использовать для выявления тех элементов системы, защита которых должна быть приоритетной.

Разделение рисков на приемлемые и неприемлемые

Дополнительный способ оценивания рисков состоит в разделении их только на допустимые и недопустимые. Возможность применения подобного подхода основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.

Таблица, используемая в данном подходе, содержит не числа, а только символы: Д (риск допустим) и Н (риск Недопустим) — см, табл. 4.5.

При этом вопрос о том, как провести границу между допустимыми и недопустимыми рисками, как правило, предлагается решить ТОРменеджерам, ответственным за организацию информационной безопасности компании.

4.2,2. Перспективные методы оценивания информационных рисков компании

Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем Internet/In­ tranet. Она решается при помощи идентификации ресурсов, оценивания показа­ телей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности. Оценивание рисков отно­ сится к классу слабоструктурированных задач, в описании которых присутствуют IIP только числовые (количественные), RO л нечисловые (качественные) характе­

ристики.

Практика аудита свидетельствует о случаях, когда достоверность некоторых характеристик вызывает сомнешга. Причины этого лежат в необходимости ана­ лиза большого количества разнородных параметров состояния информационной безопасности корпоративной системы Internet/Intranet многие из которых изме­ няются во Времени или известны неточно. Следует признать, что в настоящее время невозможно получить исчерпывающее количественное описание такого состояний информационной безопасности прежде всего потому, что, во-первых, за время, необходимое для его получения, обстановка внутри и вне корпоратив­ ной системы Internet/Intranet, может сильно измениться. А во-вторых, если и получить подобное описание, то воспользоваться им будет или невозможно, или нецелесообразно ввиду его сложности и потребности значительных вычислитель­ ных ресурсов, необходимых для его реализации, Поэтому на практике анализ со­ стояния информационной безопасности корпоративной системы Internet/Intranet и оценка ее характеристик почти всегда выполняется аудитором непосредственно во время аудита информационной безопасности компании,

На современном этапе развития информационных технологий оценивание ин­ формационных рисков может быть автоматизировано при помощи соответству­ ющих программно-технических систем, основантшх на знаниях. Общим для них является объединение в единой среде методов количественного и формализован­ ного нечислового описания системы защиты информации и интегрирование в нее в качестве активного компонента интеллекта лица, принимающего решение — аудитора. При сложившихся обстоятельствах учет и описание качественной сто­ роны состояния информационной безопасности Компании остается важной со­ ставляющей аудита.

Б последнее время широко распространены многочисленные методы обработ­ ки нечисловой информатга, среди которых наибольшую известность получили методы экспертных опенок [5]. При использовании этих методов основным источником информации служит эксперт в области безопасности корпоративных систем Internet/Intranet. Важнейшей идеей, лежащей в основе использования методов экспертных оценок, является декомпозиция сложной трудноформаяизу-елюй задачи на последовательность более простых подзадач, соответствующих определенному виду элементарных экспертиз. Оценка параметров входит в число наиболее распространенных элементарных экспертиз. Как правило, под оценкой нечисловой информации понимается приписывание нечисловым характеристикам количественных или качественных значений по выбранной шкале измерений. В общем случае оценка заключается в назначении вероятностей совершения событии, реализации угрозы, дат событий или весов. Определение весовых коэффици­ ентов рисков используются для их, упорядочения и определения первоочередных действий но защите информации. Хотя не вызывает никакого сомнения полезность и необходимость проведения групповой экспертизы при помощи опросных листов так, как это было описано рапсе при определении весовых коэффициентов информационных рисков компании, предпочтительнее использовать мнение'од-но'Го аудитора ио следующим

причинам:

•по Эрроу, эксперты в группе далеко не равноправны в силу своих знаний о проблемной ситуации, «весу» в обществе и т. п. Как правило, авторы методов групповой экспертизы при построении группового мнения рекомендуют орга

низатору экспертизы учитывать индивидуальные мнения экспертов при по мощи различных коэффициентов значимости, относительной важности и т. д. Выбор такого рода коэффициентов обычно произволен, а потому адекват ность их спорна;

•в результате «.разброса» мнений экспертов групповое мнение может сильно отличаться от мнения каждого отдельного эксперта. Если, например, каждый

из экспертов линейно упорядочивает имеющиеся альтернативы по предпоч тительности, то при использовании метода медианы Кемени итоговое упоря дочение может заметно отличаться от любого из исходных;

•при групповой экспертизе сложно сформировать согласованное мнение экс пертов. Различные способы формирования согласованного мнения приводят

к разным результатам, а вопрос о выборе наиболее приемлемого способа мало изучен. Многошаговые методы типа «Делъфи» позволяют сблизить

мнения экспертов в группе. Но, во-первых, единое мнение отнюдь не гаран тируется; во-вторых, причины, по которым изменяется первоначальное мне

ние эксперта, могут быть самыми разнообразными, вплоть до страха не «угадать» правильный ответ. А принцип Кондорсе свидетельствует о том,

что

мажоритарный принцип формирования группового мнения чреват серьезными противоречиями;

* групповую экспертизу обычно трудно организовать, она требует больше времени и затрат, а для построения результирующего мнения требуются сложные, трудоемкие методики.

У человека-эксперта всегда возникают трудности при анализе множества рисков (множества альтернатив), а если их число велико и они плохо структурированы, то линейное ранжирование рисков и выбор среди них наиболее значимого превращается в сложную задачу, поскольку предполагает измерение человеком интегральной важности сценариев в неявно задаваемой порядковой шкале, Жесткий лимит времени, отводимого на аудит информационной безопасности отечественных корпоративных систем Internet/Intranet, необходимость учета нечисловых характеристик системы защиты информащш, обилие противоречивых и неполностью определенных

данных требуют разработки новых подходов к ее решению. Возможный выход из создавшегося положения заключается в использовании в качестве основной процедуры сравнения и оценки сценариев метода парных сравнений. Рассмотрим решение следующей задачи.

Дано:

1. M^(rl,ft,r3,....rl^) - множество рассматриваемых рисков информационной без­

ративной системы Internet /Intranet характеризуется вектором характеристик

где: #((s>, ? = !,...,# - нечисловые характеристики анализируемого риска rg, y(K\j = р+\,...,п - числовые характеристики.

Каждая характеристика анализируемого риска определяется при аудите ин­ формационной безопасности корпоративной системы Internet/Intranet,

3.Предполагается, что в распоряжении аудитора имеются удовлетворяющие его весовые коэффициенты рисков klm, учитывающие числовые параметры

уМ, j = p + i,..., n, l-p + i,..., n, т = р + 1,...,п. Для числовых параметров это не является сложной задачей. Весовой коэффициент klm, является целым поло жительным числом и несет информацию о сравнительной опасности риска г, по отношению к риску гт по рассматриваемой характеристике. Он использу ется только для того, чтобы упорядочить риски R = (rlt rv r3,...rk) и определить, какие действия по предотвращению инцидентов необходимы в первую оче редь.

Требуется:

Оценить учитывающие нечисловые характеристики весовые коэффициенты рисков информационной безопасности корпоративной системы Internet/Intranet и определить первоочередные действия по предотвращению инцидентов.

Приведенная формализованная задача сплошь и рядом встречается в практи­ ке современного аудита информационной безопасности корпоративных систем Internet/Intranet. Один из вариантов се решения основан на результатах матема­ тических методов теории квалиметрических шкал, моделей линейного упорядочения альтернатив и парных сравнений [60; 5]. Каждый в отдельности из вышеназванных методов не позволяет решить поставленную задачу с приемлемыми для практических нужд точностью и затратами вычислительных ресурсов. Но их интегрирование в единый метод оценки весовых коэффициентов рисков корпоративной системы Internet/Intranet позволяет приблизиться к оптимальному определению первоочередных действий по предотвращению инцидентов в области обеспечения информационной безопасности компании.

Ряд специальных работ в области IT-Security свидетельствуют о том, что на­

значение весовых коэффициентов или назначение вероятностей наступления каких-либо событий является сложной операцией для аудитора, выступающего

вроли эксперта, поскольку при ее выполнении эксперт допускает много противо­ речий, а получаемые при этом оценки неточны [5]. В то же время сравнение двух значений по шкале измерения одного параметра является допустимой операцией

внепрерывных и дискретных интервальных и порядковых шкалах, поскольку имеются результаты экспериментов, свидетельствующие о том, что эксперт может выполнять подобные операции с малыми противоречиями. Поэтому пусть вари­

анты рисков корпоративной системы Internet/Intranet rg попарно сравниваются с -точки зрения их значимости для обеспечения безопасности корпоративной системы по фиксированной нечисловой характеристике, а результаты сравне­

ний записываются в виде матрицы парных сравнений A = (ats)kxk в вероятностной калибровке [5]. При задании матрицы парных сравнений в вероятностной ка­ либровке аудитору потребуется решить сложную задачу определения функции

принадлежности рисков rg к нечеткому бинарному отношению большей значимо­ сти одного из них над другим по рассматриваемой характеристике ^Л : RxR —»[0,1] fj.R(rc,rs) = P(rt >rs). P(rt >rs) - вероятность того, что риск г„ в случае его реализа­

ции, приводит к более тяжелым последствиям, чем реализация риска rs. Элемен­ ты матрицы парных сравнений в вероятностной калибровке удовлетворяют сле­ дующим соотношениям Vi V/ 0 < afj < \ ait + a к = 1. В то же время эксперт, сравнив попарво анализируемые риски, может достаточно точно поставить им в соответ­ ствие пункты шкалы строгого линейного порядка при условии, что число пунк­ тов шкалы не превосходит числа 7 ± 2 [60]. Последнее ограничение не является чрезмерно строгим, поскольку за счет флуктуации значений характеристик ис­ пользование более точных квалиметрических шкал может привести к неоправдан­ ным затратам на их измерение. Приведенная в табл. 4.6 шкала строгого линейного порядка выполняет квантификацию качественных субъективных суждений экспер­ та об уровне риска rg по фиксированной характеристике y^,t = l,...,p, описываемой нечисловой величиной.

Для построения матрицы парных сравнений в вероятностной калибровке квалиметрическая шкала строгого линейного порядка S- < H,R>> подвергается арифметизации. Задача арифметизации шкалы состоит в приписывании опре­ деленных действительных чисел пунктам h, носителя Я шкалы 5 с сохранением заданных отношений, входящих в структуру Д, этой шкалы. При оценке весовых коэффициентов наиболее распространена ситуация, когда арпфметизация квалиметрической шкалы 5= <H,R>> происходит в условиях дефицита информации, что проявляется в затруднении аудитора отдать предпочтение той или иной до­ пустимой арифметизации. Основываясь на результатах математических методов"теории квалнметримескнх шкал, между щшучить следующие теоретически обоснованные: расчетные формулы [60:]. Пусть в результате попарного сравнения рисков r( u rs по фиксированной нечисловой характеристике аудитор относит риск tt к пункту h квалимстрической шкалы строгого линейного порядка 5 = <ti,R>>,

где ЯК^М^АААА).

а ар а (h,., /z,+,) е R, г - О, 1„..5,

А;, z=0,l,...6 - пункты приведенной в табл. 4.6 шкалы S,

Л, - отношение строгого линейного порядка, заданное-на Носителе И, а риск fs

кпункту А , p*q.

