Создание организационной структуры КСЗИ

⇐ ПредыдущаяСтр 24 из 33Следующая ⇒

Одной из основных составляющих КСЗИ является организационная структура, которая создаётся для выполнения организационных мер защиты, эксплуатации технических, программных и криптографических средств защиты, а также для контроля за выполнением установленных правил эксплуатации АС обслуживающим персоналом и пользователями. Такие структуры входят в состав службы безопасности ведомств, корпораций, фирм, организаций. Они могут иметь различный количественный состав и внутреннюю структуру. Это может быть отдел, группа или отдельное должностное лицо. Непосредственной эксплуатацией средств защиты и выполнением организационных мероприятий занимаются органы защиты информации, размещаемые на объектах АС. Их называют объектовыми органами защиты информации или органами обеспечения безопасности информации (ОБИ). Если объекты АС располагаются на одной территории с другими объектами ведомства, корпорации, фирмы, то часть функций, таких как охрана, разведывательная и контрразведывательная и некоторые другие выполняются соответствующими отделами службы безопасности. Подразделение (должностное лицо) ОБИ может входить организационно и в состав вычислительных центров или отделов автоматизации. При этом службы безопасности сохраняют за собой функции контроля и методического обеспечения функционирования КСЗИ. Количественный состав и его структура органа ОБИ определяется после завершения разработки КСЗИ. При создании органа ОБИ используются данные, полученные в результате разработки КСЗИ:

· официальный статус АС и информации, обрабатываемой в системе;

· перечень организационных мероприятий защиты и их характеристики;

· степень автоматизации КСЗИ;

· особенности технической структуры и режимы функционирования АС.

Органы ОБИ создаются в соответствии с законодательством РФ, регулирующим взаимоотношения граждан и юридических лиц в сфере информационных технологий. В зависимости от владельца, конфиденциальности и важности обрабатываемой в АС информации определяется юридический статус самой АС и органа ОБИ. В соответствии со статусом органа ОБИ определяются его юридические права и обязанности, определяется порядок взаимодействия с государственными органами, осуществляющими обеспечение безопасности информации в государстве.

При создании органов ОБИ руководствуются также требованиями подзаконных актов (Постановлений Правительства, решений Государственной технической комиссии и ФАПСИ, ГОСТов и других), а также руководящими документами ведомств.

В результате разработки КСЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов ОБИ, обслуживающим персоналом и пользователями, в интересах обеспечения безопасности информации. Все организационные мероприятия защиты можно разделить на два класса:

1. защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;

2. эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.

Подавляющее большинство защитных, организационных мероприятий связано с обслуживанием технических, программных и криптографических средств защиты. Примерами таких мероприятий являются: использование паролей и материальных идентификаторов, контроль доступа к информационным ресурсам путём выполнения определённых действий при получении сигнала о нарушении правил разграничения доступа и анализа журнала контроля, дублирование и восстановление информации и др.

Некоторые функции системы защиты могут быть реализованы только за счёт организационных мероприятий, например, доступ в помещение с информационными ресурсами может осуществлять контролёр. Защита от пожара реализуется путём вызова пожарной команды, эвакуации информационных ресурсов, использования средств тушения пожара.

Часто организационные мероприятия дополняют технические, программные и криптографические средства, образуя ещё один уровень защиты. Так зеркальное дублирование, которое выполняется без вмешательства человека, может быть дополнено периодическим дублированием информации на съёмные магнитные носители. Автоматизированный контроль вскрытия дверей, корпусов, крышек и других элементов защиты внутреннего монтажа устройств от несанкционированной модификации может быть дополнен опечатыванием этих элементов (использованием специальных защитных знаков) и контролем целостности печатей (защитных знаков) должностными лицами.

Под эксплуатационными организационными мероприятиями понимается комплекс мероприятий, связанных с необходимостью технической эксплуатации системы защиты информации, как подсистемы сложной человеко-машинной системы.

Эффективность функционирования КСЗИ во многом определяется уровнем руководства всем процессом ОБИ. Орган управления КСЗИ готовит предложения руководству организации при формировании и корректировке политики безопасности, определяет права и обязанности должностных лиц, планирует и обеспечивает выполнение технического обслуживания, осуществляет методическое руководство подчинёнными структурами, организует контроль и анализ эффективности КСЗИ, осуществляет подбор, расстановку и обучение специалистов.

При отборе специалистов для работы в подразделении ОБИ, кроме деловых качеств, необходимо учитывать и морально-психологические данные кандидатов. Каждый специалист должен приобрести знания и навыки в эксплуатации механизмов защиты. Специалисты подразделений обслуживания и пользователи должны быть обучены работе в защищённых АС. Перед получением допуска все обязательно проходят тестирование.

В процессе создания организационной структуры КСЗИ используются следующие документы: законы, постановления Правительства, решения Государственной технической комиссии, ГОСТы, ведомственные директивы, инструкции и методические материалы. Кроме того, используется документация, полученная с установленными средствами защиты. В процессе эксплуатации КСЗИ документы разрабатываются и ведутся силами подразделений ОБИ.

Рабочие места должностных лиц подразделения ОБИ оборудуются средствами, полученными от разработчиков. Это пульты управления, мониторы, средства дистанционного контроля и т. п. Кроме того, на рабочих местах должны быть средства связи, инструкции, эксплуатационная документация, а также средства пожаротушения.

Лекция 13(2 часа)

Тема

«СРЕДСТВА КОНТРОЛЯ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ»

1. Классификация методов и средств контроля эффективности ЗИ в АС

Контроль эффективности защиты информации в АС является неотъемлемой частью комплекса системы мер безопасности не объекте информатизации. Он направлен на:

- проверку соответствия предпринимаемых защитных мер предъявленным к ним требованиям;

- выявление уязвимостей реализованной системы защиты.

Контроль эффективности защиты должен включать в себя применение организационных мероприятий и программно-технических методов.

Основные направления контроля эффективности ЗИ в АС:

- инспектирование повседневной работы защитных служб и элементов;

- проверка соответствия фактически реализованных и спроектированных (запланированных) мер;

- тестирование программно-технических средств ЗИ;

- моделирование угроз системе безопасности.

Инспектирование системы защиты должно регулярно проводиться специалистами по ЗИ с помощью заранее подготовленных контрольных списков, включающих все потенциально уязвимые точки АС. Полученные в ходе инспектирования результаты используются при подготовке рекомендаций для совершенствования защиты. Инспектирование может быть:

- плановым,

- случайным,

- комплексным,

- выборочным.

На практике следует сочетать различные формы и методы проведения инспектирования СЗИ КС.

Задача тестирования программно-технических средств ЗИ и моделирование угроз системе безопасности должна решаться с момента их проектирования (выбора) и далее периодически при изменении компонентов или конфигурации информационной системы.

Для крупных АС проведение такого рода проверок для всех узлов корпоративной сети представляет собой сложную и трудоёмкую задачу. Автоматизировать этот процесс помогают средства анализа защищённости, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner).

Данные средства могут быть как самостоятельными (в том числе узкоспециализированными) программными продуктами, так и входить в состав систем защиты, основанных на модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS).

Такие системы позволяют обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.

Система обеспечения адаптивной безопасности сети должна включать в себя компоненты:

- анализа защищённости (security assessment);

- поиска уязвимостей (vulnerabilities assessment);

- обнаружения атак (intrusion detection);

- настройки (адаптации) и управления.

Анализ защищённости осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищённости предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчёта. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически.

При анализе защищённости обычно идентифицируются:

- «люки» в системах (back door) и программы типа «троянский конь»;

- слабые пароли;

- восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»;

- необходимых обновлений (patch, hotfix) операционных систем;

- неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Функционировать такие средства могут:

- на сетевом уровне (network-based),

- уровне операционной системы (host-based).

- уровне приложения (application-based).

Наибольшее распространение получили средства анализа защищённости сетевых сервисов и протоколов. Связано это с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищённость информационной системы, работающей в данном сетевом окружении.

Вторыми по распространённости являются средства анализа защищённости операционных систем (ОС). Связано это также с универсальностью и распространённостью некоторых операционных систем (например, UNIX и Windows).

Средств анализа защищённости приложений на сегодняшний день не так много. Такие средства пока существуют только для широко распространённых прикладных систем - Web-браузеров и СУБД.

2. Сканеры безопасности АС

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения её наличия - по косвенным признакам.

Этот метод является наиболее быстрым и простым для реализации. Данный метод получил название «логический вывод» (inference). Этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведённого сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путём имитации атаки, использующей проверяемую уязвимость.

