Важность и сложность проблемы ИБ
ИБ является одним из важнейших аспектов интегральной безоп-ти, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
Важность проблематики ИБ объясняется двумя основными причинами:
· ценностью накопленных информационных ресурсов;
· критической зависимостью от информационных технологий.
Разрушение важной инф-ии, кража конфиденциальных данных, перерыв в работе вследствие отказа – все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с сист-мами упр-ия или медицинскими сист-мами угрожают здоровью и жизни людей.
Современные ИС сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи м/у компонентами.
Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое словом «аутсорсинг», когда часть функций корпоративной ИС передается внешним организациям. Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство – еще один довод в пользу важности ИБ.). Успех в области ИБ может принести только комплексный подход. Для ее решения необходимо сочетание мер законодательного, административного, процедурного и программно-технического уровней.
Проблема ИБ – не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер упр-ия персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ; требуется в/д-е специалистов из разных областей.
Успех в области ИБ может принести только комплексный подход. Для ее решения необходимо сочетание мер зак-го, административного, процедурного и программно-технического уровней.
9. Законодательный, административный и процедурный уровни информационной безопасности.
Зак-ый уровень ИБ. Успех в области ИБ может принести только комплексный подход. Для ее решения необходимо сочетание мер законодательного, административного, процедурного и программно-технического уровней. В деле обеспечения ИБ успех может принести только комплексный подход. С учетом сложивщейся практики обеспечения ИБ выделяют след-ие направления защ. инф-ии:
· правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту инф-ии на правовой основе;
· организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;
· программно-техническая защита – это использование различных программных, технических препятствующих нанесению ущерба деятельности.
Структура законодательства России в области ИБ, совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ в «Доктрине ИБ РФ»;
Президент РФ определил 4 группы задач Доктрины ИБ: соблюдение конституционных прав и свобод граждан; развитие отечественной индустрии средств массовой инф-ии, коммуникации и связи, обеспечение выхода российской продукции на мировой рынок; создание гарантий безоп-ти инф-ых и телекоммуникационных систем; информационное обеспечение деятельности государства.
Обзор правовых актов общего назначения, затрагивающих вопросы ИБ (Конституция РФ, Гражданский, Уголовный и Административный кодексы РФ);
Конституция. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоупр-ия, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41. гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной инф-ии о состоянии окружающей среды.
Статья 23. Конст-ии гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, ст. 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в проц.е их передачи по комп-м сетям, а также доступ к средствам защиты инф-ии.
В ГК РФ (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, инф-я составляет служебную или коммерческую тайну в случае, когда инф-я имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель инф-ии принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Весьма продвинутым в плане ИБ является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – «Преступления в сфере компьютерной инф-ии» – содержит три статьи:
· статья 272. Неправомерный доступ к компьютерной инф-ии;
· статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
· статья 274. Нарушение правил эксплуатации ЭВМ, сист-мы ЭВМ или их сети.
Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом инф-ии ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Основополагающие законы РФ посвященные вопросам ИБ («Об инф-ии, информатизации и защите инф-ии», «О лицензировании отдельных видов деятельности», «Об участии в м/ународном информационном обмене», «Об электронной цифровой подписи» и др.);
Основополагающим среди российских законов, посвященных вопросам ИБ, следует считать закон "Об инф-ии, информатизации и защите инф-ии" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года.
Закон на первое место ставит сохранение конф-ти инф-ии. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности («предотвращение несанкционированных действий по ... блокированию инф-ии») сказано довольно мало.
Здесь явно выделены три вида защищаемой инф-ии: государственная тайна, коммерческая инф-я и персональные данные. Поскольку защите подлежит только документированная инф-я, необходимым условием является фиксация коммерческой инф-ии на материальном носителе и снабжение ее реквизитами. В данном месте З-на речь идет только о конф-ти; остальные аспекты ИБ забыты.
З-ном «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).
Лицензия – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:
· Шифровальные средства: их разработка и производство, распространение, техническое обслуживание, предоставление услуг в области шифрования инф-ии;
· оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей, выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей;
· выявление электронных устройств, предназначенных для негласного получения инф-ии, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспеч-я собственных нужд юр. лица или индивидуального предпринимателя);
· разработка и (или) производство средств защиты конфиденциальной инф-ии;
· техническая защита конфиденциальной инф-ии;
· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения инф-ии, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:
· деятельность, связанная с защитой государственной тайны;
· деятельность в области связи;
· образовательная деятельность.
Основными лицензирующими органами в области защиты инф-ии являются Федеральное агентство правительственной связи и инф-ии (ФАПСИ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), являющейся правопреемником Государственной технической комиссии при Президенте Российской Федерации. ФАПСИ ведает всем, что связано с криптографией, ФСТЭК лицензирует деятельность по защите конфиденциальной инф-ии. Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты инф-ии (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ.
В эпоху глобальных коммуникаций важную роль играет Закон «Об участии в м/у народном информ-ном обмене» от 4 июля 1996 года номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе «Об инф-ии...», основным защитным ср-вом явл-ся лицензии и сертификаты.
При ввозе инф-ых продуктов, инф-ых услуг в РФ импортер представляет сертификат, гарантирующий соответствие данных продуктов и услуг требованиям договора.
10 января 2002 года Президентом был подписан очень важный закон «Об ЭЦП» номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона "Об инф-ии...". Его роль поясняется в статье 1.
Целью настоящего ФЗ явл-ся обеспечение правовых условий использования ЭЦП в эл-ых док-ах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе (не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи).
ЭЦП – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования инф-ии с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения инф-ии в электронном документе.
Оценочные стандарты и технические спецификации в области ИБ 2 разных вида:
· оценочных стандартов, направл. на класс-ию ИС и средств защиты по требованиям безоп-ти;
· технических спецификаций, регламентирующих различные аспекты реализации средств защиты.
Важно отметить, что м/у эти видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной арх-ры.
Стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» («Оранжевая книга») как оценочный стандарт. Основные понятия. Механизмы безоп-ти. Классы безоп-ти. Интерпретация «Оранжевой книги» для сетевых конфигураций;
Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных сист-мах, то есть сист-мах, кот-м м/о оказать определ-ую степень доверия.
«Оранжевая книга» поясняет понятие безопасной сист-мы, которая «управляет, с помощью соответ-их средств, доступом к инф-ии, так что только должным образом авторизованные лица или проц.ы, действующие от их имени, получают право читать, записывать, создавать и удалять инф-ию».
В «Оранжевой книге» доверенная сист-ма опред-ся как «сист-ма, использующая достаточные аппаратные и прогр-ые ср-ва, ч/ы обеспечить одновр-ную обраб-ку инф-ии разной степени секрет-ти группой польз-лей без нарушения прав доступа». Вопросы доступ-ти «Оранжевая книга» не затрагивает.
Мех-мы безоп-ти. Согласно «Оранжевой книге», политика безоп-ти должна обяз-но вкл. в себя следующие элементы: произвольное упр-ие доступом; безоп-ть повторного использования объектов; метки безоп-ти; принудительное упр-ие доступом.
Классы безоп-ти. «Критерии ...» Министерства обороны США открыли путь к ранжированию ИС по степени доверия безоп-ти.
В «ОК» определяется четыре уровня доверия – D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к сист-мам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия. Всего имеется шесть классов безоп-ти – C1, C2, B1, B2, B3, A1. уровень D – предполагает минимальную безоп-ть; уровень C – произвольное упр-ие доступом; уровень B – принудительное упр-ие доступом; уровень A – гарантируемая (верифицируемая) безоп-ть.
ГОСТ Р ИСО/МЭК 15408-2002 «Информационные технологии. Методы и средства обеспечения безоп-ти. Критерии оценки безоп-ти информационных технологий» (идентичный м/ународному стандарту ISO/IEC 15408:1999 «Критерии оценки безоп-ти информационных технологий» - «Общие критерии» (ОК));
Оценочный стандарт. «Общие критерии» на самом деле являются метастандартом, определяющим инструменты оценки безоп-ти ИС и порядок их использования. В отличие от «Оранжевой книги», ОК не содержат предопределенных «классов безоп-ти». Такие классы можно строить, исходя из требований безоп-ти, существующих для конкретной организации и/или конкретной ИС.
Как и «Оранжевая книга», ОК содержат два основных вида требований безоп-ти:
функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безоп-ти и реализующим их механизмам. Сгруппированы в 11 функциональных классов, 66 семейств, 135 компонентов. Пример класса функциональных требований – защита данных пользователя.
требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и проц.у разработки и эксплуатации. Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов: действия разработчиков; представление и содержание свидетельств; действия оценщиков.
М/ународный стандарт ISO 17799 «Практические правила упр-ия информационной безоп-тью», принятый в 2000 году (ISO 17799 является ни чем иным, как м/ународной версией британского стандарта BS 7799);
В 1995 году был принят национальный стандарт BS 7799 упр-ия информационной безоп-тью организации вне зависимости от сферы деятельности компании. Служба безоп-ти, IT-отдел, руководство компаний начали работать согласно общему регламенту. Неважно, шла ли речь о защите бумажного документооборота или электронных данных.
Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 году м/ународный институт стандартов ISO на базе британского BS 7799 разработал и выпустил м/ународный стандарт менеджмента безоп-ти ISO/IEC 17799. Можно сказать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание. Программные продукты Cobra и КОНДОР призваны оценить степень соответствия обеспечения ИБ страндарту ISO 17799.
Основные разделы стандарта: Политика безоп-ти; Организационные меры по обеспечению безоп-ти: Упр-ие форумами по ИБ, Координация вопросов, связанных с информационной безоп-тью, Распределение ответственности за обеспечение безоп-ти, Классификация и упр-ие ресурсами, Инвентаризация ресурсов, Классификация ресурсов, Безоп-ть персонала, Безоп-ть при выборе и работе с персоналом, Тренинги персонала по вопросам безоп-ти, Реагирование на секьюрити инциденты и неисправности;Физическая безоп-ть; Упр-ие коммуникациями и проц-ами: Рабочие процедуры и ответственность, Системное планирование, Защита от злонамеренного программного обеспечения (вирусов, троянских коней), Упр-ие внутренними ресурсами, Упр-ие сетями, Безоп-ть носителей данных, Передача инф-ии и программного обеспечения; Контроль доступа: Бизнес требования для контроля доступа, Упр-ие доступом пользователя, Ответственность пользователей, Контроль и упр-ие удаленного (сетевого) доступа, Контроль доступа в операционную систему, Контроль и упр-ие доступом к приложениям, Мониторинг доступа и использования систем, Мобильные польз-ли; Разработка и техническая поддержка вычислительных систем: Требования по безоп-ти систем, Безоп-ть приложений, Криптография, Безоп-ть системных файлов, Безоп-ть проц-в разработки и поддержки; Упр-ие непрерывностью бизнеса: Проц. упр-ия непрерывного ведения бизнеса, Непрерывность бизнеса и анализ воздействий, Создание и внедрение плана непрерывного ведения бизнеса, Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса; Соответствие сист-мы основным требованиям: Соответствие требованиям законодательства, Анализ соответствия политики безоп-ти, Анализ соответствия техническим требованиям, Анализ соответствия требованиям системного аудита.
Административный уровень ИБ. Комплексный подход к обеспечению ИБ (сочетание мер законодательного, административного, процедурного и программно-технического уровней): Успех в области ИБ может принести только комплексный подход, сочетающий меры четырех уровней.
Проблема ИБ – не только (и не столько) техническая; без зак-ой базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер упр-ия персоналом и физической защиты решить ее невозможно.
Назначение административного уровня ИБ: К административному уровню ИБ относятся действия общего характера, предпринимаемые руководством организации, в целях регламентации производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправоверное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Главная цель мер административного уровня – сформировать программу работ в области ИБ и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Под политикой безоп-ти мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту инф-ии и ассоциированных с ней ресурсов. Руководство каждой организации должно осознать необходимость поддержания режима безоп-ти и выделения на эти цели значительных ресурсов.
Политика безоп-ти строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения ИБ. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Политика безоп-ти: основные понятия, разделы политики безоп-ти организации (согласно м/у народному стандарту ISO 17799 «Практические правила упр-ия информационной безоп-тью»);
В широком смысле, ПБ определяется как сист-ма документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безоп-ти, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить «Политика упр-ия паролями», «Политика упр-ия доступом к ресурсам корпоративной сети», «Политика обеспечения ИБ при взаимодействии с сетью Интернет» и т.п.
Разделы политики безоп-ти организации, согласно стандарту:
· вводный, подтверждающий озабоченность высшего руководства проблемами ИБ;
· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области ИБ;
· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
· штатный, характеризующий меры безоп-ти, применяемые к персоналу (описание должностей с точки зрения ИБ, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безоп-ти и т.п.);
· раздел, освещающий вопросы физической защиты;
· управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
· раздел, описывающий правила разграничения доступа к производственной инф-ии;
· раздел, характеризующий порядок разработки и сопровождения систем;
· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
· юр. раздел, подтверждающий соответствие политики безоп-ти действующему законодательству.
Процедурный уровень ИБ.
Пиступаем к рассмотрению мер безоп-ти, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим ИБ, и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает особого внимания.
Классы мер: Упр-ие персоналом; Физическая защита; Поддержание работоспособности; Реагирование на нарушения режима безоп-ти; Планирование восстановительных работ.
10. Основные понятия программно-технического уровня информационной безопасности.
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей – оборудования, программ и/или данных, образуют последний и самый важный рубеж ИБ. Ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэф-ны. Главные враги – некомпетентность и неакк-ть при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня.
Понятие сервиса безоп-ти
Сервис безоп-ти – сервис, который обеспечивает задаваемую политикой безоп-ть систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безоп-ти.
IT-сервис – это отлаженный набор средств, которые удовлетворяют оду или несколько потреб-тей польз-ля, обеспечивают достижение основной цели деятельности заказчика, т.е. предоставляют услугу.
Безоп-ть – это невозможность нанесения вреда объекту (его функционированию, свойствам и структурным составляющим). СЕРВИС БЕЗОП-ТИ (меры безоп-ти) гарантирует безоп-ть работы сист-мы. Виды сервисов безоп-ти: превентивные, препятствующие нарушениям ИБ; меры обнаружения нарушений (Аудит и контроль целостности способны помочь в обнаружении нарушений); локализующие, сужающие зону воздействия нарушений (активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания); меры по выявлению нарушителя; меры восстановления режима безоп-ти.
Сервисы безоп-ти, какими бы мощными и стойкими они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только разумная, проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость ИС, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
С практич. т.зр. наиболее важными являются следующие принципы архитектурной безоп-ти: непрерывность защиты в пространстве и времени, невозможность миновать защитные средства; следование признанным стандартам, использование апробированных решений; иерархическая организация ИС с небольшим числом сущностей на каждом уровне; усиление самого слабого звена; невозможность перехода в небезопасное состояние; минимизация привилегий; разделение обязанностей; эшелонированность обороны (не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физич. защиты д/ы следовать программно-технические средства, за идентиф-цией и аутентиф-цией – упр-ие доступом и, как последний рубеж, – протоколирование и аудит.); разнообразие защитных средств; простота и управляемость ИС.