Как показывает опыт, построение подсистемы информационной безопасности корпоративной сети далеко не всегда является сугубо технической задачей. Гораздо чаще оно представляет собой задачу организационно-техническую, в которой от решения организационной составляющей во многом зависит состав и сложность реализации составляющей технической.
Процесс построения подсистемы информационной безопасности включает следующие этапы:
1) экспертизу защищенности корпоративной информационной системы;
2) разработку концепции и политики информационной безопасности компании;
3) проектирование корпоративной системы в защищенном исполнении;
4) поставку и ввод в опытную эксплуатацию средств защиты;
5) сопровождение систем информационной безопасности;
6) модернизацию и развитие систем информационной безопасности.
Рассмотрим основные этапы построения подсистемы информационной безопасности.
На первом этапе проводится экспертиза защищенности существующей или планируемой к реализации корпоративной системы, при этом рекомендуется сначала провести четкую классификацию существующих информационных ресурсов компании по степени их конфиденциальности.
В рамках любой компании вполне обоснованным является требование о придании информации (например, финансового отдела или отдела разработки) статуса конфиденциальной, доступ к которой необходимо ограничить, прежде всего, для сотрудников самой компании.
Эту задачу, как правило, можно решить как организационными методами, так и техническими средствами, однако наиболее эффективным способом является применение некого комбинированного решения. В последних двух случаях, скорее всего, потребуется пересмотр или переконфигурирование топологии существующих локальных сетей либо усовершенствование (upgrade) сетевого оборудования, чтобы появилась возможность четко выделить те сегменты корпоративной системы, в которых обрабатывается конфиденциальная информация, а также ограничить число контролируемых точек взаимодействия этих сегментов с остальными сегментами корпоративной системы.
Взаимодействие с открытыми сетями рабочих станций и серверов этих сегментов, если оно необходимо, лучше всего организовать не напрямую, а через доверительную среду корпоративной сети.
На этом этапе выполняется анализ возможных угроз корпоративной системе и рисков подключения организации к Internet. Анализ рисков подключения организации к Internet включает определение уязвимых мест, оценку вероятности реализации угроз, материального ущерба от их осуществления, риска от проявления угрозы как произведения вероятности проявления угрозы и затрат на ее предотвращение, необходимого и достаточного перечня мер защиты. Существуют специальные программные пакеты для автоматизации процесса анализа рисков. Одной из разработок в этой области является программное обеспечение Riskwatch for Physical Security Riskwatch Inc для среды Windows.
Результат работы пакета – список обнаруженных рисков и возможных угроз для телекоммуникационного оборудования, компьютерной сети и прикладных систем. Эта система может быть сконфигурирована таким образом, чтобы выявлять места возможного проникновения в корпоративную сеть злоумышленников, оценивать возможность причинения ущерба служащим организации, в которой функционирует данная сеть. Результаты анализа служат основой для выполнения следующего этапа.
На втором этапе формулируются концепция и политика информационной безопасности корпоративной сети. Наличие в корпоративной сети многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов (VPN – защищенная виртуальная сеть), систем аутентификации, контроля доступа по содержанию и т.п.), распределенных по территории, требует централизованного управления. Централизованное управление средствами безопасности подразумевает наличие единой глобальной политики безопасности.
Политика безопасности определяет особенности процесса защиты информационных ресурсов корпоративной сети и детализируется с помощью правил безопасности двух типов:
1) правил, регламентирующих процедуры доступа к информационным объектам, таким как серверы, рабочие станции, каналы связи, базы данных, отдельные файлы, ресурсы ОС. Эти правила обычно оформляются в виде списков доступа (Access Lists), загружаемых в память сетевых устройств: маршрутизаторов, рабочих станций, коммутаторов, серверов, специализированных защитных комплексов и т.п. Для реализации правил безопасности этого типа разработано достаточно много инструментальных средств (например, специализированные модули сетевых операционных систем), контролирующих процесс соблюдения правил безопасности на пользовательском уровне;
2) правил, связанных с анализом содержимого сетевых пакетов и, соответственно, с настройкой средств сетевого мониторинга и средств обнаружения вторжений злоумышленников. С технической точки зрения эта задача более сложна и предполагает привлечение достаточно совершенных аппаратных и программных средств защиты.
Без надлежащего опыта сформировать собственную политику безопасности корпоративной сети в виде системы требований к подсистеме информационной безопасности применительно к конкретной компании, скорее всего, удастся лишь на самом общем уровне, часто недостаточном для решения данной задачи. Фактически делать этого и не нужно, поскольку как отечественными, так и западными специалистами по информационной безопасности уже составлены необходимые документы, в которых четко классифицированы разные уровни обеспечения информационной безопасности корпоративной сети и необходимые для этого технические средства, а также организационные мероприятия
Взяв за основу перечисленные там требования, можно быть достаточно твердо уверенным в том, что необходимая комплексность подсистемы информационной безопасности корпоративной сети будет обеспечена. На данном этапе нелишне снова задуматься о перспективах развития корпоративной сети, например о том, с кем из партнеров или заказчиков планируется строить защищенные взаимодействия в ближайшие пять лет. Очевидно, что состав и жесткость требований к вашей подсистеме информационной безопасности должны быть, как минимум, не ниже соответствующих параметров подсистемы информационной безопасности вашего партнера или заказчика.
На третьем этапе можно приступить непосредственно к выбору технических средств, которые в совокупности с организационными мерами позволили бы успешно решать поставленные перед подсистемой информационной безопасности задачи.
Общей целью разработчиков сетевых систем безопасности является достижение прозрачности систем безопасности, обеспечивающих безопасность без значительного влияния на работу сети и не вынуждающих пользователей отказываться от полезных сетевых услуг.
Весьма важный фактор – установление баланса между безопасностью и сложностью в соответствии с основным принципом: чем сложнее система, тем она уязвимее и труднее для установки. Сложные системы трудно сконфигурировать должным образом, а различные неточности могут привести к возникновению проблем безопасности. Пока эксперты не пришли к единому мнению, какой набор средств считать необходимым, а какой – избыточным.
При окончательном выборе уже конкретного средства защиты информации конкретного производителя, помимо базовых требований к продукту (набора функциональности, относительной стоимости необходимых функций, совместимости с другими средствами защиты информации, условий технической поддержки продукта производителем или дистрибьютором и т.д.), необходимо уделить внимание следующим двум критериям:
1) быстродействию данного средства защиты информации;
2) наличию сертификата соответствия.
Требование по быстродействию средства защиты информации относится, главным образом, к средствам защиты межсетевого взаимодействия (межсетевым экранам, proxy-серверам, VPN-устройствам), поскольку именно здесь, как правило, возникает жесткое требование к скорости обработки информации. Прежде всего, это относится к средствам защиты информации, применяющим методы криптографического преобразования информации (средствам шифрования прикладного уровня, VPN-устройствам и др.), поскольку подобная обработка трафика в реальном масштабе времени требует серьезных вычислительных ресурсов, которые необходимо предварительно оценить.
Наличие сертификата соответствия на выбранное средство защиты информации строго обязательно только для государственных учреждений, а также для тех негосударственных учреждений, которые используют информацию, отнесенную государством (в рамках существующего законодательства) к конфиденциальной (секретной), – например, для учреждений, работающих по государственному заказу, или имеющих доступ к персональной информации граждан либо к сведениям о добыче и обработке стратегических полезных ископаемых и т.д.
После того, как на основе выбранных организационных и технических требований определен круг необходимых средств защиты информации, выполняется этап технического проектирования подсистемы информационной безопасности и все последующие этапы, ведущие к вводу готовой системы в эксплуатацию.
При проектировании эффективной подсистемы информационной безопасности следует также учитывать ряд общих принципов обеспечения информационной безопасности. К числу этих принципов относятся следующие:
· экономическая эффективность – стоимость средств защиты должна быть меньше, чем размеры возможного ущерба;
· минимум привилегий – каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы;
· простота – защита тем эффективнее, чем легче пользователю с ней работать;
· отключаемость защиты – при нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты;
· открытость проектирования и функционирования механизмов защиты – специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать;
· всеобщий контроль – любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации;
· независимость системы защиты от субъектов защиты – лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать;
· отчетность и подконтрольность – система защиты должна предоставлять доказательства корректности своей работы;
· ответственность – подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации;
· изоляция и разделение – объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других;
· полнота и согласованность – надежная система защиты должна быть полностью специфицирована, протестирована и согласована;
· параметризация – защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора;
· принцип враждебного окружения – система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
· привлечение человека – наиболее важные и критические решения должны приниматься человеком;
· отсутствие излишней информации о наличии механизмов защиты – их существование следует, по возможности, скрыть от пользователей, работа которых должна контролироваться.
Для некоторых типов компаний этапу ввода подсистемы информационной безопасности в эксплуатацию должен предшествовать этап проведения аттестации подсистемы информационной безопасности на соответствие требованиям, налагаемым российским законодательством на системы защиты отдельных категорий информации. И только после подтверждения корректности реализации подсистемы информационной безопасности внешним государственным органом систему можно вводить в эксплуатацию.
Этап сопровождения подсистемы информационной безопасности корпоративной сети, а также этап модернизации и развития подсистемы информационной безопасности корпоративной сети осуществляются компанией – системным интегратором в соответствии с заключенным договором.