Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

95 использовать нельзя, следует знать, кто следит за выполнением данного правила.
- Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
- Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.
Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
3. Политика безопасности нижнего уровня относится к конкретным
информационным сервисам. Она включает в себя два аспекта - цели и
правила их достижения, поэтому ее порой трудно отделить от вопросов
реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.
Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом?
- при каких условиях можно читать и модифицировать данные?
- как организован удаленный доступ к сервису?
При формулировке целей политики нижнего уровня можно исходить из
соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными.
Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.
7.3 Программа безопасности
После того, как сформулирована политика безопасности, можно
приступать к составлению программы ее реализации и собственно к
реализации.
Чтобы понять и реализовать какую-либо программу, ее нужно
структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае
достаточно двух уровней –
1. верхнего, или центрального, который охватывает всю организацию,

96 2. нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за
информационную безопасность организации. У этой программы
следующие главные цели:
- управление рисками (оценка рисков, выбор эффективных средств защиты);
- координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
- стратегическое планирование;
- контроль деятельности в области информационной безопасности.
В рамках программы верхнего уровня принимаются стратегические
решения по обеспечению безопасности, оцениваются технологические
новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
Цель программы нижнего уровня - обеспечить надежную и
экономичную защиту конкретного сервиса или группы однородных сервисов.
На этом уровне решается, какие следует использовать механизмы защиты;
закупаются и устанавливаются технические средства; выполняется
повседневное администрирование; отслеживается состояние слабых мест и
т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.
7.4 Синхронизация программы безопасности с жизненным
циклом систем
Если синхронизировать программу безопасности нижнего уровня с
жизненным циклом защищаемого сервиса, можно добиться большего
эффекта с меньшими затратами. В жизненном цикле информационного
сервиса можно выделить следующие этапы:
1. Инициация. На данном этапе выявляется необходимость в
приобретении нового сервиса, документируется его предполагаемое
назначение.
2. Закупка.
На
данном
этапе
составляются
спецификации,
прорабатываются
варианты
приобретения,
выполняется
собственно закупка.
3. Установка.
Сервис
устанавливается,
конфигурируется,
тестируется и вводится в эксплуатацию.
4. Эксплуатация. На данном этапе сервис не только работает и
администрируется, но и подвергается модификациям.
5. Выведение из эксплуатации. Происходит переход на новый сервис.
Рассмотрим действия, выполняемые на каждом из этапов, более подробно.

97
На этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий сервис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.
Требуется сформулировать ответы на следующие вопросы:
1. какого рода информация предназначается для обслуживания новым сервисом?
2. каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
3. каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
4. есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?
5. каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?
6. каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?
Этап закупки - один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.
Установка. Когда продукт закуплен, его необходимо установить.
Несмотря на кажущуюся простоту, установка является очень ответственным делом:
- Во-первых, новый продукт следует сконфигурировать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить.
- Во-вторых, новый сервис нуждается в процедурных регуляторах.
Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

98
- Тестирование - проводится после принятия перечисленных мер необходимо провести. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.
Период
эксплуатации
- самый длительный и сложный. С психологической точки зрения наибольшую опасность в это время представляют незначительные изменения в конфигурации сервиса, в поведении пользователей и администраторов. Если безопасность не поддерживать, она ослабевает. Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.
При
выведении
из
эксплуатации затрагиваются аппаратно- программные компоненты сервиса и обрабатываемые им данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. Программы, вероятно, просто стираются, если иное не предусмотрено лицензионным соглашением.
При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи.
7.5 Понятие об управлении рисками
Управление рисками рассматривается нами на административном
уровне ИБ, поскольку только руководство организации способно выделить
необходимые ресурсы, инициировать и контролировать выполнение
соответствующих программ.
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты.
Периодическая
(пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
Уровень риска является количественной функцией вероятности
реализации определенной угрозы (использующей некоторые уязвимые
места), а также величины возможного ущерба.
Суть мероприятий по управлению рисками состоит в том, чтобы
оценить их размер, выработать эффективные и экономичные меры
снижения рисков, а затем убедиться, что риски заключены в приемлемые

99
рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
1. (пере)оценка (измерение) рисков;
2. выбор эффективных и экономичных защитных средств
(нейтрализация рисков).
По отношению к выявленным рискам возможны следующие
действия:
- ликвидация риска (например, за счет устранения причины);
- уменьшение риска
(например, за счет использования дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих условиях);
- переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
1. Выбор анализируемых объектов и уровня детализации их
рассмотрения.
Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки.
2. Выбор методологии оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать.
Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.
3. Идентификация активов. При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.
4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
Первый шаг в анализе угроз - их идентификация. Целесообразно выявлять не только сами угрозы, но и источники их возникновения
- это поможет в выборе дополнительных средств защиты. После идентификации угрозы необходимо оценить вероятность ее осуществления. Кроме вероятности осуществления, важен размер потенциального ущерба. Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более

100 отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.
5. Оценка рисков. После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб.
6. Выбор защитных мер. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала.
Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации.
7. Реализация и проверка выбранных мер. Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки.
8. Оценка остаточного риска. Если остаточные риски не соответствуют заданным необходимо проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

101
8. ПРОЦЕДУРНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
8.1. Основные классы мер процедурного уровня
Рассмотрим меры безопасности, которые ориентированы на людей, а не на технические средства.
Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает особого внимания.
Следует осознать ту степень зависимости от компьютерной обработки данных, в которую попало современное общество. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.
На процедурном уровне можно выделить следующие классы мер:
- управление персоналом;
- физическая защита;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
Рассмотрим меры процедурного уровня более подробно.
8.2 Управление персоналом
Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью.
Существует два общих принципа, которые следует иметь в виду
при управлении персоналом:
- Принцип
разделения
обязанностей
предписывает
так
распределять роли и ответственность, чтобы один человек не мог
нарушить критически важный для организации процесс.
- Принцип минимизации привилегий предписывает выделять
пользователям только те права доступа, которые необходимы им
для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий.
Когда кандидат определен, он, вероятно, должен пройти обучение, по крайней мере, его следует подробно ознакомить со служебными

102 обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.
С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий.
Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно (в идеале - одновременно с извещением о наказании или увольнении). Возможно и физическое ограничение доступа к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.
Проблема
обучения
- одна
из
основных с точки зрения
информационной безопасности. Если сотрудник не знаком с политикой
безопасности своей организации, он не может стремиться к достижению
сформулированных в ней целей. Не зная мер безопасности, он не сможет их
соблюдать.
Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.
8.3 Физическая защита
Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.
Основной принцип физической защиты, соблюдение которого следует
постоянно контролировать, формулируется как «непрерывность защиты в
пространстве и времени».
Выделяют
следующие
основные
направления
обеспечения
физической защиты:
-
физическое управление доступом;
-
противопожарные меры;
-
защита поддерживающей инфраструктуры;
-
защита от перехвата данных;
-
защита мобильных систем.
8.4 Поддержание работоспособности
Недооценка факторов безопасности в повседневной работе - ахиллесова пята многих организаций. Дорогие средства безопасности теряют

103 смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.
Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных; в лучшем случае они создают бреши в защите, которые делают возможной реализацию угроз.
Можно
выделить
следующие
направления
повседневной
деятельности направленных на поддержание работоспособности:
- поддержка пользователей;
- поддержка программного обеспечения;
- конфигурационное управление;
- резервное копирование;
- управление носителями;
- документирование;
- регламентные работы.
8.5 Реагирование на нарушения режима безопасности
Программа
безопасности,
принятая
организацией,
должна
предусматривать набор оперативных мероприятий, направленных на
обнаружение и нейтрализацию нарушений режима информационной
безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.
Реакция на нарушения режима безопасности преследует три
главные цели:
- локализация инцидента и уменьшение наносимого вреда;
- выявление нарушителя;
- предупреждение повторных нарушений.
В организации должен быть человек, доступный 24 часа в сутки
(лично, по телефону, пейджеру или электронной почте), который отвечает за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности.
Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее.
Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.
Чтобы найти нарушителя, нужно заранее выяснить контактные координаты поставщика сетевых услуг и договориться с ним о самой возможности и порядке выполнения соответствующих действий.

104
Необходимо отслеживать появление новых уязвимых мест и как можно быстрее ликвидировать ассоциированные с ними окна опасности. Кто-то в организации должен курировать этот процесс, принимать краткосрочные меры и корректировать программу безопасности для принятия долгосрочных мер.
8.6 Планирование восстановительных работ
Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью.
Планирование восстановительных работ позволяет подготовиться
к авариям, уменьшить ущерб от них и сохранить способность к
функционированию хотя бы в минимальном объеме.
Отметим, что меры информационной безопасности можно разделить на три группы, в зависимости от того на какой аспект они направлены на:
- предупреждение атак;
- обнаружение атак;
- ликвидацию последствий атак.
Планирование восстановительных работ, очевидно, относится к последней из трех перечисленных групп.
Процесс
планирования
восстановительных
работ
можно
разделить на следующие этапы:
- выявление критически важных функций организации, установление
приоритетов;
- идентификация ресурсов, необходимых для выполнения критически
важных функций;
- определение перечня возможных аварий;
- разработка стратегии восстановительных работ;
- подготовка к реализации выбранной стратегии;
- проверка стратегии.
Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.
Критичные ресурсы обычно относятся к одной из следующих категорий:
- персонал;
- информационная инфраструктура;
- физическая инфраструктура.

105
При определении перечня возможных аварий нужно попытаться разработать их сценарии. Как будут развиваться события? Каковы могут оказаться масштабы бедствия? Что произойдет с критичными ресурсами?
Например, смогут ли сотрудники попасть на работу? Будут ли выведены из строя компьютеры? Возможны ли случаи саботажа? Будет ли работать связь?
Пострадает ли здание организации? Можно ли будет найти и прочитать необходимые бумаги?
Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации. При разработке стратегии целесообразно провести анализ рисков, которым подвергаются критичные функции, и попытаться выбрать наиболее экономичное решение.
Стратегия должна предусматривать не только работу по временной схеме, но и возвращение к нормальному функционированию.
Подготовка к реализации выбранной стратегии состоит в выработке плана действий в экстренных ситуациях и по их окончании, а также в обеспечении некоторой избыточности критичных ресурсов. Избыточность обеспечивается также мерами резервного копирования, хранением копий в нескольких местах, представлением информации в разных видах (на бумаге и в файлах) и т.д.

106
9. ОСНОВНЫЕ ПРОГРАММНО-ТЕХНИЧЕСКИЕ МЕРЫ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
9.1 Основные понятия программно-технического уровня
информационной безопасности
Программно-технические меры, то есть меры, направленные на
контроль компьютерных сущностей - оборудования, программ и/или данных,
образуют
последний
и
самый
важный
рубеж
информационной
безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Следует, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:
- повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;
- развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;
- появление новых информационных сервисов ведет и к образованию новых уязвимых мест как «внутри» сервисов, так и на их стыках;
- конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты;
- навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.
Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необходимость гибкой позиции при выборе и сопровождении программно- технических регуляторов.

107
Центральным для программно-технического уровня является понятие
сервиса безопасности.
Следуя объектно-ориентированному подходу, при рассмотрении
информационной системы с единичным уровнем детализации мы увидим
совокупность предоставляемых ею информационных сервисов.
Основными сервисами обеспечения безопасности являются:
- идентификация и аутентификация;
- управление доступом;
- протоколирование и аудит;
- шифрование;
- контроль целостности;
- экранирование;
- анализ защищенности;
- обеспечение отказоустойчивости;
- обеспечение безопасного восстановления;
- туннелирование;
- управление.
Считается, что данного набора сервисов, в принципе, достаточно для
построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).
Для проведения классификации сервисов безопасности и определения
их места в общей архитектуре меры безопасности можно разделить на
следующие виды:
- превентивные, препятствующие нарушениям ИБ;
- меры обнаружения нарушений;
- локализующие, сужающие зону воздействия нарушений;
- меры по выявлению нарушителя;
- меры восстановления режима безопасности.
Большинство сервисов безопасности попадает в число превентивных, и это, безусловно, правильно. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

108
9.2 Особенности современных информационных систем,
существенные при обеспечении информационной
безопасности
Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре, которое пользуется многочисленными внешними сервисами и, в свою очередь, предоставляет собственные сервисы вовне.
Особенности современных ИС наиболее существенные с точки
зрения обеспечения безопасности:
- корпоративная
сеть
имеет
несколько
территориально
разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми
находятся в ведении внешнего поставщика сетевых услуг, выходя за
пределы зоны, контролируемой организацией;
- корпоративная сеть имеет одно или несколько подключений к
Internet;
- на каждой из производственных площадок могут находиться
критически важные серверы, в доступе к которым нуждаются
сотрудники, работающие на других площадках, мобильные пользователи и, возможно, сотрудники других организаций;
- для доступа пользователей могут применяться не только
компьютеры, но и потребительские устройства, использующие, в
частности, беспроводную связь;
- в течение одного сеанса работы пользователю приходится
обращаться
к
нескольким
информационным
сервисам, опирающимся на разные аппаратно-программные платформы;
- к доступности информационных сервисов предъявляются жесткие
требования, которые обычно выражаются в необходимости
круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;
- информационная система представляет собой сеть с активными
агентами, то есть в процессе работы программные компоненты, такие как апплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;
- не все пользовательские системы контролируются сетевыми и/или
системными администраторами организации;
- программное обеспечение, не может считаться надежным, в нем
могут быть ошибки, создающие проблемы в защите;
- конфигурация информационной системы постоянно изменяется на
уровнях административных данных, программ и аппаратуры

109
(меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.).
Следует также учитывать еще по крайней мере два момента.
- Во-первых, для каждого сервиса основные грани ИБ (доступность,
целостность,
конфиденциальность)
трактуются
по-своему.
Целостность с точки зрения системы управления базами данных и с точки зрения почтового сервера - вещи принципиально разные.
- Во-вторых,
основная
угроза
информационной
безопасности
организаций
по-прежнему
исходит
не
от
внешних
злоумышленников, а от собственных сотрудников.
9.3 Архитектура системы безопасности
Сервисы безопасности, какими бы мощными они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
Теоретической
основой
решения
проблемы
архитектурной
безопасности является следующее фундаментальное утверждение.
«Пусть каждый субъект (то есть процесс, действующий от имени
какого-либо пользователя) заключен внутри одного компонента и может
осуществлять непосредственный доступ к объектам только в пределах
этого компонента. Далее пусть каждый компонент содержит свой
монитор обращений, отслеживающий все локальные попытки доступа, и
все мониторы проводят в жизнь согласованную политику безопасности.
Пусть, наконец, коммуникационные каналы, связывающие компоненты,
сохраняют конфиденциальность и целостность передаваемой информации.
Тогда совокупность всех мониторов образует единый монитор обращений
для всей сетевой конфигурации» (см. рис 9.1).
Обратим внимание на три принципа, содержащиеся в приведенном
утверждении:
- необходимость выработки и проведения в жизнь единой политики
безопасности;
- необходимость обеспечения конфиденциальности и целостности
при сетевых взаимодействиях;
- необходимость
формирования
составных
сервисов
по
содержательному принципу, чтобы каждый полученный таким
образом компонент обладал полным набором защитных средств и с
внешней точки зрения представлял собой единое целое (не должно
быть информационных потоков, идущих к незащищенным
сервисам).

110
Рис. 9.1 – Архитектура единой системы информационной безопасности
Если какой-либо (составной) сервис не обладает полным набором защитных средств (состав полного набора описан выше), необходимо привлечение дополнительных сервисов, которые мы будем называть экранирующими. Экранирующие сервисы устанавливаются на путях доступа к недостаточно защищенным элементам; в принципе, один такой сервис может экранировать (защищать) сколь угодно большое число элементов.
С практической точки зрения наиболее важными являются
следующие принципы архитектурной безопасности:
- непрерывность
защиты
в
пространстве
и
времени,
невозможность миновать защитные средства;
- следование
признанным
стандартам,
использование
апробированных решений;
- иерархическая организация ИС с небольшим числом сущностей на
каждом уровне;
- усиление самого слабого звена;
- невозможность перехода в небезопасное состояние;
- минимизация привилегий;
- разделение обязанностей;
- эшелонированность обороны;
- разнообразие защитных средств;
- простота и управляемость информационной системы.
Поясним смысл перечисленных принципов.
Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. субъект 1 монитор 1
компонент 1
ИС
политика
безопасности
доступ к компоненту 1 субъект N монитор N
компонент N
ИС доступ к компоненту N
Каналы связи удовлетворяющие требованиям
конфиденциальности,
целостности
единый монитор
обращений сетевой
конфигурации

111
Определенные выше экранирующие сервисы должны исключить подобную возможность.
Следование
признанным
стандартам
и
использование
апробированных решений повышает надежность ИС и уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.
Иерархическая организация ИС с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. При нарушении данного принципа система станет неуправляемой и, следовательно, обеспечить ее безопасность будет невозможно.
Надежность любой обороны определяется самым слабым звеном.
Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.)
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост оставляют поднятым, препятствуя проходу неприятеля.
Применительно к программно-техническому уровню
принцип
минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Этот принцип позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.
Принцип
разделения
обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. В частности, соблюдение данного принципа особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.
Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а благодаря наличию такого рубежа, как протоколирование и аудит, его действия не останутся незамеченными. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.

112
Очень важен принцип простоты и управляемости информационной
системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование.
Для
обеспечения
высокой
доступности
(непрерывности
функционирования)
необходимо
соблюдать
следующие
принципы
архитектурной безопасности:
- внесение в конфигурацию той или иной формы избыточности
(резервное оборудование, запасные каналы связи и т.п.);
- наличие средств обнаружения нештатных ситуаций;
- наличие
средств
реконфигурирования
для
восстановления,
изоляции и/или замены компонентов, отказавших или подвергшихся
атаке на доступность;
- рассредоточенность сетевого управления, отсутствие единой
точки отказа;
- выделение подсетей и изоляция групп пользователей друг от друга.
Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.
- минимизация объема защитных средств, выносимых на клиентские
системы.
- реализация сервисов безопасности на сетевом и транспортном
уровнях
- поддержка механизмов аутентификации, устойчивых к сетевым
угрозам.

113