Этапы построения системы безопасности ИС
Концепция информационнной безопасности определяет этапы построения системы информационной безопасности в соответствии со стандартизованным жизненным циклом ИС: аудит безопасности (обследование) существующей системы защиты ИС, анализ рисков, формирование требований и выработка первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение системы [7]. Рассмотрим кратко содержание отдельных этапов.
Аудит безопасности. Аудит безопасности может включать в себя, по крайней мере, четыре различных группы работ.
К первой группе относятся так называемые тестовые взломы ИС. Эти тесты применяются, как правило, на начальных стадиях обследования защищенности ИС. Причина малой эффективности тестовых взломов скрывается в самой постановке задачи. Действительно, основной задачей взломщика является обнаружение нескольких уязвимостей и их использование для доступа в систему. Если тест оказался успешным, то, предотвратив потенциальное развитие возможных сценариев взлома, работу надо начинать сначала и искать следующие. Неуспех взлома может означать в равной мере как защищенность системы, так и недостаточность тестов.
Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной работы оценивается общее состояние механизмов безопасности в обследуемой ИС на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые в результате как интервьюирования, так и тестовой работы автоматизированных сканеров защищенности.
Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищенности информационных ресурсов. При этом происходит формальная проверка набора требований как организационного, так и технического аспектов, рассматриваются полнота и достаточность реализации механизмов безопасности. Типовая методика анализа корпоративной информационной защищенности состоит их совокупности следующих методов:
• изучение исходных данных по структуре, архитектуре, инфраструктуре и конфигурации ИС на момент обследования;
• предварительная оценка рисков, связанных с осуществлением угроз безопасности в отношении технических и информационных ресурсов;
• анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима ИБ и оценка их соответствия требованиям существующих стандартов и нормативных документов, а также их адекватности существующим рискам;
• анализ конфигурационных файлов маршрутизаторов и Proxy-серверов, почтовых и DNS-серверов (Domain Name System), шлюзов виртуальных частных сетей (VPN), других критических элементов сетевой инфраструктуры;
• сканирование внешних сетевых адресов локальной сети;
• сканирование ресурсов локальной сети изнутри;
• анализ конфигурации серверов и рабочих станций при помощи специализированных программных агентов.
Перечисленные технические методы предполагают применение как активного, так и пассивного тестирования системы защиты. Активное тестирование заключается в моделировании действий потенциального злоумышленника; а пассивное — предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную или с использованием специализированных программных средств.
При анализе конфигурации средств защиты для внешнего периметра локальной сети и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты:
• настройка правил разграничения доступа (фильтрация сетевых пакетов);
• используемые схемы и настройка параметров аутентификации;
• настройка параметров системы регистрации событий;
• использование механизмов, обеспечивающих сокрытие топологии защищаемой сети (например, трансляция сетевых адресов);
• настройка механизмов оповещения об атаках и реагирования;
• наличие и работоспособность средств контроля целостности;
• версии используемого ПО и установленные обновления.
Анализ конфигурации предполагает проверку правильности установки сотен различных параметров. Для автоматизации этого процесса могут использоваться специализированные программные средства анализа защищенности, выбор которых в настоящее время достаточно широк.
Один из современных и быстро развивающихся методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем — использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки ПО, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности ИС. Управление агентами осуществляет по сети программа-менеджер. Такие менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной БД. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации ESM (производитель — компания «Symantec Enterprise Security Manager»).
Четвертая группа — предпроектное обследование — самый трудоемкий вариант аудита. Такой аудит предполагает анализ организационной структуры предприятия в приложении к ИР, правила доступа сотрудников к тем или иным приложениям. Затем выполняется анализ самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, необходимые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения ИБ дает основания для ранжирования рисков, существующих в ИС, и выработки адекватных контрмер. Успешное проведение предпроектного обследования, последующего анализа рисков и формирования требований определяют, насколько принятые меры будут адекватны угрозам, эффективны и экономически оправданы.
Проектирование системы. В настоящее время сложились два подхода к построению системы ИБ: продуктовый и проектный. В рамках продуктового подхода выбирается набор средств физической, технической и программной защиты (готовое решение), анализируются их функции, а на основе анализа функций определяется политика доступа в рабочие и технологические помещения, к информационным ресурсам. Можно поступать наоборот: вначале прорабатывается политика доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор средств и продуктов, обеспечивающих выполнение этих функций. Выбор методов зависит от конкретных условий деятельности организации, ее местонахождения, расположения помещений, состава подсистем ИС, совокупности решаемых задач, требований к системе защиты и т.д. Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, в некоторых случаях он является единственно возможным в условиях дефицита решений или жестких требований нормативных документов на государственном уровне (например, для криптографической защиты в сетях специального назначения и правительственных телефонных сетях применяется только такой подход). Проектный подход заведомо более полон, и решения, построенные на его основе, более оптимизированы и проще аттестуемы. Он предпочтительнее и при создании больших гетерогенных распределенных систем, поскольку в отличие от продуктового подхода не связан изначально с той или иной платформой. Кроме того, он обеспечивает более «долгоживущие» решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа. Это, в свою очередь, обеспечивает хороший показатель возврата инвестиций (ROI) при развитии ИС и системы ИБ.
Объекты или приложения? При проектировании архитектуры системы информационной безопасности применяются объектный, прикладной или смешанный подходы.
Объектный подход строит защиту информации на основании физической структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т.д. К его недостаткам относятся очевидная неполнота универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.
Прикладной подход «привязывает» механизмы безопасности к конкретному приложению. Пример такого подхода — защита подсистемы либо отдельных зон автоматизации (бухгалтерия, склад, кадры, проектное бюро, аналитический отдел, отделы маркетинга и продаж и т.д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно: необходимо увязывать различные по функциональным возможностям средства безопасности для минимизации затрат на администрирование и эксплуатацию, а также задействовать уже существующие средства защиты информации для сохранения инвестиций.
Возможна комбинация двух описанных подходов. В смешанном подходе ИС представляется как совокупность объектов, для каждого из которых применен объектный подход, а для совокупности взаимосвязанных объектов — прикладной. Такая методика оказывается более трудоемкой на стадии проектирования, однако часто дает хорошую экономию средств при внедрении, эксплуатации и сопровождении системы защиты информации.
Службы и механизмы безопасности. Стратегию защиты можно реализовать двумя методами: ресурсным и сервисным. Первый метод рассматривает ИС как набор ресурсов, которые «привязываются» к конкретным компонентам системы ИБ. Этот метод хорош для небольших ИС с ограниченным набором задач. При расширении круга задач и разрастании ИС приходится во многом дублировать элементы защиты для однотипных ресурсов, что часто приводит к неоправданным затратам. Сервисный подход трактует ИС как набор служб, программных и телекоммуникационных сервисов для оказания услуг пользователям. В этом случае один и тот же элемент защиты можно использовать для различных сервисов, построенных на одном и том же ПО или техническом устройстве. Сегодня сервисный подход представляется предпочтительным, поскольку он предполагает строгий функциональный анализ существующих многочисленных служб, обеспечивающих функционирование ИС, и позволяет исключить широкий класс угроз при помощи отказа от «лишних» служб и оптимизации работы оставшихся, делая структуру системы ИБ логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности ISO 15408.
Внедрение и аттестация. Этап внедрения включает в себя комплекс последовательно проводимых мероприятий, в том числе установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдачу в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в «боевой» режим. Если в процессе опытной эксплуатации выявлены факты некорректной работы компонентов, проводят корректировку настроек средств защиты, режимов их функционирования и т.п. По результатам опытной эксплуатации вносят корректировки (при необходимости) и уточняют настройки средств защиты. Далее следует проведение приемо-сдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.
Подтверждение функциональной полноты системы безопасности и обеспечения требуемого уровня защищенности ИС обеспечивается проведением аттестации системы И Б соответствующим аккредитованным центром Гостехкомиссии России или зарубежной независимой лабораторией. Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации для оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе исходя из следующего перечня работ:
• анализ исходных данных, предварительное ознакомление с аттестуемым объектом и информатизации;
• экспертное обследование объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;
• испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;
• испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);
• комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации;
• анализ результатов экспертного обследования и аттестационных испытаний и утверждение заключения по результатам аттестации объекта информатизации.
По результатам испытаний готовится отчетная документация, проводится оценка результатов испытаний и выдается аттестат соответствия установленного образца. Его наличие дает право обработки информации со степенью конфиденциальности и на период времени, установленными в аттестате.
Техническая поддержка и сопровождение. Для поддержания работоспособности подсистемы информационной безопасности и бесперебойного выполнения ей своих функций необходимо предусмотреть комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактические работы. Данный комплекс мероприятий включает в себя:
• администрирование штатных средств защиты и их техническое обслуживание;
• контроль состояния системы, профилактическое обследование конфигурации, выявление потенциальных проблем;
• мониторинг и установку выпускаемых обновлений и программных коррекций средств защиты, а также используемых ОС, СУБД и приложений;
• регулярный поиск и анализ уязвимостей в защищаемой системе с использованием специальных средств сканирования;
• диагностику неисправностей и проведение восстановительных работ при возникновении аварийных и нештатных ситуаций;
• периодическое тестирование системы информационной безопасности и оценка эффективности защиты.
Техническая поддержка и сопровождение системы информационной безопасности требует наличия у обслуживающего персонала определенных знаний и навыков и может осуществляться как штатными сотрудниками организации — владельца ИС, ответственными за информационную безопасность, так и сотрудниками специализированных организаций.