Тогда элементы матрицы парных сравнений A(t,s) = (ufe )м в вероятностной ка-л

и бровке определяются следующим образом:

/' V

где: ps(p,j) - вероятность приписывания пункту hf(hy)- шкалы 5= <Я,Д,> чис-

s

ловшч! значения —,

г

s = 0,l,..,2 -,(? = 0,1,...г в результате арифметизащш шкалы 5= <H,R>> в нор мированную шкалу баллов 55= <Н,Я,> с носителем шкалы Z = Jo,-,- ,^-,1 \ [ г z z \

и отношением линейного порядка К> при помощи нормированного стохастичес­ кого процесса с равновероятными монотонными траекториями. Они представля­ ют собой наборы точек прямоугольной целочисленной решетки [Q,m + l]x [0,г] размером (m+2)(z+l). В случае шкалы, представленной в табл. 4.6, m = 5. Эти

Вероятности рассчитываются по следующим формулам

В данном случае погрешность арифметизации оценивается дисперсией случайной величины, принимающей числовое значения:

Отличительной особенностью рассматриваемого подхода является то, что в данном случае обходится вопрос, что использовать в качестве интегрально оценки случайной величины, принимающей числовое значения —, s = 0,l,.,.z, -

z

математическое ожидание, медиану или ЧТО-ТО еще. Нам важны лишь значения такой безразмерной величины как субъективная вероятность значимости одного риска над другим. Уже это позволит построить матрицу парных сравнений, отра­ жающую систему предпочтений аудитора. При отнесении экспертом двух риской корпоративной системы Internet/Intranet одному' пункту квалнметрической шкалы (p=q) рассматриваемые варианты эквивалентны с точки зрения эксперта и а, =0,5.

После утверждения аудитором предложенных ему весовых коэффициентов ktj =atj.рисков rg по фиксированной нечисловой характеристике,риски упорядо­ чиваются при помощи построенной матрицы парных сравнений 4=(afs)w.. По­ лученная матрица парных сравнений содержит исходные данные для моделей линейного упорядочения альтернатив. Любая модель задает однозначное соответ­ ствие между произвольной матрицей парных сравнений Л = (аа)ы и подмноже­ ством оптимальных упорядочений /^,,(4)^. Сравнительный анализ моделей ли­ нейного упорядочения, основанный на описанной в литературе системе легко интерпретируемых Желательных, но необязательных свойств, которыми Должна обладать «разумно» сконструированная модель упорядочения, позволил сделать вывод о целесообразности применения модели функции доминирования для вы­ бора наиболее значимого риска [5].

Модель функции доминирования ориентирована на обработку нечетких пред­ почтений лица, принимающего решения, - аудитора - при интерпретации эле­ ментов матрицы парных сравнений /l = (as)M степенью принадлежности срав­ ниваемых рисков rt и т)- к нечеткому отношению предпочтения, заданному на множестве R = (г,, r2, r3,...ГА) рассматриваемых рисков информационной безопасно­ сти корпоративной системы Internet/Intranet. В этом случае функция доминиро­ вания 1.я(г,) = щах.ар характеризует значимость риска г{. При ZR(r,) = 0 ~ нет ни одного риска, который бы приводил к более тяжелым последствиям, чем риск тл а при LR(ri) = 1 - есть риск, который по сравнению с риском /; приводит к более тяжелым последствиям. Риски R= (r,, r2, r^,.,.rk) упорядочиваются по возрастанию функции доминирования. При этом дополнительные ранжирующие факторы для устранения дележа мест не используются. Поэтому после упорядочения рисков г( каждому из них присваивается числовое значение y(,g),t = \,...,p, равное минимальному номеру риска Г; в оптимальном упорядочении г/^ = minN, (/o;)t(^)wt)• Первоначально модель функции доминирования была создана для обработки матриц с вероятностной калибровкой, а впоследствии обобщена для обработки матриц •е калибровками типа турнирной, степенной, кососимметричеекой. Модель обладает свойствами инвариантности к

эффекта вности:

«рх ={<&!#-»E»,i = l,.J}, Ф,(ы) w^co-^o-)

и Wt:R—>£\ г = 1,.../ - критерий эффективности. Зададим бинарные отношения /Jj° следующим образом; Д?'={(г„г,)еК2 Фл(г„г,)бД}, « = 1,2 где:

bi={zG%\z*Q}; Д2={2е£| г>0}

•Е+ ={г = (2,,г2,..^)еЕ |%%.«gj >0} - конус из неотрицательного ортанта про­ странства Е!.

В соответствии с заданием отношения Яр векторные критерии эффективности ^(g) = (Wi(g),W1(g),W^(g'),,..Wl(g)) нконусы A,, f .= 1,2 определяют следующие бинарные отношения:

гХ'Ч « ^(O>^(rs) i = l,.J и W(rJ*W(rt)

г,К?\ « Щг,)>Щ/; )* = !,.../ Отношение ^ получило название отношения Парето, ^2) - строгого домини­

рования (отношение Слейтера). Из определения видно, что решение является Парето-оптималъным, если значение любого из критериев можно улучшить лишь за счет ухудшения значений некоторых других критериев. Если обозначить ядра отношений R^ и Д^2> (подмножества максимальных в R элементов через P(R,W) ' и S(R, W) соответственно, то ядро S(R, W) называется множеством полуэффектив-пых (слабоэффектнвньк, оптимальных по Слейтеру) точек, a P(R,W) - множеством эффективных (оптимальных по Парето) точек. Очевидно, что нахождение оптимальных по Парето точек в большей степени позволяет сузить область возможных решений. Поэтому было принято решение о целесообразности рассматривания на практике только отношения Парето для решения задачи оценки рисков при аудите информационной безопасности корпоративной системы Internet/ Intranet.

Если решение оценки рисков заключается в отыскании множества Парето, то методологических проблем не возникает,, а остаются только трудности вычислительного характера. В последнее время рзработаны различные методы выделения множества фективных (оптимальных по Парето) решений, но до полного решения всех практических задач далеко в свяи со сложностью получения всего множества Парето, большого числа его элементов (множество Парето может совпадать со всей областью определения критериев, P(R,W) - R). Свертки векторного критерия, позволяющие свести многокритериальные задачи оптимизации к однокритериальной, относятся к методам выделения оптимальных решений из всего множества Парето и удовлетворяют следующим условиям:

•оптимизация любой свертки принадлежит множеству Парето:

•для любой точки Парето существует свертка, оптимизация которой как угод но близка к данной точке

Считается, что наиболее эффективны при решении задач многокритериальной оптимизации.оценок рисков человеко-машинные процедуры, основанные на диа­

логе аудитора с электронно-вычислительной машиной,, поскольку одних фор­ мальных приемов недостаточно и рано или поздно приходится обращаться за помощью к человеку

Практический опыт аудита информационной безопасности корпоративных сис­ тем Internet/Intranet показал, что частные критерии WJ(g) могут быть неравно­ значными с точки зрения аудитора и несопоставимыми между собой: вычисле­ ны в различных единицах измерения, области их значений не совпадают и т. д. Уже упоминалось о том, что назначение весовых коэффициентов, учитывающих различную значимость критериев, Wj(g), является весьма субъективным и может расходиться у разных людей. Более того, обзор различных методов назначения весов свидетельствует о том, что до последнего времени эта задача корректно не решена. Поэтому предлагается следующее. Поскольку область Парето-оптималъ- ных решении не зависит от масштаба измерения критериев Wt(g), постольку пост­ роение области Парето P(R, W) По конечному множеству рисков корпоративной системы R = (r\,r2,r3,...rt) сводится к непосредственному применению определения отношения Парето Iff при №ri(g) = z/p>. Если критерии Wt(g) неравнозначны, то они упорядочиваются либо непосредственно аудитором, либо при помощи одной из моделей линейного упорядочения альтернатив. Затем по векторам y(g) области Парето P(R,W) выделяют более значимые риски в результате применения механизма лексико-графнческой оптимизации с уступками, определяемого вектором уступок 5= (.8^62,....8t).

В случае .если в результате применения механизма лексико-пэафической опти­ мизации с уступками предпочтительными окажутся несколько рисков, то уточ­ нить полученный результат может .сам аудитор либо, непосредственно, исходя из своих личностных представлений о конкретной проблемной ситуации, либо задак другие величины вектора уступок.

Если дополнительно к векторному критерию эффективности будут заданы требо­ вания к обеспечению заданного уровня рисков, то идея решения задачи следующая. Интерпретируя предъявляемые к оценке рисков требования точкой или п-мерным параллелепипедом в Евклидовом пространстве Е", вычисляется расстояние р между векторным критерием эффективности W(g) = (W1(g), W2(g)-,W3(g),..Wn(g)') и областью требований Т. В силу эквивалентности норм конечномерного Евклидова пространства в качестве расстояния можно использовать евклидову норму век-гора расстояния р= d(W,T)\\. При вычислении расстояния при равнозначности частных критериев используются нормализованные векторы. Нормализация векторов из области Парето позволяет обеспечить сопоставимость векторов между сосюй, поскольку при нормализации области их изменения устанавливаются равными друг другу. При условии неравнозначности частных критериев векторного критерия эффективности W''(g) = (^(g),W,

(g)>Wr3(g),...WXg)) применяется механизм лекси-к0-графичеек0й оптимизации с уступками. Существование решения обеспечивается конечностью компонентов векторов'риска /?=(rf, r2f,r3,...rt), критерия эффективности

ад&ЩШ^ш^ЩШг"^^^ п вектора требований, а единственность - способом представления области пли

точки требований, характеристик и однозначностью проведения всех расчетов по

вычислению расстояния, Решение ищется методом перебора для каждого крите­ рия Wj(g) (характеристики #[я1) риска г{. В случае неравнозначности частных критериев WJ решение зависит от системы ..предпочтения аудитора: формальные методы позволяют найти множество решений, из которого аудитор выбирает единственное.

Заключение

Известно, что своевременность п правильность оценивания информационных рисков компании во многом определяет эффективность корпоративной системы обеспечения информационной безопасности. Изучение специфики подобной за­ дачи указывает на необходимость описания качественных характеристик инфор­ мационной безопасности корпоративной системы Internet/Intranet. В предложен­ ном методе обобщены, систематизированы и развиты практические результаты обработки нечисловой информации применительно к оцешсе рисков корпоратив­ ной системы Internet/Intranet, основанные на математических методах теории квалиметрических шкал, моделей линейного упорядочения альтернатив и парных сравнений, многокритериальной оптимизации. Важным моментом этого метода является использование основных результатов арифметизации квалиметрических шкал для формирования матрицы парных сравнений в вероятностной калибровке, Пи элементам которой определяются весовые коэффициенты рисков корпоративной системы Internet/Intranet. Обобщая сказанное выше, следует заметить, что все изложенные результаты служат единой цели - созданию нового, более эффективного и практически обоснованного подхода к оценке информационных рисков отечественных компаний.

4.3. Возможная методика совершенствования корпоративной системы информационной безопасности

4.3.1.Уточнение основных целей и задач обеспечения безопасности

Сначала рассмотрим, какие пели, преследует любая система обеспечения ин­ формационной безопасности предприятия, какие задачи обеспеченна информа­ ционной безопасности необходимо решить и какие основные направления поли­ тики безопасности должны быть реализованы.

