Рекомендации по обеспечению информационной безопасности Заключение

Вид материала

Реферат

Содержание 1) Проведение первоначального аудита информационной безопасности Глава 1. Теоретические основы процесса обеспечения информационной безопасности 1.2 Требования к системе информационной безопасности Внедрение политики информационной безопасности 1.4 Факторы, определяющие эффективность политики безопасности 1.5 Оценка рисков 2.1 Проведение первоначального аудита информационной системы 2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности Нормативные документы по обеспечению информационной безопасности Квалификация персонала Уровень оперативной готовности Сетевая инфраструктура Рабочие станции 2.3 Рекомендации по обеспечению информационной безопасности. Нормативные документы по обеспечению информационной безопасности Квалификация персонала Уровень оперативной готовности Сетевая инфраструктура Удаленное администрирование Рабочие станции ... Полное содержание

Подобный материал:

• Рекомендации мсат по обеспечению безопасности на автомобильном пассажирском транспорте, 1583.56kb.
• Профессиональный стандарт специалист информационной безопасности, 1015.99kb.
• Аннотация, 418.67kb.
• Рекомендации по обеспечению информационной безопасности при работе с системой «Клиент-Банк», 131.49kb.
• Морского акционерного банка, 464.92kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• Концепция информационной безопасности информационных систем персональных данных в Администрации, 329.44kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.

Содержание


Введение ………………………………………………………………….……….3

Глава 1Теоретические основы процесса обеспечения информационной безопасности

1.1 Необходимость создания системы информационной безопасности……………………………………………………………….……...5

1.2 Требования к системе информационной безопасности………………..…7

1.3 Внедрение политики информационной безопасности……………………8

1.4 Факторы, определяющие эффективность политики безопасности…….10

1.5 Оценка рисков………………………………………………………….…..13

Глава 2 Проведение аудита информационной безопасности

2.1 Проведение первоначального аудита ИС………………………………...16

2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности…………………………………………………………………..…23

2.3 Рекомендации по обеспечению информационной безопасности………25

Заключение…………………………………………………………………….....38

Список литературы……………………………………………………………....40

Введение

Что такое информационная безопасность?

Информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.

Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная безопасность — механизм защиты, обеспечивающий:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками,

методами, процедурами, организационными структурами и функциями программного обеспечения.

Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Цель данной работы - разработать стратегию ИБ предприятия в виде системы эффективных политик, включающих эффективный и достаточный набор требований безопасности.

Задачи:
^

1) Проведение первоначального аудита информационной безопасности;

2) Выработка рекомендаций по устранению уязвимостей;

3) Разработка нормативных актов, регулирующих информационную безопасность;

^

Глава 1. Теоретические основы процесса обеспечения информационной безопасности

1. Необходимость создания системы информационной безопасности
   

Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались, Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

2. Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.
   

^ 1.2 Требования к системе информационной безопасности

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

3. ^ Внедрение политики информационной безопасности
   

Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.


Ключевыми мерами контроля с точки зрения законодательства являются:

- обеспечение конфиденциальности персональных данных;

- защита учетных данных организации;

- права на интеллектуальную собственность.


Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

- наличие документа, описывающего политику информационной безопасности;

- распределение обязанностей по обеспечению информационной безопасности;

- обучение вопросам информационной безопасности;

- информирование об инцидентах, связанных с информационной безопасностью;

- управление непрерывностью бизнеса.


Перечисленные мероприятия применимы для большинства организаций и информационных сред.

Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.


^ 1.4 Факторы, определяющие эффективность политики безопасности


Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Безопасность препятствует прогрессу.

Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".

Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.

Навыки безопасного поведения приобретаются в процессе обучения

В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

Нарушения политики безопасности являются неизбежными.

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.

Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться.


Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:

- соответствие целей, политик и процедур информационной безопасности целям бизнеса;

- согласованность подхода к внедрению системы безопасности с корпоративной культурой;

- видимая поддержка и заинтересованность со стороны руководства;

- четкое понимание требований безопасности, оценка рисков и управление рисками;

- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;

- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;

- обеспечение необходимого обучения и подготовки;

- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.


^ 1.5 Оценка рисков


Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.

Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.


