100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №61 "Сервер управления IP-телефонией можно перегрузить большим числом звонков"10.12.2009 20:42
Миф №62 "К IP-телефонам можно осуществить несанкционированный доступ"23.12.2009 22:24
Миф №63 «На эксплуатацию средств шифрования требуется лицензия»03.01.2010 16:10
Подобный материал:
1   ...   38   39   40   41   42   43   44   45   ...   69

Миф №61 "Сервер управления IP-телефонией можно перегрузить большим числом звонков"10.12.2009 20:42


Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Данный миф является другой стороной медали, описанной в мифе «IP-телефонию можно вывести из строя». Часто утверждается, что IP-АТС можно вывести из строя большим количеством звонков. Теоретически это возможно, но только теоретически, о чем умалчивают рассказчики данного мифа. В существующих на рынке решениях IP-телефонии максимальное число звонков в час на один сервер управления составляет до 100000 (в зависимости от конфигурации). Только представьте себе – сто тысяч звонков в час! 1600 звонков в минуту; 251 звонок в секунду. Сколько звонков ваш банк или аутсорсинговый центр обработки вызовов, взявший на себя функцию обработки звонков клиентов, принимает сегодня? Врядли больше нескольких сотен в час. А тут мы имеем 100 тысяч за тот же период времени.

Но и это число может быть увеличено в 2-3 раза путем использовании кластера управляющих серверов, балансирующих нагрузку между собой. В случае превышения заданного порога, новые звонки автоматически перенаправляются на второй, а затем и третий сервер, что обеспечивает очень высокую доступность инфраструктуры IP-телефонии и при этом прозрачно для всех звонящих.

В ряде случае администратор сервера управления звонками может использовать специальные настройки, ограничивающие число входящих звонков необходимым значением. И, наконец, в случае потери связи с одним из серверов управления возможна автоматическая перерегистрация и переключение IP-телефона на резервный сервер.

Все это вместе дает возможность построить действительно надежную инфраструктуру IP-телефонии, которую невозможно вывести из строя не только пиковыми нагрузками (например, во время рекламной кампании), но и направленными атаками на центр обработки вызовов с целью блокирования возможности клиентов дозвониться до банка. А такие случаи бывали, когда злоумышленники снимали с чужих счетов большие суммы денег и блокировали телефоны банка, не давая пострадавшим клиентам заблокировать счет или кредитную карту по телефону.

Миф №62 "К IP-телефонам можно осуществить несанкционированный доступ"23.12.2009 22:24



Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Если говорить о внешнем доступе, то эта проблема присуща не только IP-телефону, но и его традиционному «собрату». Аналогичное заключение касается и доступа к внутренностям аппарата. А вот удаленный несанкционированный доступ возможен только к IP-телефону, т.к. последний представляет собой пусть и урезанный по функциям, но компьютер. На нем часто запускается Web-сервер, позволяющий удаленно администрировать телефон, изменять его настройки, загружать новое программное обеспечение и т.д.

Это еще одна угроза, отсутствующая в традиционной телефонии, но и против нее разработчики IP-устройств  предложили целый ряд защитных мер. Во-первых, несанкционированный удаленный доступ к телефону может быть заблокирован межсетевым экраном, маршрутизатором или коммутатором, который будет разрешать подключение к телефону и от него только для определенных IP-адресов и протоколов. Во-вторых, сами IP-телефоны могут содержать целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К ним можно отнести, например, запрет локального изменения настроек или доступ только после предъявления идентификатора и пароля и т.д. Последняя функция очень интересна и отличает традиционный телефон от своего IP-собрата. Она позволяет не только предотвратить несанкционированный доступ к телефону, но и контролировать кто из сотрудников, когда и кому звонил, т.к. любой звонок будет ассоциироваться с тем, кто в данный момент зарегистрирован на телефонном аппарате. Более того, такая функция также часто используется и для предотвращения мошенничеств или просто звонков по телефонам, которые не требуются сотрудникам для выполнения служебных обязанностей (например, межгород).

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного программного обеспечения и конфигурационных файлов, их целостность контролируется электронной цифровой подписью и сертификатами открытых ключей по стандарту X.509.

Миф №63 «На эксплуатацию средств шифрования требуется лицензия»03.01.2010 16:10



Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Очень часто меня спрашивают про наличие лицензии ФСБ на эксплуатацию средств шифрования. Этот миф идет к нам из глубины 90-х годов, от пресловутого Указа Президента от 3 апреля 1994 года «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». 4-й пункт этого Указа гласит, что «в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации». И хотя с тех пор прошло уже больше 15 лет, это заблуждение до сих пор витает в среде специалистов по безопасности. Попробуем его опровергнуть.

Начнем с того, что согласно п.1 ст.49 Гражданского Кодекса «отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии)». Аналогичное положение применяется и к индивидуальным предпринимателям (п.3 ст.23 ГК РФ). Единственным федеральным законом, который устанавливает перечень отдельных видов деятельности, на которые требуется лицензия, является 128-ФЗ от 8 августа 2001 года «О лицензировании отдельных видов деятельности». В нем сказано, что лицензированию в области криптографической защиты информации подлежат только следующие виды деятельности (п.1 ст.17):
  • деятельность по распространению шифровальных (криптографических) средств
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств
  • предоставление услуг в области шифрования информации
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Мы видим, что никаких лицензий на эксплуатацию не требуется. Но пойдем дальше. Часто упоминаемая ссылка, что Указ Президента расширяет перечень, приведенный в законе, не выдерживает никакой критики. Указ был принят не только до 128-ФЗ, но и до предшествующего ему одноименного 158-ФЗ от 25.09.1998. Чтобы не было разногласий по этому поводу в п.19 Постановления Пленума Верховного Суда РФ и Пленума Высшего Арбитражного Суда РФ N 6/8 от 1 июля 1996 года «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» прямо сказано «после введения в действие Кодекса /первой его части – примечание автора/ виды деятельности, подлежащие лицензированию, могут устанавливаться только законом». А первая часть ГК РФ была введена в действие Федеральным законом 52-ФЗ от 30 ноября 1994 года «О введении в действие части первой Гражданского Кодекса Российской Федерации» с 1-го января 1995 года, т.е. после выхода Указа Президента № 334. В статье 4 данного 52-ФЗ говорится, что «изданные до введения в действие части первой Кодекса нормативные акты… Президента Российской Федерации... по вопросам, которые согласно части первой Кодекса могут регулироваться только федеральными законами, действуют впредь до введения в действие соответствующих законов». И такой закон был введен. Это уже упомянутый 128-ФЗ «О лицензировании отдельных видов деятельности». Таким образом, получается, что пресловутый 4-й пункт Указа, требующий лицензию на эксплуатацию шифровальных средств, с момента вступления в силу 128-ФЗ прекратил свое действие.

Что же у нас получается? Лицензия на эксплуатацию шифровальных средств – это миф? Если следовать буквальному прочтению мифа – да, но относительно недавно проявились определенные сложности. Начнем с того, что в соответствие с 128-ФЗ Постановление Правительства РФ от 23 сентября 2002 года № 691 было принято 4 положения о лицензировании:
  • деятельность по распространению шифровальных (криптографических) средств
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств
  • предоставление услуг в области шифрования информации
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

В контексте рассматриваемого мифа нас интересует второе Положение. В перечне мероприятий, описываемых термином «деятельность по техническому обслуживанию» были такие пункты:
  • монтаж, установка, наладка шифровальных (криптографических) средств;
  • ремонт, сервисное обслуживание шифровальных (криптографических) средств;
  • утилизация и уничтожение шифровальных (криптографических) средств;
  • работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд).

Последний пункт очень важен – он, по сути, говорил о том, что использование шифровальных средств «для себя» не требовало получения лицензий ФСБ. Но в канун Нового, 2008-го года, ситуация коренным образом поменялась. На смену 691-му Постановлению Правительства пришло 957-е одноименное Постановление. В нем, к большому сожалению, исчезла приписка «за исключением случая, если указанные работы проводятся для обеспечения собственных нужд».

В итоге, согласно букве действующего сегодня Постановления Правительства, мероприятия, проводимые в соответствие с эксплуатационной документацией (а что это как не эксплуатация) на криптографические продукты, требует от банка, как и любого другого юридического лица, лицензии ФСБ на техническое обслуживание шифровальных средств. Получается, что был семилетний период с момента принятия 128-ФЗ и до принятия 957-ПП, когда лицензии на эксплуатацию средств криптографической защиты не требовалось, но сейчас все поменялось. К слову сказать, представители надзорных органов, сами не до конца пришли к единому мнению, нужна ли лицензия ФСБ для собственных нужд или нет – все будет зависеть от конкретных проверяющих. Правда, надо признать, что для многих банков это не станет большой проблемой, т.к. они давно уже позаботились о получении лицензий ФСБ на деятельность в области:
  • распространения шифровальных средств – для распространения комплектов ПО «Клиент-Банк»;
  • технического обслуживания шифровальных средств – для обслуживания ПО «Клиент-Банк» или «Интернет-Банк»;
  • оказания услуг в области шифрования – для генерации ключей ЭЦП для клиентов банка.

Тем же, кто такие лицензии не получал, надо скорее опасаться претензий именно за эту, внешнюю деятельность в области шифрования, а не за использование криптографических продуктов для внутренних нужд.

ЗЫ. Миф о легитимности применения статьи 171-й Уголовного Кодекса «О незаконном предпринимательстве» в случае отсутствия лицензий ФСБ мы рассмотрим в следующий раз.