Этот метод более медленный, чем «сканирование», но почти всегда гораздо более точный. В терминах компании ISS данный метод получил название «подтверждение» (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования («логического вывода»), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа «отказ в обслуживании» (denial of service).

На практике поиск уязвимостей реализуются следующими несколькими методами.

«Проверка заголовков» (banner check)

Указанный механизм представляет собой ряд проверок типа «сканирование», позволяющий делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера.

Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Это наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

Эффективность проверок заголовков достаточно призрачна. И вот почему.

Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков «по умолчанию».

Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путём модификации исходного текста, при этом забыв изменить номер версии в заголовке.

И в-третьих, устранение уязвимости в одной версии ещё не означает, что в следующих версиях эта уязвимость отсутствует.

«Активные зондирующие проверки» (active probing check)

Относятся к механизму «сканирования». Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении «цифрового слепка» (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки - контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищённости и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.

Этот метод также достаточно быстр, но реализуется труднее, чем «проверка заголовков».

« Имитация атак» (exploit check)

Данные проверки относятся к механизму «зондирования» и основаны на эксплуатации различных дефектов в программном обеспечении. Некоторые уязвимости не обнаруживают себя, пока их не «подтолкнуть». Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод «имитации атак», отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах.

Имитация атак является более надёжным способом анализа защищённости, чем проверки заголовков, и обычно более надёжны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к «отказу в обслуживании» анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищённости важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа «Packet Storm»), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию «Отказ в обслуживании». При включении любой из проверок этой группы система Internet Scanner выдаёт сообщение:

WARNING: These checks may crash or reboot scanned hosts (Внимание: эти проверки могут вывести из строя или перезагрузить сканируемые узлы).

Этапы сканирования

Практически любой сканер проводит анализ защищённости в несколько этапов:

1) Сбор информации о сети.

На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны.

В случае использования систем анализа защищённости на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

2) Обнаружение потенциальных уязвимостей .

Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска.

Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьёзными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом поступает и Internet Scanner. Все уязвимости в нём делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).

3) Подтверждение выбранных уязвимостей.

Сканер использует специальные методы и моделирует (имитирует) определённые атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

4) Генерация отчётов.

На основе собранной информации система анализа защищённости создаёт отчёты, описывающие обнаруженные уязвимости.

В некоторых системах (например, Internet Scanner и NetSonar) отчёты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчёты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчёты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.

5) Автоматическое устранение уязвимостей.

Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner).

Например, в System Scanner создаётся специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создаётся и второй сценарий, отменяющий произведённые изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности «отката» не существует.

3. Система контроля защищённости и соответствия стандартам MAXPATROL

На портале Security Lab (http: //www.securitylab.ru) проведён сравнительный анализ сканеров безопасности. Лучшие результаты показал продукт компании Positive Technologies.

Positive Technologies — одна из ведущих российских компаний в области информационной безопасности.

Основные направления деятельности компании:

- разработка системы контроля защищённости и соответствия стандартам MaxPatrol и сканера безопасности XSpider;

- предоставление консалтинговых и сервисных услуг в области информационной безопасности;

- развитие специализированного портала по ИБ Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Компания Positive Technologies специализируется на комплексном аудите информационной безопасности, оценке защищённости прикладных систем и Web-приложений, тестировании на проникновение и внедрении процессов мониторинга информационной безопасности. Компания получила статус QSA Associate, позволяющий проводить работы по проверке соответствия стандарту PCI DSS.

Программные продукты, разработанные компанией Positive Technologies, сертифицированы Министерством Обороны Российской Федерации, Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Система контроля защищённости и соответствия стандартам MaxPatrol - единственный продукт на мировом рынке, в котором объединены механизмы системных проверок, тестирования на проникновение, контроля соответствия стандартам в сочетании с поддержкой анализа сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем, а также Web-приложений.

Использование MaxPatrol позволяет сформировать непротиворечивые корпоративные стандарты, автоматизировать процессы инвентаризации, контроля изменений, управления уязвимостями и контроля соответствия, оценивать эффективность ИТ и ИБ-процессов с помощью ключевых показателей эффективности (KPI).

⇐ Предыдущая 19 20 21 22 232425 26 27 28 Следующая ⇒