Аналитические технологии управления информационной безопасностью

отклонений сразу выдается тревожное сообщение. Это своего рода автоматизация мониторинга системы. Такие методы уже достаточно хорошо разработаны, некоторые из них реализованы.

Во вторых, к дополнительным мерам можно отнести некоторые интеллектуальные средства. Если АСОИ име ет большие размеры, следить за состоянием ее защиты трудно. Поэтому можно установить специальные про граммные средства, которые будут настроены на анализ определенных состояний системы, например, на опас ные события или изменение конфигурации. Они могут вовремя сообщить о появлении возможности НСД или каналов утечки информации, которые обычным способом обнаружить непросто.

Примером средств контроля, совмещающего в себе некоторые черты как статистических, так и интеллекту альных средств, может быть контроль банковских операций. С помощью такого контроля можно автомати чески следить за пересылаемыми суммами, номерами счетов, местом назначения, временем платежа. Если какой то отдельный параметр или их комбинация перейдут в разряд запрещенных (например, размер плате жа превышает установленный), подается сигнал тревоги. Эта же система может накапливать и анализировать определенные сведения в течение длительного периода времени. Она может контролировать, например, все переводы на определенный счет, и, если за определенный промежуток времени сумма превысит допустимую, также выдается сигнал тревоги. Можно назвать еще множество полезных функций, которые могла бы выпол нять такая система.

2. Автоматизация управления информационной безопасностью

Для реализации возложенных на службу информационной безопасности функций в его арсенале должны быть соответствующие средства управления.

Сегодня базовым решением при создании системы информационной безопасности является интеграция всех средств в единую систему, в так называемый автоматизированный комплекс безопасности (АКБ).

В состав АКБ могут входить:

•система охранной сигнализации (СОС);

•система пожарной безопасности (СПБ);

•телевизионная система наблюдения (ТСН);

•система контроля доступа (СКД) и ряд других систем.

Автоматизированный комплекс безопасности предназначен для решения следующих задач:

•обнаружения и регистрации фактов несанкционированного проникновения на территорию объекта, в здание и режимные помещения и оповещения службы безопасности о нештатных ситуациях;

•наблюдения за периметром, территорией и особо важными объектами;

•организации доступа и контроля за доступом сотрудников, посетителей и автотранспорта на территорию объек та, а также персонала в режимные, служебные и охраняемые помещения;

•компьютерного анализа безопасности объектов, работоспособности элементов АКБ и действий обслу

живающего персонала.

Особенностью комплекса является интегрированность всех систем, позволяющая:

•использовать единые базы данных к конфигурации оборудования, персоналу, событиям, а также единые средства по обеспечению защиты информации;

•реализовать многотерминальный авторизованный доступ пользователей к функциям систем с разграни чением прав (администраторы, операторы, охрана и т.д.), парольной защитой и контролем действий;

•создавать и применять единые графические планы;

•на основе модульной открытой архитектуры проектировать и конфигурировать систему под любые требо вания заказчика, поэтапно наращивать ее информационную и функциональную мощность, а также терри ториальную распределенность;

•использовать единые средства телекоммуникации, регистрации и печати;

•комплексно использовать оборудование (например, считыватели СКД в СОС для снятия и постановки помещений под охрану);

•взаимодополнять функции систем (например, СОС охранными функциями ТСН или контроль маршрута охраны средствами СКД);

•обеспечить комплексное взаимодействие систем (например, автоматизировать процесс снятия и поста новки помещений под охрану на основе информации, получаемой из СКД; управлять режимами работы ТСН по фактам событий, зарегистрированных СОС, СПБ и СКД; управлять состоянием дверей, турникетов по тревогам СОС, СПБ);

•обеспечить автоматизированное или оперативное управление другими службами и устройствами поме щений: лифтами, системами оповещения, энергоснабжения, вентиляции, кондиционирования и т.д. на основе информации, получаемой от СКД, СОС и СПБ;

•использовать единую базу событий, а также средства создания и фильтрации отчетов, упростить про цесс и повысить достоверность расследования нарушений;

•использовать единую систему бесперебойного энергопитания;

•реализовать комплексную диагностику и обслуживание систем;

•снизить затраты на оборудование, эксплуатацию и обслуживание АКБ.

