Оперативные действия мобильных IT-команд рассматриваются руководством многих крупных корпораций как составная часть оперативной работы по охране и поддержанию работоспособности своих информационных ресурсов, сетей. Методы оперативного обеспечения представляют собой комплекс административных и полуадминистртивных, политических, психологических и экономический мер защиты и нападения.

Цели защитных мероприятий.

Конечной целью борьбы против различных кризисных и проблемных ситуаций, является создание активной и четко отлаженной защитной системы, с помощью которых можно оперативно и адекватно реагировать на внешние раздражители с целью их полной нейтрализации. Наиболее эффективными раздражающие и криминальные действия против информационных систем корпорации являются действия, которые пользуются поддержкой или попустительством собственного персонала. В этой связи с этим можно считать непременным условием успешной борьбы с подобного рода ситуациями, прежде всего их изоляция от собственных сотрудников и лишение поддержки извне.

Для достижения указанных целей должны быть решены такие основные задачи, как:

- выявление возможных видов угроз, маршрутов реализации внешних и внутренних атак;

- разработка и внедрение четких, формализованных планов действий персонала и организационных структур на случай различных внештатных ситуаций;

- осуществление политических, экономических, социальных и иных мероприятий с целью стимуляции преданного персонала своей организации;

Решающим условием успеха защитных мероприятий является централизованное руководство всеми силами и средствами, участвующими в этой борьбе.Высшим органом руководства защитными мероприятиями в данной организации, фирме считается Координационный центр по информационной безопасности (возглавляется обычно вице-президентом, начальником департамента информационной безопасности, руководителем отдела информатизации), которые представляет собой объединенное учреждение, организуемое на различных уровнях. Такой орган может эффективно планировать, координировать и направлять операции собственных сил в той или иной ситуации, районе.

Организация работы IT-команды и методы оперативного обеспечения.

Защитные мероприятия организуются и проводятся централизованным управлением в масштабах той или иной организации. Однако непосредственными исполнителями защитных акций (действий) являются оперативные команды быстрого реагирования (5-15 человек).

Весь персонал и сторонние консультанты, привлекаемые к защитным мероприятиям в данной организации или информационной сети, составляют оперативную группу со своим штабом, оперативным управлением, каналами двухстороннего обмена информацией с Координационным центром по информационной безопасности.В ходе защитных мероприятий локальных и глобальных сетей, веб-сайтов корпорации, антивирусной безопасности и безопасности от стихийных бедствий, ошибках в операционных системах, программных сбоях и хакерских атак, в зависимости от характера и специфики выполняемых задач, в состав специальной группы могут включаться специалисты (группы специалистов и консультантов) по разведке и противодействию промышленному шпионажу, работе с пользователями, организации чрезвычайных административных мер, связи, техническому обслуживанию данного компьютерного парка. Кроме того, в специальных группах могут быть специалисты из фирмы-производителя программного обеспечения, используемого в данной корпорации, собственной службы персонала и офицеры правоохранительных органов.

Считается, что в качестве основных сил для ведения защитных мероприятий повседневного характера, должны, прежде всего, использоваться местные администраторы и специалисты по информационной безопасности, а специальные оперативные группы должны составлять постоянный резерв защитных сил организации (удаленного филиала корпорации).

Зоны ответственности района защитных действий выделяются в виде естественных сегментов (подсегментов) сети, нескольких объединенных рабочих групп или по территориальному признаку (отдельные здания, удаленные филиалы), но предназначаются для одного местного отдела автоматизации (или нескольких сотрудников, если создание целого отдела нецелесообразно по экономическим и иным причинам). Границы зон ответственности рекомендуется совмещать с границами административных (государственных) районов, если информационные сети предприятия (корпорации) представляют собой разветвленную структуру. Зоны ответственности для управления автоматизации могут делится на секторы отделов, которые, в свою очередь, могут делиться на секторы групп или отдельных специалистов.

Размеры зон и секторов ответственности зависят от условий в корпорации, где проводятся защитные меры упреждающего и противодействующего характера. Управлению автоматизации моет быть назначена зона численностью до десятков тысяч пользователей. При этом уровень секторов ответственности отделов может занимать не всю площадь зоны ответственности управления. В таком случае предусматривается последовательное проведение защитных мероприятий в каждом из районов зоны.

Одним из наиболее важных мероприятий, определяющих успех борьбы, является своевременности получения и использования информации, о новых разработках в программном комплексе - новые версии операционных систем и антивирусных комплексов, новые заплаты для всевозможных офисных продуктов, рекомендации по настройкам пакетных фильтров и организации передачи информации из одной подсети в другую. Гибкость и высокая скорость обновления подобной информации делает сведения о ней быстро устаревающими, поэтому необходимо прилагать максимум усилий на всех уровнях иерархической структуры для сокращения времени от получения информации и материалов, программ, до их проверки, практической реализации и адекватного повсеместного внедрения.

Мероприятия по предупреждению кризисных ситуаций.

Информационная разведка, мониторинг и поиски уязвимостей в собственных системах безопасности и информационных сетях проводятся силами персонала отделов автоматизации на местах. Группы в размере 1-3 специалистов являются основной единицей подобного рода действий. Они занимаются поиском различного рода аномальной активности в пределах зоны ответственности данного отдела.

Группы являются первичными источниками данных о несанкционированных проникновения, нестандартных действия программных комплексов и офисных приложений. На них возлагаются задачи не только по обнаружению неправомерных действий или ошибок в программном обеспечении, но и по поддержанию тесного соприкосновения с данными ситуациями в интересах детальной разведки, обеспечения выигрыша времени, сосредоточения сил и средств, необходимых для ведения действий оп ликвидации чрезвычайных ситуаций. Предусматривается также осуществление поисков и засад силами групп с целью провокации сбоев, информационных атак с целью открытия других источников дополнительной информации и совершенствования собственной системы безопасности.

Наиболее распространенным способом действий групп при выполнении информационной разведки и мониторинга по обнаружению аномальной активности, программных и иных сбоев является поиск в заданном районе - это может быть как локальная сеть предприятия, так и киберпространство Интернет, собственные веб-узлы и ftp-сервера, скрипты, активность пользователей.

Контрразведывательные и административные мероприятия.

Административно-полицейские мероприятия рекомендуется проводить регулярно, постоянном меняя тактику в комплексе с другими мерами, привлекая как сотрудников отделов автоматизации, так и обычных пользователей. К указанным мероприятиям относятся следующие:

1. Контроль за деятельностью собственных пользователей, рабочих и смежных групп. Администраторы проводят регистрацию всех пользователей, находящихся в данном комплексе сети, и выдают пароли, логины и иные опознавательные знаки, удостоверяющие их личность. Периодически вводится режим проверки информационных сообщений, где пользовательскую почту и сообщения подвергают цензуре с помощью компьютерных программ, настроенных на реакцию по заранее определенному списку ключевых слов. Свободная передача информации и команд разрешается только в пределах своей подсети. Особое место отводится жесткому контролю за выдачей и регулярной сменой паролей. Определяются категории персональных компьютеров и их владельцев, которые получают высшие права доступа к информационным ресурсам фирмы.

С помощью специализированных программ-мониторов администраторы организуют тщательное наблюдение за лицами, подозреваемыми в неправомерных действиях - ведется тщательный учет всех действий, которые записываются в файлы логов.

2. Проведение негласной ревизии содержимого магнитных носителей сотрудников, что, согласно законодательству многих стран, является допустимым - на работе персонал должен думать только о ней. Эти мероприятия проводятся с целью проверки подозрительных пользователей.

3. Организация постоянного мониторинга. С целью аутоидентефикации, контроля за правилами передачи информационных сообщений и команд, перехвата на ранних стадиях информации об ошибках в используемом программном обеспечении. Предусмотрено выделение рабочей группы для мониторинга в составе группы IT-специалистов по заранее установленным сменам (1-2 человека), усиленной группы IT-специалистов (3-5 человек) и постоянной группы быстрого реагирования.

4. Организация охраны важных информационных ресурсов - серверов, файловых архивов, веб-сайтов корпорации, коммутаторов, маршрутизаторов, рабочих станций администраторов. Информационная охрана данных объектов организуется администраторами совместно со службой безопасности. Для надежности охраны применяются комбинированные методы - информационная безопасность обеспечивается пакетными фильтрами, антивирусными комплексами, системами парольного доступа и разграничения полномочий.

Рабочим группам по мониторингу и информационной разведке рекомендуется изменять график своей смены, маршрутов и средств проверки. Большое внимание должно уделяться охране коммуникаций (линии связи, кабеля локальной сети и витая пара, оптико-волоконные линии связи, терминалы спутниковой и сотовой связи).

Все сегменты сетей и линии связи в организации в зависимости от степени защищенности от чрезвычайных ситуаций, делятся на три категории: красные, желтые и зеленые.

К красным относят линии и серверы, находящиеся в зонах, где высока вероятность возникновения чрезвычайных ситуаций. Движение незашифрованных пакетов по ним запрещается. Движение команд и передача данных - только для выполнения активных мероприятий по защите информации.

К желтым относят линии и серверы, на которых имеется хотя бы малейшая угроза безопасности. На таких линиях сконцентрировано максимально возможное внимание администраторов, антивирусные комплексы настроены на избыточное сканирование, пакетные фильтры настроены на максимально жесткое отношение к скриптам и аплетам, вводятся в действие программы, предупреждающие о несанкционированном сканировании открытых портов сервера. По таким линиям передачи данных запрещается передача и прием информации без антивирусного контроля и подтверждающих, зашифрованных пакетов от отославшего и принявшего серверов, причем такие пакеты должны быть посылаемы через определенный промежуток времени - в случае отсутствия пакета включается система тревоги - либо вышел из строя сервер, либо перехват на линии.

Категорию зеленых составляют линии связи и серверы, проходящие в сегментах сети, в которых низка вероятность возникновения различных чрезвычайных ситуаций. Передача информации разрешена без ограничений, шифрование не применяется, антивирусные комплексы осуществляют общее прикрытие.

 

Пояснения с таблице:

Виды ущерба:

А - модификация, В - разрушение, С - компрометация (раскрытие) информации.

Степень угрозы:

Пробел - нет воздействия, 1 - до 20%, 2 - до 40%, 3 - до 60%, 4 - до 80%, 5 - до 100%.

Источник - Richard H. Baker. Computer Security Handbook, - TAB Professional and Reference Books.

Анализ риска и составление планов.

Как показывает практика, четкие действия, в ответ на кризисную ситуацию, всегда успешнее, если проводятся по заранее известному плану и были отработаны заранее. Для оценки риска угоз при том или ином варианте применяются различные методики.

Основные этапы анализа риска

Процесс получения количественной или качественной оценки ущерба, который может произойти в случае реализации угрозы безопасности автоматизированной информационной системы (АИС в дальнейшем) должен состоять из ряда действий:

1. Описание компонентов АИС.

Все компоненты можно разбить на следующие категории:

- оборудование - ЭВМ и их сставные части, периферийные устройства;

- программное обеспечение - приобретенные программы и собственные разаботки;

- данные - временные, хранимые постоянно, на любых носителях;

- сотрудники - пользователи и обслуживающий персонал;

- технология обработки информации в данной АИС.

В результате этого этапа необходимо четко зафиксировать состояние АИС как совокупности различных компнентов и технлогии обработки информации.

2. Определение уязвимых мест АИС.

Для всех категорий компонентов АИС, перечисленных выше, необходимо определить, каке опасности могут угражать каждой из них и что может быьт их причиной.

Примеры опасных воздействий:

- стихийные бедствия - пожары, ураганы, наводнения, отключения энергии;

- внешне воздействия - подключение к сети, интерактивная работа, воздействие хакеров;

- преднамеренные нарушения - действия обиженный слжащих, взяточников, любопытных посетителей, конкурентов;

- неумышленные ошибки - ввод ошибочной команды, данных, использование неисправных устройств, носителей, пренебрежение правилами безопасности.

3. Оценка вероятностей проявления угроз безопасности АИС.

Опредляется, как часто может проявиться каждая из угроз безопасности АИС.

- эмпирическая оценка количества проявлений угрозы за некоторый период времени;

- непосредственная регистрация событий - для оценки вероятности часто проявляющихся событий;

- оценка частоты проявления угрозы.

4. Оценка ожидаемых размеров потерь.

Как и оценка частоты реализации различных угроз, определение потерь трудно поддается расчету. Многие данные нуждаются в защите по вполне объяснимым причинам. Защищать необходимо личные данные (страховые полисы, счета, медицинскую информацию), коммерческую информацию (технологические, управленческие, финансовые и другие секреты). Однако при этом трудно оценить величину потерь при искажении, потере этих данных, либо при невозможности получить данные в требуемое время.

Для более точного подхода к данному вопросу, рекомендуется ответить на нижеприведенные вопросы:

- Каковы Ваши обязательства по сохранению конфиденциальности и целостности тех или иных данных ?

- Может ли компрометация этих даных привести к несчестному случаю ? Существуте ли реальная возможность аткого события ?

- Может ли несанкционированный доступ к этим данным послужить причиной потерь в будущем (упущенная выгода в бизнесе) ? Может ли этот случай послужить вашим конкурентам ? Каковы возможные потери от этого ?

- Каков может быть психологический эффект от потери ? Возможные затруднения ? Кредитоспособность ? Потеря клиентуры ?

- Каково значение доступа к этим данным ? Может ли обработка этих данных быть отложена ? Могут ли эти вычисления выполнены где-либо еще ? Сколько вы можете заплатить за обработку этих данных в другом месте ?

- Каково для Вас значение несанкционированного доступа конкурентов к Вашим данным ? Насколько они заинтересваны в этих данных ?

- Какие проблемы могут возникнуть при утере Ваших данных ? Могут ли они быть восстановлены ? Каков объем работ по восстановлению ? Сколько это будет стоить ?

5. Обзор возможных методов защиты и оценка их стоимости.

Для уменьшения ущерба необходио применение и совершенствование различных мер защиты АИС - организацитонных и программно-технических.Эффективностьм етода - его способность противостоять угроз еопределенного класса. Получить реальное значение эффектисности лучше эмпирически.

6. Оценка от выгоды предполагаемых мер.

Величина выигрыша может иметь положительное или отрицательное значение. В первом случае это значит, что использование систмы защиты приносит очевидный выигрыш, а во втором - лишь дополнительные расходы на обеспечение собственной безопасности.

Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию - обычно по наилучшему соотношению "эфективность/стоимость".

В качестве примера можно привести бюджет на информационную защиту одной средней компании одного из западных штатов США, специалистам которой необходимо было оценить выгоду при защите информации от раскрытия или обработки на основе некорректных данных в течении одного года.

Величина ущерба в данном случае была определена в $ 10.000.000 (C). Предвариельный анализ показал, что в среднем эта ситуация встречается один раз в пять лет (Р=0,2).

Тогда стоимость потерь для данной угрозы (СР) составит:

СР = С * Р = $10.000.000 * 0,2 = $2.000.000

Далее был проведен комплекс мероприятий по проверке эффективности методов защиты - в результате экспертной оценки было получено знаение в 87% (ЕМ) (в 87 случаях из 100 защита срабатывает), тогда:

ЕМ = 87% * СР = 87% * $2.000.000 = $1.740.000

Затраты на реализацию этих методов (закупка средств защиты, обучение персонала, изменение технологии обработки информации, зарплата персоналу и т.д.) систевили (СМ) $654.000 Тогда величина выгоды равна:

PR = EM - CM = $1.740.000 - $ 654.000 = $ 1.086.000

Величина выгоды меет явно положительне значение, что говорит о целесобразности примененных методов защиты.

Источник: В. Гайкович, А. Першин, Безопасность электронных банковских систем.

Составление плана защиты.

После того, как были определены угрозы бызопасности АИС и выбраны меры защиты, необходимо составить ряд документов, отражающих решение администрации АИС по созданию системы защиты. Это решение конкретизируется нескольких планах: плане защиты, плане обеспечения непрерывной работы и восстановления функционированя АИС.

I. План защиты.

Определяет реализацию сситемы защиты оргшанизации и необходимый в повседневной работе, т.к. представляет собой организационный фундамент, на котором строится все здание системы защиты. Содержит следующие группы сведений:

1. Политика безопасности.

Набор законов, правил и практических рекомендаций- управление, защита, распределение критичной информации АИС.

- цели, преследуемые реализацией системы защиты в АИС;

- меры ответственности средств защиты и нижний уровень гарантирвоанной защиты;

- обязательства и санкции, связанные с защитой.

2. Текущее состояние системы.

- формирование списка относящихся к АИС компонентов - оборудование, программы, данные, персонал;

- составлеине списка реализации угроз рбот системы, роль и место средств защиты для предотвращения кризисных ситуаций;

- сведения о действиях средств защиты в случае возникновения непридусмотренных ситуаций;

- адаптация системы защиты к действующим правилам АИС.

3. Рекомендации по реализации системы защиты.

- определение размеров наибольших потерь, независимо от вероятности появления соответствующих событий;

- размеры наибольних ожидаемых потерь;

- меры. принимаемые в случае критических ситуаций, стоимость таких мер;

- рекомендации по средствам контроля в чрезвычайных ситуациях;

4. Ответственность персонала.

- пользователь персонального компьютера, рабочей станции или терминала несет ответственность за физическую целостность компьютера по время сеанса работы с АИС, а также за неразглашение собвтсеного пароля и логина;

- админитсратор баз данных нсет ответственность за конфиденциальность инфорамции в базах данных, ее логическую непротиворечивость и целостность;

- сотрудник руководства отвечает за разделение обязанностей служащих в сфере безопасности обработки информации, предупреждение возможных угроз и прлфилактику средств ззащиты.

5. Порядок ввода в действие средств защиты.

Ввод в работу крупномасштабных и дорогих средств защиты целесообразно проводить постепенно, давая возможность обслуживающему персоналу и пользователям спокойно ознакомиться со своими новыми обязанностями. Для этого необходимы разного рода тренировки, занятия по разъясению целей защиты и способов ее реализации.

- расписание информационых занятий;

- детализированный порядок ввода в действие системы защиты;

6. Порядок модернизации средств зищиты.

- список объектов, содержащих ценную информацию, их содержимое и список пользователей должны периодически просматриваться и изменстья в соответствии с текущей ситуацией;

- периодически должен проводится анализ риска, учитывающий изменения обстановки;

- сроки и условия пересмотра.

II. План обеспечения непрерывной работы и восстановления функционирования АИС.

Разрабатывается для определения действий персонала в критических ситуациях с целью обеспечения непрерывной работы и восстановления. наличие любого плана ОНРВ - реального и адекватного - блиготворно влияет на моральную обстановку в коллективе, так как пользвоатели обязательно должны быть уверены в том, что даже в самых неблагоприятных условиях большая часть их труда будет сохранена, руководство должно быть уверено, что не придется начинать все с начала.

1. Реальность плана ОНРВ обеспечения непрерывной работы и посстановления).

- докумет дожен оказывать реальную помощь в крилических сиутациях;

- план действий должен быть простым и ясным;

- план должен читывать реальное состояние компоненто систмы, свобов их взаимодействия.

2. Быстрое восстановление работоспособности системы.

- реальные действия по восстановлению системы;

- механизмы расследования и наказания виновных;

3. Совместимоть с повседневной деятельностью.

- предлагаемые плаом ОНРВ методы и действия должны быть согласованы с режимом работы АИС;

4. Практическая проверка.

- теоретическая проверка положений плана ОНРВ;

- практическая проверка положений плана ОНРВ;

5. Обеспечение.

- резервные копии, рабочие места;

- инстуркции для персонала - как и когд апользоватся обеспечением;

План ОНРВ лучше всего строить как описание опасных ситуаций и способов реакции на них следующем порядке:

1. Описание нарушения.

2. Немедленная реакция на нарушение - действие пользователей и администрации в момент обнаружения нарушения:

- что должо быть сделано;

- когда это должно быть сделано;

- кем и как это должно быть сделано;

- что необходимо для того, чтобы это было сделано;

- персональная ответственность руководства и исполнителей;

3. Оценка ущерба от нарушения - в чем заключаются потери, какова их стоимость (включая восстановление).

4. Возобновление обработки информаии. После устранения нарушения и первичноо восстановления необходимо как можно быстрее возобновиьт работу, так как машиное время - это деньги.

5. Полное восстановление функционирования системы - удаление и замена поврежденных компонентов системы, возобновление обработки информации в полном объеме.

6. Сбор данных и составление отчетов для расследования сбоя, нарушения.

Как обеспечить выполнимость планов.

Любой план хорош в том случае, если он выполним. Для обеспечения выполнимости планом необходимо, чтобы работу по ис составлению выполняла группа квалифицированных специалистов - описанный выше Координационный центр по информационной безопасности. В большинстве случаев целесобразно, чтобы в эту группу входили следующие специалисты, каждый из которых должен овтечать за свой участок работы:

- специалисты по техническим средствам;

- системные программисты;

- проблеммные программисты;

- сотрудники, отвечающие за подготовку, ввод и обработку данных;

- специалисты по защите физических устройств;

- представители пользователей.

После пдготовки плана необходимо его принять и реализовать, что напрямую зависит от его четкости, корректности и ясности для сотрудников организации.

Итак, если Вы:

1. Имеете дело с ценной информаций и хотите, чтобы он абыла сохранена в целостности, то вы нуждаетесь в защите АИС при помощи специальных средств, которые возьмут на себя многие заботы по обеспечению сохранности Вашей информации.

2. Не знаете или имеете приблезительное представление о том, какие именно средства защиты Вам нужны, какие функции они дожны выполнять и какова их реальная стоимость, то Вам необходимо провести анализ риска.

3. Не представляете себе, что нужно сделать для организации защиты информации в Вашей АИС, то Вам необходимо ссотавить план защиты.

4. Не желаете тратить лишние деньги на средства контроля, но все же опасаетесь не предусмотренных защитой ситуаций, то вы должны составить план непрерывной работы и восстановления - на тот случай, если такая ситуация все же возникнет.

5. Хотите. чтобы средства. затраченные на защиту, не пропали зря вместе с вашей информацией и правильно работали, то Вы должны объяснить всем своим сотрудникам, как правильно работать со средствами защиты и что оин могут потерять вместе с информацией, если будут нарушать правила пльзования этими средствами.

Вместе с тем необходимо четко помнить, что сложность установки и настройки средств защиты напрямую зависит от их возможностей, и если Вы не хотите вместо правильно функционирующего инструмента получить набор средств, выполняющих неизвестно что, то вам необходимо обратьться к специалистам.