Определение политики и процедур безопасности

Политика безопасности представляет собой совокупность правил и процедур обращения с защищаемой информацией, законов и практических рекомендаций по обеспечению безопасности, охватывающих все особенности процесса обработки информации в организации [Лукацкий 2-99]. Политика безопасности не может быть универсальной и должна учитывать технологию обработки информации в вашей организации, решаемые в последней задачи, требования по защите и т.д. Однако освещение всех сторон создания политики безопасности выходит за рамки данной книги и требует отдельного рассмотрения. Поэтому я опишу только те из них, на которые необходимо обратить внимание при подготовке к обнаружению атак.

Процедуры подготовки к обнаружению атак включают действия, необходи­мые для наблюдения за компонентами корпоративной сети в поиске следа атак. Наблюдение может выполняться в форме текущего контроля (monitoring), проверки (inspecting), ревизии (auditing) и контроля целостности (integrity checking). Помимо данных действий, существуют и другие, которые необходимо отличать от названных (табл. 7.9) [Kochmar l-98].

Таблица 7.9. Действия по обнаружению нарушений безопасности

Действие Описание
Фильтрация (filtering)     Зондирование (probing)   Сканирование (scanning) Мониторинг (monitoring)     Проверка (inspecting)   Ревизия (auditing)     Проверка целостности (integrity checking) Уведомление (notifying) Исследование потока данных между контролируемыми системами и блокирование в этом потоке несанкционированных или подозрительных действий. Осуществление попыток соединений с контролируемыми системами и генерация различных запросов Периодическое зондирование контролируемых систем Наблюдение в контролируемом пространстве (сетевом трафике, журнале регистрации и т.п.) специфичных событий. Исследование информационных ресурсов или процессов контролируемых систем Систематические исследования регистрационных данных контролируемой системы в поиске известных или ожи­даемых форм поведения Проверка неизменности контролируемой системы   Уведомление в случае обнаружения заданных событий безопасности в контролируемой системе при помощи вышеперечисленных действий


Соответствующе обученный персонал, имеющий все необходимые докумен­ты и план действий, более способен к адекватному реагированию в случае атаки, чем персонал без должной подготовки, который может по неосто­рожности подвергнуть компоненты информационной системы различным угрозам. Для эффективного обнаружения атак необходимо иметь описывае­мые ниже документы. Зная ситуацию в области защиты информации в Рос­сии не понаслышке, я прекрасно осознаю, что далеко не все организации смогут или захотят создать эти документы. У специалистов в области защи­ты информации, работающих в различных организациях, зачастую не хвата­ет времени и знаний, чтобы провести длительную и рутинную работу по за­полнению соответствующих пробелов в структуре обеспечения информационной безопасности компании. Однако к этому надо стремиться. Ниже перечислены документы в порядке их важности для инфраструктуры обнаружения атак. Если же вы не располагаете временем на их подготовку или у вас не хватает соответствующей квалификации, то можно поручить написание таких документов специалистам.

Во-первых, вы должны иметь документ, который содержит описания собы­тий безопасности, которые могут привести к реализации атак. Эти события могут быть описаны как в отдельном документе, так и в так называемом Плане защиты, который помимо перечня значимых событий безопасности может включать и другие сведения о защищаемой корпоративной сети [Гайкович 1-95]. Такие события определяются в процессе анализа риска, В результате данного процесса определяются наиболее вероятные угрозы и степень их риска. Как показывает опыт, на практике действуют два подхода к оценке рисков [Симонов 1-99]. Первый из них имеет место при так назы­ваемом базовом уровне обеспечения информационной безопасности (наиболее типичные сценарии работы корпоративной сети). В тех случаях, в которых базового уровня недостаточно (например, в системах диспетчерского управ­ления нефтегазового комплекса, работающих в режиме реального времени, или в платежных системах банков), используется второй подход, который предусматривает всестороннее изучение технологии обработки информации, используемого программного и аппаратного обеспечения и т.д. Для первого варианта характерен типовой набор наиболее вероятных угроз (вирусы, от­каз оборудования и т.п.). Во втором случае по результатам изучения всех аспектов деятельности корпоративной сети составляется более полный по сравнению с базовым набором перечень вероятных угроз. Возможно, по результатам всестороннего анализа рисков некоторые из событий типового набора будут удалены из конечного списка вероятных угроз. Описание про­цесса анализа рисков не укладывается в рамки данной книги. Для более подробного рассмотрения данного вопроса можно порекомендовать [Симонов 1-99] и [Симонов 2-99].

К событиям, на которые вы должны обращать внимание в первую очередь можно отнести такие, как:

q отказ в обслуживании, включая посылку большого объема электронной почты адресату для выведения из строя его узла и атаки типа «шторм» (например, заполнение канала связи мусором для невозможности обработки данных от других узлов);

q потенциально враждебное содержимое типа вирусов, апплетов Java и управляющих компонентов ActiveX;

q исследование вашей системы для поиска уязвимостей при помощи сетевых сканеров и сканеров безопасности и их будущее использование для атак.

Второй обязательный документ, называемый картой сети (network map), должен включать опись всего используемого в корпоративной сети аппаратного и программного обеспечения. Эталонная информация, содержащаяся в данном реестре, должна периодически сравниваться с текущим состоянием корпоративной сети и, в случае санкционированного изменения расположения конфигурации аппаратного и программного обеспечения должна также изменяться, с тем чтобы указанный документ всегда содержал самую последнюю актуальную информацию. В случае обнаружения несанкционированных изменений необходимо срочно инициировать процедуру разбора этой ситуации. Более подробно создание такой карты рассматривается далее.

Третий документ, который вы должны разработать при создании инфраструктуры обнаружения атак, распределяет роли, обязательства, полномочия и ответственность администраторов системы, сети и безопасности, а также пользователей ИС в плане управления всеми данными, системами и сетями при обнаружении следов атак.

Следующий руководящий документ описывает действия, выполняемые для обнаружения атак в вашей информационной системе (см. табл. 7.10). В этом руководстве рассматриваются актуальные аспекты, связанные с оборудованием, ПО и деятельностью ответственных лиц.

q Действия, необходимые для уведомления соответствующих лиц в случае обнаружения нарушения политики безопасности (администратора сети, администратора безопасности и т.д.).

q Используемые инструментальные средства обнаружения атак и порядок их эксплуатации. Эти средства были рассмотрены в 5 и 6 главах. Порядок их применения будет рассмотрен далее.

q Частота осуществления действий для обнаружения атак. Одни средства должны функционировать постоянно (например, системы обнаружения атак на уровне сети или узла), а другие — время от времени (например, системы контроля целостности).

q Роли, обязательства и полномочия персонала, отвечающего за реализацию выше сказанного. Определите кто, когда и как выполняет каждое действие.

Также вы должны иметь документ, который регламентирует регулярно выполняемые процедуры проверки и анализа зарегистрированных данных для обнаружения в них следов совершенных атак. Дополнительно в нем описы­ваются неавтоматизированные (и, следовательно, с трудом подменяемые злоумышленником) процедуры диагностики и ревизии аппаратного и про­граммного обеспечения.

Для каждого из инструментальных средств обнаружения атак необходим регламент, который описывает процедуры их использования. В этих документах должно быть определено:

q какие ресурсы (например, узлы, файлы, ключи системного реестра, сете­вой трафик и т. д) должны контролироваться;

q как создается, хранится, анализируется и защищается собранная инфор­мация о состоянии контролируемых ресурсов;

q как и какие используются инструментальные средства;

q частота, с какой осуществляется обнаружение атак (в реальном режиме времени или через регулярные промежутки времени);

q роли, обязательства и полномочия персонала, отвечающего за эксплуата­цию данных средств. Определите кто, когда и как задействует инструмен­тальные средства обнаружения атак.

Следующий документ определяет условия для тестирования атакованных и скомпрометированных систем и данных при помощи средств обнаружения атак. Строго рекомендуется, чтобы такое тестирование проводилось в среде, изолированной от рабочей сети. Изолированность может достигаться при помощи физического или логического разделения: путем применения меж­сетевого экрана или специальных правил на сетевом оборудовании (напри­мер, применение VLAN).

И, наконец, в вашем арсенале должен содержаться документ, который опи­сывает процедуры и инструментальные средства корреляции информации об атаках (т. е. определения, когда атака или событие безопасности, зафикси­рованные в одной части вашей системы, связаны с атакой или событием безопасности, зафиксированной в другой части вашей системы). Особенно актуально это стало в последнее время, когда очень широко стали распро­страняться распределенные и скоординированные атаки. Помните, что несмотря на то, что в данной книге рассмотрены только не­которые аспекты политики безопасности, они не должны противоречить остальным ее сторонам. По мере создания перечисленной документации ана­лизируйте ее на совещании всех заинтересованных лиц (которых не должно быть много). Это позволит гарантировать, что созданные документы:

q правомерны с юридической точки зрения и осуществимы за реальное время и с привлечением приемлемых материальных ресурсов;

q совместимы с политикой обеспечения безопасности (не только информационной) вашей компании;

q отражают применение самых современных и эффективных технологий обнаружения атак;

q соответствуют всем федеральным, отраслевым и иным стандартам и законам (ФЗ, РД ГТК, ГОСТ, ОСТ, УК РФ и т.п.);

q защищают вас с точки зрения закона в случае возникновения каких-либо проблем.

Периодически пересматривайте вашу политику безопасности (не только в части обнаружения атак) и составляющие ее компоненты: процедуры подготовки к обнаружению атак, процедуры обнаружения атак и обучения персонала. При пересмотре принимайте во внимание все открытые источники информации, в т.ч. и исходящие от вашего поставщика или производителе средств защиты. Эти источники регулярно сообщают о новых атаках и уязвимостях, тенденциях в области "хакерских" технологий, методах обнаружения нападений и т.д. Примером такого источника является список рассылки X-Force Security Alert, регулярно публикуемый компанией ISS и содержащий информацию о постоянно выявляемых уязвимостях и атаках. Аналогичный список ведется и российским представительством компании Cisco Systems.

Если ваша организация подверглась атаке, в результате которой вам нанесен ущерб, то проанализируйте, не нужно ли скорректировать разработанные вами документы, чтобы в дальнейшем не только своевременно обнаруживать аналогичные нападения, но и предотвратить попытки их повторения.

Наши рекомендации