Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

09.06.2017. Сотрудники Apple уличены в краже персональных данных пользователей

Подозреваемые использовали внутреннюю сеть компании для кражи персональных данных клиентов. >>


09.06.2017. Apple запретила в App Store приложения для торговли бинарными опционами

Apple обновила правила размещения приложений в App Store, запретив публикацию в онлайн-каталоге сервисов для торговли бинарными опционами... >>


09.06.2017. Серия уязвимостей, позволяющих получить контроль над IP-камерами производства Foscam

Исследователи безопасности из компании F-Secure выявили 18 уязвимостей в IP-камерах, выпускаемых компанией Foscam под разными брендами... >>


10.03.2017. Игра «Синий кит» привлекла в «группы смерти» 35 тыс. украинских подростков

 >>


20.02.2017. Заработавший $1 млн на рассылке спама мошенник получил 4 года тюрьмы

 >>


26.12.2016. Мошенники используют скиммеры в виде банкомата

 >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки

Альтернативные подходы к защите информации в больших информационных системах

а) психология, б) организация, в) технология


  Инвестиции в информационную безопасность заведомо не приносят прибыли, хотя убытки уменьшают. Курьез в том, что обоснование данных инвестиций и поиск альтернатив занимают не меньше времени и сил, чем сама защита информации.

Из наблюдений.


Психологические факторы обеспечения информационной безопасности

Данная статья, написанная в стиле свободных размышлений, описывает некоторые наблюдения за принятием решений в области информационной безопасности и их предпосылками.

Подоплёка наблюдения, вынесенного в эпиграф, заключается в специфическом законе информационной безопасности, который интуитивно начинают понимать многие специалисты и менеджеры, занимающиеся защитой информации и желающие добиться успеха в своей отрасли. Закон этот чаще всего формулируется так: мероприятия по защите информации должны быть инициированы только клиентом, причем владельцем системы.

Другой закон состоит в том, что в силу специфики деятельности, критичности доступа и важности получаемой в ходе работ информации многие действия исполнителя обречены на непонимание или различные опасения, не будучи подкрепленными определенным кредитом доверия владельца. Отчасти из-за этих двух законов в данной отрасли малоэффективна реклама, как навязывающий вид продвижения. Как следствие, мы наблюдаем низкую активность в сфере услуг по обеспечению информационной безопасности.

Объединяя законы инициативы и доверия, можно сформулировать следующее правило: «эффективность взаимоотношений в области защиты информации определяется величиной посыла владельца лицам, её защищающим». Данный посыл выражается не только в финансовых терминах, но зависит также от уровня заинтересованности владельца, стремления к долговременности связей, величины оказываемого доверия. Без посыла владельца нет смысла начинать никакие серьезные организационные, а тем более, технические мероприятия.

Залогом инициативы владельца, как правило, выступает его потребность. О преобладающей причине данной потребности — печальном факторе «жареного петуха» сказано немало. О нём ещё буддет упомянуто ниже. Остановимся на залоге доверия между клиентом и исполнителем. Обычно тут заключается обычный хозяйственный договор на выполнение работ (оказание услуг). В идеале он содержит положения о взаимном соблюдении конфиденциальности и взаимной ответственности, в том числе, уголовной. Подрядчик, юридическое лицо, в данном случае несет ответственность в лице своего руководителя. Сейчас идёт много разговоров об аутсорсинге в области защиты информации. Полагаю, данные разговоры являются скрытой рекламой. В реальности бизнес не торопится отдавать на сторону даже самые невинные работы по безопасности вроде пломбирования корпусов компьютеров. В этом плане перед юридическими лицами больше преимуществ у лиц физических, то есть конкретных специалистов, нанимаемых постоянно или на проект и отвечающих за свою деятельность репутацией и своим личным именем, а не абстрактным названием фирмы. Не говоря уже о том, что при этом специалист проходит все ступени отбора согласно внутренним стандартам компании клиента, чего нет в случае аутсорсинга.

Резюмируя первую часть данной статьи, отмечу, что в обеспечении информационной безопасности ключевым словом, понятым и приятным владельцам, является слово «надёжность», то есть уверенность. А управление надежностью начинается с выбора исполнителя и построения отношений с ним. Таким образом, мы постепенно подошли ко второй части статьи, связанной с психологическими взаимоотношениями владельца и исполнителя при выполнении работ по защите информации.

Интересный психологический фактор защиты информации хорошо просматривается при лингвистическом подходе к терминологии. По-украински «безопасность» — «безпека», — слово одного корня со словом «безпечність» («беспечность»). Как это ни кощунственно может показаться многим моим коллегам, но безопасность можно рассматривать не только как состояние, но и как ощущение. Тем более, что одно из определений безопасности начинается со слова «чувство». Тут уместно привести параллель с физической безопасностью, где защищаемый объект и владелец — одно и то же. Именно ощущение защищенности и комфорта (скажем так: душевное здоровье защищаемого), наряду с его здоровьем физическим, является одной из целей физической охраны, тем, за что ей платят.

Во многих фундаментальных работах по защите информации персонал называют частью защищаемого объекта, но почему-то никто не удосужился отнести к объекту защиты и самого владельца, а также его чувства. Дело в том, что в мире людей, принимающих решения, чувства играют более заметную роль, чем в мире людей, их исполняющих. Это связано с необходимостью принимать решения быстро, когда не остаётся времени на анализ и взвешивание.

Если сравнивать лица, принимающие решения и выполняющие их, то у последних, как правило, большинство рабочих действий подчинено заранее выработанным методикам, инструкциям, алгоритмам и требует только точного их соблюдения. Это, даже при сложности предметной части, не в пример легче процессов принятия решения. Определим промежуточный вывод: доля творчества, как процесса создания нового качества, в деятельности лиц, принимающих решения выше, чем таковая в деятельности исполняющих.

Из мира искусства известно, что творчество (причем как процесс создания, так и процесс восприятия) является результатом и причиной работы чувств. Жизненные наблюдения подтверждают это. Многие бизнесмены ассоциируют себя со своим бизнесом. Это их детище, мысли и чувства находятся в нем 24 часа в сутки.

Вышеперечисленные факторы можно считать достаточно обоснованной предпосылкой для включения владельца системы в её состав. Опираясь на вышесказанное, я призываю рассматривать чувства владельца информационной системы как объект защиты информации, а также шире использовать инструменты психологии в сфере защиты информации.

Для тех, кто может понять данный призыв узко. Ни в коей мере не пропагандируется культивация беспечности взамен реальных действий. Дело в том, что сейчас значение психологического состояния владельцев очень часто недооценивается. Говоря простыми словами, каково, например, владельцу постоянно выслушивать, что у него в системе полно уязвимостей? Рано или поздно любой владелец начинает оценивать такие сообщения неадекватно.

Защитник информации зачастую забывает, что владелец мыслит не категориями уязвимостей, методов и средств защиты информации. Владелец думает о непрерывности бизнеса, конфиденциальности информации, он хочет чувствовать всё ту же надёжность, он ощущает риски, но редко вникает в их причины в силу их многочисленности и сложности. Все причины рисков закрыть невозможно принципиально, особенно, когда имеешь дело с человеческим фактором. Нужно определять приоритеты и чем-то жертвовать. Помогать этому призваны математические модели и многочисленные изобретенные методы анализа рисков. Но только в теории. В реальности же ситуация изменяется гораздо быстрее возможности внести изменения в какую-либо модель и перерасчитать риски. Опять-таки, я не агитирую против анализа рисков. Я за его использование, особенно если это может лишний раз доказать, что, несмотря на показную наукоёмкость, реальная эффективность современного математического аппарата и экспертных систем по анализу рисков на несколько порядков ниже творческого подхода среднего специалиста по защите информации. Рассмотрение такого подхода также содержит массу психологических факторов, но оно выходит за рамки данной статьи.

Резонно напрашивается вывод, что защитник информации сам должен рассматриваться как составная часть объекта защиты, причем данный аспект имеет как минимум две взаимосвязанные стороны. Специалистам известен тип социального инжиниринга, при котором происходит атака DoS (отказ в обслуживании) на администратора, другими словами, атака на его внимание. При этой атаке злоумышленник занимает администратора безопасности отвлекающими действиями в компьютерной сети, под прикрытием которых выполняет несанкционированный доступ к целевой системе. Другая сторона аспекта состоит в том, что и защитник информации, и владелец должны быть защищены от промежуточных и неполных выводов о текущей защищенности системы для адекватного принятия решений. Это достигается расстановкой дополнительных фильтров-барьеров на пути движения информации о текущей защищенности. Это обеспечивается распределением обязанностей в службе информационной безопасности, скажем, на функции администратора и аналитика безопасности. Упомянутая в начале абзаца взаимосвязь двух сторон состоит в том, что данное распределение обязанностей также полезно для обеспечения избыточности человеческих ресурсов и «запаса прочности персонала» при атаках на внимание.

Заметим, что выше я постоянно оперирую понятием внимания, как наиценнейшего ресурса при принятии решений. Из криминалистики известно, что значительная часть правонарушений совершается путем привлечения, отвлечения и других способов управления вниманием потерпевшего. В защите информации этот ресурс и управление им приобретают новое значение. У автора данной статьи имеются кое-какие наблюдения, выводы и правила, позволяющие повысить эффективность защиты информации путём оптимизации управления вниманием, но их рассмотрение выходит за рамки данной статьи. Пока что сделаю следующий вывод: необходимым условием эффективности защиты информации является оптимальное распределение внимания персонала защиты информации и владельца по уровням, соответствующим их компетенции при принятии решений.

Надеюсь, что данный небольшой экскурс в мир психологических факторов защиты информации объяснит некоторые существующие расклады в отрасли, которые ставят в тупик некоторых довольно солидных специалистов по информационной безопасности. Данной статьей я хотел подвести читателя к осознанию особой роли личных качеств специалистов по защите информации по сравнению с ролью методов и средств защиты информации, а также, в частности, роль морально-деловых качеств данных специалистов по сравнению их профессиональными качествами.

После рассмотрения психологических факторов можно приступать к организационным и техническим проблемам информационной безопасности.



Организационные проблемы обеспечения информационной безопасности в существующих компьютерных сетях, примеры их решения


Во всех учебниках по защите информации написано, что наиболее целесообразно и эффективно строить систему защиты информации заранее, ещё на стадии проектирования информационных систем. Исторически сложилось так, что большинство руководителей отечественных и зарубежных предприятий и организаций начинает задумываться о комплексном подходе к защите информации, только когда информационная система уже работает в полную мощность, и проблемы информационной безопасности растут в геометрической прогрессии. Более того, пресловутый фактор «жареного петуха» или мужика, не осеняющего себя крестом, пока не грянет гром, стал уже классическим в мире защиты информации.

Довольно часто построение системы защиты информации на существующих информационных системах начинается не «сверху», с утверждения концепции и политики безопасности на высшем уровне (в идеале также утверждения штата и бюджета информационной безопасности), как это должно быть согласно международным стандартам, а «снизу», с выработки, «первоочередных» и «безотлагательных» инструкций и процедур. По свидетельствам ведущих украинских специалистов по защите информации, данное несоответствие обусловлено недостаточным осознанием руководством важности вопросов защиты информации. Тут необходима всесторонняя методическая поддержка. В частности, один из основных акцентов сейчас делается на преподавание теории защиты информации и управления рисками, доведение важности и обоснование инвестиций в информационную безопасность.

Подход «снизу», хоть и может повлечь в будущем дополнительные затраты на реорганизацию, всё-таки может быть оправдан для внедрения пробных, «пилотных» проектов и оценки их эффективности. При этом построение политики информационной безопасности, как правило, связано с необходимостью нахождения компромисса между необходимыми мероприятиями по защите информации и удобством работы пользователей компьютеров и других средств обработки информации. Все без исключения методы и средства защиты информации — будь то шифрование, аутентификация с помощью пароля или просто защита носителей в сейфах — неизбежно приводят к определенным неудобствам, связанным с их использованием: необходимость хранения ключей, запоминания паролей, восстановления забытых и утерянных ключей и паролей, снижение оперативности и производительности и так далее.

У автора данной статьи имеется опыт создания и руководства службами информационной безопасности в крупных государственных и частных компаниях. Есть опыт разработки и внедрения нормативной документации по защите информации. В  каждом отдельном случае разрабатывался пакет документов, индивидуально приспособленный под инфраструктуру и нужды каждой компании. Для каждой компании, предприятия или организации определяется уровень заинтересованности и зрелости, потребности, бюджет, перечень и план необходимых мероприятий. Однако, автор статьи выражает надежду, что подход «снизу» уступит со временем место правильному подходу не только в банках, финансовых и энергетических компаниях, а и в других производственных и коммерческих компаниях. О государственном секторе умолчу.



Технические и технологические проблемы защиты компьютерных сетей на основе Windows, методы их решения

Данная статья не претендует на полноту охвата. Основная цель — показать возможные компромиссы в вечной борьбе упомянутых выше противоречивых требований защиты информации: надёжности защиты и удобства пользования системой, иначе говоря, классического противоречия требований целостности, доступности и конфиденциальности хранимой и обрабатываемой информации.

Почему Windows? Спор о том, какая система лучше, оставим для администраторов интернет-кафе. Похоже, это для них вопрос вкуса. Автор данной статьи комфортно работает с Windows и Linux, извлекая максимум преимуществ из каждой системы в различных типах задач. Как бы оно ни было, Windows на сегодня — основная операционная система в мире. А коль мы говорим о больших компаниях и холдингах, десктоп-системой однозначно является Windows, тонким клиентом — Linux, и предмет спора сводится только к серверным платформам и становится аналогичен спору о том, что лучше: лопата или молоток. То есть, система должна подбираться под конкретные задачи, с учетом совместимости, масштабируемости, расширяемости, поддержки. Все же, стоит заметить, что, несмотря на относительно высокую стоимость лицензий Windows, совокупная стоимость её эксплуатации в нашем случае очень часто оказывается ниже Linux.

Итак, большая компьютерная сеть кампусного или мегаполисного типа на основе Windows.

Для построения продуманной и эффективной системы защиты информации с минимумом проблем необходима реально работающая нормативная основа защиты информации — концепция информационной безопасности, положения и инструкции, соглашение об уровне обслуживания, регулярно обновляемая политика информационной безопасности на основе международных стандартов (ISO, Cobit) и лучших практик ITIL, регулярно проводимый аудит информационной безопасности. То есть, необходима продуманная система управления ИТ. Технические требования, которые обычно рассматриваются вместо организационных, реально нужно рассматривать в последнюю очередь, поскольку их вклад в обеспечение информационной безопасности меньше половины всех трудозатрат. Обычно для достижения базового уровня безопасности выполняются следующие требования:

  1. Однородная компьютерная сеть на основе наиболее современных версий операционных систем семейства Windows (на данный момент, это: серверная часть — Windows 2003, клиентская часть — Windows XP).
  2. Грамотная настройка межсетевых экранов (брандмауэров) в соответствии с принятой в компании (организации) политикой. Постоянная поддержка соответствия данной настройки принятой политике.
  3. Стандартизация используемого ПО: никаких игр, фильмов, гороскопов, скринсейверов из Интернет и прочего. Тестирование новых версий и обновлений, в том числе на предмет информационной безопасности. Регулярное автоматизированное обновление компонентов операционных систем серверов и клиентов (MS SUS/WUS), а также прикладного ПО.
  4. Централизованное использование и обновление анти-вредоносного программного обеспечения (антивирусы, анти-спамовое и анти-шпионское ПО).
  5. Использование инфраструктуры открытых ключей (Public Key Infrastructure, PKI), в том числе: сети CA, шифрования почты, EFS, электронной цифровой подписи. Обязательная генерация сертификатов на смарт-картах (токенах).
  6. Использование политик безопасности учётных записей пользователей и IPSEC на уровне доменной структуры локальной сети.
  7. Использование программного обеспечения (SmartLine DeviceLock, GFI LANguard Portable Storage Control и т. п.) по централизованному управлению доступом на запись информации на внешние носители через порты и устройства COM, LPT, USB, FireWire, IrDA, CD/DVD-RW и т. д. То есть, никаких флэшек, смартфонов, КПК, коммуникаторов, CD/DVD-RW, цифровых камер и прочих Removable media без санкции руководства.
  8. Организация физической защиты серверов и рабочих станций: контроль доступа и видеонаблюдение в серверной, закрытие корпусов ПК на замки.
  9. Использование средств мониторинга и оперативного реагирования на уязвимости и нарушения информационной безопасности: контроль электронной почты и трафика HTTP, сканеры проникновения (nessus, xSpider, Retina, Languard Network Security Scanner), анализаторы внутренней защищенности операционных систем (Microsoft Baseline Security Analyzer), системы обнаружения и предотвращения вторжений (IDS/IPS);
  10. Резервирование оборудования и резервное копирование информации и т. д.

Данный перечень требований является далеко не полным. Для полного и всеобъемлющего учета не обойтись без творческой обработки методических материалов типа стандарта ISO 17799:2005. Выше перечислены только некоторые «кирпичики»и позволяющие снизить вероятность нарушений (утечка или порча информации, либо отказ в доступе к системам), а также условий их возникновения. Под данными условиями я имею ввиду: заражение вредоносными программами, дыры программного обеспечения, несанкционированная установка и запуск программ, возможность несанкциониро­ванной записи информации на внешние носители или её несанкциониро­ванной отправки за пределы локальной сети и т. д.

Как и в случае с организмом человека, болезнь легче предупредить, чем лечить. Например, просматривать всю электронную почту в надежде найти несанкционированную отправку информации, малоэффективно даже при наличии средств автоматизации перлюстрации (замечание: для просмотра почты необходима предварительная грамотная юридическая подготовка, есть судебные прецеденты, когда при обнаружении утечки страдает не нарушитель, а руководство компании, нарушившее конституционное право гражданина на тайну переписки). Важнейшую роль тут играет режим доступа.

Огромная ложка дёгтя, как и в случае организационных проблем, заключается в том, что по различным причинам все вышеупомянутые требования удовлетворяются не всегда и не в полном объеме. Поэтому приходится искать компромиссы, преодолев инертность крупной работающей информационной системы, определять ступеньки, через которые нужно пройти, чтобы в результате получить более-менее беспроблемную систему защиты информации. Тут надо сделать акцент, что в современных условиях невозможно построить защищенную систему один раз и забыть о безопасности, поэтому защита информации — это не состояние, а непрерывный процесс.

Одной из ступенек, альтернатив, например, при невозможности быстрого и безболезненного внедрения IPSEC, могут служить разработанные автором скрипты, идея которых состоит в следующем. Возможное появление в защищаемой компьютерной сети

  • компьютеров, не входящих в доменную структуру Windows,
  • слабых паролей пользователей доменов и встроенных учётных записей локального администратора,
  • несанкционированных членов группы локальных администраторов и т. п.

является уязвимостью информационной безопасности, которая может свести «на нет» эффект любого из вышеупомянутых требований (кроме IPSEC на уровне доменной структуры) и вызвать любое из нарушений, указанных выше. Разработанные скрипты постоянно сканируют сетевое окружение Windows и IP-подсети с целью выявления вышеуказанных уязвимостей и оповещают администратора безопасности при обнаружении нарушений (уязвимостей). При наличии нормально спланированной структурированной кабельной системы и управляемых коммутаторов отключение потенциального нарушителя выполняется в течение нескольких минут.

Наращивание функционала скриптов вылилось в систему управления инфраструктурой, выполняющей, кроме функций управления информационной безопасностью, также функции мониторинга, протоколирования событий, автоматизации расследований, внесения централизованных изменений в информационную систему, а также инвентаризации. Краткое описание системы находится по адресу http://bezpeka.ladimir.kiev.ua/lib/vb-system-center.doc.

2005 В.Булдыжов



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v