Подход к созданию и внедрению комплекса систем информационной безопасности

Обеспечение информационной безопасности организации сейчас уже не есть чем-то таким, о чем мало говорят или пишут. Конечно, и в традиционной прессе и в Интернете можно найти массу материалов по обеспечению информационной безопасности. Учитывая объемы работ «Объединения ЮГ», хочется поделиться его положительным опытом и, возможно, подсказать правильные шаги на пути создания и внедрения средств и систем защиты информации.

Во-первых, защита информации любой организации, независимо от формы собственности и размеров, предусматривает определенный комплекс мер по разработке и внедрению административных, организационных мероприятий и технических комплексов (программных, аппаратных, программно-аппаратных), обеспечивающих предупреждение несанкционированных действий на серверах, рабочих станциях и в сети предприятия в целом.То есть, для обеспечения информационной безопасности необходимо:

1. Разработать комплекс административно-организационных мероприятий, другими словами, создать правила поведения сотрудников организации и технического персонала по обработке информации внутри организации, правила поведения сотрудников и технического персонала по использованию информации из внешних источников, правила поведения сотрудников и технического персонала в случаях возникновения сбоев или аварийных ситуаций, правила по обеспечению безопасности информации внутри организации. Эти действия приводят к созданию так называемой, корпоративной политики информационной безопасности.

2. Внедрить вышеуказанные мероприятия в организации. При этом должна быть создана служба защиты информации, разработаны и внедрены должностные инструкции администраторов безопасности, ознакомлены все пользователи информации с политикой безопасности.

3. Разработать и внедрить комплекс программных, аппаратных и программно-аппаратных средств защиты информации во всех сегментах информационно-телекоммуникационной системы (ИТС) организации с учетом политики безопасности.

Проводить эти мероприятия сразу возможно лишь в том случае, если ИТС еще не создана, или находится в стадии внедрения.

Во-вторых, нужно отметить, что, если ИТС уже функционирует, перед разработкой и внедрением систем и подсистем защиты (включая разработку организационных мероприятий) проводится обследование или, другими словами, аудит сред функционирования ИТС — среды пользователей, физической и информационной сред.

Аудит информационной безопасности ИТС, с точки зрения заказчика, кажется довольно простым: сначала это обследование ИТС, а потом большие и толстые папки с отчетами. Но это не совсем так или, вернее, совсем не так.

Если общими фразами объяснить, что такое аудит информационной безопасности и зачем он нужен, то первую часть ответа можно сформулировать следующим образом:

Аудит информационной безопасности — это системный процесс получения объективных оценок текущего состояния информационной безопасности организации в соответствии с определенными критериями информационной безопасности, который включает в себя обследование различных сред функционирования ИТС.

Ответ на вторую часть вопроса очевиден:

  • оценить текущее состояние информационной безопасности ИТС организации;
  • подготовить исходные данные для формирования требований к системе обеспечения информационной безопасности, или другими словами, к комплексной системы защиты информации (КСЗИ) ИТС, которая позволит нейтрализовать использование злоумышленниками выявленных уязвимостей, обеспечить оптимальную по эффективности защиту информации в ИТС организации от несанкционированного доступа (НСД), изменений и / или уничтожения информационных ресурсов, управлять информационной безопасностью ИТС.

Каким образом проводится аудит? Само собой разумеется, что просто так, «с потолка», проводить аудит невозможно. Порядок и правила проведения аудита информационной безопасности отражены в международных стандартах ISO / IEC: 17799 «Информационные технологии. Управление информационной безопасностью», ISO / IEC 27001: 2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования», государственных стандартах ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ», а также в других документах законодательной и нормативной базы Украины в сфере защиты информации.

Стоит заметить, что аудит информационной безопасности по законодательству Украины должен проводиться компанией, которая имеет соответствующую лицензию на проведение деятельности в сфере технической защиты информации в Украине.

Не будем углубляться в порядок проведения аудита информационной безопасности (см. например, «Аудит информационной безопасности предприятия» — Корпоративные системы № 1 2007), а скажем лишь, что, в общем случае, аудит информационной безопасности ИТС включает в себя комплексное обследование функционирования ИТС, тестирование на уязвимости ИТС, анализ и систематизацию полученных результатов, оценку уровня защищенности ИТС, формирование отчета и разработку соответствующих рекомендаций. Общая схема проведения аудита информационной безопасности ИТС организации приведена на рис. 1.

Этапы проведения аудита информационной безопасности ИТС
Рис. 1. Этапы проведения аудита информационной безопасности ИТС.

И, как венец проведения аудита информационной безопасности, организация предоставляет отчет и рекомендации по организации (или реорганизации) структуры ИТС и конфигурации систем защиты информации. Эти рекомендации могут выступать в качестве основы для создания КСЗИ ИТС организации. Только после этого можно говорить о разработке и внедрении какихлибо организационных мероприятий и технических комплексов защиты информации.

Рассмотрим систему защиты некой обобщенной ИТС организации. Предположим, она расположена в отдельном здании или комплексе зданий и имеет ряд разнотипных удаленных подразделений и пользователей. В ИТС предоставляются пользователям различные сервисы, использующие протоколы SMTP, HTTP, FTP, РОР3, а также службы мгновенных сообщений (ICQ, AOL, MSN и др.), P2P (KaZaA, eDonkey и др.), потоковое Audio / Video и ряд других. В состав ИТС входят файловые серверы, серверы приложений и баз данных, почтовый сервер и proxy-сервер, а также активное сетевое оборудование.

Существует множество вариантов обеспечения информационной безопасности в подобной ИТС, которые основываются на использовании различных систем защиты информации многих производителей. Наше предприятие, работая с производителями систем защиты информации, и основываясь на многолетнем накопленном опыте работы в этой области, предлагает заказчикам следующий, неоднократно проверенный подход к созданию и внедрению комплекса систем информационной безопасности:

  1. Защита Интернет-шлюза от возможных атак и угроз извне.
  2. Антивирусная защита рабочих станций и серверной группы. Защита электронной почты от спама и вредоносных программ.
  3. Контроль и разграничение доступа пользователей к информационным ресурсам организации.
  4. Аутентификация пользователей при входе в ИТС.
  5. Мониторинг сети и рабочих станций на предмет предотвращения утечки информации.
  6. Мониторинг сети и рабочих станций на наличие известных уязвимостей как внутри ИТС, так и извне. Автоматическое создание рекомендаций по защите от известных уязвимостей.

Рассмотрим подробнее каждый пункт.

ЗАЩИТА ИНТЕРНЕТ-ШЛЮЗА ОТ ВОЗМОЖНЫХ АТАК И УГРОЗ

Для оптимальной защиты Интернет-шлюза необходима установка как аппаратных, так и программных или программно-аппаратных комплексов для защиты доступа извне к информации, циркулирующей в ИТС. Этим обеспечивается защита ИТС организации от внешних угроз. Сюда могут входить и системы обнаружения (IDS) и предотвращения (IPS) угроз, оборудование компании Cisco и некоторых иных производителей, другие аппаратные, программные или программно-аппаратные комплексы и системы защиты информации. Одними из таких комплексов являются продукт компании Aladdin — eSafe и продукт компании IronPort Systems — IronPort. Информации об этих комплексах предостаточно и ее можно почерпнуть в открытых источниках. Хотелось бы указать только на то, что комплекс eSafe имеет положительный экспертный вывод ДСТСЗИ СБ Украины, а его аппаратная реализация прошла сертификацию в УкрСЕПРО.

АНТИВИРУСНАЯ ЗАЩИТА ПК И СЕРВЕРОВ. ЗАЩИТА ЭЛЕКТРОННОЙ ПОЧТЫ ОТ СПАМА И ВРЕДОНОСНЫХ ПРОГРАММ

Как показывает наш опыт, подсистему антивирусной защиты рабочих станций и серверной группы внутри организации необходимо проводить с использованием продуктов разных производителей. Это дает большое преимущество в борьбе с вирусами, спамом и вредоносными программами, например, программами-шпионами. Преимущество это базируется на конкурентных условиях существования выбранных продуктов на рынке, то есть каждый производитель желает быть первым в этой области и прикладывает максимум усилий для отслеживания новых вирусов и своевременного создания антивирусных баз, изменения алгоритмов анализа вирусов и вредоносных программ, ускорения процесса обработки без понижения качества и т. д.

Поэтому мы предлагаем клиентам системы антивирусной и антиспамовой защиты компаний «Лаборатория Касперского», «Доктор ВЕБ», Symantec, NOD32 и некоторые другие. Кроме всего прочего подсистемы антивирусной и антиспамовой защиты входят в ряд других комплексов защиты информации, например, eSafe компании Aladdin. К настоящему времени экспертные заключения ДСТСЗИ СБ имеют продукты eSafe и Антивирус Касперского.

КОНТРОЛЬ И РАЗГРАНИЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ОРГАНИЗАЦИИ

Для получения полной картины происходящего с информацией, необходимо знать, что делают пользователи в тот или иной момент времени и проконтролировать их работу. Администратор безопасности должен быть уверен в том, что нет никаких угроз безопасности информации и иметь возможность, в случае необходимости, запрещать или разрешать доступ пользователей к тем или иным ресурсам. Для этого существует несколько программных продуктов, которые в той или иной степени помогают держать под контролем действия пользователей и удаленно производить мониторинг и администрирование рабочих станций пользователей.

Следует учитывать, что для создания системы контроля и разграничения доступа необходимо сначала определить полномочия пользователей в ИТС, перечень ресурсов к которым он имеет право доступа и реализовать эти права доступа к ресурсам.

К таким продуктам относятся LAN-Console и DeviceLock, которые включают в себя определенный набор административных функций: разграничение прав доступа сотрудников к информационным ресурсам внутри и вне организации, системное администрирование ресурсов, мониторинг, централизованная установка и блокирование программного обеспечения и устройств.

АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ ВХОДЕ В ИТС

Обслуживание системы аутентификации пользователей при входе в ИТС организации осуществляется централизованно администратором безопасности. При создании такой системы каждому пользователю выдается электронный ключ (USB-ключ) или смарт-карта с индивидуальными идентификационными данными и установленными в соответствии с политикой безопасности предприятия правами доступа к заранее организованным информационным ресурсам.

Одним из таких продуктов являются электронные ключи Aladdin eToken и программное средство контроля и управления системой аутентификации TMS. Этот комплекс использует всю линейку USB-ключей, смарт-карт и HASPов, производимых компанией Aladdin. Вся линейка электронных ключей Aladdin имеет положительное экспертное заключение Госслужбы спецсвязи и защиты информации Украины. В перечне сертифицированных ключей имеются также смарт-карты со встроенными RFID-метками, на базе которых возможно построение системы контроля и управления доступом к объектам информационной деятельности заказчика.

МОНИТОРИНГ СЕТИ И РАБОЧИХ СТАНЦИЙ НА ПРЕДМЕТ ПРЕДОТВРАЩЕНИЯ УТЕЧКИ ИНФОРМАЦИИ

В настоящее время развитие информационных технологий идет семимильными шагами и возникает опасность упустить из виду существующие и вновь обнаруживаемые уязвимости информационно-телекоммуникационной системы, которые иногда могут привести к утечке информации из организации. В качестве средств по предотвращению такой утечки из ИТС могут быть применены, например, продукты компании InfoWatch (Mail Monitor, Net Monitor, Web Monitor) и продукты компании Jet Infosystems (Дозор-Джет и Тропа-Джет).

МОНИТОРИНГ СЕТИ И ПК НА НАЛИЧИЕ УЯЗВИМОСТЕЙ КАК ВНУТРИ ИТС, ТАК И ИЗВНЕ. АВТОМАТИЧЕСКОЕ СОЗДАНИЕ РЕКОМЕНДАЦИЙ ПО ЗАЩИТЕ ОТ УЯЗВИМОСТЕЙ

Процесс мониторинга компонентов ИТС и поиска уязвимостей в последнее время становится все более актуальным. Даже после создания вроде бы защищенной ИТС, ее компоненты, в силу ряда базовых технологических процессов (обновления, работа поисковой или геоинформационной системы и т. д.) подвержены постоянным атакам и изменениям базового кода. Это в свою очередь приводит к появлению уязвимостей системы.

В данном случае мы рекомендуем применять сканер уязвимостей XSpider, который, по данным независимых экспертов, является в настоящее время лучшим из аналогов. Он позволяет определять наличие известных и потенциальных уязвимостей как внутри локальной сети, так и извне. С помощью XSpider можно автоматически создавать отчеты об уязвимостях и помогать их устранять, если таковые были обнаружены. Этот сканер имеет положительное экспертное заключение ДСТСЗИ СБ Украины.

Системы безопасности обобщенной ИТС организации
Рис.2. Системы безопасности обобщенной ИТС организации.

Однако, после внедрения перечисленных выше средств и систем защиты информации не следует забывать и об организации контроля доступа к объектам ИТС. В решении этого вопроса на помощь приходят системы контроля и управления доступом и системы цифровой регистрации видеоизображений. Основными представителями этих систем являются линейки продуктов STOP-Net, «Инспектор», Access Net, GeoVision, SmartVideo, «Патриот».

Учитывая перечисленные выше системы информационной безопасности обобщенная ИТС организации будет выглядеть так, как показано на рис. 2.

Данный путь организация может пройти сама, привлекая исполнителей или поставщиков различных систем безопасности. Но она может обратиться в ЗАО «Объединение ЮГ», и тогда все проблемы по организации информационной безопасности будут решены оперативно и на максимально высоком и качественном уровне.

А. ШевченкоА. Шевченко
руководитель отдела
технического сопровождения
ЗАО «Объединение ЮГ»
г. Киев
А. СоколовскийА. Соколовский
руководитель отдела
технической защиты информации
ЗАО «Объединение ЮГ»
г. Киев

Тел. / факс: (044) 536-1291, 536-1292 www.yug.com.ua info@yug.com.ua

2008.02.19
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".