Проект "ИТ-Защита"

Спецификация Internet-сообщества «Руководство по информационной безопасности предприятия» (RFC 1244, FYI: 8, July 1991)
Анализируются рекомендации по формированию политики безопасности организации, имеющей современную информационную систему и активно использующей сетевые сервисы.

Ключевые слова: административный уровень информационной безопасности, процедурный уровень информационной безопасности, политика безопасности, процедура безопасности, руководитель, системный администратор, владелец ресурсов, размер ущерба, злоумышленник, вторжение, файл паролей, оценка рисков, профилактика, уровень ответственности, сетевой администратор, интерпретация политики безопасности, анализ рисков, идентификация активов, аппаратура, программное обеспечение, данные, люди, документация, расходные материалы, давать привилегии и разрешать использование, распределение привилегий, административные привилегии, управление паролями, защититься и продолжить, выследить и осудить, прослеживание нарушителя, процедура безопасности, уязвимость, точка доступа, программная ошибка, внутренний злоумышленник, эшелонированная оборона, физическая защита, обна¬ружение неавторизованного использования, системный мониторинг, доклад о проблемах, контроль конфигурации, заплата, резервное копирование, списки управления доступом, физическое ограничение доступа, аутентификация источника данных,ограничение сетевого доступа, интеллектуальная карта, управление паролями, генератор паролей, конфигурационное управление, контроль защищенности, атака, инцидент, план восстановительных работ, оценка, извещение, ответные меры, сдерживание, ликвидация, восстановление, анализ.

Основные понятия

Спецификация Internet-сообщества, относится к административному и процедурному уровням информационной безопасности.

Данное Руководство призвано помочь организациям, имеющим выход в Internet, сформировать политику безопасности и разработать соответствующие процедуры. В нем перечисляются вопросы и факторы, которые следует предварительно проанализировать, даются некоторые рекомендации, обсуждается ряд смежных тем.

Руководство содержит лишь основные элементы, необходимые для выработки политики и процедур безопасности. Чтобы получить эффек­тивный набор защитных средств, ответственным лицам придется принять немало решений, заключить многочисленные соглашения, и лишь после этого довести политику безопасности до сотрудников и приступить к ее реализации.

Руководство рассчитано на руководителей и системных администраторов. Основной акцент делается на политику и процедуры, необходимые для поддержки технических средств, выбранных организацией.

Слова «организация» и «предприятие» трактуются в нем как синонимы, обозначающие собственника компьютеров и иных сетевых ресурсов. В число последних входят хосты, на которых работают пользователи, а также маршрутизаторы, терминальные серверы, ПК и другие устройства, имеющие связь с Internet.

Организация может выступать в роли конечного пользователя сервисов Internet или поставщиком соответствующих услуг. Тем не менее, Руководство рассчитано в основном на конечных пользователей.

Предполагается, что организация способна создавать собственные политику и процедуры безопасности при согласии и поддержке реальных владельцев ресурсов.

Термин «системный администратор» относится к тем, кто отвечает за повседневную работу ресурсов. Администрирование может выполнять группа людей или независимая компания.

Понятие «руководитель» обозначает сотрудника организации, вырабатывающего или одобряющего политику безопасности. Часто (но не всегда) руководитель одновременно является собственником ресурсов.

Документ отвечает на вопросы о том, что входит в политику безопасности, какие процедуры необходимы для обеспечения безопасности, что нужно делать в ситуациях, угрожающих безопасности. При выработке политики следует помнить не только о защите локальной сети, но также о нуждах и требованиях других подсоединенных сетей.

Системные администраторы и руководители должны располагать сведениями о современных угрозах, связанных с ними рисках, размере возможного ущерба, а также о наборе доступных мер для предотвращения и отражения нападений.

Проблемы, с которыми может столкнуться организация

В Руководстве рассматривается гипотетическая, но весьма вероятная последовательность проблем в области информационной безопасности.

  • Системный администратор получает сообщение о том, что главный подпольный бюллетень крэкеров  (хакеров) распространяется с административной машины, находящейся в его ведении, и попадает в пять тысяч компьютеров.
  • Спустя восемь недель тот же администратор получает официальное уведомление, что информация из одного бюллетеня была использована для выведения из строя на пять часов службы «911» в одном из больших городов.
  • Пользователь звонит и сообщает, что он не может войти в систему под своим именем в 3 часа утра субботы. Администратору также не удается войти в систему.
  • После перезагрузки и входа в однопользовательский режим он обнаруживает, что файл паролей пуст. К утру понедельника выясняется, что между данной машиной и местным университетом в привилегированном режиме было передано несколько файлов.
  • Во вторник утром на университетском компьютере найдена копия стертого файла паролей вместе с аналогичными файлами с дюжины других машин.
  • Спустя неделю администратор обнаруживает, что файлы инициализации системы изменены враждебным образом.
  • Администратор получает сообщение о том, что в компьютер правительственной лаборатории совершено вторжение с подведомственной ему машины. Ему предлагают предоставить регистрационную информацию для отслеживания нападавшего.
  • Спустя неделю администратор получает список подведомственных компьютеров, подвергшихся успешным атакам крэкеров.
  • Администратору звонит репортер и интересуется подробностями проникновения на компьютеры организации. Администратор ничего не слышал о таких проникновениях.
  • Через три дня выясняется, что случай проникновения имел-таки место. Глава организации использовал в качестве пароля имя жены.
  • Обнаруживаются модификации системных бинарных файлов.
  • После восстановления файлы в тот же день вновь оказываются модифицированными. Так повторяется несколько недель.

С подобными проблемами может столкнуться любая организация, имеющая выход в Internet. Необходимо иметь заранее заготовленные ответы по крайней мере на следующие вопросы:

Если в системе обнаруживается присутствие злоумышленника, следует ли оставить систему открытой и попытаться проследить за ним, или компьютер нужно немедленно выключить и залатать обнаруженные дыры?

  • Если злоумышленник использует компьютеры вашей организации, должны ли вы обращаться в правоохранительные органы? Кто принимает решение о таком обращении? Если представитель властей предложит оставить системы открытыми, кто ответит за это решение?
  • Какие шаги следует предпринять, если звонят из другой организации и сообщают о подозрительных действиях со стороны одного из ваших пользователей? Что делать, если этим пользователем окажется местный системный администратор?

Основы предлагаемого подхода

Формирование политики и процедур безопасности означает выработку плана действий по информационной защите, для этого необходимо:

  • выяснить, что следует защищать;
  • выяснить, от чего следует защищаться;
  • определить вероятность угроз;
  • реализовать меры, которые позволят защитить активы экономически оправданным образом;
  • постоянно возвращаться к предыдущим этапам и совершенствовать защиту после выявления новых уязвимых мест.

В рассматриваемом Руководстве основной упор делается на два последних этапа, однако следует помнить и о критической важности первых трех этапов для принятия эффективных решений в области безопасности, поскольку стоимость защиты не должна превосходить вероятный ущерб от осуществления угроз.

Руководство, помимо вводного, содержит еще пять разделов, где обсуждаются вопросы, которые организация должна рассмотреть при выработке политики безопасности и формировании процедур, реализующих эту политику. В некоторых случаях анализируются имеющиеся альтернативы и аргументы в пользу выбора какой-либо из них.

В плане общей структуры обсуждение политики безопасности предшествует рассмотрению процедур, необходимых для ее реализации. Первый из пяти разделов посвящен особенностям официальной политики предприятия, касающейся доступа к вычислительным ресурсам. Рассматриваются также вопросы ее нарушения. Политика определяет набор необходимых процедур, поэтому руководителю следует сначала разобраться в политических составляющих предмета обсуждения и только после этого переходить к процедурным. Ключевым компонентом формирования политики безопасности является производимая в той или иной форме оценка рисков, позволяющая установить, что необходимо защищать и каков объем ресурсов, которые разумно выделить на защиту.

Когда политика выработана, можно приступать к созданию процедур, решающих проблемы безопасности. В разделе «Выработка процедур для предупреждения нарушений безопасности» определяются и предлагаются действия, которые необходимо предпринять при возникновении подозрений по поводу совершения неавторизованных операций, и анализируются ресурсы, необходимые для предотвращения нарушений режима безопасности.

В разделе «Типы процедур безопасности» перечисляются типы процедур, служащих для предотвращения нападений. Профилактика — основа безопасности.

Раздел «Реакция на нарушения безопасности» посвящен реагированию на нарушения безопасности, т. е. кругу вопросов, с которыми организация сталкивается, когда кто-то отступает от политики безопасности. Если такое случается, приходится принимать целый комплекс решений, но многие из них можно продумать заранее. По крайней мере, следует договориться о распределении обязанностей и способах взаимодействия. И здесь важнейшую роль играет политика безопасности.

Тема последнего раздела — меры, предпринимаемые после ликвидации нарушения безопасности. Планирование защитных действий — это непрерывный циклический процесс, поэтому очередной инцидент становится прекрасным поводом для пересмотра и улучшения политики и процедур.

Общие принципы выработки официальной политики предприятия в области информационной  безопасности

Целью формирования официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.

Во-первых, необходимо принять во внимание ее цели и основные направления деятельности. Например, на военной базе и в университете требования к конфиденциальности весьма отличаются.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, и те, и другие необходимо принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не изолирована, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.

Политика безопасности призвана стать результатом совместной деятельности технического персонала, способного понять все аспекты ее структуры и реализации, а также руководителей, способных влиять на неуклонное выполнение установленных правил. Нереализуемая или неподдерживаемая политика бесполезна.

Ключевой элемент политики — доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности. Она не может предусмотреть всего, однако обязана гарантировать, что для любого вида проблем существует ответственный исполнитель.

В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета. Пользователь, допустивший его компрометацию, увеличивает вероятность компрометации других счетов и ресурсов.

Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.

Важно определить, кто будет интерпретировать политику безопасности, поскольку вне зависимости от того, насколько хорошо она написана, время от времени ее содержание нуждается в разъяснении, а заодно и в пересмотре.

После того как все положения записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика безопасности воспринята и обсуждена.

Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании предложенных правил.

Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно заручиться его подписью, свидетельствующей о том, что с политикой безопасности он ознакомился и понял ее суть.

Анализ рисков, идентификация активов и угроз

Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но не исключены ситуации, когда усилия прикладываются не там, где нужно.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба.

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (аппаратура т.п.) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Важно принять во внимание все, что может пострадать от нарушений режима безопасности.

В Руководстве фигурирует следующая классификация активов:

  • аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы;
  • программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;
  • данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, передаваемые по коммуникационным линиям;
  • люди: пользователи, обслуживающий персонал;
  • документация: по программам, по аппаратуре, системная, по административным процедурам;
  • расходные материалы: бумага, формы, красящая лента, магнитные носители.

После выявления активов, нуждающихся в защите, необходимо идентифицировать угрозы и размеры возможного ущерба. К числу основных классов возможных угроз относятся:

  • несанкционированный доступ;
  • нелегальное ознакомление с информацией;
    • отказ в обслуживании.

Регламентация использования ресурсов

При разработке политики безопасности ряд вопросов требует обязательных ответов:

  • Кто имеет право пользоваться ресурсами?
  • Как правильно использовать ресурсы?
  • Кто наделен правом давать привилегии и разрешать использование?
  • Кто может иметь административные привилегии?
  • Каковы права и обязанности пользователей?
  • Каковы права и обязанности системных администраторов по отношению к обычным пользователям?
  • Как работать с конфиденциальной информацией?

После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и неправильные способы их применения. Для разных категорий пользователей (студентов, внешних пользователей, штатных сотрудников и т.д.) эти способы могут различаться. Следует явно указать, что допустимо, а что — нет.

Пользователи должны знать: они несут ответственность за свои действия независимо от применяемых защитных средств, использовать чужие счета и обходить механизмы безопасности запрещено.

Для регламентации доступа к ресурсам нужно ответить на следующие вопросы:

  • Разрешается ли использование чужих счетов?
  • Можно ли отгадывать чужие пароли?
  • Допускается ли разрушение сервисов?
  • Должны ли пользователи предполагать, что если файл доступен на чтение всем, то они имеют право его читать?
  • Вправе ли пользователи модифицировать чужие файлы, если по каким-либо причинам у них есть доступ на запись?
  • Обязаны ли пользователи разделять счета?

В большинстве случаев ответы на подобные вопросы будут отрицательными.

В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия.

Тщательно сформулированная политика в области правильного использования ресурсов очень важна: если явно не сказано, что запрещено, не удастся доказать, что нежелательные действия пользователя — это нарушения.

Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются «взломать» защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные исследования в организации и каковы могут быть их рамки.

Применительно к исключительным случаям следует дать ответы на такие вопросы:

  • Разрешены ли вообще подобные исследования?
  • Что именно разрешено: попытки проникновения, выращивание червей и вирусов и т.п.?
  • Каким образом должны контролироваться подобные исследования (например, изолировать их в рамках отдельного сегмента сети)?
  • Как защищены пользователи (в том числе внешние) от подобных исследований?
  • Как получать разрешение на проведение исследований?

В случае, если разрешение получено, следует отделить тестируемые сегменты от основной сети предприятия: бесспорно, черви и вирусы нельзя выпускать в производственную сеть.

Политика безопасности должна давать ответ на вопрос, кто распоряжается правами доступа к сервисам. Кроме того, необходимо точно знать, какие именно права этим людям позволено распределять.

Существует много возможных схем управления распределением прав доступа к сервисам. При выборе подходящей целесообразно принять во внимание следующие моменты:

  • Как будут распределяться права доступа — централизованно или из нескольких мест?
  • Какие методы предполагается использовать для заведения счетов и запрещения доступа?

Наделение пользователей правами доступа — одна из самых уязвимых процедур. Прежде всего следует позаботиться, чтобы начальный пароль не был легко угадываемым, не являлся функцией от имени пользователя или его полного имени. Не стоит автоматически генерировать начальные пароли, если результат легко предсказуем.

Нельзя разрешать пользователям до бесконечности полагаться на начальный пароль. По возможности следует создавать условия для обязательной его замены при первом входе в систему.

Одно из решений, которое должно быть тщательно взвешено, относится к выбору лиц, имеющих доступ к административным привилегиям и паролям. Очевидно, подобный доступ полагается системным администраторам, но неизбежны ситуации, когда за привилегиями будут обращаться другие пользователи, что с самого начала следует предусмотреть в политике безопасности.

Сотрудники, имеющие специальные привилегии, должны быть подотчетны некоторому должностному лицу.

Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к использованию компью­терных систем и сервисов предприятия. Должно быть явно оговорено, что все сотрудники обязаны понимать и выполнять правила безопасной эксплуатации систем. Ниже приведен перечень тем, которые целесообразно осветить в данном разделе политики безопасности:

  • Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы и каковы они?
  • Что является злоупотреблением с точки зрения производительности системы?
  • Как «секретные» пользователи должны охранять свои пароли?
  • Насколько часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?
  • Как обеспечивается резервное копирование - централизованно или индивидуально?
  • Какой должна быть реакция на случаи просмотра конфиденциальной информации?
  • Соблюдается ли конфиденциальность почты?
  • Какова политика в отношении неправильно адресованной почты, отправлений по спискам рассылки или в адрес телеконференций? Должен соблюдаться баланс между правом пользователей на тайну и

обязанностью системного администратора собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности. Политика должна определять границы, в пределах которых системный администратор вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и конкретизировать права пользователей. При необходимости можно сформулировать положение относительно обязанности администратора соблюдать конфиденциальность информации, полученной при оговоренных выше обстоятельствах.

Следует сообщить пользователям, какие сервисы (при наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы хранения данных (на диске, файловом сервере и т.д.).

Реагирование на нарушения политики безопасности (административный уровень)

Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может стать следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.

Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, чтобы они были быстрыми и правильными, а также организовать расследование и выяснить, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты.

Политику безопасности могут нарушать самые разные лица. Некоторые из них являются сотрудниками предприятия, другие нападают извне. Полезно определить сами понятия «свои» и «чужие», исходя из административных, правовых или политических положений.

Правильно организованное обучение — лучшая защита. Надо поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения политики безопасности.

Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности другой организации, и, кроме того, позаботиться о защите от ответных действий с ее стороны.

