СОДЕРЖАНИЕ - Центр аудита информационной безопасности

Реклама
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
СОДЕРЖАНИЕ
Введение
Главные цели и задачи безопасности информационных систем
2.1.
Цели безопасности информационных систем
2.2.
Взаимосвязь основных целей информационной безопасности
2.3.
Задачи информационной безопасности
2.4. Базовая техническая модель информационной безопасности
Комплексный подход к построению системы информационной безопасности
3.1. Объекты информационной системы, нуждающиеся в защите. Методика их выявления. Анализ рисков
3.2. Аудит на основе анализа информационных рисков
3.3. Разграничение (иерархия) угроз безопасности информационных систем
3.4. Общая модель нарушителя информационной безопасности
Аудит информационной безопасности
4.1.
Этический кодекс аудитора информационных систем (вместо эпиграфа)
4.2.
Понятие аудита безопасности и цели его проведения
4.3.
Этапность работ по проведению аудита безопасности информационных систем
4.4.
Сбор информации для аудита
4.5.
Анализ данных аудита
4.6.
Использование методов анализа рисков
4.7.
Оценка соответствия требованиям стандарта
4.8.
Выработка рекомендаций
4.9.
Подготовка отчетных документов
4.10.
Обзор программных продуктов, предназначенных для анализа и управления рисками
4.11.
Стандарты, используемые при проведении аудита безопасности ИС
4.12.
Выводы
Социальный инжиниринг: методики атак, манипулирование людьми, способы защиты
5.1.
Примеры применения социального инжиниринга
5.2.
Как корпоративная система электронной почты была использована для распространения
троянского коня (еще один пример социального инжиниринга)
5.3.
Основные причины реализации угроз социального инжиниринга
5.4.
Методика защиты от социального инжиниринга
Выработка официальной политики предприятия в области информационной безопасности
6.1.
Организационные вопросы
6.2.
Оценка рисков
6.3.
Политические вопросы
6.4.
Что делать, когда политику безопасности нарушают?
6.5.
Спецификация контактов с внешними организациями и определение ответственных
6.6.
Процедурные вопросы реагирования на нарушения
6.7.
Толкование политики безопасности
6.8.
Гласность политики безопасности
Технические вопросы информационной безопасности: обеспечение парольного доступа, антивирусная
защита, шифрование, межсетевые экраны
7.1. Защита от НСД. Парольный доступ к системе и информации
7.2. Защита от вредоносных программ. Антивирусное ПО
7.3. Безопасность удаленного доступа и подключения к Интернет
7.4. Защита электронных документов при передаче по каналам связи. Шифрование
7.5.
Резервное копирование информации. ПО для резервного копирования
Законодательно-правовое обеспечение информационной безопасности.
Нормативные документы по обеспечению информационной безопасности и их
применение в практической деятельности
Лицензирование и сертификация в области технической защиты информации в Украине
Вопросы расследования компьютерных преступлений. Типичные ошибки при проведении следственных
действий и рекомендации по их избежанию
Организационные мероприятия по защите информации: упреждающие, контролирующие, пресекающие
11.1.Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных
системах
11.2.Меры защиты. Четыре уровня защиты
11.3.Защита серверной комнаты (Дик Льюис)
1
1. ВВЕДЕНИЕ
Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем в процессе управления
предприятием. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых
разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией
и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. С
каждым годом все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву
экономической деятельности любого предприятия. И поэтому должно быть ясно, что информация – это ресурс, который надо
защищать!
Так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми
служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи
знали о своей ответственности за защиту информации.
Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у
него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того,
что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов.
Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области
безопасности. Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить
эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого.
Осведомленность конечного пользователя о мерах безопасности обеспечивает четыре уровня защиты компьютерных и
информационных ресурсов:
Предотвращение – только авторизованный персонал имеет доступ к информации и технологии.
Обнаружение – обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты
были обойдены.
Ограничение – уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его
предотвращению и обнаружению.
Восстановление – обеспечивается эффективное восстановление информации при наличии документированных и
проверенных планов по восстановлению.
Подробнее эти меры рассматриваются в Разделе 11 данного сборника.
Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении
коммерческой тайны?
Как правило, это:

разведывательная деятельность конкурентов;

несанкционированные действия сотрудников собственной фирмы;

неправильная политика фирмы в области безопасности.
2. ГЛАВНЫЕ ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1. ЦЕЛИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ.
При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:

обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по каналам связи
(конфиденциальность – свойство информации, состоящее в том, что информация не может быть получена неавторизованным
пользователем во время ее хранения, обработки и передачи);

обеспечить целостность данных в ходе их хранения, обработки или при передаче по каналам связи. Целостность
рассматривается в двух аспектах. Во-первых, это целостность данных, заключающаяся в невозможности модификации данных
неавторизованным пользователем или процессом во время их хранения, обработки и передачи. Во-вторых, это целостность системы,
заключающаяся в том, что ни один компонент системы не может быть удален, модифицирован или добавлен в обход или нарушение
политики безопасности;

обеспечить доступность данных, хранимых в локальных вычислительных сетях, а также возможность их своевременной
обработки и передачи. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь, субъект
или процесс может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше
заданного промежутка времени. Доступность направлена на поддержание системы в работоспособном состоянии, обеспечивая
своевременное и точное ее функционирование.

обеспечить наблюдаемость. Наблюдаемость направлена на обеспечение возможности ИТ-системы фиксировать любую
деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы
причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и
обеспечения ответственности пользователей за выполненные действия.

обеспечить гарантии. Гарантии – это совокупность требований, составляющих некую шкалу оценки, для определения
степени уверенности в том, что:
o
функциональные требования действительно сформулированы и корректно реализованы;
o
принятые меры защиты, как технические, так и организационные, обеспечивают адекватную защиту системы,
информационных процессов и ресурсов;
o
обеспечена достаточная защита от преднамеренных ошибок пользователей или ошибок программного обеспечения;
o
обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.
Обеспечение гарантий – общая задача, без решения которой решение остальных четырех не имеет смысла.
Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер
защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.
2.2. ВЗАИМОСВЯЗЬ ОСНОВНЫХ ЦЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
см. рис. ниже.
2.3. ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации
ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:

определение объектов, на которые могут быть направлены угрозы;
2

выявление существующих и возможных угроз;

определение возможных источников
угрозы;

оценка рисков;

методы и средства обнаружения
враждебного воздействия;

методы и средства защиты от
известных угроз;

методы и средства реагирования при
инцидентах.
Вкратце все это можно сформулировать в
трех предложениях. Основными задачами
информационной безопасности являются:
1. Выявление и недопущение нарушений,
а также условий для их реализации.
2. Создание механизма оперативного
мониторинга и реагирования на нарушения.
3. Создание условий для максимально
возможного возмещения ущерба от нарушений.
Все эти три задачи реализуются за счет
неких
организационных
мероприятий
и
программных продуктов.
2.4. БАЗОВАЯ ТЕХНИЧЕСКАЯ МОДЕЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Решение задач защиты возлагается на услуги безопасности. Услуги, в зависимости от того на решение каких задач они
направлены, можно отнести к одному из трех классов:
1. Опорные услуги безопасности (4 услуги). К данному классу относятся услуги, которые являются общими и лежат в основе
реализации большинства остальных услуг безопасности. Другими словами, они выступают в роли базиса для надстройки, в которую
входят услуги двух других классов.
2. Услуги предотвращения (5 услуг) – Это услуги безопасности в основном ориентированные на предотвращение различного
рода нарушений безопасности.
3. Услуги обнаружения нарушений и восстановления безопасности (4 услуги) направлены, прежде всего, на решение задач
выявления нарушений безопасности (до или после их осуществления) и восстановления системы в безопасное состояние.
Системное объединение услуг позволило построить базовую техническую модель ИТ-безопасности, которая представлена на
рисунке ниже. Данная модель иллюстрирует использование основных услуг безопасности при обеспечении ИТ-безопасности и
взаимодействие данных услуг.
Опорные услуги безопасности, как уже было сказано, выступают в роли базиса, связующей среды для построения всех
остальных услуг безопасности. К данному классу относятся следующие услуги безопасности.
Идентификация (присвоение имен). Однозначная идентифицируемость объектов и субъектов информационных
взаимоотношений является необходимыми условием для реализации большинства услуг безопасности. Идентификация
обеспечивает возможность присвоения уникального идентификатора пользователям, процессам, информационным и иным
ресурсам.
Управление криптографическими ключами. Данная услуга обязательна в случае применения криптографических функций в
каких-либо услугах безопасности. Под управлением ключами понимают совокупность методов и процедур, осуществляющих
безопасное установление и управление ключевыми взаимоотношениями между авторизованными объектами.
Управление безопасностью и администрирование. Под управлением безопасностью понимают распространение и
управление информацией, необходимой для работы услуг и механизмов безопасности. Под администрированием понимают
процессы настройки параметров инсталляции и эксплуатации программного и аппаратного обеспечения услуг безопасности, а также
учет вносимых изменений в эксплуатируемое оборудование.
Защищенность системы представляет собой совокупность свойств системы, которые позволяют доверять технической
реализации системы. Рассматривается не только качество реализованных средств защиты, но и процедуры их разработки, способы
достижения и решения технических задач. Примерами средств защищенности системы являются защита остаточной информации
(или защита от повторного использования), минимизация полномочий, разделение процессов, модульность и уровневость
разработки, минимизация круга осведомленных лиц и т.д.
Услуги предотвращения нарушений безопасности.
К данному классу можно отнести следующие услуги:
Защищенные телекоммуникации (каналы связи). В распределенных системах обеспечение надежной защиты в большой
степени зависит от защищенности каналов связи. Услуга защиты каналов связи обеспечивает целостность, конфиденциальность и
доступность информации при её передаче по каналам связи. Различные механизмы безопасности обеспечивают скрытие
смыслового содержания передаваемых сообщений, защиту от уничтожения, подстановки, модификации и повторной передачи
данных и других видов злоумышленных действий.
Аутентификация является наиболее важной услугой безопасности, особенно в открытых системах. Аутентификация
представляет собой услугу проверки подлинности, которая позволяет достоверно убедиться в подлинности субъекта или сообщений.
Авторизация представляет собой услугу, направленную на предоставление (наделение) субъектам определенных
полномочий относительно выполнения ими действий в данной ИТ-системе.
Управление доступом. Данная услуга определена как «предотвращение неавторизованного использования ресурсов, включая
предотвращение использования ресурсов недопустимым способом». Услуга применяется к различным типам доступа к ресурсам,
например использование коммуникационных ресурсов, чтение, запись или удаление информационных ресурсов, использование
ресурсов вычислительных систем по обработке данных и т.д. Политика управления доступом является основой политики
безопасности ИТ-системы.
Причастность (доказательство принадлежности). Причастность определяется как «предотвращение возможности отказа
одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных». Определены две
формы причастности: причастность к посылке сообщения (доказательство источника) и подтверждение (доказательство) получения
3
сообщений. Причастность выполняет функции как предотвращения, так и обнаружения нарушений безопасности. В класс услуг
предотвращения она помещена потому, что механизмы причастности предотвращают возможность отказа от выполненных действий.
Приватность (секретность) транзакций. И в государственных, и в частных (корпоративных) ИТ-системах в последнее время
усиливаются требования по обеспечению приватности личности, использующей услуги и ресурсы ИТ-системы. Под приватностью
(privacy) понимают использование ИТ-системы без угрозы разглашения информации (данных) о личности пользователя. Услуга
приватности транзакций обеспечивает защиту от потери приватности путем анализа действия, операций и т.п. выполняемых
пользователем в ИТ-системе.
Услуги предупреждения и восстановления безопасности. Поскольку не существует достаточного множества
предотвращающих мер безопасности, в ИТ-систему встраиваются услуги обнаружения нарушений безопасности, направленные на
усиление услуг предотвращения. К данному классу услуг относятся:
Аудит безопасности, направленный на обнаружение событий, оказывающих влияние на безопасность системы и
обеспечение реагирования системы на выявленные вторжения, а также на обеспечение формирования необходимых данных для
последующего восстановления ИТ-системы в безопасное состояние. По сути, аудит безопасности выполняет функцию контроля
безопасности системы, под которым понимают сбор, накопление информации о событиях, происходящих в информационной системе
и анализ записей безопасности с целью проверки эффективности управления системой, обеспечения гарантий соответствия
функционирования системы политике безопасности и выработке рекомендаций о необходимых изменениях в управлении, политике и
процессах безопасности. Механизмы аудита служат для решения следующих задач:

обеспечение подотчетности пользователей и администраторов, что является средством сдерживания;

обеспечение возможности восстановления последовательности событий, что позволяет обнаружить слабости в защите
информации, выявить виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе;

предоставление информации для выявления и анализа проблем, через подготовку соответствующих отчетов.
Особенностью аудита является его сильная зависимость от других услуг и механизмов безопасности. Так идентификация и
аутентификация служат отправной точкой подотчетности пользователей. Для обеспечения конфиденциальности и целостности
регистрационной информации применяют механизмы управления доступом.
Обнаружение происшествий и политика сдерживания. Услуга обнаружения происшествий направлена на обнаружение как
попыток нарушений безопасности, так и на регистрацию легитимной активности пользователей. Обнаружение может быть локальным
и/или дистанционным и реализуется через тревожную сигнализацию о происшествиях (event reporting (alarm)), регистрацию событий
(event logging) и восстановительные действия (recovery actions). Реализация механизмов обнаружения попыток нарушений
безопасности – довольно сложная задача требующая привлечения методов искусственного интеллекта. Здесь проблема заключается
в определении того минимума информации, который бы позволил с заданной вероятностью выявить (или не пропустить) возможные
события по вмешательству в работу компьютерной системы.
Контроль целостности программной, аппаратной и информационной частей ИТ-системы и ресурсов направлен на
своевременное обнаружение нарушений целостности.
Восстановление безопасности выполняет функцию реакции системы на нарушение безопасности. Услуга реализуется через
выполнение таких действий как немедленное разъединение или прекращение работы, отказ субъекту в доступе, временное лишение
субъекта прав, занесение субъекта в "черный список" и т.п.
На основе базовой модели можно построить модели обеспечения каждой из выше рассмотренных задач обеспечения
безопасности. Для каждой задачи будут важны те или иные услуги безопасности. На рисунках в приложении к материалам
представлены модели решения каждой из основных задач безопасности. Однако следует учитывать, что адекватную защиту ИТ-
систем можно обеспечит только путем комплексного решения всех задач.
Базовая техническая модель информационной безопасности
3. КОМПЛЕКСНЫЙ ПОДХОД К ПОСТРОЕНИЮ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4
Современное состояние обеспечения безопасности информации в корпоративных структурах в Украине характеризуются
двумя основными особенностями.
С одной стороны рынок организационных и технических средств и методов защиты представляет широчайшие возможности
для выбора отечественных и зарубежных средств обеспечения безопасности. Только в Украине предлагают свыше 400
наименований продуктов и услуг более 1500 поставщиков и производителей средств защиты.
С другой стороны – слабое понимание и недооценка значимости и ценности информации для корпоративных структур
различной формы собственности, упрощенный подход к организации деятельности службы безопасности, не говоря уже о
комплексных решениях по защите информации, системном анализе и системах управления безопасностью объектов защиты.
Для владельца одинаково важно предотвратить утечку информации по обусловленному каналу связи и через мусорную
корзинку, избежать уничтожения информации в базах данных через шлюз Internet или через пожар от окурка, небрежно брошенного
нерадивым сотрудником.
Следует учитывать, что обеспечение безопасности имеет множество аспектов и имеет как организационное, техническое, так
и "человеческое" лицо.
Руководство однозначно должно понимать, что недооценка действующих или предполагаемых угроз может привести к ущербу,
величина и вероятность которого растет пропорционально успехам и значимости корпорации в иерархической лестнице общества.
Постановка задачи и порядок ее решения
Решение проблемы обеспечения безопасности информации на современном уровне требует системного подхода, который
предполагает систематизацию определенных задач и порядок их решения.

Что защищать?

Где защищать?

Когда защищать?

От чего защищать?

И, наконец, - чем защищать?
3.1. ОБЪЕКТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ, НУЖДАЮЩИЕСЯ В ЗАЩИТЕ. МЕТОДИКА ИХ ВЫЯВЛЕНИЯ.
АНАЛИЗ РИСКОВ.
Ответом на первый вопрос должен быть некий перечень ресурсов Вашей информационной системы, подлежащих защите.
Итак, что же за объекты могут подвергаться угрозам?
Сейчас основную угрозу бизнесу составляют следующие угрозы:
1. Кража, подмена, удаление информации.
2. Сбои, остановка, нестабильная работа критически важных приложений, СУБД, серверов, и т.д.
3. Кража, порча, поломка офисной техники.
4. Неработоспособность персонала.
Исходя из знания основных угроз для бизнеса, можно уже определить основные объекты, подлежащие защите, это:

Информация.
Основные угрозы для информации:
o Похищение. Не секрет, что в наш век информационных технологий информация становится очень важным инструментом.
Например, если у Вас украли пароли к Вашему банковскому счету, то Вы можете потерять деньги. Если же была похищена
информация о Ваших планах на следующий период деятельности предприятия, то конкуренты могут создать Вам существенные
проблемы.
o Изменение. Разберем самый простой пример: Вы посылаете своему партнеру письмо по e-mail, в котором назначаете ему
встречу в 17-00. Ваш конкурент, который хочет перехватить у Вас этого партнера, перехватывает Ваше письмо и изменяет время
встречи на 15-00. Ваш партнер приходит, обижается, и уходит к вашему конкуренту. Это самый простой пример, от которого довольно
легко найти защиту. Но он наглядно показывает угрозу изменения информации. А представьте, что конкуренты изменили результаты
Ваших маркетинговых исследований? Или взломали Ваш сайт, и изменили некоторые страницы? Такие примеры можно приводить до
бесконечности.
o Удаление. Оцените Ваш ущерб, если Ваши конкуренты удалят Вашу базу клиентов.

Компьютеры, серверы, сетевое оборудование, ноутбуки.
Основные угрозы:
o Вывод из строя. Причин вывода их строя может быть несколько, это и помехи и скачки в электросети, и неправильные
действия обслуживающего персонала, и заводские неисправности, и старость оборудования, и вредоносные действия. К счастью на
данный момент вирусов, способных уничтожить оборудование, нет, может это вопрос не самого скорого будущего. Последствия
зависят от критичности бизнес процессов, связанных с этим оборудованием. В лучшем случае это может привести к простою техники,
но зачастую бывает довольно сложно посчитать ущерб от простоя техники, ведь надо будет оценить всю невыполненную работу,
возможные несостоявшиеся сделки, а так же возможные санкции за срыв того или иного договора. Не стоит говорить, что возможные
клиенты, узнав, что «сейчас компьютер не работает» не будут ждать, пока Ваши системщики наладят компьютеры, а просто уйдут к
конкурентам.
o Кража. На самом деле, это довольно существенная угроза, особенно для ноутбуков. Так же в крупных предприятиях
довольно остро стоит проблема кражи комплектующих обслуживающим персоналом. Не стоит забывать, что, например, с ноутбуком
директора, злоумышленники крадут и критически важную информацию предприятия. Поэтому необходимо обеспечить сохранность
информации даже в случае потери или кражи ноутбуков.

Установка аппаратных устройств (АУ) снятия информации.
Угрозу от установки АУ снятия информации сложно переоценить. С помощью аппаратных снифферов злоумышленники
получают все пароли, которые проходят через сеть. С помощью «жучков» в телефоне или в Вашем столе, они получают все Ваши
переговоры.

Операционные системы, приложения, СУБД, программные серверы.
Основные угрозы:
o Нестабильная работа. Причин нестабильности ОС может быть несколько: это и ошибки разработчиков, и неправильная
конфигурация, и конфликты с оборудованием, и установка программ способных внести нестабильность в работу, а зачастую и
привести к зависанию, и специальные атаки, и вирусные атаки, и неграмотная работа пользователей. Последствия нестабильной
работы колеблются от замедления рабочего процесса, до создания благоприятных условий для взлома Вашей ИС.
o Критические сбои в работе, незапланированные остановки, «зависания». Основные причины такие же, как и при
нестабильной работе. Можно сказать, что это следующий этап нестабильной работы. Но последствия уже тяжелей. Это уже может
5
быть и простой Вашего предприятия. На данный момент довольно часто встречаются компании, которые из-за сбоя бухгалтерской
программы вынуждены отказывать приходящим клиентам.
o Взлом. Причиной взлома могут быть и ошибки разработчиков, и несвоевременное обновление ПО, и неверная
конфигурация, и ошибки персонала. Так же очень вероятно, что взлом был осуществлен или Вашим персоналом или с помощью кого
того из него. Последствия взлома Вашей ИС очень сложно переоценить, и зависят уже не от Вас, а от намерений того, кто
осуществил взлом.

Персонал.
Основные угрозы:
o Неработоспособность или низкая эффективность. Основные причины: Постоянные помехи (например, разнообразные
представители канадских оптовых компаний). Несобранность и недисциплинированность (Например, если вместо исполнения своих
прямых обязанностей персонал постоянно говорит по телефону, лазит по Интернет, общается в ICQ и так далее). Возможные
последствия: Увеличение затрат, потеря клиентов, (нередки случаи, когда сотрудники занятые чем-то интересным для них, например
фильмом, небрежно общались с клиентами, и даже, намерено не раскрывали всех предложений компании, что бы как можно скорее
освободится). Довольно часто встречается грубое отношение к клиенту, после того как к ним забрело около десятка представителей
разнообразных компаний.
o Неграмотность или некомпетентность персонала в области безопасности. Основные причины: неответственное
отношение к вопросам обучения персонала. Возможные последствия колеблются от создания сотрудниками уязвимости
безопасности Вашей ИС до нарушения работы Вашей ИС. Так же не стоит забывать, что существует целый класс атак направленный
именно на сотрудников – социальный инжиниринг. С помощью него злоумышленник может получить самый высокий доступ к Вашей
ИС.
o Умышленные действия Вашего персонала. Самая распространенная причина, это недовольство. Недовольство может
быть вызвано маленькой, по мнению сотрудников, зарплатой, ущемлению прав, заниженной оценкой способностей, увольнением, Так
же известны случаи, когда в компанию на временную работу устраивались люди из конкурентных компаний. Последствия очень
опасны, 80% взломов осуществляются сотрудниками компаний. И эти люди знают, что представляют ценность, что, может навредить
Вашему бизнесу. Поэтому к этой проблеме надо отнестись с особенной тщательностью.
Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.
Что касается собственно информации – вот лишь основные сведения, которые могут представлять интерес для сбора и
анализа злоумышленниками.
Сведения коммерческого содержания:

сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);

кредитные договоры с банками;

договоры купли и продажи;

сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;

любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции.

данные о конкурентах, их слабые и сильные стороны;

условия финансовой деятельности;

технологические секреты;

меры, предпринимаемые конкурентами в отношении своих противников;

данные о потенциальных партнерах, проверка их на недобросовестность;

информация о месте хранения грузов, времени и маршрутах их перевозки;

выявление уязвимых звеньев среди сотрудников;

выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;

связи и возможности руководства;

выявление круга постоянных посетителей.
Сведения личного характера:

источники доходов;

истинное отношение к тем или иным общественным явлениям, "сильным мира сего";

уклад личной жизни руководителя и членов его семьи;

расписание и адреса встреч – деловых и личных;

данные о размерах финансового благополучия;

информация о человеческих слабостях;

пагубные пристрастия;

вредные привычки;

сексуальная ориентация;

данные о друзьях, подругах;

данные о местах проведения досуга, способах и маршрутах передвижения;

информация о местах хранения ценностей;

место жительства;

супружеская неверность;

проблемы отцов и детей.
Проанализировав сведения, документы и иные информационные ресурсы конкретной информационной системы можно
выделить из них те, которые как раз и нуждаются в защите. Предлагается следующая методика по выявлению таких объектов.
ВЫЯВЛЕНИЕ ОБЪЕКТОВ ПОДЛЕЖАЩИХ ЗАЩИТЕ В ВАШЕЙ ИС.
Для того, что бы выявить все объекты, подлежащие защите в Вашей ИС необходимо проверить ВСЕ компьютеры.
Результатом проверки должен быть отчет, в котором должно быть указано:
 Детальная схема компьютеров в ИС, с указанием сетей и подсетей в которые они объединены. Так же должны быть указаны
«дружественные» отношения между компьютерами.
 Список всех устройств для выхода в Интернет. Для каждого компьютера или сервера должен быть свой отчет, в котором
должны быть отражены следующие сведения:
o Установленная операционная система, ее версия, наличие обновлений и «заплаток»;
o В каком домене или рабочей группе находится компьютер;
6
o В каких учетных записях домена участвует компьютер;
o Список компьютеров, к которым имеется доступ;
o Список всех компьютеров, которые имеют доступ;
o Список установленного программного обеспечения;
o Список файлов с конфиденциальной информацией на этом компьютере;
o Наличие выхода в Интернет;
o Список персонала имеющего доступ к компьютеру;
o Ответственное лицо за компьютер;
o Ответственное лицо за сеть, в котором находится компьютер.
 Список всех сетей и подсетей.
Для каждой сети и подсети должен быть свой отчет, в котором должны быть следующие данные:
o Ответственное лицо;
o Список всех компьютеров входящих в сеть;
o Тип сети (одноранговая, с выделенным сервером, «звезда», «кольцо», «Mesh», etc);
o Список всех сетевых устройств;
o Список сетевых протоколов использующихся в сети;
o Список всех аппаратных устройств обеспечивающих беспрерывность работы.
 Список всех серверов.
Для каждого сервера должен быть свой отчет, в котором должно быть отражено:
o Ответственное лицо;
o Установленная операционная система;
o Роль сервера;
o Компьютеры и пользователи, имеющие к нему доступ;
o Список баз данных с указанием СУБД;
o Список информации, содержащейся на сервере.
 Конфиденциальная и важная информация, критически важные приложения, с указанием компьютеров и серверов, где они
физически находятся, с указанием ответственных лиц за целостность и безопасность.
 Список персонала.
Для каждого сотрудника должен быть отдельный отчет, в котором должно отображаться:
o Список учетных записей, в которых присутствует сотрудник;
o Список компьютеров, к которым имеется доступ у сотрудника;
o К какой информации, или к каким приложениям имеет доступ сотрудник;
o Знание сотрудником требований безопасности;
o Уровень подготовленности сотрудника к внештатным ситуациям.
 Список выявленных уязвимостей с подробным описанием степени угрозы, трудностью ликвидации, возможностью
проявлению угрозы в будущем.
Проведение проверки можно разделить на несколько этапов:
Первый этап.
Заключается в упорядочивании информации в ИС и разбиении ее на категории. Всю информацию можно разделить на
несколько групп доступа:

Запрещено чтение и изменение. К такой информации можно отнести протоколы заседания совета директоров, чертежи,
бухгалтерскую информацию. Для информации этой группы необходимо строго определить группу лиц имеющих доступ к ней,
имеющих права изменять, ответственных за целостность и безопасность.
 Запрещено изменение. К такой информации можно отнести прайс-листы, содержимое вебсайта, рекламные материалы.
Для информации этой группы необходимо определить группу лиц имеющих право ее изменять, и ответственных за ее целостность.
 Запрещено блокирование. Некоторые приложения могут блокировать файл на чтение или изменение информации. Если
необходимо, чтобы информация всегда была доступна, то тогда надо продумать механизмы одновременного использования
информации несколькими посетителями.
 Запрещено удаление. К этой группе, может относиться записи в гостевой книге, форуме. Необходимо назначить
ответственное лицо за целостность информации.
После упорядочивания информации, необходимо определить на каких серверах или компьютерах находятся файлы с
информацией. Так же во время этого этапа необходимо оценить важность этой информации для предприятия и степень угрозы для
ИС в случае совершения несанкционированных действий с этой информацией.
Второй этап.
Заключается в определении всех критически важных приложений и процессов. В ходе этапа, необходимо определить, где
находятся СУБД, где файловые серверы, где контроллеры домена, где веб-серверы. Так же нужно определить под какими
платформами работают эти приложения и процессы. Кроме этого необходимо определить степень угрозы для ИС в случае выхода из
строя приложения.
Третий этап.
Заключается в создании схемы сети ИС. В ходе этого этапа необходимо определить ВСЕ компьютеры входящие или
имеющие доступ к сети ИС Вашего предприятия. Так же необходимо не упустить из виду компьютеры или устройства, которые на
момент проверки не были подключены к сети ИС (например, ноутбуки). Отдельным подэтапом можно вынести учет всех ноутбуков.
Четвертый этап.
Заключается в определении всего ПО, настроек ПО и ОС, определению связей компьютеров в сети. Этот этап лучше всего
проводить с помощью сканеров безопасности, На сегодняшний день существует множество сканеров, которые или в какой-то степени
дублируют друг друга (сканеры разных фирм) или выполняют различные по сути проверки. Помимо простой проверки ПО, они, как
правило, определяют и основные «дыры» в защите, у некоторых из них есть база распространенных атак. Для комплексной проверки
лучше всего использовать два типа сканеров - на уровне сети и на уровне системы. Сканер на уровне сети определяет уязвимости в
сети, настройках сети, несанкционированных шлюзах в Интернет, и т.д. Сканер на уровне системы определяет настройки ОС,
установленные приложения, а так же позволяет выявить «дыры» в ПО.
Пятый этап.
Определение всех сотрудников имеющих доступ к ИС, их права, обязанности. Так же необходимо провести тренинг, для
определения уровня подготовленности персонала.
7
3.2. АУДИТ НА ОСНОВЕ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ
В результате описанной выше проверки, помимо подробного описания существующей ИС, будет выявлены и уязвимости
безопасности. Такой метод называется «Активный аудит». Активный аудит, как мы уже поняли, основан на выявлении технических
уязвимостей ИС. Этот метод является необходимым этапом в процессе общего аудита безопасности ИС предприятия, но для
обеспечения необходимого уровня безопасности ИС необходимо провести аудит на основе анализа информационных рисков
предприятия. С помощью подобного аудита (он основан на международном стандарте IS017799) можно провести полный анализ
защищенности ИС и управления информационной безопасностью предприятия.
Целью аудита на основе анализа информационных рисков предприятия, является:
 Убедиться, что требования к безопасности ИС полностью проанализированы и документированы.
 Избежать излишних трат на принятие излишних мер безопасности.
 Наиболее эффективно планировать и осуществлять защиту на всех этапах жизненного цикла ИС.
 Сократить сроки внедрения системы безопасности ИС.
 Предоставить обоснование для всех мер защиты.
 Проанализировать все возможные контрмеры.
 Создание подробных отчетов для различных должностных групп, отвечающих за безопасность.
Аудит на основе анализа рисков предприятия проводится после «активного аудита», можно даже сказать, что «активный
аудит», это первый, или даже, подготовительный этап Аудита на анализе рисков. Проведение аудита на анализе рисков можно
разбить на следующие этапы:
 Классификация объектов подлежащих защите по важности для предприятия и безопасности ИС. Определение
привлекательности объектов защиты для взломщиков.
 Определение возможных угроз и вероятные каналы доступа на объекты, подлежащие защите.
 Определение существующих мер безопасности.
 Определение уязвимостей в обороне и способов ее преодоления.
 Составление ранжированного списка угроз.
 Оценка ущерба от неправомерного доступа, атак отказа в обслуживании, сбоев оборудования.
Величиной риска для каждого конкретного ресурса является произведение вероятности нападения на ресурс, вероятность
реализации угрозы и ущерба от информационного вторжения. Сложение рисков всех составляющих ИС дает величину суммарного
риска при существующей системе безопасности. Так же анализ отчета позволяет создать максимально эффективную систему
обороны Вашего предприятия.
Предлагаемая корпорацией Майкрософт концепция оценки рисков включает в себя следующие этапы:
 Определение допустимого уровня рисков (то есть того уровня, который приемлем).
 Оценка вероятности возникновения каждого риска.
 Присвоение стоимости каждому риску.
 Расстановка приоритетов.
Для дальнейшей оценки используется матрица рисков:
Стоимость риска
Вероятность
Низкая
Средняя
Высокая
Низкая
4
3
3
Средняя
4
2
2
Высокая
3
1
1
В зависимости от полученных оценок риск относится к одной из групп:
1. Высокая степень (1) Считается, что без устранения таких рисков, использование ИС может принести существенный урон
бизнесу.
2. Существенный риск (2) Здесь необходима эффективная стратегия безопасности или которая поможет или полностью
избежать, или максимально минимизировать последствия нападения.
3. Умеренный риск (3) Для избежания негативных последствий достаточно использовать стандартные процедуры управления
рисками.
4. Несущественный риск (4) Усилия по управлению рисками существенной роли играть не будут.
Рассмотрим порядок и основные составляющие, которые необходимо учитывать при системном анализе объекта защиты.
Будем рассматривать корпорацию как объект защиты, состоящий из:
 вида деятельности или класса решаемых задач, порождающих информацию с ограниченным доступом и необходимость ее
защиты;
 носителей информации различной физической природы (персонал, технические устройства, твердые носители, поля,
химические среды и т.д.);
 обусловленных каналов связи между носителями информации, обеспечивающих функционирование объекта защиты;
 протоколов хранения, обработки и обмена информацией между носителями;
 функциональных параметров объекта защиты и его элементов, характеризующих режимы хранения, обработки и передачи
информации с ограниченным доступом и их изменение во времени;
 физического пространства, в котором располагаются носители и каналы связи (здания, сооружения, транспорт, территория и
т.д.);
 требований по обеспечению безопасности информации.
Изучение поведения информации в носителях и ее движения по обусловленным каналам связи позволяет получить модель
функционирования объекта защиты. Такая информационно-логическая модель дает возможность ответить на первые три вопроса, Что? Где? Когда? Таким образом обеспечить наблюдаемость объекта защиты как объекта управления безопасностью.
С позиций системного анализа этот ответ представляет собой не что иное, как модель всего объекта защиты, адекватность,
полнота и точность которой будет, скорее всего, определяться разумной достаточностью.
Ответ на вопрос КАК? будет рассмотрен при обзоре средств обеспечения информационной безопасности.
3.3. РАЗГРАНИЧЕНИЕ (ИЕРАРХИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
8
Очевидно, что только теперь можно наиболее полно ответить на вопрос "От чего защищать?", т.е. определить действующие и
предполагаемые угрозы, выявить наиболее вероятные каналы утечки информации.
Разграничим угрозы безопасности объекта на внутренние и внешние.
Внутренние угрозы безопасности объекта защиты:
 неквалифицированная корпоративная политика по организации корпоративных информационных технологий и управлению
безопасностью корпорации;
 отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты;
 преднамеренные и непреднамеренные действия персонала по нарушению безопасности;
 предательство персонала;
 техногенные аварии и разрушения, пожары.
Внешние угрозы безопасности объекта защиты:
 негативные воздействия недобросовестных конкурентов и государственных структур;
 преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор информации, шантаж,
искажение имиджа, угрозы физического воздействия и др.);
 утечка конфиденциальной информации из носителей информации и обусловленных каналов связи;
 несанкционированное проникновение на объект защиты;
 несанкционированный доступ к носителям информации и обусловленным каналам связи с целью хищения, искажения,
уничтожения, блокирования информации;
 стихийные бедствия и другие форс-мажорные обстоятельства;
 преднамеренные и непреднамеренные действия системных интеграторов и поставщиков услуг по обеспечению
безопасности, поставщиков технических и программных продуктов, кадров.
Проведенный анализ объекта защиты дает возможность провести наиболее обоснованный выбор организационных и
технических средств защиты, как на этапе создания объекта, так и на этапе его эксплуатации и, таким образом, обеспечить свойство
управляемости объекта защиты как объекта управления.
Общими характеристиками для организационных и технических средств защиты являются стоимость защиты, стоимость
внедрения, стоимость эксплуатации, время внедрения, степень защиты.
Следовательно, модель объекта защиты как системы, действующие и предполагаемые угрозы, организационные и
технические средства и методы защиты определяют содержание и порядок проведения деятельности по обеспечению безопасности
корпорации.
Рассмотрение основных элементов и свойств объекта защиты как системы позволяет обоснованно утверждать, что
корпорацию можно представить как сложную систему с точки зрения обеспечения безопасности, так как ей присущи 4 характерных
свойства, являющихся фундаментальными в определении сложной системы в терминах теории множеств. Это целостность и
членимость, наличие обусловленных связей, определенная организация и наличие интегративных качеств.
Системный анализ позволяет осуществить действительно комплексный подход к обеспечению безопасности, включая
статическое и динамическое состояния объекта защиты, обеспечить полноту и непрерывность действий по обеспечению
безопасности, разработать общий подход к проектированию комплексных систем управления безопасностью.
Здесь под безопасностью следует понимать состояние противодействия действующим или предполагаемым угрозам.
Угроза безопасности – совокупность преднамеренных и непреднамеренных действий, направленных на нарушение
безопасности объекта защиты.
Под управлением безопасностью при действующих или предполагаемых угрозах следует понимать осуществление действий,
выбранных из множества возможных на основании определенной информации и направленных на поддержку или изменение степени
безопасности с целью противодействия угрозам.








3.4. МОДЕЛЬ НАРУШИТЕЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Как показывает статистика, теперь компьютерным преступником может быть:
конечный пользователь, не технический служащий и не хакер
тот, кто не находится на руководящей должности
тот, у кого нет судимостей
умный, талантливый сотрудник
тот, кто много работает
тот, кто не разбирается в компьютерах
тот, кого вы подозревали бы в последнюю очередь
именно тот, кого вы взяли бы на работу
КОМПЬЮТЕРНЫМ ПРЕСТУПНИКОМ МОЖЕТ БЫТЬ ЛЮБОЙ!!!
Типичный компьютерный преступник – это не молодой хакер, использующий телефон и домашний компьютер для получения
доступа к большим компьютерам. Типичный компьютерный преступник – это служащий, которому разрешен доступ к системе,
нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 95
процентов ежегодного ущерба, связанного с компьютерами. В странах СНГ (в частности в Украине) - около 75 процентов. В чем же
причины таких нарушений?
МОТИВАЦИЯ НАРУШИТЕЛЯ
 личная или финансовая выгода
 развлечение
 месть
 попытка добиться расположения кого-либо к себе
 самовыражение
 случайность
 вандализм
Но значительно больший ущерб, около 60 процентов всех потерь, наносят ошибки людей и инциденты. Предотвращение
компьютерных потерь, как из-за умышленных преступлений, так и из-за неумышленных ошибок, требует знаний в области
безопасности. Опросы, проводимые периодически в США, показывают, что именно служащие, имевшие знания в области
компьютерной безопасности, были основной причиной выявления компьютерных преступлений.
9
В последнее время особо ценными с точки зрения информационной безопасности стали рекомендации психологов
относительно персонала. При приеме на работу необходимо прорисовывать психологический портрет потенциального сотрудника.
Некоторые рекомендации по работе с персоналом звучат так:
 обязательно подписать соглашения о неразглашении;
 запрещать сотрудникам приносить на рабочие места любые программные средства;
 запрещать хранение паролей в легкодоступных местах;
 раз в полгода (приблизительно, по необходимости) проводить обучение сотрудников;
 при приеме на работу предварительно изучить всю предыдущую деятельность кандидата на работу.
Возможно, эти рекомендации звучат несколько наивно, однако выполнение их целесообразно.
4. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. ЭТИЧЕСКИЙ КОДЕКС АУДИТОРА ИНФОРМАЦИОННЫХ СИСТЕМ (ВМЕСТО ЭПИГРАФА)
Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми
1.
2.
ISACA;
3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
5. Соблюдать конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без
разрешения ее владельца;
7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
8. Избегать деятельности, которая ставит по угрозу независимость аудитора;
9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита
информационных систем, принимая участие в профессиональных мероприятиях;
10. Проявлять старательность при получении и документировании фактографических материалов, на которых базируются
выводы и рекомендации аудитора;
11. Информировать все заинтересованные стороны о результатах проведения аудита;
12. Способствовать повышению осведомленности руководства организаций и клиентов в вопросах, связанных с проведением
аудита информационных систем;
13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
14. Совершенствовать свои личностные качества.
4.2. ПОНЯТИЕ АУДИТА БЕЗОПАСНОСТИ И ЦЕЛИ ЕГО ПРОВЕДЕНИЯ
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний
и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации
или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и
акционерных обществ это является обязательным требованием Внутренний аудит представляет собой непрерывную деятельность,
которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого
осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности
информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:
 анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
 оценка текущего уровня защищенности ИС;
 локализация узких мест в системе защиты ИС;
 оценка соответствия ИС существующим стандартам в области информационной безопасности;
 выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Примечание:
Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о
внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним
аудиторам, могут также входить:
 разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие
в их внедрении в работу организации;
 постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
 участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
 участие в разборе инцидентов, связанных с нарушением информационной безопасности;
 и другие.
Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за
исключением участия в обучении, по существу аудитом не являются. Аудитор по определению должен осуществлять независимую
экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской
деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора
утрачивается, а вместе с ней утрачивается и объективность его суждений, т.к. аудитор не может осуществлять независимый и
объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее
компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне
от реализации механизмов защиты. (А если он таким специалистам не является, то какая от него может быть практическая польза?) К
тому же почти всегда существует дефицит квалифицированных кадров именно в этой области.
По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы
предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае,
аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана
проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности,
предоставив возможность оценивать качество этих документов внешним аудиторам.
4.3. ЭТАПНОСТЬ РАБОТ ПО ПРОВЕДЕНИЮ АУДИТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам
проведения комплексного ИТ аудита АС, который включает в себя следующее:
1. Инициирование процедуры аудита
10
Сбор информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета
Инициирование процедуры аудита.
Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является
основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными
представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть
скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
 права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях,
а также в положении о внутреннем (внешнем) аудите;
 аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
 в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать
содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни
информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения
обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.
Границы проведения обследования определяются в следующих терминах:
1. Список обследуемых физических, программных и информационных ресурсов;
2. Площадки (помещения), попадающие в границы обследования;
3. Основные виды угроз безопасности, рассматриваемые при проведении аудита;
4. Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие
аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме
они должны быть учтены).
План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании
и руководители структурных подразделений.
2.
3.
4.
5.
4.4. СБОР ИНФОРМАЦИИ АУДИТА
Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой
документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными
лицами организации.
Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны
аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации,
функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с
ответственными лицами компании. путем изучения технической и организационно-распорядительной документации, а также
исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация
необходима аудитору для анализа.
Обеспечение информационной безопасности организации - это комплексный процесс, требующий четкой организации и
дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся
информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об
организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая
документация:
1. Схема организационной структуры пользователей;
2. Схема организационной структуры обслуживающих подразделений.
Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы.
1. Кто является владельцем информации?
2. Кто является пользователем (потребителем) информации?
3. Кто является провайдером услуг?
Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности,
предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС.
Аудитор задает опрашиваемым примерно следующие вопросы:
1. Какие услуги, и каким образом предоставляются конечным пользователям?
2. Какие основные виды приложений, функционирует в ИС?
3. Количество и виды пользователей, использующих эти приложения?
Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря,
случается нечасто):
1. Функциональные схемы;
2. Описание автоматизированных функций;
3. Описание основных технических решений;
4. Другая проектная и рабочая документация на информационную систему.
Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом
осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые
вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
1. Из каких компонентов (подсистем) состоит ИС?
2. Функциональность отдельных компонент?
3. Где проходят границы системы?
4. Какие точки входа имеются?
5. Как ИС взаимодействует с другими системами?
6. Какие каналы связи используются для взаимодействия с другими ИС?
7. Какие каналы связи используются для взаимодействия между компонентами системы?
8. По каким протоколам осуществляется взаимодействие?
9. Какие программно-технические платформы используются при построении системы?
На этом этапе аудитору необходимо запастись следующей документацией:
1. Структурная схема ИС;
11
Схема информационных потоков;
Описание структуры комплекса технических средств информационной системы;
Описание структуры программного обеспечения;
Описание структуры информационного обеспечения;
Размещение компонентов информационной системы.
Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все
необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.
2.
3.
4.
5.
6.
4.5. АНАЛИЗ ДАННЫХ АУДИТА
Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые
могут существенно различаться.
Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для
обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС,
среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и
требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая
методология анализа и управления рисками и ее применимость к данному типу ИС.
Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты
определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения
мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности
ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также
назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор
требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая
оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен
стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее
распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать
обоснованные выводы о состоянии ИС.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований
безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие
особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого,
т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода,
заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.
В чем заключается анализ рисков и управление рисками?
Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в
себя мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а
также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе
управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае
осуществления угрозы безопасности.
Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо
количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
 Идентификация ключевых ресурсов ИС;
 Определение важности тех или иных ресурсов для организации;
 Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
 Вычисление рисков, связанных с осуществлением угроз безопасности. Ресурсы ИС можно разделить на следующие
категории:
 Информационные ресурсы;
 Программное обеспечение;
 Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
 Людские ресурсы.
В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые
определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности,
целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:
 Данные были раскрыты, изменены, удалены или стали недоступны;
 Аппаратура была повреждена или разрушена;
 Нарушена целостность программного обеспечения.
Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:
 локальные и удаленные атаки на ресурсы ИС;
 стихийные бедствия;
 ошибки, либо умышленные действия персонала ИС;
 сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.
Под уязвимостями обычно понимают свойства ИС, делающие возможным успешное осуществление угроз безопасности.
Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по
следующей формуле:
Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до
приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между
стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения
ущерба.
4.6. ИСПОЛЬЗОВАНИЕ МЕТОДОВ АНАЛИЗА РИСКОВ
Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных
аудита обычно выполняются следующие группы задач:
1. Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.
2. Анализ групп задач, решаемых системой, и бизнес процессов.
12
3. Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными,
техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.
4. Оценка критичности информационных ресурсов, а также программных и технических средств.
5. Определение критичности ресурсов с учетом их взаимозависимостей
6. Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих
возможным осуществление этих угроз.
7. Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного
осуществления угроз.
8. Определение величины рисков для каждой тройки: угроза группа ресурсов – уязвимость.
Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные: формальные и
неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не
меняется.
Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы
существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для
организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины
рисков до приемлемого уровня.
4.7. ОЦЕНКА СООТВЕТСТВИЯ ТРЕБОВАНИЯМ СТАНДАРТА
В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт,
оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии
различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно,
какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС
требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое
соответствие.
4.8. ВЫРАБОТКА РЕКОМЕНДАЦИИ
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом,
особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при
проведении аудита.
В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически
обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом
мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программнотехническими методами защиты.
В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта
подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических
средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние
аудиторы могут принимать в этих работах самое активное участие.
4.9. ПОДГОТОВКА ОТЧЕТНЫХ ДОКУМЕНТОВ
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы
аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако
определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать:
 описание целей проведения аудита,
 характеристику обследуемой ИС,
 указание границ проведения аудита и используемых методов,
 результаты анализа данных аудита,
 выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям
стандартов,
 и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
Для примера, приведем образец структуры аудиторского отчета по результатам анализа рисков, связанных с осуществлением
угроз безопасности в отношении обследуемой ИС.
1.
2.
СТРУКТУРА ОТЧЕТА ПО РЕЗУЛЬТАТАМ АУДИТА БЕЗОПАСНОСТИ ИС И АНАЛИЗУ РИСКОВ
Вводная часть
1.1. Введение
1.2. Цели и задачи проведения аудита
1.3. Описание ИС
1.3.1.
Назначение и основные функции системы
1.3.2.
Группы задач, решаемых в системе
1.3.3.
Классификация пользователей ИС
1.3.4.
Организационная структура обслуживающего персонала ИС
1.3.5.
Структура и состав комплекса программно-технических средств ИС
1.3.6.
Виды информационных ресурсов, хранимых и обрабатываемых в системе
1.3.7.
Структура информационных потоков
1.3.8.
Характеристика каналов взаимодействия с другими системами и точек входа
1.4. Границы проведения аудита
1.4.1.
Компоненты и подсистемы ИС, попадающие в границы проведения аудита
1.4.2.
Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
1.4.3.
Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
1.5. Методика проведения аудита
1.5.1.
Методика анализа рисков
1.5.2.
Исходные данные
1.5.3.
Этапность работ
1.6. Структура документа
Оценка критичности ресурсов ИС
13
3.
4.
5.
2.1. Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
2.2. Оценка критичности информационных ресурсов
2.2.1.
Классификация информационных ресурсов
2.2.2.
Оценка критичности по группам информационных ресурсов
2.3. Оценка критичности технических средств
2.4. Оценка критичности программных средств
2.5. Модель ресурсов ИС, описывающая распределение ресурсов по группам задач
Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
3.1.
Модель нарушителя информационной безопасности
3.1.1.
Модель внутреннего нарушителя
3.1.2.
Модель внешнего нарушителя
3.2.
Модель угроз безопасности и уязвимостей информационных ресурсов
3.2.1.
Угрозы безопасности, направленные против информационных ресурсов
3.2.1.1.
Угрозы несанкционированного доступа к информации при помощи программных средств
3.2.1.2.
Угрозы, осуществляемые с использованием штатных технических средств
3.2.1.3.
Угрозы, связанные с утечкой информации по техническим каналам
3.2.2.
Угрозы безопасности, направленные против программных средств
3.2.3.
Угрозы безопасности направленные против технических средств
3.3. Оценка серьезности угроз безопасности и величины уязвимостей
3.3.1.
Критерии оценки серьезности угроз безопасности и величины уязвимостей
3.3.2.
Оценка серьезности угроз
3.3.3.
Оценка величины уязвимостей
3.4. Оценка рисков для каждого класса угроз и группы ресурсов
Выводы по результатам обследования
Рекомендации
5.1. Рекомендуемые контрмеры организационного уровня
5.2. Рекомендуемые контрмеры программно-технического уровня
4.10. ОБЗОР ПРОГРАММНЫХ ПРОДУКТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ
При анализе конфигурации средств защиты и управления межсетевыми взаимодействиями особое внимание обращается на
следующие аспекты, определяемые их конфигурацией:
 Настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на межсетевых экранах (МЭ) и
маршрутизаторах;
 Используемые схемы и настройка параметров аутентификации;
 Настройка параметров системы регистрации событий;
 Использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию
сетевых адресов (NAT), маскарадинг и использование системы spiitDNS;
 Настройка механизмов оповещения об атаках и реагирования;
 Наличие и работоспособность средств контроля целостности;
 Версии используемого ПО и наличие установленных пакетов программных коррекции.
Методы тестирования системы защиты
Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их
устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных
метода тестирования:
 тестирование по методу "черного ящика";
 тестирование по методу "белого ящика".
Тестирование по методу "черного ящика" предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о
конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак
и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия
потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае
являются сетевые сканеры, располагающие базами данных известных уязвимостей.
Метод "белого ящика" предполагает составление программы тестирования на основании знаний о структуре и конфигурации
объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие
состава и конфигурации системы защиты требованиям безопасности и существующим рискам. Выводы о наличие уязвимостей
делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике.
Основным инструментом анализа в данном случае являются программные агенты средств аудита безопасности системного уровня,
рассматриваемые ниже.
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их
программных средств. Приведем примеры некоторых, наиболее распространенных.
 Net Recon.
 XSpider
 CRAMM
 RiskWatch
 COBRA
Арсенал программных средств, используемых для аудита безопасности АС достаточно широк. Причем во многих случаях
свободно распространяемые программные продукты ничем не уступают коммерческим. Достаточно сравнить некоммерческий сканер
XSpider с его коммерческими аналогами.
Одним из методов автоматизации процессов анализа и контроля безопасности распределенных компьютерных систем
является использование технологии интеллектуальных программных агентов. Система защиты строится на архитектуре
консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который и выполняет
соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки
пакетов программных коррекций, а также выполняет другие полезные задачи по контролю безопасности АС. (Управление агентами
осуществляется по сети программой менеджером.) Менеджеры являются центральными компонентами подобных систем. Они
посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в
14
центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать,
настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование
уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному
клиент-серверному протоколу. Такой подход был использован при построении комплексной системы управления безопасностью
организации Symantec ESM.
Другим широко используемым методом аудита безопасности является активное тестирование механизмов защиты путем
эмуляции действии злоумышленника по осуществлению попыток сетевого вторжения в АС. Для этих целей применяются сетевые
сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая
описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых сервисов, а также алгоритмов осуществления попыток
вторжения (сценариев атак). Рассматриваемые ниже сетевые сканеры XSpider и Symantec NetRecon являются достойными
представителями данного класса программных средств аудита безопасности. Таким образом, программные средства аудита
безопасности условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют
средствами аудита безопасности сетевого уровня. Второй класс, к которому относятся все остальные рассмотренные здесь средства,
иногда называют средствами аудита безопасности системного уровня. Данные классы средств имеют свои достоинства и недостатки,
а на практике взаимно дополняют друг друга.
Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым
системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в
каждой анализируемой системе своего агента (своего для каждой ОС).
К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых
компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс
сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники.
Системы аудита безопасности, построенные на интеллектуальных программных агентах, являются потенциально более
мощным средством, чем сетевые сканеры. Однако, несмотря на все свои достоинства, использование программных агентов не может
заменить сетевого сканирования, поэтому эти средства лучше применять совместно. Кроме того, сканеры являются более простым,
доступным, дешевым и, во многих случаях, более эффективным средством аудита безопасности.
Сетевые сканеры
Основным фактором, определяющим защищенность автоматизированной системы (АС) от угроз безопасности, является
наличие в АС уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов АС, так
и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их
неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим
фактором. Наличие уязвимостей в системе защиты АС, в конечном счете, приводит к успешному осуществлению атак, использующих
эти уязвимости.
Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности.
Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению
сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа
защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием
шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора либо аудитора
безопасности АС.
Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды
сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers), использовавшиеся с начала 80-х и
не потерявшие актуальности по сей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell,
сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество
различных сценариев сканирования.
Современный сетевой сканер выполняет четыре основные задачи:
 Идентификацию доступных сетевых ресурсов;
 Идентификацию доступных сетевых сервисов;
 Идентификацию имеющихся уязвимостей сетевых сервисов;
 Выдачу рекомендаций по устранению уязвимостей.
В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для
реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут
предоставить ему доступные сетевые сервисы.
Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи
стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т.п. При этом используются известные
уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и
осуществляется документирование удачных попыток.
В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как
универсальных, так и специализированных; предназначенных для выявления только определенного класса уязвимостей. Многие из
них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к
1000.
Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec,
база данных которого содержит около 800 уязвимостей UNIX, Windows и NetWare систем и постоянно обновляется через Web.
Рассмотрение его свойств позволит составить представление обо всех продуктах этого класса.
Сетевой сканер NetRecon является инструментом администратора безопасности, предназначенным для исследования
структуры сетей и сетевых сервисов и анализа защищенности сетевых сред. NetRecon позволяет осуществлять поиск уязвимостей в
сетевых сервисах, ОС, МЭ, маршрутизаторах и других сетевых компонентах. Например, NetRecon позволяет находить уязвимости в
таких сетевых сервисах, как ftp, telnet, DNS, электронная почта, Web-сервер и др. При этом проверяются версии и конфигурации
сервисов, их защищенность от сетевых угроз и устойчивость к попыткам проникновения. Для поиска уязвимостей используются как
стандартные средства тестирования и сбора информации о конфигурации и функционировании сети, так и специальные средства,
которые реализуют алгоритмы, эмулирующие действия злоумышленника по осуществлению сетевых атак.
15
Рисунок 3. Сетевой сканер NetRecon
Рисунок 4. Суммарное количество уязвимостей, обнаруженных сканером NetRecon.
Программа работает в среде ОС Windows NT и имеет удобный графический интерфейс, позволяющий определять параметры
сканирования, наблюдать за ходом сканирования, генерировать и просматривать отчеты о результатах сканирования. Результаты
отображаются в графической и в табличной форме в реальном масштабе времени.
Создаваемые NetRecon отчеты содержат подробную информацию о найденных уязвимостях, включая слабость паролей
пользователей, подверженность определенных сервисов угрозам отказа в обслуживании, уязвимые для сетевых атак конфигурации
ОС и многие другие. Наряду с сообщениями о найденных уязвимостях и их описаниями, приводятся рекомендации по их устранению.
Отчет о результатах сканирования позволяет наметить план мероприятий по устранению выявленных недостатков.
Для генерации отчетов в NetRecon используется ПО Crystal Report, предоставляющее удобные средства для просмотра
отчетов и их экспорта во все популярные форматы представления данных. Найденные уязвимости оранжируются, при этом каждой
из них присваивается числовой рейтинг, что позволяет отсортировать их по степени критичности для облегчения последующего
анализа результатов сканирования.
Пример описания уязвимости в отчете, сгенерированном сканером NetRecon, приведен на Рис. 5. В NetRecon используется
следующий формат описания уязвимости (который, однако, является общим и для всех остальных сетевых сканеров):
 Vulnerability Name (Название уязвимости);
 Risk (Уровень риска);
 Description (Описание уязвимости);
 Solution (Способы ликвидации уязвимости);
 Additional Information (Дополнительная информация);
 Links (Ссылки на источники информации о данной уязвимости);
 of Network Resources (Кол-во сетевых ресурсов, подверженных данной уязвимости);
16

Network Resources (Список сетевых ресурсов).
Рисунок 5. Описание уязвимости в отчете, сгенерированном сканером NetRecon
NetRecon самостоятельно определяет конфигурацию сети и позволяет выбрать сетевые ресурсы для сканирования. Может
осуществляться параллельное сканирование всех сетевых ресурсов, сканирование по диапазону сетевых адресов, сканирование
отдельных систем или подсетей. Сеанс сканирования может включать в себя все виды проверок либо отдельные проверки по выбору
пользователя. Глубина сканирования определяется продолжительностью сеанса сканирования, которая задается пользователем.
Например, проверки, связанные с подбором пользовательских паролей по словарю, сопряжены с существенными временными
затратами и не могут быть завершены в течение короткого сеанса сканирования.
Для поиска сетевых уязвимостей в NetRecon используется запатентованная технология UltraScan. Производимые NetRecon
проверки тесно взаимосвязаны и результаты одной проверки используются для выполнения другой. Как и в случае реальных атак, в
технологии UltraScan информация об обнаруженных уязвимостях используется для выявления других связанных с ними уязвимостей.
Например, если NetRecon удалось получить доступ к файлу, содержащему пароли пользователей, и расшифровать несколько
паролей, то эти пароли будут использованы для имитации атак на другие системы, входящие в состав сети.
NetRecon дает возможность пользователю отслеживать путь поиска уязвимости, представляющий собой последовательность
проверок производимых NetRecon, которая привела к выявлению данной уязвимости. Путь поиска уязвимости позволяет проследить
действия возможного нарушителя, осуществляющего атаку на сетевые ресурсы.
Используемая NetRecon база данных содержит описание известных уязвимостей и сценариев атак. Она регулярно
пополняется новыми данными. Обновление этой базы данных производится через Web-узел компании Symantec автоматически, при
помощи механизма LiveUpdate.
Сетевой сканер XSPIDER – первый российский сканер безопасности.
XSpider – программное средство сетевого аудита, предназначенное для удаленной диагностики различных элементов сети на
предмет поиска уязвимостей. На текущий момент, XSpider по возможностям не уступает, а местами и превосходит известные сканеры
безопасности, такие как ISS Internet Scanner, Nessus, Retina.
Сетевой сканер XSpider может рассматриваться в качестве достойной альтернативы коммерческим сканерам. XSpider
является свободно распространяемым и постоянно обновляемым программным продуктом. Удобный графический интерфейс
позволяет определять параметры сеанса сканирования, наблюдать за ходом сканирования, создавать и просматривать отчеты.
Высокое качество работы XSpider-a обеспечивают:
 интеллектуальный подход к распознаванию сервисов
 многочисленные ноу-хау, использующиеся при поиске уязвимостей
 уникальная обработка RFC-сервисов всех стандартов с их полной идентификацией
 анализатор структуры и метод интеллектуального распознавания уязвимостей веб-серверов
 постоянное обновление встроенной базы уязвимостей
17







На рис. 6 показан внешний вид продукта.
Одними из отличительных особенностей XSpider-a являются:
многочисленные ноу-хау используемые в поиске уязвимостей
интеллектуальный подход к распознаванию сервисов
уникальная обработка RFC-сервисов всех стандартов с их полной идентификацией
анализатор структуры и метод интеллектуального распознавания уязвимостей веб-серверов
постоянное обновление
бесплатное распространение (для российских пользователей)
поддержка нескольких языков
Помимо сканера безопасности XSpider включает в себя дополнительные утилиты:
18









простые сканеры (TCP и UDP портов)
CGI-сканер с Brute-словарём
определитель исходящего трафика на удаленном компьютере
Whols-сервис
проверка анонимности прокси-сервера
TCP и UDP клиенты
ТСР-прокси (позволяет пропускать TCP пакеты через себя, с возможностью их коррекции)
работа с почтой, удаление ненужной почты с сервера
локальные настройки безопасности компьютера.
Эти и многие другие особенности позволяют XSpider-y не только находить максимальное количество существующих
уязвимостей, но и выдавать минимальное количество ошибочных диагностик, что является распространенной "болезнью" многих
других продуктов подобного класса.
XSpider позволяет обнаруживать уязвимости на компьютерах, работающих под управлением различных операционных
систем: AIX, Solaris, Unix-системы, Windows и другие. Программа работает под управлением MS Windows
(95/98/ME/NT/2000/XP/.NET).
CRAMM
Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности
Великобритании (UK Security Service) no заданию Британского правительства и взят на вооружение в качестве государственного
стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время
CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением
одноименного программного продукта, реализующего метод CRAMM,
CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM - это довольно
мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач,
включая:
 Проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
 Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of
Practice for Information Security Management BS7799;
 Разработка политики безопасности и плана обеспечения непрерывности бизнеса.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы
анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и
коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг
от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для
правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также
позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых,
пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной
безопасности и непрерывности бизнеса.
Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая
неоправданных расходов.
CRAMM предполагает разделение всей процедуры на три последовательных этапа, Задачей первого этапа является ответ на
вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции
безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и
оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для
проведения интервью, списки проверки и набор отчетных документов.
Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким, и
существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляются минимальный набор
требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к
третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований
безопасности.
На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей
аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью
используются специализированные вопросники.
На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.
Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации,
учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование
рекомендуемых контрмер для руководства организации.
В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача
подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки
метода CRAMM.
Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.
19
Процесс анализа и управления рисками по методу CRAMM
Процедура аудита в методе CRAMM является формализованной. На каждом этапе генерируется довольно большое
количество промежуточных и результирующих отчетов.
Так, на первом этапе создаются следующие виды отчетов:
 Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
 Оценка критичности ресурсов;
 Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе
обследования.
На втором этапе проведения обследования создаются следующие виды отчетов:
 Результаты оценки уровня угроз и уязвимостей;
 Результаты оценки величины рисков;
 Результирующий отчет по второму этапу анализа рисков.
По результатам третьего этапа обследования создаются следующие виды отчетов:
 Рекомендуемые контрмеры;
 Детальная спецификация безопасности;
 Оценка стоимости рекомендуемых контрмер;
 Список контрмер, отсортированный в соответствии с их приоритетами;
 Результирующий отчет по третьему этапу обследования;
 Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
 Список мероприятий по обеспечению безопасности.
Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если
организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет
приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.
Обобщая практический опыт использования метода CRAMM при проведении аудита безопасности, можно сделать следующие
выводы, относительно сильных и слабых сторон этого метода:
К сильным сторонам метода CRAMM относится следующее:
 CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать
реальные практические результаты;
 Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
 В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной
безопасности, базирующаяся на рекомендациях стандарта BS 7799;
 Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и
назначения;
 CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик
информационной безопасности организации;
 CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.
К недостаткам метода CRAMM можно отнести следующее:
 Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
 CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации,
нежели чем для ИС, находящихся на стадии разработки;
 Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
 Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда
оказывается полезной на практике;
 CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
20
 Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные
трудности при адаптации этого метода к потребностям конкретной организации.
RISKWATCH
Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным
средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов
аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
 RiskWatch for Physical Security -для физических методов защиты ИС;
 RiskWatch for Information Systems – для информационных рисков;
 HIPAA-WATCH for Healthcare Industry – для оценки соответствия требованиям стандарта HIPAA;
 RiskWatch RW17799 for ISO17799 – для оценки требованиям стандарта ISO17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь»
(Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment - ROi). Семейство программных продуктов
RiskWatch, имеет массу достоинств, К недостаткам данного продукта можно отнести его относительно высокую стоимость.
COBRA
Система COBRA (Consultative Objective and Bi-Functiona! Risk Analysis), разрабатываемая компанией Risk Associates, является
средством анализа рисков и оценки соответствия ИС стандарту IS017799. COBRA реализует методы количественной оценки рисков,
а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были
использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое
количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA
IS017799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.
4.11. СТАНДАРТЫ, ИСПОЛЬЗУЕМЫЕ ПРИ ПРОВЕДЕНИИ АУДИТА БЕЗОПАСНОСТИ ИС
ISO 17799: Code of Practice for Information Security Management
ISO 15408: Common Criteria for Information Technology Security Evaluation
SysTrust
BSIMT Baseline Protection Manual
Практические стандарты SCORE и программа сертификации SANS/GIAC Site Certification
В настоящем разделе дается обзор стандартов информационной безопасности, являющихся наиболее значимыми и
перспективными с точки зрения их использования для проведения аудита безопасности ИС.
Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющий соответствие
обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации
получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.
Значение международных стандартов SS017799 и ISO15408 трудно переоценить. Эти стандарты служат основой для
проведения любых работ в области информационной безопасности, в том числе и аудита. Стандарт IS017799 сосредоточен на
вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к
программно-техническим механизмам защиты информации.
Спецификация SysTrust выбрана для рассмотрения, т.к. она в настоящее время достаточно широко используется
аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в
качестве дополнения к финансовому аудиту.
Немецкий стандарт «BSIMT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по
обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся
вопросами информационной безопасности.
Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта
SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее
время.
Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация
«SANS/GIAC Site Certification», предложенная институтом SANS, заслуживает рассмотрения в связи с неизменно возрастающей
актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при
проведении аудита безопасности.





