Мобильные и портативные компьютеры
- заманчивый объект кражи. Их часто оставляют
без присмотра, в автомобиле или на работе,
и похитить такой компьютер совсем несложно.
3.3.3 Поддержание работоспособности
Здесь можно выделить следующие
направления:
поддержка пользователей. Поддержка пользователей подразумевает прежде всего консультирование и оказание помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный "справочный стол", но чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной
безопасностью. Так, многие трудности
пользователей, работающих на персональных
компьютерах, могут быть следствием заражения
вирусами. Целесообразно фиксировать
вопросы пользователей, чтобы выявлять
их типичные ошибки и выпускать памятки
с рекомендациями для распространенных
ситуаций.
поддержка программного обеспечения. Поддержка программного обеспечения
- одно из важнейших средств обеспечения
целостности информации. Прежде всего,
необходимо следить за тем, какое программное
обеспечение установлено на компьютерах.
Если пользователи будут устанавливать
программы по своему усмотрению, это может
привести к заражению вирусами, а также
появлению утилит, действующих в обход
защитных средств. Вполне вероятно также,
что "самодеятельность" пользователей
постепенно приведет к хаосу на их компьютерах,
а исправлять ситуацию придется системному
администратору. Второй аспект поддержки
программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержку эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и обеспечения целостности.
конфигурационное управление. Конфигурационное управление
позволяет контролировать и фиксировать
изменения, вносимые в программную конфигурацию.
Прежде всего, необходимо застраховаться
от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей, версии. Фиксация изменений позволит легко восстановить текущую версию после аварии.
резервное копирование. Резервное копирование необходимо
для восстановления программ и данных
после аварий. И здесь целесообразно автоматизировать
работу, как минимум, сформировав компьютерное
расписание создания полных и инкрементальных
копий, а как максимум - воспользовавшись соответствующими
программными продуктами. Нужно также
наладить размещение копий в безопасном
месте, защищенном от несанкционированного
доступа, пожаров, протечек, то есть от
всего, что может привести к краже или
повреждению носителей. Целесообразно
иметь несколько экземпляров резервных
копий и часть из них хранить вне территории
организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов.
управление носителями. Управлять носителями необходимо
для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл - от закупки до выведения из эксплуатации.
документирование. Документирование - неотъемлемая
часть информационной безопасности. В
виде документов оформляется почти все
- от политики безопасности до журнала
учета носителей. Важно, чтобы документация
была актуальной, отражала именно текущее
состояние дел, причем в непротиворечивом
виде.
регламентные работы. Регламентные работы - очень
серьезная угроза безопасности. Сотрудника, осуществляющего регламентные работы, очень трудно проконтролировать.
3.3.4 Реагирование на
нарушения режима безопасности
Программа безопасности, принятая
организацией, должна предусматривать
набор оперативных мероприятий, направленных
на обнаружение и нейтрализацию нарушений
режима информационной безопасности.
Важно, чтобы в подобных случаях последовательность
действий была спланирована заранее, поскольку
меры нужно принимать срочные и скоординированные.
Реакция на нарушения режима безопасности
преследует три главные цели:
локализация инцидента и уменьшение
наносимого вреда;
выявление нарушителя;
предупреждение повторных нарушений.
В организации должен быть человек,
доступный 24 часа в сутки (лично, по телефону
или электронной почте), который отвечает
за реакцию на нарушения. Все должны знать
координаты этого человека и обращаться
к нему при первых признаках опасности.
Чтобы предотвратить повторные нарушения,
необходимо анализировать каждый инцидент,
выявлять причины, накапливать статистику.
Каковы источники вредоносного ПО? Какие
пользователи имеют обыкновение выбирать
слабые пароли? На подобные вопросы и должны
дать ответ результаты анализа.
Необходимо отслеживать появление новых
уязвимых мест и как можно быстрее ликвидировать
ассоциированные с ними окна опасности.
Кто-то в организации должен курировать
этот процесс, принимать краткосрочные
меры и корректировать программу безопасности
для принятия долгосрочных мер.
3.3.5 Планирование восстановительных
работ
Планирование восстановительных
работ позволяет подготовиться к
авариям, уменьшить ущерб от них и сохранить
способность к функционированию хотя
бы в минимальном объеме. Процесс планирования
восстановительных работ можно разделить
на следующие этапы:
выявление критически важных
функций организации, установление приоритетов;
идентификация ресурсов, необходимых
для выполнения критически важных функций;
определение перечня возможных
аварий;
разработка стратегии восстановительных
работ;
подготовка к реализации выбранной
стратегии;
проверка стратегии.
Планируя восстановительные
работы, следует отдавать себе отчет в
том, что полностью сохранить функционирование
организации не всегда возможно. Необходимо
выявить критически важные функции, без
которых организация теряет свое лицо,
и даже среди критичных функций расставить
приоритеты, чтобы как можно быстрее и
с минимальными затратами возобновить
работу после аварии. Идентифицируя ресурсы,
необходимые для выполнения критически
важных функций, следует помнить, что многие
из них имеют некомпьютерный характер.
На данном этапе желательно подключать
к работе специалистов разного профиля,
способных в совокупности охватить все
аспекты проблемы. Критичные ресурсы обычно
относятся к одной из следующих категорий:
персонал;
информационная инфраструктура;
физическая инфраструктура.
Составляя списки ответственных
специалистов, следует учитывать, что
некоторые из них могут непосредственно
пострадать от аварии (например, от пожара),
кто-то может находиться в состоянии стресса,
часть сотрудников, возможно, будет лишена
возможности попасть на работу (например,
в случае массовых беспорядков). Желательно
иметь некоторый резерв специалистов
или заранее определить каналы, по которым
можно на время привлечь дополнительный
персонал.
Информационная инфраструктура
включает в себя следующие элементы:
информационные сервисы внешних
организаций;
Нужно подготовиться к тому, что в том
месте, куда организация будет эвакуирована
после аварии, аппаратная платформа может
отличаться от исходной. Соответственно,
следует продумать меры поддержания совместимости
по программам и данным. Документация
важна хотя бы потому, что не вся информация,
с которой работает организация, представлена
в электронном виде. Скорее всего, план
восстановительных работ напечатан на
бумаге. К физической инфраструктуре относятся
здания, инженерные коммуникации, средства
связи, оргтехника и многое другое. Компьютерная
техника не может работать в плохих условиях,
без стабильного электропитания и т.п.
Анализируя критичные ресурсы, целесообразно
учесть временной профиль их использования.
Большинство ресурсов требуются постоянно,
но в некоторых нужда может возникать
только в определенные периоды (например,
в конце месяца или года при составлении
отчета).
3.4 Программно-технический уровень
Программно-технические меры
- направлены на контроль компьютерных
сущностей - оборудования, программ и/или
данных, образуют последний и самый важный
рубеж информационной безопасности. Напомним,
что ущерб наносят в основном действия
легальных пользователей, по отношению
к которым процедурные регуляторы малоэффективны.
Главные враги - некомпетентность и неаккуратность
при выполнении служебных обязанностей.
Быстрое развитие информационных
технологий не только предоставляет новые
возможности защиты, но и объективно затрудняет
обеспечение надежной защиты, если опираться
исключительно на меры программно-технического
уровня. Причины этого:
повышение быстродействия микросхем,
развитие архитектур с высокой степенью
параллелизма позволяет методом грубой
силы преодолевать барьеры (прежде всего
криптографические), ранее казавшиеся
неприступными;
развитие сетей и сетевых технологий,
увеличение числа связей между информационными
системами, рост пропускной способности
каналов расширяют круг злоумышленников,
имеющих техническую возможность организовывать
атаки;
появление новых информационных
сервисов ведет и к образованию новых
уязвимых мест как "внутри" сервисов,
так и на их стыках;
конкуренция среди производителей
программного обеспечения заставляет
сокращать сроки разработки, что приводит
к снижению качества тестирования и выпуску
продуктов с дефектами защиты;
навязываемая потребителям
парадигма постоянного наращивания мощности
аппаратного и программного обеспечения
не позволяет долго оставаться в рамках
надежных, апробированных конфигураций
и, кроме того, вступает в конфликт с бюджетными
ограничениями, из-за чего снижается доля
ассигнований на безопасность.
Центральным для программно-технического
уровня является понятие сервиса безопасности.
Следуя объектно-ориентированному
подходу, при рассмотрении информационной
системы с единичным уровнем детализации,
видна совокупность предоставляемых ею информационных сервисов. Их называют основными. Чтобы они могли функционировать
и обладали требуемыми свойствами, необходимо
несколько уровней дополнительных сервисов - от СУБД и мониторов транзакций
до ядра операционной системы и оборудования.
К вспомогательным относятся сервисы безопасности.
Это следующие сервисы:
идентификация и аутентификация;
управление доступом;
протоколирование и аудит;
шифрование;
контроль целостности;
экранирование;
анализ защищенности;
обеспечение отказоустойчивости;
обеспечение безопасного восстановления;
туннелирование;
управление.
Совокупность перечисленных
выше сервисов безопасности называют полным набором. Считается,
что его, в принципе, достаточно для построения
надежной защиты на программно-техническом
уровне, правда, при соблюдении целого
ряда дополнительных условий (отсутствие
уязвимых мест, безопасное администрирование
и т.д.).Для проведения классификации сервисов
безопасности и определения их места в
общей архитектуре меры безопасности
можно разделить на следующие виды: