Основи(рівні)інформаційноїбезпеки

Законодавчийрівень єнайважливішимдлязабезпеченняінформаційноїбезпеки.НеобхідновсілякопідкреслювативажливістьпроблемиІБ;сконцен­труватиресурсинанайважливішихнапрямахдосліджень;скоординуватиосві­тнюдіяльність;створитиіпідтримуватинегативневідношеннядопорушниківІБ

—всецефункціїзаконодавчогорівня.

Назаконодавчомурівніособливоїувагизаслуговуютьправовіактиістан-ідарти.

Українськіправовіактивбільшостісвоїймаютьобмежувальнуспрямова­ність.Алете,щодляКримінальногоабоЦивільногокодексівприродне,повід-іношеннюдоЗаконупроінформацію,інформатизаціюізахистінформаціїє|принциповимнедоліком.Саміпособіліцензуванняісертифікаціянезабезпечу­ютьбезпеки.Дотогожузаконахнепередбаченавідповідальністьдержавнихор­ганівзапорушенняІБ.Реальністьтака,щовУкраїнівзабезпеченніІБнадопо-Імогудержавирозраховуватинедоводиться.Нацьомуфоніповчальнимєзнайом­ствоіззаконодавствомСШАвобластіІБ.

СередстандартівСполученихШтатіввиділяються"Оранжевакнига","Ре-ромендаціїХ.800"і"Критеріїоцінкибезпекиінформаційнихтехнологій"."Оранжевакнига"заклалабазиспонять;унійвизначаютьсянайважливішісер­вісибезпекиіпропонуєтьсяметодкласифікаціїінформаційнихсистемзавимогамибезпеки.

"РекомендаціїХ.800"вельмиглибоковикладаютьпитаннязахистумережнихконфігураційіпропонуютьрозвиненийнабірсервісівімеханізмівбезпеки.

МіжнароднийстандартISO15408,відомийяк"Загальнікритерії¹",реалізуєбільшсучаснийпідхід,уньомузафіксованонадзвичайноширокийспектрсерві­сівбезпеки(представленихякфункціональнівимоги).Йогоухваленняякнаціо­нальногостандартуважливенетількизабстрактнихміркуваньінтеграціївсвіто­вуспільноту.Цейдокумент,сподіваємось,полегшитьжиттявласникамінфор­маційнихсистем,істотнорозширитьспектрдоступнихсертифікованихрішень.

Головнезавданнязаходівадміністративногорівня -сформуватипро­грамуробітвобластіінформаційноїбезпекиізабезпечитиїївиконаннячерезвиділеннянеобхіднихресурсівіконтрольстанусправ.

Основоюпрограмиєполітикабезпеки,щовідображаєпідхідорганіза­ціїдозахистусвоїхінформаційнихактивів.

Розробкаполітикиіпрограмибезпекипочинаєтьсязаналізуризиків,пер-

шиметапомякого,усвоючергу,єознайомленнязнайпоширенішимизагрозами.

Головнізагрози-внутрішняскладність1С,ненавмисніпомилкиштатнихкористувачів,операторів,системнихадміністраторівтаіншихосіб,якіобслуго­вуютьінформаційнісистеми.Надругомумісцізарозміромзбитківстоятькрадіж­киіфальсифікації.Реальнунебезпекупредставляютьпожежітаіншіаваріїпідтри­муючоїінфраструктури.

Узагальномучисліпорушеньсьогоднізростаєчастказовнішніхатак,алеосновнихзбитків,якіраніше,завдають"свої".

Дляпереважноїбільшостіорганізаційдостатньозагальногознайомствазри­зиками;орієнтаціянатипові,апробованірішеннядозволитьзабезпечитибазовийрівеньбезпекипримінімальнихінтелектуальнихірозумнихматеріальнихвитратах,

Розробкапрограмиіполітикибезпекиможеслужитиприкладомвикорис­танняпоняттярівнядеталізації.Вінповиненпідрозділятисянадекількарівнів,щовідображаютьпитаннярізногоступеняспецифічності.Важливимелементомпрограмиєрозробкаіпідтримкавактуальномустанікарти1С.

Необхідноюумовоюдляпобудовинадійного,економічногозахистуєроз­гляджиттєвогоциклу1Сісинхронізаціязнимзаходівбезпеки.Виділяютьна­ступніетапижиттєвогоциклу:

• ініціатива;

• закупівля;

• установка;

'експлуатація;

•виведеннязексплуатації.

Безпекунеможливододатидосистеми;їїпотрібнозакладатиізсамогопоча­ткуіпідтримуватидокінця.

Заходипроцедурногорівня орієнтованіналюдей(аненатехнічнізасоби)іпідрозділяютьсянанаступнівиди:

• управлінняперсоналом;

• фізичнийзахист;

• підтримкапрацездатності;
106

• реагуваннянапорушеннярежимубезпеки;

• плануваннявідновлюванихробіт.

Нацьомурівнізастосовніважливіпринципибезпеки:

• безперервністьзахистуупросторітачасі;

• розподілобов'язків;

• мінімізаціяпривілеїв.

Туттакожзастосовніоб'єктнийпідхідіпоняттяжиттєвогоциклу.Пер­шийдозволяєрозділитиконтрольованісутності(територію,приладдяіін.)навід­носнонезалежніпідоб'єкти,якірозглядаютьзрізнимступенемдеталізаціїіконт-|ролюютьзв'язкиміжними.

Поняттяжиттєвогоциклузастосовуєтьсянетількидоінформаційнихсис­тем,алеідоспівробітників.НаетапіініціативнеобхіднорозроблятипосадизІвимогамидокваліфікаціїікомп'ютернимипривілеями,щовиділяються;наетапіустановкинеобхіднопровестинавчання,разомзтимізпитаньбезпеки;на■етапівиведеннязексплуатаціїпотрібнодіятиакуратно,недопускаючизаподі­яннязбитківскривдженимиспівробітниками.

Інформаційнабезпекабагатовчомузалежитьвідакуратноговеденняпо­точноїроботи,якавключає:

• підтримкукористувачів;

• підтримкупрограмногозабезпечення;

• конфігураційнеуправління;

• резервнекопіювання;

• управлінняносіями;

• документування;*

• регламентніроботи.

ЕлементомповсякденноїдіяльностієвідстежуванняінформаціївобластіШ;якмінімум,адміністраторбезпекиповиненпідписатисядоспискурозсипкипоновихпроблемахвзахисті(ісвоєчаснознайомитисязновимиповідомленнями).

Потрібно,насамперед,готуватисядонеординарнихподій,тобтодопору­шеньІБ.Завчаснопродуманареакціянапорушеннярежимубезпекипереслідує

триголовніцілі:

1) локалізаціяінцидентуізменшеннязаподіянихзбитків;

2) виявленняпорушників;

3) попередженняповторнихпорушень.

Виявленняпорушника-процесскладний,алепункти1)і3)можнаіпотрі­бноретельнопродуматиівідпрацювати.

Уразісерйознихаварійнеобхіднопровадитивідновніроботи.Процесплану­ваннятакихробітможематинаступніетапи:

•виявленнякритичноважливихфункційорганізації,встановленняпріоритетів;

•ідентифікаціяресурсів,необхіднихдлявиконаннякритичноважливих
функцій;

• визначенняперелікуможливихаварій;

• розробкастратегіївідновнихробіт;

• підготовкадореалізаціїобраноїстратегії;

• перевіркастратегії.