Цели

Главной целью любой системы обеспечения информационной безопасности является обеспечение устойчивого функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от про тивоправных посягательств, недопущение хищения финансовых средств, раз глашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной торговой и производственной деятельности всех под разделений предприятия.

Еще одной целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Задачи

Основными задачами любой системы информационной безопасности предпри- я.тия являются:

отнесение информации к категории ограниченного доступа (служебной или коммерческой тайне); прогнозирование и своевременное выявление угроз безопасности информа

ционным ресурсам, причин и условий, способствующих нанесению финан сового, материального и морального ущерба, нарушению его нормального функционирования и развития; создание условий функционирования с наименьшей вероятностью реализа

ции угроз безопасности информационным ресурсам и нанесения различных видов ущерба; создание механизма и условий оперативного реагирования на угрозы ин

формационной безопасности и проявления негативных тенденций в функ- [тонировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности; создание условий для максимально возможного возмещения и локализации

ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информа ционной безопасности на достижение стратегических целей.

4.3.2. Модель построения системы информационной безопасности

При выполнении работ может быть принята следующая модель построения системы информационной безопасности, основанная на адаптации и

проведении анализа риска (рис, 4,2).

Эта модель соответствует специальным нормативным документам по обеспе­ чению информационной безопасности, принятым в Российской Федерации, меж­ дународному стандарту ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, Гостсхкомиссии РФ) по вопросам информационной безопасности.

Представленная модель информационной безопасности - это совокупность объективных внешних и внутренних факторов и их влияние на состояние инфор­ мационной безопасности на объекте и на сохранность материальных или инфор­ мационных ресурсов.

Здесь рассматриваются следующие объективные факторы:

•угрозы информационной безопасности, характеризующиеся вероятностью воз никновения и вероятностью реализаций;

•уязвимости информационной системы или системы контрмер (системы ин формационной безопасности), влияющие на вероятность реализации угрозы;

•риск - фактор, отражающий возможный ущерб организации в результате реа лизации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери — прямые или косвенные).

Для построения сбалансированной системы информационной безопасности предприятия предполагается первоначально провести анализ информационных рисков. Систему информационной безопасности (контрмеры) предстоит постро­ ить таким образом, чтобы достичь заданного уровня риска.

4.3,3. Каркас методики проведения аналитических работ

Предлагаемая методика должна позволить:

•полностью проанализировать и документально оформить требования, свя занные с обеспечением информационной безопасности;

•избежать расходов на излишние меры безопасности, возможные при субъек тивной оценке рисков;

•оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

•обеспечить проведение работ в сжатые сроки; •предоставить обоснование для выбора мер противодействия;

•оценить эффективность контрмер, сравнить различные варианты контр мер.

Определение границ исследования

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется

взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сер^-висы и т. п.

Построение модели информационной технологии

При построении названной модели должны быть учтены все функциональные взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель в соответствии с предлагаемой методикой может быть построена следующим образом: для выделенных ресурсов определяется их ценность как с точки зрения ассоциирован?1ых с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

Выбор контрмер

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.

Управление рисками

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов являет-.ся периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Оценка достигаемой защищенности

В завершении работ можно будет определить меру гарантии безопасности информационной среды предприятия, основанную на оценке, с которой можш доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. При этом адекватность оценки основывается на:

•вовлечении в процесс оценки большего числа элементов информационной среды предприятия;

•глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей вы

полнения;

•t • строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимо-стёй или на уменьшение вероятности их наличия.

4.3.4, Методология анализа информационных рисков компании

Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ,

Процесс оценивания рисков может содержать следующие этапы (рис. 4.3):

•описание объекта и мер защиты;

•идентификация ресурса и оценивание его количественных показателей (опре деление потенциального негативного воздействия на бизнес);

•анализ угроз информационной безопасности; •оценивание уязвимостей;

•оценивание существующих и предполагаемых средств обеспечения информа ционной безопасности;

•оценивание рисков, Риск характеризует опасность, которой может подвергаться система и

использующая ее организация, и зависит от:

•показателей ценности ресурсов; •вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);

•степени легкости, с которой уязвимости могут быть использованы при вш' никновении угроз (уязвимости системы защиты);

•существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, име­ ющих такие характеристики как обоснование и параметры точности метода.

4.3.5. Проектирование системы обеспечения информационной безопасности предприятия

Проектирование системы обеспечения информационной безопасности пред­ приятия может развиваться по. следующему сценарию.

Построение профиля защиты

На этом этапе разрабатывается план проектирования системы защиты информаци­ онной среды предприятия. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств зашиты. Необходимым элементом работы является утверждение допустимого риска объекта защиты.

Обеспечите повышенных требовании к информационной безопасности пред­ полагает соответствующие мероприятия на всех этапах жизненного цикли

информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы .(технологии) на соответствие требованиям определенного стандарта безопасности.

Работа по построению плана защиты объекта начинается с построения профи­ ля защиты данного объекта. При этом часть этой работы уже была проделана при проведений анализа рисков.

Формирование организационной политики безопасности

Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.

Собственно организационная политика безопасности описывает порядок пре­ доставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ): объекта окажется эффектив­ ной, если, она будет надежно поддерживать выполнение правил политики без­ опасности, и наоборот. Шагами построения организационной политики безопас­ ности являются:

•внесение в описание объекта автоматизации структуры ценности и проведе ние анализа риска;

•определение правил для любого процесса пользования данным видом досту па к ресурсам объекта автоматизации, имеющим данную степень ценности.

Организационная политика безопасности оформляется в виде отдельного до­ кумента, который согласовывается и утверждается на предприятии.

Условия безопасного использования ИТ

Предполагается, что система обеспечения безопасности предприятия, соответ­ ствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если, она установлена, управляется и используется в соответствии с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.

Выделяются следующие виды условий безопасного использования ИТ:

•физические условия; •условия для персонала; •условия соеднений.

Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.

Условия для персонала содержат организационные вопросы управления

безопасностью и отслеживания полномочий пользователей.

Условия соединений не содержат явных требований для сетей и распределенных систем,, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.

Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается на предприятии.

Формулирование целей безопасности объекта

В этом разделе профиля зашиты дается детализованное описание общей цеди построения системы безопасности предприятия, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные,

Определение функциональных требований безопасности

Функциональные требования профиля защиты определяются иа основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить па два типа: управление доступом к информации и управление потоками информации.

На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности — наименьший выбираемый набор для включения в профиль защиты. Между компонентами могут существовать зависимости.

Требования гарантии достигаемой защищенности

Структура требований гарантия аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.

Требования гарантии достигаемой защиты выражаются через оценки, функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасное™ противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции зашиты определяется, например, категориями «базовая», «средняя», «высокая».

Потенциал нападения определяется путем экспертизы возможностей,

ресурсов и мотивов побуждения нападающего.

Уровни гарантии. Предлагается использовать табличную сводку уровней га-рантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.

Формирование перечня требований

Перечень требований к системе информационной безопасности (СЙБ), Эскизный проект, План защиты (далее - техническая документация, ТД) содержит набор требований безопасности информационной среды предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде,

В общем виде разработка ТД включает:

•уточнение функций защиты; •выбор архитектурных принципов построения СИБ;

•разработку логической структуры СИБ (четкое описание интерфейсов); •уточнение требований функций обеспечения гарантоспособности СИБ;

•разработка методики и программы испытаний на соответствие сформулиро ванным требованиям.

Оценка достигаемой защищенности

На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.

Базовые положения методики должны предполагать, что степень гарантий следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:

•значительное число элементов информационной среды объекта, участвую щих в процессе оценивания;

•расширение типов проектов и описаний деталей выполнения при проектиро вании системы обеспечения безопасности;

•строгость, заключающуюся в применении большего числа инструментов по иска и методов, направленных на обнаружение менее очевидных уязнимос-

тей иди на уменьшение вероятности их наличия,.

4.3,6, Возможный алгоритм аудита безопасности компании

Теперь рассмотрим возможный алгоритм аудита безопасности компании.

Определение и систематизация перечня угроз информационной безопасности

Они включают в себя следующие шаги:

1.Оформление официальных запросов предоставления информации об орга низационно-штатной структуре, организации сети, организации защиты ин формации, отправка Заказчику.

2.Получение информации, проведение первичного анализа системы информа ционной безопасности объекта, выбор инструментальных средств для про ведения исследования уязвимостей сети.

3.Выезд на предприятие для предварительного обследования корпоративной сети:

•проведение экспресс-анализа по выделению наиболее критичных автома тизированных систем, исходя из потенциальной ценности обрабатыва емой и хранимой в них информация:;

•проведение работы по построению структурной и функциональной схемы информационной системы с обозначением основных информационных потоков обмена информацией;

•проведение работы по построению типовой модели нарушителя для инфор мационной системы, перечня угроз информационной безопасности в ин формационной системе (совместно с представителями структурных под разделений безопасности);

•проведение работы по наложению перечня сведений ограниченного распро странения на функциопачьную схему информационной системы, выделе ние критичных информационных ресурсов, методов и средств их защиты;

•проведение работы по изучению организационного обеспечения информа ционной безопасности в части организационно-штатной структуры, пра вового и технологического обеспечения;

••• Проведение работы по анализу уязвимостей компьютерной сети, в том члсле с помощью инструментальных средств;

•проведение работы по анализу рисков в информационной системе, выра ботка уровней риска по различным видам угроз для конкретных инфор мационных ресурсов корпоративной сети объекта; •формирование выводов;

•проведение согласования отчетной документации по первому этапу работ.

Разработка Концепции обеспечения информационной безопасности и Эскизного проекта

Они состоят из нижеприведенных этапов (табл. 4.7):

1.Определение комплексных критериев для построения системы информаци­ онной безопасности - установление приемлемых уровней риска (совместно со службой безопасности):.

2.Разработка Концепции обеспечения информационной безопасности Заказ чика, включающей:

▪описание целей защиты информации;

•описание задач, решаемых для достижения целой защиты информации;

•описание основных объектов защиты, угроз их безопасности, учитывая специфику деятельности;

•взгляды на основные направления, условия и порядок практического ре

шения задач информационной безопасности по направлениям: правовому, организационному и техническому;

•основные принципы взаимодействия подразделений для наиболее эффек тивного достижения целей системы информационной безопасности;

•перспективную программу создания 'системы информационной безопас ности.

3.Разработка требований к системе информационной безопасности, включающих:

•общие принципы защиты информационного ресурса, классифицирован

ные в соответствии с угрозами информационной безопасности;

•требования к организационному и правовому обеспечению информацион ной безопасности с учетом выбранного критерия;

•описание конкретных мер защиты, рекомендованных для построения сис темы информационной безопасности с учетом выбранного критерия;

•требования к настройкам используемого в информационной системе ак тивного сетевого оборудования, операционных систем, систем управления базами данных, почтовых систем и Web-браузеров, реализации заложен ных в них механизмов безопасности, обновлению программного обеспече ния, установке необходимых обновлений программного обеспечения;

•описание требований к средствам защиты информации в корпоративной сети, включая централизованные системы управления защитой сети, ин тегрированные системы безопасности с системами управления сетью, рас пределенные межсетевые экраны, системы виртуальных частных сетей, сис темы аудита и мониторинга безопасности сети, системы централизованной антивирусной защиты, средства обеспечения защиты рабочих станций от несанкционированного доступа, системы электронной цифровой подписи, системы поддержания отказоустойчивости; •требования по настройке элементов системы защиты.

4.Проведение технико-экономической оценки мероприятий по обеспечению информационной безопасности.

5.Разработка Эскизного проекта обеспечения безопасности на объекте Заказ чика.

6.Разработка организационно-распорядительной документации согласно зада нию Заказчика, а также на основании результатов проведенного исследования,

7.Разработка. Плана защиты, включающего, календарный план построения си стемы информационной безопасности,

8.Предложения по управлению (оценка и переоценка рисков предприятия) } щформаццонной безопасностью предприятия:.

9.Предложения по сопровождению корпоративной системы обеспечения без­ опасности.

Пример 1. План-проспект Концепции информационной безопасности предприятия

Введение

Главной задачей руководителя предприятия является стабильная работа возглавляемого им коллектива, функционирование всех служб и подразделений предприятия в соответствии с установленным регламентом. Любое отклонение от этого регламента приводит к сбоям в работе и в конечном счете - к убыткам.

На сегодняшний день одним из главных условий бесперебойной работы предприятия становится обеспечение безопасности его деятельности. Для решения этой задачи требуются определенные затраты. Понесенные затраты

окупаются, если принятые меры сокращают или предотвращают ущерб от угроз безопасности функционирования предприятия.

На практике выделяют несколько групп средств и методов, используемых в системе зашиты государственных и коммерческих объектов:

•организационно-правовые; •инженерно-технические;

•информационно-технологические; » оперативно-технические; •морально-психологические; •специальные.

Цель и сфера деятельности нормативной базы системы безопасности предприятия

Нормативная база системы безопасности предприятия регулирует отношения, возникающие при использовании вышеперечисленных средств защиты объектов предприятия в процессе производства основного продукта или услуги,

В соответствии с Положением о предприятии нормативная база системы безопасности используется при подготовке и проведении всех коммерческих операций и эксплуатационных мероприятий.

Применение нормативной базы системы безопасности направлено на:

•повышение эффективности использования инженерно-технических, инфор мационно-технологических и других средств защиты объектов и ресурсов предприятия;

•создание условий для повышения достоверности и полноты информации, ис пользуемой в процессе производства основного продукта или услуги пред приятия;

•сокращение сроков выполнения работ с использованием информации огра ниченного доступа;

•повышение оперативности обработки и анализа результатов контрольнопро филактических мероприятий;

•снижение финансовых затрат на обеспечение безоиасиости функционирова ния предприятия.

Пользователями нормативной базы системы безопасности предприятия являются:

•руководящий состав предприятия; •работники предприятия в части их профессиональных интересов;

•лица, осуществляющие контроль за состоянием системы безопасности пред приятия.

Требования к нормативной базе системы безопасности Заказчика

Требования к нормативной базе системы безопасности предприятия можно разбить на три группы:

•обтцие требования к нормативной базе; •требования по иерархии построения нормативной базы;

•требования по процессам обеспечения функционирования системы защиты информации.

Общие требования к нормативной базе системы безопасности предприятия регламентируют все области жизнедеятельности предприятия с точки зрения информационной безопасности.

Согласно требованиям второй группы вся иерархия нормативных документов системы безопасности предприятия представлена тремя уровнями: концептуальным, организационным и уровнем политик безопасности.

Требования по процессам обеспечения функционирования системы защиты информации являются в известном смысле разовыми и описывают права и обязанности службы безопасности предприятия на всех этапах жизненного цикла системы защиты информации: создания, поддержания требуемого уровня безопасности информации, совершенствования.

На основании трех представленных групп требований к нормативной базе системы безопасности предприятия ставится частная задача:

•разработать и предоставить обоснованный перечень документов, формирую щих нормативную базу системы безопасности (информационной) предприя тия (рис. 4.4);

•по предоставленному перечню документов разработать их краткое содер жание.

Согласование перечня документов нормативной базы системы безопасности предприятия является условием перехода к стадии непосредственной разработки представленных документов.

Концепция обеспечения информационной безопасности предприятия может включать следующие разделы (приложение-4);

Основные термины. Введение.

1, Общие положения.

1.1.Назначение Концепции по обеспечению информационной безопасности.

1.2.Цели системы информационной безопасности. 1.3.Задачи системы информационной безопасности.

2.Проблемная ситуация в сфере информационной безопасности. 2.1, Объекты информационной безопасности.

2,2., Определение вероятного нарушителя,

2.3.Описание особенностей (профиля) каждой из групп вероятных наруши телей.

2.4.Основные виды угроз информационной безопасности объекта Заказчика.

2.4.1.Классификации угроз.

2.4.2.Основные непреднамеренные искусственные угрозы. 2.4.3.Основные преднамеренные искусственные угрозы.

2.5.Обшестатистическая информация по искусственным нарушениям ин формационной безопасности.

2.6.Оценка потенциального ущерба от реализации угрозы.

3.Механизмы обеспечения информационной безопасности объекта Заказчика.

3.1.Принципы, условия и требования к организации и функционирований системы информационной безопасности.

3.2.Основные направления политики в сфере информационной безопасности,

3.3.Планирование мероприятий по обеспечению информационной безопас ности объекта Заказчика, 3.4.Критерии и показатели информационной безопасности объекта Заказчика.

4.Мероприятия по реализации мер информационной безопасности объекта Заказчика.

4,1. Организационное обеспечение информационной безопасности.

4.1.1. Задачи организационного обеспечения информационной безопас­ ности.

4.1.2.Подразделения, занятые в обеспечении информационной безопасности.

4.1.3.Взаимодействие подразделений, занятых в обеспечении информа-

ционной безопасности.

4.2. Техническое обеспечение информационной безопасности объекта Заказ чика.

4.2.1.Общие положения.

4.2.2.Защита информационных ресурсов от несанкционированного до ступа.

4.2.3.Средства комплексной защиты от потенциальных угроз. 4.2.4.Обеспечение качества в системе безопасности.

4.2.5- Принципы организации работ обслуживающего персонала. 4.3.Правовое обеспечение информационной безопасности объекта Заказчика.

4.3.1.Правовое обеспечение юридических отношений с работниками объек та Заказчика.

4.3.2.Правовое обеспечение юридических отношений с партнерами объек та Заказчика,

4.3.3.Правовое обеспечение применения электронной цифровой подписи.

4.4.Оценивание эффективности системы информационной безопасности объекта Заказчика.

5. Программа создания системы информационной безопасности объекта Заказчика.

Приложение А. Комплекс мероприятий, проводимых с целью профилактики и предотвращения угроз безопасности.

Пример 2. Содержимое эскизного проекта

Эскизный проект должен включать следующие разделы (По ГОСТ 3420189):

•ведомость эскизного проекта; •пояснительную записку к эскизному проекту;

•структурные схемы комплекса технических средств; •функциональные схемы комплекса технических средств; •спецификации технических средств.

4.3.7. Состав информации, необходимой для аудита безопасности

Теперь определим сведения, необходимые для проведения аудита безопасности компании. При этом надо учитывать, что информация, составляющая служебную или коммерческую тайну, может предоставляться Исполнителю только, по согла-совашио сторон.

По согласованию с Заказчиком список предоставляемых Исполнителю данных может быть расширен LJO мере проведения работ.

Перечень необходимых данных на этапе изучения фактического состояния объекта

Информация об организационной структуре

Общая информация об организации:

•иерархическая организационная структура организации;

•сведения о степени конфиденциальности данных, хранящихся, обрабатывае мых и передаваемых по каналам связи,, в том числе с использованием средств

вычислительной техники;

•руководящие документы (приказы, распоряжения, инструкции) по вопросам храпения, обработки и передачи информации, доступа в помещения;

•положение о защите информации в организации; •перечень сведений, составляющих в организации коммерческую или слу жебную тайну .

Информация технологического характера о функционировании предприятия Заказчика:

•технологические связи между отделами на уровне потоков данных, передачи файлов;

•направления движения потоков данных; •служебные инструкции персонала;

•технология доступа к критичным ресурсам: к информации, в помещения ру ководства, для администраторов безопасности и персонала;

•работа систем электронного документооборота; •планы эксплуатационных и сервисных мероприятий;

•выделение критичных доя предприятия процессов обработки и передачи данных; •проекты развития и доработки информационных систем;

•информация о размещении критичных помещений, места хранения ценнос тей и данных;

• информация об управлении и контроле доступа в критичные помещения.

Информация об имеющихся средствах вычислительной техники

Серверные платформы:

•количество серверов; •применяемые аппаратные платформы, аппаратное обеспечение;

•операционные системы, в том числе наименование, полная версия, полные

версии «зашшт» (patch, service pack);

•поддерживаемые системные задачи с привязкой к серверам; •используемые сетевые протоколы; •документация производителей средств вычислительной техники; •собственная технологическая документация;

•использование встроенных средств защиты информации и возможностей по архивированию.

Информация о топологии сети и сетевых соединениях:

•карта сети; •наложение информационных потоков на карту сети;

•распределение серверов по сегментам сети, наличие на них критичной инфор мации;

•распределение рабочих станций по сегментам: сети, наличие на них критич ной информации, наличие доступа к критичной информации в сети;

•используемые Internet-еервисы, организация выхода в Internet;

•наличие собственного внутреннего/внешнего WWW-узла;

•доступ с WWW-узла к системам управления базами данных и системам элек тронного документооборота; •поддерживаемые протоколы обмена данными;

•системное сетевое программное обеспечение, в том числе наименование, пол ная версия, полная версия «заплат» (patch);

•типы применяемого сетевого оборудования, версии прошиватс/операционных систем маршрутизаторов, коммутаторов и пр., особенности их настройки; •системы управления сетевым оборудованием; •документация производителен на сетевое оборудование; •собственная технологическая документация;

•использование встроенных средств защиты информации (наличие крипто графических протоколов и специального канального оборудования для шиф рования критичного трафика); •проекты развития и изменения информационной системы предприятия;

•наложение информационных потоков циркуляции информации на карту сети.

Информация об используемых клиентских, и не включенных в сеть рабочих местах:

•количество, тип, место установки и назначение;

•аппаратные платформы, аппаратное обеспечение, фирма-производитель, фирма-поставщик, описание;

•операционные системы, в том числе наименование, полная версия, полные версии «заплат» (patch, service pack);

•использование штатных (приобретенных) средств защиты от несанкциони рованного доступа.

Информация о программном обеспечении:

• перечень специальных систем: управления базами данных, электронного до кументооборота, «.банк-клиент» с привязкой к конкретным серверам и кли

ентским рабочим местам;

•перечень прикладных протрамм сторонних производителей с привязкой

к конкретным серверам и клиентским рабочим местам; •перечень прикладных программ собственной разработки с привязкой к кон кретным серверам и клиентским рабочим местам; •решаемые задачи программного обеспечения;

•производитель, Internet-ссылка на сайт производителя;

•полная версия программного продукта и «заплат» (patch);

•операционные системы, в том числе наименование, полная версия, полные версии «заплат:» (patch, service pack);

•сертификаты и документация производителя; •доступные различным категориям пользователей функции;

•специальные возможности прикладного программного обеспечения;,

•наличие критичных для предприятия процессов электронной обработки И передачи данных.

