Рано или поздно наступает момент, когда банк вынужден прибегать к услугам квалифицированных специалистов, обладающих необходимыми знаниями для проведения аудита систем защиты банковской информации.
Необходимость защиты сетевых ресурсов банка.
Во всех без исключения применяемых в настоящее время сетевых операционных системах имеется достаточно много уязвимых с точки зрения защиты информации мест.
С учетом этого факта злоумышленниками разработано множество атак, целью которых является получение несанкционированного доступа к сетевым ресурсам банка либо нарушение нормального режима работы сетевых сервисов.
Список этих атак весьма внушителен и постоянно пополняется благодаря усилиям всего хакерского сообщества.
Кроме того, предпосылки к проведению хакерских атак создают некорректные (с точки зрения безопасности информации) настройки параметров конфигурации операционной системы.
Информация о вновь обнаруженных уязвимых местах и основанных на них атаках быстро распространяется по Internet и таким образом становится доступной всем заинтересованным лицам.
Необходимость оценки степени защищенности сетевых ресурсов банка.
Каким образом администратор безопасности может убедиться в том, что квалифицированный взломщик, владеющий всеми известными в настоящее время способами несанкционированного проникновения, не сможет получить доступ к ответственным сетевым ресурсам банка? Поэтому важнейшим элементом технологии защиты информации является оценка защищенности КСБ.
Наряду с проведением комплексного анализа всей политики безопасности банка предлагается осуществить тестирование СЗИ, когда соответствующие специалисты, выступающие в роли хакеров, имитируют проникновение в сеть, используя всю доступную информацию и соответствующий программный инструментарий.
Рано или поздно наступает момент, когда банк вынужден воспользоваться услугами указанных квалифицированных специалистов, обладающих необходимыми для тестирования систем защиты знаниями. На Западе услуги подобного рода оказывают многие аудиторские фирмы, в их числе такие известные как KPMG, Ernst & Young.
Анализ политики информационной безопасности банка
Анализ политики безопасности банка предполагает наличие следующих основных этапов:
1. Определение информации, подлежащей защите;
2. Выявление полного множество потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Этапы могут быть разбиты на более детальные пункты (шаги).
Ниже приведен приблизительный перечень вопросов, и некоторые проблемы, которые необходимо решить при выполнении перечисленных этапов:
Определение информации, подлежащей защите
Выделить информацию, которую необходимо оградить от нежелательного воздействия или не допустить ее утечки, на первый взгляд легко, однако от правильного решения данной задачи во многом зависит сложность создаваемой СЗИ. Анализируя предметную область в процессе поиска решения необходимо ответить на следующие вопросы:
1. Какие данные собираются?
2. Кто нуждается в этих данных?
3. Почему они нуждаются в них?
4. Когда они нуждаются в них?
5. Проходят ли через сеть новые объемы данных и новые пользователи данных?
6. Насколько сложной должна быть структура классификации данных?
7. Какие принципы используются для оценки ценности информации?
8. Какова законодательная и социальная ответственность?
9. Какая защита необходима для информации каждого вида?
Основные проблемы, на которые необходимо обратить внимание:
- Законодательная ответственность администраторов.
- Организационно уязвимые места.
- Случайное раскрытие.
- Потеря данных.
- Ошибочная и вводящая в заблуждение информация.
- Отсутствие установленных стандартов.
Выявление полного множество потенциально возможных угроз и каналов утечки информации;
1. Какие конкретные сотрудники имеют доступ к уязвимым ресурсам?
2. Кто должен изменять информацию? Почему? Когда?
3. Прошли ли эти сотрудники проверку благонадежности?
4. Ориентируется ли политика организации на секретность информации?
5. Все ли процедуры хорошо документированы и проводятся в жизнь?
6. Имеется ли программа подготовки и обучения?
Основные проблемы:
- Контроль доступа к уязвимой и секретной информации.
- Профили секретности доступа
- Создать сознательное отношение к секретности во всей организации.
- Выработать документы определяющие политику в вопросе секретности.
- Составить инструкции по защите и секретности информации.
- Выполнить программу образования в области защиты секретности.
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
1. Какими специфическими уязвимыми точками обладают информационные системы и ресурсы организации?
1. Каков риск случайного или намеренного раскрытия, модификации или разрушения информации?
2. Насколько может быть уменьшен риск при заданном увеличении объема средств защиты секретности?
К некоторым проблемам в данном разделе следует отнести:
- Распределение приоритетов для информации, требующей защиты, путем определения относительной уязвимости и секретности информации.
- Документация по уязвимости.
Определение требований к системе защиты;
1. Какие технологические меры безопасности используются?
2. Какова стоимость доступных технологических мер защиты?
3. Насколько эффективны доступные технологические меры защиты?
4. Насколько уязвим элементы СЗИ?
5. Анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы).
Основные проблемы:
- Изменения в технологии могут быть так же использованы злоумышленником, как и защитником информации.
- Установить требования по финансированию и его источники.
Осуществление выбора средств защиты информации и их характеристик;
1. Какие угрозы должны быть устранены и в какой мере?
2. Какие ресурсы сети должны быть защищены и в какой степени?
3. С помощью каких средств должна быть реализована защита?
4. Каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
5. Какие общие функции затрагиваются?
6. Какой новый персонал требуется?
7. Какая квалификация требуется для выполнения этих обязанностей?
8. Как будут включены функции по защите безопасности КСБ в структуру организации?
9. Какая стоимость доступна и какая чрезмерна?
10. Какова ценность секретности?
11. Каков выигрыш в безопасности будет получен при увеличении бюджета?
12. Кто будет оплачивать возросшие расходы по обработке информации пользователя во время реализации программы?
Основные проблемы:
- Организация должна являться физическим выражением замыслов администратора.
- Проведение организационной работы для повышения эффективности работоспособности реализованных замыслов, реализуемых систем и их функционирования.
- Наличие организационных схем.
- Наличие правил работ.
Внедрение и организация использования выбранных мер, способов и средств защиты;
1. Каков приоритет секретных объектов?
2. Как будет влиять реализация программы защиты безопасности на планы пользователя по развитию информационной системы?
1. Какие дополнительные ресурсы потребуются?
2. Кто ответственен за согласование с пользователем планов и состояния проекта?
Основные проблемы:
- Избегать конфликтов из-за ресурсов.
- Иметь план реализации.
- Предотвращать конфликты при развитии информационных систем потенциальных пользователей.
Осуществление контроля целостности и управление системой защиты.
Управление защитой - это контроль за распределением информации в открытых системах. Он осуществляется для обеспечения функционирования средств и механизмов защиты, фиксации выполняемых функций и состояний механизмов защиты, фиксации событий, связанных с нарушением защиты.
1. Каков должен быть состав специалистов для эффективной работы группы контроля?
2. Имеются ли стандарты безопасности и секретности информации?
3. Идентифицированы ли все уязвимые точки организации?
4. Насколько эффективна существующая комбинация технологических и административных мер защиты?
5. Удовлетворяют ли существующие условия в отношении секретности законодательным и социальным требованиям организации?
6. Какие улучшения можно произвести, чтобы сделать систему защиты секретности более эффективной и работоспособной?
7. Какова периодичность контроля?
Уполномоченная группа ревизии переоценивает уязвимость и риск, рассматривает законодательные требования, оценивает точность и полноту документации, оценивает действительную практику применения процедур защиты секретности, убеждается в защищенности КСБ вырабатывает заключения рекомендации, предпринимает соответствующие действия.
Основные проблемы:
- Оценка эффективности программы защиты секретности.
- Обеспечение мотивированного стремления всего персонала к достижению цели.
- Оформление отчетов и рекомендаций группы ревизии.
Оценка уровня защищенности КСБ.
Для оценки защищенности КСБ проводится обследование, которое можно условно разделить на следующие этапы:
– сбор информации о сети (например, определение типа операционной системы атакуемых хостов);
– определение угроз информации и уязвимых мест;
– проникновение в сеть;
– оценка риска, связанного с найденными уязвимыми местами и возможностью их использования для получения несанкционированного доступа к сети
– разработка рекомендаций по формированию системы защиты информации и соответствующей политики безопасности
– по согласованию с руководством банка предлагается последующее внедрение, настройка и гарантийное сопровождение комплексной системы защиты информации (сетевых и вычислительных ресурсов)
В случае невозможности подобного обследования в качестве альтернативы можно предложить воспользоваться специализированным программным обеспечением, предназначенным для поиска известных уязвимых мест сетевых сервисов и некорректных параметров конфигурации операционной системы.
В процессе анализа защищённости будут рассмотрены конкретные элементы КСБ, требующие защиты и входящие в политику безопасности, принятой в банке, в соответствии с важностью (ранжированием) обрабатываемой, хранимой и передаваемой информации, а также непосредственно интегрированные с глобальной сетью Internet.
Перечень типов информации, ранжированной по важности подготавливается и передаётся заказчиком исполнителю. В процессе выполнения анализа защищённости данный перечень может быть уточнён по взаимному согласованию.
Тестированию по уровню защищенности подлежит:
– IP-адреса в сети,
– хосты,
– операционные системы,
– сетевые устройства (коммутаторы, маршрутизаторы)
Категории распознаваемых сетевых устройств:
– Unix-хосты
– Windows NT- хосты
– Web-сервера
– FTP-сервера
– Mail-сервера
– Межсетевые экраны
– Маршрутизаторы
– Коммутаторы
Классы тестируемых уязвимостей:
– Уязвимости Web, FTP, Mail- серверов
– Уязвимости по отношению к атакам типа “отказ в услугах”
– Уязвимости, специфичные для конкретных сетевых операционных систем – BSD, AIX, HP-UX, IRIX, LINUX, SCO, Solaris, Ultrix, UnixWare, Windows NT
– Уязвимости NFS
– Уязвимости сервисов удаленного доступа
Подробный перечень элементов КСБ (сетевых устройств, операционных систем, приложений и т.п.) требующих защиты будет определён в процессе выполнения анализа СЗИ КСБ на основании документации, переданной заказчиком исполнителю. Данный перечень может быть скорректирован или дополнен в процессе выполнения работ.
Работы по проведению анализа защищенности, как правило, выполняются в три этапа:
– осуществляется сбор первичной информации по анализируемой системе, ее обработка и выработка первичных рекомендаций;
– анализ уязвимостей компонент КСБ при помощи инструментальных средств;
– выработка рекомендаций и документирование.
Между этапами может понадобиться некоторый временной промежуток для согласования с заказчиком необходимых программно-аппаратных средств.
Содержание и последовательность выполнения работ
Порядок выполнения работ
Ниже приводится порядок выполнения работ, которые проводятся в процессе анализа защищённости КСБ.
1. Заключение договора о конфиденциальности между заказчиком и исполнителем.
2. Изучение документации и проведение опроса персонала заказчика для ознакомления с анализируемой системой. На данном этапе происходит анализ информационных потоков и типов информационных ресурсов с точки зрения бизнес-логики, реализуемой в анализируемой системе. При этом анализируется корректность ранжирования информационных ресурсов по важности и необходимой степени защищённости.
3. Проведение обзора политики безопасности, существующей у заказчика. Рассмотрение соответствия политики безопасности стандартным критериям защищённости банковских систем (использование нормативных документов и стандартов в области информационной безопасности).
4. Анализ политики безопасности и выработка рекомендаций по данному документу. Соответствие политики безопасности иерархии ценностей, определённых при выполнении работ, описанных в пунктах 2 и 3.
5. Корректировка политики безопасности в случае необходимости, в соответствии с результатами анализа существующей политики. Данные работы выполняются совместно со специалистами заказчика.
6. Обзор и последующий анализ физической реализации логической структуры информационных потоков. В процессе проведения анализа структуры все первичные данные, полученные в ходе выполнения предыдущих этапов, будут совмещены между собой в специальной матрице безопасности. Матрица безопасности включает в себя, с одной стороны, данные о наиболее вероятных угрозах для данной системы, а с другой стороны, различные типы защитных мероприятий, которые способны противодействовать угрозам.
7. Выбор критических компонентов информационной системы для дальнейшего детального изучения этих компонентов. Выбор производится на основе ранжирования носителей информационных ресурсов и анализа матрицы безопасности.
8. Детальное изучение каждого в отдельности критического компонента информационной системы, в том числе изучение конфигурации, выполняющихся сервисов, инсталлированного программного обеспечения, а также выявление потенциальных проблем взаимодействия компонентов анализируемой системы.
9. Проведение работ по обнаружению уязвимостей, специфичных для каждого компонента информационной системы, с использованием программных сканеров безопасности. Выполнение специального набора тестов, результаты работы которых направлены на организацию попыток нарушения политики безопасности, в том числе получение несанкционированного доступа к компонентам системы либо нарушения их нормального функционирования.
10. Выработка рекомендаций по устранению обнаруженных уязвимостей, в том числе с использованием информации, полученной в ходе реализации аналогичных проектов по созданию и обслуживанию защищённых информационных систем.
11. Составление отчёта по результатам выполненных работ. Форма и степень детализации данного документа будут оговорены в Техническом задании на выполнение работ по анализу защищённости.
Анализ средств построения VPN
В начале выполняется определение составных частей VPN, в качестве которых могут выступать абонентские пункты, ЛВС предприятия или их отдельные фрагменты.
Далее производится оценка и анализ технологий, которые используются в анализируемых компонентах.
Специалистами могут быть рассмотрены и проанализированы предоставляемые функции средств построения VPN, например:
· защита внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования;
· скрытие внутренней структуры защищаемых сегментов сети (Network Address Translation, NAT);
· защита (шифрование/дешифрование, имитозащиту) данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами);
· безопасный доступ пользователей защищаемой корпоративной сети к ресурсам сетей общего пользования;
· централизованное управление защитой сети.
Также может быть выполнена оценка тех особенностей средств VPN, чем эти устройства отличаются от своих аналогов (они реализует криптографическую защиту в соответствие с ГОСТ 28147-89, имеют сертификат соответствия и т.п.).
Возможно будет проведён анализ центр управления сетью криптографических шлюзов, если таковой существует. Обычно при помощи центра осуществляется управление работой всех шлюзов, входящих в состав виртуальной сети. Наши специалисты могут проанализировать следующие функциональные особенности центра:
· контроль за состоянием всех зарегистрированных шлюзов;
· особенности системы распространения ключевой информации (Key Infrastructure), корректности реализации с точки зрения надежности, защищенности и адекватности времени отклика;
· предоставление администратору функции удаленного управления шлюзами;
· получение и хранение содержимого системных журналов шлюзов, а также ведение журнала событий НСД.
Оценка системы обнаружения атак
В процессе выполнения анализа защищенности наши специалисты могут провести исследование средств обнаружения атак, являющихся компонентами КСБ, если таковые имеются в данном случае.
При этом наши специалисты оценят, насколько эффективно средств обнаружения атак обнаруживают как внешние атаки, так и внутренние злоупотребления, направленные на сервера приложений, Web-сервера, базы данных, рабочие станции, маршрутизаторы, межсетевые экраны и т.д.
Специалисты проанализируют каким образом организовано логическое размещение сенсоров системы обнаружения атак, т.е. между маршрутизатором и межсетевым экраном, в демилитаризованной зоне, за межсетевым экраном, в ключевых сегментах внутренней сети, у сервера удаленного доступа, на магистрали и т.п.
Далее специалисты могут проанализировать функциональные особенности используемых средств обнаружения атак, в том числе:
· функции по обнаружению атак, позволяющих "обойти" существующие защитные механизмы. К таким атакам могут быть отнесены: сканирование портов и использование сканеров безопасности, атаки типа "подбор пароля" и "отказ в обслуживании", использование "троянских коней", несанкционированное подключение к сети и т.д.;
· функции фильтрации сетевого трафика на основе заданных правил;
· функции контроля трафика на уровне содержимого пакетов, например, электронной почты (вирусы и т.д.), передаваемой как в корпоративной сети, так и за ее пределы;
· функции анализа сетевого трафика, включающего изучение информационных потоков, используемых сетевых протоколов и т.д.
· функции журнализации событий и степень защищенности от НСД и модификации хранимых журналов
· функциональность системы предупреждения административного персонала заказчика, в т.ч. наличие и корректность системы фильтрации оповещений по серьезности инцидента
Кроме того, наши специалисты могут выполнить проверку процесса реагирования системы на зарегистрированную атаку, в том числе:
· к только атака распознается, происходит ли оповещение администратора через консоль управления или электронную почту;
· может ли быть атака зарегистрирована в базе данных, а также могут ли все команды при реализации атаки быть записаны для дальнейшего воспроизведения и анализа;
· возможно ли автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены, в случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети.
· Существуют ли документированные процедуры инцидентного реагирования и постинцидентных мероприятий.
В ходе выполнения анализа средств обнаружения атак будут учтены поддерживаемые ими протоколы, в том числе FDDI, ATM, V.35/X.21, Token Ring, HSSI, T1, а кроме того, их сетевые возможности, например:
· использование DVMRP, IGMPv2, Multicast Tunnel;
· RIPv1, RIPv2 (с аутентификацией);
· OSPFv2, VRRP, IGRP, BGP4, статическая маршрутизация;
· управление через SSH, Telnet и SNMPv1/v2.
Будет проведена проверка, на предмет того, что может ли данное средство обнаруживать атаки в сетях TCP/IP и SMB/NetBIOS, построенных на базе Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring и FDDI.
В процессе выполнения анализа защищённости специалисты используют программные сканеры безопасности. Конкретный перечень данного программного обеспечения зависит от выбора анализируемых компонентов и их функций и будет определён в процессе выполнения анализа защищённости. При этом может быть использовано:
· некоммерческое ПО, полученное из публичных источников, в том числе из сети Internet;
· коммерческое ПО, в том числе продукция компаний Internet Security Systems (ISS), Network Associates (NAI), Cisco Systems и т.п.;
· ПО, используемое заказчиком в настоящий момент.
Функциональность всех используемых средств первоначально будет опробована на тестовых моделях компонентов КСБ в целях исключения отказа данных компонентов или включающих их подсистем в процессе их штатного функционирования.
В процессе проведения работ по анализу защищённости наши специалисты используют методики собственной разработки, построенные на базе рекомендаций, полученных из публичных источников, в том числе из сети Internet.
Кроме того, в своей работе специалисты руководствуются нормативными документами и стандартами в области информационной безопасности, в том числе:
· Общие положения по защите информации в компьютерных системах от несанкционированного доступа (НД ТЗИ 1.1-002-99)
· Критерии оценки защищённости информации в компьютерных системах от несанкционированного доступа (НД ТЗИ 2.5-004.99)
· Классификация автоматизированных систем и стандартные функциональные профили защищённости обрабатываемой информации от несанкционированного доступа (НД ТЗИ 2.5-005-99)
Сканеры безопасности сетевых ресурсов.
Основное назначение сканера - поиск уязвимостей сетевых сервисов банка, которые могут использоваться злоумышленником для получения несанкционированного доступа к ресурсам сети путем реализации известных на данный момент времени атак.
Сканер безопасности, по сути воспроизводит действия хакера, моделируя всевозможные атаки на сетевые ресурсы и выявляя уязвимости в тестируемой системе до того, как их обнаружит хакер.
При тестировании сканер выступает в роли квалифицированного эксперта, владеющего всеми методами реализации атак.
Сканер способен:
а) собирать и анализировать информацию обо всех хостах и сетевых устройствах и отображать эту информацию в виде карты сети;
б) осуществлять поиск уязвимостей;
в) формировать отчетность, содержащую описание найденных уязвимостей и рекомендации по их устранению.
В настоящее время на рынке представлено достаточное количество ПО, относящихся к категории средств поиска уязвимостей сетей.
Ниже перечислены некоторые из них:
1. Internet Security Scanner (фирма Internet SecuritySystems)
2. NetRecon (фирма Axent)
3. NetProbe (фирма Qualix
4. Ballista (фирма Secure Networks)
5. NetGuard (фирма Network Guardians)
6. NetSonar (фирма WheelGroup)
Однако полноценное тестирование уровня защищенности сети возможно лишь посредством моделирования всех ставших известными в последнее время атак.
Выбор сценария тестирования
В соответствии с одним из сценариев сканирования, предопределенных в системе или заданных пользователем, при тестировании может осуществляться поиск либо всех, либо части уязвимостей.
Поскольку процесс тестирования одного хоста занимает лишь несколько минут, имеет смысл использовать режим полного тестирования. Более того, администратор может посредством специализированного языка Vulnerability Description Language самостоятельно моделировать атаки. В Internet SafeSuit подобная возможность отсутствует, так что пользователь ограничен реализацией лишь тех методов тестирования, которые заложены в продукт фирмой Internet Security Systems.
Сканирование сети Банка производится как изнутри, так и снаружи.
Первый вариант позволяет оценить защищенность сети (прежде всего межсетевого экрана) по отношению к атакам, исходящим из внешней сети.
Второй - дает возможность выявить уязвимости доступные злоумышленникам, находящимся в защищаемой сети. Таким образом, подлежат проверке два уровня защиты:
– внешний – межсетевой экран (proxy-сервер, маршрутизатор), служащий в качестве точки входа из внешней сети;
– внутренний – защита на уровне сетевых сервисов.
Оценка результатов тестирования
Просмотр результатов тестирования возможен в интерактивном режиме непосредственно из графической оболочки. Данные могут быть представлены в различных проекциях – например, можно просмотреть все уязвимости конкретного хоста, просмотреть все хосты с определенной уязвимостью, либо просмотреть хосты, на которых запущен определенный сервис (к примеру, такой небезопасный сервис, как Telnet).
По результатам тестирования формируется отчет, содержащий всю необходимую информацию об обнаруженных уязвимостях и рекомендации по их устранению.
При формировании отчетов возможна различная степень их детализации, так что полученные по итогам проверки защищенности сети документы могут быть полезны как техническому специалисту, так и менеджеру.
Определенные сложности могут возникнуть при интерпретации результатов тестирования – насколько серьезны выявленные уязвимости непосредственно для обследуемой информационной системы, могут ли они реально быть использованы для получения несанкционированного доступа или нарушения штатного функционирования конкретной системы. В этом случае вполне обоснованным будет обращение за помощью к специализированным фирмам для проведения совместной оценки защищенности сети.
Содержание отчета
Отчёт содержит следующие разделы:
· детальная информация об анализируемой системе, полученная в ходе проведения работ;
· краткое описание процесса выполнения анализа;
· перечень наиболее вероятных угроз для данной анализируемой системы;
· обзор политики безопасности, принятой в организации, и замечания по ней;
· перечень обнаруженных уязвимостей анализируемой системы с их кратким описанием;
· рекомендации общего характера по устранению обнаруженных уязвимостей.
Модель комплексной оценки СЗИ банка.
Предлагается следующая методика создания и комплексной оценки системы защиты информации для КСБ.
Модель СЗИ представлена в виде следующих основных блоков показателей:
Блок показателей «ОСНОВЫ»;
Блок показателей «НАПРАВЛЕНИЯ»;
Блок показателей «ЭТАПЫ».
Рассмотрим содержание этих блоков.
Блок показателей ОСНОВЫ (Oi)
Проведенный анализ основных подходов к созданию СЗИ позволяет выделить следующие основные составные части СЗИ:
1. Нормативно-правовая и научная база;
2. Структура и задачи органов;
3. Организационные меры и методы (политика безопасности);
4. Программно-технические способы и средства.
Каждая из перечисленных составных частей блока «ОСНОВЫ» должна быть детализирована для конкретной КСБ.
Блок показателей НАПРАВЛЕНИЯ (Hj)
Проведенный анализ существующих способов и методов защиты информации позволяет выделить следующие основные исторически сложившиеся этапы создания и оценки СЗИ:
1. Защита объектов корпоративных систем;
2. Защита процессов, процедур и программ обработки информации;
3. Защита каналов связи;
4. Подавление побочных электромагнитных излучений;
5. Управление системой защиты.
Совершенно очевидно, что каждое из НАПРАВЛЕНИЙ должно быть детализировано в зависимости от структуры КСБ и заданной глубины детализации.
Блок показателей ЭТАПЫ (Mk)
В настоящее время рассматривают различные этапы построения СЗИ все они достаточно эффективны и позволяют решать поставленные задачи. На основе проведенного анализа предлагается рассмотрение следующих этапов создания СЗИ, подлежащих оценке:
1. Определение информации, подлежащей защите;
2. Выявление полного множество потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Этапы могут быть разбиты на более детальные пункты (шаги).
Матрица оценок.
Структура модели оценки СЗИ заключается в логическом объединении показателей блоков «ОСНОВЫ», «НАПРАВЛЕНИЯ» и «ЭТАПЫ» в МАТРИЦУ ОЦЕНОК, состоящую из К элементов.
В общем случае количество элементов «матрицы» может быть определено из соотношения
K=Oi*Hj*Mk
На основе проведенного выше анализа в данном варианте (при условии, что Oi=4, Hj=5, Mk=7) общее количество элементов «матрицы» составляет
K=4*5*7=140.
Следует обратить внимание на содержание обозначения каждого из элементов матрицы:
Первое знакоместо обозначает номер показателя «ЭТАПЫ», второе знакоместо – номер показателя «НАПРАВЛЕНИЯ», а третье знакоместо – номер показателя «ОСНОВЫ».
Элемента матрицы 321 формируется с учетом следующих показателей:
3 – Проведение оценки уязвимости и рисков (показатель № 3 блока «ЭТАПЫ»);
2 – Защита процессов и программ (показатель № 2 блока «НАПРАВЛЕНИЯ»)
1 – Нормативная база (показатель № 1 блока «ОСНОВЫ»)
В зависимости от этапов работ по созданию СЗИ «матрица» имеет различное содержание. Другими словами это несколько одинаковых по структуре, но разных по содержанию «матриц», а именно:
1. «Матрица» полноты и качества состояний элементов СЗИ;
2. «Матрица» требований к СЗИ;
3. «Матрица» оценок эффективности функционирования элементов СЗИ.
Могут рассматриваться и другие функции этой же «матрицы», главное чтобы содержание каждого из элементов «матрицы» описывало взаимосвязь составляющих создаваемой СЗИ.
Оценки могут формироваться по различным группам элементов матрицы, в зависимости от целей проверки.
Например отдельно можно оценить качество документации, защищенность каналов связи, качество мероприятий по выявлению угроз и каналов утечки информации.
Основным содержанием «Матрицы полноты и качества» является вопрос «Какие из мероприятий по защите информации и в каком объеме уже выполнены?»
«Матрица требований» содержит вопрос «Какой должна быть создаваемая СЗИ?» и позволяет представить облик создаваемой СЗИ, а также сформулировать требования к ней.
«Матрица оценок» позволяет определить эффективность проводимых мероприятий по защите информации, задавая вопрос «Правильно ли строится СЗИ?» При этом используются все существующие методики оценки эффективности функционирования СЗИ.
Пример формирования матрицы.
Для примера приведены вопросы для «Матрицы полноты и качества» для элементов № 321, 322, 323, 324, которые объединяют показатель № 3 блока «ЭТАПЫ», показатель № 2 блока «НАПРАВЛЕНИЯ» и показатели № 1, 2, 3, 4 блока «ОСНОВЫ»:
Элемент № 3.2.1 Насколько полно отражены в законодательных, нормативных и методических документах вопросы, определяющие порядок проведения оценки уязвимости и рисков для информации используемой в процессах и программах конкретной КСБ?
Элемент № 3.2.2 Имеется ли структура органов (сотрудники), ответственная за проведение оценки уязвимости и рисков для информации используемой в процессах и программах КСБ?
Элемент № 3.2.3 Определены ли режимные меры, обеспечивающие своевременное и качественное проведение оценки уязвимости и рисков для информации используемой в процессах и программах КСБ?
Элемент № 3.2.4 Применяются ли технические, программные или другие средства, для обеспечения оперативности и качества проведение оценки уязвимости и рисков для информации используемой в процессах и программах КСБ?
Это только четыре вопроса из ста сорока (для данного варианта), но ответы на них уже позволяют сформировать некое представление о состоянии дел по защите информации в конкретной КСБ.
В нашем случае для «Матрицы экспертных оценок» формируется 140 вопросов (по числу ее элементов). Ответы на эти вопросы позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты.
Показатель уровня защиты СЗИ
Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечеткой логики и нечетких утверждений.
Величина показателей каждого из элементов матрицы определяется на основе функции принадлежности.
Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с достигнутыми. Заданный профиль защиты, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми “Критериями безопасности” (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ.
Уровень достигнутого профиля защиты определяется в соответствии с теми же критериями оценки защищенности.
Оценка достигнутого частного профиля защиты производится из соотношения
Пдост= Пр / Пзад;
При этом достигнутый профиль защиты считается удовлетворительным при условии, что
Пдост > 1;
Оценка результирующего профиля защиты СЗИ осуществляется на основе оценок частных профилей защиты (с использованием «Матрицы знаний»). Достоинства предложенной модели оценки СЗИ
Следует выделить следующие преимущества предложенной модели оценки СЗИ:
– Универсальность применения;
– Наглядность и простота представления процесса создания СЗИ;
– Возможность маневра силами и средствами;
– Учет индивидуальных особенностей КСБ и требований заказчика;
– Позволяет создать «свою» систему защиты;
– Возможность наращивания СЗИ;
– Поэтапное и рациональное вложение материальных и денежных средств.
2004