Для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие учреждения, команды «быстрого реагирования», средства массовой информации, политика безопасности предприятия должна содержать специальные процедуры, регламентирующие, кто имеет право на такие контакты и как именно они совершаются. Среди прочих нужно дать ответы на следующие вопросы:

  • Кому поручено разговаривать с прессой?
  • Когда следует обращаться в правоохранительные органы?
  • Какого рода сведения об инцидентах могут выходить за пределы организации?

Помимо политических положений, необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности.

Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов.

Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию «защититься и продолжить». Главная ее цель — защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки повреждения и восстановления. Возможно, придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.

Другой подход, «выследить и осудить», опирается на иные философию и систему целей: злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой подход приветствуют правоохранительные органы. К сожалению, они не смогут освободить организацию от ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.

Следующий контрольный перечень помогает сделать выбор между стратегиями «защититься и продолжить» и «выследить и осудить».

Перечень обстоятельств, обусловливающих стратегию «защититься и продолжить»:

  • активы организации недостаточно защищены;
  • продолжающееся вторжение сопряжено с большим финансовым риском;
  • нет возможности или намерения осудить злоумышленника;
  • неизвестен круг пользователей;
  • пользователи неопытны, а их работа уязвима;
  • пользователи могут привлечь организацию к суду за нанесенный ущерб.

Когда предпочтительна стратегия «выследить и осудить»:

  • активы и системы хорошо защищены;
  • имеются качественные резервные копии;
  • угроза активам организации меньше потенциального ущерба от будущих повторных вторжений;
  • имеет место скоординированная атака, повторяющаяся с большой частотой и настойчивостью;
  • организация «притягивает» злоумышленников и, следовательно, подвергается частым атакам.
  • организация готова идти на риск, позволяя продолжить вторжение;
  • действия злоумышленника можно контролировать;
  • доступны развитые средства отслеживания, поэтому преследование нарушителя имеет шансы на успех;
  • обслуживающий персонал обладает достаточной квалификацией для успешного отслеживания;
  • руководство организации желает осудить злоумышленника;
  • имеется тесный контакт с правоохранительными органами;
    • среди сотрудников есть человек, хорошо знающий соответствующие законы;
    • организация готова к искам собственных пользователей по поводу
      программ и данных, скомпрометированных во время выслеживания
      злоумышленника.

Подход к выработке процедур для предупреждения нарушений безопасности

Политика безопасности отвечает на вопросы:

  • Что следует защищать?
  • Что является самым важным?
  • Что за свойства у защищаемых объектов?
  • Что за подход к проблемам безопасности избран?

Сама по себе политика безопасности не говорит, КАК защищаются объекты. Ответы на вопросы КАК дают процедуры безопасности.

Политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию. Процедуры безопасности должны в деталях специфицировать шаги, предпринимаемые организа­цией для собственной защиты.

Политика безопасности должна включать в себя общую оценку рисков по отношению к наиболее вероятным угрозам и оценку возможных последствий их осуществления. Часть процесса оценки рисков заключается в составлении списка активов, нуждающихся в защите. Дан­ная информация необходима для выработки экономически эффективных процедур.

Заманчиво начать разработку процедур безопасности, отправляясь от защитных механизмов: «На всех компьютерах нашей организации должны вестись регистрационные журналы, модемы обязаны выполнять обратный дозвон, а всем пользователям необходимо выдать интеллектуальные карточки». Однако подобный подход может повести к массированной защите областей с небольшим риском и к недостаточной защите действительно уязвимых участков. Если же начать с политики и описанных ею рисков, можно быть уверенным, что процедуры обеспечивают достаточный уровень защиты для всех активов.

Чтобы определить риски, необходимо выявить уязвимые места. Одна из целей политики безопасности состоит в том, чтобы их прикрыть и тем самым уменьшить риск для максимально возможного числа активов. К числу типичных уязвимостей и их источников относятся:

  • точки доступа;
  • неправильно сконфигурированные системы;
  • программные ошибки;
  • внутренние злоумышленники.

Выбор регуляторов для практичной защиты

После определения объектов защиты и оценки рисков, грозящих активам, необходимо решить, как реализовать средства безопасности. Регуляторы и защитные механизмы следует выбирать так, чтобы успешно и в то же время без излишних затрат противостоять угрозам, выявленным в процессе анализа рисков.

Выбранные регуляторы представляют собой реальное воплощение политики безопасности. Они образуют первую (и главную) линию обороны. В этой связи особенно важно, чтобы регуляторы в совокупности составляли правильный набор. Если наибольшая угроза для системы — внешние злоумышленники, то нет смысла использовать биометрические устройства для аутентификации обычных, внутренних пользователей. Если, с другой сто­роны, основная опасность состоит в неавторизованном использовании вычислительных ресурсов внутри предприятия, целесообразно воспользоваться процедурами автоматического учета совершаемых действий.

Здравый смысл — лучшее средство формирования политики безопасности. Тщательная проработка схем и механизмов — занятие увлекательное и в определенной степени необходимое, но едва ли имеет смысл тратить деньги и время на такую проработку, если без внимания остались простые регуляторы. Например, как бы тщательно ни была продумана система, построенная на основе существующих средств безопасности, один пользователь с плохо выбранным паролем способен поставить под удар всю организацию.

Целесообразно построить эшелонированную оборону, применяя несколько стратегий защиты. При подобном подходе, еслВажно определить, кто будет интерпретировать политику безопасности, поскольку вне зависимости от того, насколько хорошо она написана, время от времени ее содержание нуждается в разъяснении, а заодно и в пересмотре.и одна линия обороны оказывается прорванной, в дело вступает другая — и активы не остаются беззащитными. Комбинация нескольких простых стратегий зачастую позволяет создать более надежный заспредупреждения нарушенийлон, чем один, даже очень сложный, метод.

Если не обеспечена физическая защита, говорить о других аспектах информационной безопасности не имеет смысла. Имея доступ к машине, злоумышленник может остановить ее, перезагрузить в привилегированном режиме, заменить диск или изменить его содержимое и т.п.

Критически важные коммуникационные каналы, серверы и другие ключевые элементы должны быть сосредоточены в закрытых помещениях. Некоторые механизмы безопасности (например, сервер аутентификации Kerberos) выполняют свои функции только при условии физической защищенности.

Для обнаружения большинства видов неавторизованного использования компьютерных систем существуют несложные процедуры, применяющие стандартные средства операционных систем или опирающиеся на инструментарий, свободно доступный из различных источников.

Системный мониторинг может выполняться как администратором, так и специально написанными программами. Он включает в себя просмотр различных частей системы в поисках чего-нибудь необычного.

Отслеживание использования систем очень важно выполнять постоянно. Бессмысленно выделять для мониторинга один день в месяце, поскольку нарушения режима безопасности зачастую длятся всего несколько часов.

Пользователям необходимо объяснить, как выявлять случаи нелегального вторжения в их счета. Если при входе в систему выдается время предыдущего входа, они должны сопоставить его контролировать со своими прошлыми действиями.

Должны быть разработаны процедуры, позволяющие докладывать о замеченных проблемах, связанных с неправильным использованием счета или с другими аспектами безопасности.

Отслеживайте состояние привилегированных счетов («root» в ОС UNIX). Как только привилегированный пользователь увольняется или перестает нуждаться в привилегиях, следует изменить пароли всех принадлежавших ему счетов.

При установке с дистрибутива операционной системы или дополнительного программного продукта необходимо тщательно проверить результирующую конфигурацию. Многие процедуры установки исходят из предположения, что всем пользователям в организации можно доверять, оставляя файлы общедоступными для записи или иным способом компрометируя безопасность.

Тщательной проверке должны подвергаться и сетевые сервисы. Часто поставщики в стандартной конфигурации предполагают надежность всех внешних хостов, что едва ли разумно, если речь идет о такой глобальной сети, как Internet.

Многие злоумышленники собирают информацию о слабостях конкретных версий систем. Чем старее версия, тем вероятнее наличие в ее защите известных ошибок, исправленных поставщиком в более поздних выпусках. В этой связи необходимо сопоставить риск от сохранения старой версии (с «дырами» в безопасности) и стоимость перехода на новое программное обеспечение (включая возможные проблемы с продуктами неизвестных производителей). Точно так же оценивается и целесообразность постановки «заплат», предоставляемых поставщиком, но с учетом того обстоятельства, что заплаты к системе безопасности, как правило, закрывают действительно серьезные дыры.

Невозможно переоценить важность хорошей стратегии резервного копирования. Резервные копии, особенно ежедневные, могут быть полезны, помимо прочего, и для прослеживания действий злоумышленников. Анализируя старые копии, нетрудно выяснить, когда система была скомпрометирована в первый раз. Резервные копии — это и материал для правоохранительных органов.

Ресурсы для предупреждения нарушений безопасности

Конфиденциальность, т. е. обеспечение скрытности или секретности, — одна из главных практических целей информационной безопасности.

Как правило, с информацией могут несанкционированно ознакомиться в трех местах:

  • там, где она хранится (на компьютерных системах);
  • там, где она передается (в сети);
  • там, где хранятся резервные копии.

В первом случае для защиты используются права доступа к файлам, списки управления доступом и/или аналогичные механизмы. В последнем возможно физическое ограничение доступа. И во всех случаях помощь способны оказать криптографические средства.

Обычно мы принимаем на веру, что в заголовке электронного сообщения отправитель указан правильно. Заголовок, однако, нетрудно подделать. Аутентификация источника данных позволяет удостоверить под­линность отправителя сообщения или другого объекта.

Говорят, что информация находится в целостном состоянии, если она полна, корректна и не изменилась с момента последней проверки «цельности».

На целостность системной информации влияют многочисленные программно-технические и процедурные механизмы. Традиционные средства управления доступом обеспечивают контроль над тем, кто имеет доступ к системной информации. Необходимо также ограничение сетевого доступа. Дополнительно могут использоваться простые или криптографические контрольные суммы (имитовставки).

Широк спектр механизмов аутентификации. В простейшем случае в роли такового выступает системный администратор, заводящий новые пользовательские счета. На другом конце спектра находятся высокотехнологичные системы распознавания отпечатков пальцев и сканирования роговицы потенциальных пользователей. В некоторых системах для облегчения аутентификации применяются интеллектуальные карты. Здесь подлинность пользователя подтверждается обладанием определенным объектом.

Политика управления паролями важна для поддержания их секретности. Соответствующие процедуры могут варьироваться от эпизодических просьб или приказаний пользователю сменить пароль до активных попыток этот пароль подобрать с последующим информированием владельца о легкости выполнения данного действия. Другая часть политики управления описывает, кто может распространять пароли.

Некоторые системы программным образом вынуждают пользователей регулярно менять пароли. Компонентом многих из них является генератор паролей.

Конфигурационное управление, которое обычно применяют в процессе разработки программного обеспечения, полезно и на этапе эксплуатации. Поскольку довольно часто системные программы предназначены для проведения в жизнь политики безопасности, необходима уверенность в их корректности.

Конфигурационное управление разумно применять и к физическому конфигурированию аппаратуры.

Иногда (например, на экранирующих системах) доя противостояния стандартным атакам полезно ввести в конфигурацию небольшие нестандартности, в число которых могут входить оригинальный алгоритм шифрования паролей, необычное расположение конфигурационных файлов, а также переписанные или функционально ограниченные системные команды.

Проверки безопасности (контроль защищенности) — важная часть функционирования любой компьютерной среды. Элементом таких проверок должна стать ревизия политики безопасности и защитных механизмов, используемых для ее реализации.

Периодически нужно проводить плановые учения, чтобы проверить, адекватны ли выбранные процедуры безопасности предполагаемым угрозам.

В процессе проверок необходимо с максимальной тщательностью подбирать тесты политики безопасности, четко определить, что тестируется, как проводится тестирование и какие результаты ожидаются. Все это нужно документировать, включить в основной текст политики безопасности или издать в качестве дополнения.

Важно протестировать все аспекты политики безопасности, процедурные и программно-технические, с упором на автоматизированные механизмы проведения политики в жизнь. Должна быть уверенность в полноте тестирования каждого средства защиты.

Реагирование на нарушения безопасности (процедурный уровень)

Традиционная информационная безопасность, как правило, концентрируется вокруг защиты от атак и, до некоторой степени, вокруг их обнаружения. Обычно почти не уделяют внимания мерам, предпринимаемым во время уже начавшейся атаки. В результате поспешных, непродуманных действий могут быть затруднены выявление причины инцидента, сбор улик для расследования, подготовка к восстановлению системы и защита ценной информации.

Враждебные акции, будь то нападение внешних злоумышленников или месть обиженного сотрудника, необходимо предусмотреть заранее. Ничто не может заменить предварительно составленного плана восстановительных работ.

В разделах политики безопасности, касающихся реакции на инциденты, должны быть освещены следующие темы:

  • обзор (цели, преследуемые политикой безопасности в плане реакции на инциденты);
  • оценка (насколько серьезно произошедшее событие);
  • извещение (кого следует известить о нем);
  • ответные меры (что следует предпринять в ответ);
  • правовой аспект (каковы правовые последствия случившегося);
  • регистрационная документация (что следует фиксировать до, во время и после инцидента).

Важно заранее определить приоритеты действий, совершаемых во время инцидента. Шкала приоритетов может выглядеть следующим образом:

  • защита жизни и здоровья людей;
  • защита секретных и/или критически важных данных;
  • защита прочих данных, включая частную, научную и управленческую информацию;
  • предотвращение повреждения систем;
  • минимизация урона, нанесенного вычислительным ресурсам. Идентификации инцидента сопутствует выяснение его масштабов и

возможных последствий, а для эффективного противодействия важно правильно определить его границы. Кроме того, оценка возможных последствий позволит установить приоритеты при выделении ресурсов для принятия ответных мер.

Когда есть уверенность, что нарушение режима безопасности действительно имеет место, следует известить соответствующий персонал. Чтобы удержать события под контролем и с технической, и с эмоциональной точек зрения, очень важно, кто и как будет извещен.

Любое сообщение об инциденте должно быть внятным, любая фраза — ясной, точной и полной. Попытки скрыть отдельные моменты, сообщая ложную или неполную информацию, способны не только помешать принятию эффективных ответных мер, но и привести к ухудшению ситуации.

Меры, предпринимаемые для борьбы с нарушением, можно подразделить на основные категории:

  • сдерживание;
  • ликвидация;
  • восстановление;
  • анализ.

Цель сдерживания — ограничить атакуемую область. Например, как можно быстрее приостановить распространение червя в сети.

Когда задача сдерживания решена, можно приступать к ликвидации. В этом поможет программный инструментарий (в частности, антивирусные пакеты).

После ликвидации атаки наступает время восстановления, т. е. при­ведения системы в нормальное состояние.

Следует предпринять по крайней мере следующие действия:

  • произвести переучет системных активов, т. е. тщательно проверить состояние систем;
  • отразить уроки, извлеченные из инцидента, в пересмотренной программе обеспечения безопасности, чтобы не допустить повторения аналогичного нарушения;
  • произвести новый анализ риска с учетом полученной информации;
  • начать следствие против виновников инцидента, если это признано необходимым.

Устранить все уязвимые места, сделавшие возможным нарушение режима безопасности, непросто, но необходимо. Ключевым моментом здесь является понимание механизма вторжения.

При восстановлении, возможно, придется вернуться к начальному состоянию системы с последующей ее настройкой. Чтобы облегчить действия даже в таком, наихудшем, случае, целесообразно хранить записи о начальных установках и обо всех внесенных изменениях.

Анализ — одна из самых важных стадий реакции на инциденты, о которой, тем не менее, почти всегда забывают. Она важна потому, что позволяет всем причастным лицам извлечь поучительные уроки, чтобы в будущем в аналогичных ситуациях действовать эффективнее.

Требуется получить ответы по крайней мере на следующие вопросы:

  • Что именно и когда произошло?
  • Насколько хорошо сработал персонал?
  • Какая срочная информация понадобилась в первую очередь, и что способствовало ее скорейшему получению?
  • Что в следующий раз нужно делать по-другому?

После восстановления системы в ней нередко остаются уязвимости или даже ловушки. На фазе анализа система должна быть тщательно обследована, чтобы выявить проблемы, упущенные при восстановлении. В качестве отправной точки разумно воспользоваться программными средствами контроля защищенности.

Целесообразно документировать все детали, связанные с инцидентом: способы его обнаружения, процедуры исправления ситуации, процедуры мониторинга и усвоенные уроки. Детальное документирование в конечном итоге ведет к экономии времени, позволяет оценить размер нанесенного ущерба.





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.