Програмно-технічнізаходи,тобтозаходи,спрямованінаконтролькомп'ютерногоустаткування,програмі/абоданих,єостаннімінайважливішимрубе­жемінформаційноїбезпеки.Нацьомурубежістаютьочевидниминетількипози­тивні,алеінегативнінаслідкишвидкогопрогресуінформаційнихтехнологій.По-перше,додатковіможливостіз'являютьсянетількиуфахівцівзІБ,алеіузло­вмисників.По-друге,інформаційнісистемивесьчасмодернізуються,перебудо­вуються,донихдодаютьсянедостатньоперевіренікомпоненти(упершучергупрограмні),щозаважаєдотриманнюрежимубезпеки.Заходибезпекиподіляютьнанаступнівиди:

• превентивні,якіперешкоджаютьпорушеннямІБ;

• заходиповиявленнюпорушень;

• ті,щолокалізують,звужуютьзонудіїпорушень;

• заходиповиявленнюпорушників;

• заходиповідновленнюрежимубезпеки.

Упродуманійархітектурібезпекивсівониповиннібутиприсутні.

I

Зпрактичноїточкизоруважливимитакожєнаступніпринципиархітектур­ноїбезпеки:

•безперервністьзахистуупросторітачасі,неможливістьминутизахисні
засоби;

•слідуваннявизнанимстандартам,використанняапробованихрішень;

•ієрархічнаорганізація1Сздеякоюкількістюсутностейнакожномурівні;
І•посиленнянайслабкішоїланки;

•неможливістьпереходувнебезпечнийстан;
і•мінімізаціяпривілеїв;

і•розподілобов'язків;

•ешелоноватістьоборони;

І•різноманітністьзахиснихзасобів;

•простотаікерованістьінформаційноїсистеми.

Центральнимдляпрограмно-технічногорівняєпоняттясервісубезпеки.Докисласервісівналежать:І•ідентифікаціяіаутентифікація;і•управліннядоступом;:•протоколюванняіаудит;І•шифрування;1•контрольцілісності;|•екранування;

•аналіззахищеності;

•забезпеченнявідмовостійкості;

;•забезпеченнябезпечноговідновлення;

•тунеліювання;

•управління.

Цісервісиповинніфункціонуватиувідкритомумережномусередовищізрі­зноріднимикомпонентами,тобтобутистійкимидовідповіднихзагроз,аїхвико­ристанняповиннебутизручнимдлякористувачівіадміністраторів[табл.5.2].Так,сучаснізасобиідентифікації/аутентифікаціїмаютьбутистійкимидопасив-

НОГО1аКТИВНОГОПрОСЛуХОВуваННЯМережіІПідтримуватиКОНЦеПЦІЮЄДИНОГО;;

входувмережу.

Виділимонайважливішімоментидлякожногозперерахованихсервісі!безпеки.

1. Найпридатнішимиєкриптографічніметодиаутентифікації,реалізо»)
ваніпрограмнимабоапаратно-програмнимспособом.Парольнийзахисні
ставанахронізмом,біометричніметодипотребуютьподальшоїперевіркив
мережномусередовищі.

2. Вумовах,колипоняттядовіреногопрограмногозабезпеченняйдев щ
нуле,стаєанахронізмомінайпоширеніша-довільна(дискреційна)-моделі
управліннядоступом.Вїїтермінахнеможливонавітьпояснити,щотаке"тро­
янська"програма.Відеаліприрозмежуваннідоступуповиннавраховувати»
семантикаоперацій,алепокидляцьогоєтількитеоретичнабаза.Щеодинваж­
ливиймомент-простотаадмініструваннявумовахвеликоїкількостікористу-;
вачівіресурсівтабезперервнихзмінконфігурації.Тутможедопомогтиролеві
управління.Протоколюванняіаудитповиннібутивсепроникаючимиібагато­
рівневими,зфільтрацієюданихприпереходінабільшвисокийрівень.Ценеоа
хіднаумовакерованості.Бажановживатизасобиактивногоаудиту,протепо!
трібноусвідомлюватиобмеженістьїхможливостейірозглядатицізасобия^
одинзрубежівешелонованоїоборони,причомуненайнадійніший.СлідконфН
гуруватиїхтак,щобмінімізуватичислопомилковихвимогінескоюватине*!
безпечнихдійприавтоматичномуреагуванні.

