Информационная безопасность - обзор основных положений

В предыдущих номерах журнала [1] были изложены основы информационной безопасности в ее идеологических, управленческих и организационных аспектах. Продолжая начатый разговор по политике безопасности остановимся теперь на мерах безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает первостепенного внимания. В статье будут рассмотрены вопросы управления персоналом, организации физической защиты, поддержания работоспособности, реагирования на нарушения режима безопасности, а также планирования восстановительных работ.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

• разделение обязанностей,
• минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не смог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому - заверять эти заявки.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий пользователей.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем критичнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с их бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла усложнять ее сверх необходимого. В то же время неразумно и совсем отказываться от предварительной проверки, рискуя принять на работу человека с уголовным прошлым или с душевными болезнями. Когда кандидат отобран, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены еще до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий. Техническую сложность составляют временные перемещения сотрудника, выполнение им обязанностей вместо лица, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сначала дать, а через некоторое время отобрать. В такие периоды профиль активности пользователя резко меняется, что создает трудности при выявлении подозрительных ситуаций. Определенную аккуратность следует соблюдать и при выдаче новых постоянных полномочий, не забывая изымать старые права доступа.

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно - в идеале это должно происходить одновременно с извещением о наказании или увольнении. Возможно и физическое ограничение доступа к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.

К управлению сотрудниками примыкает администрирование лиц, работающих по контракту, например специалистов фирмы-поставщика, помогающих запустить новую систему. В соответствии с принципом минимизации привилегий им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Проблема, однако, состоит в том, что на начальном этапе внедрения "внешние" сотрудники будут администрировать "местных", а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способность быстро обучаться, а также оперативное проведение учебных курсов. Важны и принципы выбора деловых партнеров.

Иногда внешние организации принимают на обслуживание и администрирование ответственные компоненты компьютерной системы, например сетевое оборудование. Нередко администрирование выполняется в удаленном режиме. Вообще говоря, это создает в системе дополнительные недостатки, которые необходимо компенсировать усиленным контролем средств удаленного доступа или, опять-таки, обучением собственных сотрудников.

Очевидно, что проблема обучения - одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с политикой безопасности своей организации, он не сможет стремиться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не будет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Из педагогической психологии известно: чтобы обучение было эффективным, ему должен предшествовать этап мотивации. Сотрудникам необходимо объяснить, зачем им нужна учеба и зачем необходимо соблюдать меры безопасности. Обычно и то, и другое вызывает раздражение, поскольку мешает основной деятельности. Важно, чтобы сотрудники смотрели на вещи шире, имея в виду долговременные интересы организации и свои собственные.

Обучение должно проводиться регулярно и в то же время каждый раз по-новому, иначе оно превратится в формальность и потеряет эффективность. К сожалению, здесь не существует общих рецептов, все зависит от изобретательности организаторов.

Физическая защита

Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

Кратко рассмотрим следующие направления физической защиты:

• физическое управление доступом;
• противопожарные меры;
• защита поддерживающей инфраструктуры;
• защита от перехвата данных;
• защита мобильных систем;

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например те, где расположены серверы, коммуникационная аппаратура и т.п. Средства физического управления доступом известны давно - это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое. Важно в максимальной степени разграничить компьютеры и поток посетителей или, в крайнем случае, позаботиться о том, чтобы от окон и дверей не просматривались экраны мониторов и принтеры. Необходимо, чтобы посетители отличались от штатных сотрудников. Если отличие состоит в том, что посетителям выдаются идентификационные карточки, а сотрудники ходят "без опознавательных знаков", злоумышленнику достаточно снять карточку, чтобы его считали "своим". Очевидно, карточки разных видов нужны всем.

Профессия пожарника - одна из древнейших, но пожары по-прежнему случаются и наносят большой ущерб. Нет нужды цитировать здесь параграфы противопожарных инструкций или изобретать новые методы борьбы с огнем - для этого есть профессионалы. Отметим лишь крайнюю желательность установки противопожарной сигнализации и автоматических средств пожаротушения. Обратим также внимание на то, как защитные меры могут создавать новые слабости. Если на работу взят новый охранник, это, вероятно, улучшает физическое управление доступом. Если же он по ночам курит и пьет, то повышенная пожарная опасность делает его скорее врагом, чем другом организации.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы, всегда иметь под рукой запчасти.

Отдельную проблему составляют аварии водопровода. Они происходят нечасто, но чреваты серьезными материальными потерями. При размещении компьютеров разумно принять во внимание расположение водопроводных и канализационных труб и постараться держаться от них подальше. Сотрудники должны знать, куда следует обращаться при обнаружении протечек.

Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, например анализ ПЭМИН [2], относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, поэтому вместо того чтобы пытаться держать под контролем линии связи, заключая, например, их в надувную оболочку с обнаружением прокалывания, не лучше ли просто разместить свои офис в тихом особняке, поодаль от других домов.

Мобильные и портативные компьютеры - заманчивый объект кражи. Их довольно часто оставляют без присмотра, в автомобиле или на работе, а унести и спрятать такой компьютер совсем несложно. Следует настоятельно рекомендовать шифрование данных на жестких дисках ноутбуков и лэптопов.

Вообще говоря, при выборе средств физической защиты следует производить анализ рисков. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в доме, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность нарушений питания, стоимость доступных источников и возможные потери от аварий: выход из строя техники, приостановка работы организации и т.п. В то же время, во многих случаях решения очевидны. Меры противопожарной безопасности обязательны для всех организаций. Стоимость реализации многих мер, например установка обычного замка на дверь комнаты, где установлен сервер, пренебрежимо мала, другие хотя и имеют заметную стоимость, но все же явно несравнимы с размером возможного ущерба. К числу последних можно отнести регулярное копирование больших баз данных. Физическая защита, как и другие области информационной безопасности, должна базироваться на здравом смысле, который подскажет большинство решений.

Поддержание работоспособности

Рассмотрим теперь рутинные действия, направленные на поддержание работоспособности компьютерных систем и имеющие отношение к информационной безопасности. Как ни странно, именно здесь таится наибольшая опасность. Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных, а "в лучшем случае" облегчают реализацию угроз.

Недооценка факторов безопасности в повседневной работе - ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Можно выделить следующие направления повседневной деятельности:

• поддержка пользователей;
• поддержка программного обеспечения;
• конфигурационное управление;
• резервное копирование;
• управление носителями;
• документирование;
• регламентные работы.

Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный "стол справок", хотя чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов, существенных и не очень, уметь выявлять проблемы, связанные с информационной безопасностью. Так, многие трудности пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами; в больших системах, имеющих выходы в глобальные сети, проблемы нередко проистекают из действий хакеров. Целесообразно записывать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для наиболее распространенных ситуаций.

Поддержка программного обеспечения - одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанавливать программы по своему усмотрению, это чревато заражением вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компьютер, подключенный к сети Ethernet, можно установить программу - сетевой анализатор, позволяющую отслеживать весь сетевой трафик. Обладатель такой программы может довольно быстро "выловить" пароли других пользователей и системных администраторов, получив тем самым по существу неограниченный доступ к сетевым ресурсам. Вполне вероятно также, что самодеятельность пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору.

Второй аспект поддержки программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержание эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и поддержания целостности.

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей версии. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии.

Позволим себе одно замечание. Лучший способ уменьшить количество ошибок в рутинной работе - в максимальной степени автоматизировать ее. Хорошим примером являются развитые средства конфигурационного управления, когда одним нажатием можно вызвать внесение или откат сотен согласованных изменений. При ручной работе сделать подобное без ошибок крайне сложно. Тысячу раз правы "ленивые" программисты и системные администраторы, которые, поглядев на море однообразных задач, говорят: "Я ни за что не буду делать этого; я напишу программу, которая сделает все за меня". Автоматизация и безопасность - родные сестры; тот, кто заботится в первую очередь об облегчении собственного труда, на самом деле оптимальным образом формирует режим информационной безопасности.

Технологию конфигурационного управления необходимо применять и к изменениям в аппаратуре. Что нового появилось в локальной сети за последний месяц? Куда мы подключили внешние коммуникации? На эти и аналогичные вопросы нужно уметь давать немедленные и точные ответы.

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание выполнения полных и инкрементальных копий, а как максимум, воспользовавшись безлюдной технологией фирмы Hewlett-Packard [3, с. 20]. Нужно также наладить размещение копий в безопасном месте, защищенном от пожаров и иных угроз. К резервному копированию следует относиться как к осознанной необходимости - оно, конечно, мешает, "уже полгода как ничего не приходилось восстанавливать", но... Стоит хоть на день отступить от расписания, и неприятности не заставят себя ждать.

Время от времени в тестовых целях следует проверять возможность восстановления информации с копий. Управление носителями служит для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечить конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды: жары, холода, влаги, магнетизма. Управление носителями должно охватывать весь жизненный цикл дискет и лент - от закупки до выведения из эксплуатации.

К управлению носителями можно отнести и контроль потоков данных, выдаваемых на печать. Здесь поучительно отметить необходимость сочетания различных механизмов информационной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но только меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета дискет. Важно, чтобы документация была актуальной, отражала текущее, а не прошлое состояние дел, причем отражала в непротиворечивом виде. Здесь необходим правильный технологический подход, когда документы печатаются и сшиваются способом, облегчающим внесение изменений.

К хранению некоторых документов, например содержащих анализ системных слабостей и угроз, применимы требования обеспечения конфиденциальности, к другим, в частности плану восстановления после аварий, - требования целостности и доступности (план необходимо найти и прочитать).

Регламентные работы - очень серьезная угроза безопасности. Лицо, осуществляющее регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершаются. Здесь на первый план выходит степень доверия к тем, кто выполняет работы. Лет двадцать назад, очевидно, предвидя волну публикаций по сертификации, Кен Томсон, один из создателей ОС UNIX, написал, что нужно верить или не верить не программам, а людям, которые пишут эти программы. Если в общем виде данное утверждение можно оспорить, то применительно к регламентным работам оно абсолютно справедливо.

Реакция на нарушения режима безопасности

Программа безопасности, принятая организацией, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима безопасности преследует две главные цели:

• блокирование нарушителя и уменьшение наносимого вреда;
• недопущение повторных нарушений.

В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности. В общем, нужно действовать, как при пожаре: знать, куда звонить и что делать до приезда пожарной команды. Правда, пользователя может удержать от вызова помощи сознание собственной вины и боязнь наказания, если он сам принес на работу зараженную дискету. Для таких случаев целесообразно предусмотреть процедуру анонимного вызова, поскольку лучше не наказать одного виновного, чем допустить распространение последствий нарушения.

Важность быстрой и скоординированной реакции можно продемонстрировать на следующем примере. Пусть локальная сеть предприятия состоит из двух сегментов, администрируемых разными людьми. Пусть, далее, в один из сегментов был внесен вирус. Почти наверняка через несколько минут вирус распространится и на другой сегмент. Значит, меры нужны немедленные. Далее, вычищать вирус нужно одновременно в обоих сегментах; в противном случае сегмент, вычищенный первым, заразится от другого, а затем вирус вернется и во второй сегмент.

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Выше мы писали о недостатках реактивного подхода к информационной безопасности. Это, безусловно, верно, но некоторая обратная связь все же должна существовать. Заранее все предусмотреть невозможно. Появляются новые вирусы, совершенствуются приемы нападения, новые системы приносят с собой новые угрозы. Кто-то в организации должен отслеживать этот процесс, принимать краткосрочные меры и корректировать программу безопасности для принятия долгосрочных мер.

Планирование восстановительных работ

Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, чьим-то злым умыслом, халатностью или некомпетентностью. В то же время у каждой организации есть функции, которые она считает критически важными, выполнение которых она хотела бы продолжать несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Отметим, что меры информационной безопасности можно разделить на три группы, в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений. Большинство мер носят предупредительный характер. Оперативный анализ регистрационной информации и некоторые аспекты реакции на нарушения служат для обнаружения угроз. Планирование восстановительных работ, очевидно, можно отнести к последней из трех названных групп.

В свое время существовала наука под названием "гражданская оборона", где была разработана концепция СНАВР - спасательных и неотложно-восстановительных работ. Построение этой концепции, если отвлечься от специфического ядерного контекста, было весьма разумным, а большинство предлагавшихся мер применимы и к информационной безопасности.

Процесс планирования восстановительных работ можно подразделить на следующие этапы:

• выявление критически важных функций, установление приоритетов;
• идентификация ресурсов, необходимых для выполнения критически важных функций;
• определение перечня возможных аварий;
• разработка стратегии восстановительных работ;
• подготовка к реализации выбранной стратегии;
• проверка стратегии.

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Значит, необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить деятельность после аварии.

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На этом этапе желательно привлечение специалистов разного профиля, способных в совокупности охватить все аспекты проблемы. Критичные ресурсы обычно относятся к одной из следующих категорий:

• персонал;
• информационная инфраструктура;
• физическая инфраструктура.

Составляя списки критически важных специалистов, следует учитывать, что некоторые из них могут непосредственно пострадать от аварии, например от пожара, кто-то может находиться в состоянии стресса, часть сотрудников, возможно, будет лишена возможности попасть на работу, например, если на улице стреляют. Желательно иметь некоторый резерв специалистов или заранее определить каналы, по которым можно будет на время привлечь дополнительный персонал.

Информационная инфраструктура включает в себя следующие элементы:

• компьютеры;
• программы и данные;
• информационные сервисы внешних организаций;
• документацию.

Вообще говоря, нужно подготовиться к тому, что на "запасном аэродроме", куда организация будет эвакуирована после аварии, аппаратная платформа может отличаться от исходной. Соответственно, следует продумать меры поддержания совместимости по программам и данным.

Среди внешних информационных сервисов для коммерческих организаций, вероятно, важнее всего получение оперативной рыночной информации и связь с государственными службами, курирующими данный сектор экономики.

Документация важна хотя бы потому, что не вся информация, с которой оперирует организация, представлена в электронной форме. Скорее всего, план восстановительных работ изложен на бумаге.

К физической инфраструктуре относятся здания, инженерные коммуникации, средства связи, оргтехника и многое другое. Компьютерная техника не может работать в плохих условиях, без нормального электропитания, охлаждения и т.п.

Анализируя критичные ресурсы, целесообразно учесть временной факты их использования. Большинство ресурсов нужны постоянно, но в некоторых необходимость возникает только в определенные периоды, например в конце месяца или года при составлении отчета.

При определении перечня возможных аварий нужно попытаться разработать их возможные сценарии. Как будут развиваться события? Каковы могут оказаться масштабы бедствия? Что произойдет с критичными ресурсами? Например, смогут ли люди попасть на работу? Будут ли выведены из строя компьютеры? Возможны ли случаи саботажа? Будет ли работать связь? Пострадает ли здание организации? Можно ли будет найти и прочитать необходимые бумаги?

Стратегия восстановительных работ должна, разумеется, базироваться на наличных ресурсах и быть не слишком дорогостоящей для организации. При разработке стратегии целесообразно провести анализ рисков, которым подвержены критичные функции, и попытаться выбрать наиболее экономичное решение.

Стратегия должна предусматривать не только работу по временной схеме, но и возвращение к нормальному функционированию. Как ни странно, об этом зачастую забывают, хотя данный процесс не прост и, несомненно, нуждается в планировании.

Подготовка к реализации выбранной стратегии состоит в проработке детального плана действий в экстренных ситуациях и по их окончании, а также в обеспечении некоторой избыточности критичных ресурсов. Последнюю цель можно достичь без большого расхода средств, если заключить с одной или несколькими организациями соглашения о взаимной поддержке в случае аварий - тот, кто не пострадал, предоставляет часть своих ресурсов во временное пользование менее удачливым партнерам.

Конечно, у подобного решения есть и отрицательная сторона, жизнь в "примаках" (как говорят на Украине) - не сахар, но ведь аварии может и не случиться, а тратить деньги в расчете на худшее всегда жалко.

Избыточность обеспечивается также мерами резервного копирования, хранением копий в нескольких местах, представлением информации одновременно в разных формах: на бумаге и в файлах и т.д.

Разумно заключить соглашение с поставщиками информационных услуг о первоочередном обслуживании в критических ситуациях или иметь соглашения с несколькими поставщиками. Правда, эти меры могут потребовать определенных расходов.

Важная часть подготовки к реализации стратегии восстановления - обучение персонала. Снова вспомним гражданскую оборону - далеко не все в ней было плохо.

Проверка стратегии производится, конечно, не путем организации тестовых землетрясений или гражданских беспорядков, а путем анализа подготовленного плана, принятых и намеченных мер. Чем большее число специалистов разного профиля уделит этому свое время, тем лучше. Впрочем, для некоторых видов незначительных аварий возможны и "следственные эксперименты".

"Гром не грянет - мужик не перекрестится". Это ведь не про нас?

Владимир Галатенко Vladimir.Galatenko@jet.msk.su
АО "Инфосистемы Джет"

Литература

[1]. Галатенко В. Информационная безопасность - "Открытые системы", N 4-6, 1995, # 1, # 2, 1996.

[2]. Левин В.К. Защита информации в информационно-вычислительных системах и сетях. - "Программирование", 5, 1994, с. 5-16.

[3]. Продукты года. - LAN - русское издание, апрель 1995, том 1, номер 1, с. 6-25.