В настоящий момент существует множество средств контроля и обеспечения безопасности, однако все их можно разделить на следующие группы или классы:
1. Средства управления доступом к системе (доступ с консоли, доступ по сети) и разграничения доступа
2. Обеспечение контроля целостности и неизменности программного обеспечения (сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса есть изменение ПО)
3. Средства криптографической защиты
4. Средства защиты от вторжения извне (внешнего воздействия)
5. Средства протоколирования действий пользователей, которые тоже служат обеспечению безопасности (хотя и не только)
6. Средства обнаружения вторжений
7. Средства контроля состояния безопасности системы (обнаружения уязвимостей)
Самыми интересными являются три последних класса, которые играют пассивную роль в обеспечении безопасности, однако их значимость не должна быть принижена. Если мы, к примеру, рассмотрим цикл Деминга в отношении обеспечения информационной безопасности на уровне ПО, то положение этих трех классов будет занимать полностью одну четвертую часть всего процесса обеспечения безопасности.
Методология PDCA(Цикл Деминга) представляет собой простейший алгоритм действий руководителя по управлению процессом и достижению его целей. Цикл управления начинается с планирования.
Эти средства не влияют (хотя в купе с другими системами и могут) на систему обеспечения безопасности, а просто занимаются сбором хранением и обеспечением доступности полной информации о состоянии системы безопасности — журналы событий, сведения об отказах в обслуживании, сведения о подозрительных авторизациях, аналитические журналы сравнений картины уязвимостей системы и отдельных узлов.
Другой стороной таких систем, в частности средств обнаружения уязвимостей, будут являться подсистемы помощи принятий решений (ППР), которые на основе каких-то входных данных выносят достаточно справедливые вероятностные решения на следующий узел цикла PDCA, а именно «Act» — воздействие. Подсистема ППР может быть автономной и не влиять на функционирование системы в целом, однако, более результативные системы автоматически корректируют себя на основе результатов ППР.
Примером таких корректировок могут быть межсетевые экраны с автоматическим добавлением новых правил при превышении лимита пакетов в единицу времени на определенный порт. Существуют и более сложные системы IDS+IPS, которые определяют правила работы отдельных узлов между собой.
Очевидно что, для правильной, корректной и обоснованной работы таких систем будет критичным актуальность и полнота входной информации о функционировании уже существующей системы безопасности. Поскольку ложная (как фальш-негативная, так и фальш- позитивная) информация будет слабым звеном в цепочке принятия решения о модернизации системы обеспечения защиты информационной безопасности, главной задачей будет построение качественной системы контроля и аудита безопасности.
Возможная выгода злоумышленника при неправильной системе аудита безопасности может быть самой разнообразной, всё зависит от того на что направлен его взор. Если, например, злоумышленник понимает, что в существующей системе безопасности абсолютно нет никаких уязвимостей на сегодняшний день, но так же и нет инцидентной политики, то атака (особенно распределенная) будет очень успешной по истечении непродолжительного времени после использования принципиально новой схемы нападения. Или же невозможность идентифицировать атаку будет так же являться черным ходом в КИС. А последствии атак так же могут быть различными — хищение информации, отказ в обслуживании, вирусная атака и т.д.
Так же неправильная система аудита безопасности может быть причиной нелогичного решения в цикле Деминга на момент времени «Act». Это может получиться когда, из-за неправильных данных и их анализа мы (или система ППР) принимаем решение о модернизации системы. Эта модернизация может быть необоснованна финансовыми затратами, а так же выгодна злоумышленникам которые преследовали цель не получить конфиденциальную информацию обойдя защиту, а получить её в самый слабый момент — перестройка системы.
Качественной системой мониторинга можно назвать систему, которая будет с вероятностью от 85% до 100% отслеживать состояние защищенности информации в организации (журналы авторизаций, время атак или гарантию отсутствия таковых) на любой момент времени.
На сегодняшний момент проверкой надежности системы мониторинга-контроля (или вообще её наличие) за обстановкой в информационной безопасности могут являться только тестовые испытания на существующих и уже работающих КИС. Это различного рода атаки, поиск практических средств использования уязвимостей системы, проверка полноты хранимой информации.
В случае выявлений отклонений ожидаемых результатов от действительных мы должны проанализировать качество и количество этих отклонений и оценить риски, которые возникли в ходе этих испытаний, провести все мероприятия по их устранению и провести контрольный тест. Если риски остались — продолжаем тестовые испытания и модернизацию.
В случае если система показала даже 100% результат в контроле за информационными потоками, мы должны время от времени проводить плановые и внеплановые испытания, с использованием новейших технологий, для гарантии корректности.
Обычно проверка систем мониторинга и контроля информационной безопасности проводится сторонними организациями, поскольку это очень дорогое и постоянно ненужное средство, а так же предвзятость не может не влиять на результаты и цену рисков. В рамках этого предлагаются некоторые решения.
Основные задачи, которые решаются в ходе аудита защищенности информационной системы:
1. Анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации.
2. Выявление значимых угроз информационной безопасности и путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе.
3. Составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности.
4. Проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии.
5. Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов Заказчика.
6. Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ.
7. Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
При получении рекомендаций от сторонних организаций нужно помнить о финансовой обоснованности и безусловном отклонении от идеального варианта и возможно начать следующую итерацию цикла PDCA еще с прошлых недочётов.
1. Средства управления доступом к системе (доступ с консоли, доступ по сети) и разграничения доступа
2. Обеспечение контроля целостности и неизменности программного обеспечения (сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса есть изменение ПО)
3. Средства криптографической защиты
4. Средства защиты от вторжения извне (внешнего воздействия)
5. Средства протоколирования действий пользователей, которые тоже служат обеспечению безопасности (хотя и не только)
6. Средства обнаружения вторжений
7. Средства контроля состояния безопасности системы (обнаружения уязвимостей)
Самыми интересными являются три последних класса, которые играют пассивную роль в обеспечении безопасности, однако их значимость не должна быть принижена. Если мы, к примеру, рассмотрим цикл Деминга в отношении обеспечения информационной безопасности на уровне ПО, то положение этих трех классов будет занимать полностью одну четвертую часть всего процесса обеспечения безопасности.
Методология PDCA(Цикл Деминга) представляет собой простейший алгоритм действий руководителя по управлению процессом и достижению его целей. Цикл управления начинается с планирования.
1. Планирование — установление целей и процессов, необходимых для достижения целей, планирование работ по достижению целей процесса и удовлетворения потребителя, планирование выделения и распределения необходимых ресурсов.
2. Выполнение — выполнение запланированных работ.
3. Проверка — сбор информации и контроль результата на основе ключевых показателей эффективности (KPI), получившегося в ходе выполнения процесса, выявление и анализ отклонений, установление причин отклонений.
4. Воздействие (управление, корректировка) — принятие мер по устранению причин отклонений от запланированного результата, изменения в планировании и распределении ресурсов.
Эти средства не влияют (хотя в купе с другими системами и могут) на систему обеспечения безопасности, а просто занимаются сбором хранением и обеспечением доступности полной информации о состоянии системы безопасности — журналы событий, сведения об отказах в обслуживании, сведения о подозрительных авторизациях, аналитические журналы сравнений картины уязвимостей системы и отдельных узлов.
Другой стороной таких систем, в частности средств обнаружения уязвимостей, будут являться подсистемы помощи принятий решений (ППР), которые на основе каких-то входных данных выносят достаточно справедливые вероятностные решения на следующий узел цикла PDCA, а именно «Act» — воздействие. Подсистема ППР может быть автономной и не влиять на функционирование системы в целом, однако, более результативные системы автоматически корректируют себя на основе результатов ППР.
Примером таких корректировок могут быть межсетевые экраны с автоматическим добавлением новых правил при превышении лимита пакетов в единицу времени на определенный порт. Существуют и более сложные системы IDS+IPS, которые определяют правила работы отдельных узлов между собой.
Очевидно что, для правильной, корректной и обоснованной работы таких систем будет критичным актуальность и полнота входной информации о функционировании уже существующей системы безопасности. Поскольку ложная (как фальш-негативная, так и фальш- позитивная) информация будет слабым звеном в цепочке принятия решения о модернизации системы обеспечения защиты информационной безопасности, главной задачей будет построение качественной системы контроля и аудита безопасности.
Возможная выгода злоумышленника при неправильной системе аудита безопасности может быть самой разнообразной, всё зависит от того на что направлен его взор. Если, например, злоумышленник понимает, что в существующей системе безопасности абсолютно нет никаких уязвимостей на сегодняшний день, но так же и нет инцидентной политики, то атака (особенно распределенная) будет очень успешной по истечении непродолжительного времени после использования принципиально новой схемы нападения. Или же невозможность идентифицировать атаку будет так же являться черным ходом в КИС. А последствии атак так же могут быть различными — хищение информации, отказ в обслуживании, вирусная атака и т.д.
Так же неправильная система аудита безопасности может быть причиной нелогичного решения в цикле Деминга на момент времени «Act». Это может получиться когда, из-за неправильных данных и их анализа мы (или система ППР) принимаем решение о модернизации системы. Эта модернизация может быть необоснованна финансовыми затратами, а так же выгодна злоумышленникам которые преследовали цель не получить конфиденциальную информацию обойдя защиту, а получить её в самый слабый момент — перестройка системы.
Качественной системой мониторинга можно назвать систему, которая будет с вероятностью от 85% до 100% отслеживать состояние защищенности информации в организации (журналы авторизаций, время атак или гарантию отсутствия таковых) на любой момент времени.
На сегодняшний момент проверкой надежности системы мониторинга-контроля (или вообще её наличие) за обстановкой в информационной безопасности могут являться только тестовые испытания на существующих и уже работающих КИС. Это различного рода атаки, поиск практических средств использования уязвимостей системы, проверка полноты хранимой информации.
В случае выявлений отклонений ожидаемых результатов от действительных мы должны проанализировать качество и количество этих отклонений и оценить риски, которые возникли в ходе этих испытаний, провести все мероприятия по их устранению и провести контрольный тест. Если риски остались — продолжаем тестовые испытания и модернизацию.
В случае если система показала даже 100% результат в контроле за информационными потоками, мы должны время от времени проводить плановые и внеплановые испытания, с использованием новейших технологий, для гарантии корректности.
Обычно проверка систем мониторинга и контроля информационной безопасности проводится сторонними организациями, поскольку это очень дорогое и постоянно ненужное средство, а так же предвзятость не может не влиять на результаты и цену рисков. В рамках этого предлагаются некоторые решения.
Основные задачи, которые решаются в ходе аудита защищенности информационной системы:
1. Анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации.
2. Выявление значимых угроз информационной безопасности и путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе.
3. Составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности.
4. Проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии.
5. Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов Заказчика.
6. Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ.
7. Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
При получении рекомендаций от сторонних организаций нужно помнить о финансовой обоснованности и безусловном отклонении от идеального варианта и возможно начать следующую итерацию цикла PDCA еще с прошлых недочётов.
