Рекомендации по созданию корпоративной системы информационной безопасности
Дата: 08/11/2005
Тема: Защита информации




Построенная в форме отдельных рекомендаций статья адресована, прежде всего, коллегам – специалистам подразделений защиты информации (ЗИ).

На какие бы мы не встали ходули,
без своих ног не обойдемся.
П.Буаст

Подход к созданию СИБ

Первой (и во многом определяющей судьбу проекта) проблемой, с которой вы, возможно, столкнетесь, приняв решение о модернизации СИБ, станет недооценка руководством бизнес-рисков, порожденных информационными технологиями (ИТ). Естественным исключением будут компании, понесшие убытки в результате компьютерных преступлений, вирусных эпидемий или неосторожных действий сотрудников, а также компании, в которых информационной безопасности уделяется самое серьезное внимание.

Сразу отметим, что нормативные акты в отношении конфиденциальной информации, относящейся к негосударственным информационным ресурсам, носят рекомендательный характер. Для нее собственник сам определяет уровень защиты с учетом затрат на организацию защиты информации и возможных потерь в результате несанкционированного доступа (НСД). К сожалению, информационная безопасность относится к тем областям, где заранее количественно оценить ущерб и соответственно обосновать потребности в средствах защиты информации (СЗИ) чрезвычайно сложно. Для этого как минимум необходимо знать: стоимость корпоративных ресурсов и вероятности угроз. Экономический анализ, в силу большого количества параметров, которые необходимо учесть, слабой формализуемости процессов доступа, отсутствия статистики, весьма трудоемок, а его результаты могут быть легко оспорены оппонентами. Вместо этого предлагается провести категорирование информационных ресурсов с локализацией конфиденциальной информации, составляющей служебную, коммерческую, банковскую тайну и персональные данные. Для обследования информационных ресурсов необходимо привлечь специалистов по управлению производством, управлению компанией, финансовый менеджмент. Далее рекомендуется определить регламент предоставления доступа и использования конфиденциальной информации, сферы ответственности подразделений и отдельных лиц за ее защиту, порядок восстановления в чрезвычайных ситуациях, контроля доступа и реагирования на инциденты, основные функции защиты информации, которые необходимо реализовать. Вышеперечисленные положения рекомендуется объединить в отдельный документ – политику безопасности предприятия. Политика безопасности должна быть утверждена руководством компании. Этот документ должен быть написан на понятном для непрофессионалов в информационных технологиях языке. При этом он должен быть конкретным. Документированная политика безопасности, одобренная вашим руководством, по-существу, становится корпоративным стандартом информационной безопасности, на основе которого разрабатываются другие организационно-распорядительные документы по ЗИ, а также основанием для проектирования СИБ и приобретения СЗИ, реализующих эту политику.

Другая возможная проблема модернизации СИБ может быть вызвана негативным отношением к этому процессу со стороны системных администраторов. Обычно такая позиция обосновывается следующим:

– информация, обрабатываемая в корпоративной информационной системе (КИС), не нужна конкурентам;

– персонал, обслуживающий КИС, за годы работы доказал свою благонадежность и контроль за его действиями не требуется;

– СЗИ замедляют работу и снижают надежность КИС (программно-технические компоненты СЗИ плохо интегрируются в КИС);

– применение таких механизмов защиты как шифрование, может привести к потере информации из-за невозможности ее восстановления после сбоя;

– СЗИ достаточно дорогие и целесообразнее направить выделяемые на них средства на развитие ИТ.

Перечисленное дополним опасением «системщиков» безвозвратно потерять привилегию бесконтрольно распоряжаться сетью.

Чтобы избежать явного и скрытого противодействия системных администраторов, рекомендуем для обоснования требований прибегнуть к уже упомянутому документу – политике безопасности предприятия, а при выборе конкретных СЗИ подразделению ЗИ согласовывать свои решения с подразделением ИТ. Системный администратор лучше остальных знает свою корпоративную информационную систему, ему же придется обслуживать внедряемые СЗИ и поэтому стоит внимательно прислушаться к его советам по выбору, а также применению СЗИ в составе КИС. Устанавливаемые системы и средства защиты должны способствовать наведению порядка в сети, в котором заинтересованы все стороны. Желательно также, чтобы помимо своей основной функции СЗИ решало бы задачу повышения эффективности работы системных администраторов за счет предоставления дополнительной информации о сети и пользователях, уменьшения рутинных операций.

Возможные пути проектирования и внедрения СИБ

Хорошо известно, что проектирование КИС сразу в защищенном исполнении гораздо экономичнее, чем встраивание СЗИ в уже функционирующую систему, поэтому внедрение СИБ обойдется дешевле, если оно будет проводиться в рамках комплексной модернизации КИС. В результате модернизации КИС улучшается ее структурированность, однородность и управляемость и тем самым создаются условия для более рационального и эффективного использования СЗИ. При этом предоставляется редкая возможность повлиять на выбор сетевой топологии, протоколов и технологий с учетом требований информационной безопасности.

Необходимо позаботиться о включении в состав технического задания раздела с требованиями по защите информации, а в состав сметы на проект – расходов на приобретение средств защиты информации и контроля информационной безопасности.

Важным требованием является обеспечение изоляции потоков закрытой информации от остального трафика. Это может быть выполнено как созданием физически изолированного сегмента с минимальным количеством точек доступа из других частей КИС и обеспечением контроля прохождения пакетов в этих точках, так и, в случае разбросанности компьютеров с конфиденциальной информацией по всей сети, – применением технологии виртуальных локальных сетей (VLAN). Большинство современных коммутаторов и маршрутизаторов обеспечивают поддержку VLAN и списков доступа. Традиционно самым сложным является определение состава VLAN, потребностей во взаимодействии с другими VLAN и в доступе к общим сетевым ресурсам и сервисам (эту задачу должен решить заказчик на основе анализа существующих бизнес-процессов). При выборе сетевого оборудования следует учитывать поддержку им сервисов безопасности. Сетевое оборудование, как правило, рассчитано на длительный срок эксплуатации. Даже, если эти сервисы в настоящее время не находят применения, они могут быть востребованы в перспективе.

Для выполнения проекта необходимы исходные данные. Если ваша КИС представляет сложную многопользовательскую территориально распределенную систему, потребуется проведение предпроектного обследования объекта защиты, в ходе которого должны быть исследованы:

– организационная структура компании;

– основные бизнес-процессы;

– корпоративные системы;

– состояние информационной инфраструктуры (топология, активное оборудование, основные сервера, методы сетевого управления);

– границы защищаемой системы, точки и параметры взаимодействия с внешними системами;

– информационные потоки с локализацией конфиденциальной информации, обрабатываемой в КИС;

– документированная политика безопасности и применяемые СЗИ;

– статистика нарушений безопасности и результаты расследования инцидентов.

С помощью программ анализа защищенности (сканеров безопасности) выполняется тестирование основных сетевых устройств и систем КИС на наличие известных уязвимостей.

Цели обследования не ограничиваются только разработкой исходных данных для технического проекта, но и включают также задание требований к будущей СИБ. В полном соответствии с комплексным подходом требования должны быть заданы на основании анализа потенциальных угроз и оценки рисков. При формировании требований можно опираться на ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий» («Общие критерии»).

Риски определяются экспертным путем. В конечном счете, результат определяется не выбором методики, а квалификацией эксперта. Анализ рисков поможет вам определить состав подсистем СИБ, круг технических решений, которые составят основу будущей СИБ, а также сформировать требования к этим решениям. Как мы видим, обследование крупной системы – это сложный, трудоемкий процесс, в котором будет задействовано большое количество людей. Поэтому необходимо заранее отработать методики, формы электронных анкет, предусмотреть способы автоматизированной обработки данных. Проведение обследования должно быть узаконено решением руководителя компании, в котором должны быть определены задачи, сроки, принимающие участие подразделения и их обязанности. Обследование может быть поручено внешней организации (обычно исполнителю проекта) или выполнено самостоятельно. Преимущества первого варианта: привлечение высококвалифицированных специалистов, применение апробированных методик и дорогих коммерческих инструментальных средств. К достоинствам второго варианта относятся: лучшее знание объекта и соответственно способность лучше оценить риски, отсутствие жестких временных ограничений на проведение работы, экономия средств для приобретения СЗИ. На собственном опыте мы убедились, что укомплектованному опытными специалистами подразделению ЗИ вполне под силу справиться с этой задачей. Если у вас большая организация, постороннему лицу потребуется много времени, чтобы разобраться во взаимодействиях подразделений, бизнес-деятельности, корпоративной ИТ-инфраструктуре и т.д., чтобы обследование не носило формальный характер, а отчет не выглядел как типовой. Вряд ли сторонняя организация сможет в течение длительного времени выделять высокооплачиваемых экспертов для решения одной вашей задачи. Поэтому основная нагрузка все равно ляжет на ваши плечи. Отсутствие коммерческих сканеров безопасности вы можете восполнить свободно распространяемым, сертифицированным Гостехкомиссией РФ, программным продуктом этого назначения Nessus или отечественным сканером xSpider.

