3. Оценка риска

Одной из самых важных причин разработки ПРД является необходимость гарантии того, что расходы на защиту принесут впоследствии прибыль (выгоду). Хотя это кажется очевидным, но можно быть введенным в заблуждение в вопросах, где стоит приложить усилия по организации защиты. Например, много говорят о злоумышленниках со стороны, которые проникают в АС, но пересмотр большинства организаций показал, что потери от внутренних злоумышленников (своих) намного больше, чем от посторонних.

Анализ риска включает определение того, что нужно защищать, от чего защищаться, и как защищаться. Для этого необходимо определить все объекты, которым может что-либо угрожать, и ранжировать их по уровню важности. Этот процесс включает принятие экономических решений о том, что должно быть защищенный. Старый афоризм говорит, что не нужно расходовать больше денег для защиты чего-либо, чем оно в действительности стоит.

Полное рассмотрение анализа риска находится за пределами этой книги. Однако напомним, что анализ риска содержит в себе следующие этапы:

1. Определение объекта защиты (ценностей).

2. Выявление угроз.

3. Оценка вероятностей появления угроз.

4. Оценка ожидаемых размеров потерь.

5. Обзор применяемых методов предотвращения угроз с оценкой их стоимости.

6. Оценка выгоды от проведения предполагаемых мероприятий для защиты.

В двух следующих подпунктах будут коротко рассмотрены определения ценностей и выявления угроз. Кроме того, в Приложении 1 можно найти рекомендации, как самостоятельно провести и первичную оценку риска.

Для каждого объекта информационной системы базовыми целями защиты является обеспечение доступности, конфиденциальности и целостности ресурса, что защищается. Каждая угроза должна рассматриваться с точки зрения того, как она может касаться этих трех качеств.

Одним из шагов при анализе риска являются определения той собственности или имущества организации, которые нужно защищать. Определение объектов защиты - нелегкая задача. Очевидно, что необходимо защищать разные ЗОТ. Однако людей, что реально используют эти ЗОТ, нередко исключают из внимания. Необходимый список всех объектов, которых касается проблема защиты. Вот один из возможных списков объектов защиты:

1. Оборудование: системные блоки, планы расширения, клавиатуры, терминалы, рабочие станции, отдельные

персональные компьютеры, принтеры, дисковые накопители, коммуникационное оборудование, терминальные серверы, маршрутизаторы.

2. Программное обеспечение: исходные тексты программ, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные системы.

3. Данные: во время выполнения, сбереженные при оперативном использовании, архивирующие, журналы действий, базы данных, при передаче по каналам связи.

4. Люди: пользователи, обслуживающий персонал, необходимый для обеспечения функционирования АС.

5. Документация: по программам, по ЗОТ, по АС, по административным мероприятиям безопасности.

6. Расходные материалы: бумага, красящие ленты, магнитные ленты.

Как только объекты, что требуют защиты, определены, необходимо определить угрозы этим объектам. Потом можно выучить угрозы, чтоб определить, которые могут быть потенциальные потери. Следующие пункты описывают несколько возможных угроз.

Несанкционированный доступ

Общей угрозой для большей части организаций является несанкционированный доступ ^ к информации.

Несанкционированный доступ имеет много форм. Одна из них - использование чужого пароля для получения доступа к АС. Использование любой АС без разрешения может считаться несанкционированным доступом к ЗОТ.

Опасность несанкционированного доступа неодинаковая в разных организациях. В одних организациях сам факт предоставления доступа несанкционированному пользователю может привести к невозобновляемым повреждениям ЗОТ. В других организациях несанкционированный доступ открывает двери другим угрозам защиты. Кроме того, некоторые организации могут быть объектом более частых атак, чем другие, поэтому риск несанкционированного доступа изменяется от организации к организации. Например, при работе в глобальной сети Мете! отмечается, что известные университеты,

правительственные организации и военные части более привлекают злоумышленников, чем обычные коммерческие фирмы.

Раскрытие информации

Другой распространенной угрозой является раскрытие информации. Раскрытие файла паролей может стать причиной несанкционированного доступа в будущем. Файл с текстом конфиденциального документа со списком ваших партнеров и сведений о поставке может дать вашему конкуренту большое преимущество, а техническое описание образца новой продукции^ может сэкономить ему годы, которые пришлось бы потратить на проведение собственных исследований. Разработанная вашими специалистами программа позволит конкуренту сократить свои расходы на разработку и получить больше, чем у вас, эффект от внедрения.

Отказ в обслуживании

ЗОТ и сети предоставляют много ценных служб их пользователям. Традиционно ЭВМ предоставляет пользователям файловую систему, терминалы, базы данных, прикладные программы и дополнительные устройства (принтер, модем, факс, т.д.). В сети к этим службам добавляется еще служба передаче сообщений. Многие люди возлагаются на эти службы, потому что они позволяют им эффективно решать свои задачи. Когда эти службы недоступные в нужный момент, производительность труда сотрудников падает.

Отказ в обслуживании имеет много форм и может по- разному касаться пользователей. Сеть может стать неработоспособной из-за специального вредного пакета, искажений при передаче данных или неисправного компонента сети. Вирус может снизить производительность сети или остановить АС. Каждая организация должна определить, какие службы необходимы, и для каждой из этих служб оценить, к каким последствиям для организации приведет неработоспособность этой службы и отказа в предоставлении услуг.

Существует ряд проблем, которые нужно решить при разработке ПРД:

1. Что делать с конфиденциальной информацией?

2. Кому разрешено использовать ресурсы?

3. Что такое правильное использование ресурсов?

4. Кто отвечает за предоставление доступа и надежность предоставления услуг?

5. Кто может иметь привилегии системного администратора?

6. Какие права и обязанности пользователей?

7. Какие права и обязанности системного администратора относительно пользователей?

Эти проблемы рассматриваются ниже. Кроме того, можно включить в ПРД раздел, связанный с этикой использования ЗОТ и АС.

Перед тем, как предоставить пользователям доступ к службам АС, необходимо определить, на каком уровне обеспеченная конфиденциальность данных у конкретной АС. Определив это, можно определить уровень секретности данных, какие пользователи могут сохранять в АС. Нельзя позволять пользователям сохранять очень важную информацию в АС, которая не является защищенной. Необходимо сообщить пользователям, которые могут сохранять конфиденциальную информацию, о том, какие службы, если они есть, больше подходят для сохранения конфиденциальной информации. Эта часть ПРД должна включать описание возможностей по сохранению данных разными способами (диски, магнитные ленты, файл - серверы и т.п.). ПРД в этой отрасли должны быть скоординированы с ПРД в отношении прав системных администраторов к конфиденциальным данным.

Одно из действий, которое необходимо выполнить при разработке ПРД - определения тех лиц, кому позволяется использовать АС и службы сети. ПРД должны явно определять, кому официально разрешено использовать эти ресурсы.

После определения того, кому разрешен доступ к ресурсам системы, необходимо дать рекомендации по приемлемому использованию ресурсов. Можно давать разные рекомендации разным типам пользователей (например, студентам, сотрудникам факультета, внешним пользователям). ПРД должны определять, что такое допустимое использование, а также что такое недопустимое использование ресурсов В них также стоит включить определение типов использования ресурсов, применение которых может быть ограниченным.

Определить границы доступа к ресурсам и полномочию при доступе. Понадобится учесть уровень доступа, который будут иметь разные пользователи, а также то, какие ресурсы будут доступны или ограничены для разных групп людей.

Относительно допустимого использования ресурсов ПРД должны однозначно установить, что каждый человек отвечает за свои действия. Обязанности пользователей по соблюдению ПРД существуют всегда, независимо от того, какие механизмы безопасности действуют. Должно быть явно определено, что использование чужих паролей или обход защиты является недопустимыми действиями.

При разработке правил разграничения доступа стоит явно запретить всем пользователям:

• получение доступа к информации о пользователях;

• раскрытие чужих паролей;

• разрушение служб сети;

• просмотр всех доступных для чтения файлов на сетевых устройствах;

• модификацию файлов, которые не являются их собственными, даже если они имеют право записи в них;

• использование того же регистрационного имени и пароля.

Можно включить в ПРД пункт, связанный с программным

обеспечением, защищенными авторскими правами или лицензированием. Лицензионное соглашение с производителями может требовать некоторых усилий для того, чтобы гарантировать отсутствие нарушений лицензии. Кроме того, необходимо проинформировать пользователей, что копирование программ, защищенных авторскими правами, является нарушением законов об авторских правах, поэтому запрещено.

В отношении программного обеспечения, которое является лицензионным или защищенным авторскими правами, можно включить в ПРД следующую информацию:

• какое лицензионное и защищенное авторскими правами программное обеспечение не может копироваться за

^исключением случая, когда явно сказано, что можно это делать;

• методы сообщения информации о статусе разрешения ^копирования программ;

• фразу "Когда у вас возникли сомнения, не КОПИРУЙТЕ".

Правила допустимого использования очень важны. ПРД,

^которые явно не определяют, что запрещено, могут впоследствии не Позволить доказать, что пользователь нарушает ПРД.

Существуют исключения, такие как пользователи или администраторы, которые желают иметь "лицензию на х&К'грство" - вы можете столкнуться с ситуацией, когда пол_{ьзователи} захотят исследовать АС ради тестирования защищенности. Вы должны разработать ПРД, которые будут определять, можно ли позволять такой тип исследований сетевых слу;кб и, если это так, каковы рекомендации при проведении такцх исследований.

Что стоит отобразить в этой части ПРД:

• можно ли это делать вообще;

• какой тип деятельности разрешен: перехват паролей, дос -уп к информации, запуск сетевых вирусов, запуск вирусов и т.п.;

• какой контроль должен осуществляться при этом, чтобы ^гаР^£нтироват ь, что ситуация не вышла из-под контроля (нагример, выделить сегмент сети для этих тестов);

• каким образом будет осуществляться защита других пол1,з_0ваХелей, чтоб они не стали жертвами этих процессов, включая внешних пользователей и сети;

• процесс получения разрешения на проведение этих тестов.

В тех случаях, когда разрешенное проведение таких

исследований, необходимо изолировать тестирующую часть от основной сети. Сетевые вирусы и просто вирусы никогда не должны запускаться в реальной сети. Никогда не должен осуществляться доступ к конфиденциальной информации и пер«хватываться пароли лиц, которые имеют право на доступ к этой информации.

Можно снарядить кого-то для оценки защищенности АС, ^чт° может включать ее исследование. Можно отобразить и этот момент в ПРД.

ПРД должны устанавливать, кто отвечает за предоставление разрешения на доступ к службам. Более того, должно быть определено, какой тип доступа они могут предоставлять. Если не контролировать того, кто дает разрешение на доступ к АС, то это означает не контролировать, кто использует АС. Контроль за тем, кто имеет право предоставлять доступ, позволит также узнать, кто имел или не имел разрешения на доступ при проблемах с защитой.

Существует много схем, которые можно использовать для управления распределением доступа к службам. Дальше наводятся факторы, которые должны учитываться при определении того, кто распределяет доступ к службам:

• Управление предоставлением доступа с одного места или это право предоставлено нескольким местам?

Может быть одно центральное место для предоставления полномочий на доступ в распределенной системе, в которой разные отделы независимо отвечают за предоставление полномочий на доступ. Нужный компромисс между защищенностью и удобством. Чем больше этот процесс централизован, тем более он защищен.

• Какие методы будут использованы для регистрации новых пользователей и прекращения доступа?

С точки зрения безопасности необходимо знать механизм, который будет использован при регистрации новых пользователей. При самом незащищенном варианте люди, которые отвечают за регистрацию пользователей, могут просто войти в систему и создать нового пользователя вручную или посредством механизма, определенного производителем (как у ОС Netware фирмы Novell). В общем случае эти механизмы доверяют человеку, который запускает их, и человек, который запускает их, обычно имеет большие привилегии. Если избран этот способ, нужно выбрать кого-то, кто не подведет при решении этой задачи.

Иным способом будет создание интегрированной системы, что запускается людьми, которые отвечают за регистрацию, или самими пользователями. Помните, что даже наличие самого защищенного средства создания новых пользователей не спасает от возможности злоупотреблений им.

Должны быть разработаны специфические процедуры для добавления новых пользователей в АС. Эти процедуры должны быть хорошо документируемые для предотвращения неоднозначных толкований и уменьшения числа ошибок. Уязвимость защиты при создании новых пользователей возникает не только из-за возможных злоупотреблений, но также из-за возможных ошибок. Просто и хорошо документируемая процедура поможет быть уверенным, что ошибок не будет. Также необходимо быть уверенным в том, что люди, которые выполняют эти процедуры, понимают эти правила.

Предоставление полномочия пользователю на доступ к АС - один из самых впечатлительных моментов. Необходима уверенность в том, что пароль, избранный сначала, не может быть легко угадан. Необходимо избегать использования как начального пароля слова, производного от имени пользователя, что является частью имени пользователя, некоторого алгоритмически сгенерированного пароля, что может быть легко угадан. Кроме того, не следует позволять пользователям продолжать использовать начальный пароль неопределенно долгое время. Если это возможно, необходимо принуждать пользователей изменять начальный пароль при первом сеансе работы с АС. Необходимо учитывать то, что некоторые пользователи могут так никогда и не войти в АС, что делает их пароли уязвимыми неопределенно долгое время. Умным выходом будет принять решение удалять пользователей, которые никогда не пользовались АС, и вынуждать владельцев этих имен заново регистрироваться в списке пользователей.

Одним из решений в области защиты, которое нужно принимать весьма тщательным образом, является решение о том, кто будет иметь привилегии системного администратора и доступ к паролям служб. Естественно, что системные администраторы будут иметь такие права, но неминуемо, что и другие пользователи будут просить специальных привилегий. ПРД должны так или иначе решать эту проблему. Ограничение выдачи привилегий — один из способов защиты от угроз, которые происходят от "своих пользователей". Целью является компромисс между ограничением доступа ради большей безопасности и предоставлением привилегий тем людям, кому в действительности нужные такие привилегии, чтобы они могли решать свои задачи. Одним из подходов к решению является предоставление только тех привилегий, что необходимы для выполнения своих задач пользователем (принцип минимума привилегий).

Кроме того люди, которые владеют особыми привилегиями, должны быть учтены специальным органом (например, службой безопасности), и эта информация также должна быть зафиксирована в ПРД организации. Если человек, которому предоставлены особые привилегии, не учтен где-нибудь, существует риск потери контроля над АС и возникновение трудностей при управлении безопасностью.

ПРД должны включать пункты о правах и обязанностях пользователей относительно использования ЗОТ и служб организации. Должно быть явно установлено, что пользователи отвечают за понимание и соблюдение правил безопасности в АС, которые они используют. Дальше приводится список моментов, которые можно зафиксировать в этой отрасли ПРД:

• какие рекомендации относительно использования ресурсов;

( ограничиваются ли пользователи в чем-то, и если это так,

то какие эти ограничения. Например, разрешено неограниченное использование сетевых принтеров или можно использовать их только для печати конкретных документов объемом не более 10 страниц);

• что может считаться злоупотреблением с точки зрения производительности АС;

• позволяется ли нескольким пользователям использовать одно регистрационное имя или позволять другим использовать их имена;

• как пользователям, которые допущены к конфиденциальной информации, стоит сохранять свои пароли;

• как часто пользователям стоит изменять свои пароли, а также любые другие ограничения или требования относительно паролей;

• будет ли осуществляться резервное копирование организованно, или пользователям следует самим делать свои копии;

• запрещение на разглашение информации, которая может быть частной собственностью пользователей (личная переписка по электронной почте, например);

• пункт о безопасности электронной почты;

• политика относительно электронных коммуникаций.

Базовой рекомендацией относительно электронной почты

является то, что каждая организация должна иметь политику относительно защиты частной собственности своих служащих. Также рекомендуется, чтобы в организации установили политику относительно частной собственности при использовании всех средств передачи информации, а не только электронной почты.

Предлагается пять критериев для оценки любой политики:

1. Согласуется ли политика с законами и требованиями общественных организаций?

2. Пытается ли политика найти компромисс между интересами служащих, руководства организации и общественных организаций?

3. Действует ли политика в жизни и требуется ли ее соблюдение?

4. Касается ли эта политика разных форм взаимодействия и сохранения информации, которые имеют место в организации?

5. Была ли эта политика известна заранее и согласована ли со всеми заинтересованными лицами?

Существует компромисс между правами пользователя на абсолютную частную собственность и необходимостью системным администраторам собирать информацию, необходимую для обнаружения причин возникновения проблемы. Также существует разногласие между необходимостью системного администратора собирать информацию для решения проблемы и исследованием причин нарушения защиты. ПРД должны определять, в какой степени системные администраторы могут исследовать файлы пользователей для диагностики проблем или других целей, и какие права гарантированы пользователям. Можно также прибавить утверждение относительно обязательств системных администраторов по хранению в секрете информации, полученной ими при таких исследованиях. Для этого нужно ответить на несколько вопросов:

• может ли администратор наблюдать за состоянием файлов пользователя или читать их по какой-либо причине;

• каковы при этом его обязательства;

• имеют ли право сетевые администраторы пересматривать график сети или конкретной ЭВМ?