Спорным вопросом предмета оценки информационных рисков является использование объективных и субъективных вероятностей для анализа уязвимостей и непосредственно анализа информационного риска. Согласно [ГОСТ Р 51897 2002] риск: Сочетание вероятности событий и их последствий¹. Вероятность: Мера того, что событие может произойти. ГОСТ Р 50779.10 дает математическое определение вероятности: «действительное число в интервале от 0 до 1, относящиеся к случайному событию». Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.

Оценка риска: Общий процесс анализа риска и оценивания риска. Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы. Для применения данного метода требуется наличие довольно большого массива наблюдений за соответствующими факторами риска, который затем обрабатывается с помощью несложных математических методов.

Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Процесс получения субъективной вероятности обычно разделяют на три этапа:

• подготовительный этап,
  
• получение оценок,
  
• этап анализа полученных оценок.
  

Во время первого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым. На третьем этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.

Одним из методов субъективной вероятности является метод прямой оценки вероятностей событий². В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура. Сумма всех полученных вероятностей должна равняться единице.

Глава 2. Проведение аудита информационной безопасности


^ 2.1 Проведение первоначального аудита информационной системы


В результате первоначального аудита было проведено анкетирование пользователей и администраторов сети Компании. В результате аудита были выявлены следующие недостатки в обеспечении безопасности информации:

1. Отсутствуют средства контроля доступа к помещениям.
   
2. Отсутствует схема организации резервного канала связи с Филиалами Общества в регионе.
   
3. Отсутствует схема организации технологических мест доступа сотрудников Общества для проверки функциональности каналов связи и работоспособности сетевого оборудования.
   
4. Наличие в Обществе системы «Клиент-Банк» требует дополнительной проработки вопросов обеспечения информационной безопасности Общества и подготовки соответствующих Приказов, Инструкций и рекомендаций.
   
5. Отсутствует полноценный проект построения ЛВС Общества с наличием схем описаний, используемого оборудования и технологий доступа.
   
6. Системы резервного копирования данных находятся в критическом состоянии. Отсутствуют дополнительные мощности для хранения данных. Так же отсутствуют регламенты проведения резервного копирования данных.
   
7. Сети и подсети ЛВС не имеют логического и физического разделения. Межсетевой экран имеет подключение в точке сопряжения с внешней сетью.
   
8. Отсутствуют специальные программные и аппаратные средства контроля и защиты информационных ресурсов и систем.
   
9. В ходе осмотра дополнительного офиса была обнаружена приклеенная бумага к коммутационному оборудованию с указанием сетевых настроек и административного пароля доступа к оборудованию.
   
10. Наличие стандартных и простых паролей, а так же множественные уязвимости.
    
11. На контроллере домена отсутствует разграничение доступа отделов по папкам. В ходе проверки были обнаружены документы относящиеся к классам безопасности: «СЛУЖЕБНАЯ ИНФОРМАЦИЯ», «КОММЕРЧЕСКАЯ ТАЙНА», «ПЕРСОНАЛЬНЫЕ ДАННЫЕ».
    
12. Отсутствуют бизнес-процессы предоставления/прекращения доступа к ресурсам ЦД сотрудникам Общества, филиалов и подрядчикам.
    
13. Отсутствуют нормативные документы по информационной безопасности, в том числе Политика и правила информационной безопасности.
    

Так же были выявлены следующие основные уязвимости на рабочих станциях и серверах корпоративной вычислительной системы:

Порт	Уязвимость	Решение
23	Telnet является протоколом удаленного управления компьютером. Этот протокол является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.	Использовать защищенный протокол, например SSH или разрешить доступ к этому сервису только с определенных адресов.
21	Возможно создание директорий. Возможно удаление директорий. Возможен анонимный вход на сервер FTP. При определенных обстоятельствах это может привести к потери данных.	Закрыть доступ любым пользователям для создания директорий. Закрыть доступ любым пользователям для удаления директорий. Закрыть анонимный доступ к FTP серверу если он действительно не нужен.
80	Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.	Запретить использование этих скриптов или программно исправить ошибку.
135	Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.	Установите обновление: ссылка скрыта
139	Переполнение буфера обнаружено в Microsoft ASN.1 Library ("msasn1.dll") в процессе ASN.1 BER декодирования. Уязвимость может эксплуатироваться через различные службы (Kerberos, NTLMv2) и приложения, использующих сертификаты. Удаленный пользователь может послать специально обработанные ASN.1 данные к службе или приложению, чтобы выполнить произвольный код с SYSTEM привилегиями.	Установите обновление: ссылка скрыта
389	Возможно получение чувствительной информации через запрос NULL BASE без какой-либо авторизации	Оценить степень риска информации получаемой с помощью запроса и при необходимости отключить использование NULL BASE.
593	Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.	Установите обновление: ссылка скрыта
445	Возможен доступ на чтение реестра хоста.	Отключить возможность удаленного управления реестром.
53	Сервер DNS поддерживает рекурсию запросов. При определенных обстоятельствах возможна DoS-атака на сервер.	Разрешить рекурсию только для доверенных адресов.
3306	Переполнение буфера и обход авторизации обнаружено в MySQL. Удаленный пользователь может авторизоваться на сервере базы данных без пароля. Удаленный пользователь может, в некоторых случаях, выполнить произвольный код. Удаленный пользователь может представить специально обработанный авторизационный пакет, чтобы обойти механизм авторизации на MySQL сервере. Уязвимость расположена в check_scramble_323() функции. Удаленный пользователь может определить произвольное 'passwd_len' значение, чтобы заставить функцию сравнить известное значение 'scrambled' пароля со строкой нулевой длины. Функция позволяет удаленному пользователю успешно аутентифицироваться со строкой нулевой длины. Также сообщается о стековом переполнении буфера, которое может быть вызвано чрезмерно длинным параметром 'scramble' , сгенерированным функцией my_rnd(). На некоторых платформах уязвимость может использоваться для выполнения произвольного кода.	Установите последнюю версию: .com/downloads/index.php

На основании этих недостатков, был разработан набор нормативных актов регулирующих информационную безопасность (Приложение 1-16):

• Политика Информационной безопасности;
  

Данный нормативный акт является основным документом, регулирующим вопросы информационной безопасности Компании. В нем даётся понятие безопасности информации. Определяется защищаемая информация. Предъявляются требования к административной и технической защите информации. Определяются ответственные за надлежащее исполнение норм политики (За основу была взята политика информационной безопасности КОМСТАР-ОТС).

• Инструкции по наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;
  

Данный нормативный акт регулирует порядок увольнения работников и лишения их прав доступа в систему. Подробно описывается количество времени выделенного на существование учётных записей пользователей.

• Инструкция по регламентации работы пользователей сети в процессе её эксплуатации;
  

Инструкция по регламентации работы пользователей в локальной вычислительной сети в процессе ее промышленной эксплуатации предназначена для руководителей и сотрудников Компании и регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией Базы Данных организации, обрабатываемой, хранимой и передаваемой в организации.

• Правила информационной безопасности при организации межсетевого взаимодействия;
  
• Правила информационной безопасности при организации технологического доступа сторонним организациям;
  
• Правила информационной безопасности при организации и использовании услуги электронной почты;
  
• Правила информационной безопасности при использовании внутренних информационных ресурсов Компании;
  
• Правила информационной безопасности при организации доступа к внешним информационным ресурсам и сервисам;
  
• Правила информационной безопасности при использовании средств аутентификации;
  
• Правила информационной безопасности при организации антивирусной защиты;
  
• Правила информационной безопасности, предъявляемые к разрабатываемым и внедряемым автоматизированным информационным системам;
  
• Правила информационной безопасности при использовании системы «Клиент-банк».
  
• Правила информационной безопасности при обучении сотрудников.
  
• Правила информационной безопасности при анализе рисков.
  
• Правила информационной безопасности при управлении инцидентами.
  
• Правила доступа и использования.
  

Данные документы были переданы на утверждение генеральному директору Компании и, впоследствии, будут внедрены.

Также результатом анкетирования и первоначального аудита информационной системы предприятия на предмет информационной безопасности (аудит на соответствие стандартам безопасности) стали рекомендации по устранению угроз безопасности:

^ 2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности

Всего не выполнено 350 требования из 473 стандарта ISO/IEC 17799. Общий риск невыполнения требований составляет 71%.

^ Нормативные документы по обеспечению информационной безопасности

Уровень качества существующих распорядительных документов по ИБ оценивается как достаточно высокий.

В Компании не проводится создание и внедрение на практике нормативной базы документов по обеспечению информационной безопасности в соответствии с Корпоративным стандартом КОМСТАР-ОТС. При этом существующей нормативной базы и практики ее применения в информационной системе Общества явно недостаточно для соответствия требованиям Корпоративного стандарта и обеспечения должного уровня защищенности информационных ресурсов.

^ Квалификация персонала

Уровень квалификации пользователей в области ИБ – низкий, сотрудников отдела безопасности – низкий, сотрудников отдела ИТ (в области ИБ) – высокий.

^ Уровень оперативной готовности

Уровень оперативной готовности реагирования на инциденты в области информационной безопасности – крайне низкий.

^ Сетевая инфраструктура

Уровень сегментации сети и изоляции сегментов – низкий. Обнаруженные грубые ошибки в конфигурации сетевого оборудования позволяют потенциальному нарушителю получить полный контроль над транспортным уровнем сетевой инфраструктуры (в том числе – получить неограниченный доступ к сети Интернет) и проводить как сбор информации, передаваемой по сети (аутентификационные данные пользователей, служебные данные, бизнес-информация), так и организовывать сложные атаки на серверы и рабочие станции КИС. В ходе работы был получен доступ на подавляющее большинство коммутаторов и маршрутизаторов.

Серверы

Защищенность серверов в целом находится на достаточно высоком уровне. Распределение функциональной нагрузки между серверами выполнено с учетом требований безопасности. Контроллеры домена, как наиболее важные серверы, достаточно защищены от атак потенциальных нарушителей.

^ Рабочие станции

Защищенность рабочих станций находится на низком уровне. Большое количество рабочих станций имеет типовые ошибки в администрировании: общие для ряда компьютеров или пустые пароли к административным учетным записям, отсутствие обновлений безопасности.


^ 2.3 Рекомендации по обеспечению информационной безопасности.

Соответствие Корпоративному стандарту по информационной безопасности

Прежде всего, необходимо начать работу по реализации требований Корпоративного стандарта (которые в настоящее время практически не выполняются), уделяя особое внимание процедурам контроля и проверки действий пользователей (в том числе активнее использовать как процедуры гласного контроля, так и негласный контроль над пользователями). В соответствии с Корпоративным стандартом требуется разработать и официально утвердить ряд регламентов по ИБ.

Особое внимание требуется обратить на следующие направления организации обеспечения информационной безопасности:

• обучение пользователей вопросам информационной безопасности;
  
• расследование инцидентов в области информационной безопасности;
  
• разделение информационных сред по целям использования;
  
• процедуры внедрения новых информационных систем;
  
• контроль изменений в операционной среде (ведение и анализ журналов аудита, нормативные документы);
  
• наличие матрицы доступа по всем критичным ресурсам;
  
• администрирование критичных ресурсов с применением принципа разделения ответственности;
  
• перечень разрешенных сервисов на всех критичных ресурсах;
  
• контроль за информационными потоками (учет входящих и исходящих электронных документов).
  

Для организации работы по внедрению и реализации требований Корпоративного стандарта рекомендуется создать отдел информационной безопасности, специалистам которого следует поручить выполнение данных функций.

^ Нормативные документы по обеспечению информационной безопасности

В соответствии с Корпоративным стандартом КОМСТАР-ОТС, имеющийся список нормативных документов в Обществе необходимо расширить, добавив следующие наиболее важные регламенты:

• Обучение пользователей.
  
• Матрица доступа по всем критичным ресурсам.
  
• Внедрение и тестирование новых информационных систем.
  
• Расследование инцидентов в области ИБ.
  
• Перечень разрешенного ПО, установленного на критичных ресурсах.
  
• Инвентаризация ресурсов.
  
• Физическое уничтожение отработавшего оборудования или остаточной информации.
  
• Анализ и реагирование на инциденты в области ИБ.
  
• Ведение и регулярный анализ журналов системных событий.
  
• Распределение ответственности при выполнении критичных операций.
  
• Разделение сред по целям использования (операционная среда, тестирования и среда разработки).
  
• Контроль изменений в операционной среде.
  
• Регулярные проверки ИБ (внутренние проверки, внешний аудит).
  
• Обеспечение непрерывности ведения бизнеса.
  
• Распределение ответственности за обеспечение информационной безопасности.
  
• Безопасность персонала.
  
• Безопасность носителей данных.
  
• Передача во внешнюю среду конфиденциальной информации в электронном виде.
  
• Перечень конфиденциальной информации, существующей в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности, доступности по видам конфиденциальной информации.
  
• Перечень ценной информации, существующий в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности и доступности по видам ценной информации.
  
• Методы и средства анализа и управления информационными рисками.
  

^ Квалификация персонала

1. Для обеспечения безопасности и повышения квалификации пользователей требуется регулярно проводить тренинги в области ИБ для пользователей и внедрить развитую систему регулярных проверок за действиями пользователей в ИС.
   
2. Для повышения квалификации персонала из службы ИТ следует регулярно проводить для них курсы повышения квалификации по ИБ (особенно по сетевому оборудованию) и ставить задачу обеспечения ИБ как от менеджеров заказчика, так и от лица высшего руководства заказчика, тем самым стимулируя их выполнять задачи обеспечения безопасности на требуемом Корпоративным стандартом уровне.
   

^ Уровень оперативной готовности

Для повышения уровня оперативной готовности рекомендуется выделить специалиста по информационным технологиям из состава службы безопасности, которому поручить постоянный мониторинг безопасности ИС. В составе службы ИТ рекомендуется выделить администратора, задачей которого являлось бы обеспечение ИБ и регулярный мониторинг и анализ журналов системных событий Кроме того, рекомендуется установить и настроить должным образом системы обнаружения атак, сетевые сенсоры и хосты-ловушки.

^ Сетевая инфраструктура

1. Сеть должна быть глубоко сегментирована. Рекомендуется выделить сегмент серверов, сегмент сетевых принтеров, сегмент рабочих станций системных администраторов, сегменты рабочих станций пользователей (по географическому, организационному, функциональному или иному признаку), демилитаризованную зону. Глубокая сегментация позволяет разграничить доступ пользователей к различным ресурсам КИС и разработать строгие правила для разрешенных видов доступа (включая деление на различные уровни доступа), а также легко протоколировать потенциально небезопасную сетевую активность пользователей (потенциальных нарушителей ИБ).
   
2. Сегменты сети должны быть максимально изолированы друг от друга, не нарушая требования информационных потоков, определяемые бизнес-функцией сети. Изоляция сегментов должна быть выполнена на уровне транспортных протоколов на коммутаторах и маршрутизаторах сети.
   
3. Пароли на доступ к консолям управления сетевыми устройствами должны отвечать требованиям стойкости для паролей административных учетных записей. Недопустимо использование паролей, установленных изготовителем оборудования (паролей по умолчанию).
   
4. Для администрирования активного сетевого оборудования и прочих сетевых устройств (сетевых принтеров, источников бесперебойного питания и т.п.) рекомендуется использовать протокол SSH версии 2 или протокол SNMP версии 3 (с поддержкой криптографической защиты трафика). Остальные протоколы, которые могут использоваться для администрирования, рекомендуется отключить.
   
5. Необходимо ограничить доступ к сетевым устройствам по протоколу SNMP с идентификационными строками «public» и «private» или сменить строку идентификации.
   
6. Рекомендуется ограничить доступ к административным интерфейсам только с ряда IP-адресов или подсетей и протоколировать все успешные и неуспешные подключения.
   
7. Необходимо протоколировать изменения конфигурации сетевых устройств, а также все критические события на сетевых устройствах.
   
8. Недопустимо хранение файлов конфигурации активного сетевого оборудования вне сетевых устройств без использования средств криптографической защиты.
   

Серверы

Общие положения

1. Необходима регулярная установка обновлений операционной системы и программного обеспечения.
   
2. Каждый сервер должен быть обеспечен источником бесперебойного питания, мощности которого должно хватить для корректного завершения работы системы или обеспечения электропитанием до включения резервного источника питания.
   
3. Профиль администратора домена Windows должен быть перемещаемым.
   
4. Все неиспользуемые в течение некоторого срока (например, 1 месяца) учетные записи должны быть отключены.
   
5. Рекомендуется полностью запретить доступ к доменам Windows с рабочих станций, не включенных в домен (настраивается с помощью редактирования политики безопасности доменов), а также ограничить доступ ко всем сервисам домена без обязательной авторизации.
   
6. Недопустимо включать тестовые серверы и отдельные службы в рабочую (производственную) среду. Тестовая среда должна быть полностью отделена от рабочей (производственной) среды.
   
7. Для криптографической защиты аутентификационных данных рекомендуется использовать стойкие протоколы и алгоритмы, в том числе – NTLM версии 2, MD5.
   
8. Рекомендуется запретить правилами фильтрации неиспользуемые сетевые протоколы на серверах предоставления доступа в Интернет Microsoft ISA (в частности, протокол ICMP, при помощи которого потенциальный нарушитель может организовать туннель для скрытой передачи данных).
   
9. Ввести контроль за включением в корпоративную сеть новых серверов (в особенности – серверов сторонних организаций) и выполнять проверку их свойств безопасности перед развертыванием.
   
10. Рекомендуется провести проверку (инвентаризацию) всего установленного на серверах ПО с точки зрения информационной безопасности и удалить небезопасное ПО.
    

Политика паролей для учетных записей пользователей

1. Длина пароля – не менее 8 символов.
   
2. Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
   
3. Максимальный срок действия пароля должен быть ограничен 2 месяцами.
   
4. Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься «вручную» системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.
   
5. Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
   
6. Пароль не должен совпадать с именем учетной записи пользователя.
   
7. Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.
   
8. Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.
   
9. Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
   
10. Рекомендуется генерировать качественные пароли пользователей при помощи специальных программных утилит.
    

Политика паролей для административных учетных записей

1. Длина пароля – не менее 16 символов.
   
2. Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
   
3. Максимальный срок действия пароля должен быть ограничен 1 месяцем.
   
4. Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
   
5. Пароль не должен совпадать с именем учетной записи пользователя.
   
6. В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.
   
7. Пароли на доступ к различным ресурсам должны различаться; не допускается использование универсальных паролей для административных учетных записей.
   
8. Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
   
9. Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.
   
10. Рекомендуется генерировать качественные пароли пользователей при помощи специальных программных утилит.
    

Аудит системных событий

1. В обязательном порядке должен выполняться аудит следующих событий:
   
   • авторизации пользователей при доступе к любым ресурсам корпоративной информационной системы (как успешных, так и неуспешных попыток);
     
   • изменения конфигурационных файлов и настроек операционной системы и прикладных программ, средств обеспечения информационной безопасности, прав доступа к критически важным системным объектам и данным;
     
   • добавления и удаления учетных записей пользователей, а также изменения свойств и привилегий учетных записей;
     
   • операций доступа (чтения и записи) к критически важным данным (системным данным, бизнес-информации);
     
   • сетевых подключений к административным интерфейсам.
     
2. Журналы аудита должны ежедневно анализироваться при помощи специализированных программных средств; отчет по результатам анализа предоставляться системным администраторам и специалистам службы информационной безопасности.
   
3. Необходимо выполнять ежедневное резервное копирование журналов аудита и проверку целостности существующих резервных копий.
   

Сетевые службы

1. Для передачи ценной информации должны использоваться только криптографически защищенные каналы связи.
   
2. Рекомендуется отключить неиспользуемые службы или запретить к ним доступ при помощи межсетевого экрана.
   
3. Сетевые службы не должны сообщать пользователю (и потенциальному нарушителю) служебную и отладочную информацию о своей версии и рабочей конфигурации.
   
4. Сетевые службы должны запускаться с правами непривилегированного пользователя операционной системы, чтобы минимизировать риск удаленного проникновения в систему. Также рекомендуется запуск сетевых служб в изолированной среде (sandbox).
   
5. Для контроля над сетевыми соединениями и раннего обнаружения атак должны использоваться системы обнаружения вторжений и обманные системы (honeypot).
   
6. Для разграничения доступа к сетевым службам на уровне транспортных протоколов рекомендуется использовать списки контроля доступа на активном сетевом оборудовании, программные и программно-аппаратные межсетевые экраны, а также собственные средства контроля доступа (уровня транспортного протокола) сетевых служб.
   

^ Удаленное администрирование

1. Рекомендуется стандартизовать на уровне Общества средства удаленного администрирования.
   
