Ко всем информационным потокам, выходящим за пределы фирмы, должны применяться те же правила, что и только что описанные выше для объединения разноуровневых терминалов.

Физический доступ к сетевым кабелям должен соответствовать уровню доступа к информации.

2. При определении топологии сети следует при любых возможностях избегать широковеща­тельных топологий. Оптимальной единицей сегментирования является группа операторов с равными правами доступа, либо если эта группа составляет более 10 человек, то комната или отдел внутри группы. Ни в коем случае на одном кабеле не должны находиться операторы с разными уровнями доступа, если только весь передаваемый трафик не шифруется, а идентификация не производится по скрытой схеме без открытой передачи пароля.

Социальная психология и иные способы получения паролей

Иногда злоумышленники вступают и в прямой контакт с лицами, обладающими нужной им ин­формацией, разыгрывая довольно убедительные сцены. "Жертва" обмана, поверившая в реальность рассказанной ей по телефону или в электронном письме ситуации, сама сообщает пароль злоумыш­леннику.

Краткий обзор еще нескольких довольно часто встречающихся методов.

Звонок администратору – злоумышленник выбирает из списка сотрудников того, кто не ис­пользовал пароль для входа в течение нескольких дней (отпуск, отгулы, командировка) и кого ад­министратор не знает по голосу. Затем следует звонок с объяснением ситуации о забытом пароле, искренние извинения, просьба зачитать пароль, либо сменить его на новый. Больше чем в половине случаев просьба будет удовлетворена, а факт подмены будет замечен либо с первой неудачной по­пыткой зарегистрироваться истинного сотрудника, либо по произведенному злоумышленником ущербу.

Почти такая же схема, но в обратную сторону может быть разыграна злоумышленником в адрес сотрудника фирмы – звонок от администратора. В этом случае он представляется уже сотрудни­ком службы информационной безопасности и просит назвать пароль либо из-за произошедшего сбоя в базе данных, либо якобы для подтверждения личности самого сотрудника по какой-либо причине (рассылка особо важных новостей), либо по поводу последнего подключения сотрудника к какому-либо информационному серверу внутри фирмы. Фантазия в этом случае может придумы­вать самые правдоподобные причины, по которым сотруднику "просто необходимо" вслух назвать пароль. Самое неприятное в этой схеме то, что если причина запроса пароля придумана, что назы­вается "с умом", то сотрудник повторно позвонит в службу информационной безопасности только через неделю, месяц, если вообще это произойдет. Кроме того, данная схема может быть проведена и без телефонного звонка – по электронной почте, что неоднократно и исполнялось якобы от имени почтовых и Web-серверов в сети Интернет.

Оба данных метода относятся к группе "атака по социальной психологии" и могут принимать самые разные формы. Их профилактикой может быть только тщательное разъяснение всем сотруд­никам, в особо важных случаях введение административных мер и особого регламента запроса и смены пароля.

Необходимо тщательно инструктировать сотрудников об опасности оставления рабочих стан­ций, не закрытых паролем. В первую очередь это, конечно, относится к терминалам, работающим в публичных местах и офисах с более низким уровнем доступа к информации, однако, и при работе в помещениях с равным уровнем доступа не рекомендуется давать возможность сотрудникам рабо­тать за другими ЭВМ тем более в отсутствие владельца. В качестве программных профилакти­ческих мер используются экранные заставки с паролем, появляющиеся через 5-10 минут отсутствия рабочей активности, автоматическое отключение сервером клиента через такой же промежуток времени. От сотрудников должны требоваться разрегистрация, как на серверах, так и на рабочих станциях при выключении ЭВМ, либо закрытие их паролем при оставлении без присмотра.

Большое внимание следует уделять любым носителям информации, покидающим пределы фир­мы. Наиболее частыми причинами этого бывают ремонт аппаратуры и списание технологически ус­таревшей техники. Необходимо помнить, что на рабочих поверхностях носителей даже в удаленных областях находится информация, которая может представлять либо непосредственный интерес, ли­бо косвенно послужить причиной вторжения в систему. Так, например, при использовании вирту­альной памяти часть содержимого ОЗУ записывается на жесткий диск, что теоретически может привезти даже к сохранению пароля на постоянном носителе (хотя это и маловероятно). Ремонт, производимый сторонними фирмами на месте, должен производится под контролем инженера из службы информационной безопасности. Необходимо помнить, что при нынешнем быстродействии ЭВМ копирование файлов производится со скоростью, превышающей мегабайт в секунду, а уста­новить второй жесткий диск для копирования в момент ремонта без надзора специалиста можно практически незаметно. Все носители информации, покидающие фирму должны надежно чиститься либо уничтожаться механически (в зависимости от дальнейших целей их использования).

Немного слов о защищенности самих носителей информации. На сегодняшний день не сущест­вует разумных по критерию "цена/надежность" носителей информации, не доступных к взлому. Строение файлов, их заголовки и расположение в любой операционной системе может быть прочи­тано при использовании соответствующего программного обеспечения. Практически невскрываемым может быть только энергонезависимый носитель, автоматически разрушающий информацию при попытке несанкционированного подключения к любым точкам, кроме разрешенных разъемов, желательно саморазрушающийся при разгерметизации, имеющий внутри микропроцессор, анали­зирующий пароль по схеме без открытой передачи. Однако, все это из области "сумасшедших" цен и военных технологий.

Угрозы доступности могут выглядеть грубо - как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными причинами (чаще всего - грозами). К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, и случаи выгорания оборудования - не редкость.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом - с помощью так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует все же признать надуманной.

Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Летом, в сильную жару, норовят сломаться кондиционеры, установленные в серверных залах, набитых дорогостоящим оборудованием. В результате значительный ущерб наносится и репутации, и кошельку организации.

Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранят небрежно (к этому мы еще вернемся при обсуждении угроз конфиденциальности), не обеспечивая их защиту от вредного воздействия окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Для бизнес-класса и частной переписки данная проблема решается гораздо проще и дешевле – с помощью криптографии. Любой объем информации от байта до гигабайта, будучи зашифрован с помощью более или менее стойкой криптосистемы, недоступен для прочтения без знания ключа. И уже совершенно не важно, хранится он на жестком диске, на дискете или компакт-диске, не важно, под управлением какой операционной системы. Против самых новейших технологий и миллионных расходов здесь стоит математика, и этот барьер до сих пор невозможно преодолеть. Вот почему си­ловые ведомства практически всех стран, будучи не в состоянии противостоять законам математи­ки, применяют административные меры против так называемой стойкой криптографии". Вот поче­му ее использование частными и юридическими лицами без лицензии Федерального Агентства по Связи и Информации (ФАПСИ), входящего в структуру одного из силовых ведомств государства, запрещено и у нас в России.

Лекция 3. Законодательный уровень информационной безопасности

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений не­обходимо сочетать меры следующих уровней:

· законодательного;

· административного (приказы и другие действия руководства организаций, связанных с за­щищаемыми информационными системами);

· процедурного (меры безопасности, ориентированные на людей);

· программно-технического.

Законодательный уровеньявляется важнейшим для обеспечения информационной безопасно­сти. Большинство людей не совершают противоправных действий не потому, что это техниче­ски невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

· меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасно­сти (назовем их мерами ограничительной направленности);

· направляющие и координирующие меры, способствующие повышению образованности об­щества в области информационной безопасности, помогающие в разработке и распростране­нии средств обеспечения информационной безопасности (меры созидательной направленно­сти).

На практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознан­ного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, по­зволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению ин­формационной безопасности.

Обзор российского законодательства в области информационной безопасности. Правовые акты общего назначения, затрагивающие вопросы информационной безо­пасности

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информациюможет реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных сер­веров и поддержание доступности и целостности представленных на них сведений, то есть обеспе­чение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным спосо­бом. Современная интерпретация этих положений включает обеспечение конфиденциальности дан­ных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам за­щиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна.Согласно статье 139, информация составляет служебную или коммерческую тайнув слу­чае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и облада­тель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как мини­мум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения кон­фиденциальности.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Рос­сийской Федерации (редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере компью­терной информации" - содержит три статьи:

· статья 272. Неправомерный доступ к компьютерной информации;

· статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

· статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ во­просов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает нака­зание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне"(с изменениями и дополнениями от 6 ок­тября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и опера­тивно-розыскной деятельности, распространение которых может нанести ущерб безопасности Рос­сийской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информатизации и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безо­пасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем дают­ся основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

· информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

· документированная информация (документ) - зафиксированная на материальном носителе ин­формация с реквизитами, позволяющими ее идентифицировать;

· информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

· информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычисли­тельной техники и связи, реализующих информационные процессы;

· информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках дан­ных, других информационных системах);

· информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельст­вах жизни гражданина, позволяющие идентифицировать его личность;

· конфиденциальная информация - документированная информация, доступ к которой ограничи­вается в соответствии с законодательством Российской Федерации;

· пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на гибкость определения конфиденциальной информации, которая не сводится к сведе­ниям, составляющим государственную тайну, а также на понятие персональных данных, заклады­вающее основу защиты последних.

Закон выделяет следующие цели защиты информации:

· предотвращение утечки, хищения, утраты, искажения, подделки информации;

· предотвращение угроз безопасности личности, общества, государства;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и инфор­мационные системы, обеспечение правового режима документированной информации как объ­екта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве иприменении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Це­лостность представлена также достаточно полно, хотя и на втором месте. О доступности ("предот­вращение несанкционированных действий по ... блокированию информации") сказано довольно ма­ло.

Продолжим цитирование:

"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".

По сути, это положение констатирует, что защита информации направлена на обеспечение инте­ресов субъектов информационных отношений.

Далее. "Режим защиты информации устанавливается:

· в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

· в отношении конфиденциальной документированной информации - собственником информаци­онных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

· в отношении персональных данных - федеральным законом."
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная ин­формация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.

Как же защищать информацию?В качестве основного закон предлагает для этой цели мощ­ные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

Информационные системы, базы и банки данных, предназначенные для информационного об­служивания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".

Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, орга­низаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. По­рядок лицензирования определяется законодательством Российской Федерации.

Интересы потребителя информации при использовании импортной продукции в информацион­ных системах защищаются таможенными органами Российской Федерации на основе международ­ной системы сертификации.

Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные систе­мы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...

И еще несколько пунктов, теперь из статьи 22:

Владелец документов, массива документов, информационных систем обеспечивает уровень за­щиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе ин­формации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и инфор­мационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

Владелец документов, массива документов, информационных систем обязан оповещать собст­венника информационных ресурсов и (или) информационных систем о всех фактах нарушения ре­жима защиты информации.

Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса: около трети респондентов-американцев не знали, были ли взло­маны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

Далее, статья 23 "Защита прав субъектов в сфере информационных процессов и информатиза­ции" содержит следующий пункт:

Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третей­ским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью авто­матизированных информационных и телекоммуникационных систем, может подтверждаться элек­тронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизирован­ной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения про­блемы "неотказуемости" ( невозможности отказаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и за­щите информации". На следующей странице будут рассмотрены другие законы РФ в области ин­формационной безопасности.

Другие законы и нормативные акты

Следуя логике Закона "Об информации, информатизации и защите информации", мы продолжим наш обзор Законом "О лицензировании отдельных видов деятельности" от 8 августа 2001 года но­мер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.

· Лицензия- специальное разрешение на осуществление конкретного вида деятельности при обя­зательном соблюдении лицензионных требований и условий, выданное лицензирующим орга­ном юридическому лицу или индивидуальному предпринимателю.

· Лицензируемый вид деятельности- вид деятельности, на осуществление которого на террито­рии Российской Федерации требуется получение лицензии в соответствии с настоящим Феде­ральным законом.

· Лицензирование- мероприятия, связанные с предоставлением лицензий, переоформлением до­кументов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением ли­цензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензи­онных требований и условий.

· Лицензирующие органы- федеральные органы исполнительной власти, органы исполнитель­ной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом.

· Лицензиат- юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых тре­буются лицензии. Нас будут интересовать следующие виды:

· распространение шифровальных (криптографических) средств;

· техническое обслуживание шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка и производство шифровальных (криптографических) средств, защищенных с исполь­зованием шифровальных (криптографических) средств информационных систем, телекоммуни­кационных систем;

· выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев элек­тронных цифровых подписей, оказание услуг, связанных с использованием электронных цифро­вых подписей и подтверждением подлинности электронных цифровых подписей;

· выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

· разработка и (или) производство средств защиты конфиденциальной информации;

· техническая защита конфиденциальной информации;

· разработка, производство, реализация и приобретение в целях продажи специальных техниче­ских средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую дея­тельность.

Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:

· деятельность, связанная с защитой государственной тайны;

· деятельность в области связи;

· образовательная деятельность.

Подчеркнем в этой связи, что данный Закон не препятствует организации Интернет-
Университетом учебных курсов по информационной безопасности (не требует получения специ­альной лицензии; ранее подобная лицензия была необходима). В свою очередь, Федеральный Закон "Об образовании" не содержит каких-либо специальных положений, касающихся образовательной деятельности в области ИБ.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осу­ществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламенти­рованы соответствующими указами Президента и постановлениями Правительства РФ, которые мы здесь перечислять не будем.

В эпоху глобальных коммуникаций важную роль играет Закон "Об участии в международном информационном обмене" от 4 июля 1996 года номер 85-ФЗ (принят Государственной Думой 5 ию­ня 1996 года). В нем, как и в Законе "Об информации...", основным защитным средством являются лицензии и сертификаты. Процитируем несколько пунктов из статьи 9.

Защита конфиденциальной информации государством распространяется только на ту деятель­ность по международному информационному обмену, которую осуществляют физические и юри­дические лица, обладающие лицензией на работу с конфиденциальной информацией и использую­щие сертифицированные средства международного информационного обмена.

Выдача сертификатов и лицензий возлагается на Комитет при Президенте Российской Федера­ции по политике информатизации, Государственную техническую комиссию при Президенте Рос­сийской Федерации, Федеральное агентство правительственной связи и информации при Президен­те Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правитель­ством Российской Федерации.

При обнаружении нештатных режимов функционирования средств международного информа­ционного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанк­ционированными действиями обслуживающего персонала или иных лиц, либо ложной информаци­ей собственник или владелец этих средств должен своевременно сообщить об этом в органы кон­троля за осуществлением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб.

При желании здесь можно усмотреть обязательность выявления нарушителя информационной безопасности - положение, вне всяких сомнений, очень важное и прогрессивное.

Еще одна цитата - теперь из статьи 17 того же Закона.

Статья 17: "Сертификация информационных продуктов, информационных услуг, средств меж­дународного информационного обмена.

При ввозе информационных продуктов, информационных услуг в Российскую Федерацию им­портер представляет сертификат, гарантирующий соответствие данных продуктов и услуг требова­ниям договора. В случае невозможности сертификации ввозимых на территорию Российской Феде­рации информационных продуктов, информационных услуг ответственность за использование дан­ных продуктов и услуг лежит на импортере.

Средства международного информационного обмена, которые обрабатывают документирован­ную информацию с ограниченным доступом, а также средства защиты этих средств подлежат обя­зательной сертификации.

Сертификация сетей связи производится в порядке, определяемом Федеральным законом "О свя­зи"

Читая пункт 2, трудно удержаться от вопроса: "А нужно ли сертифицировать средства защиты средств защиты этих средств?" Ответ, конечно, положительный...

10 января 2002 года Президентом был подписан очень важный закон "Об электронной цифровой подписи" номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и кон­кретизирующий приведенные выше положения закона "Об информации...". Его роль поясняется в статье 1.

Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Россий­ской Федерации случаях. Действие настоящего Федерального закона не распространяется на отно­шения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

· Электронный документ- документ, в котором информация представлена в электронно-
цифровой форме.

· Электронная цифровая подпись- реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографиче­ского преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также ус­тановить отсутствие искажения информации в электронном документе.

· Владелец сертификата ключа подписи- физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым клю­чом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписы­вать электронные документы).

· Средства электронной цифровой подписи- аппаратные и (или) программные средства, обес­печивающие реализацию хотя бы одной из следующих функций: создание электронной цифро­вой подписи в электронном документе с использованием закрытого ключа электронной цифро­вой подписи, подтверждение с использованием открытого ключа электронной цифровой подпи­си подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

· Сертификат средств электронной цифровой подписи- документ на бумажном носителе, вы­данный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

· Закрытый ключ электронной цифровой подписи- уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электрон­ных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.

· Открытый ключ электронной цифровой подписи- уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользо­вателю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в элек­тронном документе.

· Сертификат ключа подписи- документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной
цифровой подписи и идентификации владельца сертификата ключа подписи.
Подтверждение подлинности электронной цифровой подписи в электронном документе - поло­жительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

· Пользователь сертификата ключа подписи- физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

· Информационная система общего пользования- информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

· Корпоративная информационная система- информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Пересказать такие определения своими словами невозможно... Обратим внимание на неодно­значное использование термина "сертификат", которое, впрочем, не должно привести к путанице. Кроме того, данное здесь определение электронного документа слабее, чем в Законе "Об информа­ции...", поскольку нет упоминания реквизитов.

Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собст­венноручной подписи в документе на бумажном носителе при одновременном соблюдении сле­дующих условий:

· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил си­лу (действует) на момент проверки или на момент подписания электронного документа при на­личии доказательств, определяющих момент подписания;

· подтверждена подлинность электронной цифровой подписи в электронном документе;

· электронная цифровая подпись используется в соответствии со сведениями, указанными в сер­тификате ключа подписи.

Закон определяет сведения, которые должен содержать сертификат ключа подписи:

· уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания сро­ка действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

· фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в серти­фикат ключа подписи;

· открытый ключ электронной цифровой подписи;

· наименование средств электронной цифровой подписи, с которыми используется данный откры­тый ключ электронной цифровой подписи;

· наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа под­писи;

· сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

Лекция 4.1 Стандарты и спецификации в области информационной безо­пасности.

Мы приступаем к обзору стандартов и спецификаций двух разных видов:

· оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности;

· технических спецификаций, регламентирующих различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спе­цификаций. Другие технические спецификации определяют, как строить ИС предписанной архи­тектуры.

Исторически первым оценочным стандартом, получившим широкое распространение и оказав­шим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".

Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", впервые опуб­ликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопас­ных, а о доверенных системах, то есть системах, которым можно оказать определенную степень до­верия.

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соот­ветствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В "Оранжевой книге" доверенная система определяется как "система, использующая достаточ­ные аппаратные и программные средства, чтобы обеспечить одновременную обработку информа­ции разной степени секретности группой пользователей без нарушения прав доступа". Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.

Степень доверия оценивается по двум основным критериям:

Ø Политика безопасности- набор законов, правил и норм поведения, определяющих, как органи­зация обрабатывает, защищает и распространяет информацию. В частности, правила определя­ют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем вы­ше степень доверия системе, тем строже и многообразнее должна быть политика безопас­ности.В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

Ø Уровень гарантированности- мера доверия, которая может быть оказана архитектуре и реали­зации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и от­дельных ее компонентов. Уровень гарантированности показывает, насколько корректны меха­низмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Важным средством обеспечения безопасности является механизм подотчетности (протоко­лирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ве­дение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.

Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и кор­ректностью исходных данных, которые вводит системный администратор.

Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, доста­точно компактна.

Основное назначение доверенной вычислительной базы - выполнять функции монитора обра­щений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущ­ностями). Монитор проверяет каждое обращение пользователя к программам или данным на пред­мет согласованности с набором действий, допустимых для пользователя.

Монитор обращений должен обладать тремя качествами:

Ø Изолированность. Необходимо предупредить возможность отслеживания работы монитора.

Ø Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обой­ти его.

Ø Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализиро­вать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это осно­ва, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу доверенной вычислительной базы называют периметром безопасности. Как уже указы­валось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверен­ными. С развитием распределенных систем понятию "периметр безопасности" все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

Механизмы безопасности

Согласно "Оранжевой книге", политика безопасности должна обязательно включать в себя сле­дующие элементы:

· произвольное управление доступом;

· безопасность повторного использования объектов;

· метки безопасности;

· принудительное управление доступом.

Произвольное управление доступом (называемое иногда дискреционным)- это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую
субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец
объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права
доступа к объекту.

Безопасность повторного использования объектов- важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паро­лями и т.п.), для дисковых блоков и магнитных носителей в целом.

Как мы указывали ранее, современный объектно-ориентированный подход резко сужает область действия данного элемента безопасности, затрудняет его реализацию. То же верно и для интеллек­туальных устройств, способных буферизовать большие объемы данных.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируют­ся метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации.

Согласно "Оранжевой книге", метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупоря­доченное. Назначение последних - описать предметную область, к которой относятся данные.

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безо­пасности субъекта и объекта.

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в сек­ретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безо­пасности субъектов и объектов, оказываются зафиксированными и права доступа.

Если понимать политику безопасности узко, то есть как правила разграничения доступа, то ме­ханизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:

Ø идентификация и аутентификация;

Ø предоставление доверенного пути;

Ø анализ регистрационной информации.

Классы безопасности

"Критерии ..." Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности. В "Оранжевой книге" определяется четыре уровня доверия: D, C, B и A. Уровень D предназна­чен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.

Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате проце­дуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомя­нем лишь важнейшие.

Класс C1:

Ø доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

Ø пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные
действия, контролируемые доверенной вычислительной базой. Для аутентификации дол­
жен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;

Ø доверенная вычислительная база должна поддерживать область для собственного выпол­нения, защищенную от внешних воздействий (в частности, от изменения команд и/или
данных) и от попыток слежения за ходом работы;

Ø должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

Ø защитные механизмы должны быть протестированы на предмет соответствия их поведе­ния системной документации. Тестирование должно подтвердить, что у неавторизованно­
го пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;

Ø должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы.

Класс C2 (в дополнение к C1):

Ø права доступа должны гранулироваться с точностью до пользователя. Все объекты долж­ны подвергаться контролю доступа;

Ø при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы
необходимо ликвидировать все следы его использования;

Ø каждый пользователь системы должен уникальным образом идентифицироваться. Каждое
регистрируемое действие должно ассоциироваться с конкретным пользователем;

Ø доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;

Ø тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изо­ляции ресурсов и защиты регистрационной информации.

Класс B1 (в дополнение к C2):

Ø доверенная вычислительная база должна управлять метками безопасности, ассоциируе­мыми с каждым субъектом и хранимым объектом;

Ø доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

Ø доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов пу­тем разделения их адресных пространств;

Ø группа специалистов, полностью понимающих реализацию доверенной вычислительной
базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;

Ø должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

Класс B2 (в дополнение к B1):

Ø снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно
доступные субъектам;

Ø к доверенной вычислительной базе должен поддерживаться доверенный коммуникацион­ный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

Ø должна быть предусмотрена возможность регистрации событий, связанных с организаци­ей тайных каналов обмена с памятью;

Ø доверенная вычислительная база должна быть внутренне структурирована на хорошо
определенные, относительно независимые модули;

Ø системный архитектор должен тщательно проанализировать возможности организации
тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;

Ø должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

Ø модель политики безопасности должна быть формальной. Для доверенной вычислитель­
ной базы должны существовать описательные спецификации верхнего уровня, точно и
полно определяющие ее интерфейс;

Ø в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изме­нений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

Ø тесты должны подтверждать действенность мер по уменьшению пропускной способности
тайных каналов передачи информации.