Все,щопов'язанозкриптографією,складнонестількизтехнічної,скількизюридичноїточкизору;дляшифруванняцевірноудвічі.

Данийсервісєінфраструктурним,йогореалізаціяповиннабутиприсут-¹нянавсіхапаратно-програмнихплатформахізадовольнятижорсткимвимо-_;гамнетількидобезпеки,алеідопродуктивності.Покижєдинимдоступним]виходомєвживаннявільнопоширюваногоПЗ.

Надійнийконтрольцілісностітакожбазуєтьсянакриптографічнихметодахзаналогічнимипроблемамиіметодамиїхвирішення.Можливо,ухвалення"Закону

tnpoелектроннийцифровийпідпис"змінитьситуаціюнакраще,будерозширеноспектрреалізації.Нащастя,достатичноїцілісностієінекриптографічніпідходи,заснованінавикористанніпристроїв,щозапам'ятовуютьдані,якідоступнітількиtдлячитання.ЯкщовсистемірозділитистатичнуідинамічнускладовііпоміститиІрершувПЗПабонакомпакт-диск,можнаповністюзапобігтизагрозіцілісності.Цоречно,наприклад,записуватиреєстраційнуінформаціюнапристроїзодноразо­вимзаписом;тодізловмисникнезможе"заместисліди".

Екранування- ідейнодужебагатийсервісбезпеки.Йогореалізації-ценетількиміжмережевіекрани,алеіобмежуючіінтерфейси,івіртуальнілокальнімережі.Екранінкапсулюєоб'єкт,щозахищається,іконтролюєйогозовнішнє''уявлення.Сучасніміжмережевіекранидосяглидужевисокогорівнязахищено­сті,зручностіувикористаннііадмініструванні;вмережномусередовищівониєпершимімогутнімрубежемоборони.Доцільневживаннявсіхвидівміжме-режевихекранів(ME)-відперсональногодозовнішньогокорпоративного,ако­нтролюпідлягаютьдіїякзовнішніх,таківнутрішніхкористувачів.

Аналіззахищеності -цеінструментпідтримкибезпекижиттєвогоциклумережі.Зактивнимаудитомйогоріднитьевристичність,необхідністьмайжебез­перервногооновленнябазизнаньірольякненайнадійнішого,аленеобхідногоза­хисногорубежу,наякомуможнарозташувативільнопоширюванийпродукт.

Забезпеченнявідмовостійкостіібезпечноговідновлення- аспективисо­коїдоступності.Приїхреалізаціїнапершийпланвиходятьархітектурніпи­тання,-внесеннявконфігурацію(якприладну,такіпрограмну)певноїнадмі­рності,зурахуваннямможливихзагрозівідповіднихзонпоразки.Безпечневідновлення-дійсноостаннійрубіж,щовимагаєособливоїуваги,ретельностіприпроектуванні,реалізаціїісупроводу.

Тунеліювання— скромний,аленеобхіднийелементуперелікусервісівбез­пеки.Вінважливийнестількисампособі,скількивкомбінаціїзшифруванняміекрануваннямдляреалізаціївіртуальнихприватнихмереж.

Управління- цеінфраструктурнийсервіс.Безпечнасистемаповиннабутикерованою.Завждиповиннабутиможливістьдізнатися,щонасправдівідбува-

стьсяв1С(авідеалі-іодержатипрогнозрозвиткуситуації).Можливо,найпра-ктичнішимрішеннямдлябільшостіорганізаційєвикористанняякого-небудьві­льнопоширюваногокаркасазпоступовим"навішуванням"наньогофункцій.

Місіязабезпеченняінформаційноїбезпекиважка,аінколинездійснена,алезавждиблагородна[6, 17, 20,64].