Методики и подходы в информационной безопасности
21 декабря 2011
Рубрика: Обзоры и мнения, Технологии. Тэги:
Автор: Андрей Усеинов.

Необходимость в защите информации так или иначе возникает перед многими из нас в повседневной жизни, в работе, учебе, даже на отдыхе. СМИ практически постоянно сообщают о происходящих взломах, утечках информации у крупнейших фирм и государственных организаций.

Не углубляясь в общие детали теоретической базы информационной безопасности, попробуем проанализировать текущее положение вещей в мире и в нашей стране, а также затронуть различные аспекты информационной безопасности.

Из наиболее громких недавних историй с утечками данных обратим внимание на историю появления сайта rusleaks.com. На данном ресурсе неизвестные выложили данные из большого количества закрытых баз данных, таких как база ГИБДД, базы различных коммерческих банков, авиакомпаний и т.д. Подобные базы данных в норме являются закрытыми от общественного доступа в соответствии с федеральным законом РФ №152 «О персональных данных», так как содержат персональные данные граждан, которые должны строго охраняться от несанкционированного доступа к ним. Однако, в результате действий злоумышленников любой человек через Интернет мог получить разнообразные конфиденциальные сведения о гражданах России. После того, как этот факт был замечен генеральной прокуратурой РФ, данные с rusleaks.com перестали быть доступны. Однако разработчики данного ресурса перенесли информацию в сеть I2P, доступ к которой происходит совершенно анонимно с использованием различных протоколов шифрации и маршрутизации. Это позволяет пользователям сети I2P отдавать анонимно и получать так же анонимно различную информацию, без возможности отследить пользователей данной сети. Что будет происходить дальше в связи с этим инцидентом, покажет будущее. Для нашей статьи этот пример показателен тем, что утечка информации может повлиять на любого человека, абсолютно без его ведома — ведь в выложенных базах содержалась личная информация о людях, некоторые из них, возможно, даже не умеют пользоваться компьютером сами.

В качестве второго примера рассмотрим некий потенциальный случай кражи или утери ноутбука, на котором мог храниться большой объем как личной, так и деловой информации. Сохраненные пароли в веб-браузере или записанные в обычный текстовый файл могут позволить злоумышленнику получить доступ к банковским счетам, почтовым сообщениям владельца компьютера или иным информационным системам, которые могут содержать конфиденциальную информацию. Кроме того, вся информация и файлы, которые хранились в ноутбуке, могут стать достоянием общественности. Так, к примеру, конкурентам может стать известна вся маркетинговая программа организации или некоторые производственные секреты, что может негативно сказаться на деятельности организации, в которой работает владелец утерянного ноутбука. Кстати, не ноутбуком единым может поживиться злоумышленник: мобильные телефоны, различные гаджеты и устройства в современном мире приближаются по функционалу к ноутбукам, и практически в равной с ними степени могут содержать в себе ценную и конфиденциальную информацию. Утеря таких гаджетов может быть равноценна утере или краже ноутбука или персонального компьютера.

В качестве третьего примера рассмотрим сети ботнетов. На сегодняшний день миллионы компьютеров по всему миру используются в качестве «зомби» в сетях ботнетов для рассылки спама, проведения DDoS-атак и для прочих нужд злоумышленников. Так, до закрытия серверов с центрами управления ботнет Rustok насчитывал более миллиона зараженных хостов в своем составе. Обладая такой мощью, хозяева этого ботнета могли проводить грандиознейшие DDoS-атаки, являясь угрозой для любой организации в Интернете. После ряда усилий корпорации Microsoft командные центры этого ботнета были закрыты. Однако, людей, которые стояли за ним, так пока и не нашли. Да и сетей ботнетов по всему миру довольно много.

Рисунок 1. Схема организации сети ботнета

Все вышеперечисленные примеры показывают разноплановость вопросов информационной безопасности. С учетом того, что электронные устройства применяются практически повсеместно в самых разных областях человеческой деятельности, знание потенциальных угроз и умение защищаться от них являются совершенно необходимыми.

Значимость информационных технологий в современной жизни сложно переоценить, и их роль в дальнейшем будет только возрастать. С учетом этого, защита информационных систем от злоупотребления, взлома и некорректного использования является важной задачей, на которую должно быть направлено достаточно внимания и сил. Разумно ли пренебрегать средствами и методами информационной безопасности только лишь потому, что вы не считаете свою информацию секретной? Можно ли в современном мире позволить себе роскошь совершенно не обращать внимания на информационные угрозы? Результатом подобного отношения вполне закономерно может стать то, что ваши IT-ресурсы станут плацдармом для кибер-атак и рассылок спама, вы потеряете информацию, а также будут повреждены ваши или чужие электронные устройства.

Подходы к информационной безопасности по масштабности можно разделить на 3 категории:
1. Личная информационная безопасность каждого человека. Соблюдение элементарных правил работы с информацией позволит каждому защититься от большинства современных электронных угроз, а также избежать злонамеренного использования его информационных ресурсов.
2. Информационная безопасность организаций. Любая организация в современном мире так или иначе собирает, хранит и использует информацию, и как минимум часть этой информации является конфиденциальной. Это может быть личная информация работников и клиентов, переписка, информация о сделках и т.д. Соответственно, правильно выстроенная система управления информационной безопасностью необходима всем. Обеспечение защиты данных и IT-ресурсов в большой компании может быть сложным и комплексным вопросом, требующим вовлечения разнопрофильных специалистов.
3. Информационная безопасность в рамках всей страны. Государство должно уметь бороться с существующими современными кибер-атаками и прочими информационными угрозами для обеспечения защиты своих граждан, сохранения своей целостности и внутреннего правопорядка. В наше время, когда практически вся государственная инфраструктура опирается на те или иные информационные системы, задача информационной защиты на государственном уровне актуальна, как никогда ранее.

Только интегрированный подход к обеспечению информационной безопасности может обеспечить безопасную высокотехнологичную среду в стране и мире. Так, государство должно создавать соответствующую нормативную базу в области защиты информации, а также контролировать исполнение данных законов организациями и гражданами. Организации и коммерческие компании должны выполнять соответствующие требования, в частности, всячески защищая имеющиеся у них персональные данные граждан. Ну а сами граждане должны заботиться о защите своих информационных ресурсов.

В целом надо говорить о необходимости комплексного подхода к вопросам защиты информации в силу разнообразия аспектов этого вопроса на всех уровнях. Есть множество примеров международных стандартов, используемых в практике различных организаций, которые описывают методики и процедуры реализации. Например, ISO 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования» или стандарт PCI DSS индустрии платежных карт.

Пример комплексного подхода к информационной безопасности можно увидеть в руководящих документах некоммерческой организации, объединяющих специалистов информационной безопасности разных направлений, International Information Systems Security Certification Consortium или (ISC). К примеру, руководящий документ «Common Body of Knowledge» для специалистов, сертифицирующихся на статус профессионала в области информационной безопасности CISSP, выделяет следующие 10 областей интереса информационной безопасности:

1. Контроль доступа.
2. Безопасность разработки программного обеспечения.
3. Планирование непрерывности работы и восстановления после катастроф.
4. Криптография.
5. Управление информационной безопасностью, а также управление рисками.
6. Правовые аспекты информационной безопасности.
7. Эксплуатационная безопасность.
8. Физическая безопасность.
9. Архитектура и дизайн систем
безопасности.
10. Телекоммуникационная и сетевая
безопасность.

Каждое из вышеуказанных направлений имеет под собой большой теоретический и практический конспект. Я постараюсь в общих чертах обрисовать все разнообразие тематик вопросов и проблем, которые затрагивает информационная безопасность.

Контроль доступа к объектам информации является краеугольным камнем в вопросах защиты данных. Разработаны различные модели, которые определяют кто, как и каким образом может получать доступ к тем или иным данным. Практически всем работникам IT-сферы известен акроним AAA, который обозначает Authentication, Authorization, Accounting (аутентификация, авторизация, учет). Это три важнейших процесса контроля доступа, через которые должен пройти пользователь любой информационной системы при работе с ней. Контроль доступа также охватывает различные способы, с помощью которых может идентифицироваться пользователь, начиная от обычного логина и пароля и заканчивая системами биометрии.

Вопросы разработки программного обеспечения с учетом требований информационной безопасности также очень важны. Широко известны атаки на программное обеспечение с использованием различных техник переполнения буфера или SQL-инъекций. Как правильно разрабатывать программное обеспечение, чтобы избежать большинства ошибок, ведущих к уязвимостям, а также поддерживать состояние имеющегося программного обеспечения на приемлемом для безопасности уровне — все это актуальные темы, которые требуется учитывать при приобретении и разработке программного обеспечения.

Рисунок 2. Компоненты информационной безопасности

Планирование непрерывности работы и восстановления после катастроф обеспечивает административные инструменты, которые являются руководством к действию в случае экстренных происшествий и нарушений в работе систем. С помощью такого планирования обеспечивается координация и последовательность действий работников по сохранению и поддержанию в рабочем состоянии информационной инфраструктуры и хранящихся данных. В первую очередь это необходимо для военных и государственных организаций, функционирование которых не должно прекращаться ни при каких условиях.

Криптография охватывает спектр вопросов по шифрованию информации. Сохранение конфиденциальности информации, а также безопасная передача данных через глобальные сети зачастую бывает нетривиальной задачей. Сейчас все способы криптографии можно разделить на симметричные и ассимметричные, в зависимости от того, совпадают ли ключи шифрации и дешифрации между собой. Реализаций этих схем довольно много, каждая большая страна старается использовать свои алгоритмы шифрации, считая это более безопасным.

Управление информационной безопасностью, а также управление рисками — это системы административного контроля информационной безопасности в целом по организации. Никакие технические средства не обеспечат защиту важной информации без четко отстроенной политики информационной безопасности, которая принята руководством и планомерно реализуется в деятельности организации.

Правовые аспекты информационной безопасности охватывают вопросы законодательного регулирования защиты информации. Как правило, в каждой стране имеет место свой правовой климат и свое законодательство. Однако, в современном мире только при сотрудничестве всех стран удается предотвратить многие кибер-преступления.

Эксплуатационная безопасность охватывает задачи каждодневной работы с информацией и способы, с помощью которых можно избежать ее потери. Среди проблем, входящих в эту тематику, можно выделить способы резервного копирования, методы организации отказоустойчивости при хранении информации на дисках (RAID), системы управления уязвимостями и патчами.

Физическая безопасность, как это ни странно, является одним из ключевых направлений в вопросах защиты информации. К примеру, при проектировании ЦОД нужно учитывать массу факторов, таких как пожарная безопасность, температурный режим, защита от всплесков в электросети, система вентиляции, правильная организация входов и выходов и прочее. Без учета всех этих факторов возможна утеря информации в результате воздействия негативных действий окружающей среды или непосредственного физического воздействия отдельных людей. Пожалуй, всегда верно правило, что при непосредственном физическом контакте с информационной системой злоумышленник тем или иным способом сможет осуществить ее взлом.

Архитектура и дизайн систем безопасности охватывают ряд теоретических вопросов по построению моделей информационных систем, которые позволяют учитывать в архитектуре необходимые требования по безопасности. На Западе эти модели неплохо проработаны и постоянно развиваются. Разработаны также методики по определению защищенности операционных систем и программных продуктов соответствующим критериям. Знание этого материала, безусловно, необходимо разработчикам программного обеспечения и IT-оборудования.

Телекоммуникационная и сетевая безопасность рассматривает задачи безопасной передачи информации с использованием различных протоколов, а также правильное использование сетевых устройств, которое позволяет избегать атак на них. С учетом того, что заказать DDоS-атаку через Интернет может практически каждый, и сравнительно недорого, умение защищаться от них и понимать, как они работают, крайне важно для специалистов по информационной безопасности.

Подводя итог этой статьи, хотелось бы подчеркнуть: защита информации — крайне важный и комплексный вопрос, в который так или иначе вовлечены практически все мы, каждый на своем уровне и месте. Только ответственный и всесторонний подход к проблемам информационной безопасности позволит сделать современную технологическую экосистему комфортной и благоприятной.

mars_28_06_2011_3

Автор статьи Андрей Усеинов, имеет сертификаты Cisco – CCIE #27786 Security, CheckPoint – CCSE/CCSA, EMC – EMCISA, EMCIE Implementation Engineer, системный инженер Mars Solution, специализируется на проектировании комплексных решений в области информационной безопасности.

mars_28_06_2011_4

Компания Mars Solutions (http://www.followmars.com) является системным интегратором в области информационных технологий и телекоммуникационных решений на территории стран СНГ и Монголии. Приоритетные направления работы компании – объединенные коммуникации, телефония, ВКС и системы видеонаблюдения, информационная безопасность, системы хранения данных. В нашем штате имеются высококвалифицированные инженеры, в т.ч. Cisco CCIE по информационной безопасности и Cisco CCIE по маршрутизации и коммутации, а также собственная лаборатория с богатым набором оборудования различных производителей.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте