Содержание
Введение..................................................................................................... 3
1. Угроза компьютерных
преступлений................................................... 4
2. Причины и характеры
уязвимостей..................................................... 7
3. Анализ защищенности
информационных систем.............................. 10
Заключение.............................................................................................. 14
Литература............................................................................................... 15
Введение
В последнее время для большинства преуспевающих компаний
использование современных информационных технологий стало залогом успешного
ведения бизнеса. Такие технологии автоматизируют бизнес-процессы и упрощают
решение многих трудоемких бизнес задач, тем самым открывают широкие перспективы
развития компаний. Наряду с положительными моментами, используемые
технологические новшества являются источником новых уязвимостей и потенциальных
опасностей для информационных активов компании. При этом пренебрежение
вопросами информационной безопасности может привести к катастрофическим
последствиям.
Почти каждую неделю в средствах массовой информации мы
слышим о новых компьютерных преступлениях, хакерских атаках[1], сбоях в информационных
системах, всемирных вирусных эпидемиях, нарушающих работоспособность
информационных систем многих компаний и других проблемах, связанных с
использованием информационных технологий. Причем доступная информация об этих
фактах составляет только "верхушку айсберга", так как многие компании
стараются не придавать огласке свои инциденты безопасности во избежание подрыва
своей репутации и доверия со стороны клиентов и партнеров. По оценкам западных
экспертов, ущерб от компьютерного мошенничества, промышленного шпионажа и
других нарушений информационной безопасности с каждым годом неуклонно растет.
Вредоносное программное обеспечение (вирусы, троянские кони и т.д.), а также
хакерские атаки на информационные системы становятся все более
распространенными и изощренными. При этом злоумышленники, как правило, обладают
достаточно высокой квалификацией в области IT-технологий и знают слабые места
информационных систем.
1. Угроза компьютерных преступлений
Согласно данным международного комитета по компьютерной
преступности, занимающегося исследованиями масштабов и видов компьютерных
преступлений, компьютерные преступления представляют собой серьезную угрозу для
любой располагающей компьютерной техникой организации. По существующим
подсчетам, вывод из строя информационной системы в результате возникновения
нештатной технической ситуации или преступления может привести даже самый
крупный банк к полному разорению за четверо суток, а более мелкое учреждение –
за сутки[2]. Необходимо отметить, что
никакие технические, организационные и правовые меры не в состоянии
гарантировать полную безопасность и надежность информационных систем. Поэтому
основная задача обеспечения информационной безопасности сводится к снижению
рисков до приемлемого уровня, что возможно лишь при комплексном подходе к
вопросам информационной безопасности. Именно такой подход и нашел свое
отражение в международных стандартах по информационной безопасности.
В соответствии с международными стандартами обеспечение
информационной безопасности предполагает следующее. В первую очередь, компании
необходимо сформулировать ясную политику информационной безопасности,
концептуально отражающую принятые в компании цели, принципы, подходы и методы
обеспечения информационной безопасности. Такая политика должна эффективно
поддерживаться руководством компании и адекватно пониматься всеми ее
сотрудниками. Следующим важным шагом является определение и категорирование
ресурсов ИС, подлежащих защите, а также определение необходимых к применению
требований информационной безопасности. При выборе требований безопасности
следует учитывать результаты оценки рисков для компании, требования
законодательства, специфику деятельности компании. Далее, в соответствии с
политикой и требованиями безопасности, необходимо выбрать адекватные средства
защиты и правильно интегрировать их в информационную систему.
Необходимо отметить, что обеспечение информационной
безопасности должно быть непрерывным и управляемым процессом на протяжении
всего жизненного цикла ИС. Это достигается путем внедрения в компании системы
управления информационной безопасностью (СУИБ). Организация СУИБ предполагает
наличие не только технических средств защиты информации, но и соответствующих
организационных структур, а также правового обеспечения деятельности по защите
информации. Функционирование СУИБ должно четко регламентироваться нормами и
требованиями, документально закрепленными в правилах, инструкциях, приказах и
т.д. СУИБ должна непрерывно поддерживаться в актуальном состоянии путем
проведения ее регулярных проверок и анализа ее функционирования с учетом
произошедших инцидентов безопасности, изменений структуры компании, развития
информационных технологий и т.д. В процессе управлении информационной
безопасностью необходимо участие всех сотрудников компании. Максимального
повышения эффективности работы СУИБ модно достигнуть путем использования
высокопрофессиональной помощи экспертов по информационной безопасности из
сторонних организаций. Наличие СУИБ означает реализацию в компании
основательного и комплексного подхода к обеспечению информационной безопасности
и является важным условием достижения целей информационной безопасности,
определенных компанией.
Одним из основных приоритетов комплексного подхода к
обеспечению информационной безопасности является определение причин
возникновения слабых мест (уязвимостей) в системе безопасности ИС. Если
посмотреть на жизненный цикл ИС, то можно выявить три его основных этапа:
проектирование, внедрение и эксплуатация ИС. Каждому из этих этапов
соответствуют свои категории уязвимостей: уязвимости проектирования, уязвимости
внедрения и уязвимости эксплуатации.
Уязвимости проектирования обусловлены несоблюдением
требований информационной безопасности при проектировании ИС. Основными
требованиями к проектируемой ИС в этом случае выступают производительность и
удобство работы. Такие уязвимости наиболее опасны, так как они свойственны
самому проекту в целом, применяемым алгоритмам и логике функционирования
информационной системы. Выявление и устранение уязвимостей проектирования после
внедрения в эксплуатацию ИС является сложной, трудоемкой, дорогостоящей, а в
некоторых случаях невыполнимой задачей. Возникают технологические и финансовые
трудности с применением средств защиты информации в построенной ИС. Чтобы
избежать появления подобных проблем необходимо учитывать требования
информационной безопасности уже на стадии проектирования ИС, и желательно
провести независимую экспертизу проекта с точки зрения информационной
безопасности. Консультационную помощь по вопросам информационной безопасности
при проектировании, а так же услуги по экспертизе проекта могут оказать
компании, специализирующиеся в защите информации.
При экспертизе проекта анализируются проектная и
сопутствующая документации на соответствие требованиям информационной
безопасности, предъявляемым к проекту; рассматривается обоснованность и полнота
таких требований; выявляются и анализируются недостатки в проектируемой
системе, протоколах ее функционирования, механизмах и методах обеспечения
защиты, которые могут привести к нарушениям информационной безопасности
системы. Результатом экспертизы являются рекомендации по устранению выявленных
недостатков и повышению общего уровня безопасности.
2. Причины и характеры уязвимостей
Причиной появления уязвимостей внедрения может послужить
недостаточный профессионализм в области информационной безопасности системных
администраторов и иного персонала, ответственного за внедрение ИС. Среди таких
уязвимостей можно выделить два основных вида: технические и
организационно-правовые.
Технические уязвимости вызваны ошибками и недочетами при
настройке и конфигурировании программно-аппаратных ресурсов ИС. Такие
уязвимости, как использование слабых паролей, работа неиспользуемых сервисов,
некорректно настроенные правила межсетевого экрана и т.п., наиболее часто
используются злоумышленниками для проведения атак на ИС. Привлечение
специалистов в области информационной безопасности может предупредить появление
таких уязвимостей при внедрении ИС. Также можно использовать автоматизированные
средства анализа защищенности, позволяющие произвести проверку сетевых ресурсов
ИС на наличие уязвимостей данного вида[3].
Организационно-правовые уязвимости на этапе внедрения ИС,
как правило, обусловлены отсутствием или недостаточно проработанной
документацией и непрофессионально организованным внедрением подсистемы
безопасности. Некорректно сформулированные требования информационной
безопасности в нормативных документах или должностных инструкциях,
недостаточная подготовка пользователей и т.д. являются примером таких
уязвимостей. Предупредить их появление так же может получение на этапе
внедрения консультативной помощи специалистов, профессионально занимающихся
вопросами информационной безопасности.
Однако, даже при правильной разработке и внедрении проекта,
информационная система не застрахована от появления уязвимостей, связанных с ее
эксплуатацией. Появление эксплуатационных уязвимостей обусловлено многими
факторами: процесс модернизации компонентов и технологий информационной
системы, расширение ее масштабов, изменение конфигурации и настройки, низкий
уровень подготовки пользователей в области информационной безопасности и т.д.
Сюда же следует отнести и уязвимости в используемом программном обеспечении.
Именно во время эксплуатации ИС происходит ее непрерывное
наполнение информацией различного рода, требующей поддержания
конфиденциальности, целостности и доступности. Руководство компании должно
определить категории информации на основании ее потенциальной ценности,
важности и критичности для компании и установить для каждой категории единые
правила обращения с информацией. При этом не следует забывать, что защита
некоторых видов информации может регулироваться законодательством. Это может быть
информация партнеров, клиентов, сотрудников, которые не хотят, чтобы их личная
информация выходила за пределы компании, финансовая информация, номера
кредитных карт, банковских счетов и т.п.
Сегодня трудно представить компанию, которая не использовала
бы обширные возможности, предоставляемые сетью Интернет. Вместе с тем,
подключение ИС к сети Интернет существенно повышает ее общую уязвимость. И рано
или поздно, руководство компании начинает задумываться над вопросом:
"Насколько информационная система, решающая важные бизнес задачи и
содержащая конфиденциальные данные, устойчива к угрозам безопасности со стороны
Интернет?". Одним из способов проверки надежности защиты информационной системы
со стороны Интернет является проведение теста на проникновение.
