 |
Информационная безопасность
|
|
|
|
Концентрация информации в компьютерах заставляет все больше усиливать контроль в целях зашиты информации. Юридически вопросы, частная тайна, национальная безопасность — все эти соображения требуют усиления внутреннего контроля в коммерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры), логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.
Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера, одновременно оставаясь на месте: ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.
Обеспечение безопасности информации — дорогое дело, не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.
Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности.
|
|
|
В связи с этим большую актуальность приобретает разработка- защищенных информационных технологий (ЗИТ), являющихся неотъемлемой компонентой современных систем обработки данных, информационных систем и ресурсов.
Информационная безопасность и защита информации
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности, на практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Отметим, что меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений. Большинство мер носят предупредительный характер. Оперативный анализ регистрационной информации и некоторые аспекты реакции на нарушения служат для обнаружения угроз.
Уровни обеспечения информационной безопасности
Проблемы обеспечения безопасности носят комплексный характер, включают необходимость сочетания законодательных, организационных и программно-технических мер.
Законодательная база отстает от потребностей практики. В США в 1987 г. был принят закон о компьютерной безопасности. Такого закона нет в странах СНГ.
Следующим после законодательного, можно назвать- управленческий (организационный) уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управленческий уровень, это выработать политику безопасности, которая задает общее направление работам в данной области и управленческие регуляторы безопасности. Имеются в виду способы подбора персонала, его обучения, обеспечения дисциплины. Сюда же относятся меры по физической защите помещений и оборудования и некоторые другие.
|
|
|
Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).
Ключевые механизмы безопасности программно-технического уровня:
• идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование.
Строго говоря, всем защитным мерам должен предшествовать анализ угроз. Информационная безопасность начинается не когда случилось первое нарушение, а когда идет формирование будущей компьютерной системы. Она начинается с составления спецификаций на приобретаемое оборудование и программное обеспечение.
Наиболее распространенные угрозы
Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защиты необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Отметим, что само понятие угроза в разных ситуациях трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью.
Возможные угрозы информационной безопасности:
1.Ошибки пользователей. Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы, например, неправильно введенные данные, ошибка в программе, вызвавшая крах системы. Утверждают, что 65 % потерь информации — следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль за правильностью совершаемых действий.
|
|
|
2. Кражи и подлоги. На втором месте по размерам ущерба располагаются кражи и подлоги. По данным газеты USA Today, в результате подобных противоправных действий с использованием персональных компьютеров американским организациям ежегодно наносится суммарный ущерб в размере не менее 1 млрд долларов. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Еще раз мы убеждаемся в том, что внутренняя угроза гораздо опаснее внешней.
Весьма опасны так называемые обиженные сотрудник и. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:
• повредить оборудование;
• встроить логическую бомбу, которая со временем разрушит программы и/или данные;
• ввести неверные данные;
• удалить данные;
• изменить данные и т. д.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.
3.Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь следует выделить нарушения инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия, - пожары, наводнения, землетрясения, ураганы. По известны данным, на долю огня, воды и аналогичных «врагов» (среди которых самый опасный — низкое качество электропитания и его перебои) приходится 13 % потерь, нанесенных информационным системам.
|
|
|
4. Хакеры. Много говорят и пишут о хакерах, но исходящая о них угроза зачастую преувеличивается. Известно, что почти каждый Intemet-cepвep по нескольку раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров (в сравнении с другими угрозами) представляется не столь уж значительным. Вероятно, больше всего пугает непредсказуемость действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто посмотреть, нет ли чего интересного, приятного в этом мало.
5. Программные вирусы. Много говорят и пишут и о программных вирусах. Как показало проведенное исследование, несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных вирусами, не зафиксировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там, где работают, а не играют, число зараженных компьютеров составляет лишь доли процента. Справедливости ради отметим лишь, что вредный код поражает не только персональные компьютеры, но и системы других типов.
