ОИБ. основы информ. безопасности. Учебное пособие Томск
Скачать 1.99 Mb.
|
CoBiT CoBiT (Контрольные объекты информационной технологии) – открытый стандарт, первое издание, которое в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности. Основополагающее правило, положенное в основу CoBiT: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (рисунок 7.1). Ресурсы Критерии оценки Планирование и организация Комплектация и внедрение Функционирование и обслуживание Мониторинг, управление, конструирование Бизнесс задачи CoBiT Рис. 7.1. Структура стандарта CoBiT Каждый из приведенных элементов на блок схеме комплексный и включает в себя следующие компоненты. 166 Ресурсы: людские ресурсы, приложения, технологии, оборудование, данные. А теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT: Трудовые ресурсы – под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы. Приложения – прикладное программное обеспечение, используемое в работе организации. Технологии – операционные системы, базы данных, системы управления и т.д. Оборудование – все аппаратные средства ИС организации, с учетом их обслуживания. Данные – данные в самом широком смысле — внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мульти-медиа и т.д. Критерии оценки: эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность. Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям: Эффективность – критерий, определяющий уместность и соответствие информации задачам бизнеса. Технический уровень – критерий соответствия стандартам и инструкциям. Безопасность – защита информации. Целостность – точность и законченность информации. Пригодность – доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов. Согласованность – исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу. Надежность – соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей. Планирование и организация: Р01 Стратегический план развития, Р02 Архитектура ИС, Р03 Технологическое направление, Р04 Внутренняя организационная структура и взаимоотношения, Р05 Управление инвестициями, Р06 Цели и задачи руководства, Р07 Пользователи и обслуживающий персонал, Р08 Законодательные и нормативные акты, Р09 Учет и анализ рисков, Р010 Управление проектами, Р011 Управление качеством. Комплектация и внедрение: А1 Технологическое решение, А2 Прикладное ПО, А3 Инфраструктура, А4 Процедуры, А5 Установка и аккредитация ИС, А6 Оценка эффективности. Функционирование и обслуживание: DS1 Уровни обслуживания, DS2 Услуги сторонних организаций, 167 DS3 Производительность и масштабируемость, DS4 Непрерывность обслуживания, DS5 Безопасность информации в ИС, DS6 Определение и учет затрат, DS7 Обучение пользователей, DS8 Помощь и консультации обслуживающему персоналу, DS9 Конфигурация элементов ИС, DS10 Разрешение проблем и инцидентов, DS11 Работа, передача, хранение и защита данных, DS12 Безопасность работы, DS13 Проведение и документирование работ. Мониторинг, управление, контроль: М1 Мониторинг происходящих процессов, М2 Адекватность управления, М3 Контроль независимого обслуживания, М4 Проведение независимого аудита. CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы: технические стандарты; кодексы; критерии ИС и описание процессов; профессиональные стандарты; требования и рекомендации; требования к банковским услугам, системам электронной торговли и производству. Стандарт разработан и проанализирован сотрудниками соответствующих подразделений ведущих консалтинговых компаний и используется в их работе наряду с собственными разработками. Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу. Несмотря на малый размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ. На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита. Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС. Отличительные черты CoBiT: Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС). Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов). Адаптируемый, наращиваемый стандарт. 168 Стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру. Требования к представлению информации Ассоциация ISACA разработала и приняла требования к представлению информации при проведении аудита. Применение стандарта CoBiT гарантирует соблюдение этих требований. Основное требование: полезность информации. Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых: Понятность. Информация должна быть понятной для пользователя, который обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима. Уместность. Информация является уместной или относящейся к делу, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности: это своевременность информации, которая означает, что вся значимая информация своевременно, без задержки включена в отчет и такой отчет предоставлен вовремя. Неким аналогом принципа уместности в российской практике может служить требование полноты отражения операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информация. Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна удовлетворять следующим характеристикам: правдивость; нейтральность: информация не должна содержать однобоких оценок, то есть информация не должна предоставляться выборочно, с целью достижения определенного результата; осмотрительность: готовность к учету потенциальных убытков, а не потенциальных прибылей и как следствие – создание резервов, такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации; достаточность информации: включает такую характеристику, как требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку. Стандарты в области оценки информационной безопасности на базе «Общих критериев» Проект «Общие критерии» стал основой для «Общих критериев оценки безопасности информационных технологий», который носит не только технический, но и экономико- политический характер. Его цель состоит, в частности, в том, чтобы упростить, удешевить и ускорить путь сертифицированных изделий информационных технологий на мировой рынок. Эта цель близка и понятна российским специалистам. В 2002 году был официально издан ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» с датой введения в действие первого января 2004 г. Таким образом, и Россия фактически живет по «Общим критериям» со всеми вытекающими из данного факта последствиями. 169 Согласно подходу, принятому в «Общих критериях», на основании предположений безопасности, при учете угроз и положений политики безопасности формулируются цели безопасности для объекта оценки. Для их достижения к объекту и его среде предъявляются требования безопасности. «Общие критерии» в главной своей части являются каталогом (библиотекой) требований безопасности. Спектр стандартизованных требований чрезвычайно широк, что способствует универсальности ―ОК‖. Высокий уровень детализации делает их конкретными, допускающими однозначную проверку, способствует повторяемости результатов оценки. Требования параметризованы, что обеспечивает их гибкость. «Общие критерии» содержат два основных вида требований безопасности: функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности объекта оценки и реализующим их механизмам; требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Библиотека функциональных требований составляет вторую часть «Общих критериев», а каталог требований доверия – третью часть (первая содержит изложение основных концепций ОК). Кроме того, выделяются общие требования к сервисам безопасности. К числу важнейших видов функциональных требований принадлежат: анализ аудита безопасности (FAU_SAA). Из существенных для активного аудита компонентов класса FAU «Аудит безопасности» в «Общих критериях» отсутствуют анализ на соответствие политике безопасности (пороговый, статистический и сигнатурный анализы в семействе FAU_SAA предусмотрены), хранилища для описаний контролируемых объектов и для анализируемой информации, а также все интерфейсные компоненты. В семейство FAU_GEN (генерация данных аудита безопасности) предлагается включить два новых компонента: FAU_GEN.3 – ассоциирование объекта, операция с которым вызвала событие, с включением в регистрационные записи имени (идентификатора) этого объекта. На минимальном уровне должны протоколироваться открытие/закрытие объекта (установление/разрыв соединения и т.п.), на базовом - все промежуточные операции. На детальном уровне в регистрационные записи должны входить все операнды операции с объектом. Компонент FAU_GEN.3 добавлен по двум причинам. Во-первых, должна соблюдаться симметрия между субъектами и объектами. Во-вторых, статистические профили целесообразно строить не для субъектов, а для объектов, но для этого нужно располагать соответствующей информацией. FAU_GEN.4 – предназначен для обеспечения неотказуемости сервиса, пользующегося услугами семейства FAU_GEN, от регистрации события. Стандартный компонент FAU_SAR.3 дает возможность осуществлять поиск и сортировку регистрационной информации, задавая в качестве критериев логические выражения. Подобные выражения полезны также для задания фильтров, управляющих работой сенсоров. Автоматический анализ регистрационной информации с целью выявления подозрительной активности представлен в «Общих критериях» четырьмя компонентами семейства FAU_SAA. FAU_SAA.1 ориентирован на обнаружение превышения порогов, заданных фиксированным набором правил. FAU_SAA.2 служит для выявления нетипичной активности путем анализа профилей поведения. В «Общих критериях» предлагаются профили для субъектов, хотя профили объектов могут оказаться предпочтительными. «Общие критерии» допускают анализ, как в 170 реальном времени, так и постфактум. Поддержку анализа в реальном времени следует рассматривать как важнейшую отличительную особенность средств активного аудита. FAU_SAA.3 направлен на выявление простых атак путем проведения сигнатурного анализа. FAU_SAA.4 позволяет выявлять сложные, многоэтапные атаки, осуществляемые группой злоумышленников. Предусматривается возможность настройки всех четырех компонентов путем добавления, модификации или удаления правил, отслеживаемых субъектов и сигнатур. Вводится еще один компонент, FAU_SAA.5, позволяющий выявлять нарушения политики безопасности. Задавать политики предлагается с помощью предикатов первого порядка. В плане автоматического реагирования на подозрительную активность «Общие критерии» по сути ограничились констатацией подобной возможности. Решающий элемент, который, получив рекомендации от компонентов анализа, определяет, действительно ли имеет место подозрительная активность, и, при необходимости, надлежащим образом реагирует (выбирая форму реакции в зависимости от серьезности выявленных нарушений). Это значит, что решатель (решающий элемент) должен уметь: ранжировать подозрительную активность; реагировать в соответствии с рангом нарушения. Оба аспекта должны управляться администратором безопасности. В качестве отдельной возможности, присущей системам высокого класса, фигурирует проведение корреляционного анализа информации. Описание контролируемых объектов и хранение соответствующей информации - важнейшая составная часть средств активного аудита, придающая им свойства расширяемости и настраиваемости. К этому компоненту предъявляются в первую очередь технологические требования. Мониторы, как организующие оболочки для менеджеров средств активного аудита, должны обладать двумя группами свойств: обеспечивать защиту процессов, составляющих менеджер, от злоумышленных воздействий; обеспечивать высокую доступность этих процессов. Первая группа обслуживается семейством FPT_SEP (разделение доменов). Вторая группа свойств может обеспечиваться такими техническими решениями, как программное обеспечение промежуточного слоя, кластерные конфигурации и т.д. В плане безопасности целесообразно следовать требованиям FPT_FLS.1 (невозможность перехода в небезопасное состояние в случае сбоя или отказа), а также FPT_RCV.2, FPT_RCV.3, FPT_RCV.4 (надежное восстановление в автоматическом режиме, без потери данных, с точностью до функции безопасности). Безопасность интерфейсов монитора (с другими мониторами, сенсорами, администратором безопасности) может обеспечиваться компонентами FPT_ITI.1, FPT_ITI.2 (обнаружение и исправление модификации экспортируемых данных), FPT_ITC.1 (конфиденциальность экспортируемых данных), FPT_ITA.1 (доступность экспортируемых данных). На рабочем месте администратора безопасности должны быть обеспечены стандартные для средств управления возможности: графический интерфейс, возможность настройки способа визуализации и уровня детализации, отбора отображаемых событий. Специфичной для средств активного аудита является возможность получения объяснений от анализаторов и решателей по поводу обнаруженной подозрительной активности. Такие объяснения помогают выбрать адекватный способ реагирования. 171 Функциональный пакет (ФП) – это неоднократно используемая совокупность функциональных компонентов, объединенных для достижения определенных целей безопасности. Профили защиты (ПЗ), соответствующие классам защищенности, строятся на основе базового ПЗ и соответствующих комбинаций ФП. Можно зафиксировать профили для следующих разновидностей средств активного аудита: класс 5 - защита одного информационного сервиса с отслеживанием фиксированного набора характеристик и пороговым анализом (базовый ПЗ); класс 4 - защита однохостовой конфигурации с произвольным набором информационных сервисов, отслеживанием сетевого трафика, системных и прикладных событий, пороговым и простым сигнатурным анализом в реальном масштабе времени; класс 3 - защита сегмента локальной сети от многоэтапных атак при сохранении остальных предположений класса 4; класс 2 - защита произвольной конфигурации с выявлением нетипичного поведения при сохранении остальных предположений класса 3; класс 1 - наложение всех требований с возможностью обеспечения заданного соотношения между ошибками первого и второго рода. 7.2. Методы и средства аудита безопасности информационных систем 7.2.1. Основные понятия и определения Активный аудит и его место среди других сервисов безопасности Формула «защищать, обнаруживать, реагировать» является классической. Только эшелонированная, активная оборона, содержащая разнообразные элементы, дает шанс на успешное отражение угроз. Назначение активного аудита – обнаруживать и реагировать. Обнаружению подлежит подозрительная активность компонентов ИС – от пользователей (внутренних и внешних) до программных систем и аппаратных устройств. Подозрительную активность можно подразделить на: злоумышленную, аномальную (нетипичную). Злоумышленная активность - это либо атаки, преследующие цель несанкционированного получения привилегий, либо действия, выполняемые в рамках имеющихся привилегий (возможно, полученных незаконно), но нарушающие политику безопасности. Последнее назовем – злоупотреблением полномочиями. Нетипичная активность может впрямую не нарушать политику безопасности, но, как правило, она является следствием либо некорректной (или сознательно измененной) работы аппаратуры или программ, либо действий злоумышленников, маскирующихся под легальных пользователей. Активный аудит дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа. Подобное дополнение необходимо по двум причинам. Во-первых, существующие средства разграничения доступа не способны реализовать все требования политики безопасности, если последние имеют более сложный вид, чем разрешение/запрет атомарных операций с ресурсами. Развитая политика безопасности может накладывать ограничения на суммарный объем прочитанной информации, запрещать доступ к ресурсу B, если ранее имел место доступ к ресурсу A, и т.п. Во-вторых, в самих защитных средствах есть ошибки и слабости, поэтому, помимо строительства заборов, приходится заботиться об отлавливании тех, кто смог через эти заборы перелезть. 172 Развитые системы активного аудита несут двойную нагрузку, образуя как первый, так и последний защитные рубежи (см. рисунок 7.2.). Первый рубеж предназначен для обнаружения атак и их оперативного пресечения. На последнем рубеже выявляются симптомы происходящих в данный момент или ранее случившихся нарушений политики безопасности, принимаются меры по пресечению нарушений и минимизации ущерба. Нарушения, последствия которых не ликвидированны, с возможностью повторения в будующем Злоумышленник Атаки Система выявления и пресечения атак Система выявления и устранения слабостей Невыявленные атаки Идентификация и Аутентификация Разграничения доступа Успешные атаки атаки Выявление любой вредной активности Контроль целостности Нарушения, оставшиеся невыявленными Пресечение нарушений Оценка ущерба Восстановление Меры по недопущению повторения нарушений Рабочая станция Защитные рубежи, на которых рассполагаются компоненты систем активного аудита Рис. 7.2. Защитные рубежи, контролируемые системами активного аудита И на первом, и на последнем рубеже, помимо активного аудита, присутствуют другие сервисы безопасности. К первому рубежу можно отнести сканеры безопасности, помогающие выявлять и устранять слабые места в защите. На последнем рубеже для обнаружения симптомов нарушений могут использоваться средства контроля целостности. Иногда их включают в репертуар систем активного аудита; мы, однако, не будем этого делать, считая контроль целостности отдельным сервисом. Между сервисами безопасности существуют и другие связи. Так, активный аудит может опираться на традиционные механизмы протоколирования. В свою очередь, после выявления нарушения зачастую требуется просмотр ранее накопленной регистрационной информации, оценить ущерб, понять, почему нарушение стало возможным, спланировать меры, исключающие повторение инцидента. Параллельно производится надежное восстановление первоначальной конфигурации, то есть не измененной нарушителем. |