Информация о специальных системах,, поддерживающих и контролирующих работу информационной системы:

•имеющиеся средства архивирования, режим их работы, места хранения ар хивов;

•системы протоколирования действий пользователей, в том. числе встроенные системы протоколирования СУБД, клиент-банка и пр.;

•средства системного аудита, авторизации и аутентификации; •системы мониторинга сети.

Общие данные о функционировании информационной системы:

•наличие ответственного администратора сети; •наличие ответственного администратора безопасности сети;

•порядок назначения прав доступа к критичным ресурсам; •регламент резервирования и восстановления критичной информации;

•регламент функционирования в критических и нештатных ситуациях.

Данные о критичности информационных ресурсов по отношению к технологии предприятия.

Информация об имеющихся средствах обеспечения информационной безопасности

Информация о существующих или планируемых к внедрению технических средствах защиты информации (производитель, Internet-ссылка на сайт производителя - полная версия, полная версия «заплат» (patch), операционная система, сертификаты и документация производителей, схема установки):

•межсетевые экраны; •системы мониторинга безопасности;

•системы сканирования безопасности сети и передаваемой информации; •криптографические средства;

В 1983 году в качестве стандарта оценки безопасности компьютерных систем министерства обороны США были приняты «Критерии оценки доверенных ком­ пьютерных систем министерства обороны» (Department of Defence Trusted Com­ puter System Evaluation Criteria - TCSEC). Стандарт TCSEC (известен также под названием «Оранжевая книга») определил требования к средствам защиты ин­ формации, которые должны быть включены в компьютерную систему, предна­ значенную для обработки критической информации.

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в про­ цессе оценивания, условно можно разделить на четыре типа; требования проведе­ ний последовательной Политики безопасности (security policy), требования веде- Шя учета использования продукта (accounts), требования доверия к продукту (assurance), и требования к документации на продукт.

Согласно TCSEC компьютерные системы по уровню предъявляемых к ним требований безопасности были разделены на четыре основные группы (D, С, В, А), которые, в свою очередь, делятся на классы безопасности (D, Cl, C2, В1, B2, ВЗ, А1). Для каждого класса был определен строго установленный набор требова­ ний, который напрямую не был связан со средой и особенностями применения конкретных систем.

В1987 году Национальный центр компьютерной безопасности США выпустил

всвет интерпретацию TCSEC для сетевых конфигураций.

Европейские критерии

Следуя по пути интеграции, Европейские страны (Франция, Германия, Велико­

британия и Нидерланды) в 1991 году приняли согласованные «Критерии оценки безопасности ИТ» (Information Technology Security Evaluation Criteria - ITSEC).

Основное отличие «Европейских критериев» от «Оранжевой книги» заключа­ лось в обращении значительно большего внимания на вопросы гарантированности безопасности ИТ, затрагивающей два аспекта - эффективность и корректность средств обеспечения безопасности.

Эффективность определяла адекватность набора функций безопасности угрозам объекту оценки, взаимную согласованность функций, простоту их применения, а также возможные последствия использования известных слабых мест защиты.

Под корректностью понималась правильность реализации функций и механиз­ мов безопасности. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения. В ITSEC было определено семь возможных уровней гарантированности коррект­ ности -- от ЕО ио Еб.

Общая оценка системы складывается из минимальной стойкости механизмов безопасности и уровня гарантировашюсти корректности.

Канадские критерии безопасности компьютерных систем

«Канадские критерии» (Canadian Trusted Computer Product Evaluation CriteriaCTCPEC) разрабатывались для использования в качестве национального стан­ дарта безопасности компьютерных систем. В отличие от «Оранжевой книги», ориентированной в основном на разработку и сертификацию многопользовательских операционных систем и требующей определенной интерпретации для других применений (например, для баз данных и сетей), «Канадские критерии» были изначально нацелены на широкий диапазон компьютерных систем. Этот стандарт использовался для разработки требований безопасности, спецификаций средств защиты и сертификации программного обеспечения рабочих станций и многопроцессорных вычислительных систем, персональных и многопользовательских операционных систем, систем управления базами данных, распределенных, сетевых, встроенных, объектноориентированных и других систем.

Возможность применения «Канадских критериев» к такому широкому кругу различных по назначению систем определяется используемым в них принципом дуального представления требований безопасности в виде функциональных тре­ бовании к средствам защиты и требований к адекватности их реализации.

Степень безопасности компьютерной системы определялась как совокупность функциональных возможностей используемых средств защиты, характеризующихся частными показателями обеспечиваемого уровня безопасности и одного обобщенного параметра —.уровня адекватности реализации политики безопасности.

Федеральные критерии безопасности информационных технологий

«Федеральные критерии безопасности информационных технологий» (далее просто «Федеральные критерии», или FC) разрабатывались как одна из

составляющих «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard), призванного заменить «Оранжевую книгу».

«Федеральные критерии» включают каталог следующих видов требований без­ опасности ИТ:

*функциональных требований (восемь классов);

•типовых требований к технологии разработки продуктов ИТ;

* • требований к процессу квалификационного анализа продуктов ИТ (три группы требований, регламентирующих анализ, контроль и тестирование продукта ИТ).

Ключевым понятием концепции информационной безопасности «Федеральных критериев» является понятие «профиля защиты» (Protection Profile). Согласно FC, профиль защиты (ПЗ) представляет собой нормативный документ, который регламентирует все аспекты безопасности продукта ИТ в виде требований к его проектированию, технологии разработки и квалификационному анализу. Как правило, один профиль защиты описывает несколько близких по структуре и назначению продуктов ИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адек­ ватности предполагаемым угрозам безопасности.

Общие критерии оценки безопасности информационных технологий

В1990 году под эгидой Международной организации по стандартизации (ИСО)

ипри содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию междуна­ родного стандарта в области оценки безопасности ИТ. Разработка этого стандарта преследовала следующие основные цели:

•унификация национальных стандартов в области оценки безопасности ИТ; •повышение уровня доверия к оценке безопасности ИТ;

•сокращение затрат на оценку безопасности ИТ на основе взаимного призна ния сертификатов.

Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.

Разработка версии 1.0 ОК была завершена в январе 1996 года и одобрена ИСО

вапреле 1996 года. Был проведен ряд экспериментальных оценок на основе вер­ сии 1.0 ОК, а также организовано широкое обсуждение документа.

Вмае 1998 года была опубликована версия 2.0 ОК и на ее основе в июне 1999 года принят международный стандарт ИСО/МЭК 15408. Официальный текст стандарта издап 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандар­ ту по содержанию. В настоящее время на основании полученного опыта практи­ ческого применения ОК подготавливается версия 3.0, выход которой ожидается

в2002 году.

«Общие критерии» обобщили содержание и опыт использования «Оранжевой книги», развили уровни уверенности «Европейских критериев», воплотили в ре­ альные структуры концепцию профилей защиты Федеральных критериев США.

Основными отличительными чертами ОК являются:

•прежде всего, ОК - это определенная методология и система формирования требований и оценки безопасности ИТ. Системность прослеживается начи ная от "терминологии и уровней абстракции представления требований и кон чая их использованием при оценке безопасности на всех этапах жизненного цикла изделий ИТ;

•общие критерии характеризуются наиболее полной на сегодняшний день со вокупностью требований безопасности ИТ;

•в ОК проведено четкое разделение требований безопасности на функцио нальные требования и требования доверия к безопасности. Функциональные требования относятся к сервисам безопасности (идентификации, аутентифи кации, управлению доступом, аудиту и т.д.), а требования доверия - к техно логии разработки, тестированию, анализу уяэвпмостей, эксплуатационной документации, поставке, сопровождению, то есть ко всем этапам жизненного цикла изделий ИТ;

•общие критерии включают шкалу доверия к безопасности (оценочные уров ня доверия к безопасности), которая может использоваться для формирова ния различных уровней уверенности в безопасности продуктов ИТ;

•систематизация и классификация требований по иерархии «класс — семейство — компонент — элемент» с уникальными идентификаторами требований обес печивает удобство их использования;

•компоненты требований в семействах и классах ранжированы по степени полноты и жесткости, а также сгруппированы в пакеты требований;

•гибкость в подходе к формированию требований безопасности для различ ных типов изделий ИТ и условий их применения обеспечивается возможно стью целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности);

•общие критерии обладают открытостью для последующего наращивания со вокупности требований.

Как показывают оценки специалистов в области информационной безопасно­ сти (см., например, [8,16 ,10,11]), по уровню систематизации, полноте и возможно­ стям детализации требований, универсальности и гибкости в применении ОК пред­ ставляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональ­ ный стандарт, а методологию задания, оценки и каталог требований безопасности ИТ, который может наращиваться и уточняться.

В определенном смысле роль функциональных стандартов выполняют профи­ ли защиты, которые формируются с учетом рекомендаций и каталога требований ОК, но могут включать и любые другие требования, которые являются необходи­

мыми для обеспечения безопасности конкретного изделия или типа изделий ИТ. Наряду с официальным названием «Критерии оценки безопасности информа­ ционных технологий» рабочая группа ИСО (ISO/IEC JTC 1/SC 27/WG 3), ответ­ ственная за разработку критериев безопасности, продолжает использовать истори­

чески сложившееся название - «Общие критерии*.

Соглашение о взаимном признании сертификатов

В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и С ИГ А-было подписано Соглашение о взаимном признании оценок (The International Mutual Recognition Arrangement - MRA), полученных на основе «Общих критериев». В соответствии с этим Соглашением стороны на­ мереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения «Общих критериев» и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в MR А правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты.

Официальный знак Соглашения представлен ниже (рис. П1.2). Сертифицированные продукты, на которые распространяется Соглашение о вза­

имном признании оценок, маркируются соответствующим знаком (см, рис. Ш.З).

Количество стран, присоединившихся к международному Соглашению о при­ знании ОК, достигло к настоящему времени 14. В ближайшее время планируется присоединение еще ряда стран, в том числе Японии, Китая и Кореи.

Это, с одной стороны, является свидетельством признания международным сообществом ОК как единой методологической основы оценки безопасности ИТ, а с другой, - демократичности самой организации.

В настоящее время в рамках MRA в б странах действует 8 аккредитованных органов по сертификации, имеющих право выдавать сертификаты соответствия продуктов и систем ИТ ОК, а также около 30 аккредитованных в этих странах органов оценки, которые к настоящему времени провели в рамках О К оценку и сертификацию более 20 продуктов и систем ИТ.

Появление соглашения MRA ориентирует разработчиков на единые критерии, которым должны соответствовать их продукты ИТ, а также расширяет возможно­ сти выбора сертифицированных продуктов ИТ со стороны потребителей.

В мае 2000 года было подписано более универсальное (по сравнению с MRA) Соглашение о признании сертификатов OK (Arrangement on the Recognition of Common Criteria Certificates - CCRA).

Международные конференции по Общим критериям

Первая Международная конференция по ОК была проведена в Балтиморе (США) летом 2000 года; вторая - в Брайтоне (Великобритания) в июле 2001

ШЯ.

В работе последней конференции приняли участие свыше 400 представителей 23 стран. На пленарных заседаниях и секциях было представлено около 80 докладов и сообщений самой разнообразной тематической направленности.

Проявленный интерес к конференции свидетельствует о возрастающем интересе к ОК стран международного сообщества.

