Законодательный уровень есть наиболее значимым для обеспечения информационной безопасности. Нужно всячески подчеркивать важность неприятности ИБ; сконцентрировать ресурсы на наиболее значимых направлениях изучений; скоординировать образовательную деятельность; создать и поддерживать негативное отношение к нарушителям ИБ – все это функции законодательного уровня.
На законодательном уровне особенного внимания заслуживают стандарты и правовые акты.
Российские правовые акты в большинстве собственном имеют ограничительную направленность. Но то, что для Уголовного либо Гражданского кодекса конечно, по отношению к Закону об информации, информатизации и защите информации есть принципиальным недочётом. Сами по себе сертификация и лицензирование не снабжают безопасности. К тому же в законах не предусмотрена ответственность национальных органов за нарушения ИБ. Действительность такова, что в Российской Федерации в деле обеспечения ИБ на помощь страны рассчитывать не приходится.
На этом фоне поучительным есть знакомство с американским законодательством в области ИБ, которое значительно шире и многограннее российского.
Среди стандартов выделяются Оранжевая книга, советы X.800 и Критерии оценки безопасности IT.
Оранжевая книга заложила понятийный базис; в ней определяются наиболее значимые сервисы безопасности и предлагается способ классификации информационных совокупностей по требованиям безопасности.
Советы X.800 очень глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый комплект механизмов и сервисов безопасности.
Западный стандарт ISO 15408, известный как Неспециализированные параметры, реализует более современный подход, в нем зафиксирован очень широкий спектр сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта принципиально важно не только из абстрактных мыслей интеграции в мировое сообщество; оно, как возможно сохранять надежду, облегчит жизнь обладателям информационных совокупностей, значительно расширив спектр дешёвых сертифицированных ответов.
Основная задача мер административного уровня – организовать программу работ в области информационной безопасности и обеспечить ее исполнение, выделяя нужные ресурсы и осуществляя контроль состояние дел.
Базой программы есть политика безопасности, отражающая подход организации к защите собственных информационных активов.
программы безопасности и Разработка политики начинается с анализа рисков, первым этапом которого, со своей стороны, есть ознакомление с самый распространенными угрозами.
Главные угрозы – внутренняя сложность ИС, непреднамеренные неточности штатных пользователей, операторов, других лиц и системных администраторов, обслуживающих информационные совокупности.
На втором месте по размеру ущерба стоят кражи и подлоги.
Настоящую опасность воображают другие аварии и пожары поддерживающей инфраструктуры.
В общем числе нарушений растет часть внешних атак, но главный ущерб так же, как и прежде наносят собственные.
Для подавляющего большинства организаций достаточно неспециализированного знакомства с рисками; ориентация на типовые, апробированные ответы разрешит обеспечить базисный уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.
Значительную помощь в разработке политики безопасности может оказать английский стандарт BS 7799:1995, предлагающий типовой каркас.
политики безопасности и Разработка программы может служить примером применения понятия уровня детализации. Они должны подразделяться на пара уровней, трактующих вопросы различной степени специфичности. Ответственным элементом программы есть поддержание и разработка в актуальном состоянии карты ИС.
Нужным условием для построения надежной, экономичной защиты есть рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:
— инициация;
— закупка;
— установка;
— эксплуатация;
— выведение из эксплуатации.
Безопасность нереально добавить к совокупности; ее необходимо закладывать сначала и поддерживать до конца.
Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:
— управление персоналом;
— физическая защита;
— поддержание работоспособности;
— реагирование на нарушения режима безопасности;
— планирование восстановительных работ.
На этом уровне применимы серьёзные правила безопасности:
— непрерывность защиты в пространстве и времени;
— разделение обязанностей;
— минимизация привилегий.
Тут кроме этого применимы понятие и объектный подход жизненного цикла. Первый разрешает поделить контролируемые сущности (территорию, аппаратуру и т.д.) на довольно свободные подобъекты, разглядывая их с различной степенью детализации и осуществляя контроль связи между ними.
Понятие жизненного цикла полезно использовать не только к информационным совокупностям, но и к сотрудникам. На этапе инициации должно быть создано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки нужно совершить обучение, а также по вопросам безопасности; на этапе выведения из эксплуатации направляться функционировать бережно, не допуская нанесения ущерба обиженными сотрудниками.
Информационная безопасность сильно зависит от аккуратного ведения текущей работы, которая включает:
— помощь пользователей;
— помощь ПО;
— конфигурационное управление;
— резервное копирование;
— управление носителями;
— документирование;
— регламентные работы.
Элементом повседневной деятельности есть отслеживание информации в области ИБ; как минимум, администратор безопасности обязан подписаться на перечень рассылки по новым пробелам в защите (и вовремя знакомиться с поступающими сообщениями).
Необходимо, но, заблаговременно подготовиться к событиям неординарным, другими словами к нарушениям ИБ. Заблаговременно продуманная реакция на нарушения режима безопасности преследует три главные цели:
— уменьшение и локализация инцидента наносимого вреда;
— обнаружение нарушителя;
— предупреждение повторных нарушений.
Обнаружение нарушителя – процесс сложный, но первый и третий пункты возможно и необходимо шепетильно продумать и отработать.
При важных аварий нужно проведение восстановительных работ. Процесс планирования таких работ возможно поделить на следующие этапы:
— обнаружение критически серьёзных функций организации, установление приоритетов;
— идентификация ресурсов, нужных для исполнения критически ответственных функций;
— определение списка вероятных аварий;
— разработка стратегии восстановительных работ;
— подготовка реализации выбранной стратегии;
— проверка стратегии.
Программно-технические меры
Программно-технические меры, другими словами меры, направленные на контроль компьютерных сущностей – оборудования, программ и/либо данных, образуют последний и самый серьёзный предел информационной безопасности.
На этом пределе становятся очевидными не только хорошие, но и негативные последствия стремительного прогресса IT. Во-первых, дополнительные возможности появляются не только у экспертов по ИБ, но и у преступников. Во-вторых, информационные совокупности все время модернизируются, перестраиваются, к ним добавляются не хватает проверенные компоненты (прежде всего программные), что затрудняет соблюдение режима безопасности.
Сложность современных корпоративных ИС, разнообразие и многочисленность угроз их безопасности возможно наглядно представить, ознакомившись с информационной совокупностью Верховного суда РФ.
Меры безопасности целесообразно поделить на следующие виды:
— предупредительные, мешающие нарушениям ИБ;
— меры обнаружения нарушений;
— локализующие, сужающие территорию действия нарушений;
— меры по обнаружению нарушителя;
— меры восстановления режима безопасности.
В продуманной архитектуре безопасности все они должны находиться.
С практической точки зрения ответственными кроме этого являются следующие правила архитектурной безопасности:
— непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
— следование признанным стандартам, применение апробированных ответов;
— иерархическая организация ИС с маленьким числом сущностей на каждом уровне;
— усиление самого не сильный звена;
— невозможность перехода в небезопасное состояние;
— минимизация привилегий;
— разделение обязанностей;
— эшелонированность обороны;
— разнообразие защитных средств;
— управляемость и простота информационной совокупности.
Центральным для программно-технического уровня есть понятие сервиса безопасности. В число таких сервисов входят:
— аутентификация и идентификация;
— управление доступом;
— аудит и протоколирование;
— шифрование;
— контроль целостности;
— экранирование;
— анализ защищенности;
— обеспечение отказоустойчивости;
— обеспечение надёжного восстановления;
— туннелирование;
— управление.
Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, другими словами быть устойчивыми к соответствующим угрозам, а их использование должно быть удобным для администраторов и пользователей. К примеру, современные средства идентификации/аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.
Выделим наиболее значимые моменты для каждого из перечисленных сервисов безопасности:
1. Предпочтительными являются криптографические способы аутентификации, реализуемые программным либо аппаратно-программным методом. Парольная защита стала анахронизмом, биометрические способы нуждаются в предстоящей проверке в сетевой среде.
2. В условиях, в то время, когда понятие доверенного ПО уходит в прошлое, делается анахронизмом и самая популярная – произвольная (дискреционная) – модель управления доступом. В ее терминах нереально кроме того растолковать, что такое троянская программа. В совершенстве при разграничении доступа обязана учитываться семантика операций, но пока для этого имеется лишь теоретическая база. Еще один принципиальный момент – простота администрирования в условиях ресурсов и большого числа пользователей и постоянных трансформаций конфигурации. Тут может оказать помощь ролевое управление.
аудит и Протоколирование должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более большой уровень. Это нужное условие управляемости. Нужно использование средств активного аудита, но необходимо осознавать ограниченность их возможностей и разглядывать эти средства как один из пределов эшелонированной обороны, причем не самый надежный. направляться конфигурировать их так, дабы минимизировать число фальшивых тревог и не выполнять страшных действий при автоматическом реагировании.
Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения; для шифрования это правильно вдвойне. Этот сервис есть инфраструктурным, его реализации должны находиться на всех аппаратно-программных платформах и удовлетворять твёрдым требованиям не только к безопасности, но и к производительности. Пока же единственным дешёвым выходом есть использование вольно распространяемого ПО.
Надежный контроль целостности кроме этого базируется на криптографических способах с методами и аналогичными проблемами их решения. Быть может, принятие Закона об электронной цифровой подписи поменяет обстановку к лучшему, будет расширен спектр реализаций. К счастью, к статической целостности имеется и некриптографические подходы, основанные на применении запоминающих устройств, эти на которых доступны лишь для чтения. В случае если в совокупности поделить статическую и динамическую составляющие и поместить первую в ПЗУ либо на компакт-диск, возможно в корне пресечь угрозы целостности. Разумно, к примеру, записывать регистрационную данные на устройства с однократной записью; тогда преступник не сможет замести следы.
Экранирование – идейно весьма богатый сервис безопасности. Его реализации – это не только межсетевые экраны, но и ограничивающие интерфейсы, и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и осуществляет контроль его внешнее представление. Современные межсетевые экраны достигли высокого уровня защищенности, администрирования и удобства использования; в сетевой среде они являются первым и очень замечательным пределом обороны. Целесообразно использование всех видов МЭ – от персонального до внешнего корпоративного, а контролю подлежат действия как внешних, так и внутренних пользователей.
Анализ защищенности – это инструмент помощи безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость фактически постоянного обновления базы знаний и роль не самого надежного, но нужного защитного предела, на котором возможно расположить вольно распространяемый продукт.
Обеспечение безопасного восстановления и отказоустойчивости – нюансы высокой доступности. При их реализации на первый замысел выходят архитектурные вопросы, прежде всего – внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом вероятных соответствующих зон и угроз поражения. Надёжное восстановление – вправду последний предел, требующий особенного внимания, тщательности при проектировании, реализации и сопровождении.
Туннелирование – скромный, но нужный элемент в перечне сервисов безопасности. Он ответствен не столько сам по себе, сколько в комбинации с экранированием и шифрованием для реализации виртуальных частных сетей.
Управление – это инфраструктурный сервис. Надёжная совокупность должна быть управляемой. Неизменно должна быть возможность выяснить, что в действительности происходит в ИС (а в совершенстве – и взять прогноз развития обстановки). Быть может, самоё практичным ответом для большинства организаций есть применение какого-либо вольно распространяемого каркаса с постепенным навешиванием на него собственных функций.
Новый уровень. Александр Палиенко.