(SO 17799: CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном
стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной
безопасностью), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799.
ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня,
включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
1. Политика безопасности
2. Организация защиты
3. Классификация ресурсов и их контроль
4. Безопасность персонала
5. Физическая безопасность
6. Администрирование компьютерных систем и вычислительных сетей
7. Управление доступом
8. Разработка и сопровождение информационных систем
9. Планирование бесперебойной работы организации
10. Контроль выполнения требований политики безопасности
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под
средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы
специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для
21
обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам
безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.
Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например,
требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности,
например, обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и
составляют основу системы управления информационной безопасностью.
Ключевыми являются следующие средства контроля:
 документ о политике информационной безопасности;
 распределение обязанностей по обеспечению информационной безопасности;
 обучение и подготовка персонала к поддержанию режима информационной безопасности;
 уведомление о случаях нарушения защиты;
 средства защиты от вирусов;
 планирование бесперебойной работы организации;
 контроль над копированием программного обеспечения, защищенного законом об авторском праве;
 защита документации организации;
 защита данных;
 контроль соответствия политике безопасности.
Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку
полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования.
Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.
ISO 15408: COMMON CRITERIA FOR INFORMATION TECHNOLOGY
SECURITY EVALUATION
Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в
международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки
безопасности информационных технологий), принятом в 1999 году.
Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные
требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security
assurance requirements).
При проведении работ по анализу защищенности ИС, «Общие критерии» целесообразно использовать в качестве основных
критериев, позволяющих оценить уровень защищенности АС с точки зрения полноты реализованных в ней функций безопасности и
надежности реализации этих функций.
Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них
содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической
защите, которые непосредственно связаны с описываемыми функциями безопасности.
Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики
проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной
области.
Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть
непосредственно использованы при анализе защищенности для оценки полноты реализованных в ИС функций безопасности.
Третья часть «Общих критериев», наряду с другими требованиями к адекватности реализации функций безопасности,
содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment.
Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации
следующих типов уязвимостей:
 Наличие побочных каналов утечки информации;
 Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное
состояние;
 Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

Наличие уязвимостей («дыр») в средствах защиты информации, позволяющих пользователям получать НСД к информации
в обход существующих механизмов защиты.
При проведении работ по аудиту безопасности, данные требования могут использоваться в качестве руководства и критериев
для анализа уязвимостей ИС.
SYSTRUST
По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто
является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам, в связи с
повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных ИТ систем до
определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ аудита в некоторых
случаях позволяют проводить финансовый аудит в сокращенном варианте, экономя время и деньги клиентов.
Отвечая потребностям бизнеса, Американский Институт Сертифицированных Публичных Бухгалтеров (American institute of
Certified Public Accountants (AICPA)) и Канадский Институт Общественных Бухгалтеров (Canadian Institute of Chartered Accountants
(CICA)) разработали стандарт SysTrust для проведения ИТ аудита, который является дополнением к финансовому аудиту. SysTrust
позволяет финансовым аудиторам расширить область своей деятельности, путем использования простого и понятного набора
требований для оценки надежности и безопасности ИС.
В стандарте SysTrust ИС оценивается в терминах ее доступности (Availability), безопасности (Security), целостности (Integrity) и
эксплуатационной надежности (Maintainability).
Под доступностью традиционно понимается возможность ИС предоставлять информационные сервисы в любых режимах
функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатации, с задержками, не превышающими
установленные требования.
Под безопасностью понимается защищенность ИС от физического и логического несанкционированного доступа. В качестве
средств обеспечения безопасности в основном рассматриваются средства разграничения физического и логического доступа к
ресурсам ИС.
Под целостностью понимается возможность ИС обеспечить сохранение таких свойств обрабатываемой в системе
информации как полнота, точность, актуальность, своевременность и аутентичность.
22
Эксплуатационная надежность ИС определяется возможностью изменения конфигурации и обновления системы для
обеспечения таких ее свойств как доступность, безопасность и целостность.
Критерии для оценки описанных четырех свойств ИС определены в документе «AICPA/CICA SysTrust Principles and Criteria for
Systems Re!iability; Version 2.0» (Принципы и критерии для оценки надежности систем).
В ходе сертификации по требованиям стандарта SysTrust (SysTrust engagement) аудитор оценивает соответствие ИС
критериям доступности, безопасности, целостности и эксплуатационной надежности (SysTrust Principles and Criteria), проверяя
наличие в системе необходимых механизмов контроля. Затем аудитор производит тестирование механизмов контроля с целью
определения их работоспособности и эффективности. Если в результате тестирования подтверждается соответствие ИС критериям
SysTrust, аудитор выпускает отчет по аттестации (unqualified attestation report). В отчете формулируется выводы относительно
полноты и эффективности реализации руководством организации механизмов контроля в аттестуемой ИС. В дополнение к отчету по
аттестации, аудитор готовит общее описание обследуемой ИС. Во многих случаях также готовится утверждение руководства
организации (management's assertion) относительно эффективности механизмов контроля, позволяющих обеспечить соответствие ИС
критериям SysTrust. Обследование ИС и оценка ее соответствия критериям SysTrust производится в соответствии с «Руководством
по Проведению Аттестации» ("Statement on Standards for Attestation Engagements (SSAE) No. 10, Attestation Standards, AT sec. 101
"Attest Engagements"".)
BSI\!T BASELINE PROTECTION MANUAL
Немецкий стандарт "Руководство по обеспечению безопасности ИТ базового уровня" (IT Baseline Protection Manual)
разрабатывается Агенством Информационной Безопасность Германии (BSI - Bundesamt fur Sicherheit in der Informationstechnik
(German Information Security Agency).
Этот документ является пожалуй самым содержательным руководством по информационной безопасности и по многим
параметрам превосходит все остальные стандарты. Приятен также тот факт, что этот ценнейший для аудитора источник информации
имеется в свободном доступе в сети Интернет. В нем содержаться подробные руководства по обеспечению информационной
безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.
Стандарт в настоящее время занимает три тома и содержит около 1600 страниц текста.
«BSI\IT Baseline Protection Manual» постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию
дел в области безопасности ИТ. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и
контрмерам в хорошо структурированном виде.
ПРАКТИЧЕСКИЕ СТАНДАРТЫ SCORE И ПРОГРАММА СЕРТИФИКАЦИИ
SANS/GIAC SITE CERTIFICATION
SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра
безопасности Интернет (Center for Internet Security(CIS)). Профессионалы-практики в области информационной безопасности из
различных организаций объединились в рамках проекта SCORE с целью разработки базового (минимально необходимого) набора
практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и
рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и
только после их одобрения всеми участниками, передаются в CIS, который занимается их формализацией и оформлением, а также
разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ
предложенным стандартам.
Разработанные базовые стандарты вместе с руководствами по обеспечению соответствия этим стандартам и средствами
тестирования публикуются на Интернет сайте CIS.
Программа сертификации Интернет сайтов (GIAC Site Certification program), предложенная институтом SANS, позволяет
организациям проводить аудит безопасности сегментов компьютерной сети, непосредственно подключенных к сети Интернет, в
соответствии со стандартами SCORE.
Программа сертификации «GiAC Site Certification» определяет три уровня защищенности Интернет сайтов. На практике, в
настоящее время, используются только первые два из них.
Сертификация сайта на первом уровне предполагает проверку внешних сетевых адресов организации, видимых из сети
Интернет, на предмет уязвимости соответствующих хостов в отношении сетевых атак. На этом уровне должна быть обеспечена
защита сайта от наиболее распространенных атак. Требуется отсутствие наиболее серьезных и часто встречающихся уязвимостей
защиты. Предъявляются также определенные требования к уровню квалификации специалистов, отвечающих за обеспечение
безопасности сайта.
На втором уровне требуется проведение всех проверок и соблюдение всех требований первого уровня, а кроме того требуется
осуществлять периодический пересмотр политики и процедур обеспечения сетевой безопасности. Также на втором уровне
производится проверка защищенности сайта от сетевых атак путем осуществления попыток проникновения и взлома систем,
подключенных к сети Интернет.
На третьим уровне, помимо обеспечения соответствия всем требованиям второго уровня, требуется также регулярно
проводить сканирование сети изнутри с целью защиты от угроз со стороны внутренних нарушителей, а также внешних
злоумышленников, пытающихся преодолеть механизмы защиты внешнего периметра сети путем использования продвинутых
методов, включая методы социального инжиниринга.
От уровня к уровню ужесточаются требования, предъявляемые к квалификации специалистов, организационной структуре
подразделений, занимающихся вопросами защиты, наличию формальных политик и процедур, а также строгости и глубине тестов,
используемых для проверки механизмов защиты Интернет-сайта организации.
4.12. ВЫВОДЫ
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации, проводимую по
инициативе ее руководства или акционеров, либо в соответствии с планом проведения внутреннего аудита. Основными целями
проведения аудита безопасности являются:
 анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
 оценка текущего уровня защищенности ИС;
 локализация узких мест в системе защиты ИС;
 оценка соответствия ИС существующим стандартам в области информационной безопасности;
 выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов:
1. Инициирование обследования
2. Сбор информации
23
Анализ полученных данных
Выработка рекомендаций
Подготовка отчета по результатам обследования
Подходы к проведению аудита безопасности могут базироваться на анализе рисков, опираться на использование стандартов
информационной безопасности, либо объединять оба эти подхода.
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их
программных средств. Некоторые из них были рассмотрены в настоящем разделе.
Одним из наиболее мощных и универсальных инструментов, анализа рисков является метод CRAMM. Программное
обеспечение CRAMM, помимо анализа и управления рисками, позволяет решать также и ряд других аудиторских задач, включая:
 Проведение обследования ИС и выпуск сопроводительной документации на всех этапах проведения обследования;
 Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of
Practice for Information Security Management BS7799;
 Разработка политики безопасности и плана обеспечения непрерывности бизнеса.
Грамотное использование метода CRAMM позволяет получать хорошие результаты, наиболее важным из которых, пожалуй,
является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и
непрерывности бизнеса.
Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие
обследуемой ИС требованиям признанного международного стандарта. В настоящем разделе рассмотрено несколько стандартов и
программ сертификации, имеющих практическое значение.
Международные стандарты ISO17799 и ISO15408 служат основой для проведения любых работ в области информационной
безопасности, в том числе и аудита. IS017799 сосредоточен на вопросах организации и управления безопасностью, в то время как
IS015408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.
Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими компаниями, традиционно
выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому
аудиту.
Немецкий стандарт «BSI\IT Baseline Protection Manual» является наиболее содержательным руководством по обеспечению
безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами
информационной безопасности.
Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта
SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными.
Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация
«SANS/G1AC Site Certification», совсем недавно предложенная институтом SANS, безусловно, заслуживает внимания в связи с
неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли
соответствующих работ при проведении аудита безопасности.
3.
4.
5.
5. СОЦИАЛЬНЫЙ ИНЖИНИРИНГ: МЕТОДЫ АТАК И СПОСОБЫ ЗАЩИТЫ.
В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют.
Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким
звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники"
неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры,
пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social
engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный
инжиниринг") и являются темой данного раздела.
5.1. ПРИМЕРЫ ПРИМЕНЕНИЯ СОЦИАЛЬНОГО ИНЖИНИРИНГА
Случай первый.
В разгар рабочего дня в операционном зале банка раздается звонок.
Молодая операционистка поднимает трубку телефона и слышит мужской голос:
 С вами говорит администоатор сети, Иван. Как вас зовут?
 Оля!..
 Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла
бы назвать мне свой пароль?
 А мне говорили, что чужим нельзя называть свой пароль.
 Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник – Петр Петрович Петров. Я хочу всю
работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же
твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты
согласна?
 Да, согласна.
 Тогда назови свой пароль и все будет ОК.
 Мой пароль olja.
 ОК. Спасибо за помощь.
Случай второй.
Пользователи получают письмо от имени службы технической поддержки своего internet-провайдера со следующим текстом:
"Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки
сервера mail.domain.ru, В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим
срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый
ящик будет в полной безопасности. Надеемся на Ваше понимание и содействие, С уважением, служба технической поддержки
сервера mail.domain.ru"
НЕМНОГО СТАТИСТИКИ
"Описанные выше два случая – это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не
правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни".
По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами
электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем – рассылка
электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на
24
массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек
были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future
Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными
эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек.
5.2. КАК КОРПОРАТИВНАЯ СИСТЕМА ЭЛЕКТРОННОЙ ПОЧТЫ БЫЛА ИСПОЛЬЗОВАНА ДЛЯ РАСПРОСТРАНЕНИЯ
ТРОЯНСКОГО КОНЯ (ЕЩЕ ОДИН ПРИМЕР СОЦИАЛЬНОГО ИНЖИНИРИНГА)
Введение
В этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за
свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования.
Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения
увеличил свою заработную плату.
Предыстория атаки
Сотрудник сервис-центра в другой фирме, работающей в области шоу-бизнеса, постоянно предпринимал попытки получить
должность в этой компании. Он несколько раз пытался устроиться на работу в данной компании и для этого даже встречался с
руководителями компании, несмотря на то, что это мешало их работе, чтобы произвести на них впечатление и показать, как он хочет
работать в их компании.
После нескольких попыток он был назначен на должность сотрудника сервис-центра. Согласно его сослуживцам, он был
великолепным исполнителем и очень компетентным специалистом. Расследование установило, что он в ходе своей работы старался
получить доступ ко всем рабочим станциям и серверам, использующимся в компании, включая информационные системы отдела
кадров, бухгалтерии и другие критические системы. Специфика его работы привела к тому, что пользователи сами предоставили ему
информацию о всех именах и паролях, необходимую для доступа ко всем системам, к которым они сами имели доступ, чтобы помочь
ему оказать пользователям помощь в работах, выполняемых на их компьютерах. Вскоре этот сотрудник имел доступ практически ко
всем аккаунтам пользователей и ко всем системам в организации.
Одним из средств организации взаимодействия между сотрудниками в компании был специальный почтовый адрес на
почтовом сервере, который позволял тому, кто знал его, сразу послать сообщение большому числу пользователей во всей
организации. Это было сделано путем разрешения пользователям доступа к адресному справочнику, встроенному в почтовую
систему, и предоставления им возможности обновлять его без каких-либо ограничений, а также использованием специального
идентификатора пользователя в этом адресном справочнике как широковещательного адреса. Если пользователь мог загрузить к
себе на машину адресный справочник с почтового сервера, то он мог послать письмо любому пользователю, адрес которого был
указан в этом справочнике, а также широковещательное письмо всем пользователям сразу. При этом ему не нужно было обладать
какими-то особенными техническими знаниями.
Что произошло...
При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы
сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была
произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии,
который проверял системный журнал.
Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел
доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел.
Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он
мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи
системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен.
Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в
виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что
компания свяжется с правоохранительными органами, и вывели из здания под конвоем.
Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который, вроде бы, принадлежал
промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить
конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками
компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента
компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.
На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу,
которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный
ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более
450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и
говорить, что почти нигде данные на жестких дисках не имели резервных копий.
Расследование и его результаты
Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на С,
которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего
жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.
Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник,
требовалось провести ряд оперативных действий:
 Следователь связался с Интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо,
чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный
первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался
и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула
провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил
пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона
подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888, ведется журнал, в котором
фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США).
 Изучение журналов почтового сервера у Интернет-провайдера показало, что дата-время отправки письма, вызвавшего
уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера.
 Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением,
содержащим троянского коня.
25
Анализ журналов почтового сервера компании показал, что в интересующее время получались письма от почтового сервера
провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем
действительно передавалось между почтовым сервером провайдера и почтовым сервером компании.
 С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их
отправителей. Эта информация согласовывалась с информацией от провайдера и информацией от внутреннего почтового сервера.
 Анализ журналов телефонных звонков в компанию с помощью средств протоколирования, встроенных в офисную АТС,
показал, что подозреваемый регулярно звонил в компанию нескольким сотрудникам. Было установлено, что почти сразу же после
отправки троянского коня подозреваемый звонил нескольким людям и разговаривал с ними от 1 до 15 минут. Собеседование с этими
людьми установило, что звонивший задавал им конкретные вопросы о троянском коне, как будто бы он уже слышал о случившемся с
ними несчастье, но не мог понять, как этот троянский конь мог попасть к ним в компанию.
Так как в результате этой атаки пострадали сотрудники компании, как в конкретном штате США, так и за его пределами (из-за
того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники
федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие
исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по
нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы.
Решение проблемы
Для предотвращения подобных атак в будущем были предприняты следующие меры:
 Был обновлен межсетевой экран, и в нем была установлена последняя версия программного обеспечения, позволяющего
сканировать приложения к письмам на вирусы и известных троянских коней. Кроме того, любые приложения, имеющие размер
больше определенного, удалялись, а вместо них в письмо включалось сообщение об этом.
 Был разработан ряд политик безопасности и инструкций, которые были доведены до пользователей, чтобы они знали, как
себя вести в случае повторения подобных ситуаций.
 Стали регулярно проверяться журналы телефонных звонков на специфические виды звонков и разговоры сотрудников с
уволенными сотрудниками, которых уволили не по их собственному желанию, вскоре после их увольнения.
 При увольнении сотрудников с ними стали проводиться собеседования с целью определения списка машин, к которым они
имели доступ, и уровня этого доступа, чтобы системные администраторы сразу же узнали об увольнении сотрудников и тут же
удалили их аккаунты со всех этих машин.
 Были обновлены программы на почтовом сервере компании. В новой версии добавлена возможность сканирования писем на
определенные слова, чтобы своевременно выявить потенциально опасные письма до того, как они будут получены пользователями.
 Во всех критических системах компании (в том числе и в бухгалтерской системе) стало проводиться регулярное аудирование
их использования, и в них были добавлены программы, которые отслеживают все изменения в контролируемых ими базах данных.
 Стало обращаться должное внимание на создание архивных копий данных пользователей, и было предложено
пользователям хранить свои критические файлы на серверах, которые стали регулярно архивироваться системными
администраторами.
Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше
прежнего уровня, и являются достаточными для противодействия соответствующим угрозам.
Заключение
Даже так называемые внешние атаки могут быть организованы при помощи информации о внутреннем устройстве сети.
Описанная выше атака не могла быть осуществлена без знания специфической внутренней информации, которая позволила
атакующему максимально распространить троянского коня, вызвавшего разрушения. Хотя с технической точки зрения эта атака
является внешней, на самом деле она была организована извне на основе внутренней информации.
5.3. ОСНОВНЫЕ ПРИЧИНЫ РЕАЛИЗАЦИИ УГРОЗ СОЦИАЛЬНОГО ИНЖИНИРИНГА
Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои
поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что
влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с
ее азами всего лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего
использовать социальный инжиниринг в своей противоправной деятельности.
При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами,
не так уж и много. Перечислю их:
 Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни
разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа
и боязни сделать что-то не так.
 Любопытство. Помните детскую игру? Вам давали свернутую -"раскладушкой" полоску бумаги, на которой было написано
"разверни". Вы послушно разворачивали "раскладушку" и в конце бумажки видели фразу "а теперь заверни обратно". Более взрослая,
но безопасная шутка заключалась в посылке другу ссылки: http://sky.chph.ras.ru/--foxy/cl.html. нажав на которую вам приходилось в
течение долгого времени нажимать на кнопку ОК в появляющихся в браузере окнах. Закрыть браузер стандартными средствами
становится невозможным. Приходится "убивать" процесс, что может сказаться на работоспособности других приложений. Более
опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими
сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как
обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к internet и к почтовому ящику, то узнав
один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы.
Допустим, что я вам категорически не рекомендую заходить на страницу http://chatcenter.virtuaiave.net/delwin, потому что это очень
опасно. Особенно, если вы используете браузер internet Explorer, Сможете ли вы удержаться от того, чтобы не посмотреть, что
находится по этому адресу?
 Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей
зловредной деятельности. Проиллюстрирую его на реальном примере. На фирме работал сотрудник, на которого пало подозрение,
что он ведет нечестную игру. И действительно, найдя в Internet его резюме, было составлено письмо от имени потенциального
работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен ему задали несколько
завуалированных вопросов о корпоративной сети фирмы, ее системе защиты и ряд других, не менее важных вопросов.
Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их. После получения
доказательств руководством фирмы были сделаны соответствующие оргвыводы.
 Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы
счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте,
26
что к вам подошел "крутой" специалист, "кидающий пальцы" по какому-либо техническому вопросу. Вы, желая показать свое
превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете
выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, "Судьба
резидента"), он вполне может быть применен и в обычной жизни.
 Великодушие и жалость. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны
жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомплекс является одним из самых
опасных - на него "ведутся" даже профессионалы) и, протягивая дискету, попросить помочь, ей распечатать какой-то файл. Вы, по
простоте душевной, вставляете эту дискету в свой компьютер и... получаете целый набор троянских коней, которые, активизируясь,
начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.
 Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот
психокомплекс использовался при организации пирамид "МММ", "Русский Дом Селенга" и т.д. И он же с успехом может применяться в
IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании
Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив
корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили
данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Ernulex упал на 61% (со $113 до
$43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к
нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.
5.4. МЕТОДИКА ЗАЩИТЫ ОТ СОЦИАЛЬНОГО ИНЖИНИРИНГА
Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что
злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души.
Поэтому единственный способ противодействовать злоумышленникам – постоянная и правильная работа с человеческим
фактором.
Если вы – сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто
обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами
самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которых
стало в последнее время появляться все больше. Форма обучения может быть разная – начиная от теоретических занятий и
обычных практикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения
обычные пользователи, не занимающиеся вопросами информационной безопасности в рамках своей основной работы,
должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями
политики безопасности организации и т.д.):

Как идентифицировать подозрительные действия и куда сообщать о них?

Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников?
Ни в коем случае нельзя забывать о внутренних угрозах – ведь по статистике основное число инцидентов безопасности
происходит именно изнутри организации.

Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?
Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть internet из дома, в
своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то
домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за
курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже
сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас
ничем не уступают дорогостоящему обучению (в части информативности).
Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо
оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру
защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких
знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с
минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить
уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно, с привлечением
сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая
программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых
сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно
быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты
функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации.
Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действии,
связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по
повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также
устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные
тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Это
позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на
регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.
6. ВЫРАБОТКА ОФИЦИАЛЬНОЙ ПОЛИТИКИ ПРЕДПРИЯТИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.1. ОРГАНИЗАЦИОННЫЕ ВОПРОСЫ
Целью разработки официальной политики предприятия в области информационной безопасности является
определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных
ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы
достичь данной цели, следует учесть специфику конкретной организации.
Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, на
военной базе и в университете существенно отличающиеся требования к конфиденциальности.
Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами,
относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке
политики.
В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует
рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере изза действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.
27
КТО ДЕЛАЕТ ПОЛИТИКУ?
Политика безопасности должна стать результатом совместной деятельности технического персонала, способного
понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь.
Нереализуемая или неподдерживаемая политика бесполезна.
Поскольку политика безопасности, так или иначе, затрагивает всех сотрудников организации, следует позаботиться о
том, чтобы у Вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например, группе
технического обслуживания) может быть поручено проведение политики в жизнь, возможно, нужна группа более высокого
ранга для поддержки и одобрения политики.
КОГО ЗАТРАГИВАЕТ ПОЛИТИКА?
Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по
нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные
администраторы обязаны ликвидировать слабые места в защите и надзирать за работой всех систем.
Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков.
Возможно, на предприятии уже есть группа информационной безопасности; естественно, люди из этой группы считают
безопасность своей вотчиной. Следует привлечь также специалистов по аудиту и управлению, по физической безопасности,
по информационным системам и т.п. Тем самым будет подготовлена почва для одобрения политики.
РАСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ
Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима
безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для каждого вида проблем
существует ответственное лицо.
В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне
каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета.
Пользователь, допустивший компрометацию своего счета, увеличивает вероятность компрометации других счетов и
ресурсов.
Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту
компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.
6.2. ОЦЕНКА РИСКОВ ОБЩИЕ ПОЛОЖЕНИЯ
Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что
деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным,
но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о
хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации
ущерб от внутренних, "штатных" злоумышленников значительно больше.
Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать.
Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот
процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать
стоимости защищаемого объекта.
В следующих пунктах будут затронуты два этапа процесса анализа рисков:

идентификация активов;

идентификация угроз.
Главной целью деятельности в области информационной безопасности является обеспечение доступности,
конфиденциальности и целостности каждого актива. При анализе угроз следует принимать во внимание их воздействие на
активы по трем названным направлениям.
ИДЕНТИФИКАЦИЯ АКТИВОВ
Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы
(например, аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих
информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений
режима безопасности.
Предлагается следующая классификация активов:

Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры,
дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы.

Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы,
операционные системы, коммуникационные программы.

Данные: обрабатываемые, непосредственно доступные, архивированные, cохраненные в виде резервной копии,
регистрационные журналы, базы данных, передаваемые по коммуникационным линиям.

Люди: пользователи, обслуживающий персонал.

Документация: по программам, по аппаратуре, системная, по административным процедурам.

Расходные материалы: бумага, формы, красящая лента, магнитные носители.
ИДЕНТИФИКАЦИЯ УГРОЗ
После того, как выявлены активы, нуждающиеся в защите, необходимо идентифицировать угрозы этим активам и
размеры возможного ущерба. Это поможет понять, каких угроз следует опасаться больше всего.
В следующих пунктах перечисляются некоторые из возможных угроз.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
Несанкционированный доступ к компьютерным ресурсам — угроза, типичная для большинства организаций.
Несанкционированный доступ может принимать различные формы. Иногда это нелегальное использование счета другого
пользователя для получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного
разрешения.
Степень важности проблемы несанкционированного доступа для разных организаций разная. Порой передача прав
доступа неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный
доступ облегчает исполнение других угроз. Разнится и вероятность нападения: некоторые организации (известные
университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск
несанкционированного доступа меняется от предприятия к предприятию.
НЕЛЕГАЛЬНОЕ ОЗНАКОМЛЕНИЕ С ИНФОРМАЦИЕЙ
28
Нелегальное ознакомление с информацией — другая распространенная угроза. Определите степень
конфиденциальности информации, хранящейся в Ваших компьютерах. Расшифровка файла паролей откроет дорогу
несанкционированному доступу. Мимолетный взгляд на Ваше коммерческое предложение может дать конкуренту решающее
преимущество. Техническая статья способна вместить в себя годы напряженных исследований.
ОТКАЗ В ОБСЛУЖИВАНИИ
Компьютеры и сети предоставляют своим пользователям множество ценных услуг, от которых зависит эффективная
работа многих людей. Когда услуги вдруг становятся недоступными, страдает производительность труда.
Отказ в обслуживании возникает по разным причинам и проявляется по-разному. Сеть может прийти в
неработоспособное состояние от поддельного пакета, от перегрузки или по причине отказа компонента. Вирус способен
замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор
необходимых сервисов и для каждого из них проанализировать последствия его недоступности.
6.3. ПОЛИТИЧЕСКИЕ ВОПРОСЫ
При разработке политики безопасности необходимо дать ответы на ряд вопросов, а именно:

Кто имеет право использовать ресурсы?

Как правильно использовать ресурсы?

Кто наделен правом давать привилегии и разрешать использование?

Кто может иметь административные привилегии?

Каковы права и обязанности пользователей?

Каковы права и обязанности системных администраторов по отношению к обычным пользователям?

Как работать с конфиденциальной информацией?
Ниже мы обсудим эти вопросы.
КТО ИМЕЕТ ПРАВО ИСПОЛЬЗОВАТЬ РЕСУРСЫ?
Одним из шагов в разработке политики безопасности является определение того, кто может использовать Ваши
системы и сервисы. Должно быть явно сказано, кому дается право использовать те или иные ресурсы.
КАК ПРАВИЛЬНО ИСПОЛЬЗОВАТЬ РЕСУРСЫ?
После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и
неправильные способы использования ресурсов. Для разных категорий пользователей (студентов, внешних пользователей,
штатных сотрудников и т.д.) эти способы могут различаться, Должно быть явно сказано, что допустимо, а что — нет. Могут
быть описаны также ограничения на использование определенных ресурсов. При этом Вам придется специфицировать уровни
доступа разных групп пользователей.
Пользователи должны знать, что они несут ответственность за свои действия независимо от применяемых защитных
средств и что использовать чужие счета и обходить механизмы безопасности запрещено.
Для регламентации доступа к ресурсам нужно дать ответы на следующие вопросы:

Разрешается ли использование чужих счетов?

Разрешается ли отгадывать чужие пароли?

Разрешается ли разрушать сервисы?

Должны ли пользователи предполагать, что если файл доступен всем на чтение, то они имеют право его читать?

Имеют ли право пользователи модифицировать чужие файлы, если по каким-либо причинам у них есть доступ на
запись?

Должны ли пользователи разделять счета?
В большинстве случаев ответы на подобные вопросы будут отрицательными.
В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное
соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо
приложить некоторые усилия. Кроме того, Вы, возможно, захотите проинформировать пользователей, что присваивать
защищенное авторскими правами программное обеспечение запрещено законом.
Более точно, Вы должны довести до сведения пользователей, что:

Копировать авторское и лицензионное программное обеспечение запрещено, за исключением явно оговоренных
случаев.

Они всегда могут узнать авторский/лицензионный статус программного обеспечения.

В случае сомнений копировать не следует.
Политика в области правильного использования ресурсов очень важна. Если явно не сказано, что запрещено, Вы не
сможете доказать, что пользователь нарушил политику безопасности.
Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются
"расколоть" защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные
исследования в Вашей организации, и каковы могут быть их рамки.
Применительно к исключительным случаям следует дать ответы на такие вопросы:

Разрешены ли вообще подобные исследования?

Что именно разрешено: попытки проникновения, выращивание червей и вирусов и т.п.?

Какие регуляторы должны использоваться для контроля за подобными исследованиями (например, их изоляция в
рамках отдельного сегмента сети)?

Как защищены пользователи (в том числе внешние) от подобных исследований?

Как получать разрешение на проведение исследований?
В случае, когда получено разрешение на исследование, следует изолировать тестируемые сегменты от основной сети
предприятия. Черви и вирусы не должны выпускаться в "живую" сеть.
КТО НАДЕЛЕН ПРАВОМ ДАВАТЬ ПРИВИЛЕГИИ И РАЗРЕШАТЬ ИСПОЛЬЗОВАНИЕ?
Политика безопасности должна давать ответ на вопрос, кто распоряжается правами доступа к сервисам. Кроме того,
необходимо точно знать, какие именно права им позволено распределять. Если Вы не управляете процессом наделения
правами доступа к Вашей системе, Вы не контролируете и круг пользователей. Если Вы знаете, кто отвечает за
распределение прав, Вы всегда сможете узнать, давались ли определенные права конкретному пользователю, или он
получил их нелегально.
Существует много возможных схем управления распределением прав доступа к сервисам.
При выборе подходящей целесообразно принять во внимание следующие моменты:

Будут ли права доступа распределяться централизованно или из нескольких мест?
29
Можно установить единый распределительный пункт или передать соответствующие права подразделениям и отделам.
Все зависит от того, какое соотношение между безопасностью и удобством Вы считаете допустимым. Чем сильнее
централизация, тем проще поддерживать режим безопасности.

Какие методы предполагается использовать для заведения счетов и запрещения доступа?
Вы должны проверить механизм заведения счетов с точки зрения безопасности. В наименее ограничительном режиме
уполномоченные лица непосредственно входят в систему и заводят счета вручную или с помощью утилит. Обычно подобные
утилиты предполагают высокую степень доверия к использующим их лицам, которые получают значительные полномочия.
Если Вы останавливаете свой выбор на таком режиме, Вам необходимо найти достаточно надежного человека. Другой
крайностью является применение интегрированной системы, которую запускают уполномоченные лица или даже сами
пользователи. В любом случае, однако, остается возможность злоупотреблений.
Следует разработать и тщательно документировать специальные процедуры заведения новых счетов, чтобы избежать
недоразумений и уменьшить число ошибок. Нарушение безопасности при заведении счетов возможно не только по злому
умыслу, но и в результате ошибок. Наличие ясных и хорошо документированных процедур внушает уверенность, что
подобные ошибки не случатся. Кроме того, необходимо удостовериться, что люди, исполняющие процедуры, понимают их.
Наделение пользователей правами доступа — одна из самых уязвимых процедур. Прежде всего, следует позаботиться,
чтобы начальный пароль не был легко угадываемым. Целесообразно избегать использования начальных паролей,
являющихся функцией от имени пользователя или его полного имени. Не стоит автоматически генерировать начальные
пароли, если результат генерации легко предсказуем. Далее, нельзя разрешать пользователям до бесконечности полагаться
на начальный пароль. По возможности следует принуждать пользователей менять начальный пароль при первом входе в
систему. Правда, даже такая мера бессильна против людей, которые вообще не пользуются своим счетом, сохраняя до
бесконечности уязвимый начальный пароль. В некоторых организациях неиспользуемые счета уничтожают, заставляя их
владельцев повторно проходить процедуру регистрации.
КТО МОЖЕТ ИМЕТЬ АДМИНИСТРАТИВНЫЕ ПРИВИЛЕГИИ?
Одно из решений, которое должно быть тщательно взвешено, относится к выбору лиц, имеющих доступ к
административным привилегиям и паролям для Ваших сервисов. Очевидно, подобный доступ должны иметь системные
администраторы, но неизбежны ситуации, когда за привилегиями будут обращаться другие пользователи, что следует с
самого начала предусмотреть в политике безопасности. Ограничение прав — один из способов защититься от угроз со
стороны своих пользователей. Необходим, однако, сбалансированный подход, когда ограничение прав не мешает людям
делать свое дело. Разумнее всего давать пользователям ровно те права, которые нужны им для выполнения своих
обязанностей.
Далее, сотрудники, имеющие специальные привилегии, должны быть подотчетны некоторому должностному лицу, и это
также необходимо отразить в политике безопасности предприятия. Если "привилегированные" люди перестают быть
подотчетными, Вы рискуете потерять контроль над своей системой и лишиться возможности расследовать случаи нарушения
режима безопасности.
КАКОВЫ ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ?
Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к
использованию компьютерных систем и сервисов предприятия. Должно быть явно оговорено, что пользователи обязаны
понимать и выполнять правила безопасной эксплуатации систем.
Ниже приведен перечень тем, которые целесообразно осветить в данном разделе политики безопасности:

Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы, и каковы они?

Что является злоупотреблением с точки зрения производительности системы?

Разрешается ли пользователям совместное использование счетов?

Как "секретные" пользователи должны охранять свои пароли?

Как часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?

Как обеспечивается резервное копирование — централизованно или индивидуально?

Как реагировать на случаи просмотра конфиденциальной информации?

Как соблюдается конфиденциальность почты?

Какова политика в отношении неправильно адресованной почты или отправлений по спискам рассылки или в адрес
дискуссионных групп (непристойности, приставания и т.п.)?

Какова политика по вопросам электронных коммуникаций (подделка почты и т.п.)?
Ассоциация электронной почты (The Electronic Mail Association, EMA) подготовила статью о конфиденциальности
электронной почты в организациях.
Основное положение статьи состоит в том, что каждая организация должна разработать политику защиты права
сотрудников на тайну, Рекомендуется, чтобы эта политика охватывала все возможные среды, а не только электронную почту.
Предлагается пять критериев оценки подобной политики:

Согласуется ли политика с существующим законодательством и с обязанностями по отношению к третьим сторонам?

Не ущемляются ли без нужды интересы работников, работодателей или третьих сторон?

Реалистична ли политика и вероятно ли ее проведение в жизнь?

Затрагивает ли политика все виды передачи и хранения информации, используемые в организации?

Объявлена ли политика заранее и получила ли она одобрение всех заинтересованных сторон?
КАКОВЫ ПРАВА И ОБЯЗАННОСТИ СИСТЕМНЫХ АДМИНИСТРАТОРОВ ПО ОТНОШЕНИЮ К ОБЫЧНЫМ
ПОЛЬЗОВАТЕЛЯМ?
Должен соблюдаться баланс между правом пользователей на тайну и обязанностью системного администратора
собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности.
Политика должна определять границы, в пределах которых системный администратор вправе исследовать пользовательские
файлы с целью разрешения проблем и для иных нужд, и каковы права пользователей. Можно также сформулировать
положение относительно обязанности администраторов соблюдать конфиденциальность информации, полученной при
оговоренных выше обстоятельствах. Политика должна содержать ответы на несколько вопросов:

Может ли администратор отслеживать или читать пользовательские файлы при каких-либо обстоятельствах?

Какие обязательства администратор при этом берет на себя?

Имеют ли право сетевые администраторы исследовать сетевой трафик?
КАК РАБОТАТЬ С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ?
Прежде чем предоставлять пользователям доступ к Вашим сервисам, следует определить, каков уровень защиты
данных на Вашей системе. Тем самым Вы сможете определить уровень конфиденциальности информации, которую
30
пользователи могут у Вас размещать. Наверное, Вы не хотите, чтобы пользователи хранили секретные сведения на
компьютерах, которые Вы не собираетесь как следует защищать. Следует сообщить пользователям, какие сервисы (при
наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы
хранения данных (на диске, ленте, файловом сервере и т.д.). Этот аспект политики должен быть согласован с правами
системных администраторов по отношению к обычным пользователям (см. Разд. Каковы права и обязанности системных
администраторов по отношению к обычным пользователям?).
6.4. ЧТО ДЕЛАТЬ, КОГДА ПОЛИТИКУ БЕЗОПАСНОСТИ НАРУШАЮТ
Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности,
время от времени нарушается. Нарушение может явиться следствием пользовательской небрежности, случайной ошибки,
отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц
сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.
Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики,
чтобы эти действия были быстрыми и правильными. Следует организовать расследование, чтобы понять, как и почему
нарушение стало возможным. После этого нужно внести коррективы в систему защиты. Тип и серьезность корректив зависят
от типа случившегося нарушения.
ВЫРАБОТКА ОТВЕТА НА НАРУШЕНИЕ ПОЛИТИКИ
Политику безопасности могут нарушать самые разные лица. Некоторые из них являются своими, местными
пользователями, другие нападают извне. Полезно определить сами понятия "свои" и "чужие", исходя из административных,
правовых или политических положений. Эти положения очерчивают характер санкций, которые можно применить к
нарушителю — от письменного выговора до привлечения к суду. Таким образом, последовательность ответных действий
зависит не только от типа нарушения, но и от вида нарушителя; она должна быть продумана задолго до первого инцидента,
хотя это и непросто.
Следует помнить, что правильно организованное обучение — лучшая защита. Вы обязаны поставить дело так, чтобы
не только внутренние, но и внешние легальные пользователи знали положения Вашей политики безопасности. Если Вы
будете располагать свидетельством подобного знания, это поможет Вам в будущих правовых акциях, когда таковые
понадобятся.
Проблемы с нелегальными пользователями, в общем, те же. Нужно получить ответы на вопросы о том, какие типы
пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования Вы можете
просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более крутые меры.
ЧТО ДЕЛАТЬ, КОГДА МЕСТНЫЕ ПОЛЬЗОВАТЕЛИ НАРУШАЮТ ПОЛИТИКУ БЕЗОПАСНОСТИ СТОРОННЕЙ
ОРГАНИЗАЦИИ
Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным
пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите
от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические
положения, применимые к подобным ситуациям.
6.5. СПЕЦИФИКАЦИЯ КОНТАКТОВ С ВНЕШНИМИ ОРГАНИЗАЦИЯМИ И ОПРЕДЕЛЕНИЕ ОТВЕТСТВЕННЫХ
Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в
число которых входят правоохранительные органы, другие организации, команды "быстрого реагирования", средства
массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты, и как именно они
совершаются. Среди прочих, нужно дать ответы на следующие вопросы:

Кто может разговаривать с прессой?

Когда следует обращаться в правоохранительные органы?

Если соединение выполняется из сторонней организации, имеет ли право системный администратор обратиться в эту
организацию?

Какого рода сведения об инцидентах могут выходить за пределы организации?
Детальная информация по контактам должна быть постоянно доступна вместе с ясно определенными процедурами
отработки этих контактов.
КАКОВЫ ОБЯЗАННОСТИ ПО ОТНОШЕНИЮ К СОСЕДЯМ И ДРУГИМ ПОЛЬЗОВАТЕЛЯМ ИНТЕРНЕТ?
Рабочая группа по политике безопасности (Security Policy Working Group, SPWG) сообщества Интернет опубликовала
документ под названием "Основы политики для безопасной работы в Интернет". В нем Интернет трактуется как совместное
предприятие, в котором пользователи должны помогать друг другу в поддержании режима безопасности. Это положение
следует учитывать при разработке политики предприятия. Главный вопрос состоит в том, какой информацией можно делиться
с соседями. Ответ зависит как от типа организации (военная, учебная, коммерческая и т.д.), так и от характера случившегося
нарушения.
6.6. ПРОЦЕДУРНЫЕ ВОПРОСЫ РЕАГИРОВАНИЯ НА НАРУШЕНИЯ
Помимо политических положений, необходимо продумать и написать процедуры, исполняемые в случае обнаружения
нарушений режима безопасности. Данный вопрос подробно рассматривается в следующей главе. Для всех видов нарушений
должны быть заготовлены соответствующие процедуры.
ПРЕСЕКАТЬ ИЛИ СЛЕДИТЬ?
Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия
ответных действий может строиться под влиянием двух противоположных подходов.
Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию "защититься и продолжить".
Главной целью подобного подхода является защита информационных ресурсов и максимально быстрое восстановление
нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ
предотвращается, после чего немедленно начинается процесс оценки нанесенных повреждений и восстановления данных.
Возможно, при этом придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры.
Оборотная сторона данной медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или
другую организацию прежним или новым способом.
Другой подход, "выследить и осудить", опирается на иные философию и систему целей. Основная цель состоит в том,
чтобы позволить злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой
подход нравится правоохранительным органам. К сожалению, эти органы не смогут освободить организацию от
ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.
31
Судебное преследование — не единственный возможный исход установления личности нарушителя. Если виновным
оказался штатный сотрудник или студент, организация может предпочесть дисциплинарные меры. В политике безопасности
должны быть перечислены допустимые варианты наказания и критерии выбора одного или нескольких из них в зависимости
от личности виновного.
Руководство организации должно заранее тщательно взвесить различные возможности при выборе стратегии ответных
действий. В принципе стратегия может зависеть от конкретных обстоятельств нападения. Возможен и выбор единой стратегии
на все случаи жизни. Нужно принять во внимание все за и против и проинформировать пользователей о принятом решении,
чтобы они в любом случае осознавали степень своей уязвимости.
Следующий контрольный перечень помогает сделать выбор между стратегиями "защититься и продолжить" и
"выследить и осудить".
При каких обстоятельствах предпочесть стратегию "защититься и продолжить":
1. Активы организации недостаточно защищены.
2. Продолжающееся вторжение сопряжено с большим финансовым риском.
3. Нет возможности или намерения осудить злоумышленника.
4. Неизвестен круг пользователей.
5. Пользователи неопытны, а их работа уязвима.
6. Пользователи могут привлечь организацию к суду за нанесенный ущерб.
При каких обстоятельствах предпочесть стратегию "выследить и осудить":
1. Активы и системы хорошо защищены.
2. Имеются хорошие резервные копии.
3. Угроза активам организации меньше потенциального ущерба от будущих повторных вторжений.
4. Имеет место согласованная атака, повторяющаяся с большой частотой и настойчивостью.
5. Организация притягивает злоумышленников и, следовательно, подвергается частым атакам.
6. Организация готова идти на риск, позволяя продолжить вторжение.
7. Действия злоумышленника можно контролировать.
8. Доступны развитые средства отслеживания, так что преследование нарушителя имеет шансы на успех.
9. Обслуживающий персонал обладает достаточной квалификацией для успешного выслеживания.
10. Руководство организации желает осудить злоумышленника.
11. Системный администратор знает, какого рода информация обеспечит успешное преследование.
12. Имеется тесный контакт с правоохранительными органами.
13. В организации есть человек, хорошо знающий соответствующие законы.
14. Организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во
время выслеживания злоумышленника.
6.7. ТОЛКОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или отдел.
Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в
разъяснении, а заодно и в пересмотре.
6.8. ГЛАСНОСТЬ ПОЛИТИКИ БЕЗОПАСНОСТИ
После того, как положения политики безопасности записаны и одобрены, необходимо начать активный процесс,
гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточно мерой. Прежде чем
политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать
свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и
производительностью труда.
Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном
понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны
участвовать все: от высшего руководства до младших специалистов. Безопасность — забота общая.
Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные
пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем
допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику
безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может
оказаться весьма кстати.
7. ТЕХНИЧЕСКИЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ПРЕДПРИЯТИЯ.
Несанкционированным доступом к ПК будем называть незапланированное ознакомление, обработку, копирование,
применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение
информации в нарушение установленных правил разграничения доступа. В защите информации ПК от несанкционированного
доступа (НСД) выделим три главных направления:
1. недопущение нарушителя к вычислительной технике - основывается на специальных технических средствах
опознавания пользователя;
2. защита вычислительной среды - основывается на создании специального ПО по защите информации;
3. использование специальных средств защиты информации от НСД.
Для защиты ПК используют различные программные продукты, которые значительно расширяют возможности защиты
информации. Наиболее распространены следующие:

средства защиты от НСД, использующие парольную идентификацию;

различные программные продукты, использующие методику шифрования для защиты информации при передаче по
каналам связи;

средства защиты от компьютерных вирусов;

средства резервного копирования и резервного архивирования.
Ниже рассмотрим эти программные продукты и методы, как в общем так и на примерах.
7.1. ЗАЩИТА ОТ НСД. ПАРОЛЬНЫЙ ДОСТУП К СИСТЕМЕ И ИНФОРМАЦИИ.
Как наиболее простое средство парольной идентификации можно использовать аппаратные средства установки пароля
на запуск операционной системы ПК с помощью установок в BIOS. К сожалению, это не самый надежный способ парольной
32
идентификации, так как ввод универсального пароля либо отключение аккумуляторной батареи, расположенной на
материнской плате, приведет к сбросу всех установок BIOS.
Защита жесткого диска от несанкционированного вторжения составляет одну из главных задач защиты ПК. Существуют
несколько типов программных средств:

программы контроля доступа к операционной системе;

программы блокировки рабочего стола на период отсутствия пользователя;

программы для защиты файлов и папок и разграничения доступа к ним;

и, наконец, утилиты для полной защиты системы и назначения прав доступа к данным и программам для каждого
конкретного пользователя.
Программы контроля доступа к ОС. Утилиты контроля доступа к ОС предназначены для авторизации доступа
пользователей к компьютеру сразу же после (или, как вариант, до) загрузки операционной системы. Поскольку в Windows 2000
защита на вход есть и довольно сильна, как для рядового пользователя, основное направление данных утилит — Windows
9x/ME. Основные требования к данному ПО таковы:

администрирование всех событий с помощью журнала начальной загрузки, журнала хранителя экрана (который также
позволяет

запаролить систему на время отсутствия пользователя) и журнала управления и администрирования программы;

создание неограниченного числа пользователей, управление их параметрами, смена пользовательских паролей, а
также возможность поменять пароль администратора (аналогично Windows 2000);

безопасность работы пользователей: проверка только имени пользователя, только пароля или одновременная их
аутентификация, с возможностью скрытия вводимого имени пользователя;

редактирование системных сообщений, выводимых программой при удачном входе в систему или ошибках ввода
данных.
Наиболее полно соответствующей данным требованиям является, на наш взгляд, программа Access Denied. Это
программа, ставящая пароль на начальную загрузку компьютера, еще до запуска самой операционки, что, согласитесь,
намного эффективнее обычной защиты Windows 9x/Me, когда в систему можно войти по клавише Escape .
Главное окно программы (которое также доступно после ввода пароля) представляет собой администрирование
отклоненного доступа, где можно производить все необходимые настройки и одновременно просматривать журналы событий.
Благодаря журналам системных событий есть возможность отслеживания деятельности и намерений пользователей —
каждая успешная и неуспешная попытка входа в систему заносится в журнал начальной загрузки, в котором цветом показано
значение конкретного сообщения (например, красный цвет означает попытку взлома).
Дополнительно в программу встроена возможность парольной защиты системы во время работы с помощью
скринсейвера, причем при помощи последнего (запускаемого с помощью клавиш Ctri+Alt+F9) возможна автоматическая
активизация сразу после старта Windows и блокировка CD-ROM'a.
Защита Рабочего стола. Если пользователь работает за компьютером, время от времени отлучаясь, наличие
скринсейвера с паролем на вход не дает необходимой гарантии на доступ к компьютеру. К тому же настройка времени запуска
скринсейвера представляется вообще бессмысленной — рассчитать время следующего ухода не дано никому. Утилиты для
защиты Рабочего стола от взглядов посторонних действуют несколько иначе.
Наиболее интересная из данного ряда программ - Black Screen 1,16.
Наиболее простая из программ данного раздела, Black Screen, работает довольно оригинально и эффективно. При
первом запуске программы в окне настройки параметров утилиты необходимо ввести пароль на разблокирование экрана, а
также выбрать картинку, которая будет отображаться на «заблокированном» Рабочем столе: полностью черный экран, вид
экрана до запуска программы или же любой выбранный рисунок в формате .bmp. Эффективность программы на уровне: не в
пример процедуре ввода пароля на обычную заставку из комплекта Windows, при разблокировании Рабочего стола ничего
похожего на окно ввода пароля не появляется. Необходимо лишь набрать пароль — и экран автоматически разблокируется.
Защита папок и файлов. Программа ШИРМА - система засекречивания содержимого директорий (папок) от
посторонних. Все файлы, находящиеся в директориях (папках), помеченных пользователем как скрытые, являются
невидимыми обычными средствами Windows.
Если вашим компьютером иногда пользуются другие - коллеги, друзья, знакомые, родственники и т.д., то очень часто
существует необходимость сокрытия некоторых файлов от просмотра и использования. Это могут быть пароли, бизнес
документы или информация определенного содержания, которую бы вы хотели скрыть, скажем, от своих детей.
Для этой цели существует ряд программ, которые надежно кодируют данные. Но их недостатком является то, что в
случае потери пароля или какого-либо сбоя компьютера, зашифрованные файлы восстановить невозможно.
ШИРМА - так называемая золотая серединка, которая хоть и скрывает от — постороннего глаза файлы, но не шифрует
их, тем самым гарантируя целостность данных.
Все закрытые данные невидимы непосвященному пользователю, что почти полностью устраняет вероятность попытки
доступа к ним, но для хозяина, в случае проблем с запоминанием пароля или со сбоями компьютера, все файлы могут быть
найдены в операционной среде - DOS или ее эмуляции по приблизительным знаниям их названия или содержания или места
расположения на дисках.
Программа легка в обращении и рассчитана на использование самым неопытным пользователем.
Она представляет собой три настраиваемых на удобный вид окна:
1. окно дерева каталогов всего компьютера,
2. окно закрытых директорий,
3. окно открытых часто используемых директорий.
Все директории легко переносятся из одного окна в любое другое, приобретая соответствующий статус. Просто
пометьте необходимую директорию, и вы увидите стрелки с доступными для этой директории операциями.
7.2. ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ. АНТИВИРУСНОЕ ПО.
Компьютерный вирус - специально написанная, небольшая по размерам программа, которая может "приписывать" себя
к другим программам - т.е. заражать их, а также выполнять другие нежелательные воздействия на компьютере, как то:

портит файлы или таблицу размещения файлов на диске;

засоряет оперативную память;

изменяет адресацию обращений к внешним устройствам и т.п.
Кроме того, зараженные программы могут быть перенесены на другие компьютеры посредством дискет, СД-дисков,
локальной сети или же электронной почты.
33
В настоящее время известно около 70 тысяч вирусов. Все они условно делятся на классы по различным признакам.
По среде обитания:

сетевые, распространяющиеся по сети;

файловые, внедряющиеся в выполняемый файл;

загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.
По способу заражения:

резидентные, загружаемые в память ПК;

нерезидентные, не загружаемые в память ПК и остающиеся активными некоторое ограниченное время.
По возможностям:

условно-безвредные, не влияющие на работу ПК;

неопасные, влияние которых ограничивается уменьшением свободной памяти, различными графическими и
звуковыми эффектами;

опасные, которые могут привести к серьезным сбоям в работе ПК;

очень опасные, которые могут привести к потере программ, уничтожению либо порче данных, стиранию данных в
системных областях памяти или даже к выходу из строя периферийных устройств или комплектующих ПК.
Это далеко не полная классификация вирусов, так как имеется достаточное количество различных экзотических
вирусов, не попадающих в данные категории.
В настоящее время известно около 70 000 вирусов. Цифра весьма внушительная, однако из них всего лишь 270 наносящие серьезный вред, и всего лишь 89 - наносящих необратимый вред. Откуда такое расхождение цифр? Дело в том,
что основная масса вирусов - это всего лишь незначительные модификации, которые отличаются от базовых некоторыми
изменениями в сигнатурах, и, таким образом, считающиеся самостоятельными вирусами.
Для борьбы с данными вредоносными программами существует специальное антивирусное ПО, которое можно
разделить на несколько видов:

программы - детекторы - позволяют обнаружить файлы, зараженные вирусом, основываясь на поиске участка кода,
принадлежащего тому или иному вирусу. Основной недостаток данного типа программ – отсутствие гарантированного
обнаружения новых вирусов, хотя в некоторых продуктах реализована процедура обновления баз;

программы-доктора – лечат зараженные программы или диски, уничтожая тело вируса. Основным недостатком этого
типа программ является утеря информации в ряде случаев, по причине невозможности восстановления таковой;

программы-ревизоры – запоминают сведения о состоянии программ и системных областей данных, а потом
сравнивают их состояние с исходным. Изредка такие программы не выявляют наличия вируса, так как некоторые из них не
изменяют контрольную сумму файлов при заражении;

доктора-ревизоры – объединяют свойства ревизоров и докторов;

программы-фильтры – располагаются резидентно в оперативной памяти, перехватывают обращения к ОС, которые
характерны для вирусов (обновление программных файлов, физическая запись на жесткий диск, форматирование диска,
резидентное размещение программ в оперативной памяти) и сообщают о них пользователю.
Кроме того некоторые антивирусные функции уже встраиваются в современные версии BIOS.
Как правило, современные программы-антивирусы совмещают в себе функции нескольких типов. Однако только сам
пользователь может гарантированно защитить свой компьютер от вирусов. Для этого необходимо контролировать
своевременность обновлений антивирусных баз, избегать бездумного и бесконтрольного копирования информации с
носителей на жесткий диск и наоборот.
Выбор антивируса
Количество антивирусов огромно, и купить их все нереально, да и не нужно. Необходимо правильно не только выбрать
антивирус, но и настроить.
Вот основная информация по ним: Цена, известность, рекламный шум не обязательно отражает качество.
"Защищает от всех известных вирусов!" - это рекламный трюк. Любой антивирус защищает от всех известных ему
вирусов, даже если их всего 2.
Ни один антивирус не способен защитить даже от всех существующих (на момент обновления баз) вирусов - всегда
есть вероятность, что какой-либо вирус не попал к разработчикам антивирусов.
Не все неизвестные антивирусу вирусы могут быть им обнаружены. Вероятность обнаружения зависит от количества
известных вирусов, настроек и анализатора кода (эвристического алгоритма и т.п.). Вероятность обнаружения нового
неизвестного вируса близка к нулю - создатели вирусов обычно тестируют свои вирусы на обнаружение их основными
антивирусами (обычно KAV (AVP), DrWeb, Norton Antivirus (NAV) и McAfee Virus Scan).
He все файлы, зараженные известным вирусом, могут быть вылечены. Это может быть связано вот с чем:

файл имеет неизвестное расширение (например, fls)

файл используется системой. Это можно обойти, загрузившись в режим эмуляции DOS или загрузившись с дискеты и
включить дос-версию антивируса.

файл сильно поврежден.

разработчики не озаботились создать лечащий модуль для этого вируса - "видит - и ладно!".
То, что не лечит один антивирус - может лечить другой, даже менее известный. Так, например, McAfee часто лечит то,
что не лечат KAV, NAV и DrWeb.
Количество антивирусных записей и количество известных вирусов не говорит о количестве известных РАЗНЫХ
вирусов, т.к. можно 10 клонов описать 10 разными записями, а можно 1.
Скорость проверки не говорит о качестве, "тщательности" проверки. Так, антивирус может иметь высокий приоритет, и
при проверке "глушить" все посторонние процессы - даже работу с мышкой и клавиатурой. Сканирование будет быстрым и
качественным.
Технология "избыточного сканирования", реализованная в KAV (AVP) сильно замедляет процесс, но позволяет выявить
глубоко "зашитые" в файл вирусы.
Piug-in'bi - это антивирусы без антивирусных записей. Они определяют вирусы по тем действиям, которые они могут
вызвать. Эффективность низкая. После выхода антивируса быстро создаются вирусы, обходящие защиту такого плагина.
Однако от уже существовавших тогда вирусов защита обычно срабатывает. Плагин от Касперского AVP Scriptor успешно
сработал при появлении ILoveYou, а вот от McAfee, к сожалению, нет. Обычно плагины дешевле сканеров. Сильно замедляют
работу с документами. Неизвестные обнаруженные вирусы и подозрительные объекты не лечатся, пока с очередным
обновлением баз или версии антивируса не появится лечащий модуль.
34
Ни один антивирус не способен защитить от всех неизвестных вирусов, даже при условии своевременного обновления
антивирусных баз.
В сети часто публикуют результаты тестирования антивирусов. Относиться к ним надо осторожно. Количество
тестируемых вирусов меньше, чем известно антивирусам, а следовательно, случайность играет большую роль. Может
получиться, что часть предложенных вирусов не видна для одного антивируса, но видна в другом, но первый по общему числу
видимых вирусов существенно превосходит второй.
Чем больше вирусов было предложено и чем за больший период времени представлены результаты, тем более
доверительны результаты тестирования.
Недостаток таких результатов еще связан с неполной предоставляемой информацией. Не указывается число
вылеченных объектов, число подозрительных объектов, проверки глубоко запрятанных вирусов,
Некоторые программы способны работать как антивирусы, хотя такими не являются. Например, файрволы.
Контролируя весь сетевой график, они способны обнаружить и заблокировать выход в сеть и предотвратить вредоносное
действие троянов. Различные программы для восстановления системы после повреждения также способны помочь в случае
заражения.
Для писем с присоединенными файлами необходимо провести такие действия: если письмо анонимно или от
неизвестного вам отправителя (подписанное как угодно) - не открывая, удалить!!! Если письмо от знакомого человека (друга),
пошлите ему запрос, присылал он такое письмо или нет, когда, какое расширение файла и размер (обычно размер письма
несколько больше). Если выяснится, что письмо он не присылал или существенно не совпадает дата отправки или размер удалите письмо! Не успокаивайте себя: "Вот, у меня крутой антивирус, можно не боясь открывать без последствий". Скорее
всего, последствия не заставят себя ждать.
Сканируйте все жесткие диски не реже 1 раза в неделю. Все подозрительные объекты отправляйте в центр
антивирусной поддержки вашего антивируса.
При загрузки любых файлов из сети или, тем более, при инсталляции новой (или старой) программы обязательно
включите монитор (антивирус в системной панели, рядом с часами...). Очень желательно проверить сканером программу
перед инсталляцией, поскольку мониторы часто запаздывают с реакцией (DrWeb один раз запоздал на 12 минут!).
Не запускайте неизвестные исполняемые файлы (или хотя бы используйте FireLog или EasyUninstall - они позволяют
аккуратно проследить абсолютно все действия программы-установщика и выяснить, какие файлы при этом были добавлены
или изменены, какие ключи реестра появились или изменились).
Обновляйтесь как можно чаще - зайдите на сайт производителя и узнайте, как часто выходят обновления антивирусных
баз. Обновляйтесь соответственно.
В заключение помните, что самым страшным вирусом являются ...руки пользователя. Можно такое натворить, что
создатели вирусов обзавидуются.
Дисциплина и внимательность - залог вашей безопасности.
ТРЕХУРОВНЕВАЯ МОДЕЛЬ ЗАЩИТЫ КОМПЬЮТЕРНОЙ СЕТИ ОТ ВИРУСОВ
Предлагается трехуровневая модель защиты корпоративной сети от компьютерных вирусов.
Прежде всего, надо защищать точку входа в корпоративную сеть из Интернет, ибо это именно то место, через которое
по имеющимся данным попадает около 80% вирусов. Это уровень почтового шлюза или межсетевого экрана. Существует
примеры заражения десятков тысяч компьютеров за очень короткое время (достаточно вспомнить истории с вирусами Melissa
и "ILoveYou").
Затем, безусловно, надо защитить файл-серверы и серверы коллективной работы. Это то место, где хранится
наиболее ценная информация. Конечно, антивирус не является заменой резервному копированию, но тем не менее, кто
захочет столкнуться с ситуацией, когда резервные копии заражены? Использование в корпоративной сети систем
коллективной работы, таких как Microsoft Exchange или Lotus Notes/Domino, создает благоприятную среду для
35
распространения вирусов. Традиционные антивирусные средства не умеют сканировать коммуникационные протоколы и
используемые в этих системах базы данных, что вызывает необходимость использования специализированных средств.
Вторым по частоте источником проникновения вирусов в корпоративную сеть являются рабочие места пользователей.
Задача защиты пользовательских рабочих мест включает в себя:

антивирусное сканирование жестких дисков персональных компьютеров,

мониторинг выполняющихся процессов,

мониторинг электронной почты отправляемой/получаемой пользователями,

мониторинг содержимого Web-страниц, просматриваемых пользователями при помощи Web-навигаторов, на наличии
опасных управляющих элементов (Java, JavaScript и ActiveX),

проверку исполняемых файлов перед их запуском на выполнение и т.п.
ЭТАПЫ РАЗВИТИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ И АНТИВИРУСНЫХ СРЕДСТВ
Первый этап (1980-1994)

Основной источник распространения вирусов - дискеты.

Антивирусные сканеры осуществляли поиск кода только известных вирусов в программах.

Невысокая скорость создания и распространения вирусов.

Невысокая скорость выхода обновлений вирусных сигнатур.
Второй этап (эра макровирусов 1995-1998)

Основной источник вирусов - офисные документы, передаваемые по сети и средствами электронной почты.

Высокая скорость создания и распространения макровирусов.

Высокая скорость выхода обновлений вирусных сигнатур (в течении нескольких часов).

Высокая скорость поиска и лечения вирусов.
Третий этап (современный, начиная с 1999 года)

Огромное количество вирусов - более 45000.

Источник распространения - электронная почта, Web, другие сервисы Интернет.

Мобильные программные коды с опасным содержимым.

Огромная скорость распространения - в течении нескольких минут заражаются сотни компьютеров, подключенных к
сети.

Очень большая скорость создания новых вирусов - более 400 в месяц.
КЛАССЫ АНТИВИРУСНЫХ ПРОГРАММНЫХ СРЕДСТВ
В соответствии с предлагаемой трехуровневой моделью рассматриваются следующие рубежи антивирусной защиты
корпоративной сети и соответствующие виды программных средств:

защита внешнего сетевого периметра;

защита корпоративных файловых серверов

защита серверов коллективной работы;

защита рабочих мест пользователей;

управление корпоративной политикой антивирусной защиты.
РЕШЕНИЯ ПО АНТИВИРУСНОЙ ЗАЩИТЕ. ЦЕЛИ И ЗАДАЧИ СОЗДАНИЯ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ.
Для защиты корпоративной сети от вирусов необходимо решить следующие основные задачи:
1.
Прежде всего, должны быть перекрыты все возможные каналы распространения вирусов. Основными
каналами распространения вирусов в настоящее время являются:

электронная почта;

HTTP/FTP сервисы, используемые для получения доступа к ресурсам ЛВС и сети Интернет;

съемные носители информации (дискеты, CD-ROM и т. п.);

файловые серверы ЛВС (UNiX/Windows/NetWare);

системы коллективной работы (MS Exchange, Lotus Notes и т. п.).
2.
На следующем этапе должна быть обеспечена антивирусная защита серверов ЛВС и рабочих мест
пользователей. Для решения поставленных задач система антивирусной защиты должна выполнять следующие основные
функции:

непрерывный антивирусный мониторинг внешнего и внутреннего SMTP/HTTP/FTP трафика;

централизованный антивирусный мониторинг и регулярное сканирование файловых систем на рабочих местах
пользователей, серверах ЛВС и серверах коллективной работы;

регистрацию и оповещение о событиях, связанных с вирусными атаками;

централизованное управление всеми компонентами антивирусной защиты;

помещение подозрительных файлов и неизвестных вирусов, выявленных с использованием эвристических
алгоритмов, на карантинный сервер для их последующего анализа.
ПОСЛЕДОВАТЕЛЬНОСТЬ МЕРОПРИЯТИЙ ПО РАЗВЕРТЫВАНИЮ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ
Развертывание системы антивирусной защиты производится в три этапа.
На первом этапе осуществляется комплекс оперативных мероприятий по перекрытию основных каналов
распространения вирусов. Прежде всего необходимо защитить систему электронной почты (SMTP), путем развертывания
средств для осуществления тотальной антивирусной проверки всех внутренних и внешних почтовых сообщений. Затем
следует также защитить HTTP/FTP сервисы ЛВС путем развертывания средств для осуществления антивирусного
мониторинга всего входящего и исходящего HTTP/FTP трафика.
На втором этапе осуществляется защита серверов ЛВС и рабочих мест пользователей, путем установки на них
антивирусных средств (антивирусных сканеров и мониторов), выявления и лечения обнаруженных вирусов. Одновременно
осуществляется установка и развертывание средств управления компонентами антивирусной защиты, а также создание
карантинного сервера для хранения и анализа подозрительных файлов.
На третьем этапе производится создание и утверждение организационно-распорядительных документов по
предотвращению и ликвидации вирусных атак на ресурсы ЛВС.
Таким образом, представляется целесообразной следующая последовательность мероприятий по развертыванию
системы антивирусной защиты.
Первый этап:

Произвести установку антивирусных шлюзов для SMTP/HTTP/FTP трафика;
36

Произвести установку антивирусных компонентов, предназначенных для защиты систем коллективной работы Lotus
Notes/Domino и MS Exchange.
Второй этап:

Централизованно произвести (сетевую) установку антивирусного ПО (сканеров и мониторов) на рабочих местах
пользователей;

Централизованно произвести (сетевую) установку антивирусного ПО на всех NT/NetWare серверах ЛВС;

Произвести установку антивирусного ПО на UNIX/Windows NT/2000 серверах;

Провести внедрение карантинного сервера и средств управления для мониторинга работы антивирусов на рабочих
местах и серверах;

Централизовано провести антивирусное сканирование всех рабочих мест и серверов.
Третий этап:

Создать и утвердить регламент работы администратора по предотвращению и ликвидации вирусных атак на ресурсы
корпоративной сети;

Обязать администратора безопасности проводить регулярное (еженедельное) обновление БД антивирусных
сигнатур;

Периодически проводить антивирусное сканирование всех рабочих мест и серверов корпоративной сети (результаты
сканирования должны анализироваться администратором безопасности).
Компания «ИнтерАктив» представляет достаточно новый на украинском рынке, но весьма перспективный продукт Антивирус Stop!
Антивирус Stop! — оптимальный выбор для защиты пользователей. Антивирус Stop! создан для обеспечения
надежной антивирусной защиты компьютеров домашних пользователей, работающих под управлением Windows 95/98/МЕ и
Windows 2000/NT/XP. Антивирус Stop! это современный, эффективный антивирусный продукт, способный обнаружить и
удалить все известные типы троянских программ, интернет-червей и вредоносных программ.
Антивирус Stop! 4.10 включает в себя следующие компоненты:

Сканер

Монитор

Обновление

Карантин

Вирус-лист

TheBat! Plugin

Outlook 98/2000/XP Plugin
Возможности программы:

Сверхбыстрый механизм сканирования.

Сканирование архивов, упакованных файлов, почтовых баз.

Анализатор кода, обнаруживающий новые вирусы и вредоносные программы.

Обновление антивирусных баз и исполняемых модулей через Интернет.

Простой, понятный и удобный интерфейс.

Защита почтовых клиентов Miscrosoft Outlook 98/2000/XP и TheBat!
Защита от всех известных вирусов и вредоносных программ. В Антивирус Stop! интегрирована технология поиска
неизвестных вирусов и вредоносных программ, основанная на принципах эвристического анализа (Анализатор кода).
Благодаря ей программа способна защитить Ваш компьютер даже от неизвестных вирусов.
Эффективная защита в масштабе реального времени. Уникальный фоновый перехватчик вирусов Stop! Monitor
постоянно присутствует в памяти Вашего компьютера и проводит антивирусную проверку всех файлов, непосредственно в
момент их запуска.
Изоляция инфицированных объектов. Антивирус Stop! поддерживает функцию изоляции зараженных и
подозрительных объектов с их последующим перемещением в специально организованную директорию (Карантин) для
последующего анализа и восстановления. Таким образом, своевременно исключается потенциальная опасность заражения
всей файловой системы компьютера.
Антивирусная проверка электронной почты. Антивирус Stop! автоматически проверяет все входящие и исходящие
сообщения электронной почты, и предотвращает возможность проникновения на компьютер вирусов почтовых клиентов MS
Outlook 98/2000/XP и TheBat!
Поддержка архивированных файлов и почтовых баз. Антивирус Stop! поддерживает самый широкий спектр
форматов сжатия файлов, и осуществляет антивирусную проверку их содержимого.
Ежедневные обновления антивирусной базы. Вирусы появляются каждый день. Чем чаще обновляется Ваш
антивирус, тем выше его надежность. Авторы программы обеспечивают Вас бесплатными ежедневными обновлениями
антивирусной базы. При помощи встроенного модуля "Обновление Stop!" Вы можете загрузить обновления автоматически или
нажатием одной кнопки через Интернет.
Еще один заслуживающий внимания и достаточно новый продукт "Украинский Национальный Антивирус". Это
линейка программ, которая рассчитана на защиту рабочих станций, защиту серверов и комплексную защиту сети.
"Украинский Национальный Антивирус" продолжает активно развиваться. Появляются новые компоненты,
модернизируются старые. За время существования версии 1.5х.хх в адрес Антивирусного Центра поступила масса замечаний
и пожеланий от пользователей и бета-тестеров. Все они ставятся в очередь и со временем рассматриваются.
На данный момент для тестирования готовится новый резидентный монитор для ОС Win9x, который обладает всеми
функциями, анонсированными ранее:

проверка всех открываемых файлов (а не только запускаемых программ);

лечение и удаление инфицированных файлов;

блокирование всех инфицированных файлов;

гибкие настройки, позволяющий установить оптимальный для данного компьютера режим.
Основные технические характеристики UNA for Win32:

резидентный монитор для WinNT/2000/XP;

вирусная база более 55 000 вирусов;

высокая скорость сканирования;

тестирование архивов (ZIP, SFX ZIP, RAR, SFX RAR, ARJ, SFX ARJ, ACE);
37



тестирование почтовых баз (Почтовые базы "The Bat!", файлы в MIME-формате);
занимаемый объем дискового пространства (от 3.2МЬ до 15МЬ, в зависимости от комплексности поставки);
совместимость с программным обеспечением, таким как 1C, Лига, с программами шифрования данных (PGPDisk).
Защита рабочих станций
Функции и модули.
Ревизор диска - это встроенный в ядро инструментарий, отслеживающий изменения в системных файлах
операционной системы, что позволяет обнаруживать появление вирусов и троянских программ.
Эвристический анализатор - это набор алгоритмов, позволяющих по характерным признакам сделать предположение
наличия в файле вируса определённого типа.
Менеджер задач - это встроенный в сканер инструмент, позволяющий просматривать все находящиеся в памяти
процессы и удалять любой из них.
Модуль автоматизированного обновления через Интернет - это инструмент, предназначенный для обновления
вирусных баз и ядра программы через Internet, а также для закачки и установки Service Packs.
Консольный сканер - это версия сканера с интерфейсом командной строки. Результаты работы отображаются в окно
консоли, а также при необходимости в файл отчёта.
Планировщик заданий - это дополнительная утилита, позволяющая назначить автоматическое тестирование объектов
на различное время.
Резидентный монитор - это дополнительный модуль, позволяющий проверять файлы «на лету».
Script Checker - это утилита, перехватывающая запуск VBS и Java-скриптов, и блокирующая их в случае обнаружения
вредоносных скриптов.
Пакеты
На сегодняшний день доступны следующие составы поставок:
UNA Standart WS - эта поставка рассчитана для нетребовательного пользователя, и на те рабочие станции, которые
ограничены в доступе информации из вне (отсутствует либо CD-ROM, либо флоппи-дисковод, нет доступа в Интернет, либо
всего вместе взятого) и включает в себя:
1. Сканер для Windows95/98/ME/2000/NT/XP WS
2. Консольный сканер для Windows95/98/ME/2000/NT/XP WS
3. Менеджер задач
4. Scheduler Light (планировщик заданий)
5. Автоматизированное обновление через Интернет
UNA Office WS - эту поставку "Украинский Антивирусный Центр" рекомендует тем пользователям , которые активно
работают в сети Интернет и используют магнитные носители информации. Она включает в себя:
1. Сканер для Windows95/98/ME/2000/NT/XP WS
2. Консольный сканер для Windows95/98/ME/2000/NT/XP WS
3. Монитор для Windows95/98/ME WS
4. Менеджер задач
5. Scheduler Light (планировщик заданий)
6. Автоматизированное обновление через Интернет
UNA Pro WS - этот пакет предназначен для опытных пользователей, так как содержит больше возможности настроек и
администрирования, обеспечивая — полный спектр антивирусной защиты и состоит из:
1. Сканер для Windows95/98/ME/2000/NT/XP WS
2. Консольный сканер для Windows95/98/ME/2000/NT/XP WS
3. Монитор для Windows95/98/ME WS
4. Менеджер задач
5. Scheduler Pro (планировщик заданий)
6. Script Checker
7. Автоматизированное обновление через Интернет
Защита файловых серверов на базе WindowsNT/2000 SRV.
"UNA for File Server" - является средством защиты файловых серверов компьютерных сетей. Данный комплекс
позволит централизованно обеспечить антивирусную защиту сети Вашей организации.
"UNA for File Server" предназначен для работы в среде операционных систем:

Windows 2000 Pro WS;

Windows 2000 Server;

Windows NT 4.0 Server;

Windows XP Home;

Windows XP PRO.
"UNA for File Server" обеспечивает защиту сервера как в режиме реального времени (проверка всех открываемых,
копируемых файлов "на лету"), так и в диалоговом режиме по запросу пользователя (использование антивирусного сканера).
Резидентный монитор построен с использованием оптимизированной технологии, которая позволяет совместить
максимальный уровень антивирусной защиты и высокое быстродействие.
Антивирусный сканер представлен в двух вариантах: с оконным интерфейсом и с интерфейсом командной строки.
Система антивирусной защиты "UNA for File Server" имеет возможность удалённого управления с рабочего места
администратора, что позволяет устанавливать антивирусный комплекс на сервера, работающие в безмониторном режиме.
Оперативное обновление антивирусных баз осуществляется с помощью автоматизированной системы обновлений,
которая позволяет обновлять как антивирусные базы продукта, так и версии исполняемых модулей.
Комплексная антивирусная защита локальной сети. "UNA NET" - "Ukrainian National Antivirus for NET" это антивирусный комплекс, который адаптирован к работе в среде локальной сети операционных систем Windows
95/98/ME/NT/2000/XP, Linux, (а также других операционных систем семейства UNIX, которые имеет поддержку "Linux binaries
(ELF)").
"UNA for NET" предназначен для обеспечения комплексной защиты локальных сетей, мониторинга работы всех
антивирусных модулей, которые установлены в локальной сети. Комплекс содержит в себе следующие компоненты:

UNA NET MainServer - главный сервер антивирусного комплекса. Работает под управлением операционных систем
Windows NT/2000/XP, Linux 2.2.x и выше. Сервер осуществляет управление клиентскими модулями (настраивает
38
сканирование файлов, обновление антивирусных модулей, отчет о проделанной работе, управление политиками групп),
мониторинг работы антивирусных модулей на рабочих станциях всей сети, а также ведет статистику вирусной активности.

UNA NET UpdateServer - сервер обновлений. Работает под управлением операционных систем Windows NT/2000/XP,
Linux 2.2.x и выше. Предназначен для обновления антивирусных модулей на рабочих станциях. Позволяет распределить
загрузку сети во время обновления антивирусных баз.

UNA NET Console - пакет административных программ, которые дают возможность сетевым и системным
администраторам работать с UNA NET как с единой системою. Программы имеют оконный интерфейс.
Работают под управлением операционных систем Windows (есть также версии под КОЕ 2.x Linux и выше).

UNA NET Updater - это специализированный программный продукт для получения обновлений антивирусного
комплекса, а также обновлений антивирусной базы. Использует для работы как сетевые протоколы TCP/IP, так и дисковые
накопители.

UNA NET Client - это клиентская программа, которая устанавливается на рабочие станции, осуществляет мониторинг
рабочей станции и взаимодействует с UNA NET MainServer и UNA NET UpdateServer. UNA NET Client содержит в себе:
o сканер-полифаг: предназначенный для тестирования файлов, папок, дисков, памяти компьютера на наличие
вирусов, троянских программ и для лечения/удаления инфицированных объектов;
o эвристический анализатор: позволяет с высокой вероятностью определить наличие вируса в файле;
o менеджер задач: позволяет просматривать процессы, находящиеся в памяти, получать информацию о них
и, в случае необходимости, выгружать их из памяти;
o резидентный монитор: позволяет проверять на наличие вирусов все файлы, которые запускаются и/или
открываются, программа осуществляет поиск инфицированных файлов, троянских и других вредоносных программ на
дисках и в памяти компьютера и их блокировку/удаления/лечения;
o UNA Consol: антивирусный сканер с интерфейсом командной строки;
o Модуль защиты сценариев "Script Checker": представляет собой прозрачный модуль, который проверяет
VBS i JS скрипты и позволяет обнаруживать и блокировать работу скрипт-вирусов.
7.3. БЕЗОПАСНОСТЬ УДАЛЕННОГО ДОСТУПА И ПОДКЛЮЧЕНИЯ К ИНТЕРНЕТ
В связи с бурным ростом глобальных информационных сетей, вопросы защиты информации в таких системах
приобретают большую актуальность. Прежде всего это касается тех предприятий или организаций, которые решили
подключить свою внутреннюю локальную сеть к Интернет. Поскольку в внутренних локальных сетях предприятий циркулирует
информация, распространение которой нежелательна, существует потребность в анализе каналов утечки и вариантов
защиты. Все "слабые места" сетевых информационных систем можно условно классифицировать на два класса:

Ошибки в программном обеспечении серверов и рабочих станций, позволяющие получить полный или частичный
доступ к информации, хранящейся на данной компьютере;

Ошибки при проектировании сетевых протоколов, приводящие к тому, например, что даже при корректной
программной реализации того или иного протокола появляются возможности для несанкционированного доступа.
В первом случае решением проблемы является использование тех программных средств, которые прошли
сертификацию и хорошо себя зарекомендовали на практике. Во втором случае одним из вариантом решения является
применение так называемого межсетевого экрана (за рубежом и в нашей стране также применяется термин "firewall" или
"брандмауэр").
Компоненты межсетевых экранов

операционная система;

пакетный фильтр;

шлюзы приложений;

средства идентификации и аутентификации;

средства регистрации и учета;

модуль удаленного управления и конфигурации;

средства контроля целостности;

средства обеспечения высокой доступности;

средства резервного копирования и восстановления;

сетевая служба имен (split DNS).
Возможности использования

в качестве внешнего шлюза;

в качестве внутреннего шлюза.
Выполняемые функции

Котроль доступа;

Протоколирование информационных потоков;

Сокрытие топологии защищаемой сети;

Реагирование на несанкционированные действия.
Комплексные межсетевые экраны
Комплексные межсетевые экраны имеют в своем составе как пакетные фильтры, так и набор прокси-сервисов. Проксисервисы могут обеспечивать как прозрачный для пользователя режим работы, так не прозрачный, требующий
предварительного явного установления соединения с соответствующим прокси-сервисом.
Механизм трансляции сетевых адресов
Ретрансляция сетевых адресов заключается в замене IP-адресов и номеров портов отправителя или получателя
сетевого пакета при его прохождении через МЭ. Различают два вида трансляции сетевых адресов: статическая и
динамическая.
При статической ретрансляции отображение внешнего пространства IP-адресов на внутреннее пространство (или
наоборот) осуществляется по принципу один к одному.
При динамической ретрансляции для отображения используется пул IP-адресов или номеров TCP/UDP-портов.
Отображение осуществляется по принципу один к многим.
Межсетевой экран - это система или комбинация систем, позволяющие разделить сеть на две или более частей и
реализовать набор правил, определяющие условия прохождения сетевых пакетов из одной части в другую в целях защиты
информации на компьютерах, находящихся в защищаемом сегменте. Как правило, эта граница проводится между локальной
сетью предприятия и Интернет, хотя ее можно провести и внутри. В результате межсетевой экран пропускает через себя весь
39
трафик в- или из- защищаемой подсети, и для каждого проходящего пакета принимает решение пропускать его или отбросить.
Обычно межсетевой экран это программно-аппаратный комплекс на базе рабочей станции, функционирующий под
управлением сетевой операционной системы Windows NT или UNIХ-систем.
Политика безопасности
Существует два уровня политики безопасности компьютера, непосредственно влияющие на установку и использование
межсетевого экрана. Политика высокого уровня или политика доступа к компьютеру определяет те службы, которые будут
допускаться через модем и которым будет запрещено работать на компьютере, она описывает также, как эти службы будут
использоваться, и какие условия являются исключениями в этой политике.
Политика низкого уровня описывает, как межсетевой экран будет фактически выполнять задачу ограничения доступа и
фильтрования служб, которые были определены политикой высокого уровня.
Правила доступа к защищаемым ресурсам должны базироваться на одном из следующих принципов:

разрешать все, что не запрещено в явной форме;

запрещать все, что не разрешено в явной форме.
Межсетевой экран, осуществляющий первый принцип, разрешает по умолчанию всем службам работать на
защищаемом компьютере, за исключением тех служб, которые политика доступа к службам отвергает, считая их
небезопасными. Firewall, осуществляющий второй принцип, отвергает по умолчанию все службы, но пропускает те службы,
которые были определены как безопасные. Этот второй принцип следует из классической модели доступа, используемой во
всех областях информационной безопасности.
Фильтрование пакетов
Еще одной важной характеристикой обеспечения удаленного доступа является фильтрование пакетов. Обычно
используют фильтрующий маршрутизатор, разработанный специально для фильтрования пакетов, проходящих через
маршрутизатор. Фильтрующий маршрутизатор - это чаще всего программа, настроенная так, чтобы по отдельным данным
фильтровать пакеты, доставленные модемом. Обычно фильтр проверяет данные, располагающиеся в заголовке пакета,
такие, как IP-адрес источника и получателя, некоторые другие.
Отдельные фильтрующие маршрутизаторы исследуют, с какого сетевого маршрутизатора прибыл пакет, используя
затем эту информацию как дополнительный критерий фильтрования. Фильтрование может происходить различными
способами: блокировать соединения и с определенными хостами и сетями, и с определенными портами. Пользователь может
блокировать соединения, идущие от конкретных адресов тех хостов, которые рассматриваются как враждебные или
ненадежные. В качестве альтернативы фильтрующий маршрутизатор может заблокировать все возможные соединения,
идущие от различных IP-адресов, внешних к данному компьютеру (с некоторыми исключениями, такими, как SMTP для
получения электронной почты).
Шлюз прикладного уровня
Пользователь, который хочет соединиться с каким-либо удаленным компьютером Сети, должен сначала соединиться с
межсетевым экраном и только затем с нужной службой требуемого компьютера через шлюз прикладного уровня системы
firewall. Шлюз прикладного уровня это программа, реализующая доступ к требуемым службам.
Шлюз прикладного уровня пропускает только те службы, которые ему разрешено обслуживать. Другими словами, если
шлюз прикладного уровня — имеет полномочия на обслуживание только FTP и TELNET, то только FTP и TELNET могут быть
допущены в защищаемую подсеть, а все другие службы будут полностью блокироваться. Firewall также предотвращает доступ
всех оставшихся небезопасных служб. Другая польза от использования шлюза прикладного уровня - это то, что он может
фильтровать протоколы. Некоторые межсетевые экраны, например, могут фильтровать FTP-соединения и запрещать
использование команд FTP, таких, как put, что гарантирует невозможность записи информации на анонимный FTP-сервер.
Firewall служит маршрутизатором к системе назначения и вследствие этого может перехватывать модемные
соединения и затем делать обязательную проверку, например, запрос пароля. В дополнение к TELNET, шлюзы прикладного
уровня используются обычно для фильтрования FTP, электронной почты и некоторых других служб.
Все межсетевые экраны можно разбить на три основных типа:

пакетные фильтры (packet filter);

серверы уровня соединения (circuit gateways);

серверы прикладного уровня (application gateways).
Все типы могут одновременно встретиться в одном брандмауэре.
Фильтры пакетов
Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая
в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта это информация соответственно
сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные
сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются
таблицы.
Отметим преимущества и недостатки данного типа межсетевых экранов.
Преимущества:

относительно невысокая стоимость;

небольшая задержка при прохождении пакетов.
40
Недостатки:

локальная сеть видна (маршрутизируется) из Интернет;

правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;

отсутствует аутентификация на пользовательском уровне;

аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система
выдает себя за другую, используя ее IP-адрес.
Фильтры пакетов с контекстной проверкой
Фильтры обрабатывают пакеты очень быстро, но их вряд ли можно признать идеальным средством защиты, так как они
просматривают только некоторые поля в заголовке пакета. Другим типом межсетевых экранов, пионером в разработке
которых была компания Checkpoint Software, является контекстная проверка сеансов между клиентами и серверами. Не
ограничиваясь фильтрацией, межсетевые экраны этого типа перехватывают пакеты на сетевом уровне и принимают решения
на основании высокоуровневой информации путем анализа данных в пакетах. Данные подразделяются на "хорошие" (данные,
которые правила безопасности разрешают пропустить), "плохие" (данные, которые правила безопасности запрещают
пропускать) и "неизвестные" (данные, для которых никаких правил не определено). Межсетевой экран с контекстной
проверкой обрабатывает их следующим образом: данные, признаваемые хорошими, пропускаются; данные, признаваемые
плохими, изымаются, а неизвестные данные фильтруются, т.е. по отношению к ним брандмауэр действует как фильтр
пакетов. Еще 'одной сильной стороной технологии контекстной проверки является хорошая пропускная способность.
Среди межсетевых экранов с контекстной проверкой наибольшим вниманием пользуются два продукта: Firewall-1
компании Checkpoint Software и PIX компании Cisco. Оба они реализуют одну и ту же базовую технологию, а отличаются,
главным образом, второстепенными деталями: операционной системой, поддержкой, удобством использования
(пользовательским интерфейсом). Кроме того, Firewall-1 - это целиком программное решение, в то время как PIX представляет
собой аппаратно-программный комплекс. PIX опирается на Internetwork Operating System (IOS) компании Cisco, выполняемую
на маршрутизаторах производства этой компании. По утверждению Cisco, вся обработка осуществляется во флэш-памяти, а
это исключает необходимость в записи на диск.
Сервер уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает
соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя
сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт
назначения задается заранее, в то время как источников может быть много – соединение типа "один - много". Используя
различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для
любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и
сбор статистики по его использованию. В частности, областью применения сервера уровня соединения может быть
организация так называемых виртуальных частных сетей (VPN -Virtual Private Network). Обычно локальные сети (например,
головной организации и ее филиалов) связывают друг с другом при помощи глобальной сетевой службы, например
арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками.
Развернув виртуальную частную сеть (VPN), компании могут создать соединение между межсетевыми экранами без
дополнительных расходов на выделенные линии.
Серверы прикладного уровня
Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP и т.п., запускаемые на
межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между
клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого
экрана до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого
экрана. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей
структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим
положительным качеством является возможность централизованной аутентификации подтверждения действительно ли
пользователь является тем, за кого он себя выдает. При описании правил доступа используются такие параметры, как
название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно
обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее
высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ,
полностью контролирующих весь входящий и выходящий трафик. Отметим положительные и отрицательные стороны
данного типа межсетевых экранов.
Преимущества:

локальная сеть невидима из Internet;

защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем
самым вероятность взлома с использованием дыр в программном обеспечении;

при организации аутентификации на пользовательском уровне может быть реализована система немедленного
предупреждения о попытке взлома.
Недостатки

более высокая, чем для пакетных фильтров стоимость;

производительность ниже, чем для пакетных фильтров.
Ввиду того, что серверы прикладного уровня (шлюзы приложений) функционируют на уровне приложений, контроль
доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков
такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса
требует времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня Т-1 (1,544 Мбит/с), но, если компании
развертывают несколько брандмауэров или число сеансов увеличивается, заторы становятся настоящей проблемой. Шлюзы
приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса. Межсетевые экраны, не имеющие
соответствующего приложения, не позволят осуществить доступ к данному сервису. С технической точки зрения, это
означает, что при появлении новой версии какого-либо приложения она должна быть загружена в межсетевой экран.
Наиболее интересными в категории несложных и, самое главное для небольших сетей, бесплатными, оказались два
программных продукта:
1. Sygate Personal Firewall 5.0.
2. Tiny Personal Firewall 2.0.
Интерес оба эти продукта вызвали не случайно - оба они являются бесплатными продуктами, оба созданы в солидных
и уважаемых фирмах и оба прекрасно зарекомендовали себя в различных условиях эксплуатации.
41
Sygate Personal Firewallю Имеет гибкую систему настроек уровня безопасности (Ультра, Высокий, Средний, Низкий и
отсутствие всякой защиты). Также Вы можете указать программы, IP адреса которым Вы доверяете работу с Вашей сетью.
Есть поддержка наиболее популярных программных продуктов для обмена файлами и сообщениями в сетях. Умеет
уведомлять по Email администратора сети о событиях требующих его вмешательства или Важных для нормальной работы
сети. Умеет изменять политику безопасности по расписанию.
Брандмауэр Sygate Personal Firewall призван следить за сетевым трафиком с целью выявления и блокирования
хакерских атак. Он успешно справляется с этой задачей: его результаты на лабораторных тестах были лучшими. Программа
отслеживает предысторию подозрительных событий и маршруты пакетов и управляет доступом прикладных программ в
Интернет на основе ответов пользователя на всплывающие вопросы.
В главном окне брандмауэра перечислены все программы, которые используют сеть, и представлены индикаторы
текущего исходящего, входящего и блокированного трафиков. Базовые параметры конфигурации просты; например, можно
указать максимальный размер и срок действия журнальных файлов и разрешить или запретить совместную работу с
файлами. Кроме того, Sygate позволяет получать предупреждения по электронной почте.
Важная информация в специальном окне просмотра Log разделена на четыре категории: System, Security, Traffic и
Packet. В журнале System просто фиксируются сведения о состоявшихся событиях, например о запуске брандмауэра. В
журнале Security представлен список событий с указанием типа, степени опасности и всех необходимых деталей, а также их
описания на английском языке. Журнал Traffic содержит подробные сведения о событиях сетевого трафика. Если журнал
Packet не отключен, в нем регистрируются последние входящие и исходящие пакеты; выбранный пакет полностью
декодируется. В любом журнале можно щелкнуть правой клавишей мыши на записи и отследить маршрут к IP-адресу
отправителя. В окне отслеживания маршрута выводится также информация, идентифицирующая отправителя.
В Sygate Personal Firewall предусмотрено три уровня безопасности: Allow all, Block al! и Normal. В режиме Allow all
разрешен весь сетевой трафик, хотя его протоколирование продолжается. В режиме Block all сеть полностью блокируется.
Normal — обычный рабочий режим, в котором допустимость соединения определяется правилами брандмауэра. В
соответствии с этими правилами проводится анализ потока данных в поисках подозрительных действий, таких, как просмотр
портов, и идентифицируются (с использованием сигнатурных файлов) «троянские кони», проникающие через порт 144.
Пиктограмма на системной панели показывает сетевой трафик и вспыхивает при попытке вторжения; всплывающие
оповещения о вторжении не выдаются. Квалифицированный пользователь может составлять сложные правила брандмауэра,
имеющие приоритет перед встроенными правилами. Брандмауэр подытоживает процесс настройки сложных правил четким и
понятным сообщением. Можно подготовить расписание работы программы в соответствии с этими правилами и
экспортировать его на другие ПК.
Tiny Personal Firewall (TPF) предоставляет возможность многоуровневой защиты при передаче данных, обеспечивает
контроль входящих пакетов, имеет встроенный сканер портов, анализатор логов и статистики соединений.
Главное окно Tiny Personal Firewall 2.0 действительно очень мало, но программа заявляет о своем присутствии градом
предупреждений. После инсталляции и перезагрузки, еще до регистрации в сети на экране появляются шесть
предупреждений и диалоговое окно. Со временем брандмауэр автоматически составляет правила на основе ответов
пользователя и поток всплывающих сообщений уменьшается. В правилах можно точно указать прикладную программу,
протокол и порт, разрешенные или запрещенные для доступа.
В простом главном окне Tiny Personal Firewall имеются движковый переключатель для трех уровней безопасности,
кнопка расширенной настройки конфигурации и закладка с разнообразными параметрами. На уровне Don't bother me
программа не задает никаких вопросов и разрешает любой трафик, не запрещенный правилами, которые были назначены
пользователем или программой. На уровне Cut me off блокируется любой сетевой доступ. На обычном уровне Ask me first
применяются все правила фильтрации, и программа спрашивает, как поступить с трафиком, для которого еще не установлены
правила.
В диалоговом окне Advanced Firewall Configuration полностью доступны все правила, здесь же можно составить
собственные. Закладка Microsoft Networking позволяет разрешить или запретить совместное использование файлов и
принтеров; программа регистрирует сетевые события в локальном файле или в центральном серверном журнале.
Окно состояния Firewall Status совершенно не связано с главным административным окном и доступно только через
пиктограмму на системной панели. В этом окне показаны все активные локальные точки соединений, подключенные на вход,
выход или простое прослушивание. Для каждой из них указаны прикладная программа, протокол и порт.
42
Чтобы проверить, что облеченная доверием программа не изменилась, в брандмауэре Tiny используется алгоритм
MD5. Однако этот метод не годится для программ, находящихся на сетевом ресурсе.
Однако с задачей защиты более обширных сетей эти продукты не всегда справляются. Поэтому стоит обратить
внимание на ряд недорогих и весьма неплохо зарекомендовавших себя на рынке продуктов.
NORTON INTERNET SECURITY 2003
Интерфейс главного окна Norton internet Security очень наряден, хотя многие операции выполняются и через
контекстное меню значка в Tray-области панели задач.
В отличие от других брандмауэров в состав Norton Internet Security входит антивирусный пакет Norton Antivirus — так
что это по-настоящему комплексный инструмент для защиты от т. н. Интернет-угрозы. А поскольку предком Norton Internet
Security был знаменитый в свое время AtGuard (с 1999 г. эта программа, по сути, прекратила свое существование, хотя в
файловых архивах Сети ее еще можно найти). Как и полагается, этот брандмауэр внимательно следит за сетевой
активностью программ и выводит на экран предупреждение о передаче или приеме пакетов информации. Из главного окна
программы, оформленного в классических для продуктов компании Symantec желтых, оранжевых и белых тонах, можно
заблокировать весь входящий и исходящий трафик, загрузить обновления (режим LiveUpdate), настроить параметры
брандмауэра и открыть справочник.
В левой части окна находятся ярлыки, позволяющие переключаться между режимами работы брандмауэра. Так, в
главном разделе Norton Internet Security находятся ключевые настройки Norton Internet Security — отсюда включается или
отключается режим блокирования рекламы или предупреждения о спаме, а также настраивается уровень безопасности (по
умолчанию выбран низкий уровень — он, кстати, рекомендован авторами программы) и просматривается основная и
подробная статистика. В соседней группе Web Tools представлены дополнительные утилиты, активизирующие режим
автоматического обновления брандмауэра и удаления на диске ненужных файлов.
Функции Norton Internet Security, в общем-то, аналогичны другим рассмотренным брандмауэрам. В программе есть
неплохие средства для мониторинга приложений, слежения за портами и блокирования доступа к определенным ресурсам.
Кстати, список хакерских сайтов уже включен в программу, и для каждого указывается, какого рода информацию допускается
загружать с сайта (основной контент, скрипты, Flash-модули, анимированные изображения и т.д.). Большим плюсом этого
продукта является встроенный антивирусный пакет. Norton Antivirus 2003 довольно неплохо ловит макровирусы и вложенные
в почту файлы, а также следит за троянцами — главной проблемой современного компьютера, подключенного в Сеть. Кроме
того, в Norton Internet Security есть возможность создавать «эккаунты» пользователей и для каждого из них подбирать свои
собственные параметры безопасности.
43
Этот брандмауэр выполняет сразу две задачи: слежение за атаками из Сети и активностью программ на ПК. Последняя
функция реализована в Tiny Personal Firewall очень удачно. Брандмауэр создает перечень программ, которые можно
запускать, и затем любые попытки стартовать приложение без ведома пользователя (а такая ситуация, к примеру, возникает
не только из-за вирусов или троянцев, но даже и при работе с современной средой программирования, когда запускаются
компиляторы и «линковщики») приводят к выводу окна с предостерегающим сообщением. Из него приложению присваивается
статус Restricted Applications, запретив тем самым доступ к нему.
Списки разрешенных и запрещенных приложений редактируются также в главном модуле брандмауэра, называемом
Admin Tool. В нем тоже выводятся ярлыки — в простом режиме (easy) их всего два: Sandbox и Firewall. Первый режим, помимо
блокирования запуска программ, запрещает запись в реестр, исполнение макросов VBA и СОМ-объектов. В расширенном
режиме (Advanced) появляется еще функция MD5 Repository, которая следит за исполняемыми приложениями при помощи
цифровой подписи.
Функции брандмауэра (ярлык Firewall) практически аналогичны SecureUp Personal Firewall. В списке задаются настройки
для браузеров (поддерживаются лишь Netscape Communicator и Internet Explorer), а также для почтовых клиентов (Microsoft
Outlook, Outlook Express, Lotus Notes). Для каждого приложения создаются профили — наборы правил (в них перечисляются
IP-адреса, типы действий и способ мониторинга) для ограничения активности в Сети. Среди сервисных функций Tiny Personal
Firewall можно отметить лишь резервирование и восстановление служебной базы данных.
44
7.4. ЗАЩИТА ЭЛЕКТРОННЫХ ДОКУМЕНТОВ ПРИ ПЕРЕДАЧЕ ПО КАНАЛАМ СВЯЗИ. ШИФРОВАНИЕ
Еще один из методов защиты информации - шифрование. О чем речь? При передаче по электронной почте да и просто
при хранении конфиденциальной информации на компьютерах, доступ к которым имеют несколько человек, возникает
потребность ограничения доступа к некоторым файлам или папкам. Как же решить эту проблему?
Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного
преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа
криптограммы и обратного преобразования. Криптографический метод защиты - самый надежный метод защиты, так как
охраняется непосредственно сама информация, а не доступ к ней. Поэтому зашифрованную информацию невозможно
прочесть даже в случае кражи носителя с ней.
Существует достаточное количество программ, которые довольно надежно кодируют данные. Пожалуй самой
распространенной из них является PGP. PGP - Pretty Good Privacy - Почти Полная Приватность - это семейство программных
продуктов, которые используют самые стойкие из существующих криптографических алгоритмов (алгоритмов шифрования) и
предназначены для защиты приватности Ваших файлов и сообщений электронной почты в глобальных вычислительных и
коммуникационных средах,
Основы криптографии
Для начала, немного элементарной терминологии. Предположим, вы желаете отправить сообщение коллеге, и вы
хотите, чтобы никто, кроме коллеги, не смог его прочитать. Как показано на рис.1, вы можете зашифровать (или
закодировать), то есть преобразовать сообщение безнадежно сложным образом, зная, что никто, кроме вас и коллеги, не
сможет его прочитать. Вы применяете для шифрования криптографический ключ, а коллега должен использовать тот же ключ
для его расшифровки (или раскодирования). По крайней мере, так это выглядит при применении обычной криптографии с
"секретным ключом".
Один и тот же ключ используется как для зашифровки, так и для расшифровки сообщения. Это означает, что этот ключ
должен быть сначала передан по надежному каналу, с тем чтобы обе стороны знали его до того, как передавать
зашифрованное сообщение по ненадежному каналу. Но если у вас есть надежный канал, которым вы можете воспользоваться
для обмена ключами, спрашивается, зачем вам вообще нужна криптография?
45
В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а
Зиммерманн подвергся трехлетнему преследованию властей по подозрению в "незаконном экспорте вооружений".
PGP реализована для множества популярных платформ.
В настоящее время PGP распространяется на коммерческих началах основанной Зиммерманном фирмой PGP, Inc.
Кроме того, бесплатная версия распространяется MIT. PGP в виде исполняемого кода запрещена к экспорту из США, поэтому
во всем остальном мире используются "международные релизы" этой программы.
7.5. РЕЗЕРВНОЕ КОПИРОВАНИЕ
Многие организации не хранят соответствующим образом и не защищают данные, жизненно важные для их
существования.
46
Резервное копирование это процесс изготовления копии файлов, находящихся на жестком диске на магнитной ленте
(обычно) для восстановления исходных данных в случае, если оригинал будет стерт, перезаписан поверху, поврежден, или
уничтожен. В случае возникновения проблем, файлы могут быть восстановлены с ленты обратно на диск.
Архив - это метод долговременного или требуемого по закону хранения важной информации, обычно в виде
дополнительной резервной копии, хранящейся в надежном месте вне стен вашей компании.
Защищайте информацию, это Ваш самый значительный актив!
Взрывной рост количества данных и информации, сохраняемых в цифровой форме, не ослабляется. По оценкам
многих аналитиков ежедневно в мире создается более миллиарда файлов. По данным IDC (International Data Corporation)
емкость, только жестких дисков, проданных в 1998 году, составила 741 петабайт (петабайт - это 1000 терабайт), а в 2001 году
- 5 988 петабайт, совокупный годовой прирост составил 110%. Так как эти цифровые данные являются жизненной силой,
кровью большинства организаций, то безопасность данных - это основа грамотного ведения бизнеса. Таким образом, все эти
диски требуют резервного копирования. Доктор Пол Борилл (Dr. Paul Borrill), председатель Storage Network Industry Association
(SNIA), а также вице-президент и главный архитектор Quantum, в отношении обслуживания ответственных сетей сказал:
"Ответственные приложения и данные требуют внимательного, дисциплинированного подхода к управлению системами.
Используйте лучшие методики, отмеченные ниже, для защиты против неминуемых неудач ежедневного бизнеса".
С данными могут произойти многие неприятности, такие как вирусы, сбои оборудования или природные катастрофы.
Так как это очень важно для организации, мы защищаем их, создавая резервную копию и пряча ее в безопасном месте. Рей
Фриман (Ray Freeman) из Freeman Associates говорит; "Резервное копирование - жизненно важная вещь. Это намного больше,
чем просто защита данных, это - защита бизнеса, потому что потеря данных может просто лишить вас этого бизнеса.
Искренне посвятите себя использованию современных решений резервного копирования. Они еще более могущественны,
искусны и просты в использовании".
Средняя стоимость часа простоя
Брокерская фирма* (или большой сайт е-коммерции)
Торговля по кредитным карточкам и авторизация*
Торговля по каталогу*
Службы доставки и транспорт*
Сети UNIX**
PC LANs**
Средняя стоимость часа восстановления данных**
Источники: * Contingency Planning Association Research, ** Strategic Research
$6,4 млн.
$2,6 млн.
$ 90 тысяч
$ 28 тысяч
$ 75 тысяч
$ 18 тысяч
$ 50 тысяч
Мы стали столь зависимыми от наших компьютерных систем, что не можем больше вернуться к ручной работе, если
компьютер сломался. Большинство данных находятся в такой же опасности, как люди, которые везут свои данные со
скоростью 100 миль в час, в плотном потоке машин, без ремней безопасности или страховки. Лишь немногие компании
обладают эффективными программами восстановления данных. Поразительно, но по данным исследования 1997 года Vulnerability Index Study, спонсором которого выступил COMDISCO, 82% установленных систем масштаба предприятия не
имеют эффективной системы восстановления данных в случае аварии. Окна резервного копирования и восстановления во
многих компаниях становятся все короче. Таким компаниям необходимы высокопроизводительные ленточные накопители. В
приложениях, где время не так важно и менее дорого, могут быть использованы ленточные накопители с меньшей
производительностью. Как и в случае страхования, покупайте только ту защиту, которая вам необходима.
ПРОЦЕСС РЕЗЕРВИРОВАНИЯ И ВОССТАНОВЛЕНИЯ
Организации, обладающие успешными процедурами резервного копирования, регулярно тестируют и совершенствуют
их. Процедуры пишутся таким образом, чтобы резервирование выполнялось часто, было защищено от повреждения или
потери данных, а имена и лента проверялись перед перезаписью. Надежность может быть существенно увеличена ротацией
(сменой) многочисленных комплектов лент для защиты от осыпания носителя, созданием многочисленных резервных копий, и
размещением копий вне стен компании для большей безопасности.
Процесс резервирования может управляться распределенным образом и централизованно. Распределенное резервное
копирование часто доверяется индивидуальным пользователям, которые известны уклонением от отнимающего время
процесса резервирования. Если такой сотрудник покидает . компанию, иногда данные теряются, заставляя нового человека
начинать с нуля. Локальные вычислительные сети (LAN) помогают использовать централизованные процедуры
резервирования. Это самый предпочтительный метод, так как он предоставляет великолепный контроль, следует
стандартному процессу, обладает более низкой стоимостью и управляется с центрального компьютера. Кроме того,
централизованное резервирование позволяет использовать автоматику для необслуживаемых или выполняемых во
внерабочее время операций. При этом выполняется резервирование серверов и ПК, подключенных к сети.
Уровни и методы резервирования
Существуют три уровня резервного копирования, которые используются в сочетании с различными схемами ротации
носителей: полное резервирование и два типа частичного резервирования, называемые добавочное и дифференциальное. В
пределах каждого из этих уровней, для резервирования могут использоваться методики создания зеркального отображения,
как файла, так и всего диска.
Полное резервирование. Полное резервирование обычно затрагивает всю вашу систему и все файлы. Еженедельное,
ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное
резервирование должно быть полным резервированием, обычно выполняемым по Пятницам или в течение выходных, в
течение которого копируются все желаемые файлы. Последующие резервирования, выполняемые с Понедельника по Четверг
до следующего полного резервирования, могут быть добавочными или дифференциальными, главным образом для того,
чтобы сохранить время и место на носителе. Полное резервирование следует проводить, по крайней мере, еженедельно.
Добавочное резервирование. При добавочном резервировании происходит копирование только тех файлов, которые
были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее
добавочное резервирование добавляет только файлы, которые были изменены с момента предыдущего добавочного
резервирования. В среднем, добавочное резервирование занимает меньше времени, так как копируется меньшее количество
файлов. Однако, процесс восстановления данных занимает больше времени, так как должны быть восстановлены данные
последнего полного резервирования, плюс данные всех последующих добавочных резервирований.
Дифференциальное резервирование. При дифференциальном резервировании каждый файл, который был изменен с
момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет
47
процесс восстановления. Все, что вам необходимо, это последняя полная и последняя дифференциальная резервная копия.
Популярность дифференциального резервирования растет, так как все копии файлов делаются в определенные моменты
времени, что, например, очень важно при заражении вирусами.
Пофайловый метод. Система пофайлового резервирования запрашивает каждый индивидуальный файл и записывает
его на носитель. Всегда следует использовать предлагаемую опцию Верификации (Verify). При верификации, все копируемые
с диска данные перечитываются с источника и проверяются или побайтно сравниваются с данными на носителе. Так как
фрагментированные файлы на диске из-за большего количества выполняемых операций поиска замедляют процесс
резервирования, то производительность можно обычно увеличить производя регулярную дефрагментацию диска. При
дефрагментации блоки данных располагаются по порядку, друг за другом так, чтобы они были доступны в кэше
упреждающего чтения.
Метод отображающего дублирования диска. При отображающем дублировании делается своеобразный "снимок"
вашего диска и копируется на ленту сектор за сектором. Процесс почти беспрерывный, позволяющий лентопротяжному
устройству работать с максимальной производительностью. Отображающее дублирование обеспечивает быстрое
восстановление всей системы. Многие системы отображающего дублирования также позволяют восстанавливать отдельные
файлы.
Схемы ротации носителей
Рекомендуемые схемы ротации носителей - те, что предоставляют возможность использования нескольких
комплектов носителей и обеспечивают "глубину" версий файлов, позволяя восстанавливать файл исходя из его состояния в
определенный момент времени, что очень важно при заражении вирусами. Grandfather-father-son (GFS) и Tower of Hanoi это
два хороших расписания ротации, обеспечивающие длительную и разнообразную историю версий файлов. Обе
предоставляют всесторонние возможности восстановления. Также, сходные возможности восстановления предлагают и
пользовательские схемы. Многие люди используют одну ленту ежедневно и неоднократно записывают новую резервную
копию поверх старой, уничтожая версии файлов. Такой способ не отвечает требованиям качественного восстановления.
Grandfather-Father-Son (Дедушка-отец-сын). В GFS, "Сын" - это добавочное или дифференциальное ежедневное
резервирование, "Отец" полное еженедельное резервирование, а "Дедушка" - полное ежемесячное резервирование. Для этой
базовой схемы ротации необходимо 12 комплектов носителей (четыре ежедневных, Понедельник-Четверг; пять
еженедельных, Пятница недели 1-5; и три ежемесячных, месяц 1-3). Носители используются в день, неделю или месяц,
соответствующие их этикетке.
Tower Of Hanoi. Tower of Hanoi получила свое название от древней китайской игры, в которой используется
рекурсивный метод. В этой игре, вы перемещаете стопку дисков с одного колышка на другой, и маленький диск может быть
помещен только на диск большего размера. Как и эта игра, многочисленные комплекты носителей сменяются в
последовательности добавочного и полного резервирования. Здесь, для увеличения безопасности используется больше
комплектов носителей, чем в GFS.
Изъятие носителей из обращения и многочисленные резервные копии
Так как носители многократно используются, настойчиво рекомендуется процесс изъятия носителей из обращения и
изготовление дополнительных резервных копий. Каждый комплект носителей в каждой схеме ротации, которую мы обсудили,
в зависимости от объема резервируемых данных может состоять из многочисленных лент. Так как носители неоднократно
используются, то у вас должен быть план изъятия их из обращения. Планы включают расписание, когда исправляемые
программным обеспечением ошибки превышают безопасные значения, или они основаны на определенном числе раз
использования носителя. Существует программное обеспечение, которое отслеживает состояние лент и проблемы с
носителями, и вовремя предупреждает людей о необходимости замены. Кроме того, архивные ленты периодически
изымаются из схемы ротации и "отправляются на пенсию" для того, чтобы сохранить длительную историю квартальной,
ежегодной и другой важной информации, такой как технические чертежи.
Многие эксперты рекомендуют делать две резервные копии одних и тех же данных на случай возникновения проблем с
одной из них или участком носителя. Другие эксперты предлагают сохранять три резервные копии, причем третья должна
хранится вне стен компании на случай стихийных бедствий, пожаров и т.д. Если резервная копия плохая, то ваши данные
стоят на краю пропасти. Старая копия - лучше отсутствия копий.
Оценка решений резервного копирования
Выбор накопителя. Вам понадобится вся доступная помощь, которую вы можете получить. Производительность
наиболее важна при резервном копировании или восстановлении серверов или целых сетей. Производительность системы
определяется тем, как хорошо приложения резервирования, диски, источники данных, ленты, на которые выполняется
резервирование, и конвейер данных работают вместе. Следует использовать ленточные накопители с интерфейсами SCSI,
так как они позволяют компьютеру заниматься другими делами, не прекращая передачу данных. Выбирайте рентабельные
ленточные накопители с высокой скоростью передачи данных и производительностью, а также с картриджами большой
емкости. При сравнении накопителей на магнитной ленте, сравнивайте нормальный режимы и режимы компрессии, и ищите
устройства, чья скорость передачи данных лежит в пределах от 9Гб до 18Гб в час, с 20-35ГБ картриджами. Ленточные
накопители должны иметь встроенное аппаратное сжатие для ускорения резервного копирования и снижения потребления
носителей. Фара Йель (Fara Yale) из Dataquest советует: "Выбирайте продукты компаний, которые понимают ваши
организационные потребности и обладают жизнеспособными путеводителями. Сравнивайте общую стоимость владения и
производительность, в которой вы нуждаетесь". Хорошие продукты хранения данных, как и хорошая стратегия
резервирования, увеличивают надежность. Резервное копирование должно затрагивать все жесткие диски, включая
установленные в ноутбуках и лэптопах. Крейг Айзек (Craig Isaacs) из Dantz говорит: "Данные мобильного компьютера
находятся в постоянной опасности, а резервное копирование традиционно зависит от инициативы пользователя и проводится
от случая к случаю. Решением может стать автоматическое сетевое резервирование мобильных компьютеров в тот момент,
когда они подключены к локальной сети вашей организации". Используя аналогию со страховым полисом, платите за то, что
вам будет необходимо в случае катастрофы. Если вам нужна 24-часовая работоспособность, имейте в виду высококлассное
отказоустойчивое решение.
Автоматическая поддержка работы без надзора. Использование автозагрузчиков и автоматических библиотек имеет
множество преимуществ. Автоматизация увеличивает емкость хранилищ данных и время, в течение которого резервирование
может осуществляться без надзора. Это уменьшает вмешательство человека, помогает решить проблемы, связанные с
сужением окон резервирования, и улучшает безопасность данных и доступность приложений. Автоматизация рецентрализует
хранение данных и является наиболее рентабельным решением (по стоимости одного мегабайта) для быстрого возврата
инвестиций. Кроме того, автоматизация позволяет упростить управление ротацией носителей и целостное восстановление
системы. Ежеквартальный реестр носителей также может быть использован для расчета емкости необходимой для
автоматизации. Оставьте больше места для роста.
48
Выбор программного обеспечения для резервного копирования. Выбирая решение резервирования, примите во
внимание набор встроенных возможностей и опций, управление и пользовательская настройка выбором ленты и ротацией, и
поддерживает ли оно вашу платформу(ы). Подсказки по уменьшению данных, такие как не резервировать вспомогательные
файлы, дубликаты файлов, "Корзину" или игры могут помочь улучшить производительность. Кен Дилэни (Ken Delaney) из
Computer Associates советует: "Настоящее управление хранением данных это не только резервирование и восстановление.
Ищите программное обеспечение с производительным, высокодоступном резервированием в реальном времени для
ответственных приложений, и интегрированными возможностями восстановления после вирусных атак и бедствий. Выберите
ISV (независимый поставщик программных продуктов) компанию, которая предлагает целостное, сквозные или корпоративные
решения управления хранением данных, охватывающие все - от настольных компьютеров до мейнфреймов". Есть много
хороших VAR и ISV компаний, которые могут помочь вам сделать правильный выбор в соответствии с текущими и будущими
потребностями. Знайте, кто поддержит вас в случае возникновения проблем. Нора Дензель (Nora Denzel), старший вицепрезидент Legato советует: "Будьте благосклонны к решениям лидера рынка, чье основное направление деятельности программное обеспечение для резервирования данных, и у которого есть авторитетная база инсталляций. Просматривайте
централизованные административные выпуски, связанные с управлением вашим резервным копированием и управлением
распределенным хранением данных на предприятии. Разделяйте данные и процессы управления для упрощения
масштабирования в случае быстрого роста. Будьте уверены, что решение служит вашей практической архитектуре бизнеса,
приложениям, и требованиям к полной стоимости владения".
Резервирование в реальном времени 7x24. В настоящее время все больше растет необходимость и популярность в
системах реального времени 7x24, позволяющих осуществлять резервное копирование не прерывая работу приложений. С
тех пор, как окно резервирования было устранено, специальные пакеты программного обеспечения для пофайлового
резервирования в реальном времени отслеживают изменения в ваших данных по мере их появления в сети или на файлсервере. Специфические агенты баз данных этих приложений предотвращают неполные транзакции, рентабельны и
обеспечивают, без преувеличения, ежеминутное резервирование данных.
Восстановление
Покупайте необходимое время восстановления на основании времени простоя, который вы можете пережить В
соответствии с январским, 1998 года отчетом М.Николетте (М. Nicolette) из GartnerGroup: "Сужающиеся для ответственных
приложений окна восстановления увеличат число IS (Информационные Системы) организаций, применяющих технологии
высокого доступа и восстановления после катастроф для локального восстановления". Майкл Петерсон (Michael Peterson) из
Strategic Research разработал систему расчета необходимого вам времени восстановления сети. "Примите решение
относительно надежности функционирования. Во-первых, определите стоимость простоя, которую вы можете не принимать во
внимание. Затем, определите требования ко времени работоспособности системы и покупайте конфигурацию, которая даст
вашей системе необходимую вам доступность и возможность будущего расширения. Когда требования ко времени
работоспособности системы соответствуют времени возможного простоя за год, стоимость - оптимальна".
Резюме лучших методов организации резервного копирования

Записывайте все на бумаге. Как сказал генерал Эйзенхауэр: "Планирование - это все";

Осуществляйте, тестируйте и совершенствуйте процесс до того, как он вам понадобится;

Используйте ротационную схему резервного копирования, обеспечивающую глубину версий файлов (GFS, Tower of
Hanoi, и т.д.);

Делайте дублированные резервные копии и еженедельно осуществляйте ротацию одной из них, находящейся вне
стен компании;

Включайте каждый жесткий диск в процесс резервного копирования, включая мобильные ПК;

Платите только за время восстановления, достаточное для поддержания вашего существования;

Всегда используйте "верификацию" чтобы быть уверенным в том, что данные правильно записаны на ленту,
попробуйте восстановить некоторые из них;

Предпочитайте основных лидеров рынка, у которых есть жизнеспособные путеводители для аппаратного и
программного обеспечения и сервиса;

Автоматизируйте процесс резервного копирования при помощи автозагрузчиков и библиотек для работы без надзора,
планируйте будущий рост;

Если вам требуется помощь, обратитесь за советом к лидирующим VAR, ISV компаниям или консультантам по
безопасности данных.
ПО ДЛЯ РЕЗЕРВНОГО КОПИРОВАНИЯ
Программы для резервного копирования решают две задачи: создание backup-файла и восстановление из него
документов. Наиболее мощные из них, конечно, предоставляют дополнительные возможности. Это, к примеру, выбор
компонентов для резервирования, позволяющий отбирать документы по маске и добавлять в backup-файл системные
компоненты Windows, работа по расписанию — в режиме, когда программа «собирает» все измененные за некий интервал
времени документы и добавляет их в резервный файл. Некоторые программы также позволяют резервировать данные в
локальной сети, копировать их на CD-R/RW и другие виды сменных носителей. Последовательность действий пользователя в
таких программах одинакова: отбираются исходные файлы и папки, указывается адресат, где должен быть сохранен
резервный архив, и запускается процесс копирования.
К сожалению, большинство людей понимают важность резервного копирования только тогда, когда видят
безнадежно потерянные данные...
Согласно статистике, огромное количество данных теряются или портятся каждый день. Вирусные атаки, сбои в работе
оборудования, перебои питания системы, а также ошибки пользователя - все это может привести к ситуации, когда Ваши
данные уже не удастся восстановить. А может быть, это была важнейшая информация?!
"УНИВЕРСАЛЬНЫЙ BACKUP"
Утилита «Универсальный Backup», позволяет сохранять как компоненты Windows, например, системные папки Windows
и программ, настройки Windows, так и содержимое всего системного диска или его части. Если в компьютере установлено два
и более винчестера или на жестком диске создано несколько разделов, наиболее важные документы можно временно
скопировать на системный диск — в этом случае они тоже будут сохранены. «Универсальный Backup» оформлен в виде
диалогового окна мастера. Как всегда, сначала указывается, какие данные сохранять и в каком файле, после этого начинается
процесс копирования данных.
Универсальный Backup (Universal Backup) 1,1 Freeware является многофункциональной программой. В основные
возможности программы входит:

создание архивов, содержащих любые файлы, каталоги, ключи и переменные системного реестра;
49

восстановление файлов, каталогов, ключей и переменных реестра в их исходные местоположения (как из-под
"глухого" DOS'a, так и прямо из Windows);

произведение сканирований любых каталогов, ключей реестра, файлов настройки Windows (control.ini, system.ini,
win.ini) и системных файлов MS DOS (boot.ini, winstart.bat, dosstart.bat, autoexec.bat, config.sys, msdos.sys);

сравнение отчетов о произведенных ранее сканированиях для выявления различий между ними (создание, удаление
и изменение файлов, каталогов, ключей и переменных реестра);

создание архивов на основе выявленных изменений (в архив включаются созданные и измененные файлы,
каталоги, ключи и переменные реестра);

переустановка (восстановление) операционной системы;

доустановка необходимых компонентов системы.
Основной целью программы является создание резервных копий как отдельных программ, так и операционной системы
Windows в целом. Данная программа призвана облегчить жизнь огромному количеству пользователей. Только представьте,
полная переустановка Windows из "глухого" DOS'a займет у вас считанные минуты! Многие "продвинутые" пользователи
знают, что не столько времени занимает установка самой операционной системы, сколько ее дальнейшая настройка и
оптимизация, а как не хочется тратить на это время, хочется сразу же приступить к работе. Воспользовавшись
Универсальным Backup'oм вы решите эту проблему.
Настроив программный комплекс и используя планировщик заданий, пользователю больше никогда не придется
создавать резервные копии вручную. Теперь за него это будет делать программа The Copier, причем пользователю нет
необходимости принимать непосредственное участие в данном процессе, т.к. программа выполняет все действия
автоматически.
Особенно полезной эта программа окажется для администраторов баз данных. Т.к. программное обеспечение и сами
компьютеры (сервера) не всегда работают надежно, необходимо постоянно иметь последний вариант рабочей базы. Как
правило, администратору приходится после окончания рабочего дня вручную архивировать текущее состояние базы,
создавать копии полученных архивов на различных носителях информации (других серверах, рабочих станциях, мобильных
жестких дисках и т.п.). Всё это не сильно утруждает, если сохраняемая информация имеет небольшой объем и,
следовательно, данный процесс занимает мало времени. Но что если архивирование базы занимает несколько часов? А если
надо выполнить резервное копирование нескольких баз? Вот тогда на помощь и приходит программа The Copier. Данная
программа позволяет для каждой базы данных:
1. определенным образом настроить архиватор;
2. создать архив текущего состояния;
3. создать необходимое количество копий архива, а также дополнительных копий (конца недели, месяца, квартала,
года);
4. выполнить любые команды операционной системы (внутренние или внешние) до или после создания архива и его
копий.
При этом программа проверяет результат выполнения архивирования и результат создания каждой копии архива,
создает подробный отчет о каждом своем действии и по завершении процесса резервного копирования выдает отчет в виде:
<имя базы 1> - <результат> <имя базы 2> - <результат>...
Использует встроенный архиватор ZIP, имеет новый интерфейс, собственный планировщик запуска и многое другое.
50
7.6. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Наша компания представляет на украинском рынке программно-аппаратные решения для комплексной защиты
информации от российского производителя, компании "ФизТехСофт" - StrongDisk Pro и StrongDisk Server, а также
электронные ключи к ним.
STRONGDISK PRO
Система защиты информации StrongDisk Pro предназначена для защиты конфиденциальной информации, с которой
одновременно работает только один пользователь.
StrongDisk Pro позволяет:

защитить любую информацию на персональном компьютере или ноутбуке. Это, может быть почтовая программа,
папка с документами или любое другое приложение;

скрыть сам факт наличия на компьютере конфиденциальной информации;

мгновенно закрыть доступ к информации по нажатию «горячей клавиши» или при извлечении электронного ключа;

мгновенно подменить истинную информацию на заранее подготовленную ложную в критической ситуации.
Принципы работы
В операционной системе создаются защищенные диски, которые работают так же, как обычные логические диски.
Основное отличие заключается в том, что вся информация при записи на защищенный диск тут же кодируется, а при чтении декодируется. Содержимое защищенного диска физически расположено в обычном файле с произвольным именем и
расширением. Чтобы получить доступ к информации, защищенный диск необходимо подключить. Для этого необходимо
ввести пароль и подключить внешние ключи (опциональная возможность). Не обладая необходимым паролем и внешними
ключами, никто, включая разработчиков системы, не сможет получить доступ к конфиденциальной информации,
расположенной на защищенных дисках.
Основные возможности StrongDisk Pro.

Надежные и проверенные алгоритмы кодирования с длиной ключа до 448 бит (AES, Blowfish, tripleDES, CAST-128,
Safer).

Удобство и простота использования. Для работы не требуется никаких специальных знаний в области защиты
информации. Например, можно просто присоединить внешний ключ, после чего подключатся защищенные диски и
автоматически запустятся нужные приложения.

Наличие специальных средств, предотвращающих утечку информации из-за несовершенства операционной системы.
Сюда входит:
o утилита Burner для затирания произвольных файлов без возможности восстановления, даже используя
специальные технические средства;
o утилита для затирания всего свободного места на диске;
o затирание файла подкачки;
o защищенная папка TEMP для хранения временных файлов.

Прозрачность работы. Все приложения, установленные на защищенных дисках, работают точно так же, как и на
обычных дисках. Следовательно, не нужно будет менять свой стиль работы и привычки.

Подробная система помощи с рекомендациями позволяет быстро освоить различные возможности системы.
Поддерживаемые операционные системы: Windows 95/98/Me/NT Workstation/2000 Professional/XP.
STRONGDISK SERVER
Система защиты информации StrongDisk Server предназначена для защиты конфиденциальной информации, с которой
работают одновременно много удаленных пользователей.
StrongDisk Server позволяет:

защитить от НСД любые приложения и базы данных на сервере, например, бухгалтерские приложения, электронную
почту, персональные данные и т.д.

