Методика анализа защищенности информационных технологий

Главная | Необходимость ПБ | Затраты ПБ | Стандарты ПБ | Анализ ИБ | Прогаммные ср-ва проверки на стандарт | Аудит | Методы аудита | Стандарты аудита | Примеры систем аудита

Главная

Необходимость создания политики безопасности

Как обосновать затраты на информационную безопасность?

Нормативная база анализа защищенности информационных технологий

Методика анализа защищенности информационных технологий

Программные средства проверки политики безопасности на соответствие требованиям ISO 17799

Протоколирование и аудит

Методы проведения активного аудита

Стандарты в области активного аудита

Примеры систем активного аудита

Сегодня, видимо, не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому алгоритмы действий аудиторов в конкретных ситуациях могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно; она включает использование следующих методов:

  • изучения исходных данных по АС;
  • оценки рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
  • анализа механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;
  • ручного анализа конфигурационных файлов маршрутизаторов и прокси-серверов, почтовых и DNS-серверов, других критических элементов сетевой инфраструктуры;
  • сканирования внешних сетевых адресов локальной сети;
  • сканирования ресурсов локальной сети изнутри;
  • анализа конфигурации серверов и рабочих станций при помощи специализированных программных агентов.

Перечисленные технические методы предполагают применение как активного, так и пассивного тестирования системы защиты. Активное тестирование заключается в эмуляции действий потенциального злоумышленника; пассивное тестирование предполагает анализ конфигурации операционной системы и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную или с использованием специализированных программных средств.

Исходные данные

В соответствии с требованиями Руководящих документов при проведении работ по аттестации безопасности АС, включающих в себя предварительное обследование и анализ защищенности объекта информатизации, заказчиком работ должны быть предоставлены определенные исходные данные.

  • Полное и точное наименование объекта информатизации и его назначение. Характер обрабатываемой информации (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень ее секретности, определенный в соответствии с тем или иным перечнем (государственным, отраслевым, ведомственным, предприятия).
  • Организационная структура объекта информатизации.
  • Перечень помещений, состав комплекса технических средств, входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация.
  • Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.
  • Структура программного обеспечения, используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации; используемые протоколы обмена информацией.
  • Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
  • Наличие и характер взаимодействия с другими объектами информатизации.
  • Состав и структура системы защиты информации на аттестуемом объекте информатизации.
  • Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.
  • Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков лицензий на проведение подобных работ.
  • Наличие на объекте информатизации службы безопасности.
  • Наличие и основные характеристики физической защиты объекта (помещений, где обрабатывается защищаемая информация и хранятся носители информации).
  • Наличие проектной и эксплуатационной документации на объект информатизации и другие исходные данные по объекту, влияющие на безопасность информации.

Опыт показывает, что перечисленных исходных данных явно недостаточно для выполнения работ по анализу защищенности АС, и приведенный в Руководящих документах список нуждается в расширении и конкретизации. Так, для оценки текущего положения дел с обеспечением безопасности наиболее значимо предоставление перечисленных ниже сведений об объекте информатизации.

  • Дополнительная документация (нормативно-распорядительная документация по проведению регламентных работ и обеспечению политики безопасности, должностные инструкции, процедуры и планы предотвращения и реагирования на попытки несанкционированного доступа к информационным ресурсам, топология корпоративной сети, структура информационных ресурсов с указанием степени критичности или конфиденциальности каждого из них, размещение информационных ресурсов в корпоративной сети, организационная структура пользователей и обслуживающих подразделений, размещение линий передачи данных, схемы и характеристики систем электропитания и заземления объектов, используемые системы сетевого управления и мониторинга).
  • Проектная документация (функциональные схемы, описание автоматизированных функций, описание основных технических решений).
  • Эксплуатационная документация (руководства пользователей и администраторов используемых программных и технических средств защиты информации).
Анализ конфигурации средств защиты внешнего периметра сети

При анализе конфигурации средств защиты внешнего периметра сети и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты:

  • настройку правил разграничения доступа (фильтрация сетевых пакетов);
  • используемые схемы и настройку параметров аутентификации;
  • настройку параметров системы регистрации событий;
  • использование механизмов, обеспечивающих сокрытие топологии защищаемой сети (например, трансляция сетевых адресов);
  • настройку механизмов оповещения об атаках и реагирования;
  • наличие и работоспособность средств контроля целостности;
  • версии используемого программного обеспечения и установленные обновления.

Анализ конфигурации средств защиты внешнего периметра локальной сети предполагает проверку правильности установки сотен различных параметров конфигурации межсетевых экранов, маршрутизаторов, шлюзов виртуальных частных сетей, прокси-серверов, серверов удаленного доступа и др. Для автоматизации этого процесса могут использоваться специализированные программные средства анализа защищенности, выбор которых в настоящее время достаточно широк.

Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем — использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности АС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager (ESM).

Методы тестирования систем защиты

Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости к атакам, а также с целью поиска уязвимостей. Традиционно используются два основных метода тестирования: по методу «черного ящика» и по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. Против объекта испытаний реализуются все известные типы атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, содержащие базу данных с описанием известных уязвимостей операционных систем, маршрутизаторов, сетевых служб и т.п., а также алгоритмов осуществления попыток вторжения.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рискам. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного программного обеспечения, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные средства анализа защищенности системного уровня.

Выводы

Рассмотренные вопросы использования формального и классификационного подходов, нормативной документации, методов и средств анализа защищенности, конечно, не охватывают всего комплекса проблем, связанных с проведением аудита, обследования и аттестации безопасности АС. Вместе с тем, они отражают основные направления исследований в этой области.

Исследование методологической базы анализа защищенности АС, которую составляют различные способы формального описания систем защиты, позволило выявить достоинства и недостатки формального подхода к анализу защищенности.

Главное достоинство состоит в том, что он позволяет получить точные количественные оценки различных показателей защищенности АС. Однако практическая реализация формального подхода представляется делом весьма затруднительным и малоэффективным. Поэтому напрашивается вывод о предпочтительности классификационного подхода, который и является основным методом анализа защищенности, используемым на практике. В основе классификационных методик, получивших широкое распространение, лежат критерии оценки безопасности ИТ, устанавливающие классы и уровни защищенности.

К сожалению, отечественная нормативная база в области оценки безопасности ИТ устарела. К настоящему времени подготовлен и утвержден Госстандартом ГОСТ Р ИСО/МЭК 15408-1-2002 «Общие критерии оценки безопасности ИТ», являющийся переводом ISO 15408. Данный ГОСТ вводится в действие с 1 января 2004 года, что объясняется неготовностью отечественного ИТ-сообщества немедленно перейти к использованию устанавливаемых им концепции и методики оценки безопасности ИТ. На основе «Общих критериев» уже подготовлены проекты Профилей защиты для межсетевых экранов и других средств защиты информации. Для обеспечения преемственности результатов работ, выполненных по ныне действующим нормативным документам, также необходимо разработать типовые стандартизированные профили защиты, соответствующие классам защищенности, устанавливаемым существующими Руководящими документами Гостехкомиссии.

Несмотря на отсутствие каких-либо стандартизированных методик анализа защищенности АС, типовую методику предложить все-таки можно. Перечисленные в ней методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, производимого вручную или с применением специализированных программных средств.

(Источник информации: www.osp.ru

Александр Астахов  — сотрудник компании United Financial Group (Москва))

Вернуться назад

Сайт создан в системе uCoz