2. Для серверов под управлением ОС Windows рекомендуется использовать службу терминалов Windows или программы, аналогичные Remote Administrator версии не ниже 2.2. Не рекомендуется использовать сложные пакеты администрирования типа DameWare, pcAnywhere, Ideal Administration.
   
3. Для администрирования активного сетевого оборудования и прочих сетевых устройств (сетевых принтеров, источников бесперебойного питания и т.п.) рекомендуется использовать протокол SSH версии 2 или протокол SNMP версии 3 (с поддержкой криптографической защиты трафика).
   
4. Рекомендуется ограничить доступ к административным интерфейсам только с ряда IP-адресов или подсетей и протоколировать все успешные и неуспешные подключения.
   

^ Рабочие станции

Общие положения

1. На рабочих станциях не должно храниться конфиденциальной информации в открытом виде. Для хранения такой информации рекомендуется использовать криптографически защищенные диски или специальные автоматизированные системы обработки конфиденциальной информации.
   
2. На рабочих станциях системных администраторов не должно храниться информации о конфигурации информационной системы и аутентификационных данных в открытом виде. Для хранения такой информации рекомендуется использовать криптографически защищенные диски.
   
3. На каждой рабочей станции должен быть установлен персональный межсетевой экран, запрещающий все входящие подключения и разрешающий только минимально необходимый набор исходящих подключений. Особое внимание необходимо обратить на установку персональных межсетевых экранов на рабочие станции системных администраторов.
   
4. Пароли для локальных учетных записей должны соответствовать требованиям парольной политики. Недопустимо использование простых или общих паролей для всех рабочих станций.
   
5. Доступ к конфигурации BIOS рабочей станции должен быть защищен паролем.
   
6. Необходимо отключить возможность использования пользователями сменных носителей данных и регулярно контролировать изменения аппаратной конфигурации рабочих станций.
   
7. Необходимо утвердить перечень разрешенного для запуска пользователями программного обеспечения и регулярно контролировать изменения в перечне установленных на рабочих станциях программ.
   
8. Необходимо регулярно отслеживать появление дополнительных каналов связи на рабочих станциях, таких как беспроводные сетевые карты и модемы.
   
9. Должна выполняться автоматическая блокировка консоли рабочей станции не более чем через 10 минут неактивности пользователя.
   
10. Настройки программного обеспечения должны исключать хранение аутентификационных данных пользователей в незашифрованном стойкими алгоритмами виде.
    
11. При динамическом распределении IP-адресов рабочих станций должна выполняться жесткая привязка к MAC-адресу сетевой карты, чтобы исключить возможность подмены IP-адреса рабочей станции.
    
12. Настройка политики безопасности домена должна запрещать подключение административных учетных записей домена к рабочим станциям как интерактивно, так и неинтерактивно.
    

Аудит системных событий

1. В обязательном порядке должен выполняться аудит следующих событий (локально на рабочей станции):
   

• изменения конфигурационных файлов и настроек операционной системы и прикладных программ, средств обеспечения информационной безопасности, прав доступа к критически важным системным объектам и данным;
  
• добавления и удаления локальных учетных записей пользователей, а также изменения свойств и привилегий локальных учетных записей;
  
• сетевых подключений к административным интерфейсам (если установлена служба удаленного управления рабочей станцией).
  

2. Журнал системных событий должен регулярно копироваться на удаленный сервер централизованного хранения журналов.
   
3. Журналы аудита рабочих станций должны регулярно анализироваться на сервере централизованного хранения журналов при помощи специализированных программных средств; отчет по результатам анализа должен предоставляться системным администраторам и специалистам службы информационной безопасности.
   

^ Сетевые службы

1. Для передачи ценной информации должны использоваться только криптографически защищенные каналы связи.
   
2. Рабочая станция должна предоставлять минимальное количество сетевых сервисов (в качестве сервера). Рекомендуется отключить неиспользуемые службы или запретить к ним доступ при помощи персонального межсетевого экрана.
   
3. Сетевые службы не должны сообщать пользователю (и потенциальному нарушителю) служебную и отладочную информацию о своей версии и рабочей конфигурации.
   

Заключение

В работе был проведен первоначальный аудит информационной безопасности и рассмотрены критерии, подходы и методики обеспечения информационной безопасности Компании. Разработаны рекомендации по обеспечению информационной безопасности в соответствии с корпоративным стандартом КОМСТАР-ОТС и стандартом ISO/IEC 17799.

Наиболее существенные результаты, полученные в процессе работы, состоят в следующем:

• в рамках подготовки предприятия к проведению анализа рисков предложен и разработан набор нормативных актов, регулирующих информационную безопасность на предприятии, в состав которого входит:
  

1. Политика Информационной безопасности;
   
2. Правила информационной безопасности при организации межсетевого взаимодействия;
   
3. Правила информационной безопасности при организации технологического доступа сторонним организациям;
   
4. Правила информационной безопасности при организации и использовании услуги электронной почты;
   
5. Правила информационной безопасности при использовании внутренних информационных ресурсов Компании;
   
6. Правила информационной безопасности при организации доступа к внешним информационным ресурсам и сервисам;
   
7. Правила информационной безопасности при использовании средств аутентификации;
   
8. Правила информационной безопасности при организации антивирусной защиты;
   
9. Правила информационной безопасности, предъявляемые к разрабатываемым и внедряемым автоматизированным информационным системам;
   
10. Правила информационной безопасности при использовании системы «Клиент-банк».
    
11. Правила информационной безопасности при обучении сотрудников.
    
12. Правила информационной безопасности при анализе рисков.
    
13. Правила информационной безопасности при управлении инцидентами.
    

• предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволить обеспечить оптимальный уровень затрат на информационную безопасность;
  

Основные результаты работы успешно внедрены и применяются в практической деятельности предприятия. Главной задачей на текущий момент остается - вовлечение руководства компании в процесс управления безопасностью.
^

Список литературы

1. Информационный бюллетень JetInfo №1 (68)/1999. «Анализ рисков, управление рисками» Сергей Симонов.
   
2. «Информационная безопасность: экономические аспекты» Сергей Петренко, Сергей Симонов, Роман Кислов.
   
3. «Технологии и инструментарий для управления рисками». Симонов С. В., JetInfo. - №1. – 2003.
   
4. «Управление информационными рисками. Экономически оправданная безопасность» Петренко С. А., Симонов С. В. – М.: Компания АйТи: ДМК Пресс, 2004. – 384с.
   
5. Лукацкий А. В. Обнаружение атак. – Спб.: БХВ – Петербург, 2001 – 624 с.: ил.
   
6. А. Лукацкий. Адаптивная безопасность сети. Компьютер-Пресс, №8, 1999
   
7. [7] А.В. Лукацкий Адаптивное управление защитой. "Сети. Глобальные сети и телекоммуникации". №10, 1999.
   
8. Мельников В. В. Защита информации в компьютерных системах. – М.: Мир, 1978. – 432 с.
   
9. Шахов В. Г., Фофанов А. В. Идентификация пользователей в защищенной системе хранения информации. – Автоматика, связь, информатика, 2002, №1.
   
10. Шахов В. Г. Компьютерная безопасность : модель нарушителя. – Автоматика, связь, информатика, 1999, №9. с 19-21.
    
11. «Network security: from risk analysis to protection strategies». – ISCOM.
    
12. «Information security risk analysis – a matrix-based approach». – Sanjay Goal, Vicky Chen.
    
13. «Оценка рисков информационной безопасности на основе нечеткой логики» - П. А. Балашов, В. П. Безгузиков, Р. И. Кислов. (ссылка скрыта).
    
14. «Современные методы и средства анализа и контроля рисков информационных систем компаний». Илья Медведовский, 21.01.04, - (ссылка скрыта).
    
15. «Система автоматизации управления информационной безопасностью больших организационных систем». О.А. Бурдин, А.А. Кононов.
    
16. «Разработка требований к средствам защиты информации в корпоративных системах с внешним информационным обменом на основе анализа рисков». Трифаленков Илья Анатольевич, Российская государственная библиотека, Москва 2006г.
    
17. Бриллюэн Леон.Наука и теория информации. – М.: Гос. изд-во физико-математической литературы., 1960.
    
18. Федеральный закон «О техническом регулировании» от 27 декабря 2002 года № 184-ФЗ.