Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   2   3   4   5   6   7   8   9   ...   14
^

ГЛАВА 3. ОСНОВНЫЕ ПОНЯТИЯ И ОБЩЕМЕТОДОЛОГИЧЕСКИЕ ПРИНЦИПЫ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ




3.1. Управление и защита информации
в информационно-телекоммуникационных сетях



В этой главе обсуждаются основные причины, касающиеся безопасности информации в сети. Эти основы полезны, с точки зрения руководства предприятия, для выделения соответствующих ресурсов в области безопасности, как указано в следующих главах. Эффективная система защиты производственных операций в большой степени зависит от точки зрения руководства на вопросы безопасности информации в сети. Производственные отношения, вне всякого сомнения, требуют обеспечения безопасности. В этом плане подход руководства может быть очень полезным руководителю по безопасности или системному инженеру, работающему в области безопасности сетей, по ряду причин, включая следующие:

  • развитие политики предприятия в области безопасности сетевой информации требует компетентного охвата этой проблемы;

  • подтверждение ресурсов, направляемых на защиту сети, перед руководством предприятия требует тщательного обоснования. В этом отношении полезна развиваемая здесь концепция качества информации.

Некоторые руководители, возможно, не воспринимают безопасность, как важный интегральный элемент процесса деловых операций. Но они, безусловно, знают, что качественная информация абсолютно необходима для эффективного управления в условиях конкуренции. Качество может быть гарантированным только при соответствующем уровне защищенности. А защита может быть эффективной только как часть общей информационной программы.

Многие руководители знают, что информация требует защиты. Однако немногие продумали процесс принятия решений, который необходим для подтверждения затрат на информационную безопасность. Далее будут специфицированы требования для работы сложной сети, предназначенной для производственных операций. Отправным пунктом для выполнения таких мер защиты должна быть поддержка со стороны руководства требований по безопасности производственных операций. В этой главе с самого начала рассматривается тщательно спланированный процесс, результатом которого является решение в пользу обеспечения безопасности производственной информации в сети.

^

3.2. Контроль качества информации



В сегодняшних условиях конкуренции в производственной сфере, которая определяется правильной и своевременной информацией, необходима уверенность в качестве информации, обрабатываемой компьютером и получаемой по сети. Качество информации должно быть основной заботой каждого руководителя, ответственного за развитие прикладных программ, обеспечение служб обработки информации или управление сетями, и каждого сотрудника на сетевом рабочем месте.

Качественная производственная информация обладает некоторыми характеристиками. К ним относятся целостность, надежность и конфиденциальность.

Понятие целостности означает, что информация имеет точность до степени, ожидаемой пользователем, является законченной и свободна от неавторизованных изменений. Отметим, что информация не свободна от ошибок на все 100%, но качество информации оправдывает ожидания пользователя. Целостность подразумевает, что информация защищена от халатного обращения или преднамеренного неавторизованного изменения, что она не обрабатывается с помощью ненадежных программ, и что данные контролируются на разных этапах обработки. Такие проверки включают нумерацию пакетов, посылку подтверждений, проверку достоверности, общий контроль и меры обеспечения безопасности.

Понятие надежности означает, что информация получена авторизованными пользователями, в нужном месте и в нужное время; что она свободна от несанкционированного изменения, разрушения или копирования. В случае сети это предполагает реальное управление на всех уровнях; при невозможности прохождения некоторых участков система управления должна быть в состоянии заменить или обойти соответствующий узел или линию связи. Инфраструктура сети, линии связи, центральные компьютеры или периферийные рабочие станции должны быть защищены от физического или логического нападения, которое может воздействовать на качество информации или прекратить ее использование предприятием. Надежность также означает, что файлы пользователей сети и центральные базы данных периодически реплицируются для предотвращения необратимой потери данных. Основные производственные процессы должны быть обратимыми на случай ошибок обработки или передачи с помощью запланированных процедур восстановления системы.

Понятие конфиденциальности означает уверенность в том, что данные во всех формах (письменной, электронной, ментальной) защищены от похищения или неавторизованного наблюдения. В сетях это означает защиту от проникновения в контролируемые сетевые устройства, файлы и контуры. Для вычислительных сетей степень уязвимости является высокой, поскольку каждая рабочая станция, серверы и кабельная структура могут рассматриваться как потенциальные мишени для неавторизованного наблюдения за данными. Конфиденциальность также означает, что для защиты ценной информации используется шифрование при ее прохождении по линиям связи, которые напрямую не контролируются обладателем информации. Для важной информации, проходящей через межсетевые соединения, шифрование является важнейшим производственным требованием.

Качество информации достигается с помощью тщательно разработанной системы действий руководства. Она охватывает полный цикл получения, обработки и использования информации, от первоначального сбора до прекращения использования. Безопасность лишь одно из ряда управляющих действий, относящихся к качеству информации. Меры безопасности логически вытекают из принятых решений руководства по качеству информации. Вот действия, которые совместно образуют элементы качества информации:

  • управление производственной информацией, как важнейшим ресурсом;

  • качественное проектирование системы для обеспечения эффективных информационных процессов;

  • эффективное руководство и контроль обработки и передачи информации;

  • защита информации в системах обработки и передачи данных.

Далее эти элементы обсуждаются более подробно.

^

3.3. Управление информационными ресурсами



Управление производственными информационными ресурсами означает, что руководство предприятия признает, что информация является важнейшим ресурсом и предпринимает соответствующие действия по управлению ею. Оно включает:

– определение производственной информационной базы через элементы данных, существенные для производственного процесса;

– оценку или классификацию производственных данных для того, чтобы позволить предпринять соответствующие меры защиты.

Ответственность по управлению информацией логически следует из признания того, что информация является важным и дорогостоящим средством производства. При этом большое значение имеет удобная организационная структура и определение ответственности на разных уровнях с помощью хорошо разработанных и опубликованных директив.

Нельзя правильным образом начать процесс оценки и контроля без соответствующих распоряжений: требуется большое количество очень важных решений и достаточно большой объем ресурсов для существенного решения задачи. Таким образом, в первую очередь необходимо обсудить с руководством предприятия вопросы доступа к обработке и передаче информации.

Многие важные производственные ресурсы давно управляются соответствующим образом. Они контролируются руководителями по работе с кадрами, материалами, главным бухгалтером. Напротив, информация, которая сегодня общепризнанно является наиболее важным производственным ресурсом, часто остается без присмотра. Ограниченное число передовых организаций имеют в своем штате информационных руководителей высокого уровня (возможно, начальников информационных отделов), но иногда эта позиция даже не упоминается среди работ, сосредоточенных в основном на управлении компьютерным оборудованием и разработкой приложений. Можно провести аналогию с ювелирным магазином, в котором директор занят футлярами для драгоценностей и не обращает внимания на ценность самих камней. Признание важности информации и назначение руководителей высокого уровня для надзора за ее использованием является предварительными условием для управления информацией.

Можно спросить: «Какое отношение это имеет к защите информации в сетях?». Ответ заключается в том, что, в данном случае, охраняется информация, а не сама сеть, и, скорее всего, нельзя защитить всю информацию. Вначале следует установить, какие производственные данные имеют важное значение. А затем сознательно направить ограниченные ресурсы для их защиты. Следует также убедиться, что защищена информация в письменной форме, обычно получаемая на выходе сети. Руководство информацией создает основу для хорошего выполнения этих задач.

Руководство информацией устанавливает структуру для защиты производства с помощью введения соответствующего уровня качества информации.

^

3.3.1. Составляющие информационной базы



Перед началом своей работы заведующий складом должен знать, какие материалы находятся в складе, и сколько стоит каждый из них? Аналогично, управление информацией предполагает, что известен объем информации, требуемый для управления производством. Невозможно, фактически, подробно перечислить информационные объекты, но можно назвать основные элементы информации, необходимые для производственных операций. Элемент информации представляет собой основную часть информации. Он может появляться в разных местах в ментальной, письменной или электронной форме.

Основной элемент информации имеет следующие свойства:

  • является существенным для производства;

  • создается первичной производственной функцией;

  • может находиться в разнообразных сочетаниях с другой информацией.

Примерами основных элементов информации являются:

  • имя сотрудника (функция работы с персоналом, согласно штатному расписанию);

  • имя поставщика (функция отдела маркетинга, согласно ведомости по кредитованию);

  • название продукта (функция проектирования и разработки, согласно перечню выпускаемой продукции);

  • полученные счета (учетная функция, согласно бухгалтерской книге).

Список всех основных элементов информации, существенных для производства, указывает на те элементы информации, которые являются объектами управления и контроля. Решение о том, будет или нет предприятие управлять соответствующим элементом информации, зависит от его значения. Конечно, в случае создания новых элементов информации или использования уже существующих в отчетах и служебных записках, руководитель, посылающий документ, должен предпринять необходимые действия, для того, чтобы эти элементы информации имели соответствующее значение, что позволило бы, при необходимости, контролировать их надлежащим образом.

Организованная информационная база позволяет получать важные преимущества для информационных систем. Запросы на информацию постоянно возрастают с увеличением количества людей, желающих получать информацию с помощью персональных компьютеров и сетей. Почти невозможно предвидеть требования на доступ к центральным базам данных, а также приложения, с помощью которых будет обработана полученная информация. Следовательно, важно, чтобы элементы информации были отделены от производственных приложений и находились в форме, позволяющей легко их использовать для разных приложений и целей.

Цена, которую платят за хранение избыточных элементов информации в некоторых приложениях, давно уже стала проблемой. Администраторов баз данных больше волнует проблема целостности и непротиворечивости данных при получении их из централизованных баз и направлении в системы поддержки принятия решений, информационные центры и системы руководства. На самом же деле, согласно рассмотренным определениям, следует беспокоиться о качестве данных в каждом случае их использования, и об их соответствии реалиям производства. Эффективное руководство информацией решает эту проблему, контролируя информационные ресурсы. Кроме того, хорошее управление может сделать более эффективным проектирование информационных систем. В большинстве производственных операций необходимо также следить за старением информации.

^

3.3.2. Элементы информации, требующие защиты



Интуитивно ясно, что информация, такая как ведомости по зарплате, предложения поставщиков и списки потребителей, имеет ценность и требует определенной конфиденциальности. Из опыта и на основе здравого смысла известно, что имеются данные, которые разумные люди не хотели бы раскрывать. Можно также сделать интуитивные предположения об информации, которая имеет значение для конкуренции. Однако для руководства решения относительно ценности информации следует принимать на основе более формальной модели.

Эта модель ценности основана на двух критериях:

  1. Какой вред производственным операциям будет нанесен, если информация окажется известной лицам, неавторизованным для ее получения?

  2. Какой вред производственным операциям будет нанесен, если информация окажется недоступной или недостаточно целостной?

Перед тем, как оценить наши основные элементы информации в предлагаемой модели, следует установить оценку или схему классификации. А именно, для принятия решения не желательно, чтобы в качестве результата получалось, что данная часть информации является «наиболее ценной» или «наименее ценной». Более удобно иметь набор классификационных имен, поддержанных точными определениями, которые будут показывать всем сотрудникам шкалу ценности элементов информации, и, следовательно, количество усилий, необходимых для контроля за каждым элементом. Классификация информации устанавливает базис для всей деятельности в области информационной безопасности.

Модель значений может быть развита далее, для того чтобы сделать классификацию более конкретной. В этом поможет определение субъективной и объективной ценности информации.

Какой ущерб для производства будет нанесен из-за самой информации, если она окажется раскрытой, поврежденной или недоступной? Это – субъективная ценность. Например, раскрытие или уничтожение перечня потребителей или производственных спецификаций может означать для предприятия затруднение или потерю части рынка, или утрату стратегического преимущества. Здесь ущерб возникает из качеств, присущих самой информации.

Какой ущерб для производства будет нанесен вследствие внешних причин, если информация окажется недоступной или с ненадлежащей целостностью? Это – объективный критерий, зависящий от событий или спецификаций вне самой информации. Например, если финансовые документы, которые по закону должны храниться в течение ряда лет, окажутся утраченными, предприятие может подвергнуться преследованию по закону.

Отдельные элементы информации согласно этой модели попадают в обе категории. Например, ведомости по персоналу, в которых указаны суммы компенсации сотрудникам, имеют субъективную и объективную ценность.

^

3.3.3. Классификационная политика в области информации



Классификационная политика должна указать классификационные имена и критерии для информации, так чтобы решения по ценности информации (согласно списку основных элементов информации) были свободными от противоречий и достаточно строгими. Далее предлагаются соответствующие спецификации. Замечание: метки конфиденциальности, используемые здесь, приводятся только в качестве примеров; другие, используемые на предприятиях, включают «Ограничено производственной сферой», «Для регистрации», «Приватно». Не следует применять грифы государственной классификации, такие как «Секретно», «Особой важности» и т.п.

Определения классификаций, приведенные здесь, являются краткими и приняты только в качестве иллюстрации. Руководство предприятия, несомненно, должно разработать более полные и всеобъемлющие описания для эффективной деятельности в области классификации.

Однократно разработанный список элементов информации создает основу для принятия решений по информационной безопасности. Некоторые элементы (особенно, имеющие метку высокой степени защиты) потребуют интенсивных усилий со стороны руководства. Другие, согласно списку базовых элементов информации, будут требовать средних усилий по безопасности; иные могут вообще не засекречиваться, ограничиваясь периодическим напоминанием сотрудникам о том, что «вся информация предприятия является приватной для предприятия».

Таблица 1
Пример классификационной политики в области информации





^ Метка конфиденциальности

Субъективные

классификации

Для служебного пользования

Конфиденциальная

Персональная

Определение

Раскрытие может нанести в перспективе ущерб экономике предприятия

Раскрытие может нанести серьезный ущерб экономике предприятия

Раскрытие может негативно повлиять на сотрудников или претендентов на должность

Объективные

классификации

^ На хранении

На текущем контроле

Определение

Ненадлежащее качество может привести в перспективе к серьезным правовым или экономическим последствиям

Ненадлежащее качество может оказать влияние на производственную сферу


^

3.3.4. Организация и ответственность в области управления
информацией



Концептуально, управление информацией есть важная повсеместная программа внутри предприятия, контролируемая на высших уровнях руководства. Однако на практике программы обычно начинают с более ограниченных усилий. Части программы управления информацией могут быть восприняты и приспособлены к конкретной производственной ситуации. Необходимо следовать важнейшему правилу:

Элемент информации должен быть защищен во всех своих формах, постоянно и на любом месте. Иначе усилия напрасны.

В целом, организация должна иметь три уровня. Отношения отчетности не важны на данном этапе обсуждения; значение имеют только функции.

Высший уровень – руководитель по информации определяет структуру основных элементов информации для производства; определяет схему классификации информации; идентифицирует для каждого элемента информации его обладателя, который производит засекречивание и принимает решения относительно авторизованного доступа; выполняет исполнительный контроль над информационным ресурсом производства.

Средний уровень – администратор данных устанавливает структуру административного контроля по управлению основной информационной базой; через администратора баз данных фиксирует оптимальное размещение данных на центральных базах данных (чему может способствовать публикация словаря данных, который описывает создание элементов данных и стандартные процессы их получения из баз данных).

Администратор безопасности устанавливает требования по защите информации, применимые для предписанных классификаций информации; консультирует технических работников информационных систем по методам безопасности и отдельным элементам в объеме всей информационной системы предприятия, включая сети; участвует в планировании процессов для сетей и систем.

Низший уровень – специалист по информационной безопасности выполняет меры защиты, требуемые для аппаратных и программных средств. Эта функция может быть реализована в рамках вычислительного центра, в функциональных подразделениях или совместно.

^

3.3.5. Меры безопасности, поддерживающие управление информацией



Политика руководства – это краткое утверждение установленных требований и целей управления. Она требует тщательной мотивировки и изложения, так как должна быть стабильной, длительной директивой, которая в сжатом виде направляет указания руководства по тому, что следует делать. Образец приводится далее. Детали применения (как выполнить все это) публикуются в стандартных положениях, для краткости, стандартах. Стандарты доносят политику руководства до всех подчиненных. Убедительное, эффективное и согласованное применение политики руководства достигается с помощью опубликования и поддержки текущих положений по информационной безопасности.

Основу функций по организации управления информацией формируют директивы по безопасности. Реальная защита зависит от индивидуальных сотрудников на рабочих местах, которые получили расширенный доступ к ценным производственным информационным ресурсам. В главе 6 обсуждается подготовка и мотивация сотрудников по выполнению правил информационной безопасности.

^

3.3.6. Пример руководящих указаний по информационной безопасности



Политика представляет собой фундамент любого усилия по защите информации. Для того чтобы позволить обращаться к ней в течение длительного периода, она должна быть опубликована в определенной форме, например, в сборнике стандартов предприятия. Можно сопоставить следующие указания с программными требованиями, которые только что обсуждались.
Введение

Защита производственной информации предприятия является важнейшей задачей для дальнейшего роста и эффективной конкуренции.

Определенная производственная и техническая информация классифицируется как «Для служебного пользования», «Конфиденциальная» или «Персональная». В каждом случае такая информация должна иметь соответствующую метку. Эта информация должна защищаться от распространения и утечки на основе четкого представления о ее значении, избегания неосторожных бесед, практики чистых столов, ограничения раскрытия для внешних сторон и избегания широкого распространения внутри предприятия. Публикация в СМИ, сводки финансовой информации и комментарии по юридическим вопросам подпадают под приведенные ограничения.

Техническая информация и информация по новой продукции подвергается дополнительным ограничениям, наиболее важное из которых – предварительное одобрение руководства для ее опубликования.

Безопасность электронной информации вследствие уникальных операционных характеристик и присущего ей внутреннего риска требует дополнительных мер. Они подробно раскрываются в «Положении по сетевой безопасности».
Политика

Данная политика устанавливает ответственность штата предприятия по безопасности, вертикали руководства и координаторов по безопасности. Подробная информация приводится в стандартах по безопасности, которые публикуются отдельно. Областью применения являются все операции предприятия.

  1. Адекватные средства будут использованы для защиты следующей информации:

  • производственной и технической информации, являющейся собственностью предприятия;

  • персональных данных, касающихся претендентов, сотрудников и бывших сотрудников;

  • принадлежащей предприятию информации о поставщиках по контрактным соглашениям.

  1. Операции предприятия:

  • Развитие организации по применению политики в области безопасности.

  • Разработка, опубликование и применение планов по информационной безопасности с целью достижения точного соблюдения политики.

  • Предложение руководящих указаний, стандартов и процедур, необходимых для выполнения локальных требований и юридических норм.

  • Получение обзоров, а также полных и согласованных планов по выполнению мер информационной безопасности от штата предприятия по вопросам безопасности.

  • Проведение оперативных обзоров в подразделениях по согласованию.

  • Распознавание и исправление проблемных ситуаций.

  • Сообщение о значительных изъянах и компрометациях в области информационной безопасности в отдел безопасности предприятия.

  • следить за применением правил и программ по информационной безопасности.

  1. Координаторы по безопасности:

  • полностью владеют политикой и руководствами по безопасности;

  • консультируют руководителей подразделений по вопросам безопасности;

  • выполняют задачи и программы, предлагаемые в «Руководстве координатора по безопасности» и при необходимости другие специальные поручения.

4. Список публикаций предприятия по информационной безопасности:

  • Руководящие указания и стандарты предприятия.

  • Руководство координатора по безопасности.

  • Руководство для персонала.

  • Сборник указаний по работе с информацией.

  • Справочник по безопасности предприятия (стандарты).



^

3.4. Качественное проектирование системы



Руководители и сотрудники обязаны:

  • гарантировать приверженность данной политике и вспомогательным процедурам;

  • обеспечивать безопасность материалов, классифицированных предприятием, в согласии с установленными указаниями и процедурами;

  • гарантировать, что вся совокупность директив и стандартов по безопасности будет доведена до сведения сотрудников и персонала, работающего временно или по контракту;

  • назначать в необходимых случаях координаторов по безопасности;

Проектирование системы должно включать в себя как автоматизированные, так и ручные процессы. Спонсор функционального приложения (или обладатель данных) должен определить ценность или схему классификации обрабатываемой информации. Затем системный аналитик должен обеспечить контроль, соответствующий прикладной задаче (т.е. когда, где и каким образом должна использоваться эта информация) и ценности данных. Средства контроля должны обеспечивать эффективную целостность и точность при переходе от процесса к процессу, контрольные проверки и средства оперативного наблюдения и управления. Проектирование системы, как в автоматизированном, так и в ручном режиме, должно давать уверенность, что вышеупомянутые характеристики качества информации поддерживаются по всему циклу ее обработки.

В современной производственной среде, где сети, обычно, представляют интегральную часть в большинстве приложений, планы по безопасности должны охватывать все уязвимые участки, включая риск, возникающий при передаче по линиям связи. В локальных или индивидуально спроектированных системах разработчик должен учитывать возможные угрозы качеству данных из-за неправильной адресации (например, использование списков рассылки, которые могут быть ошибочными) или плохого процесса сбора информации; от использования недоброкачественного программного обеспечения, которое может содержать случайные или преднамеренные погрешности; и от ошибок проектирования, которые могут компрометировать достоверность информации относительно планируемых целей управления (например, два человека могут написать программы, которые дают корректные, но разные ответы на одном и том же множестве данных).

Проектировщики систем должны понимать значение качества информации; исходя из этого, они должны знать ценность информации и вытекающие из нее требования для предприятия, для конкретного приложения, для сети и для конечных пользователей.

^

3.5. Эффективное управление и контроль



Оперативное управление включает заботу о подборе, обучении и мотивации сотрудников; тщательное проектирование, испытание и внедрение приложений и сетевых систем; эффективное наблюдение за сбором информации, ее обработкой на вычислительном центре и на рабочем месте и за сетевыми операциями (как локальными, для ЛВС, так и более широкими), включая арендуемые сети; эффективное наблюдение за использованием сотрудниками сетевых рабочих станций; удаление устаревшей или не относящейся к делу информации, часть которой может быть локализована в электронных файлах (возможно, на файл-серверах) и оказаться недоступной для обычных процедур по контролю за хранимыми записями. На большинстве предприятий не учитывают потенциальные проблемы, обусловленные файловым хранением больших объемов производственной информации, с присущей ему стоимостью и возможным риском раскрытия.

Оперативный контроль включает ряд важных мер, таких как ясную политику и указания руководства в области информации, систематизацию работы, проверку новых или модернизированных систем относительно принятых положений по работе в системах или сетевой среде, правильные указания и мотивировку со стороны опытного персонала во всех рабочих ситуациях и периодическую объективную ревизию. При использовании сетевых рабочих станций руководство не может постоянно считать достаточными контрольные требования. Производственные отношения требуют систематического наблюдения за информированными сотрудниками, которые могут создавать или обрабатывать информацию в различное время и в разных местах. Некоторые сотрудники, использующие сетевой доступ к информации, являются профессионалами. Другие – просто регулярно выполняют рутинные операции, требующие поверхностного надзора. Необходимы постоянные усилия по обучению и мотивации сотрудников. Эффективный контроль обеспечивается только в случае, когда сотрудник убежден в необходимости следовать практике предприятия и считает, что это, в каком-то смысле, в его интересах. Средства мотивации рассмотрены в главе 7.

^

3.6. Сети и безопасность рабочих станций



Для поддержания качества информации в случае индивидуальной работы сотрудников на сетевых устройствах необходимы дополнительные меры. Меры безопасности должны соответствовать ценности информации или классификационной схеме и учитывать конкретную ситуацию, в которой информация обрабатывается, передается или используется. Меры безопасности состоят из одного и более элементов безопасности.

Элементы безопасности разделяются на три уровня или группы: физические, организационно-правовые и технические. Для правильного обеспечения сетевой информационной безопасности следует сочетать элементы из всех групп. Успешное проектирование меры безопасности в данной сетевой ситуации сведет до минимума реальное или предполагаемое вмешательство или осложнение для производственной операции. Целью является решение вопроса по сетевой безопасности, с возможной практической и экономической точки зрения согласующееся с мерами безопасности для соответствующего грифа секретности, наложенного на информацию в письменной форме. Безопасность должна рассматриваться по всему циклу проектирования, внедрения и функционирования сетевой системы. Для каждой операции системы должна быть разработана подходящая мера безопасности, использующая наилучшую возможную комбинацию элементов безопасности, соответствующих производственной среде.
^

Контрольные вопросы





  1. Поясните, почему руководитель предприятия должен принять обязательства по управлению информационным ресурсом предприятия?

  2. Почему цели и обязательства в области управления информацией должны определяться в отдельном документе, таком как политика предприятия?

  3. Каким образом руководство предприятия может определить основную информационную базу и установить ценность элементов информации?

  4. Что собой представляет классификационная политика на предприятии?

  5. Как распространяются на предприятии основы безопасной работы с информацией?

  6. Что собой представляет общий порядок работы с конфиденциальной информацией на предприятии?

  7. Почему необходимо назначить руководителей, ответственных за выполнение мер безопасности?

  8. В чем преимущество концепции владельца информации для каждого важного информационного объекта?

  9. Кто должен принимать решения по классификации информации?

  10. Как должна классифицироваться новая информация или новое сочетание существующих данных предприятия?

  11. Что собой представляет контроль важных элементов информации по всему циклу их обработки?

  12. Как должны выполняться операции в случае форс-мажорных обстоятельств, повредивших инфраструктуру обработки данных или устройства их хранения?

  13. Закончив учебное заведение, вы получаете место директора университетского компьютерного центра, который базируется на большом сервере локальной сети с операционной системой UNIX. Внезапно поступает сообщение о том, что какие-то студенты обнаружили алгоритм, которым шифруются пароли, и поместили его в Интернет. Какие будут ваши действия?

  14. Должен ли руководитель по безопасности нести ответственность за безопасность информации в любых формах или только за безопасность компьютерной информации?

  15. Доверенное ПО системы поддерживает мандатный контроль и управление доступом. Необходимо разработать программу – драйвер принтера. Объясните причины, по которым данная программа должна быть доверенным процессом.
^

ГЛАВА 4. МЕХАНИЗМЫ РЕАЛИЗАЦИИ БЕЗОПАСНОСТИ




4.1. Источники угроз информационной безопасности



Конечно, политика, разработанная одним человеком, служит в качестве механизма для другого человека. Неформальная политика доступа из предыдущей главы должна быть значительно переработана прежде, чем она может быть предписана компьютерной системе. Должны быть точно описаны как массив конфиденциальной информации, так и множество должным образом авторизованных сотрудников. Можно рассмотреть такие описания как более детальную политику, или как реализацию неформальной политики.

Фактически, реализация защиты имеет две части: код и настройку (setup). Код – это программы в доверенной вычислительной базе (в комплексе средств защиты). Настройка – это все данные, которые управляют операциями этих программ: списки контроля доступа, членства группы, пользовательские пароли, ключи шифрования, и т.д.

Задача реализации защиты должна защитить против уязвимостей. Они встречаются в трех основных формах:

  1. Плохие (ошибочные или враждебные) программы.

  2. Плохие (небрежные или враждебные) агенты – программы или пользователи, которые дают плохие команды хорошим, но легковерным программам.

  3. Плохие агенты, подключающиеся к коммуникациям, или заполняющие их своими сообщениями.

Случай (2) может каскадироваться, давая несколько уровней легковерных агентов. Ясно, что агенты, которые могли бы получить команды от плохих агентов, должны быть благоразумными, или даже придирчивыми, но не легковерными.

В общем случае имеются четыре стратегии защиты:

    1. Никого не впускать. Это – полная изоляция. Она обеспечивает лучшую защиту, но препятствует использованию информации или услуг от других, и передаче их другим. Это непрактично для всех, за исключением, может быть, очень малого числа приложений.

    2. Не впускать нарушителей. Программам внутри этой защиты можно позволить быть легковерными. Это позволяют сделать электронные цифровые подписи программ и межсетевые экраны (МЭ).

    3. Впустить нарушителей, но воспрепятствовать им в причинении вреда. Традиционным способом служит динамическое ПО типа sandboxing на основе процессов операционной системы, или в современном виде, в виртуальной машине Java. Динамическое ПО типа sandboxing создает в компьютере защищенное пространство (sandbox), в котором может выполняться подозрительный код, и в типичном случае использует контроль доступа к ресурсам, чтобы определить нарушения. Программы, доступные из указанного защищенного пространства, должны иметь повышенную стойкость; трудно написать их правильно.

    4. Захватить нарушителей и преследовать их. Это делают аудит и силовые структуры.

Дискреционная модель управления доступом обеспечивает структуру для этих стратегий. В этой модели диспетчер доступа управляет доступом запросов на обслуживание к ресурсам, которые обычно инкапсулированы в объектах, по следующей схеме: принципал (источник запроса) → запрашиваемая операция → диспетчер доступа (сторож) → объект (ресурс).

Работа диспетчера доступа заключается в том, чтобы решить: может ли источник запроса, называемый принципалом, получить доступ к объекту. Чтобы решить это, используют два вида информации: аутентификационная информация, которая идентифицирует принципала, сделавшего запрос, и авторизационная информация, которая говорит, кому разрешено сделать что-то на объекте.

Причина для того, чтобы отделить диспетчера доступа от объекта – сделать его простым. Если защита смешана с остальной частью реализации объекта, намного тяжелее быть уверенным в том, что она является корректной. Цена, заплаченная за это, состоит в том, что решения должны основываться только на принципале, методе объекта и, возможно, параметрах. Например, если необходимо, чтобы файловая система предписывала квоты (ограничения) по дисковой памяти только для новых пользователей, есть два способа сделать это в пределах этой модели:

    1. Иметь отдельные методы для того, чтобы писать с квотами и без, и не разрешать новым пользователям записывать без квот.

    2. Иметь отдельный объект «квота», который файловая система вызывает по запросу пользователя.

Конечно, защита все же зависит от объекта, который должен корректно осуществлять свои методы. Например, если файловый метод чтения read изменяет данные или метод записи write ошибается в выделении квоты, или любой из них касается данных в других файлах, то система не защищена, несмотря на сторожа.

Другая модель используется, когда конфиденциальность должна противостоять атакам со стороны плохих программ: модель управления информационными потоками. Эта модель мандатного доступа организована по следующей схеме: информация (источник) → диспетчер доступа (сторож) → принципал (сток). Она, грубо говоря, является противоположной дискреционной модели управления доступом; в ней сторож решает, может ли информация течь к аутентифицированному принципалу.

В каждой модели, существуют три основных механизма для осуществления защиты. Вместе, они формируют «золотой» стандарт:

  • Аутентификация принципалов, отвечает на вопрос: «Кто это сказал?» или «Кто получает данную информацию?». Обычно принципалы – это пользователи, но могут также быть группы, машины или программы.

  • Авторизация доступа, отвечает на вопрос, «Кому разрешено делать такие операции на этом объекте?»

  • Аудит решений диспетчера доступа, для того, чтобы позже можно было выяснить, что случилось и почему.



^

4.2. Сертификация: создание защищенной работы



Что означает сделать работу защищенной? Ответ основан на понятии комплекса средств защиты (КСЗ), набора аппаратных средств, программного обеспечения, и информации по настройке (setup), от которой зависит защита системы [4, с.33; 5, с.7]. Вот некоторые примеры для понимания этой мысли:

  • если политика безопасности для машин в сети такая, что они могут читать только веб-страницы, и не могут обращаться ни к какому другому сервису сети «Интернет», и внутренний доступ для внешних программ запрещен, тогда КСЗ представляет собой только межсетевой экран (аппаратные средства, программное обеспечение и настройка), который разрешает внешние подключения по протоколу TCP к порту 80, и не разрешает никакой другой трафик3; если политика также говорит, что не должно выполняться программное обеспечение, загруженное из сети «Интернет», тогда добавляется дополнительно программа браузера и его настройка, которая должна отключить Java и другие загрузчики программного обеспечения4;

  • если политика безопасности для системы Unix состоит в том, что пользователи могут читать системные каталоги, и читать и записывать свои домашние каталоги, тогда КСЗ, в первом приближении, включает аппаратные средства, ядро Unix, а также все программы, которые имеют разрешение на запись в системный каталог (включая те, которые выполняются с правами суперпользователя); это – довольно большой объем программного обеспечения, который также включает /etc/passwd и разрешения на системные и домашние каталоги.

Вообще говоря, не просто выяснить, что находится в КСЗ для данной политики защиты. Даже запись спецификаций компонент является трудной, как показывают приведенные примеры.

Чтобы защита работала совершенным образом, спецификации для всех компонент КСЗ должны быть достаточно серьезными, чтобы выполнять предписания политики, и каждый компонент должен удовлетворять своей спецификации. Этот уровень сертификации редко достигается. По существу, часто соглашаются на что-то намного более слабое, и соглашаются с тем, что как спецификации, так и реализация будут иметь слабости. В любом случае, должно быть ясно, что чем меньше размер КСЗ – тем лучше.

Хороший способ предотвращения вреда, который могут причинить дефекты в КСЗ – использовать защиту в глубину (эшелонированную оборону), т.е. избыточные механизмы защиты. Например, система могла бы включать:

  • сетевой уровень безопасности, используя МЭ;

  • уровень безопасности ОС, используя sandboxing, чтобы изолировать программы; это может быть сделано базовой ОС, такой как Windows XP или Unix, или высокоуровневой ОС, такой как виртуальная машина Java;

  • уровень безопасности приложения, который дополнительно проверяет авторизацию.

Идея заключается в том, что нарушителю будет сложно одновременно использовать слабости разных систем на всех уровнях. Эшелонированная оборона не дает строгих гарантий, но, в действительности, практически помогает.

Большинство обсуждений безопасности было сосредоточено на программном обеспечении (и иногда, на аппаратных средствах). Но другой важный компонент КСЗ – вся настройка или информация о конфигурации, кнопки и выключатели, которые говорят программному обеспечению, что сделать (setup). В большинстве систем, поставляемых сегодня, имеется много такой информации, как известно всем, кто выполнял настройку. Она включает:

– информацию о том, какое ПО установлено с системными привилегиями, а также какое ПО установлено с привилегиями пользователя; ПО включает не только наборы исполняемых файлов, но и все, что исполняется, например, сценарии оболочек (shell scripts) или макросы;

– базу данных пользователей, пароли (или другие идентификационные данные), привилегии, и членства группы; часто сервисы, подобные серверам SQL, имеют собственные пользовательские базы данных;

– сетевую информацию, такую как перечни доверенных машин;

– управление доступом на всех системных ресурсах: файлах, сервисах (особенно тех, которые отвечают на сетевые запросы), устройствах и т.д.

Хотя настройка намного более проста чем программа, она все еще является достаточно сложной, обычно делается менее квалифицированными людьми, чем разработчики программ, и в то время как программа написана однократно, настройка различна для каждой инсталляции. Поэтому следует ожидать, что она обычно неправильна, и много исследований подтверждают это ожидание. Проблема ухудшается тем, что настройка должна быть основана на документации для программного обеспечения, которая является обычно большой по объему, неясной и неполной, в лучшем случае5.

Единственное решение этой проблемы состоит в том, чтобы сделать часть настройки, отвечающую за безопасность, более простой как для администраторов, так и для пользователей. Не следует делать это, изменяя базовую ОС, по причинам того, что изменения там трудно выполнимы, и потому что некоторые пользователи будут настаивать на детальном управлении, которое обеспечивает настройка. Вместо этого, можно использовать в своих интересах это детализированное управление, используя его как «машинный язык». Необходимо задать модель безопасности с небольшим числом параметров настройки, и затем компилировать эти параметры в многочисленные кнопки и выключатели базовой системы.

Какую форму должна принять эта модель?

Пользователи нуждаются в очень простой модели, приблизительно с тремя уровнями защиты: я, моя группа или предприятие, и остальные, с прогрессивно убывающими полномочиями. Сегодня браузеры классифицируют сеть подобным образом. Персональная информация, конфиденциальные и открытые сведения должны быть в трех частях файловой системы: мои документы, документы моей группы и общие документы. Это комбинирует защиту данных с той частью файловой системы, где они хранятся; так же, как в реальном мире это сделано, например, с досками объявлений, папками, замкнутыми в столах и сейфами. Это знакомо, требует меньшей работы, при этом сразу очевидно, какова защита каждого элемента данных.

Все остальное должно быть обработано политиками безопасности (ПБ), которую должны предоставить поставщики или администраторы. В частности, ПБ должны классифицировать любые программы как доверенные или недоверенные, на базе того, каким образом они подписаны, если пользователь сознательно не отменит эти предписания явным образом. Недоверенные программы могут быть отклонены или ограничены (sandboxing); если они – ограничены, то должны работать в полностью изолированном пространстве состояний, с отдельным глобальным состоянием, таким как пользовательские и временные папки, журналы, веб-кэши и т.д. Не должно быть никакой связи с доверенными состояниями, кроме того случая, когда пользователь явно копирует что-то вручную. Это не удобно для пользователя, но все другое связано с опасностью.

Администраторы также нуждаются в довольно простой модели, но они нуждаются даже еще больше в возможности обработать много пользователей и систем однородным способом, так как они не могут эффективно иметь дело с большим количеством индивидуальных случаев. Одним из способов является определение, так называемых, низкоуровневых политик безопасности6 (НПБ), правил настройки безопасности, которые автоматически применяются к группам машин. Они включают следующее:

  • Каждый пользователь имеет право на чтение/запись в своей домашней папке на сервере, и никто более не имеет этот доступ.

  • Пользователь – обычно член одной из рабочих групп, который имеет доступ к групповым домашним папкам на всех машинах членов группы и на сервере.

  • Системные папки должны содержать наборы файлов, которые формируют версию ПО (релиз), одобренную поставщиком.

  • Все выполняемые программы должны быть подписаны полномочными сторонами.

Эти НПБ должны быть обычно небольшими изменениями шаблонов, которые обеспечили и проверили поставщики, так как для большинства администраторов трудно изобрести их на пустом месте. Должно быть простым отключение обратной совместимости со старыми приложениями и сетевыми узлами, т.к. они вызывают проблемы безопасности.

Некоторые пользователи будут настаивать на особых случаях. Это означает, что необходима информация о полезных особых случаях. Должно быть легким докладывать все отклонения от стандартной практики в системе, особенно изменения в программном обеспечении машины, и все изменения от предыдущего множества расширений. Сообщения должны быть краткими, т.к. длинные сообщения, возможно, будут игнорироваться.

Чтобы делать НПБ управляемыми, администраторам надо определять группы пользователей (иногда называемые «ролями») и группы ресурсов, на которые они претендуют, и затем кратко формулировать НПБ в терминах этих групп. В идеале, группы ресурсов отражены в структуре файловой системы, но должны быть и другие пути к их определению, чтобы принять во внимание причудливые соглашения по существующим сетям, ОС и приложениям.

Реализация НПБ обычно заключается в компиляции в существующие параметры настройки защиты. Это означает, что не нужно изменять существующие администраторы ресурсов, и позволяет реализовать мощные политики безопасности высокого уровня и эффективный контроль, так как компиляторы позволяют использовать мощные языки программирования и эффективную реализацию.

Разработчики нуждаются в безопасном типизированном языке, подобном языку Java; это устранит множество дефектов программ. К сожалению, большинство дефектов, которые повреждают защиту, находятся в системном программном обеспечении, которое, например, обеспечивает коммуникации с сетями, и нужно стремиться к тому, чтобы системные программы также записывались подобным образом.

Разработчики должны серьезно рассматривать вопросы защиты, оценивая дизайны, которые делают более простой сертификацию и дают возможность рассмотрения их программ профессионалами в области безопасности, которые должны препятствовать поставке ПО с серьезными недостатками защиты.

^

Контрольные вопросы





  1. В каких случаях процесс в системе является субъектом, а в каких – объектом?

  2. Чем обусловлен переход от концепции диспетчера доступа к концепции комплекса средств защиты (КСЗ)?

  3. Шифрование с секретным ключом более эффективно, чем шифрование с открытым ключом, но оно требует, чтобы отправитель и получатель заранее договорились об используемом ключе. Предположим, что отправитель и получатель никогда не встречались, но существует доверенная третья сторона, у которой есть общий секретный ключ с отправителем и другой общий секретный ключ с получателем. Как при таких обстоятельствах отправитель и получатель могут установить новый общий секретный ключ?

  4. Что собой представляют аутентификация, авторизация и аудит?

  5. Какой из целей политики безопасности соответствует аутентификация?

  6. Назовите три характеристики, которые должен иметь хороший биометрический индикатор, чтобы его можно было использовать для аутентификации при входе в систему.

  7. Дайте определение комплекса средств защиты (КСЗ).

  8. Покажите на примере преимущества защиты в глубину или эшелонированной обороны.

  9. Почему не следует упрощать часть настройки (setup), отвечающую за безопасность, с помощью изменения базовой операционной системы?

  10. Что предлагает модель безопасности с небольшим числом параметров настройки в отношении пользователей?

  11. Что предлагает вышеуказанная модель в отношении администраторов?

  12. Какие ограничения предлагает данная модель относительно разработки систем?
^

ГЛАВА 5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ СФЕРЫ ГОСУДАРСТВА
В УСЛОВИЯХ ИНФОРМАЦИОННОЙ ВОЙНЫ




5.1. Основные направления обеспечения информационной безопасности



Коммуникационные сети, связывающие компьютеры и рабочие станции, необходимы для получения максимальных преимуществ от инвестиций в компьютерные ресурсы. Однако сети требуют строгого информационного контроля и повышенной безопасности. Задача состоит в широком распространении информации между теми, кто нуждается в ней, с гарантией того, что информация сохраняет свойства надежности, целостности и конфиденциальности на достаточно высоком уровне.

За последние годы компьютер принес серьезные изменения в технологию работы с информацией в производственной среде. Большинство организаций имеет несколько больших компьютеров, часто расположенных на вычислительных центрах. Эти большие компьютеры, обеспечивающие работу с базами данных, связаны между собой с помощью одной или нескольких сетей, использующих те или другие доступные сетевые технологии. Центральные процессоры могут относиться к разным машинным архитектурам, приспособленным для оптимального выполнения конкретных приложений. Сети, связывающие эту смесь машин, имеющих разные операционные системы, позволяют отдельным сотрудникам совместно использовать данные из информационных банков данных и выполнять индивидуальные вычислительные процессы на персональных компьютерах или рабочих станциях. Кроме того, локальные вычислительные сети (ЛВС) объединяют рабочие станции и службы на производственных территориях, внутри зданий и в функциональных подразделениях.

Возможны сотни рабочих станций или персональных компьютеров, связанных друг с другом, а также с центральными процессорами и серверами ЛВС. Если рассматривать вопросы безопасности, то пользователь, соединившись с такой сетью, фактически становится администратором данных. Можно выделить данные, обработать их при помощи своих не тестированных прикладных программ и послать результат по любому сетевому адресу. С помощью персонального компьютера пользователь может изменить свои права доступа и преодолеть существующие процедуры локального контроля.

^

5.2. Отличия сети от вычислительного центра



Вид, разнообразие и серьезность проблем, с которыми встречаются при защите информации на сетевых микрокомпьютерах, заметно отличаются от того, с чем имеют дело на вычислительных центрах или при работе приложений в режиме разделения времени, где ряд терминальных устройств присоединен к центральной машине. Важные отличия с точки зрения безопасности показаны в табл. 2.
Таблица 2
Отличия сети от вычислительного центра с точки зрения безопасности


Объект

Вычислительный центр

Распределенная сеть

Среда

В пределах идентифицированной группы пользователей, работающих с приложением

Потенциально открыта через межсетевые соединения

Информационная база

Определена и контролируема

Не определена: средства контроля – у пользователя

Информационный поток

Двусторонний

Неограниченный

Физический контроль доступа

Зависит от физической

структуры банка данных

Относительно менее важен, поскольку данные распределены

Логический контроль доступа

Защищает файлы

Защищает файлы и целостность сети



В отличие от средств физического и логического контроля, сосредоточенных в одном месте, что типично для схемы безопасности вычислительного центра, сеть требует следующих мер информационной безопасности:

– контроль доступа ко всем информационным файлам, доступным по внутренней сети и по внешним сетям;

– контроль работы авторизованного сотрудника с файлом, с которым ему разрешено работать;

– контроль доступа к сетевому трафику;

– установление эффективных средств идентификации и аутентификации для каждого участника, будь то физическое лицо или логический объект, а также для каждого компонента сети;

– контроль доступа к сетевым ресурсам (включая центры регистрации и учета, коммуникационные контроллеры, входные устройства и различные серверы), физический и логический, как из центральных доменов, жестко связанных или напрямую подключенных устройств, так из удаленных пунктов, по телефону или через межсетевые соединения;

– контроль распространения информации с целью предотвращения ее несанкционированного распределения или утечки к неавторизованным сетевым станциям или пользователям.

К защищенным системам относятся такие аппаратные и программные средства, которые разработаны с учетом требований безопасности обработки информации, содержащихся в соответствующих государственных документах и обладают проверенными в ходе сертификационных испытаний ФСТЭК России защитными свойствами. Установлено девять классов защищенности автоматизированных систем от НСД, распределенных по трем группам.

В табл. 3 показаны возможные случаи риска, а также элементы безопасности, применяющиеся по отношению к каждому случаю. Другие вопросы безопасности отражены в таблицах 6-8 в приложении Б.

В модели сетевой безопасности связь между различными элементами безопасности выражается математически:
, (1)
где S – полная безопасность системы, P1 – физическая безопасность, P2 – персональная безопасность (доверие и сознательность), A – административный контроль, C1 – безопасность при передаче данных, C2 – безопасность компьютерной обработки данных. Каждый элемент может изменяться в интервале от 0 (потеря безопасности) до 1 (полная безопасность). Использование формул «нечеткой логики» для вычисления эффективности каждого элемента в производственной ситуации может обеспечить форму оценки риска для сети. Очень хорошая защита находится в интервале от 0,8 до 0,9, в то время как значение меньшее, чем 0,3, должно внушать тревогу. Такая оценка может оказаться полезной в этом случае.
Таблица 3
Угрозы безопасности и меры, применяемые в каждом случае


Риск

Применяемые элементы безопасности

Физические

Технические

Организационные

Неавторизованный доступ к информации на сетевых файлах

Защищенные файл-серверы

Система контроля доступа; шифрование входа в сеть

Процесс

авторизации

Прослушивание с помощью:

1) физического подключения;

2) регистрации уровня излучения

1)защищенные файл-серверы

2)экранирование

терминальных устройств

Шифрование





Работа с файлом:

1) неавторизованная;

2) авторизованная, но недостаточно




1) контроль доступа к файлу;

2) гранулированность контроля входа в сеть




Несанкционированное распределение информации




Программные ограничения, связанные с метками конфиденциальности

Административный контроль за использованием списков рассылки

Несанкционированное использование привилегированного доступа

Защищенные сетевые устройства

Гранулированность контроля входа в сеть.

Ограничение привилегий

Физическое нападение на сетевые компоненты

Защищенные сетевые устройства








^

5.3. Детали реализации




5.3.1. Контролируемый доступ к информационным системам



В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации» информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Контроль доступа к информационным файлам является центральной проблемой безопасности. Не следует всерьез надеяться, что все нежелательные или неавторизованные лица будут находиться за пределами инфраструктуры сети, хотя бы потому, что существует слишком много соединений с неконтролируемыми средами (такими как коммутаторы линий связи, другие сети и телефонные линии). Существенной мерой безопасности является детальный контроль пункта, где имеется информация. Контроль доступа к файлам означает, что система безопасности способна аутентифицировать пользователей, после чего определить, какие элементы информации каждый аутентифицированный пользователь авторизован получить. Такая система предполагает, что обладатель информации принял решение относительно ценности информации и способен указать, кто может видеть информацию или работать с ней. Здесь указано на то, что безопасность информации является частью общего процесса, называемого управление информационными ресурсами.

Доступ к файлам обычно контролируется через профиль пользователя, который описывает индивидуального пользователя в терминах прав, связанных с его работой. Когда пользователь подтверждает контролирующей системе требуемую идентичность, используя опознавательный знак (например, пароль или физический идентификатор, такой как отпечаток пальца или пластиковую карту), система определяет права доступа пользователя к информации, обращаясь к имеющейся таблице прав доступа. Вторым способом является обеспечение каждого пользователя паролем или другими средствами, позволяющими получить доступ к его файлу. Этот подход имеет ряд недостатков и редко используется за пределами персональных вычислительных систем, где отдельные лица могут иметь пароли для защиты личных файлов.

В настоящее время ряд аутентификационных систем, разработанных для сетевого применения, обеспечивает защищенный интерфейс для универсальных компьютеров. В них пользователь обычно имеет пластиковую карту или генератор сигнала, который подтверждает сигнал от подключаемого процессора на центральном узле. Такие системы позволяют координировать профиль пользователя на центральном процессоре с процессом индивидуальной сетевой аутентификации.

Порядок действий:

  1. Понимать процесс аутентификации пользователей, предлагаемый изготовителем ЛВС, используемой на предприятии; большинство систем безопасности позволяет иметь некоторую свободу применения. Выбрать метод, который наилучшим образом подходит к деятельности предприятия и ценности информации, но дает уверенность в наличии сетевого контроля.

  2. Требовать от каждого пользователя наличия уникального персонального идентификатора. Не позволять пользователям совместно использовать аутентификационные знаки ни при каких обстоятельствах. Помните, это важно для установления ответственности, если предприятие желает сохранять контроль над сетевыми ресурсами (см. ниже: установление эффективной идентификации и аутентификации).



^

5.3.2. Контролируемая активность на файловом уровне



После подключения пользователь может быть ограничен в своей деятельности. Эти ограничения связаны с той работой, которая разрешена пользователю. Например, инспектор отдела кадров может иметь доступ к ведомости по зарплате в определенном узле сети, но не может изменять значений выплат. Этот вид контроля основывается на правах, таких, как только чтение, перемещение, изменение и так далее, обычно устанавливаемых как часть файлового контроля и включаемых персональным идентификатором пользователя.

По сравнению с работой пользователя за одним компьютером, такие ограничения деятельности в среде ЛВС приобретают критическое значение, так как существует большая потенциальная возможность того, что неавторизованная сторона окажется способной найти путь к файлу.

Порядок действий:

  1. Убедиться, что владелец данных для каждого файла установил права деятельности каждого пользователя или класса пользователей, имеющих авторизованный доступ. Это особенно важно, если информация имеет большую ценность.

  2. Убедиться, что привилегии авторизованной деятельности соответствуют текущим производственным потребностям. Одним из способов является периодическое получение от владельца данных сигнала об окончании привилегий. Это следует делать, по меньшей мере, один раз в год для каждого файл-сервера ЛВС.



^

5.3.3. Контролируемая активность на уровне записей



Внутри файла, записанного на диске файл-сервера ЛВС, можно найти различные наборы записей. Запись – совокупность данных. Обычно записи хранятся как базы или документы. Базовая запись – документ, который связан с бумажным документом. Она может иметь одну или несколько страниц данных, размещаемых как текст, таблицы, графика или их комбинация. Один или большее количество документов могут быть сохранены в файле базы данных.

Для минимальных целей защиты следует ограничить доступ к секциям файла, подобно тому, как это делается в физическом процессе работы над письменным документом. Желательно, с учетом компьютерной мощности, чтобы можно было также определять разрешение при обращении к вложенным разделам и записям. Таким образом, логический носитель файлов мог бы быть открытым для общего доступа, но, устанавливая ограничения, основанные на аутентификации пользователя, можно было бы отвергать доступ к отдельным записям или документам. Во многих случаях это весьма желательно. Рассмотрим случай юридической фирмы или отдела кадров, где предполагается, что только специальные люди видят конкретные документы. Способность ограничивать доступ на уровне, более низком, чем файл – дополнительная защита.

^

5.3.4. Контролируемый доступ к сетевому трафику



Для очень важной или секретной информации, необходимо, чтобы случайные наблюдатели или подключающиеся нарушители не были бы способны наблюдать сетевой трафик. В некоторых случаях, информационная секретность может быть нарушена с помощью анализа сетевого трафика. Характер потока сообщений в сети может открыть объем производственных операций между отдельными пользователями, часы пиковой нагрузки, переводы платежей и т.д. без фактического знания содержания сообщений. Когда информация с высоким значением передается по сети, наблюдатель может получать важные данные, только контролируя трафик передачи.

В случаях, когда сетевой трафик должен быть защищен, шифрование является единственным эффективным средством защиты. ^ Шифрованная информация – поток данных, который кодируется посредством прохождения через сложный алгоритм, производящий неповторяющийся шифр. Шифрование обычно выполняется автоматически компьютерными аппаратными процессами. В некоторых случаях, шифрование может вызываться как поставляемая сервисная программа.

Сегодня ряд систем шифрования основан на алгоритме шифрования данных AES (Rijndael). Более перспективная методика для сетевых приложений - система шифрования с открытыми ключами. Криптосистема с открытым ключом использует свойства больших простых чисел, чтобы позволить каждому пользователю ввести ключ, затем расшифровать или декодировать входящие сообщения, используя второй, секретный ключ. Среди преимуществ такой системы – способность подписать сообщение (т.е. доказать идентичность автора или подлинность текста) и устранение обременительных требований по распределению ключей.

Порядок действий:

  1. Понимать процесс шифрования, доступный на вашей локальной вычислительной сети, или установить программное обеспечение или оборудование для шифрования.

  2. Определить важные/рискованные операции сетей предприятия. Экономно применять шифрование в нужном случае. Случайное важное производственное сообщение может считаться в безопасности, если оно смешано с другим трафиком, но если важные сообщения часто встречаются в данном звене сети, то шифруют это звено.

^

5.3.5. Установление эффективной идентификации и аутентификации



Эффективное управление информацией требует, чтобы можно было бы идентифицировать каждый сетевой объект, к которому можно обращаться или на котором можно обрабатывать информацию. Объекты могут быть людьми или сетевыми средствами, такими как файл-серверы, принтеры и центральные процессоры. Идентификация состоит из уникального имени или кода для каждого объекта. Для людей это могло бы быть реальным именем, псевдонимом, табельным номером сотрудника или любой другой уникальной формой. Для других объектов, идентификатор может быть назначенным именем или кодом. Важное требование, чтобы каждый идентификатор был уникальным. Это создает проблемы в большом производстве с сотнями соединенных рабочих станций и десятками серверов баз данных. Многие реальные или назначенные имена или коды оказываются слишком избыточными. Должен быть другой способ.

Решение заключается в использовании идентификаторов, в которых применяется иерархический подход, и которые связаны с конкретным подразделением. Рассмотрим сетевое имя, которое состоит из трех частей: объект, подразделение (или другой организационный уровень) и страна. Имя пользователя могло бы быть следующим "Иван Кузнецов/Производство/Россия". Конечно, части можно сократить: ИКузнецов/Произв/Ро, при отсутствии дублирования сокращения для другого подразделения или страны. Следует обратить внимание, что данная проблема является более сложной, чем традиционный идентификатор, используемый для доступа к одиночному, автономному компьютеру. С потенциалом для 10000 имен и 1000 положений, и с возможным наличием нескольких И. Кузнецовых, гарантия уникальных идентификаторов требует планирования. Тот же самый подход может использоваться для других объектов – например, при использовании той же самой организации и страны: "Принт-сервер_2/Производство/Россия" или, ПС2/Произв/Ро. Этот тип идентификатора напоминает схему адресации в сети и позволяет провести быстрый, эффективный поиск и идентификацию.

Аутентификация относится к доказательству требуемого тождества. Хотя пароль – наиболее типичный опознавательный знак, он имеет много слабостей. Более достоверная аутентификация включает использование физических характеристик или биометрических данных, таких как отпечатки пальцев, голос, сканирование сетчатки – которые не могут быть изменены и, с достоверностью, уникальны. Лучшими являются также системы «запрос-ответ», которые основаны на знании пользователем процедуры доступа, и физические опознавательные знаки, такие как карманные генераторы кода, которые скоординированы с центром безопасности сети.

Использование знаков аутентификации (токенов), отличных от паролей или в добавление к ним, вовлекает дополнительные компоненты системы, обычно сочетающие программное обеспечение и аппаратные средства, чтобы обеспечить взаимодействие опознавательного средства и системы. Генератор паролей отвечает на сигнал от терминального устройства, генерируемый центральным процессором, и обеспечивает доступ к клавиатуре. Очевидно, что система должна использовать команды или дополнительные схемы для обеспечения необходимого сервиса. Из-за стоимости (и потому что производители до сих пор не обеспечивают встроенную безопасность) большинство сетевых систем продолжают использовать парольную аутентификацию.

При использовании паролей, следует убедить пользователей хорошо соблюдать дисциплину. Сегодня почти все неавторизованные проникновения в сетевые компьютерные системы происходят от небрежности в проектировании или реализации системы, включая ошибки пользователей или пренебрежение парольной дисциплиной. Для разумной эффективности, пароли должны состоять не менее чем из шести символов, не быть легко угадываемыми, но относящимися к пользователю, и изменяться не реже, чем каждые 90 дней. Чем длиннее пароль, тем больше сложностей предполагаемый злоумышленник имеет при его получении с помощью угадывания или вычисления.

Конструкция пароля оказывает прямое воздействие на безопасное время, или время, в течение которого пользователь может ощущать безопасность от перехватчика, который пытается угадать (или вычислить пароль). В качестве примера можно утверждать, что увеличение длины пароля только на один символ заметно увеличивает безопасное время: если ожидаемое безопасное время для трехсимвольного пароля составляет около трех месяцев, безопасное время для пароля из четырех символов составляет семьдесят восемь месяцев.

Так же важна форма пароля. Пользователь должен быть в состоянии с определенностью его помнить (и не испытывать неудобств, вынуждающих его записывать), но он также должен быть очень сложным для угадывания другими. Телефонный номер школьной подруги или название улицы – примеры правильных форм.

^

5.3.6. Контролируемый доступ к сетевой инфраструктуре



До сих пор обсуждался логический или электронный доступ к системе, но следует также заботиться о безопасности со стороны физического доступа к инфраструктуре сети. Она включает центры связи, центры данных, сетевые серверы и коммуникационные свитчи. Все ресурсы ЛВС должны считаться привилегированными; т.е. как общее правило, случайные пользователи не должны получать разрешение на доступ или манипуляцию серверами ЛВС. Эффективный физический контроль доступа в офисе является минимальным требованием. Комнаты, содержащие сетевые контрольные узлы, такие как учетные, коммуникационные и файл-серверы, должны строго контролироваться и наблюдаться. Доступ должен ограничиваться лицами, формально уполномоченными администратором сети.

Сетевым или системным администраторам необходим привилегированный доступ с целью сопровождения системы. Эти привилегии должны быть определены на уровне, который позволяет точно контролировать, кто и что может делать. Например, системный администратор должен быть ограничен привилегиями, необходимыми для выполнения предписанных задач и не более этого. Системный администратор, ответственный за архивирование файлов, например, не имеет необходимости в получении привилегированного доступа к учетному серверу или коммуникационным службам ЛВС. Когда очень ценные файлы находятся на файл-серверах, только специально авторизованные лица могут получить привилегированный доступ к этим файлам; к тому же, такие привилегии должны быть определены таким образом, чтобы лицо, получившее привилегии, могло выполнять только работу по сопровождению, и не могло изменять данные.

Не являющиеся, строго говоря, частью сети, подключенные принтеры также должны находиться в безопасности. Зашифрованное сообщение, которое печатается открытым текстом и допускается к помещению в выходной приемник принтера, подвергается риску случайного наблюдения. Стоимость и порядок логических частей системы сводятся на нет, если случайный посетитель может рассматривать секретную информацию, контролируемую в других частях системы. Рекомендуется использование замкнутых приемников или очередей на печать, контролируемых паролями.

На некоторых ЛВС опытные пользователи, имеющие физический доступ к сетевым учетным серверам, могут изменить аутентификатор и, таким образом, выдавая себя за подлинного пользователя, иметь доступ к защищенным файлам этого пользователя. Логическим следствием этого является изменение ответственности сотрудников, имеющих сетевые привилегии по безопасности, таких как системных администраторов. Следует внимательно следить за отменой прав физического доступа и логической аутентификации при переходе сотрудника на другую работу или увольнении с предприятия.

Необходимые меры физической защиты должны быть очевидны: следует не допускать тех, кто не авторизован к получению информации, к сетевой инфраструктуре и ее составным частям. В большинстве случаев это требует запирающихся комнат или другого контролируемого доступа в помещения, где располагаются сетевые машины.

Порядок действий:

    1. Планировать средства поддержки сети с учетом требований безопасности и сервисного обслуживания. ЛВС не может быть просто добавлена, подобно клавиатуре или дисплею. Требуется серьезная структура поддержки, такая как персонал и помещения с контролируемым доступом.

Важным является логический доступ к сетевым устройствам. Такой доступ может быть из самой сети – авторизованными или неавторизованными пользователями – или через телефонные связи. Неправильное подключение к сетевым серверам или контроллерам пользовательских терминальных устройств может нанести серьезный ущерб обслуживанию ЛВС и ее надежности. Для устранения такой угрозы следует изменить алгоритмы работы учетных серверов или таблицы, используемые для маршрутизации почты. Неавторизованный доступ к устройствам сети может позволить копировать сетевой трафик, вставлять ошибочные данные или вносить помехи в сообщения. Строгая сетевая конфигурационная политика необходима для контроля разрешенных видов внешнего доступа. В общем, любое подключение извне к сети предприятия должно быть ограничено разрешенной деятельностью и определенным сетевым адресом.

^

5.3.7. Защита от неавторизованных модемных соединений



Общедоступная телефонная сеть представляет готовый, удобный и дешевый способ для неавторизованных лиц попытаться получить доступ к компьютерам и компьютерным сетям. Все, что нужно, это – терминальное устройство, модем и, конечно, телефон. Большинство ЛВС для удобства предлагает соединение по телефону.

Защита от неавторизованных абонентов, стремящихся получить доступ к компьютеру, а затем к сети, зависит от контрольного устройства порта. На них часто ссылаются, как на устройства обратной связи, подчеркивая этим одно из их свойств. Например, Национальное бюро стандартов США установило шесть типов контрольного оборудования портов.

Односторонние устройства обеспечивают контроль только со стороны компьютера или сети. Они включают:

  1. Устройства защиты хост-порта, помещенные между хостом и модемом или между модемом и телефоном. Они содержат таблицу паролей и могут скрывать или маскировать хост, предоставляя уникальное изображение экрана или отвечая так, что абонент не может выяснить, присутствует компьютер на линии или нет. Эти устройства могут сигнализировать оператору об атаке. Они не соединяются самостоятельно с абонентом.

  2. Защищенные модемы, контролируемые паролями, которые представляют собой модемы с повышенными свойствами, оснащенные устройствами для выполнения обратной связи с абонентом после приема пароля.

Двусторонние устройства, в которых аппаратный блок установлен на обоих концах линии: абонента и хоста (сети), включают:

  1. Системы идентификации токена, в которых абонент должен представить аппаратный ключ или портативное устройство для генерации аутентификационного кода, таким образом, завершая соединение.

  2. Терминальные аутентификационные устройства, которые используют устройство, встроенное в терминал, или подключенное к терминалу, чтобы аутентифицировать это устройство для хоста. Эта аутентификация может использоваться для ограничения пользователя определенными действиями или определенными терминалами.

  3. Линейные шифровальные устройства, предотвращающие неавторизованный трафик и, следовательно, доступ, поскольку неавторизованный абонент не имеет необходимого ключа для отправки правильных форм данных.

  4. Устройства аутентификации данных и сообщений, обычно встречающиеся в электронных системах передачи платежей, которые используют электронную цифровую подпись, требующую взаимной аутентификации отправителя и получателя.

Применение контрольных устройств порта, в действительности, является дополнением к другим уровням безопасности уже упомянутым в этой главе. Должен быть локально установлен основной сетевой и файловый контроль, который должен управляться надлежащим образом. Если ощущается риск со стороны телефонного трафика (почти всегда, когда разрешен доступ по телефону), то необходимо устройство, контролирующее порт. Оно должно быть выбрано после тщательного анализа ситуации и рассмотрения различных доступных изделий.

Порядок действий:

  1. Установить, как должна управляться сеть. Большинство производственных приложений ЛВС требует наличия специального персонала административной службы для поддержки контроля доступа, установления счетов пользователей, архивирования файлов и т.д.

  2. Ограничить число лиц, имеющих особые привилегии в сети. Установить руководящий контроль над этой авторизацией.

  3. Установить привилегии на достаточно гранулированном уровне, так чтобы можно было получить реальный контроль. Один системный администратор не должен выполнять все действия; ответственность должна быть распределена внутри персонала. Доступ по сети к критическим объектам должен быть таким, чтобы атака на важнейшие файлы могла иметь место только в результате сговора.

  4. Определить, будет ли полезно в данной ситуации контрольное устройство порта.

  5. Подготовиться к ситуациям с повышенным риском, когда обычные лица, обслуживающие сеть, могут отсутствовать.



^

5.3.8. Контроль над распространением и утечкой информации



Мощность современных сетей и причина, по которой они используются, чтобы получить максимальную выгоду от вложения в компьютерные ресурсы, заключается в способности быстрой передачи информации. Эта возможность передачи информации представляет также проблему безопасности. Сетевая информация, полученная из базы данных или посланная по электронной почте, может легко выйти из-под контроля. Она может ошибочно оказаться в почтовом ящике другого лица, или может быть собрана из кажущихся безобидными битов данных в критически опасные информационные обзоры, раскрывающие производственные планы, стратегии рынка или бизнес-планы.

Существуют три пути утечки информации. Во-первых, информация может остаться незащищенной в различных местах сети (сетей), что позволяет любопытному пользователю, намеренному взломщику или промышленному шпиону собирать информацию. Даже имея относительно низкий уровень доступа, пользователи могут быть в состоянии проверять сотни мест в сети, которые содержат информацию. В некоторых случаях пользователи, имеющие недостаточную мотивацию, могут накапливать информацию в файлах, которые доступны всем пользователям сети или большим группам пользователей. Соответственно, такие широкие авторизации представляют большую опасность, т.к. значительная секретная информация может непреднамеренно быть собрана в файлах и затем может оказаться доступной для лиц, которым не нужно ее знать, или которые могут искать возможность для неправильной или незаконной деятельности.

Во-вторых, адрес назначения может содержать ошибку, в результате которой информация будет послана ошибочному участнику. Еще большую опасность представляют списки рассылки, т.к. реальные получатели являются относительно невидимыми. Информация, посланная согласно списку рассылки, может быть раскрыта вследствие использования ошибочного списка рассылки или потому, что используемый список содержит сетевые объекты, не авторизованные иметь информацию. Во многих случаях у пользователей ЛВС нет уверенности в том, что члены списка рассылки отвечают текущей производственной ситуации; некоторые члены могут находиться за пределами сети или даже вне предприятия. Некоторые ЛВС обеспечивают свойство досылки сообщений; служащий, который переходит в предприятие, также имеющее ЛВС, возможно связанную с сетью «Интернет» или другой общедоступной сетью, может оказаться способным направлять будущие сообщения по новому сетевому адресу в другом узле или внутри другого предприятия. Если лицо включено в список рассылки по сети, то данные могут тайно посылаться за пределы предприятия в течение длительного времени.

В-третьих, слабый контроль руководства может позволить использование сети не идентифицированным объектам. Примером могут быть т.н. гостевые счета, используемые для демонстрации или для других целей. Если производственные цели оправдывают использование ЛВС сторонними лицами, предприятие должно установить эффективный авторизационный и идентификационный контроль для подобных случаев. Например, идентификатор гостя должен явно показывать спонсора, возможно, таким образом: «Гость/Спонсор:Домен:Сеть».

Порядок действий:

1. Установить процедуры для распределения особо важной информации. Списки рассылки, в общем случае, не должны использоваться.

2. Требовать, чтобы каждый пользователь был идентифицирован как физическое лицо; другими словами, сделать явным, чтобы каждое конкретное действие в сети можно было бы проследить вплоть до конкретного сотрудника. Не рекомендуется использовать названия производственных функций или имена узлов для оформления учетных записей, даже если эти учетные записи предназначены всего лишь для административных целей.

^

Контрольные вопросы





  1. Какие требования относительно порядка работы в вычислительном центре (корпоративной сети, локальной сети) предприятия должны быть отражены в стандартах по информационной безопасности?

  2. Назовите отличия сети от вычислительного центра с точки зрения безопасности.

  3. Какие меры информационной безопасности должны быть приняты для сети?

  4. Что необходимо предпринять для контроля доступа к файлам, доступным по внутренней сети и внешним сетям?

  5. Что необходимо сделать для контроля работы авторизованного сотрудника с файлом, с которым ему разрешено работать?

  6. Почему необходим контроль доступа к сетевому трафику?

  7. Что необходимо предпринять для эффективной идентификации и аутентификации каждого участника информационного обмена, будь то физическое лицо или логический объект, а также для каждой компоненты сети.

  8. Что необходимо сделать для контроля доступа к сетевым ресурсам, в особенности, по телефону?

  9. Что рекомендуется делать для предотвращения утечки информации?

  10. Схема защиты Морриса-Томпсона с n-разрядными случайными числами («солью») была разработана, чтобы затруднить нарушителю отгадывание паролей при помощи заранее зашифрованного словаря. Защищает ли такая схема от студентов, пытающихся угадать пароль суперпользователя? Предполагается, что файл паролей доступен для чтения.

  11. Как в модели сетевой безопасности выражается связь между различными элементами безопасности?

  12. По мере того, как Интернет-кафе становятся все популярнее, многие пользователи хотели бы иметь возможность доступа к своей корпоративной сети из любого Интернет-кафе мира. Опишите способ формирования подписанного документа, отправляемого из Интернет-кафе с помощью пластиковой карты (предполагается, что компьютеры оборудованы устройствами чтения смарт-карт). Безопасна ли такая схема?

  13. Как оценить безопасное время для трехсимвольного (четырехсимвольного) пароля?

  14. Шифрование с секретным ключом более эффективно, чем шифрование с открытым ключом, но оно требует, чтобы отправитель и получатель заранее договорились об используемом ключе. Предположим, что два пользователя хотят однократно использовать секретный ключ. Как можно достигнуть этой цели, используя для обмена ключом только простую методику открытых ключей (RSA).

  15. Хэш-функция называется свободной от коллизий в слабой степени, если при данной строке x несложно в вычислительном отношении найти x, не равный x, но имеющий такой же хэш. Приведите простой пример математической функции, которая может использоваться как хэш-функция свободная от коллизий в слабой степени.

  16. Назовите свойство компилятора С, способное устранить большое количество слабостей в системе безопасности. Почему оно пока не получило более широкого применения?
^

ГЛАВА 6. ОБЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ



В отличие от традиционной ситуации, касающейся безопасности на вычислительном центре или в случае применения большого компьютера, где управление может осуществляться с помощью наблюдения и логического контроля, сеть компьютерных рабочих станций – это объединение десятков пользователей, невидимых руководству и, возможно, неизвестных и не учитываемых. Но защита ценного информационного ресурса должна опираться на этих людей, работающих на предприятии, а возможно, за его пределами, если они желают и могут соблюдать дисциплину безопасности во время работы на своих рабочих станциях или в вычислительных сетях.

Наше время – период скептицизма. Перед тем, как начать любую совместную работу, люди хотят знать: для чего? Это правило особенно применимо к безопасности, так как многие меры защиты вызывают досаду и кажутся излишними. Правила безопасности или стандарты должны основываться на убедительных руководящих указаниях (политике) и отражать реальную рабочую среду предприятия. Они должны выглядеть разумными в свете производственных потребностей с учетом риска раскрытия информации.

Не имеет значения то, что принимаются другие меры: прямые распоряжения руководства, системы логической безопасности, наблюдение и так далее; от этого будет мало пользы до тех пор, пока сотрудники не убедятся, что правила являются уместными и согласованными. Иными словами, стандарты по безопасности должны иметь наивысшее качество.

^

6.1. Характеристика эффективных стандартов по безопасности



Хорошие стандарты по безопасности имеют определенные характеристики вне зависимости от того, где они применяются. Они должны быть:

  1. Полными. Они должны включать все обстоятельства и ситуации, которые происходят во время обычных производственных операций.

  2. Доступными. Они должны быть представлены сотрудникам, как мотиватор и источник детальной информации.

  3. Полезными. Стандарты должны убедительно доказывать, что они дают вклад в выполнение трудовых обязанностей сотрудников в полном объеме.

  4. Согласованными. Требования защиты должны быть согласованными по различным видам деятельности предприятия и по разным типам и формам информации.

  5. Актуальными. Хорошие стандарты по безопасности отражают современную технологию и практику текущих производственных операций.

  6. Представленными в различных формах. Они должны быть доступны в разных формах так, чтобы постоянно поддерживалось живое, уместное и мотивированное общение.

Рассмотрим, как можно обеспечить эти характеристики в программе стандартов по безопасности.

^

6.1.1. Стандарты должны быть полными



Стандарты по безопасности должны отражать все ситуации и обстоятельства, с которыми можно встретиться в деятельности предприятия. Рассмотрим типичное предприятие. Сотрудники будут использовать сетевые рабочие станции на производстве, в филиалах и центральном отделении предприятия, в исследовательских лабораториях, инженерных центрах, в торговых отделах, на складах и во многих других местах. Стандарты по безопасности должны давать ответы на вопрос: «Что следует выполнить, чтобы защитить информацию предприятия?»

Это не означает, что следует опубликовать отдельный стандарт на каждую рабочую ситуацию. Надо обеспечить стандартами те случаи, которые значительно отличаются по требованиям к безопасности. Одна из причин состоит в том, чтобы упростить доступ к правилам по безопасности для соответствующих лиц. Нельзя ожидать, чтобы каждый секретарь читал о вещах, которые предназначаются специалистам, и наоборот.

Можно рассмотреть двумерную матрицу, представляющую требования к полноте (см. таб. 4). По одной стороне отложены основные типы работ, которые могут включать работу секретарей и конторских сотрудников, исследовательский и инженерный персонал, администрацию, бухгалтерию, плановый отдел и так далее. По другой стороне перечислены виды деятельности, предназначенные для каждого типа работ. Они включают: создание файлов и документов, отправку, пересылку и получение сообщений, хранение файлов и документов и так далее. Пункты матрицы будут отличаться для разных предприятий, но сама матрица является важной, поскольку позволяет видеть инструкции по безопасности, которые должны быть включены в стандарты, для того чтобы быть уверенными в их полноте.
Таблица 4
Требования к полноте эффективных стандартов по безопасности


Процесс

Директор

(инженер, секретарь и т.д.)

Обмен сообщениями

Шифрование очень важных сообщений

Работа с файлами

Защита паролем

Создание документов

Не применяется

Маркировка важной информации

Создание меток

Использование списка рассылки, САПР и т.д.

Не применяется


Окончательно, полные стандарты должны обеспечить необходимый инструментарий для контроля. Инспекторы вправе ожидать, что сотрудники следуют разумным, опубликованным правилам, которые непосредственно связаны с их работой.

^

6.1.2. Стандарты должны быть доступными



Возможно, что это покажется довольно глупым требованием, но часто многие сотрудники заявляют, что довольно сложно найти тот документ или то место, где конкретно указано, что они должны делать по безопасности на своем рабочем месте. Это – слабое оправдание, но хорошая программа по безопасности должна устранить все оправдания тем, что делает правила легко доступными везде, где работают сотрудники предприятия. Получение стандартов по безопасности должно быть в такой форме и таким способом, который наиболее удобен в рабочей обстановке. Например:

  • Стандарты по безопасности должны быть в общедоступном файле в сети (сетях) для сотрудников, работающих на настольных рабочих станциях или персональных компьютерах. Для таких людей удобнее всего читать стандарты по безопасности непосредственно из файла. Если стандарты предложены группой пользователей, то этот метод размещения является наиболее удобным.

  • Стандарты по безопасности могут быть опубликованы в издании карманного формата и вручены при назначении на работу. Людям нравится брать в руки привлекательно оформленную печатную продукцию. Возможно, что она сразу же будет просмотрена.

  • Стандарты по безопасности могут распространяться через руководство групп или подразделений, например, для всех инженеров через старшего инженера. Используя для доставки вертикаль руководства (сверху вниз), можно сделать важной любую инструкцию. Когда начальник вручает директиву, маловероятно, чтобы она сразу же была бы отвергнута.

  • Каждый руководитель по безопасности должен иметь справочник предприятия по безопасности. Ключом к пониманию должно быть непосредственное объяснение требования по безопасности. Координаторы и руководители по безопасности должны быть готовы ответить на вопрос или, в трудных случаях, найти на него ответ.

Очень полезной является концепция координатора по безопасности. Координатор по безопасности, сотрудник с более широкими полномочиями в области безопасности, может обеспечить превосходный канал для распространения стандартов и сообщений. На некоторых предприятиях установлены специальные каналы распределения материалов по безопасности для локальных координаторов, которые находятся наиболее близко к производству.

Необходимо устранить причины, по которым люди не знают, что ожидается от них. Хорошие стандарты должны быть всегда доступны для тех, кто хочет получить информацию.

^

6.1.3. Стандарты должны быть полезными



Хорошо разработанные стандарты помогают сотрудникам, которые хотят работать безопасным образом, определяя корректные способы защиты информации. Однако, писать полезные стандарты нелегко. Полезные стандарты не могут быть разработаны в центре или отделе безопасности, скорее, они могут быть написаны людьми, которые имеют практический опыт в различных областях производственной активности.

Стандарты по безопасности могут быть подготовлены комиссией, представляющей различные рабочие группы, подразделения или виды деятельности. Члены комиссии привносят свое знание оперативной практики и производственных проблем в каждом подразделении или отделе. Они являются гарантами того, что каждый стандарт будет «вписываться» в оперативную среду конкретного предприятия. Как результат такого подхода, стандарты представляют соглашение или компромисс по различным позициям. Стандарты, которые на 100 процентов корректны в глазах высшего руководства или вышестоящего персонала, конечно, могут удовлетворять одних, но из этого не следует, что все им будут следовать автоматически.

Хорошие стандарты обобщают весь положительный опыт, полученный на предприятии. Например, некоторые руководители могут считать, что пароли следует менять каждые 30 дней, но если это требование другие группы сочтут необоснованным, то лучше принять компромиссное решение – каждые 60 дней, чем правило, которое неизбежно будет игнорироваться некоторыми группами.

^ Полезный стандарт – это такой стандарт, к которому большинство сотрудников относится как к практическому руководству по работе с информацией, создаваемой в оперативной среде или доступной в ходе обычной производственной деятельности предприятия. Как будет показано ниже, стандарты по безопасности, доступные в разных формах, позволяют представить содержание таким образом, чтобы обеспечить действительно полезные инструкции, связанные с текущей работой.


^

6.1.4. Стандарты должны быть согласованными



Эффективные стандарты по безопасности всегда согласованы с другими руководящими указаниями и практической деятельностью предприятия. Этот вопрос требует тщательного изучения. Например, на большом производстве руководящими указаниями установлено, что конфиденциальные документы не могут оставаться не востребованными на столе более двух часов. После этого времени документы должны вернуться в хранилище. Когда впервые были разработаны сетевые стандарты по безопасности, то было решено, что терминальные устройства, подключенные к сетям, должны автоматически отсоединяться от нее после максимального времени в 30 минут. Это было отмечено, как несогласованность, теми, кто утверждал, что дисплей в данных обстоятельствах не отличается от бумаги, лежащей на столе (хотя дисплей труднее унести). В некоторых случаях время отключения терминала, возможно, и должно быть меньше, но жизненно важно иметь согласие между документами в письменной и электронной форме. В конце концов, секретная информация доступна из обоих источников. Стандарт для дисплеев был изменен с 30 минут до двух часов.

Противоречивые инструкции или правила, которые имеют очевидные расхождения, способны разрушить всякий интерес. Только согласующиеся между собой стандарты могут рациональным образом воздействовать на сотрудников.

^

6.1.5. Стандарты должны быть актуальными



Хорошо написанные руководящие указания (политика) предприятия не должны пересматриваться чаще, чем раз в 5 лет. Если они часто пересматриваются, то, возможно, в них присутствует большая примесь процедур или стандартов. С другой стороны, стандарты должны регулярно пересматриваться и обновляться. Минимальный цикл, основанный на типичных технологических разработках и применениях в сегодняшней производственной сфере, указывает на пересмотр стандартов каждые два года. Примерами приложений, которые потребовали изменения стандартов, служат использование ЛВС, загрузка данных в персональный компьютер, радиоволновое излучение от дисплеев, а также применение САПР. Новые технологии и приложения почти всегда способствуют критическому обсуждению стандартов по безопасности. Если текущие стандарты по безопасности не обеспечивают соответствующую степень защищенности, это является серьезным просчетом.

Актуальность стандартов по безопасности означает, что сотрудники найдут в них ответы на вопросы по современной экономической деятельности, новым технологиям и установленным приложениям. Когда предлагается новая сетевая технология или приложение, можно опубликовать временный или предварительный стандарт до тех пор, пока в очередном цикле не будет разработан постоянный.

^

6.1.6. Стандарты должны быть представлены в различных формах



Стандарты по безопасности должны быть опубликованы в отдельной книге, такой как руководство по безопасности. Копии могут быть помещены в руководство по операционным системам и в настольную книгу руководителя по безопасности. Но копии стандартов не могут быть эффективными для среднего сотрудника по двум причинам. Возможно, что ему нет необходимости просматривать содержание стандартов полностью, и у него не было удобного случая скопировать интересующие его листы. Кроме того, информация вне переплета или электронного файла через некоторое время теряется.

Следует опубликовать стандарты по безопасности, как буклеты, в удобном формате, настольном или карманном. Изложение должно быть направлено на конкретную аудиторию, например, папка или листовка, озаглавленная “Руководство по безопасности для пользователей офисных систем”. Буклеты или листовки могут относиться к особой части оборудования общего применения, например, о том, как использовать факсимильную передачу согласно требованиям безопасности. Такие буклеты можно вручить вместе с инсталляцией оборудования.

В большой организации заслуживают внимания периодические публикации, рассматривающие новые разработки по безопасности, темы, проблемы и решения. Они стимулируют готовность и напоминают сотрудникам о стандартах по безопасности. Плакаты, объявления и канцелярские принадлежности (папки со специальными наклейками, линейки с надписями и так далее) также представляют собой хорошее средство напомнить сотрудникам о важности защиты информации.

Эффективные стандарты, содержащие важные сообщения, всегда должны быть представлены в нескольких различных формах, позволяя сотрудникам выбрать ту, которая наиболее подходит к их работе или ситуации и будет постоянно напоминать об их обязанностях по защите информации.

^

6.2. Устная форма



Сеть координаторов по безопасности, описанная ранее, является хорошей средой для распространения материалов из стандартов. Люди слушают равных себе более внимательно, чем кого-нибудь еще. Координаторы по безопасности, являясь сотрудниками на рабочем уровне, находятся в превосходном положении для распространения материалов по безопасности, листовок и плакатов, и объяснения сотрудникам, почему так важно их участие. Как только защита информации становится принятой на практике большинством сотрудников, наблюдение со стороны окружающих выполняет большую часть контроля. Например, на предприятии каждый сотрудник знает, что информация предприятии не должна обсуждаться вне места работы.

Некоторые предприятия имеют даже специальные стенды в стратегических точках отдела, предназначенные только для плакатов по безопасности.

Поддержка безопасной работы с информацией всеми сотрудниками в процессе работы в сети или использовании информационных систем требует от них подготовки и заинтересованности. Здесь важную роль играют наблюдение и стандарты по безопасности. Последние, для того чтобы стать эффективными, требуют обдумывания, труда и рекламы. Эффективные стандарты по безопасности обладают рядом свойств, представленных в этой главе. Создание комиссии является наилучшим способом разработки и периодического обновления этих стандартов. Хорошие сетевые стандарты помогают почувствовать наличие действительно эффективной безопасности.

^

Контрольные вопросы





  1. Что должна определять политика безопасности предприятия?

  2. Как учесть возможность допустимого риска?

  3. Должны ли содержать стандарты по защите информации инструкции относительно идентификации, классификации, пометке, обработке и защите информации во всех ее формах, или достаточно ограничиться только компьютерной информацией?

  4. Какими свойствами должны обладать эффективные стандарты предприятия по безопасности?

  5. Какие вопросы должны быть отражены в стандартах по безопасности относительно ресурсов предприятия (использования ресурсов, обязанностей различных групп сотрудников, связь и обмен информацией с внешними сторонами, использования ресурсов внешними сторонами)?

  6. Что к этому можно добавить относительно производства и копирования документов в подразделениях и центрах копирования?

  7. Что представляет собой конфликт интересов и защита ментальной формы информации?

  8. Опишите роль на предприятии координаторов по безопасности.

  9. Часто можно встретить следующую инструкцию для восстановления от вирусной атаки:

а) загрузите зараженную систему;

б) заархивируйте все файлы на внешний носитель;

в) отформатируйте диск программой fdisk;

г) переустановите операционную систему с оригинального CD-ROM;

д) перезагрузите файлы с внешнего носителя.

Назовите две серьезные ошибки данной инструкции.

^

ГЛАВА 7. РИСК РАБОТЫ НА ПЕРСОНАЛЬНОМ КОМПЬЮТЕРЕ



Персональный компьютер (ПК), возможно, является наиболее значительным техническим достижением в истории по своему потенциальному воздействию на экономику. Хотя в предыдущие десятилетия его предшественница, система с разделением времени, позволяла людям использовать на расстоянии часть мощности универсального компьютера, пользователь был стеснен ограничениями на ввод и получение данных, накладываемыми простыми терминалами. Теперь ПК, или, более точно, различные формы микрокомпьютеров, позволяют загружать данные (получать файлы из центрального компьютера), выполнять локальную обработку с помощью разработанных или купленных программ, хранить их, а затем снова направлять файлы или элементы данных на центральный процессор. В добавление, современная телекоммуникационная инфраструктура и ряд служб позволяют пользователю ПК почти с одинаковой легкостью передавать информацию как внутри своего отдела, так и по всему миру. Все это означает, что следует заново обдумать концепцию информационной безопасности и тщательно спланировать, когда и как следует применять персональные компьютеры.

^

7.1. Определение персонального компьютера



Терминология в информатике всегда была предметом споров. У каждого свое представление о том, что определяет отличие большого компьютера от миникомпьютера. На микрокомпьютер обычно ссылаются как на персональный компьютер, однако существует много различных форм микрокомпьютеров. В данном контексте, термин персональный компьютер (ПК) просто обозначает все оснащенные устройства, которые направляют вычислительную мощность конечному пользователю. Такие устройства включают, наряду с другими:

  • персональные компьютеры;

  • профессиональные рабочие станции (обычно встречающиеся в инженерном конструировании, издательском деле, юриспруденции и других сложных, специализированных применениях);

  • текстовые процессоры.
^

7.1.1. Программно-аппаратные средства



Персональный компьютер включает процессор, память для временного хранения данных в течение обработки, какую-то форму для постоянного хранения данных (обычно диск) и дисплей. ПК также может иметь принтер (локальный или сетевой), дисковую память большой емкости, накопители на флоппи-дисках, плоттер, USB – порт и т.п.

ПК имеет операционную систему, которая состоит из программ, поставляемых производителем компьютера или разработчиками программного обеспечения, и которые содержат команды, управляющие компьютерным оборудованием для обработки данных. ПК может также иметь специальное программное обеспечение для управления подключенными устройствами. ПК работает над выполнением различных прикладных программ или приложений, которые называются пакетами программ. Они включают почти неограниченное разнообразие различных задач и применений.

^

7.2. Мощность персонального компьютера



Вследствие внушительного набора программных и аппаратных средств, пользователь ПК может сделать большую часть из того, что ранее мог сделать только руководитель вычислительного центра. ПК имеют все уязвимые места вычислительного центра, за исключением того, что степень защищенности становится еще меньше из-за отсутствия формального контроля и процедурной структуры, как в любой деятельности полностью контролируемой одним человеком. Пользователь ПК может:

  1. Получить данные или файлы из центрального компьютера или из присоединенного через ЛВС файл-сервера. Фактически, ПК может использоваться как удаленный терминал.

  2. Обработать эти данные, используя ПО предприятия, купленное, самостоятельно произведенное или свободно распространяемое ПО, полученное через сеть хакеров. ПО, не произведенное и не проверенное на предприятии согласно процедуре сертификации, должно, в лучшем случае, считаться подозрительным.

  3. Направить полученные результаты в центральную информационную систему, файл-сервер ЛВС, принтер, плоттер или через сеть в любое место земного шара. Существует повод для беспокойства, вне зависимости от того, будет ли занесен в журнал этот выводной файл или нет, и будет ли он, фактически, получен тем или другим лицом.

  4. Комбинировать результаты обработки с другими файлами, которые хранятся локально, или на удаленных файл-серверах ЛВС, или являются файлами баз данных центрального компьютера. Становится еще труднее идентифицировать данные, имеющие скрытые ошибки, поскольку они смешаны с другой, «хорошей», т.е. официально санкционированной, информацией.

  5. Открыть многочисленные файлы, которые являются общими для пользователей сети или для которых пользователь имеет полномочия, просматривать их, извлекать информацию и составлять коллекции данных. До тех пор, пока контроль доступа к файлам не будет широко применяться и не станет эффективным, любопытные лица могут наталкиваться на секретные и, возможно, потенциально опасные сочетания элементов информации (см. Приложение А).

  6. Не имея авторизованного доступа к файлам, пользователь ПК может оказаться способным локально запускать программы, производящие пароли доступа, и т.о. вторгнуться в контролируемые файлы или процессы. Пользователь ПК может выполнить сложные манипуляции с контролем безопасности или обмануть авторизованных пользователей, чтобы получить права доступа, принадлежащие другим.

  7. Выполнять все процессы, перечисленные в предыдущих пунктах, одни – скрытно, другие – явно, в том числе, работая дома (используя удаленный доступ к сети по телефону), а также во время командировки или путешествия (в гостинице, через удаленный доступ по телефону, в самолете или в зале ожидания аэропорта). Наиболее серьезной угрозой для конфиденциальной информации является доступ к компьютерной системе по телефону.

Рассмотрим, каждый из этих пунктов (перечень не является исчерпывающим) и покажем для каждого случая несколько способов, которыми могут быть нарушены требования качественной информации предприятия.

^

7.3. Опасность для информации



Можно указать на ряд главных уязвимых мест для информации, когда она передается или обрабатывается на сетевых ПК.

Физические угрозы включают кражу данных на носителях или всей системы целиком; случайное наблюдение секретной информации на дисплее ПК; кражу напечатанных выведенных документов и незаконное использование клавиатуры или других устройств ввода для проникновения через средства контроля безопасности (получая доступ к персональному компьютеру, его файлам или к сети в целом) или осуществление порчи, потери или раскрытия информации, когда ПК оставляется в активном или подключенном к сети состоянии.

Программно-аппаратные угрозы включают подрыв операционной системы или ее управления с помощью незаконного (неавторизованного) использования клавиатурного ввода; подрыв системы контроля ПК через удаленный доступ или ее обман, используя сетевое соединение; размещение троянских коней и часовых бомб, поступивших вместе с свободным или приобретенным ПО; потерю секретности данных в результате неавторизованного преднамеренного или случайного просмотра файлов данных, которые могут находиться на жестком диске ПК или на файл-сервере ЛВС. Разработаны вирусные программы, которые могут путешествовать по сети от одного компьютера к другому, попутно разрушая файлы, или получая управление операционной системой.

Организационные угрозы включают раскрытие данных из-за того, что пользователь, недооценив значение локально созданной информации, забыл провести классификацию согласно стандартам предприятия и обеспечить защиту; вторжение в контролируемые файлы или рабочие области по причине слабых, легко угадываемых паролей или длительного использования старых паролей, которые уже раскрыты; потерю или обнаружение секретной информации из-за того, что сетевой принтер недостаточно защищен, или пользователи ПК не забрали или не защитили напечатанные документы; отсутствие инсталляции и использования ПО для безопасности ПК, которое позволяет защитить файлы с помощью паролей или других средств, а также служит для защиты файлов, имеющих высокое значение, и каналов посредством шифрования; отсутствие плана на случай форс-мажорных обстоятельств, таких как пожар, кража, потеря данных вследствие технических ошибок файловой системы.

Новый уровень риска возникает, когда сотрудники работают дома на ПК, возможно, через сетевое соединение со своим отделом или сервером баз данных. Порядок в этом случае почти целиком основывается на доброй воле сотрудников следовать правильной процедуре. Что может остановить сотрудника от передачи паролей членам семьи или от использования носителей с данными предприятия для других целей? Только мотивация.

^

7.4. Сетевая защита персонального компьютера



В настоящее время безопасность большинства вычислительных центров поддерживается на достаточно высоком уровне. Здесь почти нет исключений. Установлены многочисленные уровни безопасности, как физической, так и технической. Штат специалистов по безопасности и вооруженная охрана делают очевидным, что защита информации соответствует стандартам предприятия по безопасности.

С другой стороны, ПК обычно находится в типичной среде отдела. Хотя доступ во многие коммерческие отделы должен контролироваться на основе пропускной системы или дверей с цифровыми замками, практически все они свободно посещаются. Однако комплекс персональных компьютеров отдела, соединенный с ЛВС, которая связана с файл-серверами, коммуникационными серверами и принтерами, является значительно более мощным, чем средний вычислительный центр. Однако там нет технического штата по безопасности, нет центральной программной системы безопасности, имеющей хорошее сопровождение и содержащей профили авторизованных пользователей, и даже нет закрытых помещений, куда разрешен доступ только авторизованному персоналу. Вместо этого вся ответственность возлагается на коллектив группы пользователей. Они сами себе руководители вычислительного центра и должностные лица по безопасности. Определенно, здесь можно применить теорию слабого звена.

Эффективная безопасность для ПК в сети требует, чтобы (1) были установлены правильные формы производственной деятельности людей, и (2) эта деятельность стала для них желаемой. Мотивация уже рассматривалась; далее будут рассмотрены только требования по безопасности для ПК.

^

7.5. Планирование безопасной работы на персональном компьютере



Необходимо признать, что производственные отношения основываются на управлении информационными средствами и требуют принятия решений относительно них. Эти решения по структуре, стоимости и защите информации составляют основу, на которой строится эффективная программа по безопасности ПК. Предприятие должно принять решение по стратегическим целям, приложениям и контролю над сетью, связывающей ПК, и отдельными ПК.

Поскольку прикладные задачи перешли от больших компьютеров на ПК, а современные новые приложения разрабатываются для сетей ПК, руководство должно иметь процесс, гарантирующий продолжение уровня качества информации. Он включает меры по защите информации. Эти меры должны выполняться на основе стандартов, как было описано в главе 3.

^

7.5.1. Стандарты предприятия по использованию ПК



Каждое предприятие должно принять стандарты, которые устанавливают средства контроля за применением ПК. В решение руководства, которое является предварительным условием принятия стандартов, должно входить следующее:

  1. Анализ риска, определяющий ослабленные позиции, возникающие на предприятии вследствие использования сетевых ПК, на работе или в домашних условиях. Этот анализ позволит вывести основные требования политики, т.е. на каких формах производственной деятельности сотрудников следует настаивать. Ослабленные позиции могут быть разными для различных приложений. Одна из проблем состоит в том, что предприятие может не знать, кто использует персональные компьютеры, видя только результат их деятельности. Руководящие указания и стандарты, рассматривающие использование ПК, должны обеспечить механизм контроля, гарантирующий персональную ответственность пользователя при работе на ПК с информацией предприятия.

  2. Процедура получения, использования и контроля ПК. ПК не должны рассматриваться, как простой элемент информационного оборудования отдела по нескольким причинам, включающим совместимость с другим оборудованием и информационный контроль. Так как ПК дешевы, сотрудники могут покупать их произвольным образом, используя деньги, выделяемые на нужды отдела. Предприятие должно иметь строгие правила относительно того, как должно приобретаться любое компьютерное оборудование, или, более того, предприятие должно указать, какие ПК можно использовать, с какими операционными системами можно работать, а также ограничения, накладываемые на прикладные программы.

  3. Формальное принятие ответственности сотрудниками в случае, когда они хотят использовать ПК или другое терминальное устройство за пределами предприятия. С целью защиты интересов производства каждый сотрудник должен подписать контракт, в котором оговариваются его обязательства перед предприятием. Контракт должен устанавливать в письменной форме ответственность сотрудника по защите информации предприятия во время работы с ней, и то, что сотрудник обещает следовать практике предприятия по безопасности. Нарушение условий контракта может привести к юридической ответственности сотрудника, что в дальнейшем может повлечь за собой освобождение его от занимаемой должности.

  4. Средства контроля, препятствующие случайному доступу к сетям или большим компьютерам. Конечно, предприятие не может контролировать деятельность каждого сотрудника, но оно может контролировать доступ к портам компьютера, а это – пункт контроля за соединениями ПК с серверами баз данных или сетями. Одним из способов является применение одной из систем контроля порта, доступных в настоящее время. Другой – требует от пользователя наличия электронного ключа, который генерирует код в процессе аутентификации. Такая система гарантирует точную идентификацию вне зависимости от того, какое оборудование используется или с какого места запрашивается доступ.

  5. Опубликованные руководящие указания по использованию ПО из мест вне предприятия. Это важно для гарантии поддержания контроля, особенно когда устройства соединены с сетями. Системы так называемых электронных досок объявлений предлагают бесплатное или условно-бесплатное ПО, которое пользователя просят оплатить. Применение таких программ является очень рискованным; предприятие должно четко установить в письменной форме в контракте с каждым сотрудником обязательство не использовать ПО, которое не получило официального одобрения.

Программное обеспечение для ПК не только является источником финансовых расходов, но также может представлять источник беспокойства для предприятия, если сотрудники нарушат контрактные обязательства, принятые при покупке ПО для производственной деятельности. Все программное обеспечение для ПК, такое как утилиты для операционных систем или прикладные программы (такие как разработанные программистами предприятия системы анализа смет) должно быть защищено. Слабые стороны программного обеспечения ПК включают:

  • нелегальное копирование или нелегальное применение ПО, которое имеет авторские права и куплено по лицензии;

  • скрытное изменение операционной системы, контроля безопасности или прикладной программы на диске для обмана или с другими тайными целями;

  • потерю ПО, наступившую как вследствие необдуманной перезаписи или стирания программ, так и кражи диска.

Программы должны быть защищены так же, как данные. Диски должны иметь маркировку, включая при необходимости соответствующую метку классификации. Они должны храниться в определенном порядке, так чтобы мог быть замечен отсутствующий диск. Следует подумать о замыкающихся кабинетах и выдвижных полках для безопасного хранения неиспользуемых дисков.

Ряд важных требований по контролю включают следующие требования:

  1. Для выполнения производственных задач следует использовать только те ПК и такие пакеты программ, которые получили одобрение информационного руководства предприятия. Это согласуется с правилами по безопасности информации, касающимися получения классифицированных документов и их защиты вне помещений предприятия. Ограничение ПО только одобренным предприятием важно для гарантии целостности информации. Ограничение типов используемых компьютеров увеличивает ценность библиотек ПО и упрощает соединения между компьютерами.

  2. ПК предприятия могут использоваться только для производственных целей предприятия. Если сотрудник имеет собственный ПК, то в руководящих указаниях следует отметить, возможно или нет его использование для производственных целей, и если так, то как должна контролироваться информация. Совместное использование ПК работающим сотрудником и членами его семьи не является правильной идеей.

  3. Классифицированная информация не должна быть получена или введена с удаленного терминала. Это правило отражает тот факт, что сложно установить эффективный контроль над получением информации после аутентификации пользователя терминала. Для компьютера путь сообщения или файла, который получает аутентифицированный пользователь не имеет значения, зато этот путь очень важен с точки зрения безопасности.

  4. Классифицированная информация не должна обрабатываться в присутствии посторонних лиц в помещении. Это является более общим правилом, которое применяется также при работе внутри предприятия. Оно применимо в каждом случае.

  5. Каждый сотрудник несет персональную ответственность за защиту классифицированной информации и за надлежащее использование специальных мер безопасности. Индивидуальное понимание и желание использовать надежные инструкции по безопасности являются главными требованиями при эксплуатации сетей. Сотрудники должны быть обеспечены инструкциями по безопасности.

  6. Каждый пользователь должен получить уникальный идентификатор и аутентификатор перед тем, как войти в сеть. Полномочия не должны использоваться совместно; пароли или другие токены должны оберегаться самим пользователем.

  7. Пароли должны храниться в тайне и периодически меняться согласно стандартам предприятия. Предприятия, которые заботятся о своих информационных средствах, считают тайну и защиту паролей или других аутентификационных токенов вопросом доверия. Нарушение считается тяжелым проступком, часто приводящим к увольнению.

  8. Присоединенные ПК должны быть отключены от сети или переведены в пассивное состояние, если устройство осталось без надзора. Сеть самостоятельно может установить тайм-аут, если отсутствие активности очевидно.

  9. Периодически руководство должно заново рассматривать подтверждение для работы каждого сотрудника на ПК. Владение и использование ПК на работе должно быть регулярным пунктом ревизий на предприятии. Хорошим способом проверки использования ПК вне предприятия, возможно, служат периодические обследования доступов «по вызову» в системных протоколах.



^

7.5.2. Практические меры безопасности для ПК



Как описано ранее, следует разделять меры безопасности, требуемые различными уровнями элементов безопасности, на физические, логические и процедурные меры безопасности.
^ Физические меры:

Помещения, в которых находятся ПК, должны иметь безопасность согласно степени секретности обрабатываемой информации. За исключением информации высшего значения, которая может потребовать специальных усилий, ПК, установленные в отделе, обычно обеспечиваются средней степенью защиты.

Оборудование должно иметь крепеж безопасности для закрепления устройства на столе или на полу. Отсутствие его допускается в случае, когда помещение считается безопасным при отсутствии людей в здании. Для лент и дисков следует предусмотреть безопасное хранилище. Это хранилище должно иметь тот же уровень защиты, как и для документов, имеющих данную классификацию. В большинстве случаев, информация высшего значения должна храниться в сейфе или запирающемся кабинете. ПО является дорогостоящим и хранится аналогично важным данным.

Ленты и диски, которые были использованы для секретной информации, не должны возвращаться производителю или продаваться как утиль. Вне зависимости от того, какие действия были выполнены по стиранию информации на дисках, могут быть найдены технические способы ее извлечения. Большинство команд только вычеркивает заголовки файлов и входы в таблице ссылок, а сами данные остаются на диске.

В некоторых случаях требуется блокировка аппаратуры (например, отключение блока питания). Преимущество элементов безопасности различных уровней в том, что можно разработать простое экономичное решение. Простой замок на ПК или блоке питания диска может служить таким решением, особенно в охраняемых помещениях.
^ Программно-аппаратные меры:

Многие операционные системы ПК (такие как Unix) били разработаны с точки зрения удобства для пользователя, а не безопасности для информации. Большинство ПК (за исключением последних, более мощных моделей) не имеет системной организации, которая эффективно приспособлена для размещения механизмов безопасности. Можно сказать, что большая часть средств контроля ПК просто не является надежной и не предназначена для безопасного управления системными ресурсами или данными. Например, дисковая операционная система ПК имеет указатели статуса файлов, такие как “только чтение” или “скрытый”. Они обеспечивают некоторый вид контроля (зависящий от личного усмотрения), но, имея минимальные технические навыки, можно легко манипулировать флажками операционной системы, которые контролируют эти состояния. Файлы на персональных компьютерах, только что полученных от производителей, следует считать доступными для любого, кто имеет физический доступ к машине.

Чтобы контроль доступа был эффективным, необходимо обеспечить средства аутентификации каждого пользователя. Конечно, в случае, когда только одно лицо использует ПК и физически контролирует доступ к нему, можно обойтись без этого. Но каждый ПК, обрабатывающий классифицированную информацию, должен быть обеспечен пакетом контроля безопасности или соответствующей комбинацией аппаратных и программных средств. Они дадут возможность установить контроль с применением паролей или, возможно, использовать ручные аутентификационные устройства.

Пакеты программ по безопасности имеют широкий спектр приложений. Администратор ПК может установить и контролировать различные уровни привилегий. Он, соответственно, имеет общий доступ и административные права. Директории с секретными файлами могут быть скрыты, так что случайный пользователь не сможет увидеть имена файлов. В качестве опции предлагается шифрование файлов. В таблице 5 проводится сравнение некоторых операционных систем ПК и предлагаемых услуг.

При соединении с сетью ПК должны использовать для аутентификации средства центральной программы безопасности (функция безопасности учетного сервера для ЛВС). В добавление к аутентификации легальных пользователей, пакет по безопасности может применяться для ограничения действий только теми, которые авторизованы владельцами данных. Некоторые пакеты контроля безопасности ПК предлагают опции, поддерживающие интерфейс с системой безопасности большого компьютера.

Системы шифрования, предпочтительно, использующие аутентификацию сообщений, являются важными в случаях, когда ПК используется для коммуникаций стратегического характера или для обработки производственной информации, имеющей высшее значение. Шифрование является высшей степенью защиты, известной до сего времени, но оно требует строгого управления ключами шифрования. При потере ключей одновременно теряется информация.
^ Организационные меры:

Все пользователи ПК, а также владельцы, должны быть идентифицированы с целью руководящего контроля. Пользователи должны подписать заявку на аппаратные и программные средства и заявление об ответственности. Серийный номер и местоположение каждого ПК должны быть записаны и периодически проверяться.

Сетевые средства контроля и средства контроля центрального компьютера должны корректироваться согласно текущим назначениям сотрудников. Должен действовать процесс, гарантирующий изменение или отмену полномочий при увольнении сотрудника или переводе его на другую работу.

Должны быть разработаны и тщательно проверены планы на случай форс-мажорных обстоятельств для восстановления необходимой производственной информации в случае, если пожар или другое бедствие выведут из строя средства ПК. От пользователей необходимо требовать хранения резервных дисков, процедур, программ и т.п. для гарантии восстановления.

Локально разработанные программы (например, прикладные программы, разработанные пользователем для выполнения производственной задачи) должны пройти проверку на качество до начала применения. Такое локальное ПО обычно не имеет преимуществ формальной сертификации, принятой в профессиональных группах программистов и разработчиков систем. Текст может содержать серьезные ошибки, как случайные, так и преднамеренные. До одобрения руководством выводимых данных и использования их в производственных целях, следует провести объективную проверку и испытание этих программ, возможно комиссией вышестоящей организации.

Каждый пользователь ПК должен знать требования по безопасности, полученные при персональной подготовке или же изложенные в брошюре или листовке.

^

7.5.3. Безопасность и соединения



Здесь будет рассмотрена проблема безопасности при работе в глобальной сети, такой как сеть «Интернет». Фактически сеть «Интернет» соединяет корпоративную сеть с остальным миром, поэтому проблему безопасности трудно переоценить.

Безопасность сети «Интернет» обеспечивают системы защиты от несанкционированного доступа, т.н. межсетевые экраны, которые способны установить разницу между разрешенным трафиком, например, к веб-страницам и электронной почте, и запрещенным, таким как запросы на чтение файлов корпоративных файл-серверов или ПК клиентов рабочих групп.

ПК и другие микрокомпьютерные устройства обеспечивают огромный рост обработки информации и производственных коммуникаций. Но эти устройства, особенно в случае соединения с сетями, создают серьезную угрозу для безопасности информации. Необходимо тщательное внимание руководства, чтобы установить стратегические направления использования ПК, установить требования безопасности и контроля и убедить сотрудников поступать так, как необходимо.


Таблица 5
Сравнение операционных систем (ОС) ПК и предлагаемых услуг


ОС

Плюсы

Минусы и примечания

MS-DOS

Большая база ПО

Древовидная структура

директорий

Разумные сообщения

об ошибках

Возможность управления

Задачами

Нет контроля доступа, но может быть подключен.

Служит стандартом для целей образования.


UNIX

Многопользовательская

Многозадачная

Переносимая: большая/мини/микро

Защита файлов

Контроль доступа

Поддержка реляционных

баз данных

Не очень дружественная

к пользователю оболочка.

Требует значительных

ресурсов ПК.

Недостаточный объем ПО

для сферы бизнеса.

Нет блокировки уровня

записи.

Windows 2000,

Windows XP,

OS/2

Многопользовательская.

Многозадачная.

Защита файлов.

Контроль доступа.

СУБД DB/DC: язык SQL, блокировка записи.

Требует значительных

ресурсов ПК.



^

Контрольные вопросы





  1. Что должна определять политика безопасности предприятия относительно регистрации пользователей, а также обеспечения и применения микрокомпьютеров и рабочих станций?

  2. Должна ли политика предприятия опираться на полный контроль над деятельностью сотрудников предприятия, или необходимы также другие формы взаимодействия (укажите, какие)?

  3. Как довести до сотрудников предприятия сведения, касающиеся защиты информации, обрабатываемой или хранимой в электронной форме?

  4. Как предотвратить случаи мошенничества или неправильного использования сетевых устройств бывшими сотрудниками, авторизации которых не были своевременно отменены?

  5. Что представляет собой порядок идентификации и аутентификации пользователей сетевых и персональных компьютеров?

  6. Кто и как осуществляет авторизацию пользователей?

  7. Перечислите меры физической безопасности, которые применяются для персональных компьютеров или рабочих станций?

  8. Что вы можете рассказать о контроле магнитных носителей с конфиденциальной информацией на них, а также о создании резервных копий дисков, лент и других списков, важных для производственных операций?

  9. Как защитить от НСД к информации классифицированные выдачи принтера и другие документы?

  10. Можно ли на предприятии использовать ПО, разработанное внешними производителями, для обработки классифицированной информации?

  11. Как защитить конфиденциальную информацию предприятия от угрозы перезаписи со стороны недобросовестных сотрудников?



^

ГЛАВА 8. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ



Средства защиты информации – это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы: технические (аппаратные), программные, смешанные аппаратно – программные, организационные.

^ Технические (аппаратные) средства – это различные по типу устройства (механические, электромеханические, электронные и другие), которые аппаратными средствами решают задачи защиты информации. Они препятствуют физическому проникновению, либо, если проникновение все же состоялось, препятствуют доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получили следующие:

  • специальные регистры для хранения реквизитов защиты: пароли, идентифицирующие коды, грифы или уровни секретности;

  • устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

  • схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

  • устройства для шифрования информации (криптографические методы).

Слабые стороны аппаратных средств защиты – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства. Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

^

8.1. Принципы инженерно-технической защиты информации



Общеизвестно, что отделам безопасности, занимающимся защитой информации, противостоят различные организации и злоумышленники, как правило, оснащенные аппаратными средствами доступа к информации. В связи с этим возможности способов и средств защиты отделов безопасности, по крайней мере, не должны уступать возможностям злоумышленников. Исходя из этого, основу защиты информации должны составлять принципы, аналогичные принципам получения информации, а именно:

  1. Непрерывность защиты информации. Характеризуется постоянной готовностью системы защиты к отражению угроз информационной безопасности в любое время.

  2. Активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите.

  3. Скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации

  4. Целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации

  5. Комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других.

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты:

  1. соответствие уровня защиты ценности информации;

  2. гибкость защиты;

  3. многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности;

  4. многорубежность защиты информации на пути движения злоумышленника или распространения носителя.

Первый принцип определяет экономическую целесообразность применения тех или иных средств и мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации. Так как цена информации – величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой.

Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимися требованиями к информационной безопасности.

Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты: многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной или коммерческой структурой), на так называемые контролируемые зоны.

Типовыми зонами являются: территория занимаемая объектом защиты и ограниченная забором или условной внешней границей, здание на территории, коридор или его часть, помещение, шкаф, сейф, хранилище.

Зоны могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории). С целью воспрепятствования проникновению злоумышленника в зону на её границе создаются, как правило, один или несколько рубежей защиты. Рубежи защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения иных носителей, прежде всего, электромагнитных и акустических полей. Например, для защиты акустической информации от прослушивания, в помещении может быть установлен рубеж защиты в виде акустического экрана. Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит от:

  1. расстояния от источника информации (сигнала) до злоумышленника или его средств доступа к информации;

  2. количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля);

  3. эффективности способов и средств управления допуском людей и автотранспорта в зону;

  4. мер по защите информации внутри зоны.

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями. Рассмотренные выше принципы относятся к защите информации в целом.

При построении системы защиты информации нужно учитывать также следующие принципы:

  1. минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;

  2. надёжность в работе технических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии;

  3. ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности;

  4. непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии;

  5. адаптируемость (приспособляемость) системы к изменениям окружающей среды.

Смысл указанных принципов очевиден, но следует остановится подробнее на последнем.

Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

^

8.2. Основные методы защиты информации техническими средствами



В общем случае защита информации техническими средствами обеспечивается в следующих пространственно-временных рамках и условиях:

  • источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей технических средств добывания;

  • соотношение энергии носителя и помех на выходе приемника канала утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;

  • злоумышленник не может обнаружить источник или носитель информации;

  • вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Этот перечень реализует следующие методы защиты:

    • воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;

    • скрытие достоверной информации;

    • передача злоумышленнику ложной информации.

Скрытие информации предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах. Различают информационное и энергетическое скрытие.

Информационное скрытие достигается изменением или созданием ложного информационного портрета семантического сообщения, физического объекта или сигнала.

Информационным портретом можно назвать совокупность элементов и связей между ними, отображающих смысл сообщения (речевого или данных), признаки объекта или сигнала. Элементами дискретного семантического сообщения, например, являются буквы, цифры или другие знаки, а связи между ними определяют их последовательность. Информационными портретами объектов наблюдения, сигналов и веществ являются их эталонные признаковые структуры. Возможны следующие способы изменения информационного портрета:

  • удаление части элементов и связей, образующих информационный узел (наиболее информативную часть) портрета;

  • изменение части элементов информационного портрета при сохранении неизменности связей между оставшимися элементами;

  • удаление или изменение связей между элементами информационного портрета при сохранении их количества.

Изменение информационного портрета объекта вызывает изменение изображения его внешнего вида (видовых демаскирующих признаков), характеристик излучаемых им полей или электрических сигналов (признаков сигналов), структуры и свойств веществ. Эти изменения направлены на сближение признаковых структур объекта и окружающего его фона, в результате чего снижается контрастность изображения объекта по отношению к фону и ухудшаются возможности его обнаружения и распознавания.

Однако при изменении информационного портрета информация не воспринимается не только злоумышленником, но и ее санкционированным получателем. Следовательно, для санкционированного получателя информационный портрет должен быть восстановлен путем дополнительной передачи ему удаленных элементов и связей или алгоритма (ключа) этих изменений. В условиях рынка, когда производитель вынужден рекламировать свой товар, наиболее целесообразным способом информационного скрытия является исключение из рекламы или открытых публикаций наиболее информативных сведений или признаков – информационных узлов, содержащих охраняемую тайну.

К информационным узлам относятся принципиально новые технические, технологические и изобразительные решения и другие достижения, которые составляют ноу-хау. Изъятие из технической документации информационных узлов не позволит конкуренту воспользоваться информацией, содержащейся в рекламе или публикациях.

Информационное скрытие позволяет:

  • существенно уменьшить объем защищаемой информации и тем самым упростить проблему защиты информации;

  • использовать в рекламе новой продукции сведения о ней, не опасаясь разглашения.

Например, вместо защиты информации, содержащейся в сотнях и тысячах листов технической документации, разрабатываемой для производства новой продукции, защите подлежат всего несколько десятков листов с информационными узлами.

Другой метод информационного скрытия заключается в трансформации исходного информационного портрета в новый, соответствующий ложной семантической информации или ложной признаковой структуре, и 'навязывании' нового портрета органу разведки или злоумышленнику. Такой метод защиты называется дезинформированием.

Принципиальное отличие информационного скрытия путем изменения информационного портрета от дезинформирования состоит в том, что первый метод направлен на затруднение обнаружения объекта с информацией среди других объектов (фона), а второй – на создании на этом фоне признаков ложного объекта.

Дезинформирование относится к числу наиболее эффективных способов защиты информации по следующим причинам:

  • создает у владельца защищаемой информации запас времени, обусловленный проверкой достоверности полученной информации;

  • последствия принятых конкурентом на основе ложной информации решений могут быть для него худшими по сравнению с решениями, принимаемыми при отсутствии добываемой информации;

Однако этот метод защиты практически сложно реализовать. Основная проблема заключается в обеспечении достоверности ложного информационного портрета. Дезинформирование только в том случае достигнет цели, когда у разведки (злоумышленника) не возникнут сомнения в истинности подсовываемой ему ложной информации. В противном случае может быть получен противоположный эффект, так как при раскрытии разведкой факта дезинформирования полученная ложная информация сузит область поиска истинной информации. Поэтому к организации дезинформирования необходимо относиться очень серьезно, с учетом того, что потребители информации отчетливо представляют ущерб от дезинформации и при малейших сомнениях будут перепроверять информацию с использованием других источников.

Дезинформирование осуществляется путем подгонки признаков информационного портрета защищаемого объекта под признаки информационного портрета ложного объекта, соответствующего заранее разработанной версии. От тщательности подготовки версии и безукоризненности ее реализации во многом зависит правдоподобность дезинформации. Версия должна предусматривать комплекс распределенных во времени и в пространстве мер, направленных на имитацию признаков ложного объекта. Причем, чем меньше при дезинформации используется ложных сведений и признаков, тем труднее вскрыть ее ложный характер.

Различают следующие способы дезинформирования:

  • Замена реквизитов защищаемых информационных портретов в том случае, когда информационный портрет объекта защиты похож на информационные портреты других открытых объектов и не имеет специфических информативных признаков. В этом случае ограничиваются разработкой и поддержанием версии о другом объекте, выдавая в качестве его признаков признаки защищаемого объекта. Например, в настоящее время большое внимание уделяется разработкам продукции двойного применения: военного и гражданского. Распространение информации о производстве продукции сугубо гражданского использования является надежным прикрытием для вариантов военного назначения;

  • Поддержание версии с признаками, заимствованными из разных информационных портретов реальных объектов. Применяется в тех случаях, когда в организации одновременно выполняется несколько закрытых тем. Путем различных сочетаний признаков, относящихся к различным темам, можно навязать противоположной стороне ложное представление о ведущихся работах без имитации дополнительных признаков;

  • Сочетание истинных и ложных признаков, причем ложными заменяется незначительная, но самая ценная часть информации, относящейся к защищаемому объекту;

  • Изменение только информационных узлов с сохранением неизменной остальной части информационного портрета.

Как правило, используются различные комбинации этих вариантов. Другим эффективным методом скрытия информации является энергетическое скрытие. Оно заключается в применении способов и средств защиты информации, исключающих или затрудняющих выполнение энергетического условия разведывательного контакта.

Энергетическое скрытие достигается уменьшением отношения энергии (мощности) сигналов, то есть носителей (электромагнитного или акустического полей и электрического тока) с информацией, и помех. Уменьшение отношения сигнал/шум (помеха) (слово «мощность», как правило, опускается) возможно двумя методами: снижением мощности сигнала или увеличением мощности помехи на входе приемника. Воздействие помех приводит к изменению информационных параметров носителей: амплитуды, частоты, фазы. Если носителем информации является амплитудно-модулированная электромагнитная волна, а в среде распространения канала присутствует помеха в виде электромагнитной волны, имеющая одинаковую с носителем частоту, но случайную амплитуду и фазу, то происходит интерференция этих волн. В результате этого значения информационного параметра (амплитуды суммарного сигнала) случайным образом изменяются и информация искажается. Чем меньше отношение мощностей, а, следовательно, амплитуд сигнала и помехи, тем значительнее значения амплитуды суммарного сигнала будут отличаться от исходных (устанавливаемых при модуляции) и тем больше будет искажаться информация.

Атмосферные и промышленные помехи, которые постоянно присутствуют в среде распространения носителя информации, оказывают наибольшее влияние на амплитуду сигнала, в меньшей степени – на его частоту. Но частотно-модулируемые (ЧМ) сигналы имеют более широкий спектр частот. Поэтому в функциональных каналах, допускающих передачу более широкополосных сигналов, например, в УКВ диапазоне, передачу информации осуществляют, как правило ЧМ сигналами как более помехоустойчивыми, а в узкополосных ДВ, СВ и КВ диапазонах – АМ сигналами.

В общем случае качество принимаемой информации ухудшается с уменьшением отношения сигнал/помеха. Характер зависимости качества принимаемой информации от отношения сигнал/помеха отличается для различных видов информации (аналоговой, дискретной), носителей и помех, способов записи на носитель (вида модуляции), параметров средств приема и обработки сигналов.

Наиболее жесткие требования к качеству информации предъявляются при передаче данных (межмашинном обмене): вероятность ошибки знака по плановым задачам, задачам статистического и бухгалтерского учета оценивается порядка – 10-5-10-6, по денежным данным 10-8-10-9. Для сравнения, в телефонных каналах хорошая слоговая разборчивость речи обеспечивается при 60-80%, то есть требования к качеству принимаемой информации существенно менее жесткие. Это различие обусловлено избыточностью речи, которая позволяет при пропуске отдельных звуков и даже слогов восстанавливать речевое сообщение. Вероятность ошибки знака 10-5 достигается при его передаче двоичным амплитудно-модулируемым (АМ) сигналом и отношении мощности сигнала к мощности флуктуационного шума на входе приемника приблизительно 20, при передаче ЧМ сигналом – около 10. Для обеспечения разборчивости речи порядка 85% превышение амплитуды сигнала над шумом должно составлять около 10 дБ, для получения удовлетворительного качества факсимильного изображения – приблизительно 35 дБ, качественного телевизионного изображения – более 40 дециБел (дБ).

В общем случае при уменьшении отношения сигнал/шум до единицы и менее качество информации настолько ухудшается, что она не может практически использоваться. Для конкретных видов информации и модуляции сигнала существуют граничные значения отношения сигнал/помеха, ниже которых обеспечивается энергетическое скрытие информации.

Так как разведывательный приемник в принципе может быть приближен к границам контролируемой зоны организации, то значения отношения сигнал/шум измеряются, прежде всего, на границе этой зоны. Обеспечение на границе зоны значений отношения сигнал/шум ниже минимально допустимой величины гарантирует безопасность защищаемой информации от утечки за пределами контролируемой зоны.

^

8.3. Каналы утечки информации



Возможные каналы утечки информации можно разбить на четыре группы.

1-я группа – каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы образующиеся за счет:

  • дистанционного скрытого видеонаблюдения или фотографирования;

  • применения подслушивающих устройств;

  • перехвата электромагнитных излучений и наводок и т.д.

2-я группа – каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. Ко второй группе относятся:

  • наблюдение за информацией с целью ее запоминания в процессе обработки;

  • хищение носителей информации;

  • сбор производственных отходов, содержащих обрабатываемую информацию;

  • преднамеренное считывание данных из файлов других пользователей;

  • чтение остаточной информации, то есть данных, остающихся на магнитных носителях после выполнения заданий;

  • копирование носителей информации;

  • преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;

  • маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;

  • использование для доступа к информации так называемых "люков", дыр и "лазеек", то есть возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования применяемых в автоматизированных системах обработки данных.

3-я группа – к этой группе относятся:

  • незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);

  • злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

  • злоумышленный вывод из строя механизмов защиты.

4-я группа – к этой группе относятся:

  • несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;

  • получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.



^

8.4. Средства обеспечения информационной безопасности в компьютерных системах




8.4.1. Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-Н»



Предназначено для быстрого (экстренного) стирания информации, записанной на жестких магнитных дисках, как эксплуатируемых, так и не эксплуатируемых в момент стирания (рис. 1).

Основные особенности изделий серии «Стек»:

  • предельно возможная скорость уничтожения информации;

  • способность находиться во взведенном состоянии сколь угодно долго без ухудшения характеристик;

  • возможность применения в дистанционно управляемых системах с автономным электропитанием;

Рис. 1.

  • отсутствие движущихся частей;

  • стирание информации, записанной на маг­нитном носителе, происходит без его физичес­кого разрушения, но последующее использова­ние диска вновь проблематично.

Устройство выпускается в виде трех базовых моделей: «Стек-HCl», «Стек-НС2», «Стек-НА1».

Модель «Стек-HCl» ориентирована на создание рабочего места для быстрого стирания информации с большого количества винчестеров перед их утилизацией. Имеет только сетевое электропитание, характеризуется малым временем перехода в режим «Готовность» после очередного стирания. Модель имеет невысокую стоимость и предельно проста в управлении.

Модель «Стек-НС2» ориентирована на создание стационарных информационных сейфов для компьютерных данных, имеет только сетевое электропитание. Оборудована системами поддержания температурного режима НЖМД, самотестирования, а также может быть доо­борудована модулем дистанционной инициализации.

Модель «Стек-HAl» ориентирована на создание портативных информационных сейфов для компьютерных данных, имеет сетевое и автономное электропитание. Оборудована систе­мой самотестирования и модулем дистанционной инициализации.

Устройство может быть использовано для стирания информации с носителей других типов, помещающихся в рабочую камеру 145х105x41мм и имеющих аналогичные свойства.

Изделие обеспечивает стирание полезной и служебной информации, записанной на маг­нитном носителе. Поэтому носитель может быть использован только при наличии спецобору­дования. Кроме того, в ряде случаев возможно разъюстирование блока головок.

Перечислим основные характеристики Стек-НС1(2):

  1. Максимальная продолжительность перехода устройства в режим «Готовность» – 7...10 с.

  2. Длительность стирания информации на одном диске – 300 мс.

  3. Электропитание изделия – 220 В, 50 Гц.

  4. Максимальная отводимая тепловая мощность – 8 Вт.

  5. Допустимая продолжительность непрерывной работы изделия:

    • в режиме «Готовность» – не ограничена;

    • в цикле «Заряд»/«Стирание» – не менее 0,5 ч.

  6. Габариты – 235x215x105 мм.

Перечислим основные характеристики Стек-HA1:

  1. Максимальная продолжительность перехода устройства в режим «Готовность» – не более 15...30 с.

  2. Длительность стирания информации на одном диске – 300 мс.

  3. Электропитание изделия – 220 В, 50 Гц или внешний аккумулятор 12 В.

  4. Допустимая продолжительность непрерывной работы изделия:

    • в режиме «Готовность» – не ограничена;

    • в цикле «Заряд»/«Стирание» – не менее 30 раз по 0,5 ч.

  5. Габариты – 235x215x105 мм.



^

8.4.2. Обнаружитель подключения к LAN (локальной сети) FLUKE



Меры противодействия на компьютерных сетях – очень специфичная задача, которая требует навыков наблюдения и работы в фоновом режиме. В этом виде сервиса применяется несколько приборов:

    • ручной осциллограф;

    • кабельный сканер (100 МГц, 5 категория);

    • рефлектометр временных интервалов с анализом переходных связей для работы на «сво­бодной линии»;

    • анализатор сетевого трафика/протокольный анализатор;

    • компьютер со специальным пакетом обнаруживающего программного обеспечения;

    • портативный спектральный анализатор.

Эти приборы используются в дополнение к осциллографам, спектральным анализаторам, мультиметрам, поисковым приемникам, рентгеновским установкам и другим прибо­рам противодействия.

FLUKE является прибором для команд противодействия наблюдению (рис. 2). «Базовый инстру­мент» предоставляет все функции кабельного сканера, включая функции высококачественного рефлектометра временных интервалов.

Возможности анализа трафика важны при идентификации и отслеживании нарушений в функционировании сети, вторжений хакеров и регистрации наличия замаскированных уст­ройств наблюдения в локальной сети.

ЛАНметр также используется при проведении сетевых аудитов и проверок.

Кабельный анализатор FLUKE DSP-2000\DSP-4000 и из­меритель параметров FLUKE 105B также необходимые прибо­ры для проведения инспекций по противодействию и дополняют ЛАНметр.

Во время проведения инспекций осциллограф, подключаемый для общей оценки к сети, обычно позволяет наблюдать за формой сигналов и их наличием. В случае наличия в сети устройств несанкционированного наблюдения с распределенным спектром осциллограф обеспечит быстрое определение этого факта, а также индикацию напряжений, наличия радиочастотного шума и ограниченной информации о переходных связях.

Рис. 2.

Портативный спектральный анализатор используется для опе­ративного просмотра радиочастотного спектра сети. Наблюдение должно осуществляться за любыми сигналами, не отвечающими типичному виду в тестируемой сети.

Когда все комбинации проводов сети тщательно проверены на присутствие посторонних сигналов (используя осциллограф и спектральный анализатор), для мониторинга любой происходя­щей активности на каждом специфичном сегменте (или кабель­ном вводе) используется сетевой анализатор трафика. Это является целью идентификации любой аномалии сетевого трафика, которая может служить индикатором использования специального программного обеспечения, несан­кционированного наблюдения или бреши в системе безопасности.

Анализатор сетевого трафика обычно оценивает только заголовки пакетов и может предо­ставить пользователю несколько базовых сетевых функций, таких как передача данных из одной программы в другую (PING), отслеживание пути (Trace Route), просмотр DNS и обеспечение списков найденных или активных сетевых адресов. С этой точки зрения специ­алист противодействия получит список всех сетевых объектов, который затем может быть сверен с физическим списком.

Специалист по противодействию может произвести отключение сегмента сети (обычно путем выключения маршрутизатора или коммутатора) и отсоединить всю проводку. Это изолирует группу компьютеров и часть кабелей от остальной сети и обеспечит соответствую­щее «прикрытие» для оставшейся части инспекции. Физическая проводка может быть проверена на наличие устройств наблюдения или аномалий.

^

8.4.3. Система защиты информации Secret Net 4.0



Система предназначена для обеспечения информационной безопасности в локальной вычислитель­ной сети, рабочие станции и сервера которой работают под управлением следующих опера­ционных систем: Windows 95, Windows 98 и их модификаций; Windows NT версии 4.0; UNIX MP-RAS версии 3.02.00 (рис. 3, 4, 5).

Основными сферами применения системы Secret Net являются:

  • защита информационных ресурсов;

  • централизованное управление информационной безопасностью;

  • контроль состояния информационной безопасности.



Рис. 3.


Рис. 4. Рис. 5.
Для безопасности рабочих станций и серверов сети используются всевозможные механиз­мы защиты:

  • усиленная идентификация и аутентификация;

  • полномочное и избирательное разграничение доступа;

  • замкнутая программная среда;

  • криптографическая защита данных;

  • другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитны­ми механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасно­сти, регистрируется в едином журнале регистрации. О попытках совершения пользователями неправомерных действий администратор безо­пасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регист­рации, оперативного управления удаленными рабочими станциями.

Система Secret Net состоит из трех компо­нентов: клиентской части, сервера безопасности и подсистемы управления.

Особенностью системы Secret Net является клиент-серверная архитектура, при которой сер­верная часть обеспечивает централизованное хра­нение и обработку данных системы защиты, а клиентская часть – защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Клиентская часть системы защиты (как автономный вариант, так и сетевой) устанавлива­ется на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).

Основное назначение клиентской части:

  • защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей;

  • регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности;

  • выполнение централизованных и децентрализованных управляющих воздействий админис­тратора безопасности.

Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носите­лей).

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:

  • ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управ­лением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты;

  • сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;

  • взаимодействие с подсистемой управления и передача управляющих команд администра­тора на клиентскую часть системы защиты.

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:

  • централизованное управление защитными механизмами клиентов Secret Net;

  • контроль всех событий, имеющих отношение к безопасности информационной системы;

  • контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД;

  • планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.

Схема управления, реализованная в Secret Net, позволяет управлять информационной бе­зопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.

Система защиты информации Secret Net вы­пускается в автономном и сетевом вариантах. Автономный вариант состоит только из клиен­тской части и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети, содержащих важную информацию. Сетевой вариант состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту как всех компьютеров сети, так и только тех рабочих станций и серверов, которые хранят и обрабатывают важную информацию. Причем в сетевом варианте, благодаря наличию сервера безопасности и подсистемы управления, будет обеспечено централизованное управление и контроль работы всех компьютеров, на которых установлены клиенты Secret Net.

Семейство средств защиты информации Secret Net имеет все необходимые сертификаты Гостехкомиссии России и Федерального агентства правительственной связи и информации России.

Система защиты информации Secret Net 4.0 сертифицирована Гостехкомиссией России по 3 классу защищенности. Это означает, что Secret Net 4.0 можно применять для защиты информации, содержащей сведения, составляющие государственную тайну.

^

8.4.4. Электронный замок «Соболь-РСI»



Предназначен для защиты ресурсов компьютера от несанкционированного доступа. Электронный замок (ЭЗ) «Соболь-PCI» сертифицирован Гостехкомиссией России. Сер­тификат № 457 от 14.05.2000 г. подтверждает соответствие изделия требованиям Руково­дящего документа Гостехкомиссии России «Автоматизированные системы. Классификация автоматизированных систем и требования по защите информации» и позволяет использовать его при разработке систем защиты для автоматизированных систем с классом защищенности до 1В включительно.

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локаль­ной вычислительной сети.

При этом используются следующие механизмы защиты: идентификация и аутентификация пользователей; регистрация попыток доступа к ПЭВМ; запрет загрузки ОС со съемных носителей; контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Действие электронного замка «Соболь» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему незарегистрированного пользователя электронный замок регистрирует попытку и осуществля­ется аппаратная блокировка до 4 устройств (например: FDD, CD-ROM, ZIP, LPT, SCSI-порты).

В электронном замке используются идентификаторы Touch Memory фирмы Dallas Semiconductor. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора. Служебная информация о регистрации пользователя (имя, номер присвоенного персо­нального идентификатора и т.д.) хранится в энергонезависимой памяти электронного замка. Электронный замок осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти.

В системном журнале фиксируется вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы. В нем хранится следующая инфор­мация: дата и время события, имя пользова­теля и информация о типе события (напри­мер, факт входа пользователя, введение неправильного пароля, предъявление не заре­гистрированного идентификатора пользователя, превышение числа попыток входа в систему, другие события).

Таким образом, электронный замок «Со­боль» предоставляет информацию администра­тору обо всех попытках доступа к ПЭВМ.

Контроль целостности системных областей дисков и наиболее критичных файлов произво­дится по алгоритму ГОСТ 28147-89 в режи­ме имитовставки. Администратор имеет воз­можность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении цело­стности контролируемых файлов. Подсистема запрета загрузки с гибкого диска и CD диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей, кроме администратора. Администратор может разрешить отдельным пользова­телям компьютера выполнять загрузку операционной системы со съемных носителей.

Подсистемы контроля целостности и подсистемы запрета загрузки со съемных носителей функционируют под управлением следующих ОС: MS DOS версий 5.0-6.22 (только ЭЗ «Соболь» для стандарта ISA); ОС семейства Windows'9x (FAT12, FAT 16 или FAT32); Windows NT версий 3.51 и 4.0 с файловой системой NTFS; Windows 2000 с файловой системой NTFS (только «Соболь-PCI»); UNFX FreeBCD (только «Соболь-PCI»).

Для настройки электронного замка «Соболь» администратор имеет возможность опреде­лять минимальную длину пароля пользователя, предельное число неудачных входов пользо­вателя, добавлять и удалять пользователей, блокировать работу пользователя на компьютере, создавать резервные копии персональных идентификаторов.

Электронный замок «Соболь» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании ЭЗ «Соболь» в составе Secret Net обеспечивается единое централизован­ное управление его возможностями. С помощью подсистемы управления Secret Net админи­стратор безопасности может управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействитель­ными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации.

В базовый комплект электронного замка «Соболь-PCI» входит (рис. А6, А7):

  • контроллер «Соболь-PCI»;

  • считыватель Touch Memory;

  • два идентификатора DS-1992;

  • интерфейс для блокировки загрузки с FDD;

  • интерфейс для блокировки загрузки с CD-ROM;

  • программное обеспечение формирования списков контролируемых программ;

  • документация.



Рис. 6. Рис. 7.

^

8.4.5. Система защиты корпоративной информации Secret Disk Server



Предназначена для защиты конфиденциальной информации, корпоративных баз данных (Рис. 8).

Система предназначена для работы в Windows NT 4.0 Server/Workstation, поддержи­вает работу с IDE- и SCSI-дисками, со всеми типами RAID-массивов.

Защищаемые разделы могут содержать файловую систему FAT или NTFS.

Рис. 8.

Система не только надежно защищает конфиденциальные данные, но и скрывает их наличие.

Защита информации осуществляется путем «прозрач­ного» («на лету») шифрования содержимого разделов жесткого диска (логических дисков).

При установке Secret Disk Server выбранные логичес­кие диски зашифровываются. Права доступа к ним для пользователей сети устанавливаются средствами Windows NT. Шифрование осуществляется программно системным драйвером ядра (kernel-mode driver).

Помимо встроенного алгоритма преобразования дан­ных с длиной ключа 128 бит, Secret Disk Server позво­ляет подключать внешние модули криптографической за­щиты, например входящий в Windows RC-4 или эмулятор известной платы «Криптон», реализующей мощнейший российский алгоритм шифрования ГОСТ 28147-89 с длиной ключа 256 бит. Скорость шифрования очень высока, поэтому мало кто сможет заметить небольшое замедление при работе.

Ключи шифрования вводятся в драйвер Secret Disk Server перед началом работы с защищенными разделами (или при загрузке сервера). Для этого используются микропроцес­сорные карточки (смарткарты), защищенные PIN-кодом. Не зная код, воспользоваться карточкой нельзя. Три попытки ввода неправильного кода заблокируют карту. При работе сервера смарткарта не нужна, и ее можно спрятать в надежное место.

Во время работы системы ключи шифрования хранятся в оперативной памяти сервера и никогда не попадают на диск в файл подкачки (swap file).

Генерация PIN-кода и ключей шифрования производится самим пользователем. При генерации используется последовательность случайных чисел, формируемая по траектории движения мыши и временным характеристикам нажатия произвольных клавиш.

Secret Disk Server имеет открытый интерфейс для подачи сигнала «тревога» и позволяет подключать различные датчики и устройства контроля доступа в помещение (датчики откры­вания дверей, окон, движения, изменения объема, электронные и кодовые замки).

При подключении защищенных дисков возможен автоматический запуск необходимых программ и сервисов, перечисленных в конфигурационном файле.

После перезагрузки сервера без предъявления смарткарты или попытки чтения дисков на другом компьютере, защищенные разделы будут «видны» как неформатированные области, прочитать которые нельзя. При возникновении опасности можно мгновенно «уничтожить» информацию, сделав защищенные разделы «невидимыми». В поставку входит установочный CD диск, универсальное устройство для работы со смарткартами (внешнее), комплект кабелей, специальная плата Hardlock, документация на русском языке, 3 смарткарты.
^

8.4.6. Система защиты конфиденциальной информации Secret Disk



Secret Disk – система защиты конфиденциальной информации для широкого круга пользователей компьютеров: руководителей, менеджеров, бухгалтеров, аудиторов, адвокатов и др.

При установке системы Secret Disk в компьютере появляется новый виртуальный логичес­кий диск (один или несколько). Все, что на него записывается, автоматически шифруется, а при чтении расшифровывается. Содержимое этого логического диска находится в специаль­ном контейнере — зашифрованном файле. Файл секретного диска может находиться на жестком диске компьютера, на сервере, на съемных носителях типа Zip, Jaz, CD-ROM или магнитооптике.

Secret Disk обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.

Подключение секретного диска и работа с зашифрованными данными возможны только после аппаратной аутентификации пользователя ввода и правильного пароля. Для аутентифи­кации используется электронный идентификатор – смарткарта, электронный ключ или брелок.

После подключения секретного диска он становится «виден» операционной системе Windows как еще один жесткий диск, а записанные на нем файлы доступны любым программам.

Не имея электронного идентификатора и не зная пароля, подключить секретный диск нельзя – для посторонних он останется просто зашифрованным файлом с произвольным именем (например, game.exe или girl.tif).

Как любой физический диск, защищенный диск может быть предоставлен для совместного использования в локальной сети. После отключения диска все записанные на нем файлы и программы сделаются недоступными.

Перечень основных характеристик:

  1. Защита конфиденциальных данных с помощью профессиональных алгоритмов шифрова­ния (возможность подключения внешних криптографических библиотек).

  2. Генерация ключей шифрования самим пользователем.

  3. Аппаратная аутентификация пользователя посредством электронных брелоков, смарт-карт, PCMCIA-карт или электронных ключей.

  4. Двойная защита. Каждый секретный диск защищен личным электронным идентификато­ром пользователя и паролем доступа к этому диску.

  5. Работа с зашифрованными архивами. Информацию можно сжать и зашифровать как для себя (с использованием электронного идентификатора), так и для защищенного обмена с коллегами (с паролем).

  6. Блокировка компьютера Secret Disk позволяет гасить экран и блокировать клавиатуру при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя. При блокировании системы секретные диски не отключаются, запущенные приложения, использующие защищенные данные, продолжают нормально работать, работа других пользователей, которым предоставлен совместный доступ к секретному диску в сети, не нарушается.

  7. Режим работы под принуждением. В критической ситуации можно ввести специальный аварийный пароль. При этом система на некоторое время подключит диск, уничтожив личный ключ шифрования в электронном идентификаторе (что сделает невозможным доступ к диску в будущем), а затем сымитирует одну из известных ошибок Windows.

  8. Возможность восстановления данных при утере (или намеренной порче) электронного идентификатора или утрате пароля.

  9. Простой и удобный пользовательский интерфейс.

  10. Различия по алгоритмам шифрования (в зависимости от потребностей, может исполь­зоваться один из встроенных алгоритмов):

    • встроенный алгоритм кодирования с длиной ключа 128 бит;

    • криптографический алгоритм RC4 с длиной ключа 40 бит, встроенный в Windows 95, 98 (для неамериканской версии);

    • криптографический алгоритм ГОСТ 28147-89 с длиной ключа 256 бит (программный эмулятор платы «Криптон» или плата «Криптон»).

  11. Плата «Криптон» сертифицирована для защиты государственной тайны, поставляется по отдельному запросу фирмой АНКАД.

  12. Версия с аппаратной защитой от начальной загрузки компьютера (DeLuxe) поставляется по отдельным соглашениям.



^

8.4.7. Программно-аппаратный комплекс средств защиты «Аккорд-АМДЗ»



Предназначен для применения на IBM-совместимых ПЭВМ (рабочих станциях ЛВС) в целях их защиты от несанкционированного доступа : идентификации, аутентификации пользователей, регистрации их действий; контроля целостности технических и программный средств(файлов общего, прикладного ПО и данных) ПЭВМ(PC); обеспечения режима доверенной загрузки в различных операционных средах (MS DOS, Windows 9x, Windows Millenium, Winder-NT, Windows 2000, OS/2, UNIX), а такс; любых других ОС, использующих файловые системы FAT 12, FAT 16, FAT 32, NTFS HPFS, FreeBSD, Linux EXT2FS, при много­пользовательском режиме эксплуатации ПЭВМ (рабочих станций ЛВС).

Комплекс представляет собой совокупность технических и программных средств, обеспечи­вающих выполнение основных функций защиты от НСД ПЭВМ (PC) на основе применения персональных идентификаторов пользователей; парольного механизма; блокировки загрузки опе­рационной системы со съемных носителей информации; контроля целостности технических средств и программных средств (файлов общего, прикладного ПО и данных) ПЭВМ (PC); обеспечения режима доверенной загрузки установленных в ПЭВМ (PC) операционных систем.

Программная часть комплекса, включая средства идентификации и аутентификации, сред­ства контроля целостности технических и программных средств ПЭВМ (PC), средства регистрации действий пользователей, а также средства администрирования (настройки встро­енного ПО) и аудита (работы с регистрационным журналом) размещается в энергонезави­симой памяти (ЭНП) контроллера при изготовлении комплекса.

Доступ к средствам администрирования и аудита комплекса предоставляется только адми­нистратору БИ.

Идентификация и аутентификация пользователей, контроль целостности технических и программных средств ПЭВМ (PC) выполняются контроллером комплекса до загрузки опе­рационной системы, установленной в ПЭВМ (PC). При модификации системного ПО замена контроллера не требуется. При этом обеспечивается поддержка специального режима програм­мирования контроллера без снижения уровня защиты.

Комплекс обеспечивает выполнение основных функций защиты от НСД как в составе локальной ПЭВМ, так и на рабочих станциях ЛВС в составе комплексной системы защиты от НСД ЛВС, в том числе настройку, контроль функционирования и управление комплек­сом.

Основные характеристики:

  1. Защита ресурсов ПЭВМ (PC) от лиц, не допущенных к работе на ней, идентификацией пользователей ПЭВМ (PC) по персональным идентификаторам DS 199х – до загрузки операционной системы (ОС).

  2. Аутентификация пользователей ПЭВМ (PC) по паролю длиной до 12 символов, вводи­мому с клавиатуры (длину пароля устанавливает администратор БИ при регистрации пользо­вателя), с защитой от раскрытия пароля – до загрузки операционной системы (ОС).

  3. Блокировка загрузки с отчуждаемых носителей.

  4. Контроль целостности технических, программных средств, условно-постоянной информа­ции ПЭВМ (PC) до загрузки ОС с реализацией пошагового алгоритма контроля. Этим обеспечивается защита от внедрения разрушающих программных воздействий (РПВ).

  5. Доверенная загрузка системного и прикладного ПО при одновременной установке на дисках или в разделах диска ПЭВМ (PC) нескольких ОС.

  6. Поддержка файловых систем FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSd, Linux EXT2FS.

  7. Регистрация на ПЭВМ (PC) до 16 пользователей.

  8. Регистрация контролируемых событий в системном журнале, размещенном в энергоне­зависимой памяти контроллера.

  9. Возможность физической коммутации управляющих сигналов периферийных устройств в зависимости от уровня полномочий пользователя, позволяющей управлять вводом/выводом информации на отчуждаемые физические носители и устройства обработки данных.

  10. Администрирование встроенного ПО ком­плекса (регистрация пользователей и персо­нальных идентификаторов, назначение файлов для контроля целостности, контроль аппаратной части ПЭВМ (PC), просмотр системного жур­нала).

  11. Контроль целостности программ и данных, их защита от несанкционированной модифика­ции.

  12. Регистрация, сбор, хранение и выдача данных о событиях, происходящих в ПЭВМ (PC) в части системы защиты от несанкцио­нированного доступа в ЛВС.

  13. Разграничение доступа пользователей и программ ПЭВМ (PC) к аппаратным устройствам в соответствии с уровнем их полномочий.



^

8.4.8. Аппаратно-программный комплекс IP Safe-PRO



Предназначен для построения защищенных виртуальных частных IP-сетей, создаваемых на базе сетей общего пользования (в том числе и Интернет).

Выполнен на базе IBM РС-совместимого компьютера с двумя Ethernet-интерфейсами (базовая конфигурация) с операционной системой FreeBSD (рис. 9).
Рис. 9.

Дополнительные возможности:

  • статическая маршрутизация и функции межсетевого экрана (защита от спуфинга, обработка данных по адресам, портам, протоколам и др.);

  • возможность поддержки интерфейсных стандартов G.703, G.704, V.35, RS-232 и др.;

  • система "горячего" резервирования;

  • работа в синхронном и асинхронном режимах.

Технические характеристики:

    1. Используемый протокол семейства IPsec - ESP (Encapsulating Security Payload, RFC 2406) в туннельном режиме (с предоставлением следующих услуг безопасности: конфиденциальности и целостности данных, аутентификации источника данных, сокрытия топологии локальных корпоративных сетей, защиты от анализа трафика).

    2. Ключевая система - симметричная (с возможностью централизованного и децентрализованного администрирования).

    3. Криптоалгоритмы - ГОСТ 28147, RC5, 3DES, DES, SHA-1, MD5.



^

8.4.9. Аппаратно-программный комплекс "КОНТИНЕНТ-К"



Предназначен для построения VPN на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

В качестве составных частей VPN, построенной на базе комплекса, могут выступать корпоративные ЛВС, их сегменты и отдельные компьютеры (в том числе переносные или домашние компьютеры руководителей и сотрудников) (рис. 10.).

Рис. 10.
АПК "Континент-К" обеспечивает:

  • защиту внутренних сегментов сети от несанкционированного доступа со стороны сетей общего пользования;

  • статическую маршрутизацию IP-пакетов;

  • фильтрацию IP-пакетов в соответствии с заданными правилами;

  • сокрытие внутренней структуры защищаемых сегментов сети;

  • криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между составными частями VPN;

  • безопасный доступ пользователей VPN к ресурсам сетей общего пользования;

  • централизованное управление настройками VPN-устройств;

  • удаленный доступ к ресурсам VPN по выделенным и коммутируемым каналам связи.

Основным элементом комплекса является криптографический шлюз, который представляет собой специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Криптографический шлюз оснащается сетевыми интерфейсами стандарта Ethernet, а также платой электронный замок "Соболь", обеспечивающей локальную идентификацию и аутентификацию администратора КШ и контроль целостности программного обеспечения. Криптошлюз "Континент-К" предназначен для работы в необслуживаемом режиме, т.е. в момент его включения или во время его работы не требуется присутствия обслуживающего персонала для ввода ключей, паролей или иной информации.

В сети "Континент-К" возможно установить до 5000 криптошлюзов. Добавление новых и изменение настроек уже установленных компонентов производятся без вмешательства в процесс функционирования системы.

Комплекс "Континент-К" сертифицирован Гостехкомиссией России на соответствие третьему классу защищенности для межсетевых экранов и ФАПСИ на соответствие требованиям ГОСТ 28147-89 и требованиям к  стойкости средств криптографической защиты конфиденциальной информации.

Технические характеристики:

  • алгоритм шифрования – ГОСТ 28147-89;

  • длина ключа шифрования – 256 бит;

  • количество сетевых интерфейсов – до 16;

  • пропускная способность (шифрование, имитозащита, туннелирование) – до 80 Мбит/с;

  • пропускная способность абонентского пункта – до 14 Мбит/с;

  • увеличение длины IP-пакета – до 36 байт;

  • поддержка режима горячего резервирования.



^

8.4.10. Кейс для транспортировки ноутбуков «ТЕНЬ К1»



"ТЕНЬ К1" предназначен для транспортировки ноутбуков или отдельных накопителей на жестких и магнитных дисках (НЖМД) (стриммерных картриджей, ZIP дисков) с возможностью экстренного уничтожения информации при попытке НСД (рис. 11).

Конструктивно комплекс монтируется в пыле-, влаго-, взрывозащищенный кейс, в котором будет производиться транспортировка ноутбука. Защищаемая информация размещается на дополнительном жестком диске, который находится в кейсе отдельно от ноутбука в специальном отсеке и соединен с ним внешним интерфейсным кабелем. Экстренное уничтожение информации производится:

  • автоматически при попытках несанкционированного вскрытия кейса;

    • автоматически при попытках несанкционированного вскрытии отсека, где находится охраняемый жесткий диск;

  • автоматически, по истечению 24 часов автономной работы;

  • дистанционно по команде пользователя. Процесс уничтожения не влияет на работоспособность ноутбука и не зависит от того, происходила работа;

Рис. 11.

  • с информацией в этот момент или нет. Возможен вариант изготовления комплекса для транспортировки жестких дисков, дискет, аудио-, видео-, стримерных кассет.

Комплекс может находиться в двух режимах: режим ожидания (РО) и режим охраны (Р1). В режиме РО происходит тестирование всех основных узлов, блоков и датчиков. Осуществляется свободный доступ к ноутбуку или магнитным носителям. В режиме Р1 автоматически происходит уничтожение информации при попытке НСД или пользователем в любой момент времени по радиоканалу (дальность до 100 метров). Снятие – постановка в режим охраны осуществляется при помощи бесконтактной электронной Proximity карты.

Комплекс ТЕНЬ имеет автономный источник питания, обеспечивающий бесперебойную работу до 24 часов.

Дополнительные возможности:

  • уничтожение информации по команде пользователя с любого сотового телефона по GSM каналу;

  • полная защита корпуса, исключающая некорректное вскрытие и высверливание;

  • полное протоколирование работы в реальном времени, фиксирующее в энергонезависимой памяти последние 96 событий с подробным описанием.


^

8.4.11. Аппаратно – программная система криптографической защиты
сообщений «SX-1»



Аппаратно-программная система SX-1 предназначена для криптографической защиты передаваемых по каналам связи между ПЭВМ или хранящихся в памяти ПЭВМ сообщений (рис. 12).


Рис. 12.
В системе SX-1 впервые в отечественной и зарубежной криптографической практике реализован “хаотический” поточный шифр.

Система SX-1 обеспечивает:

  • криптографическое преобразование передаваемых (принимаемых) или сформированных текстовых и (или) графических сообщений, оформленных в виде файлов, и запись их на жесткий или гибкий диски;

  • высокую стойкость ключевых данных к их компрометации при любых действиях злоумышленников и обслуживающего аппаратно-программное средство персонала;

  • гарантированное выполнение заданных функций не менее 2 лет без смены системного ключа.

Система SX-1 включает:

    1. плату с однокристальной ЭВМ (ОЭВМ), устанавливаемую в слот ISA ПЭВМ IBM PC/AT (или размещаемую в отдельном контейнере размером 140х110х35 мм) и подключаемую к ПЭВМ с помощью разъема СОМ;

    2. специальное программное обеспечение (СПО), устанавливаемое в ПЭВМ с ОС Windows 9X.

Перечислим основные характеристики системы:

      • Вероятность угадывания системного ключа с k-ой попытки - не более k2-240.

      • Вероятность угадывания сеансового ключа с k-ой попытки - не более k10-10.

      • Скорость криптографического преобразования – не менее 190000 бит/с.

      • Использование для шифрования данных криптостойких алгоритмов шифрования с длиной ключа от 128 бит;

      • Возможность подключения сертифицированного ФАПСИ криптографического модуля "Криптон" производства фирмы "Анкад", или платы "Криптон", реализующих алгоритм шифрования ГОСТ 28147-89 с длиной ключа 256 бит;

      • Формирование уникальных ключей шифрования на основе последовательности случайных чисел.

Для установки системы необходимо:

  • Инсталлировать систему SX-1 с входящего в комплект поставки гибкого диска, строго следуя пунктам инструкции, последовательно отображаемым на экране дисплея ПЭВМ.

  • Подключить к разъемам контейнера с однокристальной ЭВМ провод питания от входящего в комплект поставки адаптера и входящий в комплект поставки кабель, предназначенный для подключения контейнера к ПЭВМ.

  • Подключить контейнер с помощью кабеля к разъему COM.

  • Подключить адаптер к сети переменного тока напряжением 220 В 50 Гц.

Для исключения потери системой SX-1 работоспособного состояния необходимо пользоваться только входящими в комплект поставки адаптерами.

Для того, чтобы произвести кодирование файлов необходимо:

  1. Запустить систему SX-1.

  2. В подменю “Установки” меню “Опции” выбрать последовательный порт, к которому подключен контейнер системы SX-1 с однокристальной ЭВМ (COM1, COM2, COM3 или COM4). Для ПЭВМ типа “lop-top” – COM1.

  3. Выбрать режим кодирования, нажав на клавишу “Coder”, и файл, предназначенный для кодирования. Если контейнер подключен именно к выбранному с помощью подменю “Установки” порту, то система потребует ввода персонального конфиденциального ключа, в противном случае будет отмечена ошибка в инициализации порта.

  4. Осуществить ввод персонального конфиденциального ключа, представляющего собой любое из целых чисел от 1 до 2147483647.

  5. Сохранить закодированный файл (файл с расширением .crp) на жестком или гибком дисках. При необходимости удалить исходный файл.

Для того, чтобы произвести декодирование файлов необходимо:

  1. Запустить систему SX-1, если она не запущена.

  2. Выбрать режим декодирования, нажав на клавишу “Decoder”, и файл, предназначенный для декодирования. Если номер последовательного порта ПЭВМ, к которому подключен контейнер системы, соответствует номеру, выбранному в подменю “Установки”, то система потребует ввода персонального конфиденциального ключа, в противном случае будет отмечена ошибка в инициализации порта.

  3. Осуществить ввод персонального конфиденциального ключа.

  4. Сохранить полученный декодированный файл на жестком или гибком дисках.



^

8.4.12. Межсетевой экран и шифратор IP-протоков



Предназначен для межсетевого экранирования и криптографической защиты данных при создании виртуальных частных сетей (Virtual Private Network) в сетях общего доступа (рис. 13).

За счет сжатия информации комплекс обеспечивает заметное повышение скорости передачи данных, имеет возможность одновременной поддержки до 1024 криптографически защищенных соединений при скорости шифрования суммарного IP-потока "на проходе" до 90 Мбит/с. В комплексе используются только собственные реализации всех протокольных стеков TCP/IP, алгоритмов автоматизированного управления комплексами и заложенными в них средствами криптозащиты.

Перечислим основные характеристики:

  1. Производительность – обеспечивается скорость передачи IP-потоков от 65 Mбит/с и выше при включении всех режимов защиты (фильтрация+сжатие+шифрование).

  2. Алгоритм шифрования – ГОСТ 28147-89

  3. Ключевая система/централизованное распределение ключей – симметричная/централизованное.

  4. ОС/стек протоколов – 32 разрядная DОS-подобная /собственный.

  5. Обрабатываемые уровни ЭМВОС – сетевой + транспортный, сеансовый и прикладной (выборочно).

  6. Тип и количество интерфейсов – 2; 10/100Ethernet, FDDI.

  7. VPN-протокол/избыточность/сжатие данных – собственный/не более 22 байт на пакет/за счет проходного сжатия данных достигается эффект ускорения информационных взаимодействий.

  8. Поддержка служб QoS – организация до 8 независимых VPN-туннелей в рамках попарных соединений с установкой приоритетов потоков информации.

  9. Управление и мониторинг комплексов – локальное и удаленное, механизмами "отката" сбоев. До 1024 комплексов на один АРМ. Обеспечивается наглядное (графическое) отображение состояния работы защищаемых сетей, сигнализация нештатных событий, тотальный аудит информационных и управленческих взаимодействий.

  10. Протокол удаленного управления комплексами – собственный туннельный протокол со строгой двухсторонней аутентификацией согласно Х.509.

  11. Собственная безопасность - полный аудит событий и действий персонала, разграничение доступа с помошью iButton и USB-Key. Использование специальных процедур маршрутизации и поддержки VPN-туннелей с применением адаптивного управления потоками данных в целях повышения устойчивости (живучести) систем.

  12. Эффективное противостояние активным и пассивным информационным воздействиям разведывательного характера – сокрытие реальной топологии VPN, NAT, сокрытие фактов применения комплексов, проксирование протоколов SMNP/SMNP-Trap, Telnet, TFTP, HTTP управления пограничными маршрутизаторами, корректная эмуляция отсутствия используемых, но скрываемых адресов и сервисов.

  13. Возможность каскадного включения комплексов – обеспечивает выделение отдельных сегментов сетей в изолированные зоны повышенной защищенности.

  14. Удаленный клиент (программное обеспечение для встречной работы с "ФПСУ-IP" + USB-Key) – для Windows 98, NT, 2000.



Рис. 13. Типовая схема применения комплекса
^


Контрольные вопросы





  1. В чем состоят слабые стороны аппаратных средств защиты информации?

  2. Какие принципы защиты информации обеспечивают рациональный уровень защиты и позволяют сократить затраты?

  3. От каких параметров зависит ИБ в КЗ?

  4. Чем отличается информационное и энергетическое скрытие?

  5. Что такое информационный портрет?

  6. Какие существуют способы изменения информационного портрета?

  7. Каких результатов позволяет достичь информационное скрытие?

  8. В чем заключается принципиальное отличие информационного скрытия путем изменения информационного портрета от дезинформирования?

  9. По каким причинам дезинформирование относят к числу наиболее эффективных способов защиты информации?

  10. Какие существуют способы дезинформамирования?
^

ГЛАВА 9. ОБЩАЯ ХАРАКТЕРИСТИКА
КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ




9.1. Сущность и задачи комплексной защиты информации



Комплексная защита информации (КЗИ) – совокупность людей, процедур и оборудования, защищающих информацию от несанкционированного доступа, модификации либо отказа доступа.

Рассмотрим задачи КЗИ:

  1. Регламентация действий пользователей с целью защиты информации;

  2. Обучение и установление юридической ответственности за выполнение правил информационной безопасности (ИБ);

  3. Явный и скрытый контроль за порядком информационного обмена;

  4. Блокирование всех возможных каналов утечки;

  5. Выявление закладных устройств в технических средствах (ТС) и программном обеспечении (ПО);

  6. Обнаружение зондирований, навязываний и излучений;

  7. Обеспечение санкционированного доступа в физическое и информационное пространство;

  8. Обнаружение вторжений в физическое и информационное пространство;

  9. Обнаружение возгораний, затоплений и иных чрезвычайных

ситуаций (ЧС);

  1. Обеспечение резервирования важной информации;

  2. Организация оборота физических носителей защищаемой

информации;

  1. Обеспечение достоверности электронного документооборота ЭЦП;

  2. Шифрование информации на любых этапах обработки;

  3. Восстановление ключевых структур при компрометации;

  4. Генерация, распределение и хранение ключей и паролей;

  5. Регистрация событий и обнаружение нарушений;

  6. Расследование во взаимодействии с правоохранительными органами нарушений политики безопасности;

  7. Непрерывный контроль и управление КЗИ.
^

9.2. Стратегии комплексной защиты информации



Осознание необходимости стратегического подхода в организации безопасной информационной среды формируется у руководителей по мере осознания важности, многоаспектности и трудности защиты информации.

Стратегия – общая направленность в организации деятельности с учетом объективных потребностей, возможных условий осуществления и возможностей предприятия. Различают три вида стратегий: оборонительная, наступательная и упреждающая стратегии. Основные характеристики стратегий комплексной защиты информации приведены в табл. 7.
Таблица 7
Основные характеристики стратегий комплексной защиты информации


Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная

Наступательная

Упреждающая

Возможный
уровень защиты

Достаточно высок, но только в отношении известных угроз

Очень высок, но только в пределах существующих представлений о природе угроз и возможностях их проявления

Уровень защиты гарантированно

очень высок

Необходимые условия реализации

Наличие методов и средств реализации

1. Наличие перечня и характеристик полного множества потенциально возможных угроз

2. Наличие развитого арсенала методов и средств защиты

3. Наличие возможности влиять на архитектуру ИС и технологию обработки информации

Наличие защищенных информационных технологий

Продолжение табл. 7


Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная

Наступательная

Упреждающая

Ресурсоемкость

Незначительная по сравнению с другими стратегиями

Значительная (с ростом требований по защите растет по экспоненте)

1. Высокая в плане капитальных затрат

2. Незначительная в каждом конкретном случае при наличии унифицированной защищенной информационной технологии

Рекомендации по применению

Невысокая степень секретности защищаемой информации и не очень большие ожидаемые потери

Достаточно высокая степень секретности защищаемой информации и возможность значительных потерь при нарушении защиты

Перспективная




^ Оборонительная стратегия защиты – защита от уже известных угроз, осуществляемая автономно, без влияния на существующую ИС.

Наступательная стратегия защиты – защита от всего множества потенциальных угроз. Архитектура информационной системы и технология ее функционирования обязаны учитывать потребности защиты.

Упреждающая стратегия защиты – создание изначально такой информационной среды, в которой угрозы не имели бы условий для возникновения.

^

9.3. Этапы построения КЗИ для различных стратегий



Основные этапы построения стратегий КЗИ приведены в табл. 8.

Таблица 8
Основные этапы построения стратегий КЗИ


Наименование этапов
построения

Стратегии комплексной защиты информации

Оборонительная

Наступательная

Упреждающая

Формирование среды защиты

Отсутствует

1. Структурированная архитектура ИС

2. Структурированная технология обработки защищаемой информации

3. Четкая организация работ по защите

Защищенная информационная технология в унифицированном исполнении

Анализ средств
защиты

1. Представление организационной структуры ИС в виде графа, узлы которого – типовые структурные компоненты, а дуги – взаимосвязи между компонентами

2. Представление технологии обработки защищаемой информации в виде строго определенной схемы

3. Определение параметров защищаемой информации и условий ее обработки

Отсутствует

Оценка
уязвимости информации

1. Определение значений вероятности нарушения защиты информации в условиях ее обработки

2. Оценка размеров возможного ущерба при нарушении защиты

Отсутствует

Определение

требований к защите

Определение вероятности нарушения защиты информации, которая должна быть обеспечена при обработке защищаемой информации

Построение системы комплексной защиты

Определение технических средств, которые должны быть использованы при обработке ЗИ

Выбор типового варианта (профиля) либо проектирование индивидуальной системы КЗИ

Определение механизмов защиты, которые должны быть задействованы при создании КЗИ

Требования
к среде

защиты

Отсутствует

Определяется в зависимости от требований к защите информации

Реализуется на базе унифицированной защищенной информационной технологии



Основные принципы построения КЗИ следующие:

  1. Простота механизма защиты:

Механизм должен быть интуитивно понятен и прост в использовании. Применение механизма защиты не должно требовать знания языков и быть трудоемким, если это обычный пользователь, то есть пользователь среднего уровня квалификации.

  1. ^ Постоянство защиты:

Механизм защиты должен быть постоянно защищен от несанкционированных изменений. Ни одна КИС не является безопасной, если механизм защиты может стать объектом модификации и изменения.

  1. ^ Полнота контроля:

Проверка полномочий любого обращения к любому объекту – это основа комплексной защиты информации.

  1. Открытость проектирования:

КЗИ должна эффективно функционировать, даже если она известна противнику. То есть должна поддерживаться независимость от опыта противника. А также знание алгоритма защиты недолжно способствовать преодолению защиты даже автору.

  1. Идентификация:

Каждый объект КИС должен быть однозначно идентифицирован. Пользователь – полномочия, файл – уровень доступа.

  1. Разделени полномочий:

Применением нескольких ключей защиты, что позволяет разрешить доступ только при выполнении ряда условий.

  1. Минимизация полномочий:

Пользователь получает только то, что необходимо для исполнения функциональных обязанностей.

  1. Надежность:

Должен быть механизм постоянной оценки надежности (исправности) функционирования КЗИ.

  1. Максимальная обособленность защиты:

Защита должна быть отделена от функций управления данными и ИС.

  1. Защита памяти:

Наличие программ защиты защищаемых полей памяти для локализации попыток проникновения. При этом все попытки фиксировать, документировать и отвергать, если не корректны.

  1. Непрерывность:

КЗИ не разовое мероприятие и не совокупность мероприятий по защите, либо установок средств защиты. КЗИ это непрерывный целенаправленный процесс.

  1. Гибкость:

Гибкость особенно важна в начале эксплуатации, т.к. существует возможность чрезмерной либо недостаточной защиты и при установке на действующей ИС, когда нельзя нарушить нормальное функционирование.

  1. ^ Неизбежность наказания нарушений:

Самый простой и действенный способ наказания нарушений – отказ в доступе.

  1. Экономичность:

Минимум расходов на создание и эксплуатацию.

  1. Специализированность:

КЗИ только тогда надежна, когда реализована и эксплуатируется специалистами.

^

9.4. Структура КЗИ



0. Информация

1. Документ

2. Режим

3. Программа

4. Аппарат

5. Охрана

6. Техника

7. Инженерные сооружения

^

9.5. Основные характеристики КЗИ





  1. Надежность – эшелонированность, многоуровневость.

Для достижения цели нарушитель вынужден преодолеть несколько рубежей (слоев, уровней) защиты. Цель состоит в повышении неопределенности ожидания нарушителя относительно свойств системы защиты:

    • длительность и трудоемкость подготовки;

    • возможность неудачи и отказ от продолжения нападения.

  1. Отказоустойчивость – минимизация последствий отказов рубежей защиты.

Безотказную систему создать сложно. Следовательно, очень важно иметь четкий план восстановления после отказа. Желательно автоматизировать ввод резерва защиты.

  1. Равнопрочность – нарушитель должен преодолевать рубежи защиты с одинаковой трудностью, независимо от направления атаки.

Время преодоления и вероятность обнаружения должны быть равны независимо от пути вторжения.

^

9.6. Этапы разработки КЗИ



Процесс разработки КЗИ состоит из следующих этапов:

  1. Определение информации, подлежащей защите;

  1. Выявление полного множества угроз и каналов утечки информации;

  2. Проведение оценки уязвимости и рисков информации по имеющимся угрозам и каналам утечки;

  3. Определение требований к комплексной защите;

  4. Осуществление выбора средств защиты информации по их характеристикам;

  5. Внедрение и организация использования выбранных мер, способов и средств защиты;

  6. Осуществление контроля целостности и управления системой защиты.

На всех этапах разработки КЗИ происходит постоянный анализ и уточнение требований к комплексной защите информации.

^

Контрольные вопросы





  1. Является ли задачей КЗИ обнаружение протеканий системы центрального отопления?

  1. В чем разница упреждающей и наступательной стратегии?

  2. Назовите наиболее действенный метод наказания за нарушения правил ИБ?

  3. Каково количество уровней в структуре КЗИ?

  4. Перечислите три основные характеристики КЗИ?
^

ГЛАВА 10. ДОКУМЕНТ КОНФИДЕНЦИАЛЬНЫЙ




10.1. Безопасность ценных информационных ресурсов



Одна из основных функций системы безопасности есть обеспечение безопасности информации, циркулирующей на уровне руководства. Для этого необходимо знать:

    • критерии ценности информации;

    • методы выделения конфиденциальных документов;

    • порядок документирования ценных сведений;

    • порядок работы персонала с конфиденциальными материалами;

    • построение системы движения, обработки, и хранения конфиденциальных документов;

    • методы защиты при работе с носителями;

    • методы защиты при проведении совещаний и переговоров.

Безопасность ценных информационных ресурсов всегда выступает необходимым условием успеха в деле, получения прибыли, сохранения целостности предприятия и поддержания его эффективного функционирования.

Цель ИБ – безопасность информационных ресурсов в любой момент времени в любой обстановке. Безопасность информационных ресурсов относительно гарантированная в конкретной ситуации защищенность информации во времени и пространстве от любых объективных и субъективных угроз, для обычных и экстремальных условий функционирования предприятия.

Первоначально всегда необходимо решить следующие вопросы:

    • Что защищать?

    • Почему защищать?

    • От кого защищать?

    • Как защищать?

Проблемы ИБ становятся более сложными и значительными со временем, это связано с массовым переходом на безбумажные технологии в управлении, введением электронного документооборота.

Все это существенно расширяет и содержательно обновляет комплекс организационно-технических и технологических трудностей в предотвращении преступного и достаточно простого вмешательства в информационные ресурсы.

Если раньше главными опасностями были утрата конфиденциального документа, разглашение конфиденциальных сведений или утечка по техническим каналам. То в настоящее время все чаще приходится сталкиваться с незаконным тайным оперированием электронными документами без кражи из БД и незаконным использованием информационных ресурсов для извлечения материальной выгоды.

Текущие и перспективные задачи обеспечения ИБ и ЗИ формируются в рамках программы информационной безопасности предприятия. Задачи определяют формирование и актуализацию технологического процесса защиты, предупреждающего нарушения доступности, сохранности, целостности и достоверности информационных ресурсов.

Основа решения – принцип персональной ответственности руководства всех уровней, службы безопасности и сотрудников за использование информации в соответствии с законодательством и функциональными обязанностями.

Задачи защиты реализуются системой защиты информации. Главная опасность это несанкционированный доступ (несанкционированное ознакомление). Кража, копирование, разглашение, уничтожение, фальсификация, искажение, модификация и подмена информационных ресурсов являются следствиями главной опасности.

Архитектура систем защиты информации (СЗИ) обязана охватывать:

    • Электронные информационные системы;

    • Весь комплекс управления предприятием в единстве его функциональных и структурных систем;

    • Традиционные документационные процессы.

Комплексность СЗИ обеспечивается включением обязательных элементов, соответствующих основным элементам защиты. К обязательным элементам относятся:

    • правовые;

    • организационные;

    • инженерно-технические;

    • программно-аппаратные;

    • криптографические.

При игнорировании этого уязвимость информации на любом носителе резко возрастает.

^

10.2. Критерии ценности информации



Предпринимательская деятельность всегда связана с созданием, использованием и хранением значительных объемов информационных ресурсов. Документированные (т.е. реализованные на каких либо носителях) информационные ресурсы, используемые в деле или в управлении предприятием, являются собственной (частной) информацией предпринимателя.

Документированные информационные ресурсы есть интеллектуальная собственность. Интеллектуальная собственность состоит из элементов – информационных продуктов (коммерчески ценных идей), реализованных в информационном виде.

Информационный продукт (ИП) – есть результат творческого труда предпринимателя (коллектива предприятия), имеющего конкретную ценность для собственника или владельца.

Ценность ИП можно определить через:

    • стоимость:

  • размер прибыли при использовании,

  • размер убытков при утрате;

    • правовое значение для фирмы (для дела):

  • учредительные документы,

  • программы и планы,

  • договоры с партнерами и посредниками;

    • перспективно научное значение;

    • техническое значение;

    • технологическое значение.

Существует следующие виды ценной информации:

  1. Техническая и технологическая:

  • химическая формула;

  • рецепт;

  • результат испытаний;

  • данные контроля качества;

  • методы изготовления продукции;

  • программное обеспечение;

  • производственные показатели.

  1. Деловая:

  • управленческие решения;

  • методы реализации функций;

  • стоимостные показатели;

  • результаты исследования рынка;

  • списки клиентов;

  • экономические прогнозы;

  • стратегия действий на рынке.

Основные направления формирования ценной информации представлены в табл. 9.
Таблица 9
Основные направления формирования ценной информации




Область деятельности

Направление формирования

1.

Управление предприятием

- применение нетрадиционных методов управления

- порядок подготовки и принятия решения в областях деятельности

2.

Прогнозирование и планирование

- расширение или свертывание производства

- предполагаемый объем исследований

- программы развития

- программы взаимодействия с инофирмами

- планы инвестиций, продаж, покупок.

3.

Финансовая деятельность

- баланс

- сведения о состоянии банковских счетов

- сведения об уровне доходности продукции

- информация о получении кредитов

- информация о кругообороте средств

- информация о производственных операциях

- информация о долговых обязательствах
1   2   3   4   5   6   7   8   9   ...   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации