СОДЕРЖАНИЕ
Общие положения
Обеспечение информационной безопасности (ИБ) — это не только и не столько техническая, сколько организационная проблема, для решения которой необходима определенная корпоративная культура и поддержка на всех уровнях, начиная от высшего руководства компании.
Информационная безопасность — это не продукт, а процесс. Ее нельзя купить раз и навсегда. Эффективность средств обеспечения информационной безопасности необходимо постоянно повышать, иначе в условиях непрерывного развития информационных технологий (ИТ) даже самая современная система ИБ очень быстро устареет, уровень информационной безопасности в компании снизится.
Информационную безопасность необходимо поддерживать для сложных аппаратно-программных информационных систем (ИС), насчитывающих десятки и сотни миллионов электронных компонентов и строк исходных текстов, подверженных сбоям, отказам, проявлениям внутренних ошибок и уязвимостей, а также ошибкам и упущениям обслуживающего персонала и пользователей.
Меняются производственные процессы, совершенствуются информационные технологии, появляются новые возможности, а вместе с ними — новые угрозы и новые, все более изощренные, способы атак, которые необходимо нейтрализовать. В условиях постоянно изменяющегося производственного контекста необходимо следить за состоянием информационной безопасности, чтобы она не нарушалась.
Современные тенденции изменения спектра ИТ-рисков
Рассмотрим тенденции изменения спектра ИТ-рисков, характерные для крупных современных организаций, активно использующих передовые информационные технологии.
- Сложность информационных систем стала самостоятельным фактором риска. Согласно принятым стандартам кодирования, исходный текст программы считается хорошим, если на тысячу строк приходится не более пяти ошибок. Современные операционные системы (ОС) насчитывают несколько десятков миллионов строк исходного текста. Даже если применить трудоемкие и дорогостоящие меры по поиску и исправлению ошибок, уменьшающих их количество до одной на двадцать тысяч строк, их все равно останется несколько тысяч. В новых версиях могут исправляться старые ошибки, но добавляться новые. Ошибки и уязвимости постоянно присутствуют не только в ОС, но и в приложениях. В июле 2006 года известный специалист по ИБ Мур (Moore) успешно реализовал собственный амбициозный проект — каждый день находить и обнародовать по крайней мере один дефект в Интернет-навигаторе. (Интересно отметить, что уже после первой недели работы он получил возмущенное письмо из России от одного из хакеров, который жаловался, что Мур обнародовал использовавшуюся им (хакером) уязвимость). Сложность многократно возрастает в многокомпонентной, многопротокольной среде, включающей многочисленные аппаратно-программные компоненты разных производителей.
- Сокращение времени разработки и тестирования аппаратно-программных продуктов с целью скорейшего выхода на рынок. Это усугубляет проблему сложности, увеличивает число ошибок и уязвимостей в коммерческих продуктах всех видов — от микропроцессоров до программных приложений.
- Расширение спектра рисков, проведение атак, компрометирующих все основные аспекты информационной безопасности: доступность, конфиденциальность и целостность данных и систем, появление новых целей атак, таких как пользовательские устройства. Примером расширения спектра рисков и появления новых угроз может служить запрет, наложенный корпорацией Samsung на использование ее служащими на рабочих местах последней модели мобильного телефона Samsung с памятью на 8 Гб, поскольку реальной становится угроза несанкционированного раскрытия практически всей корпоративной информации. Пользовательские мобильные устройства могут также подвергнуться атаке вредоносного программного обеспечения (ПО), что для компонентов информационной системы, обычно администрируемых непрофессионалами, особенно опасно. Расширяет спектр рисков и массовое внедрение новых информационных сервисов и технологий, таких как беспроводные коммуникации, IP-телефония, многочисленные Web-приложения. Иногда традиционные защитные средства уже не могут быть применимы к подобным нововведениям. Они либо не обеспечат необходимый уровень информационной безопасности, либо будут мешать нормальной работе новых приложений.
- Автоматизация и усложнение атак, организация масштабных, распределенных, многоэтапных нападений, требующих минимального вмешательства злоумышленников и оставляющих минимум следов. Упомянем проект Metasploit — ПО с открытыми исходными текстами для автоматизации использования уязвимостей. Фактически уже сейчас средства эксплуатации уязвимостей появляются существенно раньше, чем соответствующие программные коррекции.
- Сочетание внешних и внутренних угроз, компрометация внутренних оконечных систем как этап атаки на информационную систему организации в целом.
- Развитие и массовое внедрение в пользовательские системы шпионского ПО, руткитов, потайных входов, ботов, организация ботсетей (сетей "зомбированных" компьютеров), способных наращивать вредоносную функциональность и выполнять масштабные вредоносные действия по команде из центра управления.
- Сочетание технических и психологических методов атак. Эта тенденция наиболее полно реализована в фишинговых атаках, направленных на кражу персональных данных.
- Криминализация ИТ вообще и Интернет в особенности, хакерство ради материальной выгоды, существование рынка уязвимостей и средств их использования, перепродажа незаконно добытых данных, вымогательство под угрозой компрометации информационной системы организации и/или хранимых, обрабатываемых и передаваемых ею данных, наличие у злоумышленников значительных интеллектуальных и материальных ресурсов, повышение уровня мотивации.
Специфика ИТ-рисков для организаций нефтегазовой отрасли
Нефтегазовой отрасли присущи высокие уровни финансовых, экологических и гуманитарных рисков. Ущерб от реализации ИТ-угрозы, приведшей даже к кратковременной остановке работы добывающего и/или транспортирующего оборудования, измеряется миллионами. Любая авария, если ее не удалось оперативно выявить, локализовать и ликвидировать, наносит значительный экологический ущерб. Перенос добычи в отдаленные, труднодоступные регионы со сложными климатическими условиями затрудняет взаимодействие с персоналом и своевременное оказание ему необходимой помощи.
Учитывая вышеизложенное, следует признать важными и актуальными следующие задачи:
- максимальная автоматизация технологических процессов;
- максимально эффективное централизованное использование квалифицированных кадров для обслуживания нескольких удаленных подразделений;
- обеспечение информационной безопасности процесса управления удаленными подразделениями.
Последняя задача особенно сложна, так как требуется поддерживать исключительно высокий уровень всех основных аспектов информационной безопасности — доступности, конфиденциальности и целостности — в условиях физически незащищенных коммуникаций и удаленного оборудования, в том числе компонентов ИС, высокой стоимости и значительных сроков технического обслуживания и восстановления работоспособности аппаратного и программного обеспечения.
Обратим особое внимание на необходимость обеспечения полноты и достоверности информации, поступающей из удаленных подразделений, а также контроля за выполнением централизованно инициируемых управляющих воздействий.
Сложность и борьба с ней
Современное аппаратное и программное обеспечение характеризуется, с одной стороны, возрастанием сложности, а с другой — сокращением сроков разработки, стремлением производителей к скорейшему выходу на рынок с новыми изделиями. Совокупность этих двух тенденций, очевидно, отрицательно сказывается на информационной безопасности современных систем, приводит к квадратичному нарастанию числа известных уязвимостей в наиболее широко используемых операционных системах.
В такой ситуации попытки повысить информационную безопасность путем реализации в операционных системах дополнительных механизмов безопасности (например, мандатного управления доступом) дают скорее противоположный результат, поскольку увеличивают сложность систем. Системы небезопасны не потому, что в них не хватает каких-то защитных средств; они уязвимы, потому что сложны. Требуются принципиально новые концептуальные и архитектурные решения.
С проблемой сложности специалисты по технологии программирования столкнулись в шестидесятых годах двадцатого века. Для решения этой проблемы сначала было предложено структурированное программирование, затем, как его развитие, — объектно-ориентированный подход. Последний остается наиболее эффективным инструментом в технологии программирования больших систем и в настоящее время. К сожалению, в информационной безопасности он еще не стал общепринятым.
Для нас существенны следующие свойства объектов:
- инкапсуляция: наличие границ между объектами, невозможность манипулирования объектами в терминах их внутренней реализации;
- наличие у объектов определенных интерфейсов и построенных на их основе протоколов, специфицирующих правила обращения к объектам;
- потенциальная активность объектов, возможность их параллельной работы.
Объектно-ориентированные системы строятся в многоуровневой архитектуре, с небольшим числом сущностей на каждом уровне и с умеренным числом связей между объектами, что делает подобные системы познаваемыми и, следовательно, принципиально контролируемыми. Если учесть перечисленные выше свойства объектов, можно считать, что объектно-ориентированные системы имеют сетевую организацию, поддающуюся управлению.
Использование методов программирования при решении проблем информационной безопасности представляется весьма перспективным, но в настоящее время эти две области неоправданно разобщены.
Сетевая организация информационных систем может проявляться и использоваться различными способами. Информационная система строится из объектов с необходимой степенью гранулярности, а границы между объектами по возможности делаются физическими, поддерживаемыми аппаратно (объекты разносятся по узлам сети). Таким образом, в качестве концептуальной основы обеспечения информационной безопасности сложных систем предлагается их объектная организация с физическими границами между объектами.
Коротко правило построения архитектурно безопасных ИС можно сформулировать как "один сервис на узел сети" или как "разнесение сервисов по узлам сети".
Объектная организация с физическими границами между объектами может применяться не только к аппаратным компонентам, но и к потокам данных. Целесообразно физически разграничить пользовательские и административные потоки данных, потоки, связанные с деятельностью администраторов безопасности, внутренние и внешние потоки, потоки с разной политикой безопасности и т.п. У интеллектуальной сетевой карты может быть по крайней мере три сетевых интерфейса. Через один из них проходят пользовательские данные, через другой осуществляется конфигурирование и чтение регистрационных данных, через третий может направляться сигнал тревоги администратору безопасности или осуществляться вмешательство последнего в работу системы.
Отметим, что организация описанной "многожильной" сети не обязательно требует прокладки множества дорогих кабелей. Стандарт безопасности для беспроводных сетей с инфраструктурой IEEE Std 802.11i предусматривает достаточные защитные средства канального уровня.
Разработка информационно безопасного программного обеспечения
Информационная безопасность современных ИС определяется не только и не столько наличием защитных средств, сколько качеством используемого в них программного обеспечения. Наличие в базовом и прикладном ПО многочисленных уязвимостей многократно усложняет защиту ИС и увеличивает ее стоимость, поэтому повышение информационной безопасности разрабатываемого в организации программного обеспечения — необходимое условие успешной, экономически оправданной защиты. Прикладное ПО должно не столько включать какие-то специфические защитные средства, такие как аутентификация или криптография, сколько быть устойчивым к атакам, содержать минимальное число уязвимостей.
Информационная безопасность программного обеспечения должна формироваться и поддерживаться на всех этапах жизненного цикла — от инициации до выведения из эксплуатации. Для решения этой задачи необходимо использовать как организационные, так и технические инструменты.
К первым относится формирование смешанных коллективов из разработчиков ПО и специалистов по информационной безопасности для выработки целей и требований безопасности. Эти цели и требования могут формулироваться в терминах "Общих критериев" (стандарт ГОСТ Р 15408-2002).
На стадии проектирования приложений следует проводить моделирование и анализ угроз, инициировать процесс управления рисками как основу выбора технически и экономически оправданных решений. На этой же стадии должны применяться архитектурные принципы информационной безопасности, такие как минимизация привилегий, разделение полномочий, эшелонированность обороны и, главное, выбор простых апробированных решений. Важнейший вопрос — совместимость с существующей инфраструктурой, в том числе защитной.
Необходимо ответить, по крайней мере, на два вопроса:
- будут ли существующие защитные средства обеспечивать информационную безопасность разрабатываемого приложения?
- Не помешают ли существующие защитные средства нормальной работе разрабатываемого приложения?
На стадии реализации целесообразно использовать такой технический инструмент контроля качества ПО, как статический анализатор исходных текстов, а также их аудит независимыми специалистами-оценщиками. На завершающих этапах реализации может начинаться тестирование проникновением. Параллельно должна разрабатываться документация, в частности, руководство по безопасному использованию приложения.
На стадии внедрения и опытной эксплуатации проверяется качество нового приложения, уровень его защищенности, определяются рекомендуемые значения конфигурационных параметров.
На стадии эксплуатации анализируются данные о функционировании нового приложения, а также информация об уязвимостях, выявленных в его (приложения) инфраструктуре. По результатам анализа выполняется соответствующая доработка приложения и инфраструктуры, в частности, разработка и установка программных коррекций.
На стадии выведения из эксплуатации основное внимание должно быть уделено безопасности данных, ассоциированных с приложением.
С организационной точки зрения процесс обеспечения информационной безопасности ПО можно подразделить следующим образом:
- оперативное управление объединенным коллективом разработчиков ПО и специалистов по ИБ;
- выработка типовых для данной организации проектных и архитектурных подходов и решений;
- накопление базы знаний об угрозах, рисках, уязвимостях и способах их нейтрализации;
- информирование и обучение персонала, вовлеченного в разработку ПО;
- оценка безопасности разрабатываемого ПО;
- общий контроль за уровнем информационной безопасности разрабатываемого ПО.
Должны быть определены ответственные за каждый вид деятельности; общий контроль (равно как и активная поддержка мер повышения информационной безопасности) должен оставаться за руководством организации.
Количественный подход к информационной безопасности
Информационная безопасность требует затрат, поэтому важно понимать, какие результаты они приносят и насколько они эффективны. Наличие и применение количественных мер и метрик — обязательный элемент зрелого, экономически оправданного управления информационной безопасностью.
Меры и метрики могут быть как абсолютными (например, число инфицированных компьютеров за определенный период времени), так и относительными (например, процент системных администраторов, прослушавших курс информационной безопасности). Важно, чтобы с их помощью можно было реально оценить результативность программ, процессов и процедур, направленных на повышение информационной безопасности организации.
Метрики безопасности могут применяться на разных уровнях — от отдельных систем до организации в целом. Метрики системного уровня детальны; по мере подъема на более высокие уровни они агрегируются с возможным отбрасыванием менее значащих показателей.
Метрики информационной безопасности связаны с целями безопасности. Последние представляют собой желаемый результат; первые отображают прогресс в его достижении. Чтобы отслеживать прогресс, метрики нужно применять многократно и достаточно часто, например, ежеквартально, раз в полгода или, в крайнем случае, раз в год. Чтобы выявлять краткосрочные, среднесрочные и долгосрочные тенденции, соответственно нужно ранжировать и метрики вместе с частотой сбора данных для них, анализом результатов и генерацией отчетов.
Желательно, чтобы метрики указывали на причины неудовлетворительного функционирования, если таковое имеет место, и/или на диспропорции в распределении ресурсов; в таком случае они действительно помогают планировать и осуществлять корректирующие действия, оперативно выявлять и решать проблемы. Например, если политика безопасности определяет требования к выбору пользовательских паролей, степень следования этой политике может измеряться как доля паролей, удовлетворяющих сформулированным требованиям. Возможна и другая метрика, определяющая долю паролей, которые можно взломать доступными средствами. Если значения по первой метрике близки к 100%, а доля взламываемых паролей относительно велика, значит, требования к выбору паролей сформулированы неудачно и нуждаются в корректировке.
Можно выделить следующие типы метрик информационной безопасности:
- метрики реализации, служащие для измерения степени проведения политики безопасности в жизнь;
- метрики эффективности, служащие для измерения результативности сервисов безопасности;
- метрики воздействия, служащие для измерения влияния действий и событий ИБ на функционирование организации.
Организация может параллельно использовать метрики всех трех типов, однако реальная польза от них зависит от степени зрелости процессов ИБ в организации.
На ранних стадиях формирования этих процессов, когда идет разработка, формализация и внедрение политики и процедур безопасности, доступны данные только для метрик реализации (например, какой процент разработанных процедур документирован и доведен до сведения персонала или какой процент семейств регуляторов охвачен положениями политики безопасности).
Когда политика и процедуры документированы и внедрены, а соответствующие регуляторы безопасности реализованы, можно начинать измерение эффективности последних (например, какой процент систем оказывается инфицированным за определенный промежуток времени или какой процент нарушений безопасности вызван просчетами в конфигурировании регуляторов управления доступом). Для применения метрик этого типа обычно бывают необходимы данные из нескольких источников (например, требуется знание политики и процедур управления доступом, данные о нарушениях безопасности, результаты аудита информационной системы и данные об изменениях в конфигурации информационной системы). Метрики этого типа полезны для принятия решений на уровне службы информационной безопасности с целью выработки оценки сложившейся практики и планирования развития системы, закупки, разработки или совершенствования регуляторов безопасности.
На следующем уровне зрелости, когда для процессов ИБ обеспечены устойчивость и повторяемость, метрики безопасности становятся более надежными и поддающимися автоматизации как на этапе сбора, так и на этапе анализа данных, пригодными для поддержки принятия решений и усилий по совершенствованию процессов ИБ. Только на этом уровне имеет смысл привлекать метрики воздействия, позволяющие оценить экономическую целесообразность деятельности в области информационной безопасности. Для применения метрик воздействия требуются многочисленные данные о ресурсах, а полученные с их помощью результаты являются наиболее ценными для руководства организации.
Таб. 1 помогает уяснить соответствие между уровнем зрелости процессов информационной безопасности организации и различными аспектами применения метрик.
Таблица 1. Соответствие между уровнями зрелости процессов информационной безопасности организации и различными аспектами применения метрик
Уровни зрелости Аспекты метрик Типы метрик | Уровень 1. Разработана политика безопасности Намечены конечные цели | Уровень 2. Разработаны процедуры безопасности Определены промеж. цели | Уровень 3. Процедуры и регуляторы реализованы Метрики реализации | Уровень 4 Процедуры и регуляторы оттести- Метрики эффект-ти | Уровень 5. Процедуры и регуляторы интег-ны Метрики воздействия |
Автомат-я сбора данных | Отсутствует | Низкая | Умеренная | Высокая | Полная |
Труд-ть сбора данных | Очень высокая | Высокая | Умеренная | Умеренная или низкая | Низкая |
Доступ- | Данные отсутствуют | Есть часть данных | Могут быть собраны | Доступны | В станд. хранилище |
Управляемость — ключевой аспект применения метрик безопасности. Метрик не должно быть слишком много (как правило, от пяти до десяти на одно должностное лицо в каждый момент времени). Только при выполнении этого условия можно сконцентрировать усилия на решении наиболее острых из выявляемых проблем, первоочередном устранении самых существенных недостатков.
Важнейшие регуляторы безопасности
Необходимым условием обеспечения информационной безопасности является выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.
Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже внедрены и для каких имеются планы реализации, а также необходимо помнить о требуемой степени доверия к эффективности действующих регуляторов.
Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов.
Рекомендуется применение следующих классов административных регуляторов безопасности:
- оценка рисков;
- планирование безопасности;
- закупка систем и сервисов;
- сертификация, аккредитация и оценка безопасности.
К числу рекомендуемых классов процедурных регуляторов безопасности относятся следующие:
- кадровая безопасность;
- физическая защита;
- планирование бесперебойной работы;
- управление конфигурацией;
- сопровождение;
- целостность систем и данных;
- защита носителей;
- реагирование на нарушения информационной безопасности;
- информирование и обучение.
Рекомендуется применение следующих программно-технических регуляторов безопасности:
- идентификация и аутентификация;
- управление доступом;
- протоколирование и аудит;
- защита систем и коммуникаций.
Обратим особое внимание на необходимость реализации следующих элементов информационной безопасности:
- распространение мер безопасности на все этапы жизненного цикла и все компоненты ИС;
- мониторинг безопасности, анализ защищенности, выявление и нейтрализация уязвимостей;
- укрепление существующих систем;
- управление программными коррекциями;
- реализация двухфакторной аутентификации, устойчивой к шпионскому ПО и фишингу;
- применение криптографических средств для обеспечения целостности и конфиденциальности данных во внешних сетях, на мобильных устройствах и резервных носителях;
- эшелонированная защита от вредоносного ПО, контроль и фильтрация информационного наполнения на границах сетей с разными требованиями безопасности, контроль целостности систем, выявление признаков внедрения вредоносного ПО и его оперативная ликвидация;
- обеспечение высокой доступности коммуникаций и критических важных систем;
- защита беспроводных коммуникаций;
- распространение мер информационной безопасности на потребительские устройства как компоненты корпоративной ИС;
- повышение культуры пользователей в области информационной безопасности, обеспечение защиты от мер морально-психологического воздействия.
Заключение
Обеспечение информационной безопасности — проблема исключительной важности и сложности. Решить ее можно только на основе комплексного подхода, привлекающего меры безопасности всех уровней, реализующего динамическую трактовку ИБ как совокупность процессов в постоянно меняющемся окружении.