Основными критериями выбора системного интегратора для разработки и реализации технического проекта являются:

– доминирующее положение на рынке услуг информационной безопасности (солидный опыт, крупные реализованные проекты, большой штат специалистов);

– возможность поставки комплексных решений, широкая линейка предлагаемых технических решений;

– высокий уровень сервисного обслуживания (гарантийное и постгарантийное обслуживание, горячая линия технической поддержки, в т.ч. решение проблемы клиента с выездом на место, обучение специалистов);

– сроки и стоимость работ;

– наличие необходимых лицензий Гостехкомиссии РФ.

Техническая поддержка СИБ

Техническая поддержка вновь созданной или модернизированной СИБ будет, скорее всего, поручена специалистам подразделения ИТ, как наиболее квалифицированным в этой области и отвечающим за бесперебойность функционирования КИС (элементом которой является СИБ) в целом. При этом необходимо разграничить обязанности системного администратора и администратора безопасности. Практика совмещения обеих функций у одного лица, на которую иногда идет руководство, чтобы не раздувать штаты или по какой-либо другой причине, в большинстве случаев себя не оправдывает. И дело здесь не только в большой загруженности системного администратора, но и в известном конфликте интересов. Действия администратора безопасности направлены на затруднение проведения атак на информационные ресурсы путем ужесточения правил доступа, что для системного администратора оборачивается дополнительной головной болью: настройкой параметров контроля доступа ОС, СУБД, необходимостью регулярной смены паролей, проведением воспитательных бесед с пользователями. Для любого системного администратора на первом месте бесперебойная работа КИС, а уже затем просмотр системных журналов, контроль действий пользователей, выявление потенциальных каналов утечки. Разрешить этот конфликт можно только с вводом в составе подразделения ЗИ штатной должности – администратора безопасности. Оставив за системным администратором администрирование компонентов СИБ и возложив на администратора безопасности мониторинг информационной безопасности, выявление уязвимостей в системных сервисах, протоколах, операционных системах, реагирование на нарушения и проведение расследований по этим фактам, мы, с одной стороны, повысим достоверность оценки состояния информационной безопасности и оперативность реагирования на инциденты, а с другой – сконцентрируем техническое обслуживание СИБ в одних руках.

Возможен еще один вариант – передача обслуживания СИБ внешней фирме (аутсорсинг). Данная услуга, судя по публикациям, пока еще мало востребована и, по всей видимости, доступна лишь небольшим состоятельным компаниям. Вряд ли в ближайшем будущем можно ожидать заметного возрастания доли аутсорсинговых услуг (в части обслуживания СИБ) на рынке информационной безопасности: слишком очевидны проблемы, связанные с их обеспечением. Это: высокая цена, доверие корпоративных секретов постороннему лицу, необходимость создания защищенного канала для удаленного мониторинга и администрирования, необходимость реагирования на нарушения в режиме, близком к реальному времени.

В заключение нужно отметить, что при использовании общих подходов к созданию СИБ выбор конкретного варианта ее построения необходимо проводить с учетом таких важных факторов как особенности структуры КИС, специфика решаемых в ней задач, объемы финансирования проекта, состав и квалификация персонала подразделений ИТ и ЗИ, его способность самостоятельно обеспечить внедрение и эксплуатацию СИБ.

Журнал «Атомная стратегия» № 12, июль 2004 г.





Это статья PRoAtom
http://www.proatom.ru

URL этой статьи:
http://www.proatom.ru/modules.php?name=News&file=article&sid=194