Введение в защиту информации
p align="left">Важно помнить и о том, что при записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые “хвостовые” кластеры, в которых эта исходная информация полностью сохраняется. И тогда “хвостовые” кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации. Конечно, рано или поздно информация из “хвостовых” кластеров затирается данными из других файлов, однако по оценкам специалистов из “хвостовых” кластеров через сутки можно извлечь до 85%, а через десять суток - до 25-40% исходной информации.Наблюдение и компрометация. Помимо перечисленных, существуют и другие модели воздействия программных закладок на компьютеры. В частности, При использовании модели типа наблюдение программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение. Пользуясь тем, что подобное программное обеспечение всегда находится в состоянии активности, внедренная в него программная закладка может следить за всеми процессами обработки информации в компьютерной системе, а также осуществлять установку и удаление других программных закладок. Модель типа компрометация позволяет получать доступ к информации, перехваченной другими программными закладками. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это, в свою очередь, значительно облегчает перехват побочных излучений данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой типа компрометация, из общего фона излучения, исходящего от оборудования. Троянские программы. Троянской программой (троянцем, или троянским конем) называется программа, которая, являясь частью другой программы, способна втайне от него выполнять дополнительные действия с целью причинения ущерба. Таким образом, троянская программа - это особая разновидность программной закладки. Она дополнительно наделена функциями, о существовании которых пользователь даже не подозревает. Когда троянская программа выполняет эти функции, компьютерной системе наносится определенный ущерб. Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача чаще всего состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т.д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние. К последним можно отнести, например, троянскую программу PC CYBORG, которая завлекала ничего не подозревающих пользователей обещаниями предоставить им новейшую информацию о борьбе с вирусом, вызывающим синдром приобретенного иммунодефицита (СПИД). Проникнув в компьютерную систему, PC CYBORG отсчитывала 90 перезагрузок этой системы, а затем прятала все каталоги на ее жестком диске и шифровала находящиеся там файлы. В настоящее время троянские программы можно отыскать практически где угодно. Они написаны для всех без исключения операционных систем и для любых платформ. Не считая случаев, когда троянские программы пишутся самими разработчиками программного обеспечения, троянцы распространяются тем же способом, что и компьютерные вирусы. Поэтому самыми подозрительными на предмет присутствия в них троянцев, в первую очередь, являются бесплатные и условно-бесплатные программы, скачанные из Internet, а также программное обеспечение, распространяемое на пиратских компакт-дисках. В настоящее время существует целый ряд троянских программ, которые можно совершенно свободно скачать, подключившись к сети Internet. Наибольшую известность среди троянских программ получили Adware.WinTaskAd, Hacktool, Adware.SyncroAd, Download.Trojan. Средства борьбы с троянцами в операционных системах семейства Windows (95/98/NT/2000/XP) традиционно являются частью их антивирусного программного обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самым современным антивирусом (например, программой Norton Antivirus 2005 компании Symantec, позволяющей обнаруживать присутствие в компьютерной системе наиболее распространенных троянцев и избавляться от них). Следует регулярно проверять свой компьютер на присутствие в нем вирусов. Тем, кто хочет иметь в своем распоряжении утилиту, предназначенную именно для обнаружения троянцев в компьютерах, которые работают под управлением операционных систем семейства Windows, можно посоветовать обратить свои взоры на программу The Cleaner компании MooSoft Development (http://www.homestead.com/moosoft/ cleaner.html). Эта утилита может быть с успехом использована для борьбы с более чем четырьмя десятками разновидностей троянских программ. Обзор средств борьбы с троянскими программами был бы далеко не полным, если обойти вниманием, недавно появившиеся на рынке программные пакеты, предназначенные для комплексной защиты от угроз, с которыми сталкиваются пользователи настольных компьютеров при работе в Internet. Одним из таких пакетов является eSafe Protect компании Aladdin Knowledge Systems. Клавиатурные шпионы. Одна из наиболее распространенных разновидностей программных закладок - клавиатурные шпионы. Такие программные закладки нацелены на перехват паролей пользователей операционной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам. Типовой клавиатурный шпион обманным путем завладевает пользовательскими паролями, а затем переписывает эти пароли туда, откуда их может без особого труда извлечь злоумышленник. Различия между клавиатурными шпионами касаются только способа, который применяется ими для перехвата пользовательских паролей. Соответственно все клавиатурные шпионы делятся на три типа - имитаторы, фильтры и заместители. Имитаторы. Клавиатурные шпионы этого типа работают по следующему алгоритму. Злоумышленник внедряет в операционную систему программный модуль, который имитирует приглашение пользователю зарегистрироваться для того, чтобы войти в систему. Затем внедренный модуль (в принятой терминологии - имитатор) переходит в режим ожидания ввода пользовательского идентификатора и пароля. После того как пользователь идентифицирует себя и введет свой пароль, имитатор сохраняет эти данные там, где они доступны злоумышленнику. Далее имитатор инициирует выход из системы (что в большинстве случаев можно сделать программным путем), и в результате перед глазами у ничего не подозревающего пользователя появляется еще одно, но на этот раз уже настоящее приглашение для входа в систему. Некоторые имитаторы для убедительности выдают на экран монитора правдоподобное сообщение о якобы совершенной пользователем ошибке. Например, такое: “НЕВЕРНЫЙ ПАРОЛЬ. ПОПРОБУЙТЕ ЕЩЕ РАЗ”. Написание имитатора не требует от его создателя каких-либо особых навыков. Злоумышленнику, умеющему программировать на одном из универсальных языков программирования (к примеру, на языке BASIC), понадобятся на это считанные часы. Единственная трудность, с которой он может столкнуться, состоит в том, чтобы отыскать в документации соответствующую программную функцию, реализующую выход пользователя из системы. Перехват пароля зачастую облегчают сами разработчики операционных систем, которые не затрудняют себя созданием усложненных по форме приглашений пользователю зарегистрироваться для входа в систему. Подобное пренебрежительное отношение характерно для большинства версий операционной системы UNIX, в которых регистрационное приглашение состоит из двух текстовых строк, выдаваемых поочередно на экран терминала: login: password: Однако само по себе усложнение внешнего вида приглашения не создает для злоумышленника, задумавшего внедрить в операционную систему имитатор, каких-либо непреодолимых препятствий. Для этого требуется прибегнуть к более сложным и изощренным мерам защиты. В качестве примера операционной системы, в которой такие меры в достаточно полном объеме реализованы на практике, можно привести Windows NT/2000/XP. Системный процесс WinLogon, отвечающий в операционной системе Windows NT/2000/XP за аутентификацию пользователей, имеет свой собственный рабочий стол - совокупность окон, одновременно видимых на экране дисплея. Этот рабочий стол называется столом аутентификации. Никакой другой процесс, в том числе и имитатор, не имеет доступа к рабочему столу аутентификации и не может расположить на нем свое окно. После запуска Windows NT/2000/XP на экране компьютера возникает начальное окно рабочего стола аутентификации, содержащее указание нажать на клавиатуре клавиши <Ctrl>+<Alt>+<Del>. Сообщение о нажатии этих клавиш передается только системному процессу WinLogon, а для остальных процессов, в частности для всех прикладных программ, их нажатие происходит совершенно незаметно. Далее производится переключение на другое, так называемое регистрационное окно рабочего стола аутентификации. В нем-то как раз и размещается приглашение пользователю ввести свое идентификационное имя и пароль, которые будут восприняты и проверены процессом WinLogon. Для перехвата пользовательского пароля внедренный в Windows NT/2000/XP имитатор обязательно должен уметь обрабатывать нажатие пользователем клавиш <Ctrl>+<Alt>+<Del>. В противном случае произойдет переключение на регистрационное окно рабочего стола аутентификации, имитатор станет неактивным и не сможет ничего перехватить, поскольку все символы пароля, введенные пользователем, минуют имитатор и станут достоянием исключительно системного процесса WinLogon. Как уже говорилось, процедура регистрации в Windows NT устроена таким образом, что нажатие клавиш <Ctrl>+<Alt>+<Del> проходит бесследно для всех процессов, кроме WinLogon, и поэтому пользовательский пароль поступит именно ему. Конечно, имитатор может попытаться воспроизвести не начальное окно рабочего стола аутентификации (в котором высвечивается указание пользователю одновременно нажать клавиши <Ctrl>+<Alt>+<Del>), а регистрационное (где содержится приглашение ввести идентификационное имя и пароль пользователя). Однако при отсутствии имитаторов в системе регистрационное окно автоматически заменяется на начальное по прошествии короткого промежутка времени (в зависимости от версии Window NT он может продолжаться от 30 с до 1 мин), если в течение этого промежутка пользователь не предпринимает никаких попыток зарегистрироваться в системе. Таким образом, сам факт слишком долгого присутствия на экране регистрационного окна должен насторожить пользователя Windows NT и заставить его тщательно проверить свою компьютерную систему на предмет наличия в ней программных закладок. Подводя итог сказанному, Можно отметить, что степень защищенности Windows NT/2000/XP от имитаторов достаточно высока. Рассмотрение защитных механизмов, реализованных в этой операционной системе, позволяет сформулировать два необходимых условия, соблюдение которых является обязательным для обеспечения надежной защиты от имитаторов: * системный процесс, который при входе пользователя в систему получает от него соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий стол, недоступный другим процессам; * переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять на это переключение (например, запретить его). К сожалению, эти два условия ни в одной из операционных систем, за исключением Windows NT/2000/XP, не соблюдаются. Поэтому для повышения их защищенности от имитаторов можно порекомендовать воспользоваться административными мерами. Например, обязать каждого пользователя немедленно сообщать системному администратору о том, что вход в систему оказывается невозможен с первого раза, несмотря на корректно заданное идентификационное имя и правильно набранный пароль. Фильтры “охотятся” за всеми данными, которые пользователь операционной системы вводит с клавиатуры компьютера. Самые элементарные фильтры просто сбрасывают перехваченный клавиатурный ввод на жесткий диск или в какое-то другое место, к которому имеет доступ злоумышленник. Более изощренные программные закладки этого типа подвергают перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к пользовательским паролям. Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от клавиатуры. Эти прерывания возвращают информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя. Изготовить подобного рода программную закладку не составляет большого труда. В операционных системах Windows 95/98 предусмотрен специальный программный механизм, с помощью которого в них решается ряд задач, связанных с получением доступа к вводу с клавиатуры, в том числе и проблема поддержки национальных раскладок клавиатур. К примеру, любой клавиатурный русификатор для Windows представляет собой, самый что ни на есть настоящий фильтр, поскольку призван перехватывать все данные, вводимые пользователем с клавиатуры компьютера. Нетрудно “доработать” его таким образом, чтобы вместе со своей основной функцией (поддержка национальной раскладки клавиатуры) он заодно выполнял бы и действия по перехвату паролей. При этом задача создания фильтра становится такой простой, что не требует наличия каких-либо специальных знаний у злоумышленника. Ему остается только незаметно внедрить изготовленную им программную закладку в операционную систему и умело замаскировать ее присутствие. В общем случае можно утверждать, что если в операционной системе разрешается переключать клавиатурную раскладку во время ввода пароля, то для этой операционной системы возможно создание фильтра. Поэтому, чтобы обезопасить ее от фильтров, необходимо обеспечить выполнение следующих трех условий: * во время ввода пароля переключение раскладок клавиатуры не разрешается; * конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя, может только системный администратор; * доступ к файлам этих модулей имеет исключительно системный администратор. Соблюсти первое из этих условий в локализованных для России версиях операционных систем принципиально невозможно. Дело в том, что средства создания учетных пользовательских записей на русском языке являются неотъемлемой частью таких систем. Только в англоязычных версиях систем Windows NT/2000/XP и UNIX предусмотрены возможности, позволяющие поддерживать уровень безопасности, при котором соблюдаются все три перечисленные условия. Заместители полностью или частично подменяют собой программные модули операционной системы, отвечающие за аутентификацию пользователей. Подобного рода клавиатурные шпионы могут быть созданы для работы в среде практически любой многопользовательской операционной системы. Трудоемкость написания заместителя определяется сложностью алгоритмов, реализуемых подсистемой аутентификации, и интерфейсов между ее отдельными модулями. Также при оценке трудоемкости следует принимать во внимание степень документированности этой подсистемы. В целом можно сказать, что задача создания заместителя значительно сложнее задачи написания имитатора или фильтра. Поэтому фактов использования подобного рода программных закладок злоумышленниками пока отмечено не было. Однако в связи с тем, что в настоящее время все большее распространение получает операционная система Windows 2000/XP, имеющая мощные средства защиты от имитаторов и фильтров, в самом скором будущем от хакеров следует ожидать более активного использования заместителей в целях получения несанкционированного доступа к компьютерным системам. Поскольку заместители берут на себя выполнение функций подсистемы аутентификации, перед тем как приступить к перехвату пользовательских паролей они должны выполнить следующие действия. Для реализации своей деятельности заместители должны (1): * подобно компьютерному вирусу внедриться в один или несколько системных файлов. Для реализации своей деятельности заместители должны (2): * использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя, в цепочку обработки введенного пользователем пароля. Для того чтобы защитить систему от внедрения заместителя, ее администраторы должны строго соблюдать адекватную политику безопасности. И что особенно важно, подсистема аутентификации должна быть одним из самых защищенных элементов операционной системы. Однако, как показывает практика, администраторы, подобно всем людям, склонны к совершению ошибок. А, следовательно, соблюдение адекватной политики безопасности в течение неограниченного периода времени является невыполнимой задачей. Кроме того, как только заместитель попал в компьютерную систему, любые меры защиты от внедрения программных закладок перестают быть адекватными, и поэтому необходимо предусмотреть возможность использования эффективных средств обнаружения и удаления внедренных клавиатурных шпионов. Это значит, что администратор должен вести самый тщательный контроль целостности исполняемых системных файлов и интерфейсных функций, используемых подсистемой аутентификации для решения своих задач. Клавиатурные шпионы представляют реальную угрозу безопасности современных компьютерных систем. Чтобы отвести эту угрозу, требуется реализовать целый комплекс административных мер и программно-аппаратных средств защиты. Надежная защита от клавиатурных шпионов может быть построена только тогда, когда операционная система обладает определенными возможностями, затрудняющими работу клавиатурных шпионов. Так как они были подробно описаны выше, не имеет смысла снова на них останавливаться. Однако необходимо еще раз отметить, что единственной операционной системой, в которой построение такой защиты, возможно, является Windows NT/2000/XP. Да и то с оговорками, поскольку все равно ее придется снабдить дополнительными программными средствами, повышающими степень ее защищенности. В частности, в Windows NT/2000/XP необходимо ввести контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации. Кроме того, для надежной защиты от клавиатурных шпионов администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может: * конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей; * осуществлять доступ к файлам этих программных модулей; * конфигурировать саму подсистему аутентификации. 1.4 Анализ угроз и каналов утечки информации Анализ потенциально возможных угроз информации является одним из первых и обязательным этапом разработки любой защищенной ИС. При этом составляется как можно более полная совокупность угроз, анализируется степень риска при реализации той или иной угрозы, после чего определяются направления защиты информации в конкретной ИС. Разнообразие потенциальных угроз информации в ИС столь велико, что не позволяет предусмотреть каждую из них, поэтому анализируемые характеристики угроз следует выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники. Идентификация угроз предполагает рассмотрение воздействий и последствий реализации угроз. Проблемы, возникшие после реализации угрозы, сводятся к раскрытию источников утечки, модификации защиты, разрушению информации или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к утрате управления войсками, нарушению тайны, потере адекватности данных, к человеческим жертвам или иным долговременным эффектам. Лучше всего анализировать последствия реализации угроз еще на стадии проектирования локальной сети, рабочего места или информационной системы, чтобы заранее определить потенциальные потери и установить требования к мерам обеспечения безопасности. Выбор защитных и контрольных мероприятий на ранней стадии проектирования ИС требует гораздо меньших затрат, чем выполнение подобной работы на эксплуатируемой ИС. Но и в последнем случае анализ опасностей помогает выявить уязвимые места в защите системы, которые можно устранить разумными средствами. В большинстве случаев проведение анализа возможных опасностей позволяет персоналу лучше осознать проблемы, которые могут проявиться во время работы. Прежде за разработку мероприятий по защите информации обычно отвечал менеджер системы информации и управления или автоматизированной обработки данных. Теперь применяется другой подход, при котором в каждой организации ответственность за выполнение анализа опасностей и разработку методики их исключения возлагается на несколько групп служащих. В рабочую группу, призванную анализировать возможные опасные ситуации, рекомендуется включать следующих специалистов. В группу анализа опасных ситуаций следует включить (1): * аналитика по опасным ситуациям (лицо, назначенное для проведения анализа). Этот специалист является ответственным за сбор исходных данных и за представление руководству информации, способствующей лучшему выбору защитных мероприятий. В группу анализа опасных ситуаций следует включить (2): * пользователей, ответственных за предоставление аналитику точной информации о применяемых приложениях. В группу анализа опасных ситуаций следует включить (3): * служащих, занимающихся эксплуатацией здания, работников отдела кадров, охрану и других сотрудников, которые могут предоставить информацию о внешних опасностях и проблемах, связанных с окружающей средой. В группу анализа опасных ситуаций следует включить (4): * персонал сопровождения сети, на который возлагается ответственность за предоставление информации об аппаратном и программном обеспечении, а также о применяемых процедурах по ограничению прав доступа и замене (смене) паролей. В группу анализа опасных ситуаций следует включить (5): * представителей руководства, ответственных за обеспечение защиты ценностей организации. Неформальная модель нарушителя. Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) либо по ошибке и незнанию, либо осознанно со злым умыслом (из корыстных интересов) или без такового. Ради игры или удовольствия, с целью самоутверждения и т.п. с использованием для этого различных возможностей, методов и средств. Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений. Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на эти причины (если возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений. В каждом конкретном случае исходя из существующей технологии обработки информации может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной ИС. При разработке модели нарушителя формируются: * предположения о категориях лиц, к которым может принадлежать нарушитель. А также - * предположения о мотивах (целях) нарушителя; * предположения о квалификации нарушителя и его технической оснащенности; * ограничения и предположения о характере возможных действий нарушителей. По отношению к ИС нарушители бывают внутренними (из числа персонала) или внешними (посторонние лица). Внутренними нарушителями могут быть (1): * пользователи (операторы) системы; * персонал, обслуживающий технические средства (инженеры, техники). Внутренними нарушителями могут быть (2): * сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты). А также - * технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИС); * сотрудники службы безопасности ИС; * руководители различных уровней должностной иерархии. Посторонними нарушителями могут быть (1): * клиенты; * случайные посетители; * представители предприятий, обеспечивающих энерго-, водо- и теплоснабжение организации. Посторонними нарушителями могут быть (2): * представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию; * любые лица за пределами контролируемой территории. Можно выделить три основных мотива нарушений безопасности ИС со стороны пользователей: безответственность, самоутверждение и корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру “пользователь - против системы” ради самоутверждения либо в собственных глазах, либо в глазах коллег. Нарушение безопасности ИС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, чрезвычайно усложняющие проникновение, полностью защитить ее от этого практически невозможно. 1.5 Анализ рисков и управление ими Наряду с анализом потенциально возможных угроз на ранних этапах проектирования ИС желательно провести и анализ рисков от реализации этих угроз, так как этот анализ позволяет определить наиболее значимые угрозы из всех возможных угроз и средства защиты от них. Процесс анализа рисков включает (1): * оценку возможных потерь из-за успешно проведенных атак на безопасность ИС; * оценку вероятности обнаружения уязвимых мест системы, влияющей на оценку возможных потерь. Процесс анализа рисков включает (2): * выбор оптимальных по затратам мер и средств защиты, которые сокращают риск до приемлемого уровня. С целью повышения эффективности анализа рисков он проводится по различным направлениям: * для объектов ИС; * для процессов, процедур и программ обработки информации; * для каналов связи; * для побочных электромагнитных излучений; * для механизмов управления системой защиты. Анализ рисков предполагает изучение и систематизацию угроз защиты информации (ЗИ), а также определение требований к средствам защиты. Изучение и систематизация угроз ЗИ предусматривает следующие этапы: * выбор объектов ИС и информационных ресурсов, для которых будет проведен анализ; * разработка методологии оценки риска; * анализ угроз и определение слабых мест в защите; * идентификация угроз и формирование списка угроз; * формирование детального списка угроз и матрицы угрозы/элементы ИС или информационные ресурсы. Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность. Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них, поэтому анализируемые виды уместно выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники. Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер. Когда намеченные меры приняты, необходимо проверить их действенность, например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки, если нет - следует проанализировать допущенные ошибки и провести повторную оценку рисков. При разработке методологии оценки риска используются методы системного анализа, в результате получаются оценки предельно допустимого и реального риска осуществления угроз в течение некоторого времени. В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с затратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероятности реализации угрозы и приходится ограничиваться качественными оценками. Оценка ущерба, который может нанести деятельности организации реализация угроз безопасности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации. Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, которые подвергаются риску, а также с ущербом, который может быть нанесен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточные риски и расходы по мероприятиям, связанным с защитой информации. По результатам проведенной работы составляется документ, содержащий: * перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения; * защитные меры, необходимые для нейтрализации угроз; * анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях остаточного риска и целесообразности применения конкретных вариантов защиты. Управление риском - процесс, состоящий в последовательном выполнении трех частей: определение риска в незащищенной ИС, применение средств защиты для сокращения риска и оценка остаточного риска. Управление риском можно детализировать разбиением его на семь этапов. Этапы управления риском (1): 1. Определение степени детализации, границ анализа и методологии. 2. Идентификация и оценка ценности ресурсов ИС. Этапы управления риском (2): 3. Идентификация угроз и определение вероятности. 4. Измерение риска. 5. Выбор соответствующих мер и средств защиты. Этапы управления риском (3): 6. Внедрение и тестирование средств защиты. 7. Одобрение остаточного риска. Конечной целью управления риском является минимизация риска. Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ИС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск недопустимо велик; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения, приемлем ли остаточный риск в ИС. Дадим краткую характеристику этапам управления риском. Этап 1. Определение степени детализации На этом этапе составляется перечень того, какие информационные и технические ресурсы из состава ИС и с какой детальностью должны рассматриваться в процессе управления риском. Перечень может включать ИС в целом или ее части, такие, как функции коммуникаций данных, функции сервера, приложения и т.