Класс B3 (в дополнение к B2):

Ø для произвольного управления доступом должны обязательно использоваться списки
управления доступом с указанием разрешенных режимов;

Ø должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности дол­жен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;

Ø доверенная вычислительная база должна быть спроектирована и структурирована таким
образом, чтобы использовать полный и концептуально простой защитный механизм с
точно определенной семантикой;

Ø процедура анализа должна быть выполнена для временных тайных каналов;

Ø должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых
действий;

Ø должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;

Ø должна быть продемонстрирована устойчивость доверенной вычислительной базы к по­пыткам проникновения.

Класс A1 (в дополнение к B3):

Ø тестирование должно продемонстрировать, что реализация доверенной вычислительной
базы соответствует формальным спецификациям верхнего уровня;

Ø помимо описательных, должны быть представлены формальные спецификации верхнего
уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;

Ø механизм конфигурационного управления должен распространяться на весь жизненный
цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

Ø должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Такова классификация, введенная в "Оранжевой книге". Коротко ее можно сформулировать так:

· уровень C - произвольное управление доступом;

· уровень B - принудительное управление доступом;

· уровень A - верифицируемая безопасность.

Публикация "Оранжевой книги" без всякого преувеличения стала эпохальным событием в об­ласти информационной безопасности. Появился общепризнанный понятийный базис, без кото­рого даже обсуждение проблем ИБ было бы затруднительным.

Отметим, что огромный идейный потенциал "Оранжевой книги" пока во многом остается невос­требованным. Прежде всего это касается концепции технологической гарантированности, охваты­вающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации.

Лекция 4.2 Руководящие документы Гостехкомиссии России.

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская Руко­водящие документы (РД), играющие роль национальных оценочных стандартов в области инфор­мационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии", что можно только приветствовать.

В своем обзоре мы рассмотрим два важных, хотя и не новых, Руководящих документа - Класси­фикацию автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа (НСД) и аналогичную Классификацию межсетевых экранов (МЭ).

Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защи­те. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от цен­ности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа со­держит два класса - 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различ­ного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабаты­вается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. Представим все перечисленные выше классы и их признаки в виде таблицы.

Требования к защищенности автоматизированных систем.

"-" нет требований к данному классу;

"+" есть требования к данному классу;

"СЗИ НСД" система защиты информации от несанкционированного доступа

По существу перед нами - минимум требований, которым необходимо следовать, чтобы обеспе­чить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступ­ность (точнее, восстановление) предусмотрено только для самих средств защиты.

Переходя к рассмотрению второго РД Гостехкомиссии России - Классификации межсетевых эк­ранов - укажем, что данный РД представляется нам принципиально важным, поскольку в нем идет речь не о целостном продукте или системе, а об отдельном сервисе безопасности, обеспечивающем межсетевое разграничение доступа.

Данный РД важен не столько содержанием, сколько самим фактом своего существования.

Основным критерием классификации МЭ служит протокольный уровень (в соответствии с эта­лонной семиуровневой моделью), на котором осуществляется фильтрация информации. Это понят­но: чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тон­кую и надежную фильтрацию можно реализовать.

Значительное внимание в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирования распределенных конфигураций.

Расследование компьютерных преступлений.

Расследование компьютерных преступлений существенно отличаются от расследований других "традиционных" преступлений. По данным уголовным делам чаще всего допускаются ошибки, что зачастую объясняется отсутствием надлежащего уровня теоретической и практической подготовки оперативных работников и следователей. Изучение уголовных дел этой категории дает основание полагать, что одной из существенных причин низкого качества следствия является отсутствие сис­тематизированных и отработанных методик расследования компьютерных преступлений, а также ошибки, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров.

Результаты анализа практической деятельности правоохранительных органов по расследованию компьютерных преступлений свидетельствуют о том, что исследование компьютерной техники це­лесообразно проводить в условиях криминалистической лаборатории, где эту работу выполняют специалисты с необходимой профессиональной подготовкой.

Доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко изменены, как в результате ошибок при их изъятии, так и в процессе самого ис­следования. Представление подобных доказательств в судебном процессе требует специальных знаний и соответствующей подготовки. Здесь нельзя недооценивать роль экспертизы, которая мо­жет дать квалифицированный ответ на поставленные вопросы.

Однако экспертиза требует какого-то времени не только на ее проведение, но и на поиск соот­ветствующих специалистов, а при изъятии компьютерной техники существенным фактором, позво­ляющим сохранить необходимую доказательную информацию, является неожиданность и опера­тивность. Именно поэтому изъятие компьютеров и информации приходится проводить теми сила­ми, которые в настоящее время проводят следственные действия. В данном случае именно следова­тель не застрахован от ошибок, обусловленных недостаточностью знаний, что потом достаточно умело, используется защитой в суде.

Поставленная проблема имеет два аспекта: общие ошибки, которые допускаются работниками правоохранительных органов при расследовании компьютерных преступлений, и технические ас­пекты, связанные с защитой информации, которая устанавливается на компьютерах их непосредст­венными пользователями.

Как известно, обнаружение, осмотр и изъятие компьютеров и компьютерной информации в про­цессе следственных действий могут совершаться не только при следственном, но и при проведении других следственных действий: обысков, выемок, воспроизведении обстоятельств и обстановки происшествия.

Следует выделить некоторые правила работы с компьютерами, изъятыми при расследовании преступлений в сфере компьютерной информации, а также предложить общие рекомендации, кото­рые могут быть полезными при обработке компьютерных доказательств.

Рассмотрим некоторые типичные ошибки, наиболее часто совершаемые при проведении следст­венных действий в отношении компьютерной информации либо самих компьютеров:

1. Ошибочная работа с компьютером. Первое и основное правило, которое должно неуклонно выполняться, состоит в следующем: ни­когда и ни при каких условиях не работать на изъятом компьютере. Это правило допускает, что изъятый компьютер - прежде всего объект исследования специалиста. Поэтому до передачи экспер­там его желательно даже не включать, поскольку категорически запрещено исполнять любые опе­рации на изъятом компьютере, не обеспечив необходимых мер защиты (например, защиты от мо­дификации или создания резервной копии). Если на компьютере установлена система защиты (на­пример - пароль), то его включение может вызвать уничтожение информации, которая находится на жестком диске. Не допускается загрузка такого компьютера с использованием его собственной опе­рационной системы. Подобная мера объясняется достаточно просто: преступнику не составляет особого труда уста­новить на своем компьютере программу для уничтожения информации, например, на жестком диске, записав такие "ловушки" через модификацию операционной системы. Например, простая команда DIR, которая используется для отображения каталога диска, может быть легко из­менена, чтобы отформатировать жесткий диск. После того, как данные и сама разрушительная программа уничтожены, никто не сможет сказать наверняка, был ли "подозреваемый" компьютер оборудован такими программами специально, или это результат небрежности при исследовании компьютерных доказательств?

2. Допуск к компьютеру владельца (пользователя) компьютера. Серьезной ошибкой является допуск к исследуемому компьютеру владельца для оказания по­мощи в его эксплуатации. Известны многие случаи из практики, когда подозреваемые на допросах, связанных с компьютерными доказательствами, допускались к работе на изъятом компьютере. Позже они рассказывали своим знакомым, как шифровали файлы "прямо под носом у полицей­ских", а те об этом даже не догадывались. Учитывая такие последствия, компьютерные специали­сты стали делать резервные копии компьютерной информации прежде, чем допускать к работе над ней. Еще одна проблема связанна с возможностью опровержения в суде идентичности предъявленно­го на процессе программного обеспечения тому, которое находилось на данном компьютере на мо­мент изъятия. Чтобы избежать подобных ситуаций, компьютер, следует, не включая его, опечатать в присутствии понятых. Если работник правоохранительных органов принимает решение об осмотре компьютера на месте, первое, что необходимо сделать, это снять копию с жесткого магнитного дис­ка и любой дискеты, которая будет изыматься как вещественное доказательство. Это означает, что до проведения каких-либо операций с компьютером, необходимо зафиксировать его состояние на момент проведения следственных действий.

3. Отсутствие проверки компьютера на наличие вирусов и программных закладок. С целью проверки компьютера на наличие вирусов и программных закладок, необходимо загру­зить компьютер не с его операционной системы, а со своей загодя подготовленной дискеты, либо со стендового жесткого диска. Проверке подвергаются все носители информации - дискеты, жесткий диск и другие носители. Эту работу следует проделать привлеченному к участию в следственных действиях специалисту с помощью специального программного обеспечения. Нельзя допустить, чтобы у суда появилась возможность обвинения следствия в умышленном за­ражении компьютера вирусами, в некомпетентности при проведении следственных действий, либо просто в небрежности, поскольку доказать, что вирус находился в компьютере до момента исследо­вания, вряд ли возможно, а подобное обвинение поставит под сомнение всю работу эксперта и дос­товерность его выводов. Такие наиболее типичные ошибки, которые часто встречаются при исследовании компьютера в делах, связанных с расследованием компьютерных преступлений. Однако рассмотренный перечень не охватывает всех ошибок, возникающих в процессе изъятия и исследования компьютерной ин­формации. Этому можно легко дать объяснение: отсутствие достаточного опыта в подобных делах в нашей стране. В то же время в странах Западной Европы и США уже накоплен богатый опыт рас­следования сложных компьютерных преступлений. Необходимо более тщательно его изучить, что позволит избежать многих из них.

Во избежание ошибок при проведении следственных действий на начальном этапе расследова­ния, которые могут привести к потере или искажению компьютерной информации, следует при­держиваться некоторых рекомендаций:

1. В первую очередь следует сделать резервную копию информации. В процессе обыска и выемки, связанных с изъятием компьютера, магнитных носителей и ин­формации, возникает ряд общих проблем, связанных со спецификой изымаемых технических средств. В первую очередь необходимо предусмотреть меры безопасности, которые совершаются преступниками с целью уничтожения компьютерной информации. Они, например, могут использо­вать специальное оборудование, в критических случаях образующее сильное магнитное поле, кото­рое стирает магнитные записи. На протяжении обыска все электронные доказательства, находящиеся в компьютере либо в ком­пьютерной системе должны быть собраны таким образом, дабы они потом могли быть признанны­ми судом. Мировая практика показывает, что в большинстве случае под давлением представителей защиты в суде электронные доказательства не принимаются во внимание. Чтобы гарантировать их признание в качестве доказательств, необходимо строго придерживаться уголовно-процессуального законодательства, а также стандартизированных приемов и методик их изъятия. Обычно компьютерные доказательства сохраняются путем создания точной копии с оригинала (первичного доказательства), прежде чем делается какой-либо их анализ. Но делать копии компью­терных файлов, используя только стандартные программы резервного копирования, недостаточно. Вещественные доказательства могут существовать в виде уничтоженных либо спрятанных файлов, а данные, связанные с этими файлами, можно сохранить только с помощью специального про­граммного обеспечения. Носители, на которые предусматривается копировать информацию, должны быть за­ранее подготовленные (необходимо убедиться, что на них отсутствует какая-нибудь информация). Носители следует сохранять в специальных упаковках либо заворачивать в чистую бумагу. Необхо­димо помнить, что информация может быть повреждена влажностью, температурным влиянием или электростатическими (магнитными) полями.

2. Найти и сделать копии временных файлов. Многие текстовые редакторы и программы управления базами данных создают временные фай­лы как побочный продукт нормальной работы программного обеспечения. Большинство пользова­телей компьютера не осознают важности создания этих файлов, потому что обычно они уничтожа­ются программой в конце сеанса работы. Однако данные, находящиеся внутри этих уничтоженных файлов, могут оказаться наиболее полезными. Особенно, если исходный файл был кодированный или документ подготовки текстов был напечатан, но никогда не сохранялся на диске, такие файлы могут быть восстановлены.

3. Необходимо обязательно проверить Swap File. Популярность Microsoft Windows принесла некоторые дополнительные средства, касающиеся исследования компьютерной информации. Swap File функционируют как дисковая память, огром­ная база данных и множество разных временных фрагментов информации. В этом Swap File может быть обнаружен даже весь текст документа.

4. Необходимо сравнивать дубли текстовых документов. Часто дубли текстовых файлов можно обнаружить на жестком диске или других носителях информации. Это могут быть незначительные изменения между версиями одного документа, которые могут иметь доказательную ценность. Расхождения можно легко идентифицировать с помощью наиболее современных текстовых редакторов.

5. Фотографирование и маркирование элементов компьютерной системы. Фотографирование и маркирование элементов компьютерной системы - важный первый шаг при подготовке системы к транспортировке. Документирование состояния системы на данном этапе не­обходимо для правильной сборки и подключения всех элементов системы в условиях лаборатории. При фотографировании следует исполнить снимки системы крупным планом ее передней и задней частей. Фотографирование и маркирование элементов изымаемой компьютерной системы дает воз­можность в точности воссоздать состояние компьютерной техники в лабораторных условиях иссле­дования. Некоторое оборудование типа внешних модемов может иметь множество мелких пере­ключателей, фиксирующих его состояние, которые при транспортировке могут быть изменены, что создаст дополнительные проблемы для эксперта.

Хотелось бы выделить также общие рекомендации, которые необходимо учитывать при иссле­довании компьютера на месте происшествия. Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ, должны придерживаться следующего:

Ø перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы. Следует помнить о том, что некорректный выход с некоторых про­грамм может вызвать уничтожение информации или испортить саму программу;

Ø принять меры по установлению пароля доступа к защищенным программам;

Ø при активном вмешательстве сотрудников предприятия, стремящихся противодействовать следственной группе, необходимо отключить электропитание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для исследования информации в лабораторных условиях;

Ø в случае необходимости консультаций персонала предприятия, получать их следует у разных лиц путем опрашивания или допроса. Подобный метод позволит получить максимально правдивую информацию и избежать умышленного вреда;

Ø при изъятии технических средств, целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.);

Ø при наличии локальной вычислительной сети необходимо иметь нужное количество специалистов для дополнительного исследования информационной сети;

Ø изымать все компьютеры (системные блоки) и магнитные носители;

Ø тщательно осмотреть документацию, обращая внимание на рабочие записи операторов ЭВМ, ибо часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию;

Ø составить список всех внештатных и временных работников организации (предприятия) с це­лью выявления программистов и других специалистов в области информационных технологий, работающих в данном учреждении. Желательно установить их паспортные данные, адреса и места постоянной работы;

Ø записать данные всех лиц, находящихся в помещении на момент появления следственной
группы, независимо от объяснения причин их пребывания в данном помещении;

Ø составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике, либо часто пребывающих в помещении, где находятся ЭВМ.

Если возможен непосредственный доступ к компьютеру и исключены все нежелательные ситуа­ции, приступают к осмотру. Причем следователь и специалист должны четко объяснять все свои действия понятым. При осмотре должны быть установлены:

Ø конфигурация компьютера с четким и подробным описанием всех устройств;

Ø номера моделей и серийные номера каждого из устройств;

Ø инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

Ø другая информация с фабричных ярлыков (на клавиатуре ярлык обычно находится на обратной стороне, а на мониторе и процессоре - сзади). Такая информация вносится в протокол осмотра вычислительной техники и может быть важной для следствия.

В заключение необходимо подчеркнуть, что при проведении любых следственных действий, связанных с расследованием преступлений в сфере использования компьютерных технологий (осо­бенно выемка информации и компьютерного оборудования) целесообразно с самого начала привле­чение специалиста в области информационных технологий. До начала следственных действий сле­дует также иметь определенную информацию, касающуюся: марки, модели, компьютера, операци­онной системы, периферийных устройств, средств связи и любые другие ведомости о системе, ко­торая является объектом расследования. Целенаправленная деятельность следователя, оперативных работников, особенно на первичном этапе расследования, обеспечивает успех дальнейшего рассле­дования компьютерных преступлений.

Лекция 5. Административный уровень информационной безопасности.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня- сформировать программу работ в области ин­формационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контро­лируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защи­те своих информационных активов. Руководство каждой организации должно осознать необходи­мость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты опре­делена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Термин "политика безопасности" является не совсем точным переводом английского словосоче­тания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные пра­вила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впе­реди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высо­ком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциирован­ных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сдела­ем еще раз далее. Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и види­мые грани объектов. Техническим средством составления, сопровождения и визуализации подоб­ных карт может служить свободно распространяемый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровнюможно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

Ø решение сформировать или пересмотреть комплексную программу обеспечения информацион­ной безопасности, назначение ответственных за продвижение программы;

Ø формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

Ø обеспечение базы для соблюдения законов и правил;

Ø формулировка административных решений по тем вопросам реализации программы безопасно­сти, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности фор­мулируются в терминах целостности, доступности и конфиденциальности. Если организация отве­чает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаи­модействие с другими организациями, обеспечивающими или контролирующими режим безопас­ности. Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некото­рые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и та­кая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала. Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следу­ет контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно вы­работать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий поли­тику безопасности организации, следующие разделы:

Ø вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

Ø организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

Ø классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

Ø штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки
персонала, порядок реагирования на нарушения режима безопасности и т.п.);

Ø раздел, освещающий вопросы физической защиты;

Ø управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

Ø раздел, описывающий правила разграничения доступа к производственной информации;

Ø раздел, характеризующий порядок разработки и сопровождения систем;

Ø раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

Ø юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровнюможно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, дос­туп в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), ис­пользование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д. Политика среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта.Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения.Следует определить, где, когда, как, по отношению к кому и чему при­меняется данная политика безопасности. Например, касается ли политика, связанная с использова­нием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных пере­носить информацию на производственные машины?

3. Позиция организации по данному аспекту.Продолжая пример с неофициальным программ­ным обеспечением, можно представить себе позиции полного запрета, выработки процедуры при­емки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, опре­деляющих политику безопасности (как и их перечень), в разных организациях может сильно отли­чаться.

4. Роли и обязанности. В "политический" документ необходимо включить информацию о долж­ностных лицах, ответственных за реализацию политики безопасности. Например, если для исполь­зования неофициального программного обеспечения сотрудникам требуется разрешение руково­дства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

5. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

6. Точки контакта.Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное ли­цо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровняотносится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отде­лить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же вре­мя, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним ре­шения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

Ø кто имеет право доступа к объектам, поддерживаемым сервисом?

Ø при каких условиях можно читать и модифицировать данные?

Ø как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостно­сти, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть
более конкретными. Например, если речь идет о системе расчета заработной платы, можно поста­
вить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифи­цировать информацию. В общем случае цели должны связывать между собой объекты сервиса и
действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может
делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их вы­полнение программно-техническими средствами. С другой стороны, слишком жесткие правила мо­
гут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально за­даются права доступа к объектам ввиду особой важности данного вопроса.

Программа безопасности

После того, как сформулирована политика безопасности, можно приступать к составлению про­граммы ее реализации и собственно к реализации.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном слу­чае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сер­висов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

Ø управление рисками (оценка рисков, выбор эффективных средств защиты);

Ø координация деятельности в области информационной безопасности, пополнение и распре­
деление ресурсов;

Ø стратегическое планирование;

Ø контроль деятельности в области информационной безопасности.
В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нару­шений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное ме­сто в деятельности организации, она должна официально приниматься и поддерживаться руково­дством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседнев­ное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижне­го уровня отвечают администраторы сервисов.

Синхронизация программы безопасности с жизненным циклом систем

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защи­щаемого сервиса, можно добиться большего эффекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спро­ектировать и реализовать ее. То же справедливо и для информационной безопасности.

В жизненном цикле информационного сервиса можно выделить следующие этапы:

1. Инициация. На данном этапе выявляется необходимость в приобретении нового сервиса, доку­ментируется его предполагаемое назначение.

2. Закупка. На данном этапе составляются спецификации, прорабатываются варианты приобрете­ния, выполняется собственно закупка.

3. Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.

4. Эксплуатация. На данном этапе сервис не только работает и администрируется, но и подвергается модификациям.

5. Выведение из эксплуатации. Происходит переход на новый сервис.

На этапе инициацииоформляется понимание того, что необходимо приобрести новый или зна­чительно модернизировать существующий сервис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

С точки зрения безопасности важнейшим действием здесь является оценка критичности, как са­мого сервиса, так и информации, которая с его помощью будет обрабатываться. Требуется сформу­лировать ответы на следующие вопросы:

Ø какого рода информация предназначается для обслуживания новым сервисом?

Ø каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

Ø каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

Ø есть ли какие-либо особенности нового сервиса (например, территориальное распределение компонентов), требующие принятия специальных процедурных мер?

Ø каковы характеристики персонала, имеющие отношение к безопасности (квалификация, бла­гонадежность)?

Ø каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций. Кро­ме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.

Этап закупки - один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий заку­паемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппа­ратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигура­цией. Подчеркнем также, что нередко средства безопасности являются необязательными компонен­тами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту, уста­новка является очень ответственным делом. Во-первых, новый продукт следует сконфигуриро­вать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасно­сти; их необходимо включить и должным образом настроить. Для большой организации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным де­лом. Во-вторых, новый сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п. После принятия перечисленных мер необходимо провести тестирование. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.

Период эксплуатации - самый длительный и сложный. С психологической точки зрения наибольшую опасность в это время представляют незначительные изменения в конфигурации сервиса в поведении пользователей и администраторов. Если безопасность не поддерживать, она ослабевает. Пользователи не столь ревностно выполняют должностные инструкции, администраторы менее тщательно анализируют регистрационную информацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности не осталось и следа. Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

При выведении из эксплуатациизатрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонен­тов, хранящих конфиденциальную информацию. Программы, вероятно, просто стираются, если иное не предусмотрено лицензионным соглашением. При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии про­читать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи. Информационные технологии развиваются очень быстро, и через несколь­ко лет устройств, способных прочитать старый носитель, может просто не оказаться. Если данные архивируются в зашифрованном виде, необходимо сохранить ключ и средства расшифровки. При архивировании и хранении архивной информации нельзя забывать о поддержании конфиденциаль­ности данных.

Лекция 6. Управление рисками.

Тема управление рисками рассматривается нами на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и кон­тролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собственной политики безо­пасности, нужно только для тех организаций, информационные системы которых и/или обра­батываемые данные можно считать нестандартными.Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализиро­ванного нами ранее российского законодательства в области ИБ). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество бумаг, во втором достаточно определиться лишь с несколькими параметрами.

Использование информационных систем связано с определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо велик, необходимо принять экономически оправданные за­щитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности дея­тельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения размер риска является функцией вероятности реализации опре­деленной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба.

Таким образом, суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рис­ками включает в себя два вида деятельности, которые чередуются циклически:

Ø (пере)оценку (измерение) рисков;

Ø выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

Ø ликвидация риска (например, за счет устранения причины);

Ø уменьшение риска (например, за счет использования дополнительных защитных средств);

Ø принятие риска (и выработка плана действия в соответствующих условиях);

Ø переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно подразделить на следующие этапы: