4_2_1.htm 4.2.1. Организационные методы защиты компьютерной информации К сожалению, пока законодательство в области защиты информации далеко от совершенства. Но при правильном использовании уже имеющихся законодательных и целого ряда подзаконных актов можно добиться весьма ощутимых успехов в области возмещения своих убытков и в то же время не попасть под карающий меч государственных структур. Чтобы свести к минимуму риск в коммерческой деятельности, нужно оценивать всевозможные угрозы безопасности с учетом двух факторов: • Возможной частоты действия угроз • Возможного ущерба от их действия. Поэтому очень важно четко уяснить, какая используемая в вашем учреждении информация, пусть даже не принадлежащая вам, подлежит обязательной защите. Начать надо с проведения предварительного анализа имеющейся у вас информации. От этого в дальнейшем будет зависеть выбор степени ее защиты. Документирование информации проводится по строго определенным правилам. Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов», ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники» и некоторых других. Надо отметить, что эти ГОСТы предполагают 31 реквизит, который делает информацию документом, но не обязательно, чтобы присутствовали все предлагаемые реквизиты. Главный реквизит — это текст. Поэтому любая информация, изложенная в виде связного текста без каких-либо дополнительных реквизитов, уже может рассматриваться как документ, для придания определенной юридической силы которому необходимы также такие важные реквизиты как дата и подпись. Особый порядок существует только для документов, полученных из автоматизированных информационных систем. При этом, в определенных случаях, применяется процедура заверения информации, полученной от удаленного объекта, электронной подписью. Защита информации — удовольствие достаточно дорогое, поэтому одним из принципов построения системы защиты должен стать принцип дифференциации степени защиты информации по ее важности и ценности. Анализ мирового и отечественного опыта обеспечения безопасности говорит о необходимости создания целостной системы безопасности учреждения, взаимоувязывающей организационные, оперативные и оперативно-технические меры защиты с использованием современных методов прогнозирования, анализа и моделирования ситуаций. При организации защиты информации необходимо придерживаться определенного курса, следуя некоторым советам. СОВЕТ ПЕРВЫЙ: • Проанализируйте информацию, которая циркулирует в вашем учреждении • Выделите сведения ограниченного доступа • Оцените коммерческую важность информации • Составьте перечень сведений, содержащих коммерческую тайну, утвердите его и ознакомьте с ним исполнителей • Определите объем информации, составляющей государственную тайну. Все это позволит вам дифференцировать мероприятия по обеспечению безопасности информации и тем самым сократить расходы. СОВЕТ ВТОРОЙ: • Убедитесь в лояльности сотрудников службы безопасности • Принимая сотрудника на работу, постарайтесь всеми доступными средствами навести о нем справки • Продумайте систему морального и материального поощрения сотрудников за соблюдение лояльности • Регулярно тестируйте сотрудников, которые соприкасаются с информацией ограниченного доступа • Обязательно оговаривайте в договоре или контракте с сотрудником условия сохранения служебных тайн не только на период совместной работы, но и на определенный срок после завершения ваших взаимоотношений • Старайтесь всегда соблюдать принцип комплексного подхода к решению проблемы защиты информации • Придерживайтесь правила «доверяй, но проверяй». Это вселит в вас уверенность, что в критический момент система безопасности не даст сбоя • Учитывайте пространственные факторы: введение контролируемых (охраняемых) зон, правильный выбор помещений и расположение объектов между собой и относительно границ контролируемой зоны • Учитывайте временные факторы: ограничение времени обработки защищаемой информации, доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц. СОВЕТ ТРЕТИЙ: • Создайте концепцию информационной безопасности • Увяжите эту концепцию с общей концепцией безопасности вашего учреждения. Концепция — это официально принятая система взглядов на проблему информационной безопасности и пути ее решения с учетом современных тенденций развития информатизации вашей компании. Она является методологической основой вашей политики в разработке практических мер по ее реализации. На основе сформулированных в концепции целей, задач и возможных путей их решения формируются конкретные планы обеспечения информационной безопасности. Выявление вмешательства в компьютерную систему часто весьма затруднено вследствие того, что злоумышленникам чаще всего удается скрыть следы проникновения в систему. Все попытки взлома систем обнаруживаются, обычно, совершенно случайно. Например, администратор сети заметил пропуск в файле протокола или вхождение в систему в отсутствие пользователя. Или он был предупрежден другими администраторами безопасности о присутствии постороннего в сети. Для выявления несанкционированного доступа необходимо: • Регулярно проверять файлы протоколов, особенно протоколов входа в систему • Отслеживать подсоединение неизвестных пользователей в непривычное время • Обращать внимание на идентификаторы пользователей, которые оставались какое-то время неиспользованными и оказались снова задействованными. Как правило, злоумышленники используют для своей работы нерабочее время (обычно с 18.00 до 8.00), а также выходные и праздничные дни. Одним из способов выявления постороннего присутствия в сети является запуск каждые 10 минут обычной процедуры, написанной на языке shell, которая фиксирует все процессы и соединения по сети в отдельном файле. Эта программа формирует списки пользователей, всех текущих процессов и сетевых подключений. Способы защиты от проникновения в вычислительную систему приводятся во многих изданиях. Обобщив приведенную в них информацию, можно предложить общие рекомендации по обеспечению безопасности сетей: • Удаляйте все шаблоны из списка гостевых систем • Используйте файлы .rhosts правильно, позволяя входить в вашу систему только тем, кому вы действительно доверяете • Необходимо закрыть доступ для всех пользователей к файлу .netrc, содержащему пароли в незашифрованном виде, и его резервным копиям, создаваемым некоторыми редакторами • Открывая доступ удаленным машинам к пользовательской файловой системе, установите режим «только для чтения». Для эффективной защиты информации в компьютерных сетях предприятий, организаций и т. п. необходимо создавать службы администратора безопасности информации, на сотрудников которых возлагается решение следующих основных задач: • Организация и поддержание контролируемого доступа пользователей к ресурсам компьютерной сети на всех этапах ее жизненного цикла • Слежение за состоянием безопасности компьютерной сети и оперативное реагирование на происходящие в ней несанкционированные действия пользователей. Так как механизмы защиты, встроенные в распространенные операционные системы, например, MS-DOS/Windows 3.X, Novell Netware, Windows 95, не обеспечивают надежной защиты информации, то решать упомянутые выше задачи в них просто невозможно. На рынке средств защиты сегодня представлено большое разнообразие систем защиты информации. Перед администратором безопасности встает вопрос определения необходимости и порядка их применения. Очевидно, что далеко не все компьютеры организации необходимо оснащать дополнительными системами защиты информации, так как это требует новых материальных затрат и может только затруднить эксплуатацию всей компьютерной сети в целом. Применение средств защиты информации целесообразно в следующих случаях: • При размещении на компьютерах средств криптографической защиты данных. Здесь дополнительные средства защиты информации необходимы для защиты ключей электронной цифровой подписи и шифрования • При необходимости регламентации и протоколирования действий пользователей, работающих на компьютерах, подключенных к сети. В этом случае система защиты решает задачу недопущения действий пользователей, не предусмотренных технологией обработки данных • При необходимости ограничения доступа пользователей,работающих на компьютере, к его локальным ресурсам (дискам, каталогам, файлам или внешним устройствам), а также исключения возможности самостоятельного изменения состава и конфигурации программных средств, установленных на компьютере. Применение дополнительных средств защиты предполагает выполнение администратором безопасности предприятия ряда действий. Он должен: • Устанавливать средства защиты информации на компьютеры • Настраивать средства защиты информации путем задания прав доступа пользователей к ресурсам, как компьютеров так и сети • Контролировать состояние защищенности компьютерной сети путем оперативного мониторинга и анализа системных журналов. В большинстве случаев средства защиты информации устанавливаются на уже реально функционирующую систему. Так как защищаемая компьютерная система обычно используется для решения важных задач (часто в непрерывном технологическом цикле), ее владельцы и пользователи неодоб- рительно относятся к любому, даже кратковременному, перерыву в ее работе, необходимому для установки и настройки системы защиты информации. Следует учитывать, что с первого раза правильно настроить систему защиты практически невозможно. Обычно это связано с отсутствием в организации полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового противоречивого перечня прав доступа и полномочий каждого пользователя. Поэтому этап внедрения системы защиты информации обязательно включает действия по первоначальному выявлению, последовательному уточнению и соответствующему изменению настроек, устанавливаемых в этой системе. Очевидно, что те же самые действия администратору безопасности придется неоднократно повторять и на этапе эксплуатации системы защиты информации при изменениях состава технических средств, программного обеспечения и т.д. Такие изменения происходят довольно часто, поэтому средства управления этой системы должны обеспечивать удобство осуществления необходимых при этом настроек. В этом случае, если средства управления не приспособлены к этому, а сами системы защиты информации не обладают достаточной гибкостью, то очень скоро они становятся не помощником, а обузой для всех и, в первую очередь, — для администраторов безопасности. В конце концов такие системы защиты информации обречены на отторжение. Деятельность администратора безопасности на этапе эксплуатации системы защиты информации состоит в корректном и своевременном внесении изменений в полномочия пользователей и настройки защитных механизмов на компьютерах сети. С увеличением масштаба защищаемой компьютерной сети и при сохранении неизменным количества людей, отвечающих за ее информационную безопасность, изменяются требования к способам управления этой системой. Как показывает практика, решения, приемлемые для одного компьютера или небольшой сети из 10—15 рабочих станций, как правило, не устраивают обслуживающий персонал и администраторов безопасности больших сетей, объединяющих сотни машин. Проблемы по управлению полномочиями пользователей и настройками системы защиты информации в компьютерной сети могут быть решены, например, на основе использования системы централизованного управления доступом к сети Принцип реализации такой системы состоит в применении специального сервера управления доступом, работающего на основном файловом сервере сети, который осуществляет автоматическую синхронизацию центральной базы данных защиты с локальными базами данных защиты, размещенных на рабочих станциях пользователей. Введение распределенной базы данных защиты (центральной и локальных) гарантирует, что выход из строя сети или сервера управления доступом не будет препятствовать нормальному функционированию средств защиты на рабочих станциях. При данной системе управления доступом полномочия пользователя меняются периодически в центральную базу данных защиты, а их изменение на конкретных компьютерах обеспечивается во время очередного сеанса синхронизации. Кроме того, при смене пользователем своего пароля на одной из рабочих станций, новое значение пароля этого пользователя автоматически отражается в центральной базе данных защиты, а также передается на рабочие станции на которых данному пользователю разрешено работать. Администратору безопасности необходимо контролировать состояние компьютерной сети, как оперативно (путем слежения за состоянием защищенности компьютеров сети), так и не оперативно (путем анализа содержимого журналов регистраций событий системы защиты информации). Использование сервера управления доступом для оперативного контроля за состоянием рабочих станций и работой пользователей позволяет отказаться от постоянного присутствия в сети администратора безопасности. В этом случае сервер управления доступом автоматически регистрирует несанкционированные действия, происходящие в сети, и всегда обладает оперативной информацией о состоянии станций сети. Увеличение количества рабочих станций и использование программных средств, включающих большое число разнообразных компонентов, приводит к существенному увеличению объемов журналов регистрации событий в системе защиты информации. Объем сведений, хранящийся в журналах, может стать настолько большим, что администратор уже физически не сможет полностью проанализировать их содержимое за приемлемое время. Для облегчения работы администратора по контролю за состоянием безопасности сети предлагаются следующие рекомендации: • Оперативный контроль за состоянием рабочих станций сети и работой пользователей, регистрация событий несанкционированного доступа в специальном журнале • Селекция определённых событий (по имени пользователя, дате, времени происшедшего события, его категории и т. п.) из системных журналов •Хранение системных журналов каждой рабочей станции по принципу «день/месяц/год» с автоматическим ограничением срока хранения системных журналов. По истечении установленного срока журналы автоматически уничтожаются • Семантическое сжатие данных в журналах регистрации, позволяющее увеличивать регистрируемые события без существенной потери их информативности • Автоматическая подготовка отчетных документов установленной формы о работе станций сети и имевших место нарушениях, благодаря чему существенно снижается рутинная нагрузка на администратора безопасности. Большинство пользователей рано или поздно сталкивается с проблемой вирусов. Обычно первое «знакомство» сопровождается определенными потерями программ и данных, а также времени на их восстановление. Уменьшить угрозу заражения компьютера или компьютерной сети можно применением совокупности организационных и профилактических мероприятий, которые получили название «компьютерной гигиены». Компьютерная гигиена предусматривает выполнение следующих рекомендаций: • Использовать только лицензионное программное обеспечение • Избегать копирования файлов с компьютеров, на которых не соблюдаются требования компьютерной гигиены • Использовать программы, поведение которых непонятно, или не ясны выполняемые программой действия • Приобретаемые программы перед передачей пользователям должны изучаться системными программистами (специалистами по вирусам) • Новые программы следует испытывать на отдельном компьютере, не содержащем важной информации, в течение определенного промежутка времени (период карантина) • Подвергать программы, источники которых ненадежны, усиленному карантину • Проверенное новое программное обеспечение должно дублироваться на заведомо «чистом» компьютере. Оригинал должен быть защищен от записи и храниться отдельно • Ограничить доступ посторонних к компьютерам • Обнаружив симптомы наличия вируса, предупредить всех пользователей и системного программиста (специалиста по вирусам). Защита от компьютерных вирусов в настоящее время основывается на применении организационных мероприятий и программных средств, которые практически включают в себя аппаратные возможности IBM совместимых компьютеров, программных средств, системного программного обеспечения и специальных программных средств защиты. Организационные средства позволяют минимизировать риск заражения компьютеров вирусами, а при заражении — сразу же информировать пользователя и облегчить уничтожение вируса и его последствий. Организационные меры защиты включают следующие основные мероприятия: • Резервирование: Наличие всех основных компонент операционной системы и программного обеспечения в архивах Копирование таблиц распределения файлов дисков Ежедневное ведение архивов изменяемых файлов • Профилактика: Систематическая выгрузка содержимого активной части винчестера на дискеты Раздельное хранение компонент программного обеспечения и программ пользователей Хранение неиспользуемых программ в архивах • Ревизия: Обследование вновь получаемых программ на дискетах на наличие вирусов Систематическая проверка длин файлов, хранящихся на винчестере Использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения Проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов •Фильтрация: Разделение винчестера на логические диски с различными возможностями доступа к ним Использование резидентных программных средств слежения за файловой системой • Защита, основанная на использовании специальных программных средств. Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программы-архиваторы, программы резервирования важных компонент файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Технические методы защиты информации Методы защиты информации от большинства угроз базируются на организационных и технических мероприятиях. В свою очередь технические методы подразделяются на: •Аппаратные • Программные • Аппаратно-программные. Остановимся на следующих направлениях обеспечения безопасности информации (с ориентацией на электронно-вычислительную технику): • Защита от несанкционированного доступа к информации в компьютерных системах и сетях • Антивирусная защита • Предотвращение перехвата через нежелательные электромагнитные и акустические поля и излучения • Обеспечение высокой структурной скрытности сообщений на основе криптографических методов.