создавать защищенные архивы, которые можно безопасно транспортировать на любых носителях;

мгновенно уничтожить любую информацию на сервере при поступлении сигнала на сотовый или обычный телефон;

управлять защищенной информацией удаленно, если сервер находится в изолированном помещении;

контролировать доступ удаленных пользователей к защищенной информации при помощи журнала аудита;

решать широкий спектр различных задач, связанных с защитой информации от НСД на сервере.
Принципы работы
В операционной системе создаются защищенные диски, которые работают так же, как обычные логические диски.
Основное отличие заключается в том. что вся информация при записи на защищенный диск тут же кодируется, а при чтении декодируется. Содержимое защищенного диска физически расположено в обычном файле с произвольным именем и
расширением. Чтобы получить доступ к информации, защищенный диск необходимо подключить. Для этого необходимо
ввести пароль и подключить внешние ключи (опциональная возможность). Не обладая необходимым паролем и внешними
ключами, никто, включая разработчиков системы, не сможет получить доступ к конфиденциальной информации,
расположенной на защищенных дисках.
Основные возможности StrongDisk Server.

Надежные и проверенные алгоритмы кодирования с открытыми исходными текстами и длиной ключа до 448 бит
(AES, Blowfish, tripleDES, CAST-128, Safer).

Устойчивость к сбоям и высокая производительность позволяют работать практически с любыми объемами
информации при большой нагрузке. Максимальный размер защищенного диска - 512 Gb.

Система удаленного управления позволяет подключать, отключать и уничтожать защищенные диски на сервере с
любого компьютера, подключенного в локальную сеть или Интернет. Сервер может быть размещен в изолированном
помещении.

Система экстренного реагирования «Смерч» - это возможность мгновенного отключения или уничтожения
информации при поступлении сигнала на сотовый или обычный телефон.

Функция «Красная кнопка» обеспечивает мгновенное уничтожение информации при срабатывании реле (может
осуществляться при открывании входной двери или выдвижного ящика в столе, а также любым другим способом в
зависимости от пожеланий клиента).

Наличие API и командной строки позволяет интегрировать StrongDisk Server с любыми другими приложениями.

Поддержка внешних ключей и смарт-карт значительно увеличивает надежность защиты и делает работу с
системой более удобной. Код, записанный на внешнем ключе или смарт-карте, генерируется случайным образом и имеет
большую длину, что полностью исключает возможность его подбора.
51

Незаметность для конечных пользователей. Пользователи работают с данными, которые кодируются «на лету»
прямо на сервере. Все ключи кодирования находятся только на сервере. Обычный пользователь может и не знать, что
информация, с которой он работает, сразу же кодируется.

Защищенный журнал аудита позволяет контролировать, кто и когда пытался получить доступ к защищенным
дискам. Журнал аудита хранится в закодированном виде, что не позволит злоумышленникам внести в него изменения и
скрыть, таким образом, факт попытки доступа к защищенной информации.

Наличие специальных средств, предотвращающих утечку информации из-за несовершенства операционной
системы. Сюда входит:
o средство для затирания произвольных файлов без возможности восстановления, даже используя
специальные технические средства;
o утилита Burner для затирания всего свободного места на диске;
o затирание файла подкачки;
o защищенная папка TEMP для хранения временных файлов.

Прозрачность работы. Все приложения, установленные на защищенных дисках работают точно так же, как и на
обычных дисках. Следовательно, не нужно будет менять свой стиль работы и привычки.
Поддерживаемые операционные системы: Windows NT/2000/XP, Windows .NET Server.
ЭЛЕКТРОННЫЕ КЛЮЧИ
Системы защиты информации StrongDisk поддерживают работу с электронными ключами, совместимыми с
международным стандартом PKCS#11(Cryptoki). На электронный ключ владелец информации записывает код. который
используется как составляющая полного пароля для кодирования/декодирования информации. Этот код генерируется
случайным образом и имеет большую длину, что полностью исключает возможность его подбора. Электронные ключи
выполнены в виде брелков, что позволяет, например, носить их на связке с обычными ключами. Они очень удобны в
использовании и обеспечивают ряд преимуществ:

для получения доступа к защищенной информации необходимо не только ввести пароль, но и подключить
электронный ключ. Вы можете быть уверенны, что информация надежно защищена, если ключ находится у вас;

один электронный ключ может использоваться сразу в нескольких приложениях, например, для защищенного входа в
систему (Windows SmartCard Logon) и хранения цифровых сертификатов;

код, хранимый на электронном ключе, генерируется случайным образом, имеет большую длину, что делает его
подбор нереальной задачей;

использование электронных ключей не требует запоминание сложного пароля;

возможность доступа к защищенной информации может быть мгновенно заблокирована при извлечении электронного
ключа, если такая опция указанна. На основе этого может быть реализована функция "Красная кнопка".
Поддерживаемые электронные ключи.
Электронный ключ iKey™ 1000
Небольшое и легкое устройство, которое можно носить с собой на брелке для ключей или в записной книжке. Этот ключ
подключается к USB порту. Он обеспечивает надежность, простоту и безопасность в той же степени, что и смарт-карта, но без
сложностей и лишних затрат, связанных с использованием считывателя. iKey™ 1000 имеют встроенную память для хранения
персональной информации, а также независимый процессор для аутентификации и защиты данных при работе в сети.
Электронный ключ iButton
Представляет собой металлическую таблетку, которая присоединяется к адаптеру, который, в свою очередь,
присоединяется к СОМ-порту. Эти ключи очень удобны благодаря своим малым размерам и отличной устойчивости к
внешним воздействиям.
Электронный ключ Cryptoldentity
Электронный ключ Cryptoldentity представляет собой небольшое устройство с USB-интерфейсом, встроенным
микропроцессором и памятью. Ключи данного класса используются в качестве звена аутентификации при реализации
инфраструктуры открытых ключей (PKI). Все функции безопасности Cryptoldentity реализованы на внутреннем чипе,
изолированном от окружения компьютера и некоторых классов атак.
От пользователя потребуется лишь получить брелок (так же, например, как ключи от помещения) и предъявить его при
входе в систему, сообщив свое имя для регистрации.
ПАРОЛЬ ТЕПЕРЬ МАТЕРИАЛЕН, его можно хранить и учитывать, как любой материальный объект.
Для работы модуля Crypton Lock необходимы операционная система Windows NT 4.0 или 2000 и сам брелок.
CRYPTON DISK.
Средство защиты информации от несанкционированного доступа Crypton Disk подключается к шифратору
(программному эмулятору или аппаратному КРИПТОНу) и позволяет создавать секретные логические диски, содержимое
которых шифруется в прозрачном (незаметном для пользователя) режиме и доступно только для владельца диска. При
чтении какой-либо программной информации с секретного диска эта информация расшифровывается, а при записи зашифровывается.
Crypton Disk не требует от пользователя дополнительных усилий: для доступа к секретному диску его владельцу
достаточно предъявить носитель ключей и ввести пароль. Секретный диск существует в виде файла-контейнера (можно
запретить незарегистрированным пользователям случайное или преднамеренное уничтожение файлов-контейнеров); для
законного владельца секретный диск предстает в виде еще одного логического диска.
52
Crypton Disk позволяет пользователям закрывать доступ ко всем логическим дискам по истечении установленного
времени и/или комбинации горячих клавиш.
Подробнее о продукции компаний АНКАД и ФИЗТЕХСОФТ Вы можете ознакомиться у представителя нашей фирмы.
8. ЗАКОНОДАТЕЛЬНО-ПРАВОВЫЕ И НОРМАТИВНЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
ЗАКОНЫ УКРАИНЫ
Закон України "Про інформацію" від 02.10.1992 року.
Закон України "Про державну таємницю" від 21.09.1999 року.
Закон України "Про захист інформації у автоматизованих системах" від 05.07.1999 року.
Закон України "Про Національну систему конфіденційного зв'язку" від 10.01.2002 року.
Закон України "Про зв'язок".
Закон України "Про Національну програму інформатизації" від 04.02.1998 року.
Закон України "Про Службу безпеки України" від 25.03.1992 року.
Закон України "Про наукову та науково-технічну діяльність" від 13.12.1991 року.
Закон України " Про ліцензування певних видів господарської діяльності" від 01.06.2000 року.
Закон України "Про науково-технічну експертизу" від 10 02 1995 року.
Кримінальний кодекс України.
УКАЗИ ПРЕЗИДЕНТА УКРАЇНИ
1. Про деякі заходи щодо захисту інтересів держави в інформаційній сфері. Указ президенту України № 346 від
22.04. 1998 року.
2. Положення про порядок здійснення криптографічного захисту інформації в Україні. Затверджено Указом
Президенту України № 505 від 22.05. 1998 року.
3. Положення про технічний захист інформації в Україні. Затверджено Указом Президенту України № 1229 від
27.09.1999 року.
4. Про заходи щодо вдосконалення криптографічного захисту інформації в телекомунікаційних та
інформаційних системах. Затверджено Указом Президента України від 11.02.1998 р. № 110/98.
5. Про заходи щодо захисту інформаційних ресурсів держави. Затверджено Указом Президенту України №582 від
10.04 2000 року.
6. Питання Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби Безпеки України.
Затверджено Указом Президенту України № 1120 від 06.10 2000 року.
7. Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних. Затверджено
Указом Президенту України № 891 від 24.09.2001 року.
ПОСТАНОВИ КАБІНЕТУ МІНІСТРІВ УКРАЇНИ
1. Порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи
технічного захисту інформації. Затверджений постановою КМУ від 26.06.1996, № 677.
2. Положення про забезпечення режиму секретності під час обробки інформації, що становить державну
таємницю, в автоматизованих системах. Затверджено постановою КМУ від 02.1997, №180.
3. Концепція технічного захисту інформації в Україні. Затверджена постановою КМУ від 08.10.1997, № 1126.
4. Перелік обов'язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів
автоматизованої обробки та передачі даних. Затверджений постановою КМУ від 04.02.1998, № 121.
5. Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних
носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. Затверджено постановою КМУ від
27.11.1998 р. № 1893.
6. Концепція розвитку зв'язку України до 2010 року. Затверджена постановою КМУвід 09.12. 1999, № 2238.
7. Порядок оприлюднення у мережі інтернат інформації про діяльність органів виконавчої влади. Затверджений
постановою КМУ від 04.01.2002 р. № 3.
НАКАЗИ ДЕПАРТАМЕНТУ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ
БЕЗПЕКИ УКРАЇНИ ТА ІНШИХ ВІДОМСТВ
1.
Положення про контроль за функціонуванням системи технічного захисту інформації. Затверджено
наказом ДСТСЗІ СБ України від 22.12.1999. №61.
2. Звід відомостей, що становлять державну таємницю. Затверджено наказом Голови Служби безпеки України від
01.03.2001 р. № 52. Зареєстровано у Міністерстві юстиції України від 22.03.2001 р. за № 264/5455
3. Порядок захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах.
Затверджено наказом ДСТСЗІ СБУ від 24.12.2001 р. № 76. Зареєстровано у Міністерстві юстиції України від 11.01.2002 р.
за № 27/6315.
4. Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб.
Затверджено наказом ДСТСЗІ СБУ від 23.02.2002 р. № 9. Зареєстровано у Міністерстві юстиції України від 13.03.2002 р. за
№ 245/6533.
ДОКУМЕНТИ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ (НД ТЗІ)
1. НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від
несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 24.04.1999 р. № 22 Чинний від 01.07.1999р.
2. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого
доступу. Затверджено наказом ДСТЗІ СБ України від 28.04.1999 р. № 22 Чинний від 01.07.1999р.
3. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.
Затверджено наказом ДСТЗІ СБ України від 04.12.2000 р. № 53 Чинний від 15.12.2000 р.
53
4. НД ТЗІ 2.1-001-2001. Створення комплексів технічного захисту інформації. Атестація комплексів. Основні
положення. Затверджено наказом ДСТЗІ від 09.02.2001. № 2. Чинний від 20.02.2001.
5. НД ТЗІ 2.5-004-99. Критерії захищеності інформації комп'ютерних системах від несанкціонованого доступу.
Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22. Чинний від 01.07.1999.
6. НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності
оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22.
Чинний від 01.07.1999.
7. НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення впровадження,
супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено
наказом ДСТЗІ СБ України від
8. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання та створення комплексної системи
захисту інформації в автоматизованій системі. Затверджено наказом ДСТЗІ СБ України від 28.04.1999. № 22. Чинний від
01.07.1999.
9. ЛИЦЕНЗИРОВАНИЕ И СЕРТИФИКАЦИЯ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В УКРАИНЕ.
Одним из первых реальных шагов в формировании национальной системы ТЗИ в Украине явилось создание системы
государственного лицензирования деятельности в области защиты информации. Были внесены соответствующие изменения
в Закон о предпринимательской деятельности и введена в действие соответствующая инструкция. Несколько лет
функционирования этой системы позволяют подвести некоторые итоги. Прежде всего необходимо установить, какие цели
преследует лицензирование в области ТЗИ и достигнуты ли они? Одной из основных задач института лицензирования вообще
является защита страны и ее населения от товаров, которые могут нанести ущерб жизни и здоровью граждан, экологии,
нормальной работе важных систем и т.д. Целью лицензирования может служить также пополнение бюджета государства (как
форма "скрытого налога" на высокодоходные виды деятельности). Обе эти цели маловероятны, так как деятельность в
области ТЗИ не проносит сверхприбылей, цена лицензии не высока, а угрозы для здоровья и экологии отсутствует.
Можно сделать вывод, что лицензирование предпринимательской деятельности в области защиты информации с
ограниченным доступом от утечки по техническим каналам может иметь смысл как государственная гарантия качества
предоставляемых услуг. Это существенно при проведении мероприятий по защите гостайны. Но для тех, кто работает с
гостайной, давно существует налаженный механизм допуска и при отсутствии такого, надлежащим образом оформленного,
никакая лицензия не даст права на проведение работ по защите секретной информации. Несколько иная ситуация возникает
при организации защиты информации субъектами негосударственного сектора. При этом наблюдаются два подхода к
решению проблемы.
В первом случае руководство субъекта предпринимательской деятельности (далее фирма) понимает необходимость
защиты информации и реально заинтересовано в качественном выполнении работ. При этом фирма будет искать
специалистов, имеющих наибольший авторитет в данной области, не зависимо от того, работают ли специалисты в
организации, имеющей лицензию. Таким образом, стимулируется проведение этих работ за счет теневого сектора экономики.
Не исключено, что коммерческие структуры не всегда охотно пойдут на сотрудничество с лицензиатами, находящимися под
прямым контролем СБУ.
Вo втором случае руководство фирмы не считает актуальным необходимость проведения мероприятий по защите
информации, но желает выполнить все положенные требования. В этой ситуации для заказчика не имеет значения качество
выполнения работ, важно только, чтобы договор и результаты работ были оформлены в соответствии с требованиями
руководящих документов (кстати, аналогичное отношение в ряде случаев просматривается и в госучреждениях). Такой подход
дискредитирует систему ТЗИ вообще и лицензирования деятельности в этой области в частности. Кроме того, в этой ситуации
снижаются требования к линцезиатам, что понижает общий уровень проведения работ в области ТЗИ в целом по стране.
Рассмотрим лицензирование с точки зрения направлений деятельности лицензиатов в области ТЗИ. Поскольку речь
идет об оказании платных услуг потребителю, нормативная база должна, прежде всего, учитывать интересы заказчика.
Сегодня защита информации на фирмах и в организациях сводится, в основном, к следующим направлениям:

защита речевой информации с ограниченным доступом, циркулирующей на объекте, от утечки по техническим
каналам;

защита информации с ограниченным доступом, циркулирующей в средствах вычислительной техники, от утечки по
техническим каналам;

защита информации с ограниченным доступом от утечки через закладные устройства;

защита информации с ограниченным доступом, циркулирующей в АС, от несанкционированного доступа
(компьютерная безопасность - КБ);

защита информации с ограниченным доступом, передаваемой по коммуникациям различного назначения.
Очевидно, что система лицензирования должна быть адекватной названным задачам. Кроме интересов потребителя,
указанные направления деятельности объединяет единство технической и нормативно-методической базы. Каждое
направление может разделяться на уровни - защита государственной и негосударственной тайны. Можно также выделить
монтаж средств защиты и их специсследования, при условии, что аттестация объекта защиты уже проведена силами самой
организации или другим лицензиатом.
Рассмотрим с этой точки зрения, какие требования к видам деятельности предъявляет к лицензиатам «Інструкція про
умови i правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням,
ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг з
технічного захисту інформації, та контроль за їх дотриманням». В ней определены такие виды работ, подлежащих
лицензированию:
1.3.1. Дослідження об'єктів інформаційної діяльності та інформаційних систем щодо безпеки інформації, надання
консультативних послуг з технічного захисту інформації.
1.3.2. Розроблення, впровадження, атестація, обслуговування систем технічного захисту інформації від технічних
розвідок та спеціальних впливів на об'ектах інформаційної діяльності.
1.3.3. Розроблення, впровадження, супроводження систем технічного захисту інформації в інформаційних системах.
1.3.4. Виявлення та блокування витоку MOBHOЇ та видової їнформації через закладні пристрої на об'єктах
інформаційної діяльності.
1.3.5. Розроблення, виготовлення, використання та реалізація засобів забезпечення технічного захисту інформації.
1.3.6. Ввезення, вивезення засобів технічного захисту інформації.
Как видно из приведенного перечня, он не учитывает реального подхода к технической защите информации и
потребностей заказчика. Реализация пп. 1.3.2. 1.3.3. невозможна без п. 1.3.1., так как нельзя разработать и реализовать
54
систему защиты информации без исследования объектов; а разработанные на основе исследования рекомендации по
созданию системы ТЗИ фактически являются "консультативными услугами". Пп. 1.3.1.-1.3.3. не определяют конкретный вид
деятельности. Как уже говорилось, оценка защищенности АС от утечки информации за счет ПЭМИН и защита речевой
информации существенно отличаются методологией и используемой аппаратурой. Инструкция не предусматривает
конкретного вида деятельности. Таким образом, лицензиат должен либо показать готовность к проведению любого вида работ
(что не всегда необходимо и оправдано), либо заявить одно направление деятельности по защите, что не мешает
впоследствии произвольно расширять сферу деятельности. Наиболее четкий, обоснованный и конкретный вид деятельности
определен п. 1.3.4. Это, видимо, связано с тем, что процесс поиска закладных устройств носит не столько технический,
сколько оперативно-технический характер.
Кроме того, первые три вида деятельности обеспечены только закрытой нормативно-методической документацией, для
защиты конфиденциальной информации открытая нормативная база отсутствует. Лицензиатам по этим пунктам необходимо
иметь 1-й отдел или доступ к документации, независимо от категории лицензии.
Рассмотрим последовательно составляющие п.1.3.5.
Разработка средств обеспечения ТЗИ. Неясно, какую роль в этом виде деятельности играет лицензирование.
Простой пример помехоподавляющие сетевые фильтры. Они имеют двойное назначение защита ПК от помех в сети и защита
информации от утечки по цепям питания. Если предприятие давно изготавливает такие фильтры, то теперь оно должно
получить на это лицензию (?). С другой стороны, для получения лицензии достаточно предъявить простое по конструкции
изделие (например, диодно-емкостной фильтр типа "Гранит-VIII"), а потом можно изготавливать любое по сложности и
назначению изделие. Если разработка ведется по госзаказу, то никакой лицензии не требуется. Тогда зачем она организации,
которая нашла решение в инициативном порядке? Можно разрабатывать тот же сетевой помехоподавляющий фильтр без
лицензий, а потом найти ему применение в целях ТЗИ.
Изготовление средств обеспечения ТЗИ. В лицензии не указано, на какое именно средство она выдана.
Основным (и единственным) регулятором применения средств обеспечения ТЗИ является система сертификации.
Рассмотрим простую ситуацию: предприятие имеет лицензию на производство средства обеспечения ТЗИ, но оно не прошло
сертификационных испытаний. Такое изделие не может быть рекомендовано для применения. С другой стороны,
изготовленное в инициативном порядке и прошедшее сертификационные испытания изделие может быть рекомендовано для
обеспечения ТЗИ. Возникает закономерный вопрос, какую цель преследует лицензирование в этой области.
Те же аргументы относятся к "ввозу, вывозу средств ТЗИ". Еще можно понять регламентацию ввоза и вывоза средств
съема информации, но средства защиты могут вводиться без ограничений при условии их сертификации.
Еще одним существенным аспектом является нормирование труда в этой области. В других областях деятельности
такое нормирование существует. Безусловно, в рыночных условиях нереально навязывать стоимость договорных работ,
вместе с тем ориентировочные средние трудозатраты должны быть определены нормативным документом. Отсутствие норм
трудозатрат приводит к тому, что некоторые лицензиаты неоправданно и значительно завышают стоимость работ. Это не
принципиально, если договор заключают между собой коммерческие структуры. Но если договор на выполнение работ по
защите информации заключается на бюджетные средства, то это приводит к неоправданному расходу государственных денег.
С другой стороны, имеет место демпинг со стороны лицензиатов с целью получения заказа любой ценой. За предлагаемые
сроки и стоимость работа просто физически не может быть выполнена с необходимым качеством. Таким образом, гарантия,
которую должна обеспечивать государственная лицензия, фактически не обеспечивается качеством работы. В предлагаемом
документе, нормирующем трудозатраты, не должно быть точных расценок. Достаточно, как это было указано в методиках ГТК,
привести нормы затрат труда для основных видов работ. Причем это может быть рассчитано как для случая использования
стандартной КИА, так и для автоматизированных измерительных комплексов, которые разрешены к применению. Таким
образом, может быть сформирован регулируемый цивилизованный рынок в области защиты информации, в противовес
существующему. В результате не пострадает здоровая конкуренция, так как будет сохранена разница цен за счет разной
стоимости рабочей силы, различных накладных и прочих расходов, разной прибыли.
Итак, проведенный анализ показывает, что принятая в Украине система лицензирования в области ТЗИ не полностью
отвечает поставленным задачам и современным требованиям. Из сложившейся ситуации имеется два выхода -отказ от
системы лицензирования в области ТЗИ вообще, либо ее радикальное изменение с учетом интересов Украины и здравого
смысла.
Выводы:
1. Необходимо четко и однозначно определить цели и задачи лицензирования в области ТЗИ, изучив мировую практику
в этом вопросе.
2. Определить конкретные направления деятельности, установить перечень аппаратуры и нормативно-методической
документации, необходимые для качественного выполнения поставленной задачи.
3. Исходя из установленных целей и задач лицензирования в области ТЗИ, разработать подробные требования к
лицензиатам по каждому направлению деятельности.
4. Разработать пакет нормативно-методических документов, регулирующих деятельность по защите конфиденциальной
информации.
5. Провести расчет средних трудозатрат на выполнение основных операций при проведении работ в области ТЗИ и
разработать соответствующий нормативный документ.
Очевидно, что система лицензирования предпринимательской деятельности в области ТЗИ в Украине представляет
сложный комплекс проблем, которые необходимо решать в ближайшее время. Вместе с тем, существуют предложения по еще
более усугублению ситуации, предполагающие введение так называемой системы "выдачи разрешений на проведение работ
по ТЗИ для собственных потребностей". Во-первых, "разрешение" и "лицензия" - одно и тоже слово на разных языках (licentia
(лат) -разрешение, право). Во-вторых, не наладив в совершенстве систему лицензирования в области предпринимательской
деятельности, вводить новые разрешения, которых потребуются тысячи, по меньшей мере, нецелесообразно. В третьих, из
действующих документов неясно, к каким организациям планируется применение этой системы - отнесения ее и к
негосударственным структурам, безусловно станет нарушением прав и свобод. И, в-четвертых, нужны ли такие разрешения
при условии реализации ответственности руководителей за состояние системы ТЗИ в организации (Положение о ТЗИ) и
грамотно организованном контроле?
Значительно медленнее идет формирование системы сертификации в области ТЗИ. Только на восьмом году после
создания ГСТЗИ создан первый сертификационный центр и испытательные лаборатории. Отсутствуют стандарты,
нормативные документы, не определены критерии, которые позволяли бы квалифицированно оценивать технические условия
на предъявляемые изделия. Методики контроля ГТК устарели морально и по своей структуре не отвечают современным
требованиям. В данной ситуации, чтобы избежать ненужных ошибок, целесообразно обратиться к опыту России, в которой
такая система действует, и перенять ту его часть, которая может оказаться полезной Украине.
55
Главный вопрос в этой сфере, тот же, что и в области лицензирования -какие цели перед собой ставит сертификация и
каким образом эти цели будут достигаться? В принципе, система сертификации должна нести полезную для ТЗИ в Украине
функцию - защита потребителя, пользующегося средствами защиты информации, от недобросовестных поставщиков
(производителей). Но поскольку применение средств ТЗИ не несет угрозы жизни и здоровью граждан Украины, состоянию
окружающей среды, то она не должна быть обязательной. Вместе с тем, интересы государственной безопасности требуют
надежной защиты гостайны. В этом случае должны применяться только проверенные (сертифицированные) средства защиты
информации. Таким образом, будут решены две задачи:

можно избежать государственного давления на предпринимателя без особой необходимости, с одной стороны, и

обеспечить надежную защиту государственных интересов - с другой.
Предприниматель сам сможет выбирать любое средство обеспечения ТЗИ, но заинтересованный в защите своей
информации остановится на сертифицированном устройстве.
При отсутствии государственных стандартов возникает проблема с техническим основанием для проведения
сертификации. Стандартная схема на сегодняшний день:

разработка технических условий (ТУ) с включением в него требований по ТЗИ осуществляется разработчиком
изделия;

согласование ТУ в части требований по ТЗИ в государственном органе;

утверждение ТУ в части отсутствия противоречий и выполнения требований стандартов по оформлению документа в
Госстандарте.
Как видно, в этой схеме не участвуют научно-исследовательские организации, которые должны давать техническую
оценку предложенного решения. Ранее эти функции выполняли головные научно-исследовательские организации по
направлениям защиты информации, которые в Украине в настоящее время не созданы.
Не решенным на сегодняшний день является вопрос сертификации в части ТЗИ импортируемых изделий или
признания иностранных сертификатов. В этом случае затраты на сертификацию какого-либо образца понесет одна
организация, а ее результатами будут пользоваться все поставщики.
В связи с отсутствием системы сертификации в области ТЗИ в Украине, были разработаны перечни средств ТЗИ,
разрешенных к применению. Эта мера была как вынужденной, так и необходимой - она позволила в какой-то степени
управлять применением средств ТЗИ при отсутствии системы сертификации. Но теперь, когда сделаны первые шаги в
формировании этой системы, перечни стали тормозом в ее развитии. Зачем тратить средства на сертификацию, если изделие
есть в упомянутом перечне, или его не сложно включить в этот перечень? Одним из выходов из создавшейся ситуации,
позволивших перейти от системы разрешений к системе сертификации, могла бы стать централизованная организация
испытаний с последующей компенсацией затрат путем отчислений от реализации сертифицированных изделий. По мере
выдачи сертификатов из перечня должны исключаться изделия, аналогичные сертифицированным по назначению и основным
параметрам.
Так же, как и в области лицензирования, в области сертификации существует проблема формирования труда при
проведении типовых испытаний.
Выводы:
1. Необходимо четко и однозначно определить цели и задачи сертификации в области ТЗИ, изучив мировую практику в
этом вопросе.
2. Определить конкретные направления деятельности, установить перечень и порядок разработки нормативнометодической документации, необходимых для проведения сертификационных испытаний.
3. Разработать действенный механизм постепенного перехода от системы разрешений к системе сертификации
изделий, предназначенных для ТЗИ.
4. Провести расчет средних трудозатрат на выполнение основных операций при проведении сертификационных
испытаний.
10. НЕКОТОРЫЕ ВОПРОСЫ РАССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
Голубев В.А.
Расследование компьютерных преступлений существенно отличаются от расследований других "традиционных"
преступлений. По данным уголовным делам чаще всего допускаются ошибки, что, зачастую объясняется отсутствием
надлежащего уровня теоретической и практической подготовки оперативных работников и следователей. Изучение уголовных
дел этой категории дает основание полагать, что одной из существенных причин низкого качества следствия является
отсутствие систематизированных и отработанных методик расследования компьютерных преступлений, а также ошибки,
которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих
компьютеров.
Результаты анализа практической деятельности правоохранительных органов по расследованию компьютерных
преступлений свидетельствуют о том, что исследование компьютерной техники целесообразно проводить в условиях
криминалистической лаборатории, где эту работу выполняют специалисты с необходимой профессиональной подготовкой.
Доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко
изменены, как в результате ошибок при их изъятии, так и в процессе самого исследования. Представление подобных
доказательств в судебном процессе требует специальных знаний и соответствующей подготовки. Здесь нельзя
недооценивать роль экспертизы, которая может дать квалифицированный ответ на поставленные вопросы.
Однако экспертиза требует какого-то времени не только на ее проведение, но и на поиск соответствующих
специалистов, а при изъятии компьютерной техники существенным фактором, позволяющим сохранить необходимую
доказательную информацию, является неожиданность и оперативность. Именно поэтому изъятие компьютеров и информации
приходится проводить теми силами, которые в настоящее время проводят следственные действия. В данном случае именно
следователь не застрахован от ошибок, обусловленных недостаточностью знаний, что потом достаточно умело, используется
защитой в суде.
Поставленная проблема имеет два аспекта: общие ошибки, которые допускаются работниками правоохранительных
органов при расследовании компьютерных преступлений, и технические аспекты, связанные с защитой информации, которая
устанавливается на компьютерах их непосредственными пользователями.
Как известно, обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных
действий могут совершаться не только при следственном осмотре (ст. 190 КПК), но и при проведении других следственных
действий: обыски (ст. 178 КПК); выемки (ст. 179 КПК); воспроизведения обстоятельств и обстановки происшествия (ст. 194
КПК).
56
Следует выделить некоторые правила работы с компьютерами, изъятыми при расследовании преступлений в сфере
компьютерной информации, а также предложить общие рекомендации, которые могут быть полезными при обработке
компьютерных доказательств.
Рассмотрим некоторые типичные ошибки, наиболее часто совершаемые при проведении следственных действий в
отношении компьютерной информации либо самих компьютеров.
Ошибка 1. Ошибочная работа с компьютером.
Первое и основное правило, которое должно неуклонно выполняться, состоит в следующем: никогда и ни при каких
условиях не работать на изъятом компьютере. Это правило допускает, что изъятый компьютер - прежде всего объект
исследования специалиста. Поэтому до передачи экспертам его желательно даже не включать, поскольку категорически
запрещено исполнять любые операции на изъятом компьютере, не обеспечив необходимых мер защиты (например, защиты
от модификации или создания резервной копии). Если на компьютере установлена система защиты (например — пароль), то
его включение может вызвать уничтожение информации, которая находится на жестком диске. Не допускается загрузка такого
компьютера с использованием его собственной операционной системы.
Подобная мера объясняется достаточно просто: преступнику не составляет особого труда установить на своем
компьютере программу для уничтожения информации на жестком или гибком магнитном дисках, записав такие «ловушки»
через модификацию операционной системы. Например, простая команда DIR, которая используется для отображения
каталога диска, может быть легко изменена, чтобы отформатировать жесткий диск.
После того, как данные и сама разрушительная программа уничтожены, никто не сможет сказать наверняка, был ли
«подозреваемый» компьютер оборудован такими программами специально, или это результат небрежности при исследовании
компьютерных доказательств?
Ошибка 2. Допуск к компьютеру владельца (пользователя) компьютера.
Серьезной ошибкой является допуск к исследуемому компьютеру владельца для оказания помощи в его эксплуатации.
Известны многие случаи из практики, когда подозреваемые на допросах, связанных с компьютерными доказательствами,
допускались к работе на изъятом компьютере. Позже они рассказывали своим знакомым, как шифровали файлы «прямо под
носом у полицейских», а те об этом даже не догадывались. Учитывая такие последствия, компьютерные специалисты стали
делать резервные копии компьютерной информации прежде, чем допускать к работе над ней.
Еще одна проблема связанна с возможностью опровержения в суде идентичности предъявленного на процессе
программного обеспечения тому, которое находилось на данном компьютере на момент изъятия. Чтобы избежать подобных
ситуаций, компьютер, следует опечатать в присутствии понятых, не включая. Если работник правоохранительных органов
принимает решение об осмотре компьютера на месте, первое, что необходимо сделать, это снять копию с жесткого
магнитного диска и любой дискеты, которая будет изыматься как вещественное доказательство. Это означает, что до
проведения каких-либо операций с компьютером, необходимо зафиксировать его состояние на момент проведения
следственных действий.
Ошибка 3. Отсутствие проверки компьютера на наличие вирусов и программных закладок.
С целью проверки компьютера на наличие вирусов и программных закладок, необходимо загрузить компьютер не с его
операционной системы, а со своей загодя подготовленной дискеты, либо со стендового жесткого диска. Проверке
подвергаются все носители информации - дискеты, жесткий диск и другие носители. Эту работу следует проделать
привлеченному к участию в следственных действиях специалисту с помощью специального программного обеспечения.
Нельзя допустить, чтобы у суда появилась возможность обвинения следствия в умышленном заражении компьютера
вирусами, в некомпетентности при проведении следственных действий, либо просто в небрежности, поскольку доказать, что
вирус находился в компьютере до момента исследования, вряд ли возможно, а подобное обвинение поставит под сомнение
всю работу эксперта и достоверность его выводов.
Такие наиболее типичные ошибки, которые часто встречаются при исследовании компьютера в делах, связанных с
расследованием компьютерных преступлений. Однако рассмотренный перечень не охватывает всех ошибок, возникающих в
процессе изъятия и исследования компьютерной информации. Этому можно легко дать объяснение: отсутствие достаточного
опыта в подобных делах в нашей стране. В то же время в странах Западной Европы и США уже накоплен богатый опыт
расследования сложных компьютерных преступлений. Необходимо более тщательно его изучить, что позволит избежать
многих из них.
Во избежание ошибок при проведении следственных действий на начальном этапе расследования, которые могут
привести к потере или искажению компьютерной информации, следует придерживаться некоторых предохранительных мер.
Рекомендация 1. В первую очередь следует сделать резервную копию информации.
В процессе обыска и выемки, связанных с изъятием компьютера, магнитных носителей и информации, возникает ряд
общих проблем, связанных со спецификой изымаемых технических средств. В первую очередь необходимо предусмотреть
меры безопасности, которые совершаются преступниками с целью уничтожения компьютерной информации. Они, например,
могут использовать специальное оборудование, в критических случаях образующее сильное магнитное поле, которое стирает
магнитные записи.
На протяжении обыска все электронные доказательства, находящиеся в компьютере либо в компьютерной системе
должны быть собраны таким образом, дабы они потом могли быть признанными судом. Мировая практика показывает, что в
большинстве случае под давлением представителей защиты в суде электронные доказательства не принимаются во
внимание. Чтобы гарантировать их признание в качестве доказательств, необходимо строго придерживаться уголовнопроцессуального законодательства, а также стандартизированных приемов и методик их изъятия.
Обычно компьютерные доказательства сохраняются путем создания точной копии с оригинала (первичного
доказательства), прежде чем делается какой-либо их анализ. Но делать копии компьютерных файлов, используя только
стандартные программы резервного копирования, недостаточно. Вещественные доказательства могут существовать в виде
уничтоженных либо спрятанных файлов, а данные, связанные с этими файлами, можно сохранить только с помощью
специального программного обеспечения. В самом простом виде это могут быть программы типа - SafeBack, а для гибких
дискет бывает достаточно программы DOS Discopy.
Магнитные носители, на которые предусматривается копировать информацию, должны быть заранее подготовленные
(необходимо убедиться, что на них отсутствует какая-нибудь информация). Носители следует сохранять в специальных
упаковках либо заворачивать в чистую бумагу. Необходимо помнить, что информация может быть повреждена влажностью,
температурным влиянием или электростатическими (магнитными) полями.
Рекомендация 2. Найти и сделать копии временных файлов.
Многие текстовые редакторы и программы управления базами данных создают временные файлы как побочный
продукт нормальной работы программного обеспечения. Большинство пользователей компьютера не осознают важности
создания этих файлов, потому что обычно они уничтожаются программой в конце сеанса работы. Однако данные,
57
находящиеся внутри этих уничтоженных файлов, могут оказаться наиболее полезными. Особенно, если исходный файл был
кодированный или документ подготовки текстов был напечатан, но никогда не сохранялся на диске, такие файлы могут быть
восстановлены.
Рекомендация 3. Необходимо обязательно проверить Swap File.
Популярность Microsoft Windows принесла некоторые дополнительные средства, касающиеся исследования
компьютерной информации. Swap File функционируют как дисковая память, огромная база данных и множество разных
временных фрагментов информации. В этом Swap File может быть обнаружен даже весь текст документа.
Рекомендация 4. Необходимо сравнивать дубли текстовых документов.
Часто дубли текстовых файлов можно обнаружить на жестком либо гибком магнитных дисках. Это могут быть
незначительные изменения между версиями одного документа, которые могут иметь доказательную ценность. Расхождения
можно легко идентифицировать с помощью наиболее современных текстовых редакторов.
Хотелось бы выделить также общие рекомендации, которые необходимо учитывать при исследовании компьютера на
месте происшествия.
Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ,
должны придерживаться следующего:

перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы.
Следует помнить о том, что некорректный выход с некоторых программ может вызвать уничтожение информации или
испортить саму программу;

принять меры по установлению пароля доступа к защищенным программам;

при активном вмешательстве сотрудников предприятия, стремящихся противодействовать следственной группе,
необходимо отключить электропитание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями
для исследования информации в лабораторных условиях;

в случае необходимости консультаций персонала предприятия, получать их следует у разных лиц путем опрашивания
или допроса. Подобный метод позволит получить максимально правдивую информацию и избежать умышленного вреда;

при изъятии технических средств, целесообразно изымать не только системные блоки, но и дополнительные
периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.);

при наличии локальной вычислительной сети необходимо иметь нужное количество специалистов для
дополнительного исследования информационной сети;

изымать все компьютеры (системные блоки) и магнитные носители;

тщательно осмотреть документацию, обращая внимание на рабочие записи операторов ЭВМ, ибо часто именно в
этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию;

составить список всех внештатных и временных работников организации (предприятия) с целью выявления
программистов и других специалистов в области информационных технологий, работающих в данном учреждении.
Желательно установить их паспортные данные, адреса и места постоянной работы;

записать данные всех лиц, находящихся в помещении на момент появления следственной группы, независимо от
объяснения причин их пребывания в данном помещении;

составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике либо часто пребывающих
в помещении, где находятся ЭВМ.
Если возможен непосредственный доступ к компьютеру и исключены все нежелательные ситуации, приступают к
осмотру. Причем следователь и специалист должны четко объяснять все свои действия понятым.
При осмотре должны быть установлены:

конфигурация компьютера с четким и подробным описанием всех устройств;

номера моделей и серийные номера каждого из устройств;

инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

другая информация с фабричных ярлыков (на клавиатуре ярлык обычно находится на обратной стороне, а на
мониторе и процессоре - сзади).
Такая информация вносится в протокол осмотра вычислительной техники и может быть важной для следствия.
Рекомендация 5. Фотографирование и маркирование элементов компьютерной системы.
58
Фотографирование и маркирование элементов компьютерной системы - важный первый шаг при подготовке системы к
транспортировке. Документирование состояния системы на данном этапе необходимо для правильной сборки и подключения
всех элементов системы в условиях лаборатории. При фотографировании следует исполнить снимки системы крупным
планом ее передней и задней частей. Фотографирование и маркирование элементов изымаемой компьютерной системы дает
возможность в точности воссоздать состояние компьютерной техники в лабораторных условиях исследования. Некоторое
оборудование типа внешних модемов может иметь множество мелких переключателей, фиксирующих его состояние, которые
при транспортировке могут быть изменены, что создаст дополнительные проблемы для эксперта.
В заключение необходимо подчеркнуть, что при проведении любых следственных действий, связанных с
расследованием преступлений в сфере использования компьютерных технологий (особенно выемка информации и
компьютерного оборудования) целесообразно с самого начала привлечение специалиста в области информационных
технологий. До начала следственных действий следует также иметь определенную информацию, касающуюся: марки,
модели, компьютера, операционной системы, периферийных устройств, средств связи и любые другие ведомости о системе,
которая является объектом расследования. Целенаправленная деятельность следователя, оперативных работников,
особенно на первичном этапе расследования, обеспечивает успех дальнейшего расследования компьютерных преступлений.
11. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ: УПРЕЖДАЮЩИЕ, КОНТРОЛИРУЮЩИЕ,
ПРЕСЕКАЮЩИЕ.
11.1. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ И ПРОЦЕДУРЫ ПО ЗАЩИТЫ ИНФОРМАЦИИ.
Рассмотрим проблему организации работ на предприятии, использующем в своей деятельности средства
вычислительной техники для обработки информации, подлежащей защите. Именно на этом уровне возникает потребность в
решении проблем безопасности информации, составляющей как государственную, так и коммерческую тайну, секреты
производства (ноу-хау), а также безопасности самих автоматизированных систем (АС), используемых, например, в
управлении экологически опасными объектами.
Рассмотрим в целом организационные мероприятия и процедуры, используемые для решения проблем безопасности
информации на всех этапах проектирования и эксплуатации АС. Существенное значение при проектировании АС различного
уровня и назначения придается предпроектному обследованию объекта автоматизации. На этой стадии:

устанавливается наличие или отсутствие секретной (конфиденциальной) информации в разрабатываемой
АС, оценивается уровень ее конфиденциальности и объемы;

определяются режимы обработки этой информации, тип АС, состав комплекса основных технических средств
вычислительной техники (СВТ), общесистемные программные средства, предполагаемые к использованию в
разрабатываемой АС;

оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;

определяется степень участия персонала ВЦ, функциональных и производственных служб, научных и
вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со
службой безопасности;

определяются мероприятия по обеспечению режима секретности на стадии разработки.
Предпроектное обследование может быть выполнено собственными силами или, как законченная научно-техническая
работа, может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности. На
основании результатов предпроектного обследования разрабатывается аналитическое обоснование создания системы
защиты секретной информации (СЗСИ) и раздел технического задания на ее разработку. В комплексе работ по созданию АС
должна предусматриваться опережающая разработка и внедрение СЗСИ, реализуемой в виде подсистемы АС и включающей
в себя комплекс организационных, программно-технических средств, систем и мероприятий по защите информации от НСД.
СЗСИ состоит из системной и функциональной частей.
Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства
задач АС, функциональная часть обеспечивает защиту информации при решении конкретной задачи и специфична защите
информации от НСД в АС различных классов.
Важное место в системе организации работ по обеспечению безопасности информации на предприятиях занимают так
называемые специальные научно-технические подразделения (СИТИ) службы защиты информации. Основной
направленностью этих служб являются:

организация работ по выявлению возможностей и предупреждению утечки информации,

методическое руководство и участие в разработке требований по защите информации от НСД, аналитического
обоснования необходимости создания СЗСИ,

согласование выбора СВТ (в том числе общесистемного программного обеспечения), программно-технических
средств и систем защиты.
В случае привлечения для разработки СЗСИ специализированных предприятий, функции и задачи различных служб
могут изменяться и перераспределяться, но координация должна остаться за предприятием-заказчиком АС.
Кроме того, в обеспечении безопасности информации, особенно на стадии эксплуатации АС, задействованы службы
обеспечения безопасности информации или секретный орган, службы администратора АС. Все указанные службы активно
взаимодействуют в целях достижения эффективной разработки и эксплуатации АС и ее СЗСИ. Для эффективной и надежной,
с точки зрения обеспечения безопасности информации, работ АС необходимо правильно организовать разрешительную
систему доступа пользователей к информации в АС т.е. предоставить пользователям право работать с той информацией,
которая необходима им для выполнения своих функциональных обязанностей, установить их полномочия по доступу к
информации. Среди организационных мероприятий по обеспечению безопасности информации важное место занимает
охрана объекта, на котором расположена защищаемая АС, путем установления соответствующих постов технических
средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ,
информационных носителей, а также НСД к СВТ и линиям связи. Технология обработки информации в АС различна и зависит
от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса,
обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной
характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации является
функционирование системы защиты информации от НСД (СЗИ НСД) как комплекса программно-технических средств и
организационных (процедурных) решений, предусматривающей:

учет, хранение и выдачу пользователям информационных носителей, паролей, ключей,

ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения
доступа),
59

оперативный контроль за функционированием СЗСИ,

контроль соответствия, общесистемной программной среды эталону и приему включаемых в АС новых программных
средств,

контроль за ходом технологического процесса обработки информации путем регистрации анализа действий
пользователей, сигнализации опасных событий.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты
информации от НСД и точного выполнения предусмотренных проектной документацией процедур, в должной мере не решит
проблему обеспечения безопасности информации в АС, какими бы совершенными эти программно-технические средства не
были.
11.2. МЕРЫ ЗАЩИТЫ. ЧЕТЫРЕ УРОВНЯ ЗАЩИТЫ.
Рассматривают чаще всего четыре основные уровня защиты:
Предотвращение - только авторизованный персонал имеет доступ к информации и технологии.
Обнаружение обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты
были обойдены.
Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его
предотвращению и обнаружению.
Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и
проверенных планов по восстановлению.
Меры по защите информации, которые необходимо предпринять:
1. Контролируйте доступ как к информации в компьютере, так и к прикладным программам. Вы должны иметь гарантии
того, что только авторизованные пользователи имеют доступ к информации и приложениям.

Идентификация пользователей Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и
используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать
микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно
у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым
включением компьютера.

Аутентификация пользователей Используйте уникальные пароли для каждого пользователя, которые не
являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры
защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими
совершиться компьютерному преступлению.
Другие меры защиты:

Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими
типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь (например,
магнитная карта), или уникальные характеристики пользователя (его голос).

Если в компьютере имеется встроенный стандартный пароль (пароль, который встроен в программы и
позволяет обойти меры по управлению доступом), обязательно измените его.

Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его
последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя
составной частью системы проверки журналов.

Защищайте ваш пароль, не делитесь своим паролем ни с кем, выбирайте пароль трудно угадываемым,
попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите
оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль. Не
используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чемлибо очевидным. Используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов,
обеспечьте неотображаемость пароля на экране компьютера при его вводе, обеспечьте отсутствие паролей в
распечатках, не записывайте пароли на столе, стене или терминале. Держите его в памяти.

Серьезно относитесь к администрированию паролей. Периодически меняйте пароли и делайте это не по
графику, шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от
неавторизованного доступа, назначайте на должность администратора паролей только самого надежного человека,
не используйте один и тот же пароль для всех сотрудников в группе, меняйте пароли, когда человек увольняется,
заставляйте людей расписываться за получение паролей, установите и внедрите правила работы с паролями и
обеспечьте, чтобы все знали их.

Процедуры авторизации. Разработайте процедуры авторизации, которые определяют, кто из пользователей
должен иметь доступ к той или иной информации и приложениям - и используйте соответствующие меры по
внедрению этих процедур в организации. Установите порядок в организации, при котором для использования
компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля
требуется разрешение тех или иных начальников.

Защита файлов. Помимо идентификации пользователей и процедур авторизации разработайте процедуры
по ограничению доступа к файлам с данными: используйте внешние и внутренние метки файлов для указания типа
информации, который они содержат, и требуемого уровня безопасности, ограничьте доступ в помещения, в которых
хранятся файлы данных, такие как архивы и библиотеки данных, используйте организационные меры и программноаппаратные средства для ограничения доступа к файлам только авторизованных пользователей.

Предосторожности при работе отключайте неиспользуемые терминалы, закрывайте комнаты, где находятся
терминалы, разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в
помещениях, которые не контролируются, установите специальное оборудование, такое как устройства,
ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности
пользователей, использующих телефоны для доступа к компьютеру, программируйте терминал отключаться после
определенного периода неиспользования, если это возможно, выключайте систему в нерабочие часы.

Защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и
должна подвергаться проверкам на ошибки.
2. Целостность информации
60

Проверяйте точность информации с помощью процедур сравнения результатов обработки с
предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные
номера.

Проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:
проверки на нахождение символов в допустимом диапазоне символов (числовом или буквенном), проверки на
нахождение числовых данных в допустимом диапазоне чисел, проверки на корректность связей с другими данными,
сравнивающими входные данные с данными в других файлах, проверки на разумность, сравнивающие входные
данные с ожидаемыми стандартными значениями, ограничения на транзакции, сравнивающие входные данные с
административно установленными ограничениями на конкретные транзакции.

Трассируйте транзакции в системе. Делайте перекрестные проверки содержимого файлов с помощью
сопоставления числа записей или контроля суммы значений поля записи.
3. Защищайте системные программы.

Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики
безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения
пользователей в области безопасности.

Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения
изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать
разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц,
кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.

Должен быть разработан и поддерживаться каталог прикладных программ. Должны быть внедрены меры
защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через
удаленные терминалы.

Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся аудитом
информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними
при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы,
встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и
злоупотребление.

Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические
информационные файлы.

Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры
физической защиты, так и меры по управлению доступом.

В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.

Контрольные журналы не должны отключаться для повышения скорости работы.

Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.
4. Рассмотрите вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть
перехвачены.
11.3. ЗАЩИТА СЕРВЕРНОЙ КОМНАТЫ
Дик Льюис.
Представьте себе, что в результате реорганизации вашей компании многие сотрудники были уволены. И вот однажды
ночью вам сообщают, что сервер вышел из строя. Вы являетесь в центр данных, открываете дверь и обнаруживаете, что
помещение выглядит как поле битвы. Две новых стойки SAN (Storage Area Network) лежат на полу. На дисководах и
контроллерах мигают желтые предупреждающие огни. Плитка, покрывающая пол, разобрана, и в зияющее отверстие сброшен
сервер. Повсюду разбросаны резервные ленты... Потребуется не один день, чтобы разобраться, какие данные вы потеряли, а
что еще можно восстановить. Сотрудники службы безопасности обнаружили ход в серверную из пустой комнаты рядом, в
которой положен тот же фальшпол.
Этот случай выдуман, но нечто подобное может произойти и на самом деле. А вот реальная история на ту же тему.
Несколько лет тому назад один из ответственных автономных серверов нашей компании потерял связь с сетью. Мы
использовали учетные записи домена для регистрации на этой машине, но теперь они оказались непригодны, поскольку
кеширование учетных данных на сервере было деактивировано. Наши надежды на вход с использованием локальной учетной
записи администратора рухнули, когда мы узнали, что кто-то изменил пароль и нигде его не записал.
Воспользовавшись программой с хакерского Web-сайта, нам удалось зарегистрироваться на сервере с правами
администратора. Буквально через несколько минут мы снова смогли подключить сервер к сети. Сначала мы радовались, что
так быстро снова получили доступ к управлению сервером, но потом сообразили, что таким же образом любой желающий
сможет получить несанкционированный доступ к ценным корпоративным данным этого сервера и спрятать концы в воду,
удалив все следы своего пребывания. Каждый, кто имеет физический доступ к серверу, в принципе, может это сделать.
Сегодня существуют различные инструментальные средства, которые обеспечивают даже еще более простой доступ к
заблокированному паролем серверу.
Мораль этих двух рассказов ясна: физическая безопасность совершенно необходима. Вы можете закрыть доступ к
неиспользуемым портам, запустить программное обеспечение мониторинга событий и установить все необходимые
исправления, но если злоумышленники получат физический доступ к центру данных, они все же смогут нанести реальный
ущерб. Таким образом, полная защита сервера и сети включает и физическую безопасность.
Оценка риска
Определить вероятность проникновения в центр данных не так-то легко. Для этого рассмотрим несколько показателей.
Случаи несанкционированного доступа у вас или у ваших конкурентов.
Если у вас или у конкурентов имели место серьезные инциденты, надеюсь, что ваше руководство выделит
необходимые ресурсы для защиты от возможных атак. Одним из направлений деятельности, направленной на
предотвращение нападений, может быть изменение корпоративной политики безопасности.
Если компания ранее не подвергалась физической атаке, не стоит думать, что удача всегда будет на вашей стороне.
Даже если оборудование находится в безопасном месте и у вас хорошая защита по периметру, кто-нибудь из недовольных
служащих может в любое время нанести удар изнутри.
Конфиденциальные данные. Большинство крупных компаний имеют такие данные. Информация о кредитных
карточках, корпоративные финансовые записи, сведения о счетах клиентов и личные дела персонала относятся к данным
61
закрытого типа. С этими наиболее ценными для компании данными связан наибольший риск с точки зрения
несанкционированного доступа.
Возможности защиты и риск обнаружения. Информации о том, что центр данных хорошо защищен и что риск
обнаружения высок, может быть достаточно, чтобы злоумышленник отказался от мысли предпринимать атаку.
Компетентность персонала службы безопасности. От уровня подготовки персонала службы безопасности напрямую
зависит степень риска для компании.
Понимание мер безопасности служащими. Несколько лет тому назад я работал по контракту в компании, где для
идентификации доступа требовался бейдж. По ряду причин я не мог получить соответствующий идентификатор в течение
нескольких дней. За это время ко мне то и дело подходили служащие компании и спрашивали о том, куда я иду, где работаю и
так далее. Эти люди не были сотрудниками службы безопасности, они просто поддерживали общую корпоративную
безопасность.
Моральное состояние служащего. Массовые корпоративные увольнения нередко бывают причиной ситуаций,
подобных описанной в начале статьи. Когда служащие думают, что компания предала их, они зачастую не видят оснований
сохранять корпоративную верность. Они могут попытаться нанести "ответный удар", уничтожив или продав конкурентам
конфиденциальные данные.
Географическое положение и местные экономические условия. Проверьте локальную статистику преступности в
соответствии со спецификой вашей области.
Не будьте самоуверенными. Высокая плата за нарушение системы безопасности должна заставить вас принять меры
предосторожности, даже если на ваш взгляд уровень риска достаточно низок.
Внутренний неприятель
Наилучший метод обеспечения безопасности - представить себе противника и соответственно выстроить защиту.
Служащие могут располагать сведениями о положении центра данных, расположении комнат и принятых мерах безопасности.
Они знают, какие корпоративные данные представляют особую ценность и могут найти способ уничтожить их. Вы должны
иметь в виду, что поставщики, уборщики, персонал, обеспечивающий поддержку, и сотрудники, работающие по контракту,
также могут получить доступ к информации "для служебного пользования".
Если вы выстроите защиту против внутреннего неприятеля, потребуются лишь незначительные дополнения, чтобы
защититься от внешних нападений. Защита внешней границы по периметру и меры безопасности центра данных, которые я
описываю, разрабатываются во избежание как внутренних, так и внешних атак.
Защита по периметру
Представьте себе периметр защиты компании, чтобы проанализировать окружающую обстановку вокруг центра
данных, и произведите оценку рисков. Бесчисленные устройства защиты доступа, включающие блокировку дверей, камеры,
датчики движения и давления могут сбить с толку, и объединить их в общую систему защиты периметра не так-то легко.
Следующее - это список уязвимых мест и консультации со специалистом по безопасности на предмет их устранения.
Замки и двери. Надежный замок в двери центра данных - первая строка физического обеспечения безопасности.
Приобретите кодовый замок, который поддерживает безопасность на уровне пользователя. Установите различные
комбинации для каждого пользователя и периодически меняйте их. Определите процедуру блокировки доступа пользователя,
который покидает компанию. Эксперты по безопасности не рекомендуют стандартные замки с ключами или кодовые замки с
единственной комбинацией, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать
одну комбинацию достаточно легко. Используйте замок, имеющий защитный экран, такой, что только пользователь, вводящий
комбинацию, может видеть вспомогательную клавиатуру.
Сконфигурируйте замок для записи в журнал событий регистрации пользователей, входящих в закрытую область.
Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный
инфракрасный порт (IR), который вы можете задействовать для печати журнала событий и списка пользователей. Кроме того,
можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают
регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия
идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно
могут его получить.
Дверь лучше выбрать металлическую или же из цельной, твердой древесины: она должна быть достаточно надежна,
чтобы выдержать удар плечом. Укрепите дверную раму и обшивку, петли расположите так, чтобы злоумышленники не могли
снять дверь снаружи, или установите несъемные петли. Используйте для крепления петель и несущей конструкции длинные
винты, уходящие в стену. Приварите гайки любых болтов, которые выходят на поверхность стальных дверей.
Пожарные двери или запасные выходы. Если планировка комнаты требует наличия дополнительной выходной
двери, поставьте на дверь аварийное устройство и сверхмощный замок. Стандартные механизмы выходной двери уязвимы.
Внешние указатели. Указатели и настенные карты могут провести злоумышленника прямо к двери центра данных.
Если вам нужны указатели направления движения для посетителей при проведении каких-либо мероприятий, установите их
на нужное время и впоследствии обязательно удалите.
Расположите центр данных вдали от основного потока посетителей, так, чтобы присутствие посторонних было
наиболее заметно. Когда сотрудники, обслуживающие аппаратные средства, посещают центр данных, администратор должен
их сопровождать.
Унесите защитные и упаковочные материалы в контейнер для мусора подальше от центра данных. Склад пустых
коробок компьютерного оборудования снаружи двери - явный признак наличия ценных аппаратных средств и данных внутри.
Стены. Убедитесь, что любые внешние стены здания, которые являются также и стенами компьютерной комнаты,
изготовлены из материалов, которые могут противостоять внешнему нападению. Во время нападения взломщики часто
подгоняют к зданию украденный пикап, заполняют его товаром и уезжают. Наилучшая защита против такого типа атаки укрепленные в земле швеллеры или трубы, диаметром от 10 до 15 см, расположенные на расстоянии до 1,5 метров,
вкопанные в землю и залитые бетоном.
Эксперты по безопасности не рекомендуют проделывать окна на внутренних стенах или дверях центра данных.
Внешние окна должны быть недоступны с земли, либо их желательно защитить прутьями или решетками.
Потолки и полы. Чтобы продвигаться незаметно на несколько десятков метров при кражах со взломом в магазине,
грабитель, как известно, использует пространство фальшпотолков и фальшполов. Продлите стены серверного помещения
выше фальшпотолка и ниже фальшпола, чтобы соединить реальные потолок и пол. Кроме того, чтобы перекрыть
возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола,
устанавливают датчики состояния окружающей среды (то есть уровня загазованности и температуры).
Крыша. Если центр данных находится в верхнем этаже здания, злоумышленники могут проникнуть в комнату через
вентиляционное отверстие с крыши или через воздуховоды кондиционирования. Обеспечьте внешние отдушины крыши и
62
оборудование кондиционирования соответствующими решетками или дополнительными запорами. Закройте двери на крышу
решетками с незаметными печатями; регулярно проверяйте печати, чтобы убедиться, что никто не сломал их, готовясь к
нападению.
Электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за
дверью), перенесите их, либо заприте, если разрешит руководство. Один из возможных способов проникновения в систему отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Если у вас есть UPS
для серверов, вы сможете расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время
отключения энергии.
Внутри центра данных
Если злоумышленники все же пробили защиту по периметру центра данных, вы все еще можете обнаружить их
присутствие и задержать. Могу рекомендовать следующие методы.
Электронный надзор. Профессионал в области безопасности сможет помочь вам объединить многие электронные
системы обнаружения, такие как камеры (как видимые, так и скрытые), видеомагнитофоны, дверные переключатели,
детекторы движения, звуковые датчики, лучи фотоэлемента, контактные переключатели, инфракрасные сенсоры и
беспроводные технологии, в целостную систему обнаружения. Тщательно следите за информацией о состоянии и
местоположении всех устройств, которые вы установили.
Безопасность консоли. На некоторых клавиатурах имеется защита с ограничением доступа пользователей к
конкретным системам. Ограничения доступа позволяет пользователям управлять только разрешенными машинами.
Злоумышленники могут подключить к серверу собственный монитор, клавиатуру и мышь, чтобы обойти эту функцию, но на это
уйдет дополнительное время, особенно если серверный шкаф правильно заблокирован,
Безопасность шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери.
Двери и замки могут быть усилены, но они одновременно мешают доступу при выключении серверов и дисководов.
Зафиксируйте или снимите колеса шкафа, чтобы затруднить его перемещение. Уберите отвертки, ключи и другие
инструменты, чтобы ими не смогли воспользоваться злоумышленники.
Внешний контроль (мониторинг). Вы, вероятно, уже используете сценарии или приложения, обеспечивающее
управление сервером. Установите второй контрольный узел за пределами серверной комнаты. Этот узел подаст сигнал
тревоги, если злоумышленник выведет из строя сетевое соединение или отключит первичное устройство, чтобы избежать
сообщения из серверной. Установите и обслуживайте второй контрольный пост, стараясь обойтись минимальным
количеством сотрудников.
Удаленный доступ к серверам. Инструментальные средства дистанционного администрирования, и терминальные
службы Windows 2000 Server в административном режиме помогут сэкономить время, обеспечив легкий доступ к серверам. К
сожалению, эти инструментальные средства могут обеспечить и несанкционированный доступ для злоумышленника.
Поставщики часто используют RAS, чтобы иметь доступ к серверам для модернизации программ и диагностики проблем.
Некоторые инструменты удаленного доступа используют один пароль на сервере для всех пользователей. Если вы
применяете эти инструментальные средства, измените их обычные пароли и дайте доступ только небольшой группе
санкционированных пользователей. Защита удаленного доступа к инструментальным средствам и RAS - вероятно, наилучший
путь, гарантирующий, что злоумышленник не использует их как виртуальный вход в серверную комнату.
Инвентарные и идентификационные (ID) метки. Ведите инвентарный список всего компьютерного оборудования,
которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклейте на эти
устройства инвентарные номера корпорации или другие соответствующие идентификационные отметки. Ежегодно проверяйте
наличие оборудования по записям в реестре. В случае несанкционированного проникновения в систему эти методы помогут
определить, что пропало, и идентифицировать утраченную собственность.
Контроль входа в систему в нерабочее время. Придерживайтесь правил, которые требуют отключения от системы
администраторов центра данных и пользователей в конце рабочего дня. Можете воспользоваться утилитой Winexit из
Microsoft Windows NT Server 4.0 Resource Kit или the Microsoft Windows 2000 Server Resource Kit, предназначенной для
автоматического отключения пользователей после окончания работы.
Используйте сценарии или приложения для проверки подключений по окончании рабочего дня, протоколируйте
события и задайте отправку сообщений, если были использованы учетные записи администратора. Подключения в нерабочее
время могут быть законными, но могут и использоваться злоумышленниками, укравшими учетные данные для получения
доступа.
Защита резервной ленты. Обеспечьте первичный внутренний комплект резервных лент и сохраняйте вторичный
комплект, оставленный снаружи. Если злоумышленники уничтожат ваши первичные резервные ленты и серверы, вторичный
внешний комплект лент пригодится для восстановления рабочих операций компании. Если ваша компания имеет другие
офисы, разработайте совместно с 1Т-администраторами офисов, где есть хорошо защищенное помещение, общую стратегию
хранения лент. Если трудно найти надежное место внутри своей компании, вам могут помочь фирмы, которые
специализируются на хранении архивов.
Оцените уровень риска, обсудите возможные решения с руководством и примите необходимые меры.
Как IT-менеджер или администратор систем, вы уже защитили ценные корпоративные данные с помощью
соответствующих прав доступа, аудита и контроля. Имеет смысл только добавить физическую защиту центра данных. Вы
ведь не хотите однажды ночью получить сообщение о том, что доверенный вам центр данных взломан.
Дополнительные меры физической защиты
Крис Лер
Отнеситесь к физической безопасности серверов так же серьезно, как к безопасности сети:

Закройте доступ к флоппи-дисководам и приводу сервера CD-ROM, если вы в них не нуждаетесь, и если
операционная система позволяет это сделать.

В BIOS запретите загрузку с дискет и компакт-дисков. Установите пароль на BIOS так, чтобы никто не смог изменить
его.

Не оставляйте документацию о системах, архитектуре сети и паролях возле серверов. Храните документацию в
защищенном помещении, требующем для доступа ключ, а еще лучше хранить ее только в сети и использовать для защиты
контроль доступа.

Защитите сетевые устройства, такие как маршрутизаторы, концентраторы и коммутаторы. Незаблокированный порт
коммутатора может быть использован как точка входа в сеть.
63
Скачать