д. Степень детализации можно представлять как сложность созданной логической модели всей ИС или ее частей, отражающую глубину процесса управления риском. Степень детализации будет отличаться для разных областей ИС. Например, некоторые области могут рассматриваться поверхностно, в то время как другие - глубоко и детально. Этап 2. Идентификация и оценка ценности ресурсов ИС В ходе оценки ценностей выявляются и назначаются стоимости ресурсов ИС. Этот шаг позволяет выделить ресурсы, приоритетные с точки зрения организации защиты. Ценности могут быть определены на основании воздействий и последствий для организации. Оценка рисков предполагает не только стоимость ресурсов, но и последствия в результате раскрытия, искажения, разрушения или порчи информационных и технических ресурсов ИС. Стоимость ресурсов может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из простейших методик оценки потерь для ценности состоит в использовании качественного ранжирования на высокие, средние и низкие потери. Одним из косвенных результатов этого процесса является создание детальной конфигурации ИС и функциональной схемы ее использования. Эта конфигурация должна описывать подключенные аппаратные средства ИС, главные используемые приложения, важную информацию, обрабатываемую в ИС, а также способ передачи этой информации через ИС. Конфигурация аппаратных средств содержит: серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д. Конфигурация программного обеспечения включает в себя: операционные системы серверов, операционные системы автоматизированных рабочих мест, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ИС, местоположение программного обеспечения в ИС. После того как описание конфигурации ИС закончено и ценности определены, появится представление о том, из чего состоит ИС и какие ресурсы необходимо защищать в первую очередь. Этап 3. Идентификация угроз и определение их вероятности На этом этапе должны быть выявлены угрозы и уязвимые места, определены вероятности реализации угроз. Список угроз следует рассматривать в зависимости от степени детализации описания ИС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места. Более детальный анализ может связать угрозу с конкретной компонентой ИС. Существующие средства и меры защиты в ИС должны быть проанализированы, чтобы можно было определить, обеспечивают ли они адекватную защиту от соответствующей угрозы, в противном случае место возникновения угрозы можно рассматриваться как уязвимое место. После того как определенные угрозы и связанные с ними уязвимые места выявлены, с каждой парой угроза/уязвимое место должна быть связана вероятность того, что эта угроза будет реализована. Этап 4. Измерение риска В широком смысле мера риска может рассматриваться как описание видов неблагоприятных действий, влиянию которых может подвергнуться система, и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска. Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах. Количественные подходы связаны с измерением риска в терминах денежных потерь. Качественные - с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные - рассматривают только ограниченные компоненты (риск = величина потери Ч частота потери). Многомерные подходы рассматривают такие дополнительные компоненты в измерении риска, как надежность, безопасность или производительность. Одним из наиболее важных аспектов меры риска является то, что ее представление должно быть понятным и логичным для тех, кто выбирает средства защиты и решает вопросы минимизации риска. Этап 5. Выбор соответствующих мер и средств защиты Цель этого процесса состоит в выборе соответствующих мер и средств защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска. Взаимосвязь между проверкой приемлемости риска и выбором средств защиты может быть итеративной. Первоначально организация должна упорядочить уровни рисков, определенные в ходе оценки риска. Наряду с этим организация должна принять решение о количестве остаточного риска, который желательно принять после того, как выбранные меры и средства защиты будут установлены. Эти начальные решения по принятию риска могут внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых мер и средств защиты известны, можно повторно провести проверку приемлемости риска и определить, достигнут ли уровень остаточного риска или необходимо изменить решения относительно его приемлемости, чтобы отразить информацию о свойствах предлагаемых средств защиты. Отбор соответствующих средств защиты для механизмов, входящих в состав ИС, является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость средства его защиты была связана с мерой риска, при определении рентабельности средства зашиты. Для вычисления общего отношения риск/стоимость используют меру риска и финансовую меру, связанную с каждым отношением угроза/механизм и рассчитывают отношение риска к стоимости (т.е. риск/стоимость). Значение этого отношения меньше единицы будет указывать, что стоимость средств защиты больше, чем риск, связанный с угрозой. Этап 6. Внедрение и тестирование средств защиты Цель процесса внедрения и тестирования средств защиты состоит в том, чтобы гарантировать правильность реализации средств защиты, обеспечить совместимость с другими функциональными возможностями ИС и средствами защиты и получить ожидаемую степень защиты. Этот процесс начинается разработкой плана внедрения средств защиты, который должен учитывать такие факторы, как доступный объем финансирования, уровень подготовки пользователей и т.д. График испытаний для каждого средства защиты также включается в этот план. План должен показывать, как каждое средство защиты взаимодействует с другими средствами защиты или влияет на них (или функциональные возможности ИС). Важно не только то, что средство защиты исполняет свои функции, как ожидается и обеспечивает требуемую защиту, но и то, что средство защиты не увеличивает риск неправильного функционирования ИС из-за конфликта с другим средством защиты. Каждое средство должно быть проверено независимо от других средств, чтобы гарантировать обеспечение ожидаемой защиты. Однако это может оказаться неуместным, если средство предназначено для совместной работы с другими средствами. Этап 7. Одобрение остаточного риска После того как все средства защиты реализованы, проверены и найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место, должен теперь быть сокращен до приемлемого уровня или устранен. Если эти условия не соблюдены, то решения, принятые на предыдущих шагах, должны быть пересмотрены, чтобы определить надлежащие меры защиты. Посещая семинары и презентации различных систем и продуктов по информационной безопасности, порой можно увидеть следующую картину. Представитель компании, представляющий продукт, расписывает в ярких красках достоинства и особенности своей системы, из которых можно сделать вывод, что данная система -- это все что необходимо для обеспечения безопасности организации (пусть даже отдельного направления деятельности или отдельной подсистемы). При этом можно увидеть, как разгораются глаза у участников -- посетителей семинара, специалистов, так или иначе обеспечивающих или отвечающих за безопасность конкретных предприятий. Можно с высокой степенью вероятности предположить, что некоторые из них по окончании семинара-презентации направятся к своему руководству с предложениями о приобретении рекламируемой системы, особенно если предприятие государственное или такое, где специалисты напрямую не заинтересованы в рациональном расходовании средств. Отвлекаясь от достоинств или недостатков любой из систем или продуктов, необходимо осознать то, что защита информационных ресурсов должна быть продумана и эффективна, поскольку она в определенной степени предназначена и для сохранения финансовых ресурсов организации. В этом смысле приобретение дорогого, разрекламированного средства информационной безопасности может идти вразрез с самими целями мероприятий по информационной безопасности. Часто можно услышать подобную логику рассуждений: на данном компьютере лежит конфиденциальная информация, следовательно, поместить его за межсетевой экран (или установить на нем персональный межсетевой экран), антивирусное (в данном случае анти-троянское) программное обеспечение, сканнер атак на хост, программу контроля целостности системных файлов и вдобавок ко всему оснастить его системой биометрического контроля доступа, скажем, по отпечатку пальца. Суммарные расходы на защиту компьютера начинают превышать стоимость самого компьютера с операционной системой и приложениями. (При этом, правда, иногда упускается из виду, что оператор, работающий на данной станции с указанными секретными данными, готов поделиться этими секретными данными за сумму, сравнимую с его месячной заработной платой, возможно, это несколько десятков, пусть даже сотен долларов.) Если же, как это обычно бывает, информация распределена между станциями сети, стоимость защиты вырастает в существенные суммы. Однако какой конкретный ущерб принесет разглашение этой информации? Очевидно, что это неприятно, особенно если такой инцидент стал достоянием публики. Но каково материальное выражение этого ущерба? Некоторые руководящие документы по информационной безопасности косвенно или явно формально указывают на основной принцип определения требуемого уровня защиты. Обычно он формулируется так: "Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую данная защита должна предотвратить". Реже принимается другой принцип: "Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки". Первый подход обычно характерен для коммерческих организаций, ориентированных на получение прибыли, второй подход -- для организаций работающих, например, с государственными секретами, когда построение защиты подразумевает более существенные расходы. Однако, если измерить произведенные расходы на приобретение и установку систем защиты информации достаточно легко, то оценить, сколько необходимо потратить на обеспечение безопасности, сложнее. В главе 14 будут представлены некоторые методики такой оценки, но следует учитывать, что увязывание числовых метрик с информационными активами вообще специфично для каждой конкретной организации, а на постсоветском пространстве еще и вносит дополнительные особенности. Скажем, если разглашение информации по компрометирующим действиям западного политика может привести к его отставке, то на территории бывшего СССР это может наоборот прибавить политику популярности. Управлением рисками следует заниматься не только при планировании глобальных модификаций информационного пространства организации, но и в ряде более мелких случаев. Например, организация использует большую автоматизированную систему, приобретенную у стороннего поставщика, но при этом она открыта к модификации (в ней присутствуют детализированные описания API). Одним из элементов обеспечения информационной безопасности является анализ регистрационных журналов системы. Однако стандартная поставка системы такова, что журнал неполон и дополнительную информацию приходится собирать из других подсистем (допустим, из журналов операционной системы), для чего необходима дополнительная работа, которая выливается в одну штатную единицу оператора мониторинга журналов. Возможные альтернативные решения имеющейся проблемы: ? принять на работу оператора для выполнения необходимых работ; ? заказать у поставщика обновление системы с расширенным регистрационным журналом; ? поручить своим программистам разработать дополнительный модуль с помощью имеющихся API; ? приобрести отдельный продукт, который будет производить анализ разрозненных регистрационных журналов, возможно, как одну из подфункций к другой полезной деятельности. Выбирать подходящий вариант из имеющихся можно только после оценки потенциального ущерба оттого, что атака будет реализована по причине отсутствия каких-либо работ по анализу регистрационных журналов системы. Ведь возможно, что стоимость реализации любого из четырех приведенных проектов окажется значительно больше вероятных потерь организации в случае атаки. Оценка рисков как часть направления информационной безопасности -- управления рисками, является существенным инструментом в построении защиты. Однако для эффективного использования этого инструмента необходимо выполнить ряд условий, например, перейти от качественных понятий к количественным. Скажем, "получение доступа к данной информации приведет к краху компании" -- это качественное описание, а "разглашение данной информации потребует выплаты суммы п\ клиентам, «2 конкурентам, «з судебные издержки" -- это количественное описание. Этот процесс значительно облегчен, если в организации уже произведена классификация информационных активов, о которой рассказывалось в главе 6. Управление рисками -- это процесс определения, анализа и оценки, снижения, устранения или переноса (перенаправления) риска, который (процесс) заключается в ответе на следующие вопросы. 1. Что может произойти? 2. Если это "что-то" произойдет, то каков будет результат или ущерб? 3. Как часто может происходить это событие? 4. Насколько мы уверены в ответах на вышеуказанные вопросы (оценка вероятности)? 5. Что может быть сделано для снижения или устранения вероятности события? 6. Сколько будет стоить то, что может быть сделано? 7. Насколько эффективно то, что может быть сделано? Сам риск как таковой и состоит из понятия вероятности (четвертый вопрос), т. е. чем больше вероятность первых трех вопросов (событие происходит часто и с большим ущербом), тем больше риск, чем меньше вероятность, тем меньше риск. Информационный актив -- набор информации, который используется организацией в работе и может состоять из более мелких поднаборов. При оценке должно быть проведено отделение собственно информации, как виртуальной составляющей, от ее носителя, как физического объекта. Соответственно стоимость возможного ущерба должна быть оценена как сумма: ? стоимости замены информации (если была произведена ее утрата в том или ином виде); ? стоимости замены программного обеспечения поддержки (если оно было повреждено); ? стоимости нарушения конфиденциальности, целостности, доступности (если таковые имели место). Отдельно учитываются аппаратное и сетевое обеспечение, поскольку их оценка производится проще (они имеют известную рыночную стоимость). Стандартная методика организации работ по управлению рисками следующая: 1. Определение политики управления рисками. Построенная на общепринятых принципах обеспечения информационной безопасности (англ. Generally Accepted System Security Principles -- GASSP) [GASSP] политика позволит избежать субъективного подхода. 2. Определение персонала, который будет заниматься управлением риска ми и обеспечить его финансирование. Помимо оплаты труда, скорее всего придется провести обучение кадров и, возможно, приобрести автоматизированные инструменты или платные методики оценки рисков. 3. Определение методологии и средств, с помощью которых будет производиться оценка риска. Важно быть уверенным в том, что оценка риска проведена правильно до того как будут потрачены средства, необходимые для управления рисками. 4. Идентификация и измерение риска. На первом этапе необходимо определить сферу применения работ, имеющиеся угрозы, информационные активы и их значимость (это, возможно, уже будет сделано при классификации), проанализировать уязвимости активов, которые могут повлиять на частоту появления или размер возможного ущерба. Далее производится сведение полученных данных с установкой метрик. Для качественной оценки это может быть таблица, в колонках которой указаны активы, а в столбцах -- уровень риска (высокий, средний, низкий). Для количественной оценки используется конкретная количественная методика. Установка критериев приемлемости рисков. На основе полученных данных специалисты по управлению рисками совместно с руководством организации должны определить приемлемость риска на основе принятой методики, например, считать неприемлемым риск, если вероятность потери эквивалента 100 000 долларов США более чем 3/100. Избежание или уменьшение рисков. Необходимо определить уязвимости, которые становятся неприемлемыми при принятых критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы: выбор средств для снижения/устранения риска оценка эффективности этих средств (в смысле соответствия между ценой средства и его эффективностью), отчет руководству о предлагаемых мероприятиях. Мониторинг работы управления рисками. Для обеспечения адекватности предпринимаемых мер соответствующим рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств, угроз и другие превентивные действия.
Страницы: 1, 2
|