|
|
|
Вход на сайт Навигация по сайту » Начало » Преподаватели » Предметы » Статьи »  ФорУМРаботы:» Добавить работу Любить и уважать Бонус-счастливчики
Баннера:
|
Содержимое файла "!.doc" (без форматирования) 1 ПОНЯТИЕ АУДИТА Понятие "аудит информационной безопасности" появилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области менеджмента и безопасности корпоративных систем Internet /Intranet. Примерно с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания и совещания, специально созданных комитетов и комиссий по вопросам аудита информационной безопасности корпоративных систем. Подготовлено более десятка различных стандартов и спецификаций, посвященных аудиту информационной безопасности, среди которых наибольшую известность приобрели международные стандарты ISO 17799 (BS 7799). В настоящее время аудит информационной безопасности корпоративных систем Internet/Intranet представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности корпоративных систем Internet/Intranet. Его основная задача - объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином аудит информационной безопасности корпоративной системы Internet/Intranet обычно понимается системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты качественно выполненного аудита информационной безопасности компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную ее текущим задачам и целям бизнеса. Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес-деятельности компании от корпоративной системы защиты информации. Объясняется это увеличением объема жизненно важных для компании конфиденциальных данных, обрабатываемых в корпоративной информационной системе (КИС), использующей, в числе прочих, технологии Internet/Intranet. Этим же объясняются и дополнительные капиталовложения в информационные системы компании. В связи с этим актуальность аудита информационной безопасности резко возрастает. Более того, практика внедрения новых корпоративных информационных систем свидетельствует о том, что компании не всегда получают полную отдачу капиталовложений. Прежде всего, из-за усложнения современных КИС и роста их уязвимости. Можно выделить две основные причины роста уязвимости корпоративных систем Internet/Intranet. Во-первых, повысилась уязвимость собственно корпоративных информационных систем за счет обоснованного усложнения аппаратно-программных элементов этих систем, увеличения структурной и функциональной сложности системного и прикладного программного обеспечения, применения новых технологий обработки, передачи и хранения данных. А во-вторых, расширился спектр угроз корпоративным информационным системам из-за передачи информации по открытым каналам сетей общего назначения, "информационных войн и электронных диверсий" конкурирующих организаций, активного промышленного шпионажа с привлечением профессионалов в области IT-security и пр. Сегодня рынок насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения рынка безопасности, многие компании видят неадекватность ранее приобретенных систем обеспечения информационной безопасности решаемым задачам, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны - это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а другой - модернизация существующих систем безопасности. Более существенная причина необходимости проведения аудита безопасности состоит в том, что при модернизации и внедрении новых технологий защиты информации, их потенциал полностью не реализуется. Здесь аудит позволяет оценить текущую безопасность функционирования корпоративной информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов: стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности корпоративной информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание систем безопасности. Для практики исключительно важным является то, что аудит информационной безопасности ориентирован как на специалистов в области безопасности корпоративных систем Internet/Intranet, так и на специалистов в области менеджмента. Такой подход устраняет, к сожалению, существующее недопонимание специалистов в области информационной безопасности TOP-менеджерами компании. В данном случае они объединяются в единую команду, ориентированную на повышение экономической эффективности и рентабельности бизнес-деятельности компании. Еще один существенный плюс подобного подхода - поддержка полного жизненного цикла корпоративной системы защиты информации, начиная с анализа требований и заканчивая этапами эксплуатации и сопровождения системы. Примечательно, что использование структурных и объектно-ориентированных CASE-средств анализа и управления рисками позволяет наглядно и эффективно представлять компоненты информационной инфраструктуры компании, выделять наиболее критичные из них, а также оценивать информационные риски компании. Компоненты представляются в удобной графической форме, с выделением существенных с точки зрения управления компанией компонентов информационной инфраструктуры компании и связей по управлению и данными между ними. Такая общая визуализация бизнес процессов и информационной безопасности компании позволяет оперативно генерировать различные варианты защиты, сравнивать их между собой с точки зрения экономической эффективности, и в результате выбирать оптимальный вариант построения или модификации защиты корпоративной системы Internet/Intranet. В настоящее время многие поставщики средств защиты информации декларируют поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet. К сожалению, в лучшем случае, все сводится к проектированию и поставке соответствующего оборудования и программного обеспечения. Построение корпоративной системы безопасности "остается в тени" и к решению не прилагается. Поэтому у представителей предприятий все чаще возникают следующие вопросы к поставщикам соответствующих решений: Очевидно, что на перечисленные вопросы нельзя мгновенно дать однозначный ответ. Только объективный и независимый аудит безопасности корпоративной системы Internet/Intranet позволяет получить достоверную и обоснованную информацию. Такой аудит, который позволит комплексно проверить все основные уровни обеспечения информационной безопасности компании: нормативно-правовой, организационный, технологический и аппаратно-программный. 1.1 Активный аудит Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других. Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании. При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика. По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий внешнего злоумышленника при минимальных затратах на информационную безопасность. Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания идеальной системы сетевой защиты. Например, по результатам данного вида аудита нельзя сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы. Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне. Активный аудит условно можно разделить на два вида: внешний активный аудит и внутренний активный аудит. При внешнем активном аудите специалисты моделируют действия внешнего злоумышленника. В данном случае проводятся следующие процедуры: - определение доступных из внешних сетей IP-адресов заказчика; - сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов; - определение версий сервисов и служб сканируемых хостов; - изучение маршрутов прохождения трафика к хостам заказчика; - сбор информации об ИС заказчика из открытых источников; - анализ полученных данных с целью выявления уязвимостей. Внутренний активный аудит по составу работ аналогичен Внешнему, однако при его проведении с помощью специальных программных средств моделируются действия внутреннего злоумышленника. Данное деление активного аудита на внешний и внутренний актуально для заказчика в следующих случаях: - у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации; - модель злоумышленника, которую рассматривает заказчик, не включает внутренних злоумышленников; - в компании заказчика расследуется факт обхода системы сетевой защиты. Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности — проведение специализированных исследований. Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа защищенности и отказоустойчивости данного ПО не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО. Еще один вид услуг, предлагаемых в ходе активного аудита, — исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей. Стресс-тест позволит выявить узкие места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности. Одной из самых эффектных услуг является тест на проникновение (Penetration Testing), который во многом похож на внешний активный аудит, но по своей сути аудитом не является. Основная цель данного тестирование – демонстрация успехов, которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защита. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах внешнего активного аудита заказчику сообщается не только факт уязвимости сети, но и информация обо всех уязвимостях и способах их устранения. 1.2 Экспертный аудит Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с идеальным описанием, которое базируется на следующем: - требования, которые были предъявлены руководством в процессе проведения аудита; - описание идеальной системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте. При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ: - сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); - сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ; - определение точек ответственности систем, устройств и серверов ИС; - формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков. Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности. Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы. Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности. Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой. Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности. В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов. Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например: - изменения (если они требуются) в существующей топологии сети и технологии обработки информации; - рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств; - предложения по совершенствованию пакета организационно-распорядительных документов; - предложения по этапам создания системы информационной безопасности; - ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала). 1.3 Аудит на соответствие стандартам Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере — при проведении данного вида аудита состояние информационной безопасности сравнивается с описанием, приводимым в стандартах. Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию: - степень соответствия проверяемой информационной системы выбранным стандартам; - степень соответствия собственным внутренним требованиям компании в области информационной безопасности; - количество и категории полученных несоответствий и замечаний; - рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом; - подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании. Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности: существующие руководящие документы ГСССЗИ: - Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - Специальные требования и рекомендации по технической защите конфиденциальной информации. - Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Зарубежные и международные стандарты: Международный стандарт ISO/IEC 17799 Информационные технологии. Управление информационной безопасностью (Information Technology — Information Security Management) на сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире. Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов. Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная внешними объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако такие организации чаще всего пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров. Учитывая распространенности услуги аттестации и многолетнего опыта работы аттестационных центров, услуга аудита на соответствие по трудозатратам аудитора, а, значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю. Среди государственных организаций (а также среди полугосударственных — организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры. В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как козырь в борьбе за крупного клиента или делового партнера. В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера. Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты. В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя. Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности. Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать её продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности. 2 ЗАКОНОДАТЕЛЬСТВО Законодательство определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение. Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией. Ниже приведены законы Украины о защите информации в информационно -телекоммуникацонных системах: Настоящий Закон регулирует отношения в сфере защиты информации в информационных, телекоммуникационных и информационно -телекоммуникационных системах (далее - система). Статья 1. Определение терминов В этом Законе приведенные ниже термины употребляются в следующем значении: - блокирование информации в системе - действия, вследствие которых невозможным доступ к информации в системе; - утечку информации - результат действий , вследствие которых информация в системе становится известной или доступной физическим и / или юридическим лицам , не имеющим права доступа к ней; - владелец информации - физическое или юридическое лицо, которому принадлежит право собственности на информацию; - владелец системы - физическое или юридическое лицо, которому принадлежит право собственности на систему; - доступ к информации в системе - получение пользователем возможности обрабатывать информацию в системе; - защита информации в системе - деятельность, направленная на предотвращения несанкционированным действиям относительно информации в системе; - уничтожения информации в системе - действия, вследствие которых информация в системе исчезает ; - информационная (автоматизированная ) система - организационно-техническая система, в которой реализуется технология обработки информации с использованием технических и программных средств; - информационно -телекоммуникационная система - совокупность информационных и телекоммуникационных систем, в процессе обработки информации действуют как единое целое; - комплексная система защиты информации - взаимосвязанная совокупность организационных и инженерно -технических мероприятий , средств и методов защиты информации; - пользователь информации в системе (далее - пользователь ) - физическое или юридическое лицо, в установленном законодательством порядке получила право доступа к информации в системе; - криптографическая защита информации - вид защиты информации, который реализуется путем преобразования информации с использованием специальных (ключевых ) данных с целью сокрытия / восстановления содержания информации, подтверждения ее подлинности, целостности, авторства и т.п.; - несанкционированные действия по информации в системе - действия, производятся с нарушением порядка доступа к этой информации, установленного в соответствии с законодательством; - обработка информации в системе - выполнение одной или нескольких операций, в частности : уборка , введение , записи преобразования, считывания, хранения , уничтожения , регистрации , приема, получения , передачи , которые осуществляются в системе с помощью технических и программных средств; - нарушение целостности информации в системе - несанкционированные действия по информации в системе , в результате которых изменяется ее содержание ; - порядок доступа к информации в системе - условия получения пользователем возможности обрабатывать информацию в системе и правила обработки этой информации; - телекоммуникационная система - совокупность технических и программных средств, предназначенных для обмена информацией путем передачи , излучения или приема ее в виде сигналов , знаков, звуков , подвижных или неподвижных изображений или другим способом; - техническая защита информации - вид защиты информации, направлен на обеспечение с помощью инженерно-технических мероприятий и / или программных и технических средств предотвращения утечки, уничтожения и блокирование информации , нарушение целостности и режима доступа к информации. Статья 2. Объекты защиты в системе Объектами защиты в системе есть информация, которая обрабатывается в ней , и программное обеспечение, которое предназначено для обработки этой информации. Статья 3. Субъекты отношений Субъектами отношений, связанных с защитой информации в системах , являются: - владельцы информации ; - владельцы системы; - пользователи; - специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации и подчиненные ему региональные органы. На основании заключенного договора или по поручению владелец информации может предоставить право распоряжаться информацией другой физическому или юридическому лицу - распорядителю информации. На основании заключенного договора или по поручению владелец системы может предоставить право распоряжаться системой другому физическому или юридическому лицу - распорядителю системы. Статья 4. Доступ к информации в системе Порядок доступа к информации, перечень пользователей и их полномочия относительно этой информации определяются собственником информации. Порядок доступа к информации, являющейся собственностью государства, или информации с ограниченным доступом, требование относительно защиты которой установленная законом, перечень пользователей и их полномочия относительно этой информации определяются законодательством. В случаях, предусмотренных законом , доступ к информации в системе может осуществляться без разрешения его собственника в порядке, установленном законом. Статья 5. Отношения между владельцем информации и владельцем системы Владелец системы обеспечивает защиту информации в системе в порядке и на условиях, определенных в договоре, который заключается ним с владельцем информации, если иное не предусмотрено законом. Владелец системы по требованию владельца информации предоставляет сведения по защите информации в системе. Статья 6. Отношения между владельцем системы и пользователя Владелец системы предоставляет пользователю сведения о правилах и режим работы системы и обеспечивает ему доступ к информации в системе в соответствии с определенным порядком доступа. Статья 7. Отношения между владельцами систем Владелец системы, которая используется для обработки информации с другой системы , обеспечивает защиту такой информации в порядке и на условиях, определяемых договором, который заключается между владельцами систем , если иное не установлено законодательством . Владелец системы, которая используется для обработки информации с другой системы , сообщает владельцу указанной системы о выявлены факты несанкционированных действий относительно информации в системе. Статья 8. Условия обработки информации в системе Условия обработки информации в системе определяются собственником системы согласно договору с владельцем информации, если иное не предусмотрено законодательством. Информация, которая является собственностью государства, или информация с ограниченным доступом , требование относительно защиты которой установлена законом ,должна обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством. Для создания комплексной системы защиты информации, которая является собственностью государства, или информации с ограниченным доступом , требование по защите которой установлена законом , используются средства защиты информации , имеющих сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и / или криптографической защиты информации. Подтверждения соответствия и проведения государственной экспертизы этих средств осуществляются в порядке, установленном законодательством. Статья 9. Обеспечение защиты информации в системе Ответственность за обеспечение защиты информации в системе возлагается на владельца системы. Владелец системы, в которой обрабатывается информация, являющаяся собственностью государства, или информация с ограниченным доступом , требование по защите которой установлена законом , образует службу защиты информации или назначает лиц, на которых возлагается обеспечение защиты информации и контроля за ним. О попытках и / или факты несанкционированных действий в системе по информации, являющейся собственностью государства, или информации с ограниченным доступом , требование относительно защиты которой установлена законом , владелец системы сообщает соответственно специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации или подчиненный ему региональный орган. Статья 10. Полномочия государственных органов в сфере защиты информации в системах Требования к обеспечению защиты информации, является собственностью государства, или информации с ограниченным доступом , требование по защите которой установлена законом , устанавливаются Кабинетом Министров Украины. Специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации: - разрабатывает предложения относительно государственной политики в сфере защиты информации и обеспечивает ее реализацию в пределах своей компетенции; - определяет требования и порядок создания комплексной системы защиты информации, являющейся собственностью государства , или информации с ограниченным доступом , требование относительно защиты которой установлена законом; - организует проведение государственной экспертизы комплексных систем защиты информации , экспертизы и подтверждения соответствия средств технической и криптографической защиты информации; - осуществляет контроль за обеспечением защиты информации, являющейся собственностью государства, или информации с ограниченным доступом , требование по защите которой установлена законом; - осуществляет мероприятия по выявлению угрозы государственным информационным ресурсам от несанкционированных действий в информационных, телекоммуникационных и информационно -телекоммуникационных системах и дает рекомендации по вопросам предотвращения такой угрозы. Государственные органы в пределах своих полномочий по согласованию соответственно со специально уполномоченным центральным органом исполнительной власти по вопросам организации специальной связи и защиты информации или подчиненным ему региональным органом устанавливают особенности защиты информации, являющейся собственностью государства, или информации с ограниченным доступом , требование относительно защиты которой установлена законом. Особенности защиты информации в системах , обеспечивающих банковской деятельности , устанавливаются Национальным банком Украины. Статья 11. Ответственность за нарушение законодательства о защита информации в системах Лица, виновные в нарушении законодательства о защите информации в системах , несут ответственность согласно закону . Статья 12. Международные договоры Если международным договором, согласие на обязательность которого предоставлено Верховной Радой Украины, определены иные правила, чем те, которые предусмотренные настоящим Законом , применяются нормы международного договора. Очевидно, что в организационных структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы. Организационные меры играют значительную роль в обеспечении безопасности компьютерных систем. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса. Этим мерам присущи серьезные недостатки, такие как: - низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить); - дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности. Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами. Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений персонала и пользователей системы. Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально надежной) системы защиты принципиально невозможно. Даже при допущении возможности создания абсолютно надежных физических и технических средств защиты, перекрывающих все каналы, которые необходимо перекрыть, всегда остается возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих средств (администратора АС, администратора безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое "ядро безопасности". В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать ее можно только за счет организационных (кадровых) мероприятий, законодательных и морально-этических мер. Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему защиты до конца решить не удастся. Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты. Во-вторых, даже абсолютно надежный человек может допустить случайное, неумышленное нарушение. 3 ПЛАНИРОВАНИЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Политика безопасности определяет - что нужно защищать, а процедуры защиты - как надо защищать. Поэтому после определения официальной политики безопасности следует подготовить конкретизирующие ее плановые документы, описывающие практические процедуры защиты при работе АС. Таких документов обычно два: - план защиты (security plan); - план обеспечения непрерывной работы и восстановления функционирования АС (contingency and recovery plan). План защиты — документ, определяющий текущую реализацию системы ОБИ и необходимый в повседневной работе. План защиты периодически пересматривается с целью совершенствования и приведения в соответствии с текущим состоянием АС и системы ОБИ. Указанный план необходим для следующего: - определения общих правил обработки информации в АС, ее систему ОБИ, подготовку специалистов и т.п. - фиксирования текущего состояния и состава АС и системы ОБИ, - определения должностных обязанностей и степени ответственности сотрудников. План может содержать следующие группы сведений: - общие положения, отражающие политику безопасности; - текущее состояние системы и ее уязвимость; - рекомендации по реализации системы защиты; - ответственность персонала; - порядок ввода в действие средств защиты; - порядок пересмотра средств защиты. Следует помнить, что дублирование сведений в различных документах не допустимо. То есть в планах отражаются лишь требующие конкретизации положения политики безопасности. В нашей стране стандарты и рекомендации в области информационной безопасности корпоративных сетей находятся на стадии становления. Потому основное содержание плана защиты мы рассмотрим в контексте Руководства по информационной безопасности предприятия в США. Итак, общие положения плана отражают политику безопасности и анализ риска. Это является базой выработки процедур безопасности, в деталях описывающие шаги, предпринимаемые организацией для ОБИ. Следующим разделом плана является детальное описание текущего состояния АС и ее уязвимости. Наиболее характерные уязвимости АС предприятия, на которые следует особо обратить внимание при составлении плана защиты, это: - точки доступа; - неправильно сконфигурированные системы; - программные ошибки; - внутренние враги. Следует, однако, помнить, что в каждой организации есть собственные, присущие только ей, уязвимые места: для этого и проводится анализ риска. Стержнем плана являются рекомендации по реализации системы ОБИ, т.е. реальному воплощению политики безопасности в жизнь. Рекомендации по выбору общих средств и способов защиты. Выбираемые средства защиты образуют первостепенную линию обороны. Поэтому важно, чтобы средства и способы ОБИ были выбраны правильно. Например, если самой большой угрозой для АС считается стихийные бедствия, то, видимо, нет смысла использовать биометрические устройства для аутентификации. С другой стороны, если велика опасность в несанкционированных действиях со стороны сотрудников организации, то следует сделать упор на средствах регистрации и аудита совершаемых действий. Определение стратегий защиты. Важнейшим способом защиты активов является использование нескольких различных стратегий (принцип эшелонированной обороны). Если одна линия обороны прорвана, вступает следующая стратегия. Например, хранение съемного винчестера в личном сейфе может удачно сочетаться с динамическим кодированием информации на нем. Комбинация из нескольких несложных стратегий может оказаться более прочной, чем один даже сложный метод защиты. Физическая защита. Понятно, что свободный физический доступ является плацдармом для поражения информационного ресурса предприятия. Теоретически, одни программно-аппаратные средства не обеспечивают абсолютной защиты АС. Кроме того, некоторые механизмы безопасности выполняют свои функции исключительно при условии физической защиты. Поэтому, критически важные коммуникационные каналы, серверы, системы хранения информации и другие важные компоненты АС должны находиться в физически защищенных помещениях. Выявление неавторизованной деятельности. Для этого могут использоваться следующие способы и средства: Анализ сообщений пользователей. Пользователи в своей работе сталкиваются с различными некорректными ситуациями, отдельные из которых могут свидетельствовать о неавторизованной деятельности нарушителей либо собственной оплошности. Например, пользователь (соблюдающий политику безопасности) зафиксировал более поздний вход в систему, чем был на самом деле. Или пользователь обнаружил истощение или изменение личных ресурсов (памяти на диске), неудачу при входе в систему, появление неизвестных файлов или еще что-то необычное. Отслеживание использования системы с помощью несложных пакетных файлов и программ. Такие программы можно разработать самому. К примеру, создать стандартный список пользователей и прав к ним (с помощью команд ОС) и его периодически сравнивать с текущим списком (опять же командой ОС). Обычно администратор с помощью “подручных” команд и утилит может: сравнивать текущий список активных пользователей, контролировать учетные записи с целью определения профиля использования системы (необычные записи и др.), просматривать системные средства регистрации (syslog в UNIX), контролировать сообщения об ошибках - неудачных входах, выявлять запуск программ, которые неавторизованы или к ним нет прав у нарушителя. Мониторинг системы администратором. Мониторинг представляет собой оперативное получение и анализ информации о состоянии АС с помощью специализированных средств контроля. Это является наиболее мощным средством выявления неавторизованной деятельности в режиме реального времени. Ведение и анализ регистрационного журнала системы. Это позволяет фиксировать заданные события, связанные с информационной безопасностью. Важность анализа (аудита) регистрационных журналов трудно переоценить: они важны и для обнаружения и отслеживания нарушителя, выявления слабых мест в системе защиты, оптимизации производительности и безопасности, наконец, выявления пассивных сотрудников и др. Для мониторинга и аудита обычно требуются специализированные системы контроля и сетевые анализаторы. В разделе могут быть освещены действия в случае подозрений неавторизованной деятельности, однако, подробное изложение данного вопроса представлено в плане обеспечения непрерывной работы и восстановления. Правила безопасной работы персонала. Обычно правила делятся в соответствии с категориями персонала, а именно: - правила безопасной работы, различные действия, процедуры докладов пользователей, - правила администрирования, конфигурационного управления, процедуры сохранения/восстановления, процедуры докладов администраторов. Ресурсы для предупреждения нарушений безопасности. В данном разделе описываются программные, аппаратные и процедурные ресурсы, реализующие политику безопасности. Интегрированная система безопасности корпоративной сети обычно включает следующие средства: - системы и средства аутентификации (действия администратора, запрос-ответные парольные системы, система Kerberos, интеллектуальные карты и др.); - средства обеспечения целостности информации (контрольные суммы, иммитовставки, хеширование); - средства обеспечения конфиденциальности (шифрование) и средства аутентификации источника данных (электронная подпись); - сетевые соединения, межсетевые экраны и средства ограничения сетевого доступа (шлюзовые маршрутные таблицы, фильтрующие маршрутизаторы). Особо в плане могут быть выделены типы процедур безопасности АС предприятия. Перечислим наиболее типичные процедуры защиты информации: - проверка системной безопасности. Элементом таких проверок является ревизия политики безопасности и защитных механизмов. Примерами могут быть плановые учения и отдельные проверки некоторых процедур. - процедуры управления счетами. Это необходимо для предотвращения несанкционированного доступа к системе. Должны быть процедуры управления счетами и администраторов и пользователей. Администратор отвечает за заведение, удаление счетов и осуществляет общий контроль. Пользователь может контролировать - пользовался ли кто-нибудь его счетом. - процедуры управления паролями (процедуры выбора пароля и смены пароля). - процедуры конфигурационного управления. После рекомендаций по реализации защиты в плане могут быть конкретизирована ответственность и обязанности персонала. Заканчивается план определением общих вопросов жизненного цикла системы защиты: внедрение, эксплуатация, сопровождение и снятие с эксплуатации. Здесь могут быть определены сроки и периодичность проверки систем защиты в соответствии с порядком пересмотра политики безопасности и анализа риска. Частью реакции на нарушения безопасности является предварительная подготовка ответных мер. Под этим понимается поддержание должного уровня защиты так, чтобы ущерб мог быть ограничен, а в дальнейшем исключен. Указанный план определяет действия персонала АС в критических ситуациях с целью обеспечения непрерывной работы и восстановления функционирования АС. Он должен исключить двусмысленности, возникающие во время инцидента. Необходимость указанного плана диктуется следующим: - предотвращением угрозы жизни людей, - экономическими целями, - требованиями по защите секретной, критически важной (особенно невосстановимой) информации, - нежелательной оглаской в прессе, - правовым аспектом (например, возможно преследование организации в судебном порядке). Кроме того, наличие плана благотворно влияет на моральную обстановку в коллективе. Руководство знает, что при неблагоприятных условиях не придется начинать все сначала, пользователи уверены - какая-то часть их труда будет сохранена. Обычно план состоит из двух частей, описывающих: - меры реагирования на нарушения безопасности. - восстановительные работы. 3.1 Методика построения корпоративной системы защиты информации Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) компаний наверняка задавалось вопросом: “Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?”. Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции и законам, руководящим документам ГСССЗИ, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI4 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании. Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании. Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации. Во-вторых, разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо: - обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; - выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы; - определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации; - разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий; - обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса . 3.2 Разновидности аналитических работ по оценке защищенности Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям: 1) “Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков”; 2)“Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании”; 3) “Организационно-технологический анализ ИС компании”; 4) “Экспертиза решений и проектов”; 5) “Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации”; 6) “Работы, поддерживающие практическую реализацию плана защиты”; 7) “Повышение квалификации и переподготовка специалистов”. Краткое описание каждого из них: Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов ГСССЗИ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление. Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными, и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании). Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории “конфиденциально” на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности (ИБ) и положение о коммерческой тайне должны соответствовать действующему законодательству, а именно требованиям Конституции, ст.ст. 128 и 139 Гражданского кодекса, закона “Об информации, информатизации и защите информации”, закона “Об участии в международном информационном обмене”, других нормативных актов. Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем – требованиям по безопасности экспертно-документальным методом. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления: - анализ документооборота компании категории “конфиденциально” на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации; - поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне. Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем: - разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети; подготовка компании к аттестации (к аттестации объектов информатизации заказчика на соответствие требованиям руководящих документов ГСССЗИ, а также на соответствие требованиям безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности компании); - разработка расширенного перечня сведений ограниченного распространения как части политики безопасности; - разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне; - поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях. Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности. Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании. На рисунке 1 представлена модель построения корпоративной системы защиты информации. Рис. 1. Модель построения корпоративной системы защиты информации Представленная модель защиты информации – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. 3.3 Формирование организационной политики безопасности Прежде чем предлагать какие-либо решения по системе информационной безопасности, предстоит разработать политику безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком. Прежде всего, необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут распределяться на правовые, технологические, технические и организационные. Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями “базовая”, “средняя”, “высокая”. Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего. Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде. В общем виде разработка ТД включает: - уточнение функций защиты; - выбор архитектурных принципов построения СИБ; - разработку логической структуры СИБ (четкое описание интерфейсов); - уточнение требований функций обеспечения гарантоспособности СИБ; -разработку методики и программы испытаний на соответствие сформулированным требованиям. На этапе оценки достигаемой защищенности производится оценка меры гарантии безопасности информационной среды. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта. Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает: - значительное число элементов информационной среды объекта, участвующих в процессе оценивания; - расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности; - строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия. ПЭМИН ПО ЦЕПЯМ ЭНЕРГООБЕСПЕЧЕНИЯ Условия и причины образования канала утечки информации по цепям питания: Провода сети питания соединяют различные технические средства и системы, размещенные в различных помещениях, кроме того они являются линейными антеннами, способными излучать или воспринимать электромагнитные поля. При использовании сети питания как соединяющих проводников чаще всего применяют так называемые сетевые "закладки". К этому типу "закладок" относят устройства, которые встраиваются в приборы, питающиеся от сети 220 В или сетевую арматуру (розетки, удлинители и т.д.). Передающее устройство состоит из микрофона, усилителя и собственно передатчика несущей низкой частоты. Частота несущей обычно используется в диапазоне от 10 до 350 кГц. Передача и прием осуществляется по одной фазе или, если фазы разные, то их связывают по высокой частоте через разделительный конденсатор. Приемное устройство может быть изготовлено специально, но иногда применяют доработанные блоки бытовых переговорных устройств. Сетевые передатчики подобного класса легко камуфлируются под различного рода электроприборы, не требуют дополнительного питания от батарей и трудно обнаруживаются при использовании поисковой аппаратуры, широко применяемой в настоящее время. При использовании сети питания в качестве линейных антенн различают асимметричные и симметричные наводки. Ассиметричные наводки имеют место, когда провода сети питания источника и приемника наводки прокладываются вместе и имеют одинаковые емкости относительно источника и приемника наводки. В них наводятся одинаковые по величине и по фазе относительно земли и корпусов приборов напряжения. Эти виды распространения наводок по сети питания являются ассиметричными или однопроводными, поскольку оба провода сети питания передают сигнал наводки в одном направлении. Обратным проводом является земля. Симметричное распространение наводки имеет место в случае, когда на проводах сети индуцируются различные напряжения относительно земли. Между проводами образуется высокочастотная разность потенциалов, и по проводам сети проходят токи наводки в разных направлениях. В приемнике наводки индуцируются равные по величине и обратные по знаку напряжения, которые не могут проникнуть в высокочастотную часть приемника и не являются опасными. Вторичные источники питания совместно с подводящими питание линиями могут создавать условия для утечки информации, циркулирующей в питаемом техническом средстве. Колебание амплитуды информационных сигналов приводит к неравномерности потребления тока в цепи питания оконечных каскадов усилителей ТС, что, в свою очередь, приводит к колебаниям напряжения на внутреннем сопротивлении источника вторичного питания. Для защиты информации от утечки по цепям электропитания, используют активные и пассивные методы. В пассивным относятся: сетевые фильтры и трансформаторы. К активным относится заземление. ПОБОЧНЫЕ ИЗЛУЧЕНИЯ ОТ КОМПЬЮТЕРА Анализ состояния дел в области защиты информации показывает, что в промышленно развитых странах мира уже сложилась вполне оформившаяся инфраструктура защиты информации (ЗИ) в системах обработки данных. И тем не менее, количество фактов злоумышленных действий над информацией не только не уменьшается, но и имеет достаточно устойчивую тенденцию к росту. Среди всех возможных каналов утечки информации наибольшую опасность в России в ближайшее время, очевидно, будут представлять технические каналы. Такое предположение основывается на следующих фактах: - наличии большого числа технически грамотных специалистов, знания и навыки которых не востребованы вследствие тяжелого экономического положения; - выхода на рынок западных фирм - производителей аппаратуры для технического шпионажа; - недостаточного внимания, а чаще всего просто игнорирования проблем безопасности информации со стороны зарождающегося бизнеса. В этой связи представляется целесообразным более подробное освещение в литературе возможных технических каналов утечки информации, а главное методов и аппаратуры противодействия техническому шпионажу. Сегодня уже не для кого не секрет, что наряду с такими "обычными" техническими каналами утечки информации, как установла радиомикрофонов, подключение к ли связи, акустическое подслушивание, дистанционное фотографирование и т.д., существует еще и радиотехнический канал утечки информации из средств вычислительной техники. Электромагнитные излучения персональных компьютеров: Проблема утечки информации из вычислительной техники (ВТ) через побочные электромагнитные излучения и наводки (ПЭМИН) известна специалистам уже на протяжении более чем 20 лет. И только в последние несколько лет она стала обсуждаться на страницах открытой литературы. Это связано прежде всего с широчайшим распространением персональных компьютеров (ПК). Практически любая организация, будь это коммерческая фирма или государственное предприятие, сегодня не может существовать без применения этого вида ВТ. Работа персонального компьютера, как и любого другого электронного устройства, сопровождается электромагнитными излучениями радиодиапазона. Для ПК эти излучения регистрируются в диапазоне до 1 ГГц с максимумом в полосе 50 МГц-300 МГц. Такой широкий спектр излучения объясняется тем, что в устройствах ВТ информацию переносят последовательности прямоугольных импульсов малой длительности. Поэтому непреднамеренное излучение будет содержать составляющие с частотами, как первых гармоник, так и гармоник более высоких порядков. К появлению дополнительных составляющих в побочном электромагнитном излучении приводит и применение в ВТ высокочастотной коммутации. Говорить о какой-либо диаграмме направленности электромагнитных излучений ПК не приходится, так как на практике расположение его составных частей (системный блок, монитор, соединительные кабели и провода питания) относительно друг друга имеет неограниченное число комбинаций. Поляризация излучений ПК - линейная. В конечном счете, она определяется расположением соединительных кабелей, так как именно они являются основными источниками излучений в ПК, у которых системный блок имеет металлический кожух. Кроме излученного электромагнитного поля вблизи работающего ПК существуют квазистатические магнитные и электрические поля, быстро убывающие с расстоянием, но вызывающие наводки на любые проводящие цепи (металлические трубы, телефонные провода, провода системы пожарной безопасности и т.д.). Эти поля существенны на частотах от десятков килогерц до десятков мегагерц. Что касается уровней побочных электромагнитных излучений ВТ, то они регламентированы с точки зрения электромагнитной совместимости целым рядом зарубежных и отечественных стандартов, Так, например, согласно публикации N22 CISPR (Специальный Международный Комитет по Радиопомехам) для диапазона 230-1000 МГц уровень напряженности электромагнитного поля, излучаемого оборудованием ВТ, на расстоянии 10 метров не должен превышать 37 dB. Очевидно, что этот уровень излучения достаточен для перехвата на значительных расстояниях. Таким образом, соответствие электромагнитных излучений средств ВТ нормам на электромагнитную совместимость не является гарантией сохранения конфиденциальности обрабатываемой в них информации. Восстановление информации при перехвате ПЭМИН: Самым мощным источником излучения в ПК является система синхронизации. Однако перехват немодулированных гармоник тактовой частоты вряд ли сможет кого-нибудь заинтересовать. При использовании для перехвата ПЭМИН обычного бытового радиоприемника возможно распознавание на слух моментов смены режимов работы ПК, обращения к накопителям информации на жестком и гибком магнитных дисках, нажатия клавиш и т.