Программные средства АКБ обеспечивают генерацию следующих видов отчетов:

•о конфигурации системы (устройствах, режимах работы, состояниях датчиков, зон и дверей);

•о местонахождении персонала в конкретный момент, об отработанном времени;

11.5

Аналитические технологии управления информационной безопасностью

•о действиях оператора;

•о попытках несанкционированного доступа, а также нарушениях в функционировании системы.

АКБ обеспечивает согласованную работу всех систем безопасности, повышает эффективность работы подраз делений безопасности за счет уменьшения времени локализации нарушений, распределяет сообщения систе мы безопасности по заинтересованным лицам.

Чтобы управлять таким комплексом, необходимо оснастить администратора безопасности соответствующи ми средствами.

Сегодня в условиях, когда стремительно совершенствуются информационные технологии ( принося при этом новые проблемы их пользователям), усложняются и количественно возрастают способы атак на информаци онные системы, совершенствуются способы защиты от них, тем, кто отвечает за компьютерную безопасность все сложнее справляться с управлением той самой безопасностью, с выбором конкретной политики безопас ности и варианта построения системы информационной безопасности из всего многообразия возможных, сориентироваться в море продуктов обеспечения компьютерной безопасности. Особенно это касается сред них и крупных предприятий и организаций. Дело усугубляется в том случае, если организация достаточно крупная, разнесена территориально и имеет множество филиалов.

Сложность решения проблем относится не только и не столько к построению системы защиты информации, сколько к выбору наиболее приемлемых решений – реакции на события в системе в соответствии с условия ми обстановки. И заключается она, прежде всего, в необходимости управления информационной безопасно стью в реальном масштабе времени, в обеспечении принятия рационального решения за время, не превыша ющее времени жизни критичной (актуальности для организации) информации.

Втаких условиях мозг среднестатистического администратора безопасности не в состоянии справиться с возник шей проблемой без соответствующего автоматизированного (автоматического):

• обеспечения его информацией состояния контролируемой системы

• фиксации событий, которые могут дать основание для соответствующих действий администратора

• использования пакетов прикладных программ, позволяющих произвести аналитическую обработку ин формации, выявить новую (пока что скрытую от администратора) дополнительную полезную информа цию

• моделирования ситуации (прогнозирования ее изменений во времени и предполагаемых последствий)

• выбора в соответствии с оценкой ситуации правильного решения (с помощью экспертной системы, пост роенной на правилах продукций, или с помощью математических методов выбора решений ) и т.д.

Таким образом, речь идет о вооружении администраторов безопасности такими средствами, которые смогут стать его второй половиной, неотъемлемой составной частью его интеллектуальных, творческих способнос тей.

Решение этой проблемы видят в разработке комплексной автоматизированной системы обеспечения инфор мационной безопасности (АСОИБ) предприятия, которая позволяла бы контролировать качество услуг, пре доставляемых АСОИ, осуществлять анализ работы АСОИ и локализацию места и источника воздействия нару шителя, восстанавливать нарушенный процесс функционирования АСОИ.

Для решения этих задач [8] в АСОИ должны быть внедрены сенсоры, отвечающие за сбор данных, и исполни тельные устройства, отрабатывающие команды центра управления информационной безопасностью. Сенсоры АСОИБ обеспечивают извлечение информации двух типов – сведения из журналов аудита, систем ных журналов и регистрационных журналов приложений, а также информацию о текущем состоянии работы АСОИ из сетевого трафика. Второй тип сенсоров позволяет извлекать информацию о событиях, происходя щих в АСОИ, посредством анализа передаваемых по ней данных.

С увеличением числа сенсоров, установленных в АСОИ, повышается точность локализации местоположения неисправности, возникшей в АСОИ.

Исполнительные устройства с помощью команд, полученных из центра управления безопасностью, осуществ ляют замену программного обеспечения узла АСОИ, модификацию информации, хранимой в узле АСОИ, обес печение возврата к прежнему состоянию информационной сферы узла и др.

Центр управления безопасностью, на который возлагаются задачи анализа информации, полученной от сен соров, управление агентами СОИБ и выполнение процедуры восстановления работоспособности АСОИ, осу ществляет принятие решения о воздействии нарушителя на АСОИ двумя способами: на базе сигнатур воздей ствий и на базе профилей работы АСОИ.

Метод анализа сигнатур заключается в поиске и идентификации последствий атак по имеющимся шабло нам (сигнатурам), где в роли сигнатуры выступают определенные наборы событий, возникающих в АСОИ, спо собные указать на нарушение политики безопасности.

Вслучае, если центр управления безопасностью зафиксирует наличие сигнатуры, имеющей сходство с той, которая содержится в его банке данных, это будет означать, что в АСОИ было совершено несанкционирован ное воздействие. Алгоритм анализа данных в таких системах отличается высокой эффективностью и просто той реализации. Однако очевидным недостатком здесь является невозможность обнаружения последствий тех атак, сигнатуры которых неизвестны центру управления безопасностью. Это заставляет постоянно обнов лять базу данных сигнатур воздействий нарушителя.

Метод анализа данных на базе профилей базируется на использовании профилей работы АСОИ, в качестве которых выступает набор характеристик работы АСОИ, таких, как маршруты передачи пакетов, время переда чи пакетов, количество передаваемых пакетов и др. Центр управления безопасностью определяет индекс несогласованности текущих характеристик работы АСОИ, извлекаемых из данных сенсоров, и характеристик, указанных в профиле работы АСОИ. В случае, если индекс несоответствия превышает заданные пороговые величины, то это означает, что в АСОИ имеет место несанкционированное воздействие и, следовательно, на

11.6

Аналитические технологии управления информационной безопасностью

рушение нормального функционирования АСОИ. Сложность реализации этого метода анализа заключается в необходимости проведения статистического анализа функционирования АСОИ для определения характери стик, входящих в профиль.

После выявления факта проведения несанкционированного воздействия и нарушения работоспособности АСОИ центр управления безопасностью должен сигнализировать о возникновении внештатной ситуации ад министратору безопасности АСОИ и выполнить процедуру восстановления работоспособности АСОИ. Тип и способ проведения процедуры восстановления зависит от характера нарушения.

Вслучае нарушения конфиденциальности центр управления безопасностью должен изменить параметры бе зопасности узла АСОИ, регламентирующие доступ к его информационной сфере. Такие параметры могут вклю чать в себя список пользователей АСОИ, имеющих доступ к узлу, права доступа этих пользователей, их реги страционные имена, пароли и др.

Если в АСОИ произошло нарушение целостности, то в этом случае центр управления безопасностью должен восстановить прежние значения тех компонентов информационной сферы, целостность которых была нару шена. Для того, чтобы иметь возможность восстановить прежнее содержимое информационной сферы, центр управления должен хранить резервные копии критически важных информационных компонент.

С целью восстановления доступности узла АСОИ центру управления нужно произвести перезагрузку программ ного обеспечения узла или же заменить неисправный узел резервным, чтобы сбой в одном узле не привел к парализации работы всей АСОИ. Для замены одного узла АСОИ другим достаточно модифицировать программ ное обеспечение замещающего узла и перенастроить таблицы маршрутизации смежных узлов АСОИ.

Если в процессе передачи информации в АСОИ произошло нарушение целостности пакетов данных, то центр управления должен выполнить контрольную рассылку тестовой информации по разным маршрутам АСОИ и методом исключения выявить тот участок АСОИ, на котором и происходит нарушение. После локализации места нарушения целостности центр управления должен перенастроить таблицы маршрутизации узлов АСОИ, что бы исключить повторную передачу информации на этом участке АСОИ.

Помимо рассмотренных выше функций, центр управления безопасностью должен самостоятельно проверять работоспособность узлов АСОИ, посылая им запросы, на которые он должен получить ответы. В случае, если центр управления не получит эхо ответ, можно считать, что работоспособность узла АСОИ нарушена.

Интерфейс АСОИБ позволяет просматривать результаты работы сенсоров АСОИБ, агентов АСОИБ и центра уп равления безопасностью, а также управлять процессом их функционирования.

Интерфейс СОИБ должен состоять из интерфейса взаимодействия пользователя (администратора безопас ности АСОИ) с СОИБ и интерфейса взаимодействия центра управления безопасностью с другими компонен тами СОИБ. Взаимодействие пользователя с АСОИБ реализуется при помощи графических пользовательских интерфейсов, а также ряда других программных решений, обеспечивающих визуализацию результатов рабо ты АСОИБ Безусловно, окончательное принятие решения всегда остается за администратором, а программно аппаратные

средства поддержки принятия решений только вырабатывают рекомендации, соответствующие складывающейся ситуации. При этом оценка ситуации предполагает использование средств искусственного интеллекта, которые, например, на основе знаний вырабатывают рекомендации по привлечению (добыванию) дополнительной ин формации, если необходимо повысить степень уверенности в принимаемых решениях.

Всвоей деятельности администратор решает две основных группы задач: повседневные задачи и задачи опе ративного управления системой информационной безопасности. Безусловно, что и интеллектуальная под держка его деятельности требует в каждом случае иной информации и иных прикладных программ.

Так, в повседневной деятельности администратор должен всегда иметь под рукой:

• нормативно законодательные акты, документы Гостехкомиссии РФ, необходимые для правового обеспе чения принимаемых решений;

• планирующие документы (план защиты) в виде схем, графиков, номограмм, таблиц, текстовых докумен тов, инструкций, правил поведения и целого ряда подобных для реализации избранной политики ин формационной безопасности;

• сценарий действий по нарушению информационной безопасности (модель нарушителя), методы оценки возможностей установления информационного контакта, методики оценки потерь, программы анализа профилей пользователей и т.п. для обеспечения постоянной готовности к реализации контрмер в случа ях попыток нарушения информационной безопасности;

· методики выбора как отдельных средств защиты, так и их совокупности и ряд других.

Вотличие от повседневной деятельности при управлении системой защиты в случаях ее нарушения в значи тельной степени возрастают требования по времени принятия решений при условии, что само решение будет достаточно обосновано с помощью соответствующих программных средств.

Ну и, наконец, очевидно, что администраторы различного уровня и предназначения нуждаются в программ ном обеспечении, точно соответствующем их функциональным обязанностям.

Все выше сказанное свидетельствует о том, что для качественного выполнения стоящих перед администрато ром безопасности задач необходимо предоставить ему автоматизированное рабочее место, оснащенное соот ветствующими программными и аппаратными средствами поддержки принятия решений.

Дополнительно на АРМ администратора может возлагаться задача тренировок по действиям службы инфор мационной безопасности в тех или иных конкретных условиях в соответствии с функциональными обязанно стями. Такая возможность крайне необходима, так как в своей реальной работе администратор вряд ли встре тится со всем многообразием возможных атак на систему, а значит со временем может потерять профессио нальные навыки по обеспечению информационной безопасности в каждой из возможных ситуаций. Такая система тренировок может быть реализована непосредственно в конкретной организации (на предприятии)

11.7

Аналитические технологии управления информационной безопасностью

или иметь место в учебном центре, услугами которого не только для повышения квалификации, но и для под держания профессиональных навыков могут воспользоваться все те, кто серьезно относится к решению про блем информационной безопасности.

Вероятно, что не будет излишним дать возможность администратору получать информацию от всех обеспе чивающих подсистем – охранной сигнализации, видеонаблюдения, проходной и т.д. Это позволит на основе дополнения возможностей одной подсистемы возможностями другой повысить качество управления систе мой информационной безопасности.

На рис. 1 приведена некая гипотетическая оболочка системы поддержки принятия решений по управлению информационной безопасностью, на базе которой показаны концептуальные взгляды на структуру программ ного обеспечения, даны ссылки на формы документов и некоторые демо версии готовых программ, которые в соответствии с требованиями заказчика могут быть адаптированы к нуждам предприятия или организации.

Заключение

Таким образом, успех масштабного применения средств защиты информации в организации во многом зави сит от наличия развитых средств управления режимами работы различных защитных механизмов. Админис тратор безопасности, являясь ключевой фигурой в обеспечении информационной безопасности предприя тия, вместе и в связи с этим нуждается в соответствующем информационном обеспечении и оснащении его средствами интеллектуальной поддержки принятия решений.

Недостаточное внимание к проблемам обеспечения удобства работы администраторов безопасности по уп равлению информационной безопасностью на всех этапах жизненного цикла АСОИ часто является основной причиной отказа от использования конкретных средств защиты.

Рис. 1. Структура АРМ оператора СИБ (вариант)

11.8