Лучше понять комплекс имеющихся проблем, выстроить эффективную политику безопасности организации, а также политику работы с поставщиками услуг, помогает многоуровневая модель структуризации объектов информационной безопасности, суть которой состоит в следующем. Анализ информационной инфраструктуры организации позволяет выделить семь уровней технологий и реализуемых ими процессов, для которых принципиально различаются актуальные угрозы, агенты этих угроз, методы защиты, критерии оценки эффективности и, наконец, терминология. Эта модель несколько условна. Не во всех случаях наличествуют все обозначенные уровни, однако в большой организации, владеющей собственной корпоративной сетью, все уровни прослеживаются совершенно определенно. Как правило, предложения по очень хорошим, эффективным и сертифицированным средствам обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД (несанкционированного доступа).
Однако парадокс ситуации заключается в том, что наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам (в частности, это подтверждает статистика по преступлениям в банковской сфере — razgovorodele.ru.) Значение субъекта легального доступа резко возрастает от III к VI уровню — именно там, где практически нет специальных средств защиты и вся безопасность базируется на настройках систем управления доступом, аудита, обеспечения целостности программ и штатности выполняемых бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет их доступность большому числу администраторов систем и программистов. Так как степеней свободы у специалистов данной категории много, а мониторинг их деятельности, как правило, весьма слаб, в этой зоне налицо отсутствие «прозрачности» и высокая степень риска. Иными словами, на этих уровнях резко возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность. Еще тяжелее ситуация на VII уровне. Здесь царит так называемый «пользователь», т.е. «субъект легального доступа». Для него компьютер — не более чем вспомогательный инструмент на его рабочем столе, со средствами НСД он сталкивается только при наборе пароля на вход и при его замене, в чужие каталоги не лазает, о проблемах настроек маршрутизаторов сети и сетевой безопасности понятия не имеет. Кроме того, как правило, он располагает разнообразными средствами коммуникаций (факс, телефон, электронную почту, Internet) и, само собой, может скопировать данные на отчуждаемый носитель. ИТ-служба постоянно заботится о том, чтобы предоставить ему еще больше услуг, больше удобств. Совсем иная картина в сфере безопасности. Подразделение безопасности информационных систем доступные ему инструменты уже применило, все остальное, как правило, формально не подпадает под его компетенцию. В компетенцию какой службы попадает проблема злоупотребления легальным доступом? Тут нет готовых решений. К сожалению, можно дать рекомендации лишь общего характера. В организации должна существовать детальная административная политика в отношении персонала. Эта политика должна подробно регламентировать и минимизировать права доступа сотрудников к информации, цели этого доступа, требования по регламенту использования доступной информации. Административная политика должна подкрепляться не менее детальным аудитом действий пользователя с доверенной ему информацией. Таким аудитом должны быть охвачены не одни пользователи, но все, кто имеет легальные права доступа к информации, настройкам оборудования, базам данных, операционным системам и т.д. Расхождение административной политики и аудита означает наличие «конфликта интересов» организации и ее сотрудника. Необходимо соблюдение принципа «прозрачности»: сотрудник должен внятно объяснить все свои действия с информацией, выявленные системой аудита. Должен существовать свод корпоративных морально-этических требований, четко регламентирующих правила поведения сотрудника, позволяющих выявить «конфликт интересов» и дающих возможность руководству применить, в случае необходимости, административные меры взыскания. С персоналом должна проводиться воспитательная работа, целью которой является выработка у людей этики корпоративного поведения и отношения к ресурсам организации. На каждом уровне иерархии специалисты, работающие с информационными ресурсами, используют свою, присущую только этому уровню терминологию. Из нее и формируется понятийный аппарат в области безопасности. При этом такой аппарат не может быть применен на соседнем уровне, а специалисты I и VII уровней просто не понимают друг друга. Действительно, можно ли требовать от специалиста, осуществляющего регистрацию документа, даже в электронной форме, чтобы он знал и понимал, в чем выражается, что означает и каким должно быть переходное затухание сигнала при совместном пробеге кабелей связи? Многоуровневая модель позволяет учесть и присутствие легального пользователя. При этом с каждым следующим уровнем данный фактор становится все значительнее. Очевидно и то, что говорить о каких-либо гарантиях безопасности без конкретной привязки к конкретному уровню модели бессмысленно. Хотелось бы отметить в этой связи, что говорить о равнопрочности защиты можно только в том случае, если необходимый уровень безопасности достигнут на каждом «этаже». Ну а уровень безопасности достигается путем применения набора адекватных модели угроз и свойственных рассматриваемому уровню инструментов защиты. Таким образом, многое зависит от имеющегося инструментария. До III уровня дела обстоят совсем неплохо. Вопросы технической защиты от НСД неплохо проработаны, имеются достаточно эффективные сертифицированные средства обеспечения безопасности. Вопрос только в их стоимости и удобстве эксплуатации. Дальше ситуация серьезно меняется. На уровнях выше III практически нет специальных сертифицированных средств защиты, безопасность целиком базируется на программных настройках систем управления доступом, аудита, обеспечения целостности программ и платности бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет две группы факторов. Качество работы администраторов систем, которые должны отслеживать все изменения административной политики подразделения, своевременно внося изменения в настройки системы управления доступом — razgovorodele.ru. Практика показывает, что со временем это качество ослабевает, а политика управления доступом, предоставленные пользователям права и пароли перестают соответствовать административной политике. Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов. Решением в данной ситуации является переход к централизованной обработке и централизованному управлению безопасностью, развитие аудита событий в системе с обязательным оперативным разбором информации с целью обеспечения их прозрачности для службы безопасности, а также усиление административного компонента в управлении персоналом. Именно это демонстрируют крупнейшие ИТ-корпорации» которые добились практически полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под контроль и аудит администраторов. Это, в свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет одним, а в банках, которые пользуются этой системой, — совершенно иным. Естественно, что и политики безопасности в этих организациях отличаются, включая в первом случае одну группу уровней модели, а во втором — другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается. |