д. Но подобная информация может быть использована только как вспомогательная и не более. Таким образом, не все составляющие побочного излучения персональных компьютеров являются опасными с точки зрения реального перехвата обрабатываемой в них информации. Для восстановления информации анализ лишь уровня электромагнитных излучений недостаточен, нужно еще знать их структуру. Поэтому в техническом плане проще всего решается задача перехвата информации, отображаемой на экране дисплея ПК. Информация, отображенная на экране дисплея, может быть восстановлена в монохромном виде с помощью обыкновенного телевизионного приемника. При этом на экране телевизионного приемника изображение будет состоять из черных букв на белом фоне, а на экране дисплея ПК - из белых букв на черном фоне. Это объясняется тем, что в отличие от дисплея максимум видеосигнала в телевизионном приемнике определяет уровень черного, а минимум - уровень белого. Выделение из ПЭМИН ПК информации о сигнале синхронизации изображения представляет собой довольно сложную техническую задачу. Гораздо проще эта проблема решается использованием внешних перестраиваемых генераторов синхросигналов. Даже при использовании обычных комнатных телевизионных антенн (например, типа "Маяк") перехват информации может быть осуществлен на расстояниях порядка 10-15 метров. При использовании направленных антенн с большим коэффициентом усиления дальность перехвата возрастает до 50-80 метров. При этом лучшее качество восстановления информации соответствует текстовым изображениям. Современный уровень развития электроники позволяет изготовить подобные устройства перехвата информации небольших размеров, что обеспечит необходимую скрытность их работы. Способы предотвращения утечки информации через ПЭМИН ПК В качестве технических способов исключения возможностей перехвата информации за счет ПЭМИН ПК можно перечислить следующие: - доработка устройств ВТ с целью минимизации уровня излучений; -электромагнитная экранировка помещений, в которых расположена вычислительная техника; - активная радиотехническая маскировка. Доработка устройств ВТ осуществляется организациями, имеющими лицензии ФАПСИ или Гостехкомиссии. Используя различные радиопоглощающие материалы и схемотехнические решения, удается существенно снизить уровень излучений ВТ. Стоимость подобной доработки зависит от размера требуемой зоны безопасности и колеблется в пределах 20-70% от стоимости ПК. Электромагнитная экранировка помещений в широком диапазоне частот является сложной технической задачей, требует значительных капитальных затрат и не всегда возможна по эстетическим и эргономическим соображениям. Активная радиотехническая маскировка предполагает формирование и излучение в непосредственной близости от ВТ маскирующего сигнала. Различают энергетический и неэнергетический методы активной маскировки. При энергетической маскировке излучается широкополосный шумовой сигнал с уровнем, существенно превышающим во всем частотном диапазоне уровень излучений ПК. Одновременно происходит наводка шумовых колебаний в отходящие цепи. Возможности энергетической активной маскировки могут быть реализованы только в случае, если уровень излучений ПК существенно меньше норм на допускаемые радиопомехи от средств ВТ. В противном случае устройство активной энергетической маскировки будет создавать помехи различным радиоустройствам, расположенным поблизости от защищаемого средства ВТ, и потребуется согласование его установки со службой радио контроля. Из устройств активной энергетической маскировки наиболее известны: "Гном", "Шатер", "ИнейT, "Гамма". Их стоимость достигает 25- 30% от стоимости ПК. При установке такого устройства необходимо убедиться в достаточности мер защиты, так как в его частотной характеристике возможны провалы. Для этого потребуется привлечение специалистов с соответствующей измерительной аппаратурой. Неэнергетический, или его еще можно назвать - статистический, метод активной маскировки заключается в изменении вероятностной структуры сигнала, принимаемого приемником злоумышленников, путем излучения специального маскирующего сигнала. Исходной предпосылкой в данном методе является случайный характер электромагнитных излучений ПК. В качестве вероятностным характеристик применяются матрицы вероятностей переходов и вектор абсолютных вероятностей состояний. Сформированный с помощью оригинального алгоритма сигнал излучается в пространство компактным устройством, которое может устанавливаться как на корпусе самого ПК, так и в непосредственной близости от него. Уровень излучаемого этим устройством маскирующего сигнала не превосходит уровня информативных электромагнитных излучений ПК, потому согласования установки маскирующего устройства со службой радио контроля не требуется. Более того подобные устройства в отличие от устройств активной энергетической маскировки не создают ощутимых помех для других электронных приборов, находящихся рядом с ними, что также является их неоспоримым преимуществом. Установка и включение устройств активной маскировки, реализующих статистический метод, могут бать произведены без каких-либо трудоемких монтажных работ. Устройство не требует квалифицированного обслуживания, его надежная работа гарантируется встроенной схемой контроля работоспособности. Следует отметить, что в случаях: доработки устройств ВТ, электромагнитной экранировки помещений и активной энергетической маскировки - показателем защищенности является отношение сигнал/шум, обеспечиваемое на границе минимально допустимой зоны безопасности. Максимально допустимое отношение сигнал/шум рассчитывается в каждом конкретном случае по специальным методикам. При активной радиотехнической маскировке с использованием статистическом метода в качестве показателя, характеризующем защищенность, применяется матрица вероятностей переходов. В случае идеальной защищенности эта матрица будет соответствовать матрице вероятностей переходов шумового сигнала, все элементы которой равны между собой. Заключение, несмотря на то, что для большинства руководителей предпринимательских структур утечка конфиденциальной информации из используемой ВТ через ПЭМИН кажется маловероятной, такой канал перехвата информации все же существует, а это значит, что рано или поздно кто-то им все-таки воспользуется. Особую остроту эта проблема приобретает для коммерческих фирм, офисы которых занимают одну или несколько комнат в здании, где кроме них размещаются другие организации. Универсального, на все случаи жизни, способа защиты информации от перехвата через ПЭМИН ПК, конечно же, не существует. В каждом конкретном случае специалистами должно приниматься решение о применении того или иного способа защиты, а возможно и их комбинации. И все же для большинства малых и средних фирм оптимальным способом ЗИ с точки зрения цены, эффективности защиты и простоты реализации представляется активная радиотехническая маскировка. Змн. Арк. № докум. Підпис Дата Арк. РТС 3.081.018 ПЗ |
| Посетителей: 0, из них зарегестрированных: 0, гостей: 0 Зарегистрированные пользователи: Подробно | Страница сгенерирована за 0.0647 сек. |