Тест на проникновение представляет собой
"санкционированную" попытку преодоления защиты с использованием
средств и методов, применяемых так называемыми хакерами. При этом исполнитель
получает минимум исходных данных о ИС компании. Данный тест могут провести как
нанятые специально для этого специалистыиндивидуалы,
так и специалисты из организаций, профессионально занимающиеся вопросами
информационной безопасности. В первом случае заказчик берет на себя все риски
связанные с порядочностью и ответственностью исполнителя. Возможно, не все
уязвимости, найденные ими в ИС, будут отражены в отчетах, собранная в процессе
тестирования информация о системе не будет храниться с должными мерами
предосторожности и т.п. Другое дело, если эту работу проводят заслуживающие
доверие компании. При тесте на проникновение они используют специализированные,
проработанные методики, оговаривают с заказчиком границы и условия проведения
работ, выбирают вместе с заказчиком портрет предполагаемого злоумышленника,
определяют нежелательные последствия тестирования и по окончании работ
предоставляют заказчику отчет, содержащий полный список выявленных уязвимостей
и подробное описание проведенных атак. Но такая проверка является лишь первым
шагом на пути к полному пониманию текущего состояния защищенности ИС. В силу
своей природы тест на проникновения не позволяет выявить весь набор уязвимых и
слабых мест ИС и не может дать полной картины состояния безопасности ИС[4].
Поэтому у руководства компании начинают появляться новые
вопросы: "Устойчива ли ИС ко всем остальным видам угроз? Являются ли
обоснованными затраты на информационную безопасность?" Предпосылкой для
размышления могут стать постоянные публикации в прессе о всевозможных происшествиях
в ИС других компаний, а также имевшие место инциденты информационной
безопасности в собственной компании. Почти все такие происшествия влекут за
собой материальные убытки или подрыв репутации компании. Ответить на такие
вопросы возможно только после проведения полного анализа защищенности
информационных систем.
3. Анализ защищенности информационных систем
Анализ защищенности информационных систем – методически
обеспеченный процесс выявления уязвимостей информационной системы,
обусловленных ошибками при проектировании, внедрении и эксплуатации ИС. Целями
проведения анализа защищенности являются:
·
определение текущего состояния информационной
безопасности ИС;
·
оценка соответствия ИС существующим и признанным
стандартам в области информационной безопасности; локализация уязвимостей и
узких мест в системе безопасности ИС;
·
выработка рекомендаций по повышению уровня
безопасности ИС. Работы по анализу защищенности ИС включают в себя ряд
последовательных этапов, которые в целом соответствуют этапам проведения
комплексного аудита безопасности ИС, включающего в себя:
·
определение границ анализа;
·
сбор необходимой информации;
·
анализ полученных данных;
·
выработку рекомендаций и подготовку отчета.
На первом этапе определяются объем и границы проведения
работ. Компания определяет, для каких подсистем ИС необходимо провести анализ
защищенности, выбирает необходимый уровень глубины и детализации изучения ИС.
Некоторые компании при определении границ исключают проверку подсистем ИС, не
являющихся критичными или подсистем, которые могут оказаться недоступными для
проверки из-за соображений конфиденциальности. Сбор необходимой информации
является наиболее трудоемким и длительным этапом. В большинстве случаев это
связано с отсутствием необходимой документации на информационную систему и с
необходимостью тесного взаимодействия проверяющей стороны со многими
сотрудниками организации. Для сбора информации могут использоваться различные
методы: автоматизированные средства анализа защищенности, интервью с
ответственными лицами компании, изучение технической и
организационно-распорядительной документации и т.д. От полноты, достоверности и
актуальности полученных данных зависит качество выводов по состоянию
информационной безопасности в компании. Используемые методы анализа данных
определяются выбранными подходами к проведению анализа защищенности, которые
могут существенно различаться для разных компаний. Возможно применение методов
анализа рисков, позволяющих дать количественную или качественную оценку всем
рискам безопасности, присущим конкретной информационной системе. При этом
проводится идентификация и оценка ценности ресурсов, рассматриваются возможные
в данной среде угрозы и существующие уязвимости. Посредством оценки рисков
определяются угрозы для ресурсов, оцениваются их уязвимость, вероятность
реализации угроз, а также оценивается их потенциальное воздействие. Это,
пожалуй, наиболее сложный процесс при анализе и требующий высокой квалификации
исполнителя. Так же анализ защищенности ИС предполагает проведение оценки ее подсистемы
информационной безопасности на предмет соответствия соответствующим требованиям
компании заказчика и типовым требованиям международных стандартов.
Рекомендации, выдаваемые по результатам анализа защищенности ИС, определяются
используемыми методиками, особенностями ИС и границами проведения работ. В
любом случае, рекомендации должны быть максимально полными, осуществимыми и
применимыми к данной ИС. Выводы должны сопровождаться аргументами,
подкрепленными результатами анализа, и экономическим обоснованием. Полученные
результаты помогут руководителям компании объективно и независимо оценить
текущей уровень информационной безопасности компании и принять правильное
решение по его повышению. Вместе с тем, анализ защищенности не подразумевает
выдачу технического проекта подсистемы информационной безопасности, либо
детальных рекомендаций по внедрению конкретных программно-аппаратных средств
защиты информации. Анализ защищенности не является одноразовым мероприятием,
его необходимо проводить периодически, по мере модернизации и расширения
информационной системы. Необходимо также регулярно проверять актуальность
существующей системы безопасности.
Таким образом, для обеспечения надежной защиты ресурсов ИС
необходимо учитывать вопросы информационной безопасности на протяжении всего ее
жизненного цикла[5].
При правильном подходе и выбранной политике информационной
безопасности можно добиться того, что система информационной безопасности
компании будет эффективной, экономически оправданной и полностью отвечающей
требованиям компании и международных стандартов. Однако, создать такую систему
защиты собственными силами чрезвычайно трудно. В таком случае необходимо
содержать штат специалистов по информационной безопасности, что может быть не
выгодно по экономическим соображениям, а также сопровождаться большими
трудностями в поиске высококвалифицированных специалистов. Существенно
сократить затраты и повысить качество системы защиты можно за счет привлечения
внешних консультантов компаний, специализирующихся в области защиты информации.
Такой подход имеет ряд достоинств.
Во-первых, компании, профилирующиеся на защите информации,
обладают большим профессиональным опытом, используют передовые технологии,
методики и подходы к решению вопросов по информационной безопасности.
Во-вторых, эффективность защиты информации в организации в
основном определяется качеством полученных от специалистов оценок угроз
безопасности и рекомендаций по выбору и применению средств управления
информационной безопасностью. Однако в этом случае для достижения максимальной
эффективности, эксперты должны иметь прямой доступ к руководству компании. К
специалисту по информационной безопасности необходимо как можно скорее
обратиться при подозреваемом или произошедшем нарушении безопасности с целью
получения квалифицированных рекомендаций по действиям, которые необходимо
предпринять в таких случаях.
Заключение
В настоящей работе рассматривались вопросы, касающиеся угроз
компьютерным системам, их причины и характеристики, а также проводился анализ
их защищенности.
Так как угроза может возникнуть в любой момент, то для ее
предотвращения необходимо содержать штат специалистов, которые будут постоянно
поддерживать безопасность системы.
Основные причины уязвимости систем были названы следующие:
·
технические уязвимости;
·
организационно-правовые уязвимости.
Даже при абсолютно правильном проектировании и эксплуатации
могут возникнуть такие ситуации, которые ослабят безопасность системы.
Поэтому безопасность системы должна контролироваться
постоянно.
Литература
1.
Дж. Черилло Защита от
хакеров. СПб., "Питер", 2002 г., 480 стр.
2.
А. Лукацкий Обнаружение атак СПб., БХВ-Петербург,
2001, 624 стр.
3.
Стивен Норткатт, Джуди Новак Обнаружение вторжений в сеть. Настольная книга
специалиста по системному анализу
М., "Лори", 2001, 384 стр.
4.
Э. Цвики, С. Купер, Б. Чапмен
Создание защиты в Интернете, СПб., Символ-Плюс, 2002 г, 928 стр.
5.
Шнайер Б. Секреты и ложь.
Безопасность данных в цифровом мире
Издательский дом "Питер", 2004,
Твердый переплет, 368 стр.
[1] Дж. Черилло Защита от хакеров. СПб., "Питер", 2002
г., стр. 11
[2] Стивен
Норткатт, Джуди Новак
Обнаружение вторжений в сеть. Настольная книга специалиста по системному
анализу М., "Лори", 2001, стр.
122
[3] А.
Лукацкий Обнаружение атак СПб., БХВ-Петербург, 2001, стр. 326
[4] Шнайер Б. Секреты и ложь. Безопасность данных в цифровом
мире
Издательский дом "Питер",
2004, Твердый переплет, стр. 79
[5] Э.
Цвики, С. Купер, Б. Чапмен Создание защиты в
Интернете, СПб., Символ-Плюс, 2002 г,
стр. 54