Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».
Следует отметить, что в соответствии с принятыми в стране официальными взглядами (см. Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации 9 сентября 2000 г.) понятие «информационная безопасность» рассматривают как одну из составляющих национальной безопасности, понимая ее как состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Применительно к нашему случаю имеет место своего рода «занятость термина»: в данном определении не учитываются интересы субъекта права. Более того, в понятие «информационная безопасность» вкладываются такие направления деятельности, как обеспечение информационно-психологической безопасности общества с учетом влияния на нее средств массовой информации и т.д. Это только подтверждает тезис и занятости термина, ведь сфера информационно-психологической безопасности исключительно далека от предмета нашего рассмотрения.
Доктриной вместе с тем определено, что национальные интересы Российской Федерации в информационной сфере включают в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. В целях обеспечения национальной безопасности в соответствии с Доктриной необходимо:
- повысить безопасность информационных систем, включая сети связи финансово-кредитной и банковской сфер и сферы хозяйственной деятельности;
- обеспечить защиту сведений, составляющих государственную тайну.
Из сказанного следует, что в соответствии с логикой Доктрины применительно к интересам конкретной организации следует использовать термин «безопасность информационных систем» или «безопасность информационных технологий», что является прямым переводом широко используемого англоязычного термина information technology security (ITSEC).
В нашей стране к информационным ресурсам принято относить только техническую инфраструктуру, в лучшем случае — информацию, которая в ней обрабатывается, циркулирует или хранится. Из рассмотрения постоянно выпадает колоссальный (если не сказать главный) пласт вопросов, влияющих на обеспечение безопасности информационных систем: деятельность персонала, административная и юридическая поддержка. Между тем официальные интересы государственных структур сосредоточены на классических проблемах технической зашиты информации криптографическими или некриптографическими средствами от несанкционированного пользователя. Им может быть хакер, занимающаяся взломом шифров группа «исследователей», силы технической разведки, собственный сотрудник пытающийся получить доступ к ресурсам в нарушение предоставленных ему прав и т. д. Спору нет, это все очень важно, но что делать с собственными сотрудниками, действующими в рамках предоставленных им полномочий по доступу к ресурсам? Именно они и воруют те самые базы данных по владельцам недвижимости, движимости, телефонам, сводкам по криминалу и антикриминалу, базы данных ОВИР и многое другое, что в открытую продается на Горбушке и Тушинском рынке в Москве и распространяется через Internet.
Угрозы легального доступа
Остановимся теперь на различиях между субъектами несанкционированного и легального доступа.
Основные угрозы информационным ресурсам принадлежат двум большим группам и реализуются через следующие источники:
- лиц, не имеющих легального доступа к информационным ресурсам организации (так называемые "субъекты несанкционированного доступа");
- лиц, имеющих легальный доступ к ресурсам организации ("субъекты легального доступа").
Эти категории субъектов угроз хорошо описаны, исследованы и воспеты в специальной и даже в художественной литературе. Представляется необходимым отметить главные особенности, радикально отличающие их друг от друга.
Суть действий субъекта НСД заключается в обращении к информационным ресурсам путем организации «канала несанкционированного доступа». Такой канал может быть создан путем вскрытия защищающих информацию в каналах связи криптографических средств, использования несовершенства технических средств, создающих побочные излучения и наводки, взлома систем защиты компьютерной информации (в том числе, хакерские атаки), а также старинным методом вскрытия замков и сейфов с похищением (а чаще — с копированием) ценных документов. Все эти действия характеризуются высокой скрытностью и сопровождаются колоссальной степенью неопределенности для того, кто подвергается нападению. Неопределенность порождает практику постоянного совершенствования (на практике это означает удорожания) технических мер защиты.
Это же обстоятельство породило весьма проработанную систему мер юридической защиты интересов государства. Создано достаточно развитое законодательство, регулирующее деятельность в сфере защиты государственной тайны, включая нормы прямой уголовной и административной ответственности за действия, приведшие к утечке (хищению) этой информации. Проблема, на взгляд автора, в этой сфере заключается не в отсутствии каких-либо дополнительных норм, а в эффективном применении действующего законодательства.
Суть действий субъекта легального доступа абсолютно противоположна. Ему разрешено работать с информационными ресурсами организации; более того, он не только использует эти ресурсы в процессе своей служебной деятельности, но и создает их. К этой категории субъектов угроз просто не применимы широко используемая в проблеме безопасности терминология, да и инструментарий. Ведь речь тут идет не о защите от несанкционированного доступа, а о предоставлении доступа легальному пользователю информации и управлении этим доступом в соответствии с административной политикой организации. Как поступит этот самый легальный пользователь с информацией, ставшей ему известной или доступной в результате выполнения им своих служебных обязанностей? Поняв это еще в 1958 году, американские специалисты начали разрабатывать основы административных норм поведения служащих, соответствующие кодексы поведения. Было сформулировано понятие «конфликт интересов», в данном случае — конфликт интересов организации и ее сотрудника. Естественно, разрабатывались и соответствующие технические средства, однако это были уже системы управления и регистрации доступа, а также всевозможные базы данных, конфликт которых по общему критерию поиска и классифицируется как «конфликт интересов».
А как быть с ситуацией, когда огромное количество самой разнообразной информации, напрямую затрагивающей интересы граждан, за бесценок продается в Internet теми, кто явно имел или имеет легальный доступ к этой информации? Такая ситуация — следствие отсутствия эффективного законодательного регулирования в сфере защиты подобной информации, отсутствия административных, организационных и технических инструментов, позволяющих правильно организовать работу персонала, отсутствия, как это ни банально звучит, этики корпоративного поведения сотрудников, считающих, что все, что лежит у них на столе и не имеет инвентарного номера, по определению является их собственностью.
Эти вопросы настоятельно требуют своего разрешения.
Оценка интегрального уровня ИТ-безопасности
Одним из обобщенных параметров, характеризующих устойчивость ИТ-инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом.
Естественно, достижение эффекта только в одном из компонентов (в том числе, и в безопасности информационных систем) не даст руководству необходимых гарантий того, что ИТ-инфраструктура, а потому и сама организация будет функционировать надлежащим образом.
Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем. Система оценок должна носить интегральный характер, так как руководство организации по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самой организации, обеспечиваемый, в том числе, и уровнем безопасности информационных систем.
С практической точки зрения этот вопрос — самый тяжелый. Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня ИТ-безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы.
- Использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем. Важнейшей особенностью используемых в этой сфере подходов является комплексность оценки всех сторон деятельности организации, каким-либо образом влияющих на риски безопасности. В силу ясного осознания сложности описания аудируемого объекта, в методиках этой категории применяется механизм качественного описания результатов проверки и мягкая рейтинговая система их оценки. Наиболее распространенный рейтинговый стандарт проверки информационных технологий — американский URSIT (Uniform Rating System for Information Technology).
Представляется, что этот подход наиболее объективен, однако он принят только в финансовом секторе и не находит применения вне него.
- Проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799. Пока известно лишь о первых, весьма ограниченных попытках применения этого метода, поэтому о практическом опыте говорить рано. Между тем разработчики стандарта заявляют, что после проведения подобного аудита информационная система организации становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. К сожалению, официально введение данного стандарта в России даже не рассматривается — возможно потому, что его комплексный характер и более широкая и приближенная к жизни модель угроз не соответствует рамкам полномочий ведомств, осуществляющих государственное регулирование в этой сфере.
- Применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии». В этих стандартах детально проработаны вопросы разработки информационных систем с учетом требований и гарантий их безопасности. Вместе с тем авторами стандарта сделаны серьезные ограничения, которые фактически не позволяют использовать его в качестве универсального инструмента комплексной оценки безопасности и жестко ограничивают область его применения только вопросами безопасности информационных систем. Стандарт не затрагивает административных и правовых вопросов обеспечения безопасности и далеко не полностью учитывает роль легального пользователя во всей совокупности проблем обеспечения безопасности.
В настоящее время ведется работа по введению в России этого стандарта как государственного (с некоторыми временными ограничениями по его вводу в действие), что само по себе можно только приветствовать. Однако в силу органически заложенных в стандарте ограничений он не слишком подходит для целей комплексной оценки интегрального уровня безопасности организации.
- Использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам. При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа.
При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.
Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем.
Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.
Реализация этих свойств позволяет руководству организации:
- сосредоточить свое внимание на наиболее важных аспектах обеспечения безопасности организации;
- принимать решения на основе объективной и целостной информации;
- контролировать возникающие риски;
- добиваться с большей эффективностью исполнения принятых решений;
- отслеживать качество принимаемых решений и оперативно вносить необходимые коррективы;
- значительно повысить предсказуемость результатов принимаемых решений.
Политика ИТ-безопасности организации
К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора.
Все это, несомненно, влияет на выработку политики безопасности информационных систем организации и ведет к необходимости учета следующих факторов:
- определения целей защиты;
- определения объекта защиты;
- определения актуальных угроз, субъектов этих угроз, выбора профилей защиты;
- разработки методов определения качества защиты или выбора уже существующих систем критериальных оценок;
- получения гарантий защищенности системы.
В условиях сложившейся неопределенности достаточно распространена ситуация, когда организация, заказывая услуги в сфере безопасности информационных систем, плохо представляет себе роль и место конкретной услуги, равно как и ее вклад в интегральный уровень безопасности. Как следствие, резко увеличиваются затраты на обеспечение безопасности при практической неопределенности в оценке достигнутого эффекта. При этом парадокс состоит в том, что при дальнейших вложениях неопределенность оценок практически не снижается, а сложность реализации мер безопасности растет.
В практической работе по организации и поддержанию уровня безопасности адекватного потребностям организации (защищенности, сохранности) информационных ресурсов при разработке политики безопасности в условиях неопределенности и неоднозначности действующей в стране концептуальной, законодательной и нормативной базы волей-неволей приходится сталкиваться с весьма разноплановыми факторами, влияющими на формирование этой политики.
Следует также отметить, что любой заказчик услуг безопасности находится под сильным интеллектуальным давлением поставщиков таких услуг, и в первую очередь, поставщиков оборудования и программных средств безопасности, а эти средства ориентированы на самую распространенную модель угроз — модель НСД. В результате, при отсутствии собственной адекватной реалиям политики безопасности заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации. Между тем, уровень многих фирм, даже владеющих всеми необходимыми лицензиями, далек от совершенства.
Многоуровневая модель объектов информационной безопасности
Лучше понять комплекс упомянутых проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем.
Рис. 1. Семиуровневая модель объектов информационной безопасности. Актуальные для разных уровней угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности принципиально различаются |
Анализ ИТ-инфраструктуры организации позволяет выделить семь уровней технологий и реализуемых ими процессов, для которых принципиально различаются актуальные угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности и, наконец, терминология (см. рис. 1).
Эта модель несколько условна. Не во всех случаях наличествуют не все обозначенные уровни, однако в большой организации, владеющей собственной корпоративной сетью, все уровни прослеживаются совершенно определенно.
Как правило, предложения по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД.
Однако парадокс ситуации заключается в том, что наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам. (В частности, это подтверждает статистика по преступлениям в банковской сфере.) Значение субъекта легального доступа резко возрастает от III к VI уровню — именно там, где практически нет специальных средств защиты и вся безопасность базируется на настройках систем управления доступом, аудита, обеспечения целостности программ и штатности выполняемых бизнес-процессов.
На устойчивость обеспечивающих безопасность настроек влияет их доступность большому числу администраторов систем и программистов. Так как степеней свободы у специалистов данной категории много, а мониторинг их деятельности, как правило, весьма слаб, в этой зоне налицо отсутствие «прозрачности» и высокая степень риска. Иными словами, на этих уровнях резко возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность.
Еще тяжелее ситуация на VII уровне. Здесь царит так называемый «пользователь», т. е. тот самый «субъект легального доступа», о котором так много говорилось в этой статье. Для него компьютер — не более чем вспомогательный инструмент на его рабочем столе, со средствами НСД он сталкивается только при наборе пароля на вход и при его замене, в чужие каталоги не лазает, о проблемах настроек маршрутизаторов сети и сетевой безопасности понятия не имеет. Кроме того, как правило, он располагает разнообразными средствами коммуникаций (факс, телефон, электронную почту, Internet) и, само собой, может скопировать данные на отчуждаемый носитель. ИТ-служба постоянно заботится о том, чтобы предоставить ему еще больше услуг, больше удобств. Совсем иная картина в сфере безопасности. Подразделение безопасность информационных систем доступные ему инструменты уже применило; все остальное, как правило, формально не подпадает под его компетенцию. В компетенцию какой службы попадает проблема злоупотребления легальным доступом? Тут нет готовых решений. К сожалению, тут можно дать рекомендации лишь общего характера.
- В организации должна существовать детальная административная политика в отношении персонала. Эта политика должна подробно регламентировать и минимизировать права доступа сотрудников к информации, цели этого доступа, требования по регламенту использования доступной информации.
- Административная политика должна подкрепляться не менее детальным аудитом действий пользователя с доверенной ему информацией. Таким аудитом должны быть охвачены не одни пользователи, но все, кто имеет легальные права доступа к информации, настройкам оборудования, базам данных, операционным системам и т.д.
- Расхождение административной политики и аудита означает наличие "конфликта интересов" организации и ее сотрудника.
- Необходимо соблюдение принципа "прозрачности": сотрудник должен внятно объяснить все свои действия с информацией, выявленные системой аудита.
- Должен существовать свод корпоративных морально-этических требований, четко регламентирующих правила поведения сотрудника, позволяющих выявить "конфликт интересов" и дающих возможность руководству применить, в случае необходимости, административные меры взыскания.
- С персоналом должна проводиться воспитательная работа, целью которой является выработка у людей этики корпоративного поведения и отношения к ресурсам организации.
Заключение
Для организации нет ничего опасней в сфере безопасности, как формальное следование предложениям по использованию тех или иных продуктов и услуг без разработки качественной и адекватной политики безопасности, разработки и внедрения в повседневную практику комплекса организационных, административных и технических мер, а главное без осознания в общем комплексе задач организации роли и места службы безопасности. Затронутые в статье вопросы пока плохо осознаны специалистами в сфере безопасности и административного управления. Однако это не означает, что их не нужно анализировать, а тем более, ставить соответствующие задачи перед фирмами-разработчиками.
Андрей Курило — государственный советник Российской Федерации первого класса, заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ.
«Свойства» организации, влияющие на решение задач безопасности информационных систем
- Отношения организации с себе подобными строятся на основе норм гражданского права (на договорной основе), а с государством, в лице органов государственного управления, — на основе административных правоотношений.
- Безопасность информационных систем не является основным видом деятельности организации.
- Обеспечение безопасности информационных систем относится к числу основных функциональных задач, направленных на достижение организацией своих главных целей.
- Служба безопасности, как правило, не производит сама средства безопасности, а является заказчиком и потребителем услуг, представляемых рынком в этой сфере.
Семь уровней безопасности
На каждом уровне иерархии специалисты, работающие с информационными ресурсами, используют свою, присущую только этому уровню терминологию. Из нее и формируется понятийный аппарат в области безопасности. При этом такой аппарат не может быть применен на соседнем уровне, а специалисты I и VII уровней просто не понимают друг друга. Действительно, можно ли требовать от специалиста, осуществляющего регистрацию документа, даже в электронной форме, чтобы он знал и понимал, в чем выражается, что означает и каким должно быть переходное затухание сигнала при совместном пробеге кабелей связи?
Многоуровневая модель позволяет учесть и присутствие легального пользователя. При этом с каждым следующим уровнем данный фактор становится все значительнее.
Очевидно и то, что говорить о каких-либо гарантиях безопасности без конкретной привязки к конкретному уровню модели бессмысленно. Хотелось бы отметить в этой связи, что говорить о равнопрочности защиты можно только в том случае, если необходимый уровень безопасности достигнут на каждом «этаже». Ну а уровень безопасности достигается путем применения набора адекватных модели угроз и свойственных рассматриваемому уровню инструментов защиты. Таким образом, многое зависит от имеющегося инструментария.
До III уровня дела обстоят совсем неплохо. Вопросы технической защиты от НСД неплохо проработаны, имеются достаточно эффективные сертифицированные средства обеспечения безопасности. Вопрос только в их стоимости и удобстве эксплуатации. Дальше ситуация серьезно меняется. На уровнях выше III практически нет специальных сертифицированных средств защиты, безопасность целиком базируется на программных настройках систем управления доступом, аудита, обеспечения целостности программ и штатности бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет две группы факторов.
- Качество работы администраторов систем, которые должны отслеживать все изменения административной политики подразделения, своевременно внося изменения в настройки системы управления доступом. Практика показывает, что со временем это качество ослабевает, а политика управления доступом, предоставленные пользователям права и пароли перестают соответствовать административной политике.
- Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов.
Решением в данной ситуации является переход к централизованной обработке и централизованному управлению безопасностью, развитие аудита событий в системе с обязательным оперативным разбором информации с целью обеспечения их прозрачности для службы безопасности, а также усиление административного компонента в управлении персоналом. Именно это демонстрируют крупнейшие ИТ-корпорации, которые добились практически полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под контроль и аудит администраторов.
Это, в свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет одним, а в банках, которые пользуются этой системой, — совершенно иным. Естественно, что и политики безопасности в этих организациях отличаются, включая в первом случае одну группу уровней модели, а во втором — другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается.