Грамотный подход к созданию надежного плана защиты информационных систем подразумевает выполнение описанных ниже этапов, тщательная проработка которых в любой стране должна вестись с соблюдением всех соответствующих государственных законодательных норм
Первое, что следует иметь в виду при организации систем защиты данных, — это то, что сами по себе технологические решения вас не спасут. Даже самые лучшие продукты служат лишь для проведения в жизнь тех правил и процедур, которые устанавливаются и поддерживаются системными администраторами и играют решающую роль в организации защиты любого ИТ-ресурса. Большую часть времени и сил администраторы систем защиты тратят именно на разработку, реализацию и внедрение соответствующих правил и процедур.
Во многих случаях для конкретных систем и сетей необходимо вводить свои обязательные к выполнению требования. Например, при организации защиты информационных систем госучреждений эти правила и процедуры должны строго соответствовать четко определенному списку нормативных актов и законов.
Требования принимаемых в последнее время рядом стран законов, которые определяют порядок защиты вычислительных систем, подключенных к государственным сетям и службам, еще больше усложняют ситуацию для специалистов в области информационной безопасности. К счастью, большая часть этих юридических ограничений касается общеизвестных аспектов, которые могут и должны быть реализованы в большинстве систем, как государственных, так и любых иных. Думается, впрочем, в каждой стране есть свои сложности и своя специфика работы специалистов по защите информационных систем.
Чтобы обеспечить эффективную защиту информации в организации, прежде всего следует понять, что представляют собой системы, безопасность которых необходимо гарантировать, и каким рискам эти системы подвержены. Только в этом случае можно подготовить содержательный план их защиты, который, помимо прочего, должен предусматривать разработку детальной документации и постоянный анализ действенности предпринимаемых мер защиты.
Грамотный подход к созданию надежного плана защиты информационных систем подразумевает выполнение описанных ниже этапов, тщательная проработка которых в любой стране должна вестись с соблюдением всех соответствующих государственных законодательных норм.
Изучите системы и угрозы
При разработке любой стратегии защиты прежде всего необходимо точно определить, что именно вы намерены защищать. На самом деле данный процесс не ограничивается простой инвентаризацией оборудования.
Начните с выяснения реальных ограничений систем, безопасность которых вы намерены обеспечить. ИТ-системы представляют собой комплексы физических компонентов, программного обеспечения, данных, служб связи и бизнес-процессов. Все это находится под контролем одного руководителя или группы менеджеров, между которыми распределены обязанности, и служит одной общей цели. Определение состава той или иной системы само по себе может оказаться весьма полезным, поскольку нередко администраторы не до конца представляют себе, что входит в нее.
Важно отметить, что система вовсе не обязательно состоит из компьютеров, связанных друг с другом или с чем-то еще. Например, у каждого из разъездных агентов есть свой мобильный компьютер, все эти компьютеры служат для выполнения одной и той же работы и контролируются уполномоченным на это специалистом. С точки зрения организации защиты все эти мобильные компьютеры тоже следует рассматривать как целостную систему.
Готовя план защиты, необходимо уделять пристальное внимание тем компонентам системы, которые могут использоваться совместно с другими отделами или организациями. Например, несколько отделов одной государственной структуры могут обращаться к одному и тому же WAN-компоненту. В зависимости от архитектуры сети конкретный отдел может иметь или не иметь контроль над WAN-инфраструктурой этой сети. Если прямого контроля над WAN-инфраструктурой нет, то защита системы будет распространяться до демаркационной линии, разделяющей локальную и глобальную сеть.
После того, как вы выяснили, что представляет собой система, которую вам предстоит защитить, вы можете лучше понять, кто и что ей угрожает. Теперь нужно определить, насколько важен каждый из компонентов для решения того круга задач, которые стоят перед данным подразделением. Информация, хранящаяся в системе, физическая инфраструктура, программное обеспечение и специалисты, работающие с данной системой, должны оцениваться с точки зрения трех основных типов потенциальных угроз — тех, что приводят к снижению готовности, надежности и к раскрытию секретной или конфиденциальной информации.
Готовность системы может быть снижена самыми разными способами, от сетевых атак, нацеленных на отказ в обслуживания (Denial of Service, DoS), и физического разрушения системы (например, путем взрыва) до случайного повреждения в результате стихийного бедствия (например, шторма или наводнения). Надежность системы снижается в тех случаях, когда данные могут быть изменены пользователями, которые не обладают соответствующими правами или когда некое лицо модифицирует компоненты таким образом, что они оказываются не в состоянии выдавать корректную информацию. Секретная информация оказывается открытой в тех случаях, когда пользователи, не имеющие соответствующих прав, получают доступ к данным, которые должны быть недоступными для них по тем или иным соображениям.
Уязвимым местом может быть физический либо логический участок сети. Помимо физических проверок исправности и защищенности оборудования, необходимо полное сканирование сети, операционных систем и приложений в поисках уязвимых мест. Для этого нужно применять специализированные программные средства. Примером такого программного обеспечения может служить пакет Nessus, распространяемый свободно c открытыми кодами.
При обнаружении изъяна администраторам следует проанализировать, насколько серьезному риску подвергается система в случае использования злоумышленниками этой конкретной бреши. И хорошо бы представить себе, что произойдет в самом худшем случае, правда, перегибать палку здесь не стоит. При оценке риска достаточно получить объективные ответы на три следующих вопроса. Насколько важен конкретный ИТ-ресурс? Какой вред будет нанесен организации в том случае, если данный ресурс окажется поврежден или уничтожен? Какова вероятность того, что злоумышленники смогут и будут использовать данное уязвимое место для своих атак?
Решите, что вы намерены делать
После того как перечень возможных рисков составлен, необходимо предпринять шаги к устранению уязвимых мест и разработке контрмер на случай атак. Применяемые для этой цели инструменты будут эффективными только в том случае, если все программное обеспечение в системе актуально (то есть используются текущие версии) и установлены все необходимые заплаты. Если вы внимательно подошли к вопросу идентификации компонентов системы, то у вас уже есть общее представление о том, какие именно заплаты нужны. Установив их, займитесь реализацией системы управления изменениями в программном обеспечении и данных. Эта система станет дополнительным источником сведений в том случае, если какому-то злоумышленнику удастся преодолеть выстроенные вами защитные бастионы.
В Соединенных Штатах выпущено несколько так называемых «Специальных изданий» (Special Publication), которые могут оказаться весьма полезными при проектировании процедуры организации защиты. Среди них в частности «Руководство по разработке плана защиты для ИТ-систем» (Guide to Developing Security Plans for Information Technology Systems, SP 800-18) и «Руководство по самостоятельной оценке безопасности ИТ-систем» (Security Self-Assessment Guide for Information Technology Systems», SP 800-26). Второй документ представляет даже больший интерес, поскольку в нем предлагаются шаблоны для оценки текущего состояния ИТ-систем и разработки планов реализации их защиты по 17 основным пунктам, начиная с планирования мер на случай экстренных ситуаций и заканчивая обучением сотрудников.
К сожалению, на практике при планировании построения систем защиты и при разработке соответствующих программ обучению зачастую уделяется очень мало внимания. Но по мере того как требования к безопасности информационных систем растут и принимают все более специфический характер, растет и потребность в квалифицированном персонале. Специалисты компании должны хорошо представлять себе, какова их роль в обеспечении защиты информации. Их необходимо научить корректно использовать информационные системы с учетом наличия новых процессов и технологий защиты. Кроме того, они должны знать, каковы будут последствия в случае нарушения ими соответствующих процедур защиты при работе с системой.
Документируйте все, что вы делаете
Документация — это основа для эффективного и систематического проведения в жизнь плана защиты. В ней должны быть отражены следующие ключевые моменты.
В первую очередь, должна быть подробно документирована существующая конфигурация системы. Многие атаки строятся на скрытом внесении изменений в конфигурацию приложений или операционной системы. Четкая процедура регистрации в документации изменений при авторизованных модификациях системы окажет существенную помощь в обнаружении таких атак и устранении их последствий.
Многим государственным организациям ведение документации необходимо также для того, чтобы получить сертификаты, обязательные для государственных систем и систем, которые подключаются к государственным системам. В таких случаях документация должна соответствовать стандартам, установленным государством.
В документации подробно описываются информационные системы — имеющиеся активы, уязвимые места, возможные риски — и перечисляются меры, которые нужно предпринять в случае атаки. В ней также должен быть отражен процесс защиты, дана оценка системы защиты и процедуры постоянной оценки надежности защиты и установки обновлений. Крайне важно, чтобы по мере совершенствования информационных систем соответствующие дополнения вносились в документацию, только в этом случае она в каждый момент времени будет отражать реальное положение вещей.
Анализируйте то, что вы делаете
Создание и воплощение в жизнь плана защиты информации — это колоссальная задача, которую нельзя рассматривать как одноразовое мероприятие. Недопустимо относиться к ней по принципу «сделано и забыто». Защита — это непрерывный процесс, который требует наличия серьезного набора правил и процедур для управления системой и регулярной его переоценки. Сертификация систем защиты требует документально оформленного набора процедур переоценки, при которых тестируются и проверяются все вновь обнаруженные уязвимые места.
Из соображений здравого смысла все изменения в системе (от заплат на отдельных рабочих станциях до переходов на новые серверные операционные системы) должны быть полностью документированы. Конечно, нелегко отслеживать все модификации, сделанные в крупной и сложной системе, но все же поддерживать этот процесс намного проще, чем наводить порядок после разрушительной атаки.
Как бы хорошо ни была спроектирована и реализована система защиты, она не даст гарантии безопасности, если вопросам защиты в организации не уделяется первостепенного значения. Технологии развиваются, и инструментарий, который может использоваться для атак на системы, по своим возможностям всегда будет опережать продукты, предназначенные для их защиты. И помните: только хорошо обученные, квалифицированные пользователи, осознающие важность этой проблемы, смогут поддерживать целостность и защиту информации и ресурсов перед лицом постоянно растущей угрозы.
Реализация плана
При организации защиты любой системы необходимо иметь в виду следующие важные моменты
Не забудьте о физической защите
Если за системой никто не будет следить во время сеанса работы привилегированных пользователей, какой бы надежной ни была политика доступа на основе паролей, она окажется абсолютно бесполезной, если клавиатурой компьютера, на котором работает привилегированный пользователь, кто-то иной воспользуется для того, чтобы нанести ущерб системе. Элементы системы, обеспечивающие доступ к корневым каталогам или доступ в систему в качестве привилегированного пользователя, должны располагаться в помещении со строго контролируемым доступом.
Используйте пароли
Следите за тем, чтобы они были достаточно длинными, нестандартными и регулярно менялись. Пароли должны иметь в длину не меньше шести символов и представлять собой слова, которые нельзя найти в словарях (они должны содержать как буквы, так и цифры). Заставляйте пользователей регулярно менять пароли. Все это, по-видимому, не вызовет у них особого энтузиазма, однако если не соблюдать эти требования, никто не сможет поручиться за надежность системы защиты.
Продумайте и организуйте процессы резервного копирования и восстановления данных
Как бы хорошо ни был продуман ваш план защиты, никогда нельзя быть уверенным в его неуязвимости. Убедитесь в том, что процедуры резервного копирования обеспечивают сохранение всех критически важных изменений в данных и всех транзакций, а также в том, что процесс восстановления сведет к минимуму последствия даже самых серьезных сбоев в системе.
Изучите своих пользователей
Ограничьте, если это возможно, доступ к системе со стороны компьютеров с конкретными, известными IP-адресами. Введите максимально строгие ограничения и надежные схемы аутентификации для пользователей, получающих доступ с удаленных машин. Проверьте, чтобы пользователям не было предоставлено больше прав, чем необходимо. Старайтесь не допускать «расползания прав», то есть, предоставляя пользователям дополнительные права, необходимые им для выполнения новых обязанностей, не забывайте ограничивать допуск к тем функциям, которые стали им не нужны.
Обучайте своих пользователей
Убедитесь в том, что каждому пользователю известны все процедуры защиты информации и он понимает, как следует соблюдать правила, обеспечивающие безопасность системы. Разъясните каждому пользователю, каковы будут последствия несоблюдения этих правил и процедур как для него лично, так и для всей организации. Проследите за тем, чтобы каждый новый сотрудник компании прошел курс обучения, посвященный вопросам защиты информационных систем.
Учитесь сами
Вы должны знать о своих системах и их уязвимых местах не меньше, чем те, кто намерен атаковать их. Следите за тем, чтобы вовремя устанавливались новые версии и заплаты для приложений, операционных систем и встроенных программ. Вы должны знать, какие из них следует устанавливать на ваши системы безотлагательно, а какие могут подождать до следующей крупной модернизации.