Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: "Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?"

В сегодняшнем выпуске рассылки публикуем окончание статьи С.А. Петренко "Реорганизация корпоративных систем безопасности", в котором автор рассматривает возможные методики построения системы информационной безопасности предприятия и проектирование системы обеспечения безопасности объекта.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• 23-26 апреля 2002 года Минсвязи России провело 5-е Всероссийское совещание "Безопасное функционирование отрасли - составная часть национальной безопасности России" ("Безопасность - 2002")
• Компания Инфотекс участвует в 14-й международной выставке систем связи, средств телекоммуникаций, компьютеров и оргтехники "Связь-Экспокомм-2002"
• Компания Инфотекс приглашает на работу
  • менеджера по продукту (Product manager)

Возможная методика построения системы информационной безопасности предприятия
Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Достижение заданных целей возможно в ходе решения следующих основных задач:

• отнесение информации к категории ограниченного доступа (служебной тайне);
• прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
• создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
• создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

Модель построения системы информационной безопасности
При выполнении работ можно использовать следующую модель построения системы информационной безопасности (рис. 1), основанную на адаптации ОК (ISO 15408) и проведении анализа риска (ISO 17799).

Рис. 1. Модель построения системы информационной безопасности предприятия

Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью», и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.

Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

Методика проведения аналитических работ
Предлагаемая методика позволяет:

• полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасностью;
• избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
  оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
• обеспечить проведение работ в сжатые сроки;
• представить обоснование для выбора мер противодействия;
• оценить эффективность контрмер, сравнить различные варианты контрмер.

Определение границ исследования
В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.

Построение модели информационной технологии
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствие с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

Выбор контрмер
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.

Управление рисками
Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Оценка достигаемой защищенности
В завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта.

Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:

• вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;
• глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;
• строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Методология анализа рисков
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

• описание объекта и мер защиты;
• идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);
• анализ угроз информационной безопасности;
• оценивание уязвимостей;
• оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
  оценивание рисков.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:

• показателей ценности ресурсов;
• вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);
  степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);
• существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.

Проектирование системы обеспечения безопасности объекта

Построение профиля защиты
На этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рис. 2). Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.

Рис. 2. Возможный алгоритм оценивания информационных рисков

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.

Формирование организационной политики безопасности
Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.

Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

• внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
• определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Условия безопасного использования ИТ
Предполагается, что система обеспечения безопасности объекта Заказчика, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.

Выделяются следующие виды условий безопасного использования ИТ:

• физические условия;
• условия для персонала;
• условия соединений.

Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.

Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.

Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.

Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Формулирование целей безопасности объекта
В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности объекта Заказчика, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.

Определение функциональных требований безопасности
Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.

На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.

Требования гарантии достигаемой защищенности
Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.

Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями «базовая», «средняя», «высокая».

Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.

Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.

Формирование перечня требований
Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды объекта Заказчика, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

В общем виде разработка ТД включает:

• уточнение функций защиты;
  выбор архитектурных принципов построения СИБ;
• разработку логической структуры СИБ (четкое описание интерфейсов);
• уточнение требований функций обеспечения гарантоспособности СИБ;
• разработку методики и программы испытаний на соответствие сформулированным требованиям.

Оценка достигаемой защищенности
На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.

Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:

• значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
• расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
• строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Заключение
В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния информационной безопасности предприятия, выработать рекомендации по обеспечению (повышению) информационной безопасности предприятия, снизить потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности предприятия, а также предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

С. А. Петренко - связаться с автором можно по адресу: s.petrenko@confident.spb.ru. (опубликовано в журнале "Конфидент", #02/2002).

Нужно отметить, что QinetiQ Trusted Information является дочерней структурой британской компании QinetiQ, которая до прошлого года являлась подразделением Министерства обороны Великобритании.
(источник - http://www.compulenta.ru/, опубликовано 27.04.2002)

Впрочем, предотвратить несанкционированный доступ к почтовому ящику Hotmail не так уж сложно. Для этого следует отказаться от опции беспарольного входа и следовать рекомендации Microsoft выходить из почтового ящика при помощи предназначенной для этого кнопки - той самой "Sign Out .NET". Одновременно журналисты Wired News предупреждают об ошибке в реализации функции "session expiration", которая автоматически завершает сеанс пользования почтовым ящиком по истечении заданного времени. Небольшое исследование, проведенное журналистами, показало, что, несмотря на активацию опции автоматического завершения сеанса, возможность похищения cookie и взлома почтового ящика сохранялась и через сутки после последнего обращения к ящику его настоящего пользователя.
(источник - http://www.compulenta.ru/, опубликовано 26.04.2002)

В отчете ЦРУ, тем не менее, подчеркивается, что опасность исходит именно от государственных структур Китая, планирующих провести массированную атаку на американские компьютерные системы. Представители посольства Китая в США отвергли данные обвинения, заявив, что правительство Китая проводит исследования в области компьютерной безопасности, исключительно для собственной защиты.
(источник - http://www.compulenta.ru/, опубликовано 26.04.2002)

Среди причин роста ущерба от компьютерных преступлений, в первую очередь, называется недостаточная компетенция сотрудников в вопросах безопасности. И хотя почти 100% компаний проводят инструктаж по электронной безопасности, его эффективность в результатах исследований ставится под сомнение. Нужно отметить и то, что только 27% из британских компаний тратят на обеспечение электронной безопасности более 1% своего ИТ-бюджета, хотя и признают данное направление одним из важнейших.

Среди методов защиты от вирусов и хакеров наиболее распространены антивирусные программы и парольная защита - их используют более 80% мелких и средних компаний и 99% крупных. Однако документированная политика в области компьютерной безопасности имеется только в 60% крупных компаний и в 27% предприятий малого бизнеса. Периодические проверки компьютерных систем осуществляются в 53% небольших фирм и 84% более крупных структур.
(источник - www.compulenta.ru, опубликовано 25.04.2002)

По словам самого Оллмана, проблема касается далего не всех систем защиты от вторжений, а некоторые другие эксперты сообщили New Scientist, что исправление уязвимости в Snort и других подобных программах не должно занять много времени. Тем не менее, пользователям и администраторам стоит провести проверку своих компьютеров на уязвимость.
(источник - http://www.compulenta.ru/, опубликовано 23.04.2002)

Линуксоиды с гордостью отмечают, что они получают около 100 зараженных писем в день, но вирус Klez.h не составляет для них никакой проблемы. "Да, конечно, можно скачать обновление для своего антивируса и решить проблему, но только временно, уважаемые пользователи Windows, только временно!" - сообщается на сайте.

"Так, может быть, решить проблему кардинальным способом? Навсегда избавиться от вирусных проблем. Обратите внимание на Linux, и вы обнаружите, что все, чем вы занимаетесь на компьютере с Windows, может быть реализовано на Linux-системе". Далее следует стандартное описание множества "дружелюбных" дистрибутивов Linux, офисных пакетов и ссылок на "истории успеха" от счастливых пингви... пользователей Linux. Что ж, может, для кого-то эпидемия вируса Klez или другого интернет-червя, действительно станет поводом для смены "программной ориентации".
(источник - http://www.compulenta.ru/, опубликовано 23.04.2002)

23-26 апреля 2002 года Минсвязи России провело 5-е Всероссийское совещание "Безопасное функционирование отрасли - составная часть национальной безопасности России" ("Безопасность - 2002")

С докладами, посвященными вопросам информационной безопасности выступили представители государственных и силовых структур, руководители и ведущие специалисты крупнейших IT-компаний.

От компании Инфотекс выступил заместитель генерального директора Никишин Николай Александрович с докладом на тему: "Построение системы комплексной сетевой защиты ресурсов распределения корпоративной вычислительной сети от внешних и внутренних сетевых атак. Организация санкционированного доступа к ресурсам корпоративной сети, в т.ч. со стороны удаленных пользователей; организация доступа из корпоративной сети к открытым внешним ресурсам".

Компания Инфотекс участвует в 14-й международной выставке систем связи, средств телекоммуникаций, компьютеров и оргтехники "Связь-Экспокомм-2002"

Организаторы выставки:
Закрытое акционерное общество "Экспоцентр", Фирма "И. Джей. Краузе энд Ассошиэйтс, Инк." (США) при поддержке и содействии Министерства по связи и информатизации Российской Федерации, Российского Агентства по системам управления, Министерства промышленности, науки и технологий Российской Федерации.

Тематика выставки:
- автоматизированные системы связи и системы управления связью
- системы и аппаратура радиосвязи, спутниковой и космической связи
- средства телевидения и радиовещания
- системы и аппаратура передачи данных, коммутационное оборудование, оконечная техника
- радиоизмерительная техника
- оптоэлектроника
- электронно-вычислительные средства
- информационные системы и оргтехника
- автоматизация конторских работ
- периферийное оборудование для обработки данных
- рабочие и прикладные программы любого назначения
- сети
- бытовая радиоэлектронная аппаратура
- технология производства средств связи
- радиоэлектронные компоненты и материалы
- технические средства почтовой связи

Приглашаем Вас посетить экспозицию Компании Инфотекс на объединенном стенде ФАПСИ (павильон N2, 2-й зал, стенд N2300).

Место проведения:
Экспоцентр на Красной Пресне с 13 по 17 мая 2002 года.

Компания Инфотекс приглашает на работу

- менеджера по продукту (Product manager)

Описание должности:

• Управление продуктом
  - обеспечение эффективного Requirements Workflow Process, результатом которого являются сводные требования к продукту (Vision) и точное задание на производство. При этом менеджер продукта отвечает за реальную значимость для рынка (сегмента рынка) тех или иных требований к продукту
  - контроль за сроками выпуска и соответствием продукта ранее утвержденным Visions.
  - поддержка первых продаж партнеров посредством предоставления технической экспертизы, помощи в подготовке коммерческих предложений, конкурентного анализа и т.д.
• Маркетинг продукта
  - позиционирование продукта внутри собственной продуктовой линейки и по отношению к конкурирующим продуктам и решениям (конкурентный анализ)
  - определение целевых сегментов рынка, рекомендации по ценообразованию
  - оценка емкости данных целевых сегментов рынка в денежном выражениий
• Определение продуктовой линейки. Комбинирование собственной продуктовой линейки с другими продуктами
• Превращение продукта в товар (product packaging)
  - дизайн и упаковка
  - инструкции пользователям, примеры по использованию (guides, manuals, quick start и т.д.)
  - информация о товаре (новой версии продукта) и его конкурентных преимуществах для каналов сбыта. Рекомендации по мотивации покупателей. Рекомендации по совместному применению с продуктами и решениями других производителей
  - тренинг программа для каналов и конечных пользователей, обновляемая для каждой новой версии продуктов (совместно с отделом технической поддержки и клиентских проектов)
  - сертификация и патентная защита
• Контроль за обслуживанием продаваемых версий продукта (сроки и приоритеты по исправлению ошибок, сроки обработки информационнных запросов и т.п. операции с использованием системы Clear Quest)

Требования к кандидату:

• Опыт работы в аналогичной должности более 2-х лет
• Отличное знание операционных систем Windows 95/98, Windows NT/2000, Linux (желательно)
• Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
• Знание технологий информационной безопасности
• Желательно знание системы Clear Quest
• Опыт использования программ офисного назначения (Excel, Word, Project, Visio и т.д.)
• Образование высшее

Компенсации: оплата высокая

Резюме отправлять по адресу: ign@infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.