Экзамен в Магистратуру. Содержание. Место информационной безопасности в системе национальной безопасности
Скачать 0.79 Mb.
|
Виды уязвимости информации и формы ее проявления. Уязвимость информации – недостаток в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость конфиденциальной информации, дополнительно включает в себя нарушение ее конфиденциальности и доступности. Возможность изменения или нарушения действующего статуса информации обусловлено в первую очередь ее уязвимостью, которая означает неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, сохранять при таких воздействиях свой статус. Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, необходимо провести ее анализ. Требуется, во-первых, определить потенциальную ценность информационной собственности, во-вторых, оценить ее уязвимость (устойчивость к средствам разведки или поражения) и, в-третьих, спрогнозировать возможные угрозы. Определение потенциальной ценности информации обезопасит наиболее важные секреты, утечка которых способна нанести ущерб, значительно превышающий возможные затраты на их защиту. При этом важно установить:
Оценка уязвимости информации дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение противника к секретам компании. Главный результат такой работы — выявление возможных источников и каналов утечки информации. Одной из основных причин, обусловливающих сложность решения проблемы защиты конфиденциальной информации в информационных системах, является многообразие видов ее физического представления в этих системах, что предопределяет наличие различных возможных каналов ее утечки и тем самым необходимость создания многоплановой в физическом и функциональном отношении системы защиты. Так, в современных автоматизированных системах информация может циркулировать в виде речи, текста или графических изображений, фото и видео. Перехват информации, циркулирующей между объектами системы по каналам связи, возможен как при передаче ее по линиям, использующим излучающие средства радиосвязи, так и при передаче по проводным линиям. Возможность ведения технической разведки из-за пределов охраняемой территории объектов системы определяется наличием технических каналов утечки информации. Все возможные каналы утечки информации на объектах системы могут быть сведены в три основных класса: акустические каналы, оптические каналы и каналы утечки технических средств. По виду среды распространения опасных сигналов акустические каналы могут подразделяться на атмосферные и виброакустические, оптические каналы — на каналы видимого и инфракрасного диапазонов волн, а каналы утечки технических средств — на полевые, к которым относятся электрические и магнитные поля указанных средств, и линейные, к которым относятся различного рода цепи и токопроводящие конструкции, выходящие за пределы охраняемой территории объектов. Основные каналы утечки информации на объектах ТКС рассматриваются с учетом физических полей: • утечка по акустическому каналу; • утечка по виброакустическому каналу; • утечка по каналам проводной и радиосвязи, не имеющим шифрующей и дешифрирующей аппаратуры; • утечка по электромагнитным каналам; • утечка через вторичные источники электропитания основных технических средств за счет неравномерности тока потребления; • утечка, возникающая при воздействии электрических, магнитных и акустических полей опасного сигнала на вспомогательных технических средствах; • утечка за счет тока опасного сигнала в цепях заземления; • утечка за счет взаимного влияния между цепями, по которым передается конфиденциальная информация, и цепями вспомогательных технических средств, имеющими выход за пределы зоны безопасности объекта (другими словами, использование эффекта индуктивности любых неэкранированных проводников); • утечка информации за счет побочных электромагнитных излучений наводок, образованных основными техническими средствами Необходимо отметить, что выявление всех возможных каналов утечки конфиденциальной информации является необходимым условием для определения путей и способов решения проблемы ее защиты, а также конкретных мер по их реализации. Канал побочных электромагнитных излучений и наводок является одним из основных каналов, через который вероятные нарушители стараются получить сведения закрытого характера. Пристальное внимание он завоевал в силу своей стабильности, достоверности, неявной формы получения информации и возможности последующего анализа полученной информации. Охота ведется как за государственной, военной, так и за коммерческой информацией. Ее анализ производится по многим параметрам, что позволяет получать достаточно достоверную информацию. Работа компьютера и других радиотехнических средств сопровождается побочными электромагнитными излучениями, модулированными информативными сигналами. Существующие методы радиоперехвата информации позволяют фиксировать информативные массивы работающих компьютеров на расстоянии до сотен метров. Аналогичный перехват информации может осуществляться через незащищенные цепи питания и заземления. Можно классифицировать перехваченные сигналы также по индивидуальным признакам пользователя при нажатии клавиши ввода информации. Необходимо помнить о том, что многие подсистемы демаскируют себя применением только им присущих устройств и режимов работы. В некоторых случаях данное обстоятельство приобретает важное значение. Даже при приеме на бытовой приемник обычно легко различаются дежурный и рабочий режимы работы, особенности структуры сигнала в каналах связи, адресные сигналы и тому подобные характеристики информации, которые при совокупном анализе ситуации вносят свой определенный вклад в «копилку» нарушителя. Однако иногда перехват ПЭМИН оказывается возможным и без применения сложной приемной аппаратуры, длительного накопления и анализа информации. Во-первых, это перехват высвечиваемой информации компьютера с помощью объектного телевизионного приемника. При этом можно существенно улучшить возможности приема путем проведения незначительных изменений в телевизионном приемнике. Во-вторых, это перехват излучений от низкочастотных электромеханических устройств с последовательным кодом передачи информации. Многими специалистами, осознающими реальную опасность утечки коммерческих секретов, предпринимаются действия, направленные на ослабление (закрытие) естественных каналов утечки информации различными методами. В связи с этим попытки нарушителей создавать и использовать искусственные каналы утечки будут усиливаться. Известны следующие источники утечки информации. Для каждого конкретного помещения существует свой набор технических средств, которые могут служить источниками утечки. Эту технику можно разделить на две основные группы: 1. Основные технические средства: • телефонные аппараты городской АТС; • телефонные аппараты внутренней связи; • факс; • компьютеры (возможно укомплектованные модемами); • средства размножения документов типа ксерокс. 2. Вспомогательные средства: • телевизор; • магнитофон, видеоаппаратура; • радиоприемник; • радиотрансляционный громкоговоритель, селекторная связь; • датчики охранной и пожарной сигнализации; • объектовая сеть электрификации; • табельное электрооборудование помещения.
Для того чтобы осуществить дестабилизирующее воздействие на защищаемую информацию, людям, не имеющим разрешенного доступа к ней, необходимо его получить. Такой доступ называется несанкционированным (НСД). Как правило, несанкционированный доступ бывает преднамеренным и имеет целью оказать сознательное дестабилизирующее воздействие на защищенную информацию. Каналы НСД классифицируются по компонентам автоматизированных информационных систем:
К методам несанкционированного доступа к защищаемой информации относятся: 1. Установление контакта с лицами, имеющими (имевшими) доступ к защищаемой информации; 2. Вербовка и (или) внедрение агентов; 3. Организация физического проникновения к носителям защищаемой информации; 4. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации, средствам связи; 5. Прослушивание речевой конфиденциальной информации; 6. Визуальный съем конфиденциальной информации; 7. Перехват электромагнитных излучений; 8. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации; 9. Изучение доступных источников информации; 10. Подключение к системам обеспечения производственной деятельности предприятия; 11. Замеры и взятие проб окружающей объект среды; 12. Анализ архитектурных особенностей некоторых категорий объектов.
Внутренние нарушители:
Внешние нарушители:
Нарушитель безопасности информации, как правило, являясь специалистом определенной квалификации, пытается узнать все о компьютерных системах и сетях и, в частности, о средствах их защиты. Поэтому модель нарушителя определяет: – категории лиц, в числе которых может оказаться нарушитель; – возможные цели нарушителя и их градации по степени важности и опасности; – предположения о его квалификации; – оценка его технической вооруженности; – ограничения и предположения о характере его действий.
Частная модель угроз (если ИСПД несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
Разработанная модель угроз утверждается руководителем. Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным: с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения; с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн. Модель угроз является методическим документом и предназначена для государственных и муниципальных органов, юридических и (или) физических лиц (далее – операторов), организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем. С применением Модели угроз решаются следующие задачи: разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования; анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; контроль обеспечения уровня защищенности персональных данных. В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации. Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке.
Мы возвращаемся к теме оценочных стандартов, приступая к рассмотрению самого полного и современного среди них - "Критериев оценки безопасности информационных технологий" (издан 1 декабря 1999 года). По историческим причинам данный стандарт часто называют "Общими критериями" (ОК). "Общие критерии" на самом деле являются стандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы. С программистской точки зрения ОК можно считать набором библиотек, помогающих писать содержательные "программы" - задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, "с нуля", программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и "Общие критерии" предоставили соответствующий инструментарий. Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным функциям. Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности:
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы. Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами. В свою очередь, угрозы характеризуются следующими параметрами:
Уязвимые места могут возникать из-за недостатка в:
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации. С точки зрения технологии программирования в ОК использован устаревший библиотечный подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент. Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности). Семейства в пределах класса различаются по строгости и другим нюансам требований. Компонент - минимальный набор требований, фигурирующий как целое. Элемент - неделимое требование. Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все комбинации компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы. Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности. Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в организациях). Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности. Выше мы отмечали, что в ОК нет готовых классов защиты. Сформировать классификацию в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности. Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений целесообразно сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты. Функциональный пакет - это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности. "Общие критерии" не регламентируют структуру пакетов, процедуры верификации, регистрации и т.п., отводя им роль технологического средства формирования ПЗ. Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования. Функциональные требования Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в "Оранжевой книге". Перечислим классы функциональных требований ОК:
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ. Класс "Приватность" содержит 4 семейства функциональных требований. Анонимность. Позволяет выполнять действия без раскрытия идентификатора пользователя другим пользователям, субъектам и/или объектам. Анонимность может быть полной или выборочной. В последнем случае она может относиться не ко всем операциям и/или не ко всем пользователям (например, у уполномоченного пользователя может оставаться возможность выяснения идентификаторов пользователей). Псевдонимность. Напоминает анонимность, но при применении псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей. Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования информационных сервисов, но не позволяет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения профилей поведения пользователей (и, следовательно, от получения информации на основе подобных профилей). Скрытность. Требования данного семейства направлены на то, чтобы можно было использовать информационный сервис с сокрытием факта использования. Для реализации скрытности может применяться, например, широковещательное распространение информации, без указания конкретного адресата. Годятся для реализации скрытности и методы стеганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки. Еще один показательный класс функциональных требований - "Использование ресурсов", содержащий требования доступности. Он включает три семейства. Отказоустойчивость. Требования этого семейства направлены на сохранение доступности информационных сервисов даже в случае сбоя или отказа. В ОК различаются активная и пассивная отказоустойчивость. Активный механизм содержит специальные функции, которые активизируются в случае сбоя. Пассивная отказоустойчивость подразумевает наличие избыточности с возможностью нейтрализации ошибок. Обслуживание по приоритетам. Выполнение этих требований позволяет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным. Распределение ресурсов. Требования направлены на защиту (путем применения механизма квот) от несанкционированной монополизации ресурсов. Мы видим, что "Общие критерии" - очень продуманный и полный документ с точки зрения функциональных требований. В то же время, хотелось бы обратить внимание и на некоторые недостатки. Первый мы уже отмечали - это отсутствие объектного подхода. Функциональные требования не сгруппированы в осмысленные наборы (объектные интерфейсы), к которым могло бы применяться наследование. Подобное положение, как известно из технологии программирования, чревато появлением слишком большого числа комбинаций функциональных компонентов, несопоставимых между собой. В современном программировании ключевым является вопрос накопления и многократного использования знаний. Стандарты - одна из форм накопления знаний. Следование в ОК "библиотечному", а не объектному подходу сужает круг фиксируемых знаний, усложняет их корректное использование. К сожалению, в "Общих критериях" отсутствуют архитектурные требования, что является естественным следствием избранного старомодного программистского подхода "снизу вверх". На наш взгляд, это серьезное упущение. Технологичность средств безопасности, следование общепризнанным рекомендациям по протоколам и программным интерфейсам, а также апробированным архитектурным решениям, таким как менеджер/агент, - необходимые качества изделий информационных технологий, предназначенных для поддержки критически важных функций, к числу которых, безусловно, относятся функции безопасности. Без рассмотрения интерфейсных аспектов системы оказываются нерасширяемыми и изолированными. Очевидно, с практической точки зрения это недопустимо. В то же время, обеспечение безопасности интерфейсов - важная задача, которую желательно решать единообразно. Требования доверия безопасности Установление доверия безопасности, согласно "Общим критериям", основывается на активном исследовании объекта оценки. Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
Применительно к требованиям доверия в "Общих критериях" сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов. Оценочный уровень доверия 1 (начальный) предусматривает анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимое тестирование. Уровень применим, когда угрозы не рассматриваются как серьезные. Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта оценки, выборочное независимое тестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест. На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки. На уровне 4 добавляются полная спецификация интерфейсов, проекты нижнего уровня, анализ подмножества реализации, применение неформальной модели политики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого можно достичь при существующей технологии программирования и приемлемых затратах. Уровень 5, в дополнение к предыдущим, предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификации и проекта верхнего уровня с демонстрацией соответствия между ними. Необходимо проведение анализа скрытых каналов разработчиками и оценщиками. На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня. Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
Несанкционированный доступ к информации — доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Поэтому, в свою очередь, защита информации от несанкционированного доступа призвана не допустить злоумышленника к носителю информации. В защите информации компьютеров и сетей от НСД можно выделить три основных направления: – ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя; – связано с защитой вычислительной среды и основывается на создании специального программного обеспечения; – связано с использованием специальных средств защиты информации компьютеров от несанкционированного доступа. Следует иметь в виду, что для решения каждой из задач применяются как различные технологии, так и различные средства. Требования к средствам защиты, их характеристики, функции ими выполняемые и их классификация, а также термины и определения по защите от несанкционированного доступа приведены в руководящих документах Государственной технической комиссии: – «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации»; – «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»; – «Защита от несанкционированного доступа к информации. Термины и определения». Технические средства, реализующие функции защиты можно разделить на: встроенные и внешние. К встроенным средствам защиты персонального компьютера и программного обеспечения (рис. 3.12) относятся средства парольной защиты BIOS, операционной системы, СУБД. Внешние средства призваны подменить встроенные средства с целью усиления защиты, либо дополнить их недостающими функциями. К ним можно отнести: – аппаратные средства доверенной загрузки; – аппаратно-программные комплексы разделения полномочий пользователей на доступ; – средства усиленной аутентификации сетевых соединений. Аппаратные средства доверенной загрузки представляют собой изделия, чьи функции заключаются в надежной идентификации пользователя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспечением, записанным либо во Flash-память платы, либо на жесткий диск компьютера. Принцип их действия простой. В процессе загрузки стартует BIOS и платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера, после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загрузочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осуществляется основе функции хэширования или иного алгоритма. Результат проверки сравнивается с хранимым во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на экран. Если проверки дали положительный результат, то плата передает управление персональному компьютеру для дальнейшей загрузки операционной системы. Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса — их высокая надежность, простота и невысокая цена. При отсутствии многопользовательской работы на компьютере функций защиты данного средства обычно достаточно. Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделения их полномочий на доступ к данным друг друга. Решение данной задачи основано на: запрете пользователям запусков определенных приложений и процессов; разрешении пользователям и запускаемым ими приложениям лишь определенного типа действия с данными. Реализация запретов и разрешений достигается различными способами. Как правило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резидентный модуль и контролирует действия пользователей на запуск приложений и обращения к данным. Все действия пользователей фиксируются в журнале, который доступен только администратору безопасности. Под средствами этого класса обычно и понимают средства защиты от несанкционированного доступа. Они представляют собой аппаратно-программные комплексы, состоящие из аппаратной части — платы доверенной загрузки компьютера, которая проверяет дополнительно и целостность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части — программы администратора, резидентного модуля. Эти программы располагаются в специальном каталоге и доступны лишь администратору. Данные системы используются и для ограничения пользователя по запуску программ, которые ему не нужны в работе. Средства усиленной аутентификации сетевых соединений применяются в том случае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабочую станцию со стороны сети и изменения либо информации, либо программного обеспечения, а также запуска несанкционированного процесса. Защита от НСД со стороны сети достигается средствами усиленной аутентификации сетевых соединений. Эта технология получила название технологии виртуальных частных сетей. Одна из основных задач защиты от несанкционированного доступа — обеспечение надежной идентификации пользователя (рис. 3.13) и возможности проверки подлинности любого пользователя сети, которого можно однозначно идентифицировать по тому, что он: – знает; – имеет; – из себя представляет. Что знает пользователь? Свое имя и пароль. На этих знаниях основаны схемы парольной идентификации. Недостаток этих схем — ему необходимо запоминать сложные пароли, чего очень часто не происходит: либо пароль выбирают слабым, либо его просто записывают в записную книжку, на листок бумаги и т. п. В случае использования только парольной защиты принимают надлежащие меры для обеспечения управлением создания паролей, их хранением, для слежения за истечением срока их использования и своевременного удаления. С помощью криптографического закрытия паролей можно в значительной степени решить эту проблему и затруднить злоумышленнику преодоление механизма аутентификации. Что может иметь пользователь? Конечно же, специальный ключ — уникальный идентификатор, такой, например, как таблетка touch memory (I-button), e-token, смарт-карта, или криптографический ключ, на котором зашифрована его запись в базе данных пользователей. Такая система наиболее стойкая, однако, требует, чтобы у пользователя постоянно был при себе идентификатор, который чаще всего присоединяют к брелку с ключами и либо часто забывают дома, либо теряют. Будет правильно, если утром администратор выдаст идентификаторы и запишет об этом в журнале и примет их обратно на хранение вечером, опять же сделав запись в журнале. Что же представляет собой пользователь? Это те признаки, которые присущи только этому пользователю, только ему, обеспечивающие биометрическую идентификацию. Идентификатором может быть отпечаток пальца, рисунок радужной оболочки глаз, отпечаток ладони и т. п. В настоящее время — это наиболее перспективное направление развития средств идентификации. Они надежны и в то же время не требуют от пользователя дополнительного знания чего-либо или постоянного владения чем-либо. С развитием технологи и стоимость этих средств становится доступной каждой организации. Гарантированная проверка личности пользователя является задачей различных механизмов идентификации и аутентификации. Каждому пользователю (группе пользователей) сети назначается определенный отличительный признак — идентификатор и он сравнивается с утвержденным перечнем. Однако только заявленный идентификатор в сети не может обеспечить защиту от несанкционированного подключения без проверки личности пользователя. Процесс проверки личности пользователя получил название — аутентификации. Он происходит с помощью предъявляемого пользователем особого отличительного признака — аутентификатора, присущего именно ему. Эффективность аутентификации определяется, прежде всего, отличительными особенностями каждого пользователя. Конкретные механизмы идентификации и аутентификации в сети могут быть реализованы на основе следующих средств и процедур защиты информации: – пароли; – технические средства; – средства биометрии; – криптография с уникальными ключами для каждого пользователя. Вопрос о применимости того или иного средства решается в зависимости от выявленных угроз, технических характеристик защищаемого объекта. Нельзя однозначно утверждать, что применение аппаратного средства, использующего криптографию, придаст системе большую надежность, чем использование программного. Анализ защищенности информационного объекта и выявление угроз его безопасности — крайне сложная процедура. Не менее сложная процедура — выбор технологий и средств защиты для ликвидации выявленных угроз. Решение данных задач лучше поручить специалистам, имеющим богатый опыт.
В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом: 1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса. 2) Оценивание возможных угроз. 3) Оценивание существующих уязвимостей. 4) Оценивание эффективности средств обеспечения информационной безопасности. Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. При этом информационные риски компании зависят от: - показателей ценности информационных ресурсов; - вероятности реализации угроз для ресурсов; - эффективности существующих или планируемых средств обеспечения ИБ. Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами: - привлекательностью ресурса; - возможностью использования ресурса для получения дохода; - техническими возможностями реализации угрозы при умышленном воздействии со стороны человека; - степенью легкости, с которой уязвимость может быть использована. В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнесдеятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Качественные методики управления рисками Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних ITаудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 177992002. Стандарт ISO 17799 содержит две части. В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании:
|