Лекции по "Комплексной системе защиты информации"

2. Принципы организации  и этапы обработки  КСЗИ

Основные  принципы организации КСЗИ

 

    Защита  информации в АС должна основываться на следующих основных принципах:

• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости управления и применения;
• открытости алгоритмов и механизмов защиты;
• простоты применения защитных мер и средств.

 Принцип системности

 

    Системный подход к защите компьютерных систем предполагает необходимость учета  всех взаимосвязанных, взаимодействующих  и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

    При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

  Принцип комплексности

 

    В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

  Принцип непрерывности защиты

 

    Защита  информации - это не разовое мероприятие  и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

    Разработка  системы защиты должна вестись параллельно  с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

    Большинству физических и технических средств  защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

  Разумная достаточность

 

    Создать абсолютно непреодолимую систему  защиты принципиально невозможно. При  достаточном количестве времени  и средств можно преодолеть любую  защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

  Гибкость системы защиты

 

    Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные  средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

 Открытость алгоритмов и механизмов защиты

 

    Суть  принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

  Принцип простоты применения средств защиты

 

    Механизмы защиты должны быть интуитивно понятны  и просты в использовании. Применение средств защиты не должно быть связано  со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). (18) 

      Сейчас  можно выделить три различных  концептуальных подхода к проектированию систем защиты:

      Подход  первый: "от продукта". Этого подхода придерживаются, как правило, компании-производители систем защиты информации, имеющие в своем составе проектную группу. Фактически, в таких компаниях интеграция выросла из просто внедренческого направления, в тот момент, когда заказчик попросил не просто продукт, а проект. Таким образом, вся технология проектирования ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи. Данный подход не всегда реально обоснован, особенно в условиях агрессивного маркетинга и позиционирования продукта, как "панацеи" от большинства угроз безопасности.

      Однако, в случае, когда заказчик обладает достаточной квалификацией, чтобы широко смотреть на проблему защиты информации в целом и избегать однобоких решений, реализуются проекты высокого качества, что понятно - никто кроме производителя не знает продукта лучше. Но в этом случае требуется либо наличие собственных высококлассных специалистов, системных архитекторов, либо привлечение внешних консалтинговых компаний.

      Позиция вторая - компания выступает поставщиком решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Оно состоит из комбинации нескольких технологий защиты, например, межсетевых экранов для защиты от атак из интернета, VPN - для закрытия каналов связи и т.п. Вот, казалось бы, оптимальная позиция: каждая технология, каждый продукт занимает свою нишу и закрывают определенные угрозы. Но тут существует одна проблема.

      Формально схема выглядит следующим образом: сейчас существуют четыре основные технологии защиты - межсетевое экранирование, VPN, криптографическая защита, активный аудит. В каждой технологии есть по 3-4 действительно работающих продукта. То есть, четыре технологии по четыре продукта образуют 16 кубиков, из которых может строиться система безопасности. Тогда задача архитектора системы защиты сводится к тому, чтобы найти, куда пристроить каждый кубик. Возникает искушение начинать строить систему, отталкиваясь не от потребностей заказчика, а от имеющихся в наличии средств защиты.

      Может быть, такая технология работы была бы оправдана в условиях полностью электронного документооборота в организации, но российские реалии таковы, что большинство компьютерных систем в наших организациях представляет собой 300-400 печатных машинок, объединенных сетью. В условиях бумажного документооборота все документы готовятся на компьютере, распечатываются, а потом в бумажном виде движутся по организации. В сети существуют лишь очаги автоматизации, например, в бухгалтерии, в конструкторском отделе и т.п. А все остальные сотрудники общаются друг с другом, в лучшем случае, по e-mail или через общие папки. Поэтому бывает трудно объяснить, зачем использовать, например, VPN, если вся информация отправляется по почте или факсу. Или зачем устанавливать на компьютеры электронные замки, если все документы хранятся в shared папках, не закрыты паролями, и их может получить практически любой сотрудник.

      Нельзя  говорить, что подход от "кубиков" не приемлем и не жизнеспособен. В  настоящее время существует большой неосвоенный рынок средних и мелких компаний, для которых слишком дорого покупать серьезные консалтинговые услуги компаний-интеграторов. Таким компаниям как раз и нужен некоторый набор продуктов и решений, которые могли бы просто объединяться в систему, придавая ей необходимую функциональность.

      И существует третья позиция - самая сложная и достаточно редко встречающаяся на нашем рынке. Какова стандартная схема продажи некоторого продукта или системы? Поставщик приходит к заказчику, изучает его проблему и предлагает то или иное решение, продукт или варианты решения, либо заказчик организует тендер, получает несколько предложений. И в том и в другом случае заказчик самостоятельно принимает решение о том какую систему, технологию внедрять. Т.е. ответственность за принятие решений по защите информации возлагается на заказчика, который, вообще говоря, не является экспертом в области защиты информации. Самая сложная задача, которая может и должна стоять перед компанией-интегратором, - это принять на себя ответственность за выбор стратегии обеспечения безопасности организации, развитие системы, ее адекватность развивающимся технологиям. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

      Перед выработкой решения по информационной безопасности интегратор должен провести всестороннее глубокое обследование не просто информационной системы заказчика, а всей "информационной жизни" организации. Обследование должно вестись на трех уровнях: на уровне бизнес-процессов, который выявляет документальные потоки, типы обрабатываемой информации, уровни ее конфиденциальности; на инфраструктурном уровне - для выявления уязвимостей серверного парка, сетевого оборудования; на уровне приложений, на котором выявляются уязвимости в программном обеспечении, ошибки в настройках механизмов разграничения доступа и др.

      На  основе полученных данных необходимо формировать сначала концептуальное решение по защите информации, состоящее  из комплекса организационных, процедурных  и программно-аппаратных мер защиты, а затем, четко обосновывая выбор, предлагать внедрение тех или иных технологий защиты. При этом нужно учитывать, что подсистема информационной безопасности является поддерживающей системой по отношению ко всей информационной системе организации. Она не должна играть доминирующую роль в развитии организации и ее информационной системы. То есть система информационной безопасности должна защищать информацию, обеспечивающую бизнес-задачи организации.

Таким образом, любая система информационной безопасности, защищающая крупную организацию с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.(33) 

      Основными этапами работ  по созданию КСЗИ являются:

       

• обследование организации

   Услуги  по обследованию организации могут  достаточно сильно различаться у  разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват "бумажного" документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п..

   На  стадии обследования организации: