Учебное пособие: Интеллектуальные компьютерные технологии защиты информации
2.5 Причины, виды и каналы
утечки информации
Основными причинами утечки
информации являются:
•
несоблюдение персоналом норм, требований, правил эксплуатации КИС;
•
ошибки в проектировании КИС и систем защиты КИС;
•
ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом
норм, требований, правил эксплуатации может быть как умышленным, так и
непреднамеренным. От ведения противостоящей стороной агентурной разведки этот
случай отличает то, что в данном случае лицом, совершающим несанкционированные
действия, двигают личные побудительные мотивы. Причины утечки информации
достаточно тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р
50922-96 рассматриваются три вида утечки формации:
•
разглашение;
•
несанкционированный доступ к информации;
•
получение защищаемой информации разведками (как отечественными,
так и иностранными).
Под разглашением информации
понимается несанкционированное доведение защищаемой информации до потребителей,
не имеющих права доступа к защищаемой информации.
Под несанкционированным
доступом понимается получение защищаемой информации заинтересованным субъектом
с нарушением установленных правовыми документами или собственником, владельцем
информации прав или правил доступа к защищаемой информации. При этом
заинтересованным субъектом, осуществляющим несанкционированный доступ к
информации, может быть государство, юридическое лицо, группа физических лиц, в
том числе общественная организация, отдельное физическое лицо.
Получение защищаемой информации разведками может осуществляться с помощью
технических средств (техническая разведка) или агентурными методами (агентурная
разведка).
Канал утечки информации — совокупность источника информации, материального носителя или
среды распространения несущего указанную информацию сигнала и средства
выделения информации из сигнала или носителя. Одним из основных свойств канала
является месторасположение средства выделения информации из сигнала или
носителя, которое может располагаться в пределах контролируемой зоны,
охватывающей КИС, или вне ее. Применительно к КИС выделяют следующие каналы
утечки:
1.Электромагнитный канал.
Причиной его возникновения является электромагнитное поле, связанное с
протеканием электрического тока в аппаратных компонентах КИС. Электромагнитное
поле может индуцировать токи в близко расположенных проводных линиях (наводки).
Электромагнитный канал в свою очередь делится на следующие каналы:
•
радиоканал (высокочастотное излучение);
•
низкочастотный канал;
•
сетевой канал (наводки на сеть электропитания);
•
канал заземления (наводки на провода заземления);
•
линейный канал (наводки на линии связи между компьютерными
системами).
2.Акустический
(виброакустический) канал. Связан с распространением звуковых волн в воздухе
или упругих колебаний в других средах, возникающих при работе устройств
отображения информации КИС.
3.Визуальный канал. Связан с
возможностью визуального наблюдения злоумышленником за работой устройств
отображения информации КИС без проникновения в помещения, где расположены
компоненты системы. В качестве средства выделения информации в данном случае
могут рассматриваться фото-, видеокамеры и т.п.
4.Информационный канал. Связан
с доступом (непосредственным и телекоммуникационным) к элементам КИС, к
носителям информации, к самой вводимой и выводимой информации (и результатам),
к программному обеспечению (в том числе к операционным системам), а также с
подключением к лини ям связи. Информационный канал может быть разделен на
следующие каналы:
•
канал коммутируемых линий связи,
•
канал выделенных линий связи,
канал локальной сети,
канал машинных носителей
информации,
канал терминальных и
периферийных устройств.
2.6 Модели разграничения
доступа к информации
Для проведения желаемой
политики безопасности в системе должны присутствовать соответствующие
механизмы. В большинстве случаев эти механизмы содержат некоторые
автоматизированные компоненты, зачастую являющиеся частью базового программного
обеспечения (операционной системы) с соответствующим множеством процедур
пользователя и администратора.
В то время как политика
безопасности представляет собой множество правил для конкретной системы, модель
безопасности - абстрактное описание поведения целого класса систем, без
рассмотрения конкретных деталей их реализации. Модель безопасности является
инструментом разработки политики безопасности.
Политика безопасности
компьютерной системы может быть выражена формальным и неформальным образом. Для
неформального описания политики безопасности широкое распространение получило
описание правил доступа субъектов к объектам в виде таблиц, наглядно
представляющих правила доступа. Обычно под этим подразумевается, что субъекты,
объекты и типы доступа в данной системе определены, а множество субъектов и
объектов конечно и определено. Основным преимуществом такого способа
представления политики безопасности является доступность для понимания
малоквалифицированным пользователем.
2.6.1 Модели безопасности
Модель дискреционного
доступа. В рамках модели контролируется доступ
субъектов к объектам. Для каждой пары субъект-объект устанавливается тип
операции доступа (READ, WRITE и т.п.). Контроль доступа осуществляется посредством механизмов,
которые предусматривают возможность санкционированного изменения правил
разграничения доступа.
Модель дискретного доступа. В рамках модели рассматриваются механизмы распространения доступа
субъектов к объектам.
Модель мандатного управления
доступом (Белла-Лападула). Формально записана в
терминах теории отношений. Описывает механизм доступа к ресурсам системы, при
этом для управления доступом используется матрица контроля доступа. В рамках
модели рассматриваются простейшие операции Read\Write, на которые накладываются
ограничения. Множество субъектов и объектов упорядочены в соответствии с их
уровнем полномочий и уровнем безопасности. Состояния системы изменяются по
правилам трансформации состояний. Во множестве субъектов могут присутствовать
доверенные субъекты, которые не подчиняются ограничениям на операции
чтение-запись.
Модели распределённых систем
(синхронная и асинхронная). В рамках моделей
субъекты выполняют операции с объектами на нескольких устройствах обработки.
Рассматриваются операции доступа субъектов к объектам, которые могут быть
удалёнными, что может вызвать противоречия в модели. В рамках асинхронной
модели в один момент времени несколько субъектов могут получить доступ к нескольким
объектам. Переход системы из одного состояния в другое в один момент времени
может осуществляться под воздействием более чем одного субъекта.
Модель безопасности военной
системы передачи данных (MMS) — формально записана в
терминах теории множеств. Субъекты могут выполнять специальные операции над
объектами сложной структуры. В модели присутствует администратор безопасности
для управления доступом к данным и устройствам к глобальной сети передачи
данных. При этом для управления доступом используются матрицы контроля доступа.
В рамках модели используются операции READ, WRITE, CREATE,DELETE, операции над объектами специфической структуры, а также могут
появляться операции направленные на специфическую обработку информации.
Состояние системы изменяется с помощью функции трансформации.
Модель трансформации прав
доступа. Формально записана в терминах теории
множеств. В рамках модели субъекту в данный момент времени предоставляется
только одно право доступа. Для управления доступом применяются функции трансформации
прав доступа. Механизм изменения состояния системы основывается на применении
функции трансформации состояний системы.
Схематическая модель — формально записана в терминах теории множеств и теории предикатов.
Для управления доступом используется матрица доступа со строгой типизацией
ресурсов. Для изменения прав доступа применяется аппарат копирования меток
доступа.
Иерархическая модель - формально записана в терминах теории предикатов. Описывает
управление доступом для параллельных вычислений, при этом управление доступом
основывается на вычислении предикатов.
Модель безопасных
спецификаций - формально описана в аксиоматике Хоара.
Определяет количество информации, необходимое для раскрытия системы защиты в
целом. Управление доступом на основании классификации пользователей. Понятие
механизма изменения состояний не применяется.
Модель информационных
потоков — формально записана в терминах теории
множеств. В модели присутствуют объекты и атрибуты, что позволяет определить
информационные потоки. Управление доступом осуществляется на основе атрибутов
объектов. Изменения состояния является изменением соотношения между объектами и
атрибутами.
Вероятностные модели — в модели присутствуют субъекты, объекты и их вероятностные
характеристики. Рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также
имеют вероятностные характеристики.
Модель элементарной защиты. Предмет защиты помещён в замкнутую и однородную защищённую
оболочку, называемую преградой. Информация со временем стареет и цена её
уменьшается. За условие достаточности защиты принимается превышение затрат
времени на преодоление нарушителем преграды над временем жизни информации.
Вводится вероятность не преодоления преграды нарушителем (РСЗИ ), вероятность
обхода преграды нарушителем (Робх), вероятность
преодоления защиты нарушителем за время меньшее времени жизни информации (Рнр). Для введенной модели нарушителя
показано, что Рсзи = min [(1-Рнр)(1-РОбх)],
что является иллюстрацией принципа слабейшего звена. Развитие модели
учитывает вероятность отказа системы и вероятность обнаружения блокировки
действий нарушителя.
Модель системы безопасности
с полным перекрытием. Отмечается, что система
безопасности должна иметь по крайней мере одно средство для обеспечения
безопасности на каждом возможном пути проникновения в систему. Модель
описывается в терминах теории графов. Степень обеспечения безопасности системы
можно измерить, используя лингвистические переменные. В базовой системе
рассматривается набор защищаемых объектов, набор угроз, набор средств
безопасности, набор уязвимых мест, а также набор барьеров.
Модель гарантированно
защищённой системы обработки информации. В рамках
модели функционирование системы описывается последовательностью доступов
субъектов к объектам. Множество субъектов является подмножеством множества
объектов. Из множества объектов выделено множество общих ресурсов системы,
доступ к которым не может привести к утечке информации. Все остальные объекты
системы являются порождёнными пользователями, каждый пользователь принадлежит
множеству порождённых им объектов. При условиях, что в системе существует
механизм, который для каждого объекта устанавливает породившего его
пользователя, что субъекты имеют доступ только к общим ресурсам системы и к
объектам, порождённым ими и при отсутствии обходных путей политики безопасности
модель гарантирует невозможность утечки информации и выполнение политики
безопасности.
Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами
субъектов к объектам. Выделены множество объектов и множество субъектов.
Субъекты порождаются только активными компонентами (субъектами) из объектов. С
каждым субъектом связан (ассоциирован) некоторый объект или объекты, т.е.
состояние объекта влияет на состояние субъекта. В модели присутствует
специализированный субъект - монитор безопасности субъектов, который
контролирует порождение субъектов. Показана необходимость создания и поддержки
изолированной программной среды.
2.6.2 Модель пятимерного
пространства безопасности Хардстона
Модель использует пятимерное
пространство безопасности для моделирования процессов установления полномочий и
организации доступа на их основании.
Модель имеет 5 наборов:
A- набор установленных
полномочий; U - набор установленных пользователей; Е - набор установленных
операций; R - набор установленных ресурсов; S - набор установленных состояний.
Доступ рассматривается как
ряд запросов, осуществляющих пользование и для осуществления операций Е над
ресурсами R , в то время когда система находится в состоянии R.
Запрос на доступ - это
кортеж: q = {u, e, R, s}.
Величины U и S задаются системой, таким образом запрос
на доступ есть подпространство четырехмерной проекции пространства
безопасности. Запросы получают право на доступ в том случае когда они полностью
заключены в соответствующее под пространство. Процесс организации доступа можно
описать следующим алгоритмом.
Для запроса q = {U, R, A} - набора U' вполне определенных групп
пользователей, набора R' вполне определенных ресурсов и набора А' - правильно
установленных полномочий процесс организации доступа состоит из следующих
процедур:
1.
Вызвать все вспомогательные программы, необходимые для
предварительного принятия решений.
2.
Определить из U те группы пользователей, которые принадлежат группе U. Затем выбрать из Р спецификации
полномочий, которые соответствует выделенной группе пользователей. Этот набор полномочий
F(U) определяет полномочия пользователя U.
3.
Определить из Р набор F(Е) полномочий, которые устанавливают Е как основную операцию.
Этот набор называется привилегией операции Е.
4.
Определить из Р набор F(R) (привилегия единичного ресурса R) полномочий, которые определяют поднабор
ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими
для 3-х привилегий в шагах 2, 3, 4 образуют D(q) – домен полномочий для запроса q:
D(q) = F(U)^F(E)*F(R).
5.
Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. любой элемент из R должен содержаться в некоторой единице ресурса,
которая определена в домене полномочий D(q).
6.
Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы 2
полномочия попадали в эквивалентный класс тогда и только тогда, когда они
специфицируют одну единицу ресурса. Для любого такого класса логическая
операция ИЛИ или И выполняется с условием доступа элементов любого класса.
Новый набор полномочий:
А. Один на единицу ресурса,
указанную в D(q) есть F(u, q)
Б. Фактическая привилегия
пользователя и по отношению к запросу q.
7.Вычислить ЕАС, условие
фактического доступа соответствующую запросу q, осуществляя логическое И (ИЛИ) над
условиями доступа членов F(u, q). Операция И (ИЛИ) выполнение над которой перекрывает единицу
запрашиваемого ресурса.
8.
Оценить ЕАС и принять решение о доступе: А. Разрешить доступ к R, если R перекрывается. Б. Отказать в доступе в
противном случае.
9.
Произвести запись необходимых событий.
10.Вызвать все программы
необходимые для организации доступа после принятия решений.
11.Выполнить все программы,
вытекающие для любого случая из условия 8.
12. Если решение о доступе
было положительным, завершить физическую обработку. Достоинства модели:
простота реализации. Пример - матрица доступа.
Недостаток модели: ее
статичность, т.е. модель не учитывает динамику изменений состояний ВС, не
накладывает ограничений.
2.6.3 Модель Белла-Лападула
В предыдущих моделях
существовала проблема «Троянских коней».
Троянская программа - любая
программа, от которой ожидают выполнение желаемых действий, а она выполняет и
нежелательные действия. В модели Белла-Лападула такой проблемы не существует.
Классическая модель
Белла-Лападула (БЛ) построена для анализа систем защиты, реализующих мандатное
(полномочное) разграничение доступа. Возможность ее использования в качестве
формальной модели таких систем непосредственно отмечена в критерии TCSEC «Оранжевая книга». Модель
БЛ была предложена в 1975 г.
Пусть определены конечные
множества: S - множество субъектов системы (например, пользователи системы и
программы); О - множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О, где read - доступ на чтение, write — на запись, append— на запись в конец объекта, execute — на выполнение.
Обозначим:
В ={ b⊆ S Ч O Ч R} - множество текущих доступов
в системе;
М - матрица разрешенных доступов, где M SO ∈R- разрешенный доступ субъекта s к объекту о; L - множество уровней секретности, например
L = {U, C, S, TS},
где U<C<S<TS; (fs, fo , fc ) ∈ F = LS Ч LO Ч LS – тройка функций (fs ,fo,fc), определяющих:
fs = S →> L - уровень
допуска объекта; fO =O →> L - уровень
секретности объекта;
fs = S —→ L - текущий уровень допуска
субъекта, при этом Vs ∈ SfC (s) ≤ fS (s); H — текущий
уровень иерархии объектов (далее не рассматривается);
V= BЧMЧFЧH - множество состояний системы;
Q — множество запросов системе;
D — множество решений системы D = {yes, no, error} ;
W ⊆QЧDЧVЧV - множество
действий системы, где четверка (q, d,v1,v2)∈W означает, что система по запросу q с ответом d перешла из состояния v1 в состояние v2 ;
N0 — множество значений времени N0 = (0,1, 2, ...) ;
X — множество функций хx:
N 0 → Q, задающих
все возможные последовательности запросов к системе;
Y- множество функций y : N 0 → D , задающих все возможные последовательности
ответов системы по запросам;
Z - множество функций z : N 0 → V, задающих
все возможные последовательности состояний системы.
Далее в модели БЛ дается ряд
свойств, определений и теорем, позволяющих проверить систему -разрабатываемую
или существующую - на предмет безопасности. Классическая модель БЛ предлагает
общий подход к построению систем, реализующих мандатную (полномочную) политику
безопасности. В модели БЛ определяется, какими свойствами должны обладать
состояние и действия системы, чтобы она была безопасной согласно данному в
модели определению. В то же время в модели не указывается конкретно, что должна
делать система по запросам на доступ субъектов к объектам при переходе из
состояния в состояние, как конкретно должны при этом изменяться значения
элементов модели.
2.6.4 Средства разграничения
доступа
Представленные здесь
средства реализуют модели избирательного (дискреционного) доступа "Dallas Lock»
В комплексе «Dallas Lock» неявно используется
атрибуты
R(d) = {Y, N},
Где Y- право полного доступа субъекта к
объекту;N - отсутствие права.
В соответствии с этим любому
субъекту ставится в соответствие либо список запрещенных объектов, либо список
разрешенных объектов.
"Secret Net»
В системе «Secret Net» набор применяемых
атрибутов шире:
R(s) = {R, W, X},
где
R - разрешение на чтение;
W - разрешение на модификацию;
X - разрешение на запуск задачи.
"Аккорд»
В СЗИ НДС «Аккорд» набор
общих прав доступа:
R(a) = {R, W, C, D, N, V,
O, M, E, G, X},
где
R- разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов только для записи;
С - разрешение на создание
файлов на диске;
D - разрешение на удаление файлов;
N - разрешение на
переименование файлов;
V- видимость файлов;
О - эмуляция разрешения на
запись информации в файл; М - разрешение на создание каталогов на диске; Е -
разрешение на удаление каталогов на диске; G - разрешения перехода в каталог; X-
разрешение на запуск программ.
3. Управление защитой
информации
3.1 Введение
В данном пособии под
управлением будем понимать процесс целенаправленного воздействия на объект,
осуществляемый для организации его функционирования по заданным правилам.
Основная (опосредованная)
цель управления защитой информации - обеспечение реализации потенциальных
возможностей информационной системы.
Непосредственная цель
управления защитой информации - выработка и реализация своевременных и
обоснованных решений, наилучших (оптимальных) с точки зрения реализации
потенциальных возможностей системы защиты КИС в конкретных условиях.
Основные свойства и
показатели эффективности процессов управления защитой информации:
Устойчивость управления -
определяется способностью управлять с заданной эффективностью при активном
вмешательстве нарушителя.
Непрерывность управления -
возможность постоянно воздействовать на процесс защиты информации.
Скрытность управления
защитой информации - определяется способностью воспрепятствовать в выявлении
организации управления.
Оперативность управления
определяется способностью своевременно и адекватно реагировать на действия
злоумышленников и реализовывать управленческие решения к заданному сроку.
Обоснованность управления
характеризуется всесторонним учетом условий решения поставленной задачи,
применением различных моделей, расчетных и информационных задач, экспертных
систем, опыта и любых других факторов, повышающих достоверность исходной
информации и принимаемых решений.
Управление системой защиты и
осуществление контроля за функционированием КИС - все это составляющие одной
задачи - реализации политики безопасности.
Управление защитой
информации представляет собой широкомасштабный и многогранный процесс
начинающийся с формулирования положений политики безопасности организации и
кончая регулярной оценкой защищенности КИС. Далее в настоящем разделе
рассмотрены только некоторые составляющие процесса управления защитой
информации в КИС.
3.2 Аудит
Аудит представляет собой
независимую экспертизу отдельных областей функционирования организации.
Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое
мероприятие, проводимое по инициативе руководства организации. Рекомендуется
проводить внешний аудит регулярно. Внутренний аудит представляет собой
непрерывную деятельность, которая осуществляется на основании утвержденного
плана и в соответствии с правилами изложенными, например в «Положении о
внутреннем аудите», подготовка которого осуществляется подразделением
внутреннего аудита и утверждается руководством организации. Аудит безопасности
информационных систем является одной из составляющих ИТ аудита. Целями
проведения аудита безопасности являются:
•
анализ рисков, связанных с возможностью осуществления угроз
безопасности в отношении ресурсов КИС;
•
оценка текущего уровня защищенности КИС;
•
локализация узких мест в системе защиты КИС;
•
оценка соответствия КИС существующим стандартам в области
информационной безопасности;
•
выработка рекомендаций по внедрению новых и повышению
эффективности существующих механизмов безопасности КИС.
3.2.1 Определение и задачи
аудита
Под термином «аудит» КИС
понимается системный процесс получения и оценки объективных данных о текущем
состоянии КИС, действиях и событиях, происходящих в ней, устанавливающий
уровень их соответствия определенному критерию и предоставляющий результаты
заказчику.
В настоящее время актуальность
аудита резко возросла, это связано с увеличением зависимости организаций от
информации и КИС. Рынок насыщен аппаратно-программным обеспечением, многие
организации в силу ряда причин (наиболее нейтральная из которых - это моральное
старение оборудования и программного обеспечения) видят неадекватность ранее
вложенных средств в информационные системы и ищут пути решения этой проблемы.
Их может быть два: с одной стороны - это полная замена КИС, что влечет за собой
большие капиталовложения, с другой - модернизация КИС. Последний вариант
решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы,
например, что оставить из имеющихся аппаратно-программных средств, как
обеспечить совместимость старых и новых элементов КИС.
Более существенная причина
проведения аудита состоит в том, что при модернизации и внедрении новых
технологий их потенциал полностью не реализуется. Аудит КИС позволяет добиться
максимальной отдачи от средств, инвестируемых в создание и обслуживание КИС.
Кроме того, возросла
уязвимость КИС за счет повышения сложности их элементов, увеличения объемов
программного обеспечения, появления новых технологий передачи и хранения
данных.
Спектр угроз расширился. Это
обусловлено следующими причинами:
•
передача информации по сетям общего пользования;
•
«информационные войны» конкурирующих организаций;
•
высокая текучесть кадров с низким уровнем порядочности.
По данным некоторых западных
аналитических агентств до 95% попыток несанкционированного доступа к
конфиденциальной информации происходит по инициативе бывших сотрудников
организации.
Аудит ИБ в информационной
системе это процесс сбора сведений, позволяющих установить:
•
обеспечивается ли безопасность ресурсов организации (включая
данные);
•
обеспечиваются ли необходимые параметры целостности и доступности
данных;
•
достигаются ли цели организации в части эффективности
информационных технологий.
Проведение аудита позволит
оценить текущую безопасность функционирования КИС, оценить риски,
прогнозировать и управлять их влиянием на бизнес процессы организации,
корректно и обоснованно подойти к вопросу обеспечения безопасности
информационных активов организации, основные из которых:
•
идеи;
•
знания;
•
проекты;
•
результаты внутренних обследований.
В настоящее время многие
системные интеграторы на телекоммуникационном рынке декларируют поставку
полного, законченного решения. К сожалению, в лучшем случае все сводится к
проектированию и поставке оборудования и программного обеспечения. Построение
информационной инфраструктуры «остается за кадром» и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается
отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа,
документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще у клиентов
возникают к системным интеграторам, проектным организациям, поставщикам
оборудования вопросы следующего содержания:
•
Что дальше? (Наличие стратегического плана развития организации,
место и роль КИС в этом плане, прогнозирование проблемных ситуаций).
•
Соответствует ли наша КИС целям и задачам бизнеса? Не превратился
ли бизнес в придаток информационной системы?
•
Как оптимизировать инвестиции в КИС?
•
Что происходит внутри этого «черного ящика» - КИС организации? Сбои
в работе КИС, как выявить и локализовать проблемы?
•
Как решаются вопросы безопасности и контроля доступа?
•
Подрядные организации провели поставку, монтаж, пусконаладку. Как
оценить их работу? Есть ли недостатки, если есть, то какие?
•
Когда необходимо провести модернизацию оборудования и ПО? Как
обосновать необходимость модернизации?
•
Как установить единую систему управления и мониторинга КИС? Какие
выгоды она предоставит?
•
Руководитель организации, руководитель IT подразделения должны иметь
возможность получать достоверную информацию о текущем состоянии КИС в
кратчайшие сроки. Возможно ли это?
•
Почему все время производится закупка дополнительного
оборудования?
•
Сотрудники IT подразделения постоянно чему-либо учатся, есть ли в этом необходимость?
•
Какие действия предпринимать в случае возникновения внештатной
ситуации?
•
Какие возникают риски при размещении конфиденциальной информации в
КИС организации? Как минимизировать эти риски?
•
Как снизить стоимость владения КИС?
•
Как оптимально использовать сложившуюся КИС при развитии бизнеса?
На эти и другие подобные
вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все
проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно
получить достоверную, обоснованную информацию. Для этого в консалтинговых
компаниях во всем мире существует определенная специфическая услуга - аудит
компьютерной информационной системы (КИС).
Подход к проведению аудита
КИС, как отдельной самостоятельной услуги, с течением времени упорядочился и
стандартизировался. Крупные и средние аудиторские компании образовали
ассоциации -союзы профессионалов в области аудита КИС, которые занимаются
созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как
правило, это закрытые стандарты, тщательно охраняемое ноу-хау.
Однако существует ассоциация
- The Information Systems Audit and Control Association & Foundation (ISACA), занимающаяся открытой стандартизацией аудита КИС.
3.2.2 ISACA
Она основана в 1969 году и
по состоянию на 2002 год объединяла более 23000 членов из более чем 100 стран.
Ассоциация ISACA координирует деятельность более чем 26000 аудиторов
информационных систем (CISA - Certified Information System Auditor и CISM - Certified Information Security Manager), имеет свою систему стандартов в этой области, ведет
исследовательские работы, занимается подготовкой кадров, проводит конференции.
Основная декларируемая цель
ассоциации - это исследование, разработка, публикация и продвижение
стандартизованного набора документов по управлению информационной технологией
для ежедневного использования администраторами и аудиторами информационных
систем.
В помощь профессиональным
аудиторам, руководителям IT подразделений, администраторам и заинтересованным пользователям
ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых
компаний был разработан стандарт CoBiT (Control Objectives for Information and Related Technology).
3.2.3 CoBiT
CoBiT - открытый стандарт, первое
издание которого в 1996 году было продано в 98 странах по всему миру и
облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и
согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно,
на современном уровне получить представление и управлять целями и задачами,
решаемыми КИС. CoBiT учитывает все особенности информационных систем любого масштаба и
сложности.
Главное правило, положенное
в основу CoBiT, следующее: ресурсы КИС должны управляться набором естественно
сгруппированных процессов для обеспечения организации необходимой и надежной
информацией (рис. 3.1).
Рис. 3.1. Структура
стандарта CoBIT
Теперь немного разъяснений
по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы— под трудовыми ресурсами понимаются не только сотрудники
организации, но также руководство организации и контрактный персонал. Рассматриваются
навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе
организации. Технологии - операционные системы, базы данных, системы
управления и т.д. Оборудование - все аппаратные средства КИС
организации, с учетом их обслуживания.
Данные - данные в самом широком смысле - внешние и внутренние,
структурированные и неструктурированные, графические, звуковые, мультимедиа и
т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения
или аудита КИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации
задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и
будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на
бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству
организации, осуществление соответствующего управления финансированием и
согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие
международные стандарты, в том числе принимает во внимание утвержденные ранее
стандарты и нормативные документы:
•
технические стандарты;
•
кодексы;
•
критерии КИС и описание процессов;
•
профессиональные стандарты;
•
требования и рекомендации;
•
требования к банковским услугам, системам электронной торговли и
производству.
Применение стандарта CoBiT возможно как для проведения
аудита КИС организации, так и для изначального проектирования КИС. Обычный
вариант прямой и обратной задач. Если в первом случае -это соответствие
текущего состояния КИС лучшей практике аналогичных организаций и предприятий,
то в другом - изначально верный проект и, как следствие, по окончании
проектирования - КИС, стремящаяся к идеалу. В дальнейшем мы будем рассматривать
аудит КИС.
Несмотря на размер
разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям
бизнеса, при этом сохраняя независимость от конкретных производителей,
технологий и платформ.
На базовой блок-схеме CoBiT отражена
последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в
верхней части схемы) предъявляют свои требования к ресурсам КИС, которые
анализируются с использованием критериев оценки CoBiT на всех этапах построения и
проведения аудита.
Четыре базовые группы
(домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь
состоят из трехсот двух объектов контроля. Объекты контроля предоставляют
аудитору всю достоверную и актуальную информацию о текущем состоянии КИС.
Отличительные черты CoBiT:
•
Большая зона охвата (все задачи от стратегического планирования и
основополагающих документов до анализа работы отдельных элементов КИС).
•
Перекрестный аудит (перекрывающиеся зоны проверки критически
важных элементов).
•
Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества CoBiT перед многочисленными
западными разработками. Прежде всего, это его достаточность - наряду с
возможностью относительно легкой адаптации к особенностям КИС. И, конечно же,
то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать
любые разработки производителей аппаратно-программного обеспечения и
анализировать полученные данные не изменяя общие подходы и собственную
структуру.
3.2.4 Практика проведения аудита
КИС
Представленная на рис. 3.2.
блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС.
Рассмотрим их подробнее.
На этапе подготовки и
подписания исходно-разрешительной документации определяются границы проведения
аудита. Границы аудита определяются критическими точками КИС (элементами КИС),
в которых наиболее часто возникают проблемные ситуации.
На основании результатов
предварительного аудита всей КИС (в первом приближении) проводится углубленный
аудит выявленных проблем.
В это же время создается
команда проведения аудита, определяются ответственные лица со стороны
заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор
информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого
получают информацию обо всех нюансах функционирования КИС как в двоичной форме
(Да/Нет), так и форме развернутых отчетов. Детальность информации определяется
на этапе разработки исходно-разрешительной документации. Существует
определенный оптимум между затратами (временными, стоимостными и т.д.) на
получение информации и ее важностью и актуальностью.
Рис. 3.2. Общая
последовательность проведения аудита КИС
Проведение анализа -
наиболее ответственная часть проведения аудита КИС. Использование при анализе
недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение
данных, углубленный сбор информации. Требования к проведению анализа
определяются на этапе сбора информации. Методики анализа информации существуют
в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного
анализа являются базой для выработки рекомендаций, которые после предварительного
согласования с заказчиком должны быть проверены на выполнимость и актуальность
с учётом рисков внедрения.
Контроль выполнения
рекомендаций - немаловажный этап, требующий непрерывного отслеживания
представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки
дополнительной документации проводится работа, направленная на создание
документов, отсутствие или недочеты в которых могут вызвать сбои в работе КИС.
Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности
КИС.
Постоянное проведение аудита
гарантирует стабильность функционирования КИС, поэтому создание плана-графика
проведения последующих проверок является одним из результатов профессионального
аудита.
3.2.5 Результаты проведения
аудита КИС
Результаты аудита КИС
организации можно разделить на три основные группы:
•
Организационные - планирование, управление, документооборот
функционирования КИС.
•
Технические - сбои, неисправности, оптимизация работы элементов
КИС, непрерывное обслуживание, создание инфраструктуры и т.д.
•
Методологические - подходы к решению проблемных ситуаций,
управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит
обоснованно создать следующие документы:
•
Долгосрочный план развития КИС.
•
Политика безопасности КИС организации.
•
Методология работы и доводки КИС организации.
План восстановления КИС в
чрезвычайной ситуации.
3.3 Управление паролями
Доступ сотрудников к данным
или иным источникам в системе обычно контролируется комбинацией идентификаторов
пользователей системы и паролей. Для того чтобы такой подход был эффективным,
необходимо поддерживать целостность пароля в течение всего периода его
действия. Если идентификатор пользователя не предназначен для использования
более, чем одним лицом (нежелательная ситуация, которая снимает
ответственность), пароль должен быть известен только владельцу идентификатора
пользователя, к которому он относится.
Система или сеть будет
подвергаться опасности, если пароль и, следовательно, идентификатор
пользователя компрометируются. Серьезность такой опасности зависит от:
•
функций, доступных данному идентификатору пользователя - чем
привилегированнее идентификатор, тем больше угроза;
•
степени уязвимости данных, к которым может быть получен доступ.
Возможность использования
компьютера или терминала может быть ограничена паролем включения питания,
который не позволяет пользоваться компьютером, пока не будет введен правильный
пароль. Screen savers (первоначально предназначавшиеся для предохранения экранов от
пережога во время неактивного использования) обычно имеют парольные средства
для предотвращения несанкционированного доступа к машине в отсутствие
оператора. Эти средства могут быть полезными для предотвращения случайного
несанкционированного доступа, но зачастую их можно обойти, имея достаточные
технические знания.
Пароли наиболее часто
компрометируются из-за отсутствия должной осторожности. Они также могут
компрометироваться посредством некоторой формы изощренной атаки с
использованием программного обеспечения для сборки паролей.
3.3.1 Потенциальные угрозы
Потеря конфиденциальности вследствие:
•
несанкционированного доступа к данным из-за потери защиты пароля.
•
Потеря целостности вследствие:
•
несанкционированного изменения системы и/или ее данных из-за
потери защиты пароля.Потеря доступности вследствие:
•
незапоминания пароля;
•
неправильного или несанкционированного изменения пароля.
3.3.2 Пути снижения рисков
•
избегать использования общих идентификаторов пользователей вместе
с общими паролями;
•
выбирать пароли длиной не менее шести знаков;
•
соблюдать следующие правила в отношении паролей:
•
никому не раскрывать свой пароль;
•
убедиться, что никто не наблюдает за вами во время ввода пароля;
•
не записывать пароль там, где его может кто-либо может обнаружить;
•
выбирать свои собственные пароли;
•
изменять устанавливаемые по умолчанию пароли при использовании
нового идентификатора пользователя в первый раз;
•
перед заменой пароля проверить установки клавиш, таких как Caps Lock и Shift Lock, для того что бы обеспечить
правильность знаков;
•
использовать простые (т.е. легко запоминаемые) пароли, такие как
слова с произвольными орфографическими ошибками;
•
включить в состав пароля не менее одного знака, который не
является буквой;
•
использовать некоторую форму триггера памяти для облегчения вызова
пароля;
•
периодически менять свой пароль, предпочтительно не реже одного
раза в месяц;
•
заменить пароль, если есть подозрения в его компрометации.
Не выбирать пароль, который:
•
вероятно может быть найден в словаре (особенно слова,
ассоциирующиеся с безопасностью, такие как «система», «секрет», «пароль» и
т.п.);
•
является обычным именем;
•
имеет ассоциацию с предыдущим паролем (например, имеет в своем
составе наименование или обозначение месяца, если пароль меняется ежемесячно);
•
имеет явную ассоциацию с его владельцем (например, номер
автомобиля, имя ребенка, название дома, инициалы и т.п.);
•
состоит из одной повторяющейся буквы;
Запрещается:
•
использовать пароль в скрипте входа в систему или макросе;
•
пересылать пароли по электронной почте;
•
устанавливать идентификатор пользователя без пароля или с паролем,
состоящим из символов пробела;
Администраторы сетей и
системные администраторы должны:
•
идентифицировать и менять устанавливаемые по умолчанию пароли,
когда система запускается в эксплуатацию;
•
менять или удалять соответствующие идентификаторы пользователей
и/или пароли при перемещении персонала;
•
блокировать соответствующие идентификаторы пользователей в случае
отсутствия сотрудника в течение длительного времени;
•
обеспечить подходящую конфигурацию программного обеспечения
управления паролями;
При выборе системного
программного обеспечения отдавать предпочтение тем, чей механизм контроля
паролей:
•
позволяет использовать в паролях как буквы, так и числа;
•
требует подтверждения новых паролей (например двойного ввода),
чтобы избежать риска неправильного набора;
•
вынуждает менять пароль спустя определенное время;
•
не позволяет повторного использования паролей (для одного и того
же идентификатора пользователя);
•
отключает идентификатор пользователя, если пароль неправильно
вводится несколько раз (обычно три раза) подряд;
Страницы: 1, 2, 3, 4, 5
|