Вдокладах и других материалах конференции (проспектах аккредитованных органов по сертификации, органов оценки, перечнях сертифицированных ими продуктов и систем ИТ и др.) были приведены данные о действующих в странах-участгагках международного Соглашения схемах оценки и сертификации, о количественных и качественных характеристиках сертифицированных продуктов н систем ИТ на соответствие требованиям ОК, а также данные о прошедших оценку профилях защиты.

Вработе конференции приняла участие и делегация из России, в которую вошли представители Минатома России, Центра безопасности информации и Центрального банка России. Руководителем российской делегации Пискаревым А. С. был сделан доклад на тему: «Общие критерии и оценка безопасности ИТ в России».

Судя но докладам на конференции и ответам на вопросы, в ведущих странах мира наметилась устойчивая тенденция перехода от оценки безопасности продуктов и систем ИТ по национальным стандартам к их оценке и сертификации по ОК. Так, в США с начала 2001 года полностью отказались от оценки безопасности коммерческих продуктов но TCSEC и FC и перешли на оценку по ОК. В Герма-пин в настоящее время около 60% продуктов ИТ оценивается по ITSEC, а 40% - по ОК, причем, как правило, новые продукты - по ОК, Такая же примерно картина во Франции и других ведущих странах Европы,

Проведение очередной, 3-й Международной конференции по ОК планируется в мае 2002 года в Оттаве (Канада).

Общие критерии в странах содружества независимых государств

Сразу после выхода в 1996 году в свет версии 1.0 О К работы по их анализу и адаптации практически одновременно были начаты в России и

Республике Беларусь. В России эта работа в инициативном порядке проводилась Центром безопасности информации, а в Республике Беларусь - ИТК НАН Беларуси.

В период с 13 по 17 ноября 2000 года под эгидой Минатома России и Мини­ стерства энергетики США в Москве-Обнинске был проведен международный семинар с участием основных разработчиков ОК, Второй такой семинар прошел с 20 по 25 мая 2001 года в США. На семи парах обсуждались проблем ные вопросы концептуального и терминологического плана, возникшие н процессе разработки проекта российского стандарта ГОСТ Р ИСО/МЭК 15408, и условия вхождения России Б MRA. Очередной семинар (МоскваОбнинск), шешшшяЙШ в конце 2001 года, был посвящен детальному ознакомлению российских специалистов и ответственных лиц компетентных федеральных органов исполнительной власти с порядком и процедурами присоединения к MRA.

Результаты проведенных за эти годы работ были обсуждены на 5-й Международной конференции «Комплексная защита информации*, проходившей в Минске в начале 2001 года. Проблеме принятия «Общих критериев» в качестве стандарта Союза Белоруссии и России была посвящена работа одной из сскщш конференции. Внедрение «Общих критериев» в России и республике Беларусь признано: на конференции самым перспективным направлением совершенствования нормативно-методической базы оценки безопасности ИТ. При этом учитывалось, что. как и в других странах, период освоения, апробации и адаптации «Общих критериев» может быть длительным.

Другие страны СНГ, как показала, например, 4-я Международная научнопрактическая конференция «Безопасность информации в информационнотелекоммуникационных системах» (г. Киев, май 2001 года), оказались не столь активными в .освоении ОК. В то же время доклады, сделанные представителями делегации России на конференции в Киеве по совершенствованию нормативно-методической базы оценки безопасности ИТ на основе ОК, вызвали большой интерес ее стороны как многочисленных представителей государственных организаций, ведущих предприятий и фирм Украины, так и,делегаций других стран СНГ, участвовавших в конференции. Отмечена объективная необходимость создания нормативно-методической базы оценки безопасности ИТ на основе общих для страг СНГ критериев оценки (которыми может стать международный стандарт ИСО/ МЭК 1540899).

Материалы по ОК как основы для совершенствования нормативной базы оценки безопасности ИТ в России докладывались и обсуждались на научнопрактическом семинаре в МИФИ (ноябрь 2000 года), 7-й Российской научнотехническое конференции «Методы и технические средства обеспечения безопасности информа щш» (Санкт-Петербург, 2000 год), 3-й Международной конференции «Цифрова5 обработка сигналов и ее применение» (Москва, 2000 год), Международной кон ферснции в МГУ (Москва, 2001 год), Совещаниисеминаре представителей орга нов по сертификации и испытательных

лабораторий, аккредитованных в Систе ме сертификации Гостехкомиссии России (Москва-Обнинск, 2001 год).

В результате проведенных семинаров и конференций у российских специалистов сформировалось устойчивое мнение о целесообразности использования ос новных положений и конструкций ОК при разработке комплекса нормативны; документов, методического и инструментального обеспечения оценки безопасно сти изделий ИТ в России,

Первоочередным шагом в этом направлении является принятие российского стан дарта ГОСТР ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий», аналогичного ИСО/МЭК 15408-99. Работы в этом направлении ведутся иод эгидой Гостехкомиссии России (разработчики; Центр безопасности информации, Центр «Атомзащитаинформ», ЦНИИАтоминформ, ВНИИ Стандарт).

Первая редакция стандарта была выпущена в июне 2000 года.

Вторая, окончательная, редакция стандарта выпущена в июне 2001 года, рассмотрена на совместном заседании технических комитетов по стандартизации ТК 362 «Защита информации» и ТК22 «Информационные технологии» и рекомендована к представлению в Госстандарт России для утверждения и ввода в действие после соответствующей апробации. В подготовке второй редакции стандарта активное участие приняли эксперты международной рабочей группы по ОК.

Стандарт ИСО/МЭК 15408-99 является базовым стандартом. Непосредственное формирование требований безопасности ИТ осуществляется путем разработки на основе методологии и библиотеки требований ОК профилей защиты и заданий по безопасности для изделий ИТ. Поэтому в обеспечение действия стандарта потребуется выпуск целого ряда организационно-методических документов, определяющих порядок разработки ПЗ и заданий по безопасности, их оценки, регистрации и применения.

При этом необходимо понимание, что переход на новую нормативную базу не может являться разовой акцией, а потребует значительного объема подготовительной работы и довольно продолжительного переходного периода, обусловленного следующими причинами.

Во-первых, необходимо будет уточнить концептуальный подход к обеспечению безопасности ЙТ с учетом новых понятий и терминологии, которые в настоящее время сформировались в области информационной безопасности, в частности, таких ключевых понятий, как политика безопасности, профиль защиты, задание по безопасности, функция безопасности и др.

Во-вторых, обеспечение безопасности современных ИТ предполагает более высокий, чем сегодня имеется, уровень технологии разработки, испытаний и использования средств защиты информации (формализация представления проектов СЗИ, оценка полноты и глубины тестирования, всесторонний анализ уязвимое-тей, поддержка доверия к СЗИ в процессе эксплуатации и др.). Это потребует уточнения соответствующих нормативных документов в

этой области.

В-третьих, предстоит усовершенствовать и развить методическую базу, включая разработку комплекса типовых методик проведения сертификационных испытаний. При этом в качестве исходного материала можно использовать разработанную в дополнение к ОК «Общую методологию оценки безопасности ИТ».

Результаты проведенных исследований, итоги работы конференций и семинаров позволяют сделать вывод о том, что разработка и ввод в действие в России пакета нормативных, документов на основе ОК дадут возможность:

•выйти на современный уровень критериальной базы оценки безопасности ИТ;

•создать повое поколение межведомственных нормативно-методических доку

ментов по оценке безопасности PIT на единой основе;

•ускорить разработку функциональных стандартов по базовым видам ИТ на основе гармонизации с уже разработанными в мире профилями защиты;

•обеспечить взаимное признание сертификатов для коммерческих продуктов в сэкономить тем самым значительные финансовые и материальные средства.

Аудит и управление информационной безопасностью

Официальное название стандарта не в полной мере отражает ту область проблем информационной безопасности, к которой он применим. Положения ОК не ограничиваются только областью оценки безопасности ИТ, а имеют более широкое применение, определяя порядок задания требований к безопасности ИТ, систему мер по обеспечению безопасности при проектировании, разработке, оценке, поставке на объекты Заказчика и сопровождении ИТ в процессе эксплуатации. ОК фактически формируют определенную методологию обеспечения безопасности ИТ Понимание этой методологии является залогом эффективного использования того огромного фактического материала, который содержится в ОК,

Некоторые аспекты безопасности ИТ в ОК не рассматриваются, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Эти аспекты указаны ниже:

•критерии опенки безопасности касающиеся административных мер безопас ности, непосредственно не относящихся к мерам безопасности ИТ; •оценка специальных физических аспектов безопасности ИТ, таких как кон троль электромагнитного излучения;

•методология оценки и административно-правовая структура, в рамках кото рой критерии могут применяться органами оценки;

•процедуры использования результатов оценки при аттестации продуктов и систем ИТ;

•критерии для оценки специфических качеств криптографических алго ритмов,

О терминологии

При использовании ОК приходится сталкиваться со значительными терминологическими трудностями, обусловленными различным толкованием терминов в российских и международных стандартах. Поэтому ниже даются комментарии к базовым понятиям ОК.

Центральными понятиями ОК являются: «Функция безопасности* (Security Function), которая определяется как «часть или части объекта опенки (ОО), обеспечивающие выполнение подмножества взаимосвязанных правил политики безопасности ОО» И «Функции безопасности ОО» (TOE Security Functions), которые определяются как «совокупность всех аппаратных, программных и программноаппаратных средств ОО, обеспечивающих адекватное осуществление политики безопасности ОО>. В российских нормативных документах по защите информации от несанкционированного доступа для аналогичных понятий используются термины «средство зашиты» и «комплекс средств защиты*. Однако следует учитывать, что понятие «функция безопасности» имеет в ОК более общую и широкую трактовку, чем понятие «средство защиты».

Другим важнейшим понятием ОК является понятие «доверие к безопасности», выражаемое термином «assurance*, которое в ОК определяется как «основание для уверенности и том, что сущность отвечает своим целям безопасности». В российской нормативной базе близкое к этому понятие определялось термином «гарантии проектировал шя».

Термин «Security Policy» в РД Гостехкомиссии России трактуется как «правила разграничения доступа». В ОК это понятие используется в более широком смысле, В частности, термин «TOE Security Policy» определяется как «совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО». Поэтому в отношении термина «Security Policy» используется перевод «политика безопасности».

Общие положения

Безопасность И Т рассматривается в ОК с позиций предотвращения и уменьшения опасностей типа нежелательного или неоправданного распространения, изменений или потери информацию нлп им подобных.

Безопасность связана с защитой активов от угроз, где угрозы классифицируются на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все разновидности угроз*, но в сфере безопасности наибольшее внимание уделяется тем из них, которые связаны с действиями человека, преднамеренными или иными.

ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Объектами обеспечения безопасности могут .выступатьКак отдельные продукты, так и

законченные системы ИТ.

Продукт ИТ- это совокупность программных, программно-аппаратных и/или аппаратных средств ИТ,, предоставляющая определенные функциональные воз-можностлт и предназначенная как для непосредственного использования, так II для включения в различные системы ИТ.

Система ЙТ - это конкретная реализация ИТ с определенными назначением и условиями эксплуатации, предназначенная для решения задач автоматизации в определенной области применения.

Продуктили система ИТ и соответствующая им документация руководств администратора и пользователя, являющиеся предметом оценки и сертификации по требованиям безопасности, называются объектом оценки (00).

К специфическим нарушениям безопасности обычно относят (но не обязательно ими ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателем (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).

Нарушения безопасности ИТ возникают вследствие преднамеренного использования или случайной активизации уязвимостей при применении ИТ по назначению.

Уязвимости могут возникать из-за недостатков в:

•требованиях — то есть ОО может обладать всеми требуемыми функциями и свойствами, но все же содержать уязвимости, которые делают его несоот ветствующим или неэффективным в части безопасности;

•проектировании — то есть ОО не удовлетворяет спецификации, и/или уяз вимости являются следствием плохих технологий проектирования, непра вильных проектных решений иди внесенных дефектов;

•эксплуатации — то есть ОО разработан в полном соответствии с корректны ми спецификациями, по уязвимости возникают как результат неадекватного

использования при эксплуатации.

Совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности, составляет политику безопасности организации.

Совокупность правил, регулирующих управление ресурсами, их защиту и распределение внутри ОО и выражаемых посредством функциональных требований безопасности, составляет политику безопасности ОО (ИБО).

Безопасность ИТ составляет область интересов трех категорий лиц:

потребителей, разработчиков и оценщиков 00.

Потребители (заказчики) заинтересованы в формулировании обоснованных требований к безопасности ИТ, исходя из принятой ими политики безопасности и возможных угроз безопасности ИТ, и получении

объективных оценок безопасности ОО, которые предназначены для защиты их информационных ресурсов. Потребители могут также использовать результаты оценки для сравнения различных продуктов и систем ИТ.

Разработчики должны осуществлять обоснованный выбор требований к безопасности продуктов и систем ИТ. Они должны также обеспечивать необходимый уровень доверия лс реализации требований безопасности на основе выработки и соблюдения необходимых организационных и технологических мер при проектировании, разработке и оценке ОО.

Оценщики должны производить независимую оценку ОО на предмет их соответствия предъявленным требованиям безопасности.

Формирование требований безопасности ИТ

Этап формирования требований к безопасности ИТ является приннипиальяс важным, так как от качественного его проведения в определяющей степени зависит в конечном итоге Достигаемый уровень безопасности. Существенно, чтобы требования безопасности, налагаемые на ОО, эффективно содействовали достижению целей безопасности, установленных потребителями. Если соответствующие требования не установлены до начала процесса разработки, то даже хорошо спроектированный конечный продукт может не отвечать целям потребителей. Общая схема формирования требований к безопасности ИТ представлена на рис.П1.4.

Среда безопасности

Исходным для формирования требований является установление среды без­ опасности ОО.

Среда безопасности определяет контекст предполагаемого применения ОО. При ее определении должны учитываться политика безопасности организации,

известные и возможные угрозы безопасности, имеющийся опыт и другие необхо­ димые сведения.

Чтобы установить среду безопасности ОО, необходимо принимать во внимание:

•физическую среду, которая определяет все аспекты внешней среды, имеющие отношение к безопасности, включая известные условия безопасности физи ческого расположения О О и условия, относящиеся к персоналу;

•активы, подлежащие защите элементами ОО, к которым требования или меры безопасности должны применяться; •назначение ОО, в том числе тип продукта и область применения.

Анализ факторов внешней среды должен завершаться описанием следующих параметров среды безопасности:

•предположений об условиях, которые должны быть обеспечены в среде, что--

бы ОО мог рассматриваться как безопасный;

•угроз безопасности, которые могут быть реализованы по отношению к ОО, В модели угроз безопасности должны содержаться: источник угрозы; способ реализации; уязвимости ОО, которые могут быть использованы для реализа ции угроз; активы, подверженные действию угроз;

•мер и правил политики безопасности организации, которые должны обеспечи ваться по отношению к ОО. Для системы ИТ такие меры должны быть кон кретно сформулированы, а для универсальных продуктов ИТ - сделаны общие утверждения в отношении политики безопасности организации.

Для установленной среды безопасности ОО должны быть оценены риск и воз­ можный ущерб от нарушения безопасности, являющиеся основанием для опреде­ ления мер и средств противодействия, которые необходимо реализовать при раз­ работке ОО.

Цели безопасности

Результаты анализа среды безопасности предназначены для формулирования целей обеспечения безопасности ОО, направленных на противодействие выяв­ ленным угрозам безопасности и соответствующих политике безопасности орга­ низации, и предположениям, определенным для среды ОО.

Необходимость определения целей безопасности состоит в том, чтобы явно выразить все намерения в отношении обеспечения безопасности ОО и опреде­ лить, какие из них будут реализовываться ОО, а какие обеспечиваться средой.

Требования безопасности

Требования безопасности представляют собой результат преобразования целей безопасности в совокупность требований безопасности для ОО и требований без­ опасности для его среды, которые, в случае их выполнения, обеспечивают соот­ ветствие ОО установленным для него целям безопасности.

Требования безопасности ИТ включают два в.ида требований

•функциональные требования; •требования доверия к безопасности.

Функциональные требования определяют требования к функциям ОО, которые непосредственно предназначены для обеспечения безопасности и определяют предусмотренный режим безопасности. К функциональным требованиям относятся, в частности, требования к идентификации, аутентификации, аудиту безопасности И Др.

Требования доверия к безопасности определяют требования,, выполнение которых дает основание для уверенности в том, что ОО обеспечивает достижение поставленных перед ним целей безопасности. Требования доверия включают совокупность требований к необходимым Действиям разработчика ОО, к предоставлению .соответствующих свидетельств обеспечения безопасности и к действиям при оцеы -ке безопасности ОО.

Степень доверия к безопасности ОО определяется через задание

оценочного уровня доверия к безопасности (ОУД). ОУД представляются в виде системы иерархически упорядоченных совокупностей требований доверия, определяющей шкалу для представления доверия к безопасности.

Краткая спецификация ОО

Краткая спецификация предназначена для того, чтобы дать общее представление о функциях безопасности, реализующих функциональные требования,: а также о мерах, обеспечивающих выполнение требований доверия.

Представление требований безопасности

Для представления требований к безопасности ИТ в ОК предусмотрены три типа конструкций: пакет, профиль защиты и задание по безопасности.

Пакет

Пакет представляет собой набор компонентов требований безопасности, которые удовлетворяют определенному подмножеству целей безопасности. Пакет предназначен для неоднократного использования и содержит требования, для которых установлено, что они являются пригодными и эффективными для достижения определенных целей.

Профиль защиты

Профиль защиты (ПЗ) представляет собой типовой набор требований безопас­ ности, обязательно включающий ОУД, которому должна удовлетворять совокупность ОО, соответствующих определенным целям безопасности, ПЗ предназначен для многократного использования и определяет требования к безопасности ОО, для которых установлено, что они являются достаточными

иэффективными в достижении установленных целей безопасности.

ПЗ разрабатываются, оцениваются и используются с целью облегчения

задания требований к безопасности ОО. оценки безопасности и возможности проведения сравнительного анализа уровня безопасности различных ОО.

Задание по безопасности

Задание по безопасности (ЗБ) содержит совокупность требований безопасности для конкретного ОО, которые обеспечивают достижение установленных целей без опасности. ЗБ представляет собой набор требований безопасности, которые могу; быть определены ссылкой на ПЗ, ссылкой на отдельные требования из ОК или ж( содержать требования в явном виде. Помимо требований безопасности, в ЗБ вклю чается краткая спецификация ОО, а также необходимые обоснования и пояснения

ЗБ является основой для проведения оценки ОО.

Безопасность в жизненном цикле ОО

Уверенность в безопасности ИТ может быть достигнута в результате

действий которые могут быть предприняты в процессе разработки, оценки и эксплуатаци] ОО. «Общие критерии» не предписывают конкретную методологию разработка или модель жизненного, цикла ОО; они определяют основные процедуры, Mepi и методы, которые должны использоваться при создании и эксплуатации О О с цс лью достижения требуемого уровня доверия к их безопасности.

Поддержка жизненного цикла — аспект установления дисциплины и управлени в процессах совершенствования ОО во время разработки и сопровождения, Дове рие к соответствию ОО требованиям безопасности больше, если анализ безопаснс сти и формирование соответствующих свидетельств выполняются на регулярно основе как неотъемлемая часть действий при разработке и сопровождении ОС

Поддержка жизненного цикла должна осуществляться на основе принятия noj ностью определенной модели жизненного цикла для всех шагов разработки ОС Модель жизненного цикла определяет процедуры, методы и инструментальнь: средства, используемые для разработки и сопровождения ОО, а также меры дл защиты среды разработки.

Модель жизненного цикла должна быть установлена до начала проектиров; ния и разработки ОО. Для повышения эффективности модели необходимо BI поднять ее анализ с привлечением экспертов и органов по стандартизации.

Безопасность разработки ОО

Безопасность разработка связана с физическими, процедурными, относящим; ся к персоналу и другими мерами, которые могут быть использованы в среде ра работки, чтобы защитить ОО от воздействий, которые могут повлечь нарушен! его безопасности.

Представление проектных решений

В качестве базовых уровней представления проектных решений при разработ­ ке ОО выделяются:

•функциональная спецификация;

•проект верхнего уровня; ▪ проект нижнего уровня; •реализация.

На каждом этапе разработки от разработчика требуется, в зависимости от оп­ ределенного ОУД, с соответствующей обоснованностью показать, что представ­ ленные проектные материалы в достаточной степени полны, корректны, непро­ тиворечивы и согласуются с материалами предыдущего этапа.

Методическое и инструментальное обеспечение

Процесс проектирования, разработки, оценки и сопровождения ОО должен под­ держиваться необходимым набором методик и инструментальных средств. К их числу относятся: интегрированные среды разработки, компиляторы, С УВД, сервисное а специализированное ПО, средства автоматизации управления

конфигурацией, документация к ним, а также стандарты разработки, методики выполнения отдельных видов работ и пр. Используемые методики и инструментальные средства должны основываться на принятых стандартах, быть хороцю определенными и апробированными,

Управление конфигурацией

Управление Конфигурацией (УК) -+ один из методов обеспечения уверенности в правильности реализации функциональных требований и спецификаций путем установления дисциплины и управления в процессах разработки и совершенство­ вания ОО. УК обеспечивает предотвращение несанкционированной модифика­ ции, добавления или уничтожения информации в ОО. Включение элементов ОО иод УК предоставляет уверенность, что опи будут изменяться контролируемым способом с надлежащей авторизацией,

Система УК должна обеспечивать уверенность в Целостности ОО от ранних этапов проекта до всех этапов его сопровождения при эксплуатации. При управ­ лении конфигурацией должны осуществляться учет и надлежащий анализ всех нарушений безопасности в процессе разработки ОО, а также контроль их после­ дующего устранения.

Эксплуатационная документация

Достаточность, полнота и понятность эксплуатационной документации явля­ ются важными факторами обеспечения правильной настройки и эффективного применения ОО,

В составе эксплуатационной документации выделяются два документа, кото­ рые определяют уело имя безопасной эксплуатации ОО:

*руководство пользователя; *руководство администратора.

Руководство пользователя должно содержать описание реализованных в ОО функций безопасности, руководящие принципы и инструкции но обеспечению безопасности ОО.

Руководство администратора предназначено для использования специально подготовленным персоналом, ответственным за конфигурирование, поддержание и управление 00.

Поставка и ввод в эксплуатацию

Организация поставки должна охватывать процедуры поддержки безопасности в течение передачи ОО потребителю как при первоначальной поставке, так и при последующей модификации. Она должна предусматривать специальные меры и процедуры, требуемые для подтверждения подлинности передаваемого ОО, ис­ ключения возможности преднамеренного и: непреднамеренного внесения измене­ ний в актуальную версию, замену се фальсифицированной версией при доставке ОО от организации разработчика до объекта потребителя.

Процедуры установки, генерации и запуска должны предусматривать меры и про­

цедуры контроля правильности формирования поставляемой версии ОО, настройки всех необходимых параметров и запуска ОО безопасным способом, как это предписано разработчиком. Они должны предусматривать безопасный переход от нахождения ОО иод контролем системы УК к начальным операциям в среде применения,

Оценка и сертификация безопасности ОО

Содержание оценки

Оценка безопасности ОО производится с целью проверки соответствия ОС требованиям безопасности, представленным в ЗБ. Оценка безопасности являета важным средством обеспечения уверенности в правильной реализации выбран ных функций и мер обеспечения безопасности.

Оценка безопасности ОО представляет собой определенное исследование свойсп ОО и процесса его разработки, в результате которого на основании изучения про ектных документов, специальных материалов-доказательств разработчика, а так же проведения испытаний делается обоснованное заключение о соответствии ОС установленным требованиям,

Взаимосвязь элементов оценки безопасности иллюстрируется на рис. П1Л Основными исходными материалами, используемыми при оценке, являются • материалы доказательства безопасности ИТ, включая оцененное ЗБ как ос нованне для оценки безопасности ОО;

•ОО, безопасность которого требуется оцепить;

•критерии,, методология и схема оценки. Методы оценки должны включать:

•анализ и проверку процессов и процедур обеспечения доверия к безопаснос ти ОО;

•анализ соответствия между представлениями цроекта О О на различных ста

Продукты и системы ИТ отличаются дальнейшим использованием результа­ тов оценки. Различие в использовании результатов опенки иллюстрируется на рис, П1.6.

Продукты ИТ, предназначенные для широкой области использования, по ре­ зультатам оценки могут помещаться в каталог оцененных продуктов; с тем, чтобы они стали доступны широкому кругу потребителей

Сертификация безопасности ИТ

Использование общей методологии оценки способствует повторяемости и объек­ тивности результатов, но не является достаточным для их признания другими потребителями ОО. Чтобы повысить достоверность результатов оценки безопас­ ности ОО, их необходимо подвергать сертификации - независимой экспертизе в органах по сертификации.

Результаты сертификации являются основанием для принятия органами сер­ тификации решения о выдаче па ОО сертификата безопасности, Сертификат без­ опасности ОО должен быть, как правило, публично доступен.

Поддержка доверия к безопасности при эксплуатации

Поддержка доверия к безопасности ОО при эксплуатации направлена на обес­ печение уверенности в том, что ОО продолжает соответствовать требованиям ЗБ при изменениях в ОО или в среде его применения. В число таких важных для безопасности изменений входят; обнаружение новых угроз безопасности или уязвимостей ОО, изменения в требованиях пользователя, исправление недостатков, найденных в сертифицированном ОО, а также другие модификации его функци­ ональных возможностей..

Одним из способов обеспечения поддержки доверия является переоценка ОО.

Термин «переоценка» Означает оценку новой версии ОО, учитывающую все из­ менения, произведенные в сертифицированной ранее версии ОО.

Не во всех случаях внесения изменений должна обязательно выполняться пере­ оценка каждой новой версии ОО для продолжения поддержки доверия к безопас­ ности. Однако в некоторых случаях изменения могут быть настолько значительны, Что для продолжения поддержки доверия обязательна только полная переоценка. Чтобы обеспечить продолжение поддержки доверия к безопасности ОО без обязательного проведения переоценки, разработчик должен представить доказа­ тельные материалы, показывающие, что ОО продолжает удовлетворять ЗБ. Пред­ ставленные разработчиком материалы должны пройти независимую экспертизу [35,57].

ПРИЛОЖЕНИЕ 2

ПРИМЕР АКТИВНОГО АУДИТА БЕЗОПАСНОСТИ КОРПАРАТИВНОЙ СИСТЕМЫ Internet/Intranet

Рассмотрим возможности активного аудита корпоративных систем Internet/ Intranet на примере подхода компании Symantec, уникальность которого заключается в комплексности и масштабности предоставляемых решений. Данный подход включает в себя возможности комбинированной оценки безопасности: стекапротоколов TCP/IP, IPX/SPX и Net BEUI;различных служб и сервисов Intranet; корректности настроек операционной среды (ОС, СУБД, firewalls и пр.); оценки состояния антивирусной защиты, а также оценки всей технической политики безопасности компании в целом. Например, пакет NetRecon 3.5 позволяет оценить текущее состоние информационной безопасности корпаративной системы Internet/Intranet в виде диаграмм, представленныхна рисунке П2.1.

Получив данный отчет, при необходимости можно его детализировать и сформировать частный, более подробныйотчет (см. рис. П2.2)

В этом отчете вся необходимая инфорация структурирована по найденым уязвимостям корпаративной системы Internet/Intranet (см. рис.П2.3, П2.4).

Следует отметить, что NetRecon позволяет задавать различные по сложности и интенсивности режимы сканирования и анализировать полученные результаты в реальном масштабе времени (рис. П2.5).

Следующий пакет Enterprise Security Manager (ESM v.5.5) компании Symantec позволяет провести полный комплексный аудит технической политики безопасности в сложной гетерогенной среде: серверы под управлением клонов ОС UNIX, ОС NetWare, ОС семейства Microsoft Windows н Open VMS, переносные и настольные рабочие станции, миникомпьютеры, большие и суперЭВМ. Далее предоставляется возможность автоматизировать

процессы централизованного планирования, администрирования и мониторинга политики безопасности. В результате можно быстро и эффективно осуществлять постоянный внутренний аудит состояния информационной безопасности корпоративной системы Internet/Intranet. Примеры оценки те­ кущего состояния безопасности системы представлены на рис. П2.6.

Таким образом, пакет ESM компании Symantec позволяет сформировать сводный отчет по состоянию информационной безопасности корпоративной системы Internet/Intranet (см. рис, П2.7).

Помимо оценки безопасности корпоративной системы Internet/Intranet на уровне протоколов, служб и сервисов, операционной среды решения компании Symantec позволяют провести аудит антивирусной защиты компании, а в дальнейшем создать гибкую, сбалансированную систему централизованного управления антивирусной защиты.

Существенно, что при этом становится реальным расширить возможности традиционного подхода к антивирусной защите сети компании. Дело в том, что большая часть наиболее вредоносных вирусов («черви», «трояны» п смешанные гибриды) используют системные ошибки и некорректные параметры аккаунтов. Поэтому дополнение функционала антивирусных решений возможностями пакета ESM 5.5 Symantec является достаточно .интересным решением.

Например, для следующей стандартной схемы корпоративной системы Inter­ net/Intranet можно использовать решения, представленные на рис. П2.8.

Важная особенность этих решений - возможность контроля и постоянного аудита антивирусной защиты корпоративной системы Internet/Intranet в реальном масштабе времени, централизованное администрирование антивирусных клиентов, возможность обновления антивирусных баз и программного обеспечения без переустановки и/или остановки работы серверов и рабочих станций.

Например, консоль NAV Corporate Edition позволяет: управлять всеми компонентами антивирусной защиты в сети; задавать и контролировать антивирусную политику, процедуры сканирования, обновления и т. д.; удаленно устанавливать антивирусных клиентов на рабочие станции и др. (рис. Ш.9).

Существенно, что здесь можно группировать логические и физические компо­ нента корпоративной системы Internet/Intranet по группам и проводить аудит, 'а также администрировать в соответствии с принятой Политикой безопасности компании (рис, ШЛО).

В случае возникновения экстренной ситуации система может активно реагировать в автоматическом или автоматизированном режимах, например высылать сообщения, запускать программы или скрипты и т. д. (рис. П2.11).

Другой, не менее важный вопрос - аудит и фильтрация Internet-трафика, Для этого Symantec предлагает Symantec Web Security и Mail-Gear. Первый осуществляет контроль и фильтрацию HTTP и FTP-трафиков, второй —• почтовых сообщсни и. Дополнительно Symantec Web Security может

работать как ан-тивярусный сканер для HTTP и FTP, а также как Proxyсервер. Типичная установка и конфигурация этих решений представлена на рис П2.12.

SWS позволяет контролировать входящий и исходящий трафик как для отдельных пользователей, так и целых групп пользователей. Есть возможность задавать режимы загрузки и аудита каналов в установленные промежутки.

времени. Пакет имеет проработанную систему генераций отчетов по пользователям, по машинам: и т. д. — см. рис. П2.13.

Аналогичные функции выполняет пакет Mail-Gear для контроля: SMTPтрафика корпоративных почтовых систем. Пакет проверяет адреса входящих и исходящих сообщений, а также содержимое писем корпоративных пользователей. Поддерживаются русскоязычные документы.

В случае организации зашиты внешнего периметра корпоративной системы Internet/Intranet от вторжений извне с помощью межсетевого экрана Symantec Enterprise Firewall (или Raptor для Unix-платформ) становится возможным дополнительно для аудита безопасности использовать возможности генераторов от^ четов Firewall (рис. П2.14).

Также для аудита и организации зашиты от внутренних и внешних вторжений Symantec предлагает пакеты детектирования хостов я сети: Intruder Alert (IA) и NetProwler (рис. П2.15).

Intruder Alert (IA) имеет 3-уровневую архитектуру: «агент - менеджер - кон­ соль». На хостах устанавливается агент, который получает заданную политику от менеджера для выполнения. Основная задача названного агента - отслеживать информацию в log-файлах защищаемой системы. В случае подозрительных изме­ нений в них агент может предпринять различные действия, начиная от отправки извещений и разрыва подозрительных сессий до реконфигурации и даже полной

блокировки Firewall (Firewall Symantec Enterprise Firewall или Check Point Firewall). Наиболее эффективно для аудита безопасности совместное использование систем вторжения для'хостов и сегментов сета (рис. П2.16).

Системы группируются но близким характеристикам и образуют домен безопасности, для каждого из которых формируется своя политика безопасности. Различные системы могут: входить сразу в несколько доменов:, в этом случае пб-Д1ГТИКН складываются и работают аддитивно.

Пакет имеет развитую систему анализа и генерации. OWCTQB аудита безопасности (рис. П2.17).

Для детектирования попыток взлома сети Symantec предлагает решение NetProwler, интегрированное с IA и различными Firewalls.

NetProwler, так же как и IA, имеет 3-уровиевую архитектуру. Основной

компонент — «интеллектуальный агент», устанавливаемый в сегменте сети. Он и фильтрует весь трафик на данном сегменте и анализирует его на предмет наличия атак. Анализ осуществляется на основе базы сигнатур атак. Первоначально эта база хранится в менеджере. Там же собираются все события с агентов. Конфигурация и дальнейшее администрирование осуществляется с консоли управления. Так же как и ГА, он активно реагирует на попытки взлома.

Таким образом, используя подход компании Symantec, становится возможным проводить комплексный аудит технической политики безопасности компании, а при необходимости и совершенствовать корпоративную систему защиты информации с помощью следующих решений (рис, П2.18).