Главная » Разное

Способы проверки системы безопасности

Проверка системы защиты информации

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки.

В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты. После того как сформирован возможный сценарий действий нарушителя, возникает необходимость проверки системы защиты информации.

Такая проверка называется «тестирование на проникновение».

Цель — предоставление гарантий того, что не существует простых путей для неавторизованного пользователя обойти механизмы защиты. Один из возможных способов аттестации безопасности системы — приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку.

Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Наряду с таким способом используются программные средства тестирования.

Составление плана защиты информации

На этом этапе в соответствии с выбранной политикой безопасности разрабатывается план ее реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем предприятия (организации).

Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.

План защиты информации на объекте должен включать:

• описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);

• цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;

• перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

• политику информационной безопасности;

• план размещения средств и функциональную схему системы защиты информации на объекте;

• спецификацию средств защиты информации и смету затрат на их внедрение;

• календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;

• основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц АС);

• порядок пересмотра плана и модернизации средств защиты.

Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:

— изменения архитектуры информационной системы (подключение других локальных сетей, рассредоточение узлов АС, изменение или модификация используемых средств вычислительной техники или ПО);

— изменения территориального расположения компонентов АС. В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях.

Такой план называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:

• цель обеспечения непрерывности процесса функционирования АС, восстановления ее работоспособности и пути ее достижения;

• перечень и классификация возможных кризисных ситуаций;

• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);

• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального функционирования системы. Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:

• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

Читайте также:  Особенности производства творога кислотно сычужным способом

• определение порядка разрешения споров в случае возникновения конфликтов.

Исходя из того, что план защиты информации представляет собой пакет текстуально-графических документов, необходимо отметить, что наряду с приведенными компонентами этого пакета в него могут входить:

— положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;

— положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.

Реализация плана защиты информации (управление системой защиты информации)

На данном этапе, прежде всего, проводятся разработка необходимых документов, заключение договоров с поставщиками, монтаж и настройка оборудования и т. д. После того как сформирована система защиты информации, решается задача ее эффективного использования, а значит, управления безопасностью.

Управление (management, control) — процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе. Управление информационной безопасностью должно быть: — устойчивым к активным вмешательствам нарушителя; — непрерывным, обеспечивающим постоянное воздействие на процесс защиты; — скрытным, не позволяющим выявлять организацию управления защитой информации; — оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.

Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий решения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений. Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений.

В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности. Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации.

Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.

Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации адаптировать абстрактные положения к своей конкретной предметной области (предприятию, организации, банку), в которых всегда найдутся свои особенности и тонкости этого непростого ремесла.

Можно быть уверенным, что система защиты информации, построенная в соответствии с приведенными выше рекомендациями и оцененная по предложенным показателям и критериям, станет вашим верным помощником в решении проблем информационной безопасности.

Источник

Способы проверки системы безопасности

5. Проверка системы защиты информации

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.
Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности и соблюдения конфиденциальности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности не сможет предотвратить утечку информации.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, состоящие из представителей всех лиц, участвующих в работе с конфиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации, предприятия через специальные подразделения обеспечения безопасности.
На конкретных объектах при контроле эффективности защиты, обеспечиваемой конкретными средствами защиты информации, может иметь место значительное разнообразие задач проверки. Так на одном объекте, может быть, достаточно осуществить проверку эффективности экранирования, на другом — проверить эффективность шумовой защиты, а на третьем — необходимо убедиться, что излучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). Аналогичное имеет место и при проверке эффективности защиты информации от несанкционированного доступа: на одном объекте используется, например, монопольный режим обработки подлежащей защите информации, а на другом — программная защита. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств.
Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее значение на эффективность защиты от несанкционированного доступа (НСД). Это связано с тем, что при неправильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффективности защиты с контроля организационно-режимных мер и средств защиты. Далее последовательность проверки может быть произвольной.
Организация и проведение проверки организационных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникновение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возможных нарушений, что может оказать существенную помощь в организации проверки.
Эффективность защиты на объекты обеспечивается, как известно, в соответствии с категорией важности этого объекта. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации.
Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно-измерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уровень за пределами охраняемой территории объекта.
Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности технических средств обретает значительную важность, от которой в прямой зависимости находится качество и безопасность защиты.

Читайте также:  Способы очистки сточных труб

Оценка эффективности вариантов построения защиты

После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.
Задача оценки вариантов построения системы зашиты информации достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К таким методам относятся метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд подобных им.

Тестирование системы защиты

Такая проверка называется «тестирование на проникновение». Согласно “Оранжевой книге”, его целью является предоставление гарантий того, что в автоматизированной системе не существует простых путей для неавторизованного пользователя обойти механизмы защиты.
Для этого выделяется группа из двух человек, имеющих высшее специальное образование. Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты.
Для гарантии объективности тестирования проверяющие должны быть достаточно профессиональны и независимы.
Один из возможных способов аттестации безопасности системы — приглашение хакеров взломать ее, не уведомляя предварительно персонал сети. Наемные хакеры (или антихакеpы) по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты.

Наряду с таким способом используются профессиональные средства тестирования.
Примером средства такого рода может служить набор SafeSuite , распространяемый фирмой Internet Security Systems, включающий в себя программы проверки безопасности как автономной ЭВМ, так и ЭВМ в сети, брандмауэра и Web-сеpвеpа. Принцип работы программы проверки безопасности ЭВМ в сети состоит в сканировании всех ЭВМ в сети и в проверке наличия у них известных уязвимых мест в Unix-системах. Обновляется же программа потому, что список уязвимых мест постоянно пополняется.
Фирма Intrusion Detection Inc. разработала программу KSA, которая запускаясь на рабочей станции ЛВС, выполняет ряд проверок в следующих областях: корректность предоставления прав пользователям, слабость паролей, правильную настройку средств управления доступом, мониторинг сети, целостность данных и конфиденциальность данных. Результаты выдаются в виде обобщенных оценок, не требуя от пользователя глубоких технических знаний.
Для NT появилась пpогpамма подбоpа паpоля, запускаемая на самом сеpвеpе, котоpая позволяет выявить легко угадываемые паpоли, pаботающая со скоpосью 6000 паpолей в минуту. Есть пpогpамма получения доступа к сеpвеpу пpи утpате паpоля администpатоpа.
Что касается пpогpамм типа вскpытия паpоля файла Word или Access, то есть специальный www-сеpвеp антимайкpософтовских хаккеpов, собиpающих пpогpаммы взлома для пpодуктов Microsoft и пpедлагающих их желающим.
С появлением средств тестирования появились и средства препятствующие самому тестированию. В этом проявляется диалектика развития всех явлений природы.

Читайте также:  Способы освоения социального опыта

В заключении этого раздела необходимо отметить, что, как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную подсистему контроля и защиты информации.
Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль за поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи. При этом следует учитывать, что такая подсистема должна создаваться параллельно с АСУ начиная с момента выработки общего замысла построения и проектирования последней.
Выбор количества и содержания мероприятий обеспечения безопасности информации, а также способов их реализации осуществляется с учетом имеющихся средств и методов применительно к конкретной АСУ. Кроме того, поскольку технические методы, меры и средства составляют лишь незначительную часть (около 20%) всех возможных (основную часть составляют организационные), необходимо достаточно строгое обоснование технических требований к подсистеме контроля и защиты информации от искажения при переработке, разрушения при эксплуатации, раскрытия и модификации при несанкционированном доступе и использовании.
Сложившаяся на сегодняшний день в развитых капиталистических странах практика обеспечения безопасности конфиденциальной информации фирм и компаний прошла путь от чисто административных ограничительных режимных мер, планомерного обучения персонала приемам и методам защиты закрытой информации, использования психологических аспектов защиты коммерческой тайны к пониманию того, что только в сочетании этих направлений с научным, системным подходом к разработке и реализации программ фирм по защите информации можно добиться успеха в обеспечении надежной сохранности производственных, коммерческих и интеллектуальных секретов.
Для проведения полного анализа и управления рисками существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования ( SSADM — Structured Systems Analysis and Design ), которые обеспечивают:

  • построение модели информационной системы с точки зрения информационной безопасности;
  • методы для оценки ценности ресурсов;
  • инструментарий для составления списка угроз и оценки их вероятностей;
  • выбор контрмер и анализ их эффективности;
  • анализ вариантов построения защиты;
  • документирование (генерацию отчетов).

В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них CRAMM.
В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (ССТА) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям ССТА. Он получил название CRAMM – Метод ССТА Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, “коммерческий профиль”, является коммерческим продуктом.

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

  • убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
  • избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
  • оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
  • обеспечить проведение работ в сжатые сроки;
  • автоматизировать процесс анализа требований безопасности;
  • представить обоснование для мер противодействия;
  • оценивать эффективность контрмер, сравнивать различные варианты контрмер;
  • генерировать отчеты.

В настоящее время CRAMM является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.