Комплексные меры по защите информации

Перечислим основные меры защиты информации:

Принцип «слабейшего звена»

Когда мы реализуем целый комплекс мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и с защитой информации - устойчивость всей системы защиты равна устойчивости её слабейшего звена. Отсюда делаются следующие выводы:

- ЗИ может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла;

- стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов – бессмысленно;

- при преодолении ЗИ усилия прикладываются именно к слабейшему звену.

Рассмотрим, какие есть «звенья» в системе защиты, и какое из них слабейшее. Надёжность защиты можно классифицировать по следующим группам:

- количество вариантов ключа (определяет устойчивость к прямому перебору);

- качество алгоритма (устойчивость к косвенным методам дешифровки);

- наличие у противника априорной информации (то же);

- надёжность хранения или канала передачи секретного ключа;

- надёжность допущенных сотрудников;

- надёжность хранения незашифрованной информации.

Физическая защита

Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации. Воспрепятствовать в таком случае может лишь криптография, да и то не всегда. Например, если злоумышленник получил физический доступ к компьютеру, на котором хранятся секретные данные в зашифрованном виде, он может считать свою задачу выполненной. Он устанавливает на компьютер резидентную программу, которая перехватывает информацию в процессе ее зашифровки или расшифровки.

Прежде всего, следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши провода проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.

Электромагнитная защита

Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.

Разумеется, экранировать помещение будет очень дорого. При решении такого вопроса главным станет фактор экономической целесообразности защиты, о котором говорилось выше.

Здесь будет уместно привести один экзотический случай из практики промышленного шпионажа двадцатилетней давности. Охотники до чужих секретов ухитрились снять секретную информацию буквально с воздуха. Они установили прослушивание помещения, где обрабатывались секретные документы. В те времена пользовались литерными печатающими устройствами. "Треск" работы таких принтеров достаточно легко удалось расшифровать и получить, таким образом, доступ ко всем распечатываемым документам.

Криптографическая защита от человеческого фактора.

Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.

Как возможно защититься от угроз со стороны собственных сотрудников, автор курса не знает. Решение такой задачи, если и возможно, то лежит в совершенно иной области. Единственное, что можно попытаться свести к минимуму человеческий фактор в системах ЗИ.

Активная защита

Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются активные мероприятия против попыток получить доступ к вашей информации. Например, следующие:

- поиск и выведение из строя устройств, для скрытого съёма вашей информации;

- выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;

- выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;

- создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;

- демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

- контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.

Организационная защита

Как известно, большая часть повреждения и утечки информации происходит по вине персонала. Поэтому на персонал надо обратить самое пристальное внимание.

В частности необходимо всеми доступными методами обеспечивать лояльность персонала, проводить специализированное обучение и разъяснения на тему «Наиболее распространенные заблуждения, предубеждения и ошибки, приводящие к искажению, уничтожению и утечке информации». Очень важным, с моей точки зрения, составление грамотной политики безопасности и ознакомление с ней под подпись всех сотрудников.

В этой части я написал политику безопасности в соответствии с особенностями данного помещения.

Общим принципом политики сетевой безопасности в Корпорации является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. Другими словами, если нет специального разрешения на проведение конкретных действий или использование конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказаниям, описанным позднее в этой политике.

Эта политика состоит из двух основных частей - политики для работы в отдельной сети и политики для работы в межсетевой среде. Межсетевая среда(интернет) - это термин, применяемый при описании ситуации, когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Примерами межсетевой среды является Интернет, а также корпоративная сеть, и эта политика будет использовать такую нотацию при ссылке на них. Эта политика применима в равной степени ко всему интернет, но некоторые ее компоненты специально описаны для среды интернет. Рассмотрение ситуации работы в сети и межсетевой среде в дальнейшем разбивается на две под проблемы - периметр безопасности и внутренняя безопасность. Для сети, которая не присоединена к интернету, периметр безопасности не нужен, иначе, для того чтобы защитить соединение с интернетом, нужно реализовать элементы политик периметра безопасности. Политика внутренней безопасности одинаково применима как к сетям, так и к интернету, политика же периметра безопасности применима только к интернету.

Сетевая часть политики описывает подход к обеспечению безопасности для одной сети, обычно ЛВС, независимо от того, присоединена она к интернету или нет. Межсетевая часть этой политики описывает подход к проблеме безопасности в любой сети, соединенной с другой сетью, независимо от того, осуществляется ли это соединение через одну ЛВС, группу ЛВС или глобальную сеть, такую как Интернет. Соединения через глобальную сеть могут быть выделенными каналами между удаленными друг от друга местами или соединениями через Интернет.

Описание политики

Сети.

Политика безопасности, описываемая здесь, в равной степени применима ко всем сетевым компонентам организации.

Интересы организации.

Сетевые ресурсы Корпорации существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации (служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Корпорация понимает, что попытки использования ограничений типа “только в интересах Корпорации” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед Корпорацией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать для работы”.

Доступ к информационным ценностям Корпорации не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками, а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться комитетом по безопасности, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными.

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе Корпорация поддерживает и поощряет совместное использование и обмен информацией между подразделениями Корпорации там, где этот обмен не входит в противоречие с принципом “знать только то, что тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это, в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения (вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры Корпорации, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

  Аутентификация.

Доступ к любой информационной ценности Корпорации не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации Корпорации для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками Корпорации или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию Корпорации, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне Корпорации, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.

Аутентификация должна осуществляться способом, согласованным с критичностью используемой информации. В большинстве случаев достаточно традиционных имени и пароля пользователя. В других случаях требуется более сильная аутентификация помимо традиционной. Эти случаи касаются интернета, и не будут рассматриваться в части относительно сетей.

Межсетевой обмен.

Взаимосвязанные сети создают свой собственный набор проблем безопасности помимо тех, которые применимы ко всем сетевым ресурсам. Критической компонентой создания эффективной межсетевой безопасности является определение периметра интернета. Каждый компонент его описывается в этой части вместе со специальными положениями политики в отношении его.

Определение периметра.

Невозможно адекватно защитить информационные ценности корпорации без знания каждой точки риска и выработки, соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в интернете. Всемирный Интернет приводит к существованию ряда уникальных ситуаций, которые требуется рассмотреть отдельно. Точка риска была определена как точка соединения, а из этого следует, что риск существует только в месте самого соединения. Это - самое неприятное следствие. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав ЛВС.

Точка риска.

Этот термин был выбран вместо точки атаки, так как последняя предполагает преступную деятельность с другой стороны соединения. Компрометация или искажение информации часто не являются результатом преступной деятельности, хотя результат может оказаться таким же. Модем, присоединенный к сетевому узлу, представляет собой точку риска, если отвечает на телефонные звонки и предоставляет возможность соединения удаленному пользователю. Фактически, если такой модем присоединен к сети, то есть меняет свой статус и становится интернетом. В каждой точке доступа к интернету должно быть реализовано управление доступом, независимо от того, является ли она соединением с интернетом или модемом.

Управление доступом.

В каждой точке риска интернета должна использоваться некоторая форма управления доступом. Когда точка риска соединяет две сущности с эквивалентными привилегиями доступа, она может быть объявлена доверенным соединением, при условии, что все точки риска в обеих сетях находятся между сущностями с эквивалентными привилегиями доступа. Если существует точка риска с сущностью с меньшими привилегиями доступа, то всем присоединенным сетям назначается уровень привилегий, равный низшему уровню точки риска.

Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Аутентификация должна использоваться в тех случаях, когда сущность или пользователь могут располагаться на узле с меньшими привилегиями, чем те, которые имеются у узла, на котором находится информация, к которой должен иметься доступ по принципу “знать то, что нужно для работы” .

Не должно существовать прецедентов получения доступа через точку риска между сетями с различными уровнями привилегий без использования сильной аутентификации. Традиционные имя и пароль пользователя не считаются сильной аутентификацией в рамках этой политики. Эта форма аутентификации является достаточной только тогда, когда оба интернета имеют одинаковые уровни привилегий, но может применяться как дополнение к сильной аутентификации, до или после сеанса усиленной аутентификации для большего контроля доступа.

Обмен данными

В отличие от сети, где обмен происходит только между узлами сети, интернет позволяет совместно использовать и обмениваться информацией с других узлами сети. Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернет различных уровней привилегий. Данные, которые предназначены для замены или обновления данных, находящихся на узлах, доступных любым пользователям интернета, могут экспортироваться из интернета с большими привилегиями в интернет без ограничений на доступ к общедоступной информации.

Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Примером таких допустимых передач может быть импорт пользователем технической статьи или текста программы для внутреннего использования. Вообще, исходный (то есть читаемый человеком) материал может импортироваться из интернета с низкими привилегиями без тщательного просмотра, если данный материал служит интересам Корпорации. Но этого нельзя сказать про импорт исполняемых файлов или двоичных данных. Двоичные данные или программы не могут быть импортированы из сети с низкими привилегиями без тщательной проверки, для оценки риска разрушения или компрометации информационных ценностей внутри сети с более высокими привилегиями и из сети с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. Нельзя записывать в интернете какие-либо данные или программы на носители информации и импортировать в сеть Корпорации без тщательного анализа компетентными ответственными лицами.

Допустимо экспортировать данные из сети с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Нельзя записывать в сети Корпорации какие-либо данные или программы на носители информации и экспортировать их в интернет без тщательного анализа компетентными ответственными лицами.

Аутентификация.

Этот вопрос упоминается несколько раз при описании политики, так как он играет большую роль в каждой области, в которой он упоминается. Аутентификация в точке риска между интернетом и сетью – это первый шаг по управлению доступом к информационным ценностям с другой стороны точки риска. Если уровень привилегий обоих сторон одинаков, то можно реализовать обычные механизмы аутентификации. Примерами не столь сильных технологий является использование r-команд Unixа, с помощью которых два узла доверяют друг другу с помощью взаимной верификации на основе идентификатора пользователя и узла; традиционные идентификатор пользователя и пароль тоже не очень сильная технология, так как она уязвима к компрометации неосторожным пользователем. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. В этом случае аутентифицирующийся сущности дается случайное число-запрос, которое она должна зашифровать и отослать зашифрованный результат.

Сервер аутентификации.

Для интернетов, которые соединяются с сетью Корпорации через точки риска, требующие усиленной аутентификации, Корпорация требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других сетей с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Серверу аутентификации также разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату, доступ в которую разрешен только администратору безопасности.

 

⇐ Предыдущая123456Следующая ⇒

Поделиться: