Контроль защищенности конфиденциальной информации. Контроль состояния защиты информации

Скачкообразная смена формы собственности на средства производства привела к реформе технического регулирования, на повестке дня остро встал вопрос обеспечения безопасной эксплуатации особо опасных производственных объектов (ОПО) в условиях современных производственных отношений. Производственные интересы новых собственников сегодня не совпадают с потребностями граждан в защите их жизни и здоровья от аварий на ОПО. Собственников в основном интересует прибыль, а требования безопасности они считают «административными барьерами». В этих условиях только традиционный государственный надзор за соблюдением собственниками ОПО обязательных требований безопасности позволяет защитить граждан от техногенных происшествий на ОПО.

В Российской Федерации охраняются труд и здоровье людей, каждый имеет право на труд в условиях, отвечающих требованиям безопасности (ст. 7 и 37 Конституции РФ).

Опасность является характерным свойством ОПО (что и использовано в названии объектов). При их эксплуатации существует реальная угроза возникновения техногенных происшествий, а значит и возможность причинения ущерба.

Традиционно на ОПО для предупреждения техногенных происшествий собственник заблаговременно принимает меры безопасности, которые в различной степени снижают риск причинения вреда при эксплуатации ОПО. Риск - это мера опасности, учитывающая как вероятность наступления неблагоприятного события, так и тяжесть его последствий.

Согласно Федеральному закону «О техническом регулировании» (далее — ФЗ), обязательные требования, обеспечивающие безопасность продукции и процессов ее производства, в форме технических регламентов должны защищать как жизненно важные потребности граждан, так и интересы собственников.

Здесь необходимо различать объективный характер потребностей и субъективный характер интересов. Например, интересы могут быть корыстными, а потребности — нет. В условиях новейшей постлиберализации российской экономики вновь появившимся собственникам выгоднее защищать свои производственные интересы, чем законодательно декларируемые жизнь и здоровье граждан. Чем рискует такой собственник ОПО при аварии или несчастном случае? Максимально — потерей всего или части своего имущества, а минимально, как ни цинично это звучит, — затратами на погребение погибших и одновременно виновных работников. Естественно, даже добросовестному собственнику средств производства более выгодны меры обеспечения безопасности, направленные в первую очередь на предотвращение причинения вреда его имуществу.

Отвлекая внимание общественного мнения от объективных причин изменения безопасных условий труда, обусловленных новыми производственными отношениями, в «тумане» реформы технического регулирования широко тиражируются тезисы о «снятии с бизнеса административных барьеров» и «упразднении административно-командных методов управления экономикой». Не секрет, что собственники наиболее успешных и конкурентоспособных предприятий в отношении своих работников используют хулимые ими же «административно-командные методы управления экономикой» предприятия, при которых четко выполняются обязательные требования собственника, в том числе и касающиеся вопросов безопасной эксплуатации. Точнее, в первую очередь принимают меры обеспечения безопасной эксплуатации ОПО, направленные на предупреждение причинения ущерба имуществу собственника. В таких условиях именно граждане через государственные институты могут принудить собственника исполнять требования безопасности, защищающие их жизни и здоровье, которым может быть причинен вред при техногенных происшествиях. В этом случае особенно необходим государственный надзор за исполнением собственником обязательных требований безопасности, не совпадающих с его интересами. При этом санкции за неисполнение должны, как минимум, превышать размер затрат на выполнение.

В ст. 8 Конституции РФ провозглашается незыблемость частной, государственной, муниципальной и иных форм собственности. Поэтому в случае несоблюдения требований безопасности на ОПО единственно действенная санкция государственного надзора — временное придание средствам производства собственника статуса имущества, не предназначенного для основного назначения. Причем нет никакой необходимости применять такую санкцию одномоментно ко всем недобросовестным предпринимателям, что может негативно сказаться на макроэкономической ситуации. Вполне достаточно локально пошатнуть сложившийся стереотип предпринимателей о незначительных личных потерях при невыполнении обязательных требований.

Провозглашаемая свобода предпринимательства, подменяющая вседозволенность, несовместима с обязательностью лицензирования деятельности. В действующий с начала 2002 г. Федеральный закон «О лицензировании отдельных видов деятельности» ежегодно вносится от трех до пяти изменений (только в 2006 г. — четыре).

Более того, согласно п. 7 ст. 18 данного закона, со дня вступления в силу технических регламентов, устанавливающих обязательные требования к лицензируемым видам деятельности, прекращается лицензирование эксплуатации взрывоопасных, пожароопасных и химически опасных производственных объектов, а также деятельности по проведению экспертизы промышленной безопасности. Собственники ОПО активно включились в разработку и лоббирование технических регламентов, отражающих сугубо их интересы. В частности, при разработке проекта специального технического регламента «О безопасности магистрального трубопроводного транспорта, внутрипромысловых и местных распределительных трубопроводов» предпринимаются попытки отменить или приуменьшить эффективность декларирования промышленной безопасности, воспрепятствовать всесторонней оценке и информированию о состоянии безопасности на наиболее крупных ОПО.

Сначала пытаются ввести не подлежащую государственному надзору декларацию соответствия, повторяющую по содержанию в авторской версии вышеупомянутого проекта техрегламента декларацию промышленной безопасности (ДПБ), а потом отменить ДПБ как «административный барьер» по признаку дублирования сведений. В результате на наиболее крупных ОПО госнадзор за выполнением обязательных требований промышленной безопасности будет подменен декоративной ширмой «лучшей международной практики».

Основы действующих требований безопасности были разработаны в условиях производственных отношений, сложившихся в СССР, т.е. когда средства производства уже существовали, а их сегодняшние собственники таковыми не являлись. Поэтому те требования действительно могли защищать интересы трудящихся. Сегодня же требования безопасности направлены на защиту исключительно жизненно важных потребностей граждан, а также всех имущественных интересов собственников с несовместным условием об отсутствии препятствий осуществлению предпринимательской деятельности. Фактически приоритет отдается выполнению этого иррационального условия с помощью устранения обязательных требований безопасности.

Озвучиваемая реформаторами технического регулирования необходимость оптимизации действующих требований безопасности на практике зачастую подменяется сокращением наиболее затратных из них. В конечном итоге собственник заинтересован в отсутствии любых обязательных требований. Нагрянувшая реформа оказалась как нельзя кстати. Участие в разработке технических регламентов собственников средств производства сопровождается популистским очернением и осмеянием отечественного опыта обеспечения безопасности и слепым преклонением перед выхваченными из контекста ссылками на зарубежные подходы, без должного учета специфических особенностей объектов технического регулирования.

Все это обильно сдабривается монологами о необходимости «снижения административных барьеров для бизнеса». Сначала нужно выделить из таких барьеров непосредственно связанные с обеспечением безопасной эксплуатации и псевдобарьеры, используемые предпринимателями в целях конкуренции.

Собственно, с недобросовестной конкуренцией связан известный пример о йогурте идеологов технического регулирования. Прогрессивный предприниматель А впервые наладил выпуск йогурта. У предпринимателя В упали продажи кефира. С помощью административного барьера — наличия государственного стандарта на кефир и его отсутствия на йогурт — предприниматель В восстановил продажи кефира. Из регрессивности государственного стандарта на кефир вроде бы и следует необходимость снятия административных барьеров в реформе технического регулирования.

Потом из-за йогурта регрессивными вдруг стали считать все другие стандарты и нормативы, в том числе и обеспечивавшие и продолжающие обеспечивать безопасную эксплуатацию ОПО.

Новоявленный тезис о том, что действующие нормы безопасной эксплуатации ОПО безнадежно устарели, преподносится как аксиома. Но ведь многие нормы и правила «написаны кровью», а практика их применения подтверждает в большинстве случаев безопасное использование средств производства и не вызывает значительных общественных протестов, о чем можно судить, в частности, по числу сообщений СМИ на эту тему.

В современной России подавляющее большинство основных производственных фондов создано до появления новейших собственников и отнюдь не ими. В минувшие времена общественной собственности на средства производства тандем «основные производственные фонды — требования и нормы безопасности» позволял получать определенное количество материальных благ. К объективному процессу морального и физического износа основных производственных фондов в постприватизационный период добавились субъективные препятствия по их воспроизводству. По различным оценкам, износ основного технологического оборудования опасных производственных объектов достигает 85%. Советское оборудование продолжают эксплуатировать только благодаря избыточному, по современным представлениям, запасу прочности, конструктивно заложенному при его изготовлении.

В результате тандем «изношенные основные производственные фонды — старые жесткие требования и нормы безопасности» уже не позволяет получать собственникам былое количество материальных благ. Чтобы достигнуть своей основной цели и не потерять в прибыли, новым собственникам необходимо заняться в долгосрочной перспективе воспроизводством основных производственных фондов или в краткосрочном периоде — техническим регулированием в форме административного ослабления действующих обязательных требований. А временщикам, часто сменяющим друг друга на некоторых ОПО, вообще выгоднее дотянуть до полного износа основных производственных фондов.

Собственники не прогадают и в долгосрочной перспективе. Рано или поздно основные производственные фонды обновятся, а уже технически отрегулированные и менее жесткие нормы безопасности вряд ли будут считаться тогда устаревшими, так как получаемое в результате собственниками количество материальных благ еще увеличится. Уменьшится только безопасность жизни и здоровья граждан, что при стохастическом характере возникновения техногенных происшествий, да с умелой подачей информации, можно достаточно долго списывать на что угодно (судьбу, звезды, кару, на «об этом не знает никто»), только не на объективную предпринимательскую заинтересованность в получении прибыли. Поэтому ослабленные техническим регулированием требования безопасности будут ужесточаться впредь традиционным опытным путем — «вписываться кровью». Благие пожелания того, что нужно «писать правила мозгами», так ими и останутся. Обязательные требования могут только вычеркиваться уже «технически отрегулированными мозгами».

Согласно п. 7 ст. 46 ФЗ технические регламенты должны быть приняты до 1 июля 2010 г. Обязательные требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, в отношении которых технические регламенты в указанный срок не были приняты, утрачивают силу и прекращают свое действие.

Ради сиюминутной выгоды отдельных собственников средств производства на свалку административных барьеров вместе с худшим отбрасывается традиционный и лучший отечественный опыт обеспечения безопасной эксплуатации ОПО.

Свое место в однонаправленном техническом регулировании обязательных требований безопасности заняло и так называемое «управление риском», прикрываемое беспредметной «лучшей международной практикой». Известно, что управлять можно лишь объектом или процессом, к которым риск, как мера опасности, не относится. Рассматривать меру опасности в качестве объекта управления, это все равно, что, например, продавец при взвешивании товара займется манипулированием с весами и гирями — управлением мерой веса.

Приведем характерный пример.

В декларации Российского научного общества анализа риска «О предельно допустимых уровнях риска» указано, что «…для потенциально опасных производственных объектов России в целом целесообразно установить предельно допустимый уровень индивидуального риска смерти для населения, не превышающего 10-4 в год, в качестве общего федерального норматива».

И это позволит в полной мере реализовать требования ст. 7 ФЗ. Попробуем проследить, как подобное «управление риском» отразится на защите жизни и здоровья граждан. Сложно представить «потенциально опасный производственный объект». Так как ОПО существуют, то «потенциально ОПО» либо реально нет (например, проект ОПО), либо к ним можно отнести все другие объекты, кроме ОПО (т.е. сейчас неопасные). Для простоты будем считать, что авторы декларации под «потенциально ОПО» подразумевают «потенциально опасные объекты (ПОО), на которых используются, производятся, перерабатываются, хранятся и транспортируются пожаровзрывоопасные, опасные химические и биологические вещества». В государственном докладе МЧС России сказано, что в зонах возможного воздействия поражающих факторов при возникновении чрезвычайных ситуаций на промышленных объектах проживает свыше 100 млн человек. При этом в чрезвычайных ситуациях (ЧС) на ПОО ежегодно гибнет около 100 человек.

Отсюда следует, что фоновый индивидуальный риск гибели человека при ЧС на ПОО составляет 10-6 в год, т.е. на два (!) арифметических порядка меньше, чем предлагается в целях технического регулирования. Так как «управление риском» она учитывает и увеличивает приемлемую ежегодную гибель до 10 тыс. человек из числа населения от ЧС на ПОО, то для владельцев ПОО действующие требования безопасности действительно становятся помехой бизнесу. Если «в целях технического регулирования» допустима ежегодная гибель 10 тыс. человек, то зачем же удерживать фоновый показатель в 100 погибших?

В заключение хотелось бы акцентировать внимание на наиболее важно особенностях обеспечения безопасной эксплуатации ОПО в современных условиях:

  • нынешние производственные отношения сформировались на фоне перехода от общественной к частной, государственной, муниципальной и иным формам собственности на средства производства;
  • производственные интересы владельцев ОПО могут не совпадать или даже идти вразрез с потребностями граждан в защите их жизни и здоровья от техногенных происшествий при эксплуатации ОПО;
  • в современных условиях постлиберализации рыночных отношений единственным действенным инструментом защиты жизни и здоровья граждан от техногенных происшествий является государственный надзор за исполнением собственником средств производства обязательных требований безопасной эксплуатации ОПО;
  • при эксплуатации ОПО риск потерь собственника из-за причинения вреда жизни и здоровью граждан должен быть не меньше риска причинения вреда имуществу собственников техногенными происшествиями. Минимизация второго возлагается на заинтересованного в этом владельца ОПО. Удельную разность первого и второго можно относить к показателям эффективности надзорной деятельности;
  • действенной санкцией за невыполнение обязательных требований безопасности, соизмеримой по потерям для собственника ОПО с уровнем современных затрат на обеспечение безопасности, по-прежнему остается приостановление лицензии на эксплуатацию ОПО.

Замена административно-командного лицензирования сиюминутным псевдорыночным техническим регулированием существенно снизит безопасность жизни и здоровья граждан и лишь в некоторых случаях повысит защиту имущества собственников от причинения вреда вследствие аварий.

В условиях современных производственных отношений только государственный надзор за исполнением собственником ОПО комплекса установленных обязательных требований безопасности, всесторонне апробированного в отечественной практике, позволяет обеспечить защиту жизни и здоровья граждан, охрану окружающей среды при эксплуатации опасных производственных объектов.

Александр Иванович ГРАЖДАНКИН
кандидат технических наук, заведующий
лабораторией количественной оценки риска
ОАО «НТЦ «Промышленная безопасность»

Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.

Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.

Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.

Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы-ООО "Центр безопасности информации".

Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.

  • отображение всей информации, содержащейся в ПРД (возможен только просмотр);
  • сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
  • создание отчета по результатам сравнения;
  • построение плана тестирования объектов АРМ;
  • проверка реальных прав доступа пользователей к объектам доступа;
  • создание отчета по результатам тестирования.

Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP . Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее. Кроме того программа проводит поиск уязвимостей, содержащихся в cve.mitre. org , ovaldb.altx-soft.ru, microsoft . com и некоторых других источниках.

Средство фиксации и контроля исходного состояния программного комплекса "ФИКС" предназначено для контроля подсистемы обеспечения целостности. Основные возможности программы:

  • фиксация исходного состояния программного комплекса;
  • контроль исходного состояния программного комплекса;
  • фиксация и контроль каталогов;
  • контроль различий в заданных файлах (каталогах);
  • возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.

Программа поиска и гарантированного уничтожения информации на дисках "TERRIER" позволяет осуществить контроль уничтожения информации. Для проверки необходимо создать на конфиденциальном логическом диске файл с контрольной комбинацией символов, определить местонахождение секторов с помощью "TERRIER", удалить файл с помощью штатных средств и проконтролировать его удаление с помощью TERRIER.

18.4. Документирование результатов контроля. Требования к средствам контроля защищенности информации

Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства 3 марта 2012 №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".

Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод .

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

С.А. ЯСЬКО
к.т.н., начальник отдела ООО "Газинформсервис"

Эволюция защиты

После создания системы защиты информации всегда встает два вопроса:

1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?

Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.

Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.

По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.

В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.

Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.

1этап. Защита "вручную":

  • использование встроенных средств защиты информации ОС, СУБД;
  • устранение уязвимостей путем корректной настройки ПО;

2этап. Автоматизированное обнаружение уязвимостей:

  • использование внешних средств защиты информации;
  • автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
  • ручная установка "заплаток" на используемое ПО.

3этап. Динамическая защита:

  • комплекс средств защиты информации;
  • автоматическое обнаружение или прогнозирование уязвимостей;
  • автоматические блокирование атак.

В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).

Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.

Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.

Сканеры безопасности

Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.

Для решения этих задач сканеры безопасности осуществляют:

  • контроль состояния защищенности АС;
  • тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
  • представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
  • формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
  • регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).

В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.

Системы обнаружения вторжений

Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.

Для решения этих задач современные СОВ осуществляют:

  • обнаружение информационных вторжений и злоупотреблений в сети;
  • реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
  • предоставление отчетов о результатах работы.

Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.

В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).

По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.

По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!

В этом случае и приходит на помощь технология "виртуальных заплаток" (рис. 3). Процесс работы этой технологии выглядит следующим образом.

Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.

После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.

Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!

Контроль состояния защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно­технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.

Контроль организуется Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службойвнешней разведки Российской Федерации и Федеральной службой охраны Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчинённости предприятия.

ФСТЭК России организует контроль силами центрального аппарата и управлений ФСТЭК России по федеральным округам. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию ФСБ России, МВД России, Минобороны России, СВР России, ФСО Росси).

Управления ФСТЭК России по федеральным округам, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесённых к государственной или служебной тайне, осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. Нарушения по степени важности делятся на три категории:

    первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

    вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

    третья - невыполнение других требований по защите информации.

При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

    немедленно прекратить работы на участке (рабочем месте), где обнаруженынарушения и принять меры по их устранению;

    организовать в установленном порядке расследование причин и условийпоявления нарушений с целью недопущения их в дальнейшем и привлеченияк ответственности виновных лиц;

    сообщить в ФСТЭК России, ФСБ России, руководству органагосударственной власти и заказчику о вскрытых нарушениях и принятыхмерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.