3.5. Основні загрози цілісності
На другому місці по масштабу збитку (після ненавмисних помилок інедоглядів) стоять крадіжки й підробки. За даними газети USA Today, ще в 1992році в результаті подібних протиправних дій з використанням персональнихкомп'ютерів американським організаціям був нанесений загальний збиток урозмірі 882 мільйонів доларів. Можна припустити, що реальний збиток бувнабагато більше, оскільки багато організацій по зрозумілих причинахприховують такі інциденти; не викликає сумнівів, що в наші дні збиток відтакого роду дій виріс багаторазово.
У більшості випадків винуватцями виявлялися штатні співробітникиорганізацій, відмінно знайомі з режимом роботи й заходами захисту. Це ще разпідтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про їх значноменше, ніж про зовнішні.
Раніше ми розводили поняття статичної й динамічної цілісності. 3 метоюпорушення статичної цілісності зловмисник (як правило, штатний співробітник)може:
увести невірні дані;
змінити дані.
Іноді змінюються змістовні дані, іноді - службова інформація. Показовийвипадок порушення цілісності мав місце в 1996 році. Службовець Oracle(особистий секретар віце-президента) пред'явила судовий позов,обвинувачуючи президента корпорації в незаконному звільненні після того, яквона відкинула його залицяння. На доказ своєї правоти жінка показалаелектронний лист, нібито відправлений її начальником президентові. Змістлиста для нас зараз не важливий; важливий час відправлення. Справа в тому,що віце-президент пред'явив, у свою чергу, файл із реєстраційною інформацієюкомпанії стільникового зв'язку, з якого виявлялося, що в зазначений час вінрозмовляв по мобільному телефону, перебуваючи далеко від свого робочогомісця. Таким чином, у суді відбулося протистояння "файл проти файлу".Очевидно, один з них був фальсифікований або змінений, тобто булапорушена його цілісність. Суд вирішив, що підробили електронний лист(секретарка знала пароль віце-президента, оскільки їй було доручено йогоміняти), і позов був відхилений...
(Теоретично можливо, що обидва файли, які фігурували на суді булисправжніми, коректними з погляду цілісності, а лист відправили пакетнимизасобами, однак, на наш погляд, це була б дуже дивною для віце-президента дія).
З наведеного випадку можна зробити висновок не тільки про загрозипорушення цілісності, але й про небезпеку сліпої довіри комп'ютерної інформації.Заголовки електронного листа можуть бути підроблені; лист у цілому може бутифальсифікований особою, що знає пароль відправника (ми наводили відповідніприклади). Відзначимо, що останнє можливо навіть тоді, коли цілісністьконтролюється криптографічними засобами. Тут має місце взаємодія різнихаспектів інформаційної безпеки: якщо порушено конфіденційність, можепостраждати цілісність.
Ще один урок: загрозою цілісності є не тільки фальсифікація або змінаданих, але й відмова від зроблених дій. Якщо немає засобів забезпечити"безвідмовність", комп'ютерні дані не можуть розглядатися як доказ.
Потенційно уразливі з погляду порушення цілісності не тільки дані, але йпрограми. Впровадження розглянутого вище шкідливого ПЗ - приклад подібногопорушення.
Загрозами динамічної цілісності є порушення атомарності транзакцій,перевпорядкування, крадіжка, дублювання даних або внесення додатковихповідомлень (мережних пакетів і т.п.). Відповідні дії в мережевомусередовищі називаються активним прослуховуванням.
3.6. Основні загрози конфіденційності
Конфіденційну інформацію можна розділити на предметну й службову.Службова інформація (наприклад, паролі користувачів) не відноситься до певноїпредметної області, в інформаційній системі вона відіграє технічну роль, але їїрозкриття особливо небезпечно, оскільки воно несе в собі одержаннянесанкціонованого доступу до всієї інформації, у тому числі предметної.
Навіть якщо інформація зберігається в комп'ютері або призначена длякомп'ютерного використання, загрози її конфіденційності можуть носитинекомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виконувати ролі користувачів не однієї, а цілогоряду систем (інформаційних сервісів). Якщо для доступу до таких системвикористовуються багаторазові паролі або інша конфіденційна інформація, тонапевно ці дані будуть зберігатися не тільки в голові, але й у записній книжціабо на листках паперу, які користувач часто залишає на робочому столі, а інодіпросто губить. І справа тут не в неорганізованості людей, а в споконвічнійнепридатності парольної схеми. Неможливо пам'ятати багато різних паролів;рекомендації з їх регулярного (по можливості - частої) зміні тільки збільшуютьположення, змушуючи застосовувати нескладні схеми чергування або взагалінамагатися звести справу до двох-трьох легких запам'ятовувань (і настільки жлегко вгадуваних) паролів.
Описаний клас уразливих місць можна назвати розміщенням конфіденційнихданих у середовищі, де їм не забезпечений (найчастіше - і не може бутизабезпечений) необхідний захист. Загроза ж полягає в тому, що хтось невідмовиться довідатися секрети, які самі просяться в руки. Крім паролів, щозберігаються в записних книжках користувачів, у цей клас потрапляє передачаконфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), щоуможливлює перехоплення даних. Для атаки можуть використовуватися різнітехнічні засоби (підслуховування або прослуховування розмов, пасивнепрослуховування мережі й т.п.), але ідея одна - здійснити доступ до даних у тоймомент, коли вони найменш захищені.
Загрозу перехоплення даних варто брати до уваги не тільки при початковомуконфігуруванні ІС, але й, що дуже важливо, при всіх змінах. Досить небезпечноюзагрозою є, виставки, на які багато організацій, недовго думаючи, відправляютьустаткування з виробничої мережі, з усіма даними, що зберігаються на них.Залишаються колишніми паролі, при вилученому доступі вони продовжуютьпередаватися у відкритому вигляді. Це погано навіть у межах захищеної мережіорганізації; в об'єднаній мережі виставки - це занадто суворе випробуваннячесності всіх учасників.
Ще один приклад зміни, про яку часто забувають, - зберігання даних нарезервних носіях. Для захисту даних на основних носіях застосовуються розвиненісистеми керування доступом; копії ж нерідко просто лежать у шафах й одержатидоступ до них може багато хто.
Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсноє критичною, а дані передаються по багатьох каналах, їхній захист може виявитисядосить складним та дорогим. Технічні засоби перехоплення добре пророблені,доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу,може будь-хто, так що цю загрозу потрібно брати до уваги по відношенню нетільки до зовнішніх, але й до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але й длякомп'ютерів, особливо портативних. Часто ноутбуки залишають без догляду нароботі або в автомобілі, іноді просто гублять.
Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад - виконання дій під виглядом особи, щоволодіє повноваженнями для доступу до даних (див., наприклад, статтю АйреВінклера "Завдання: шпигунство" в Jet Info, І996,19).
До неприємних загроз, від яких важко захищатися, можна віднестизловживання повноваженнями. У багатьох типах систем привілейованийкористувач (наприклад системний адміністратор) здатний прочитати кожен(незашифрований) файл, одержати доступ до пошти будь-якого користувача й т.д.Інший приклад - завдання збитків при сервісному обслуговуванні. Звичайносервісний інженер одержує необмежений доступ до устаткування й маєможливість діяти в обхід програмних захисних механізмів.
Такими є основні загрози, які завдають найбільшої шкоди суб'єктамінформаційних відносин.
Розділ 4. Адміністративний рівень інформаційної безпеки
4.1. Основні поняття
До адміністративного рівня інформаційної безпеки відносять діїзагального характеру, які робляться керівництвом організації.
Головна мета заходів адміністративного рівня - сформувати програмуробіт в області інформаційної безпеки й забезпечити її виконання, виділяючинеобхідні ресурси й контролюючи стан справ.
Основою програми є політика безпеки, що відбиває підхід організації дозахисту своїх інформаційних активів. Керівництво кожної організації повинноусвідомити необхідність підтримки режиму безпеки й виділити значні ресурсивпровадження цих заходів.
Політика безпеки будується на основі аналізу ризиків, які визнаютьсяреальними для інформаційної системи організації. Коли ризики проаналізованій стратегія захисту визначена, складається програма забезпеченняінформаційної безпеки. Під цю програму виділяються ресурси, призначаютьсявідповідальні, визначається порядок контролю виконання програми й т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійськогословосполучення "security policy", однак у цьому випадку калька кращевідбиває зміст цього поняття, ніж лінгвістично більш вірні "правила безпеки". Ми матимемо на увазі не окремі правила або їхні набори (такого роду рішеннявиносяться на процедурний рівень, мова про який попереду), а стратегіюорганізації в області інформаційної безпеки. Для вироблення стратегії впровадження її в життя потрібні, безсумнівно, політичні рішення, прийняті нанайвищому рівні.
Під політикою безпеки ми будемо розуміти сукупність документованихрішень, прийнятих керівництвом організації й спрямованих на захистінформації й асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правилрозмежування доступу (саме це означав термін "security policy" в "Помаранчевій книзі" в побудованих на її основі нормативних документах інших країн).
ІС організації й пов'язані з нею інтереси суб'єктів - це складна система, для розгляду якої необхідно застосовувати об'єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівні, що ми вже робили в прикладі й зробимо ще раз далі.
Щоб розглядати ІС предметно, з використанням актуальних даних, варто скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути виготовлена в об'єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації, але й видимі межі об'єктів. Технічним засобом складання, супроводу й візуалізації подібних карт може слугувати вільно розповсюджуваний каркас якої-небудь системи керування.
4.2. Політика безпеки
Із практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня можна віднести рішення, що стосуються організації в цілому. Вони носять досить загальний характер й, як правило, виходять від керівництва організації. Зразковий список подібних рішень може містити в собі наступні елементи:
рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за впровадження програми;
формулювання цілей, які переслідує організація в області інформаційної безпеки, визначення загальних напрямків у досягненні цих цілей;
забезпечення бази для дотримання законів і правил;
формулювання адміністративних рішень з питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня мети організації в області інформаційної безпеки формулюються в термінах цілісності, доступності й конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, ушкоджень або перекручувань даних. Для організації, що займається продажем комп'ютерної техніки, імовірно, важлива актуальність інформації про надавані послуги й ціни і її доступність максимальній кількості потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься керування захисними ресурсами й координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть усі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів). Можлива, однак, і така ситуація, коли в сферу впливу включаються лише найбільш важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб з вироблення програми безпеки й впровадження її в життя. У цьому сенсі політика безпеки є основою підзвітності персоналу.
Політика верхнього рівня має справу із трьома аспектами законослухняності й виконавчої дисципліни. По-перше, організація повинна дотримуватися існуючих законів. По-друге, варто контролювати дії осіб, відповідальних за вироблення програми безпеки. Нарешті, необхідно забезпечити певний ступінь виконавчості персоналу, а для цього потрібно виробити систему заохочень і покарань.
Загалом кажучи, на верхній рівень варто виносити мінімум питань. Подібне винесення доцільно, коли воно обіцяє значну економію засобів або коли інакше вчинити просто неможливо.
Тобто необхідно включати в документ, що характеризує політику безпеки організації, наступні розділи:
* вступний, підтверджуючий занепокоєність вищого керівництва проблемами інформаційної безпеки;
організаційний, який має опис підрозділів, комісій, груп і т.д., відповідальних за роботу в області інформаційної безпеки;
класифікаційний, що описує наявні в організації матеріальні й інформаційні ресурси й необхідний рівень їхнього захисту;
штатний, що характеризує заходи безпеки, які застосовуються до персоналу (опис посад з погляду інформаційної безпеки, організація навчання й перепідготовки персоналу, порядок реагування на порушення режиму безпеки й т.п.);
розділ, що висвітлює питання фізичного захисту;
керівний розділ, що описує підхід до керування комп'ютерами й комп'ютерними мережами;
розділ, що описує правила розмежування доступу до виробничої інформації;
розділ, що характеризує порядок розробки й супроводу систем;
розділ, що описує заходи, спрямовані на забезпечення безперервної роботи організації;
юридичний розділ, що підтверджує відповідність політики безпеки чинному законодавству.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевірених) технологій, доступ в Internet (як поєднати можливість доступу до інформації із захистом від зовнішніх загроз), використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення й т.д.
Політика середнього рівня повинна для кожного аспекту висвітлювати наступні теми:
Опис аспекту. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як ПЗ, що не було схвалено й/або закуплене на рівні організації.
Область застосування. Варто визначити, де, коли, як, стосовно кого й чому застосовується дана політика безпеки. Наприклад, чи стосується політика, пов'язана з використанням неофіційного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що користуються портативними й домашніми комп'ютерами й змушених переносити інформацію на виробничі машини?
|