Попурри на тему информационной безопасности

    В настоящий момент существует множество средств контроля и обеспечения безопасности, однако все их можно разделить на следующие группы или классы:
    1. Средства управления доступом к системе (доступ с консоли, доступ по сети) и разграничения доступа
    2. Обеспечение контроля целостности и неизменности программного обеспечения (сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса есть изменение ПО)
    3. Средства криптографической защиты
    4. Средства защиты от вторжения извне (внешнего воздействия)
    5. Средства протоколирования действий пользователей, которые тоже служат обеспечению безопасности (хотя и не только)
    6. Средства обнаружения вторжений
    7. Средства контроля состояния безопасности системы (обнаружения уязвимостей)

    Самыми интересными являются три последних класса, которые играют пассивную роль в обеспечении безопасности, однако их значимость не должна быть принижена. Если мы, к примеру, рассмотрим цикл Деминга в отношении обеспечения информационной безопасности на уровне ПО, то положение этих трех классов будет занимать полностью одну четвертую часть всего процесса обеспечения безопасности.

    image
    Методология PDCA(Цикл Деминга) представляет собой простейший алгоритм действий руководителя по управлению процессом и достижению его целей. Цикл управления начинается с планирования.
    1. Планирование — установление целей и процессов, необходимых для достижения целей, планирование работ по достижению целей процесса и удовлетворения потребителя, планирование выделения и распределения необходимых ресурсов.
    2. Выполнение — выполнение запланированных работ.
    3. Проверка — сбор информации и контроль результата на основе ключевых показателей эффективности (KPI), получившегося в ходе выполнения процесса, выявление и анализ отклонений, установление причин отклонений.
    4. Воздействие (управление, корректировка) — принятие мер по устранению причин отклонений от запланированного результата, изменения в планировании и распределении ресурсов.


    Эти средства не влияют (хотя в купе с другими системами и могут) на систему обеспечения безопасности, а просто занимаются сбором хранением и обеспечением доступности полной информации о состоянии системы безопасности — журналы событий, сведения об отказах в обслуживании, сведения о подозрительных авторизациях, аналитические журналы сравнений картины уязвимостей системы и отдельных узлов.

    Другой стороной таких систем, в частности средств обнаружения уязвимостей, будут являться подсистемы помощи принятий решений (ППР), которые на основе каких-то входных данных выносят достаточно справедливые вероятностные решения на следующий узел цикла PDCA, а именно «Act» — воздействие. Подсистема ППР может быть автономной и не влиять на функционирование системы в целом, однако, более результативные системы автоматически корректируют себя на основе результатов ППР.

    Примером таких корректировок могут быть межсетевые экраны с автоматическим добавлением новых правил при превышении лимита пакетов в единицу времени на определенный порт. Существуют и более сложные системы IDS+IPS, которые определяют правила работы отдельных узлов между собой.

    Очевидно что, для правильной, корректной и обоснованной работы таких систем будет критичным актуальность и полнота входной информации о функционировании уже существующей системы безопасности. Поскольку ложная (как фальш-негативная, так и фальш- позитивная) информация будет слабым звеном в цепочке принятия решения о модернизации системы обеспечения защиты информационной безопасности, главной задачей будет построение качественной системы контроля и аудита безопасности.

    Возможная выгода злоумышленника при неправильной системе аудита безопасности может быть самой разнообразной, всё зависит от того на что направлен его взор. Если, например, злоумышленник понимает, что в существующей системе безопасности абсолютно нет никаких уязвимостей на сегодняшний день, но так же и нет инцидентной политики, то атака (особенно распределенная) будет очень успешной по истечении непродолжительного времени после использования принципиально новой схемы нападения. Или же невозможность идентифицировать атаку будет так же являться черным ходом в КИС. А последствии атак так же могут быть различными — хищение информации, отказ в обслуживании, вирусная атака и т.д.

    Так же неправильная система аудита безопасности может быть причиной нелогичного решения в цикле Деминга на момент времени «Act». Это может получиться когда, из-за неправильных данных и их анализа мы (или система ППР) принимаем решение о модернизации системы. Эта модернизация может быть необоснованна финансовыми затратами, а так же выгодна злоумышленникам которые преследовали цель не получить конфиденциальную информацию обойдя защиту, а получить её в самый слабый момент — перестройка системы.

    Качественной системой мониторинга можно назвать систему, которая будет с вероятностью от 85% до 100% отслеживать состояние защищенности информации в организации (журналы авторизаций, время атак или гарантию отсутствия таковых) на любой момент времени.

    На сегодняшний момент проверкой надежности системы мониторинга-контроля (или вообще её наличие) за обстановкой в информационной безопасности могут являться только тестовые испытания на существующих и уже работающих КИС. Это различного рода атаки, поиск практических средств использования уязвимостей системы, проверка полноты хранимой информации.

    В случае выявлений отклонений ожидаемых результатов от действительных мы должны проанализировать качество и количество этих отклонений и оценить риски, которые возникли в ходе этих испытаний, провести все мероприятия по их устранению и провести контрольный тест. Если риски остались — продолжаем тестовые испытания и модернизацию.

    В случае если система показала даже 100% результат в контроле за информационными потоками, мы должны время от времени проводить плановые и внеплановые испытания, с использованием новейших технологий, для гарантии корректности.

    Обычно проверка систем мониторинга и контроля информационной безопасности проводится сторонними организациями, поскольку это очень дорогое и постоянно ненужное средство, а так же предвзятость не может не влиять на результаты и цену рисков. В рамках этого предлагаются некоторые решения.
    Основные задачи, которые решаются в ходе аудита защищенности информационной системы:
    1. Анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации.
    2. Выявление значимых угроз информационной безопасности и путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе.
    3. Составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности.
    4. Проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии.
    5. Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов Заказчика.
    6. Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ.
    7. Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
    При получении рекомендаций от сторонних организаций нужно помнить о финансовой обоснованности и безусловном отклонении от идеального варианта и возможно начать следующую итерацию цикла PDCA еще с прошлых недочётов.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 18
    • +1
      Адаптированный для ИБ вариант цикла:
      • 0
        Ога только внутри каждого из этапов не всё так просто и есть маленькие (в рамках времени всмысле) PDCA циклы…
        • 0
          никто и не спорит. Это всего лишь верхнеуровневый цикл.
      • 0
        На самом деле оригинальное название «Тестирование ПО по контролю и аудиту ИБ»
        • 0
          Среди первых семи пунктов в самом начале потерян следующий:
          8. Средства резервного копирования информации
          • 0
            хммм… не соглашусь там речь идет о средствах «контроля и обеспечения безопасности», а бэк апы(контроль или обеспечение… хм я не могу это пристыковать ни к тому ни к другому), это что то на подобии «выключаем сервак и он полностью безопасен» =))
            • 0
              Не стоит изобретать велосипед, первый же взгляд в википедию дает развернутый ответ ru.wikipedia.org/wiki/Information_security, особенно вам стоит обратить внимание на пункт «Программно-технические способы и средства обеспечения информационной безопасности».

              Тем более фраза «контроля и обеспечения безопасности» является неправильной, средства «контроля» входят в общие средства «обеспечения безопасности», либо убрать во фразе «и» — но тогда половина предложенных 7 классов/групп не подойдут, либо согласится и использовать авторитетные источники, или уже писать какой источник вы используете раз уже статья претендует на научность.
              • 0
                Вы не поняли иронии =)) средства копирования сами по себе это все равно что холодильник без электричества — толку ноль. А вот если туда бы добавит средства восстановления… то другое дело (но тоже очень и очень сомнительно… очень)

                По поводу «средства «контроля» входят в общие средства «обеспечения безопасности»»… контроль вообще то мало относится к безопасности, если уж пошли на примеры, это как телохранитель и бизнесмен продающий колготки (я бы не стал причислять этого телохранителя к чулочно-насочному бизнесу)

                Так и контроль ну уж никак не обеспечивает безопасность моего компьютера, если я открыл RDP без пароля, но блин каждый день читая логи хаков ничего не делаю.

                PS
                Википедия — далеко не авторитет))))
                • 0
                  Извините не совсем вас понимаю, я проучился 6 лет по специальности ИБ, и занимаюсь сейчас преподаванием по специальности, но очень многое в вашей статье и комментариях вызывает вопросы, возможно всё дело в том что вы не достаточно проработали материал и не правильно его подаете, к примеру если перед начальным списком из 7 пунктов слегка изменить ключевую фразу «множество АКТИВНЫХ средств контроля и обеспечения информации» — то все мои замечания испарятся.
                  Так же у меня с вами слегка отличается терминологическая база, но не буду занудничать, спасибо…
                  • 0
                    ну...So many men, so many minds(к вопросу о терменологии)
                    А про активные — сложно отнести логирование действий юзеров к таковым)
                    Не испаряйте замечания… они помогают развиваться…
          • 0
            «сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса есть изменение ПО» то есть инсталляция горячо любимой «асечки» тоже есть изменение ПО, поскольку по сути ничем от внедрения трояна не отличается?
            • 0
              не понял вопроса… отношу ли я асю к вирусам — естественно))
              А следование в одну сторону:
              Внедрение вируса -> есть всегда изменение ПО(поэтому контролируем любое изменение — вдруг вирусятина) и в связке с механизмом определением нежелательного ПО или действий этого ПО получаем инструмент обеспечения безопасности,
              Изменение ПО -> не всегда есть внедрение вируса…

              Или вы о другом?
              • 0
                Я к тому, что контроль целостности и антивирусы — две большие разницы.
                • 0
                  а мне казалось что уже почти все вирусы ворчат на внесенные изменения в нашей любимой папочки программ файлс))
                • 0
                  > Внедрение вируса -> есть всегда изменение ПО
                  По-моему не правильное умозаключение, вирус ведь может быть в виде отдельного файла? Какое тогда происходит изменение ПО?
                  • 0
                    да… верно если лежит просто так и никого не трогает в файловой системе) как только ожил — начал менять что-то.
                    • 0
                      да и в конце концов вирус же не по волшебству появляется…

                      Програ́ммное обеспе́чение (допустимо также произношение обеспече́ние) — совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ (ГОСТ 19781-90)

                      Если рассматривать принципы работы: ОС(включающая в себя ПО для копирования, скачивания, распоковывания файликов) контролирует файловую систему ФС — чтобы в ФС появилось что то мы пинаем утилитку, мол запиши ка — а вот этот пинок будет событие, где-то что -то меняющий…
                • 0
                  К вопросам о вирусах… обозначил я их в статье для общей картины.
                  И мои религиозные взгляды говорят о том, что вирусы это субъективное понятие для конкретно взятой системы.
                  Вирус для пользователя — программный комплекс ворующий «картинки» они же «фотки»,
                  Вирус для сервака работающий публичный файловый сервер =) ну не гарантируется там целостность и доступность… и.тд.

                  PS
                  на мой взгляд вирусы — собаки которые умнее своих хозяев)))

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое