Раздел: Документация

0 ... 43 44 45 46 47 48 49 ... 84

Часть 6.

Информационная безопасность

1. Ограничение доступа к конфиденциальной информации

1.1.Несанкционированный доступ к информационным ресурсам

Самые лучшие, схемы шифрования, сложнейшие пароли, жесточайшая система обеспечения безопасности не скроют данные от любопытного сотрудника, если держать компьютер открытым. (Да и дома многие не прочь закрыть некоторые каталоги от любопытных отпрысков, которые слишком рано узнали, откуда берутся файлы.) По данным Федерального бюро расследований, в США 45% случаев несанкционированного доступа виновниками оказываются "свои" -постоянные сотрудники или работники по контракту. Задача обнаружения вторжения в этом случае осложняется тем, что обнаружить таких злоумышленников и закрыть им доступ сложнее, чем неизвестному хакеру, который ломится в сеть через защитный экран. Тем не менее, следует принять хотя бы элементарные меры безопасности - возможно, они не спасут от злого умысла, но преградят путь праздному любопытству.

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети, разумеется, теряется - и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.

Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под круглосуточным наблюдением. Если кто-то из сотрудников компании работает круглосуточно, то это комнату закрывать не обязательно - но только в том случае, если персонал не дежурит по одному. В идеале доступ в подобные помещения должен контролироваться, например, путем регистрации в журнале.

Резервные носители, такие как ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике.

1.2.Организационные методы предотвращения неправомерных действий сотрудников

В последнее время все больше заметен перекос понятий в области защиты данных: говоря об информационной безопасности, многие в первую очередь имеют в виду защиту от вирусов и ха-

---

керов. Но если попросить специалистов по безопасности рассказать о том, что их волнует, выяснится, что наибольшую озабоченность вызывают действия "инсайдеров" (сотрудников компании). Это показали и ежегодный отчет ФБР Computer Crime and Security Survey, и Global Information Security Survey 2004 компании Ernst&Young.

Так, по данным этих исследований, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерс-ких атак. И это несмотря на то, что, согласно отчету Computer Crime and Security Survey, количество инцидентов по вине внешних и внутренних нарушителей спокойствия соизмеримо.

Этот результат вполне закономерен. Хотя внешних злоумышленников действительно значительно больше, но, во-первых, они меньше мотивированны. Отбросив малое число наемных профессионалов, мы получим огромную массу школьников и студентов, которые просто из любопытства пробуют скачанные утилиты, не преследуя каких-либо определенных целей и порой даже не зная, что делать с полученной информацией. Во-вторых, им противостоят мощные и зрелые технологии периметровой защиты, то есть внешнему злоумышленнику нужна высокая квалификация, чтобы преодолеть все эти барьеры.

У внутреннего нарушителя, особенно если его действия сознательны, а не являются ошибкой, стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. А возможностей - не в пример больше. Он уже является легальным пользователем сети, имеет доступ в том числе и к конфиденциальным ресурсам организации, может пользоваться корпоративными приложениями и обрабатываемыми в них данными на законных основаниях.

Но если это так, почему большие усилия тратятся именно на защиту от внешних угроз? Есть несколько причин.

Строить систему защиты от внешнего врага гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять необходимые средства защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования - по большому счету, лишь кратковременное отсутствие доступа в Интернет.

Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде - это политика безопасности).

Данные привилегии должны быть достаточны для обеспечения нормальной работы и в то же время минимальны с точки зрения доступа и возможности манипулирования информацией. И зачастую при появлении подобной задачи, проблем видится больше, чем решений. Перечислять их можно долго, проблемы цепляются друг за друга. Например, незащищенность ряда приложений вынуждает нас использовать дополнительные средства защиты. Однако эти средства нужно не только приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает (справляются либо штатные специалисты, либо нанятые консалтинговые компании), трудности появляются потом, в процессе администрирования системы. Ведь управление средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в том числе и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.

Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. А внес-

---

ти изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути проще, чем написать заявку. В результате - в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: "Почему к определенному ресурсу имеют доступ эти пользователи и группы пользователей?". Теряется история всех производимых изменений, и уже нельзя определить - правильно или неправильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.

Цена ошибки за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно - созданием огромной уязвимости в информационной системе), либо ограничением необходимого ему в какой то момент доступа (при этом, возможно, срывается выполнение задач организации).

Существуют два пути решения указанных проблем: внедрение системы централизованного управления и внедрение системы учета настроек и изменений в настройках информационной системы.

Универсальная консоль управления всеми приложениями не спасает, поскольку не дает ответ на вопрос - на каком основании, кто и как должен принимать решения о том, какие изменения нужны.

Для упорядочения деятельности по администрированию на предприятии рано или поздно вырабатываются регламенты и прочие документы, описывающие правила работы и взаимодействия всех субъектов информационной системы.

Решить эту проблему только организационными методами не удается. Виной всему нехватка и недостаточная квалификация администраторов, перегруженность специалистов и, самое главное - отсутствие механизмов проверки фактического положения дел. Все это приводит к тому, что даже при наличии некоторой формальной системы управления, контроль над информационной системой и вопросами безопасности данных в ней все равно теряется.

Кстати, порой простое увеличение штата IT-подразделения и подразделения информационной безопасности только усугубляют проблемы. В этих структурах, в свою очередь, появляются подразделения, специализирующиеся на отдельных подсистемах, взаимодействие структур нарушается еще больше.

Решение проблемы

По большому счету, для управления любой сложной системой необходимо создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом.

Применительно к обеспечению безопасности информационной системы (ИС) это можно представить следующим образом.

1.Иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы.

2.Иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС.

3.Иметь инструменты контроля правильности настроек ИС.

Разработками такого рода в последнее время занимается несколько крупных корпораций. Свои решения предлагают Oracle и IBM. Стоит отметить, что в ряду гигантов IT-индустрии есть и российский разработчик, компания "Информзащита", который имеет свою систему комплексного управления безопасностью (КУБ).

0 ... 43 44 45 46 47 48 49 ... 84