Первый шаг в анализе угроз — их идентификация. Анализируемые виды угроз следует максимально рассмотреть. Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы 'безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба можно оценить по некоторой шкале. Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие, как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможности корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.
|
|
|
Рассмотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.
Регулирование режима безопасности
Рассмотрим подробнее меры безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает первостепенного внимания. Сюда входят следующие вопросы:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реакция на нарушения режима безопасности;
• планирование восстановительных работ.
Управление персоналом начинается с приема нового сотрудника на работу и даже раньше — с составления описания должностных обязанностей.
Физическая защита. Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.
Известны следующие направления физической защиты:
• физическое управление доступом;
• противопожарные меры;
• защита поддерживающей инфраструктуры;
• защита от перехвата данных;
• защита мобильных систем.
Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т. п. Средства физического управления доступом известны давно — это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.
Противопожарные меры. Отметим лишь крайнюю желательность установки противопожарной сигнализации и автоматических средств пожаротушения.
Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, такие как анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, пытаться держать под контролем линии связи (например, заключать их в надувную оболочку с обнаружением прокалывания) и разместиться в тихом особняке, поодаль от других домов.
Мобильные и портативные компьютеры — заманчивый объект кражи. Их довольно часто оставляют без присмотра, в автомобиле или на работе, и унести и спрятать такой компьютер весьма несложно. Следует настоятельно рекомендовать шифрование данных на жестких дисках ноутбуков и лэптопов.
Поддержание работоспособности включает в себя рутинные действия, направленные на поддержание компьютерных систем'; и имеющие отношение к информационной безопасности. Как ни странно, именно здесь таится наибольшая опасность. Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных; «в лучшем случае» создаются слабости, облегчающие реализацию угроз.
Недооценка факторов безопасности в повседневной работе - ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, -конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.
Можно выделить следующие направления повседневной деятельности:
• поддержка пользователей;
• поддержка программного обеспечения;
• конфигурационное управление;
• резервное копирование;
• управление носителями;
• документирование;
• регламентные работы.
Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный «стол справок», чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью.
Поддержка программного обеспечения — одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанавливать программы по своему усмотрению, это чревато заражением- вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компьютер, подключенный к сети Ethernet, можно установить программный сетевой анализатор, позволяющую отслеживать весь сетевой трафик. Обладатель такой программы может довольно быстро «выловить» пароли других пользователей и системных администраторов, получив тем самым по существу неограниченный доступ к сетевым ресурсам.
Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей версии. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии. Лучший способ уменьшить количество ошибок в рутинной работе — в максимальной степени автоматизировать ее. Хорошим примером являются развитые средства конфигурационного управления, когда одним нажатием можно вызвать внесение или откат сотен согласованных изменений.
Резервное копирование необходимо для восстановления программ и данных после аварий. Здесь также целесообразно автоматизировать работу, как минимум сформировав компьютерное расписание выполнения копий, а как максимум воспользовавшись безлюдной технологией фирмы Hewlett-Packard. Нужно также наладить размещение копий в безопасном месте, защищенном от пожаров и иных угроз. К резервному копированию следует относиться как к осознанной необходимости — стоит хоть на день отступить от расписания и неприятности не заставят себя ждать.
Управление носителями служит для обеспечения физической защиты и учета дискет, CD, лент, печатных выдач и т. п. Управление носителями должно обеспечить конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл дискет и лент — от закупки до выведения из эксплуатации.
К управлению носителями можно отнести и контроль потоков данных, выдаваемых на печать. Здесь поучительно отметить необходимость сочетания различных механизмов информационной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но только меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.
Документирование — неотъемлемая часть информационной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета дискет. Важно, чтобы документация была актуальной, отражала текущее, а' не прошлое состояние дел, причем отражала в непротиворечивом виде. Здесь необходим правильный технологический подход, когда документы печатаются и сшиваются способом, облегчающим внесение изменений.
Основные программно-технические меры
|
|
|
