Файл: Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил.pdf

9
уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; стихийное бедствие, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов.
Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на предприятие. Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных и неумышленных ошибок, которые могут привести к уничтожению данных. Если в сети не внедрена система IDS, существует высокая вероятность того, что факт проведенной атаки останется не выявленным, пока уже не будет слишком поздно.
Воздействие (exposure) - это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба. Если управление паролями слабое, а требования к паролям не внедрены, компания подвержена возможному воздействию в результате компрометации паролей пользователей и их использования для несанкционированного доступа. Если компания не следит за своей электропроводкой и не предпринимает шагов для предотвращения пожара, она подвержена потенциальному воздействию пожара.
Контрмеры (или защитные меры) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, охрана, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей по вопросам безопасности.
Если компания использует антивирусное программное обеспечение, но не обновляет базы вирусных сигнатур – это уязвимость. Компания уязвима для вирусных атак. Угрозой является то, что вирус проникнет в сеть компании и парализует ее работу.
Риск в данном случае - это вероятность проникновения вируса в сеть компании и нанесения ей ущерба. Если вирус проникнет в сеть компании, уязвимость будет использована и компания окажется под воздействием нанесенного им ущерба.
Контрмерами в этой ситуации будет поддержка актуальности баз вирусных сигнатур.
Взаимосвязь между рисками, уязвимостями, угрозами и контрмерами показана на Рис. 3.
Рис. 3 – Взаимосвязь компонентов безопасности

10 2.3. Безопасность посредством неизвестности
Неправильное понимание рисков может привести к множеству различных проблем для компании и не позволит обеспечить хорошую работу безопасности. К сожалению, достаточно часто применяется такая практика, как "безопасность посредством неизвестности", которая ведет к плачевным результатам. Корень этой проблемы заключается в отсутствии понимания возможностей современных компьютерных злоумышленников, незнании инструментов, которые они имеют в своем распоряжении, а также недооценке их изобретательности. Это ведет защитников информации к серьезнейшей ошибке – они считают себя умнее своего потенциального противника.
Следствием этого являются элементарные ошибки в защите, небрежности и распространение ложного чувства безопасности. Например, распространены ошибочные мнения, что:
 уязвимости не могут быть использованы, если они не общеизвестны; скомпилированный код более безопасен, чем открытый исходный код;
 перевод HTTP-трафика на порт 8088 обеспечит достаточную защиту;
 алгоритмы шифрования собственной разработки остановят злоумышленниками т.п.
Это лишь немногие варианты потенциально опасных мнений, возникающих вследствие использования подхода к безопасности посредством неизвестности.
Хотя всем хочется верить во врожденную доброту и порядочность своих коллег, если бы это на самом деле было бы так, у специалистов по безопасности не было бы работы. Безопасность не должна строиться на основе неизвестности!
В мире криптографии, аналогичные идеи воплощены в принципе Кирхгофа, который еще в 1880-х годах, заявил о том, что нет смысла хранить в тайне алгоритм, т.к. злоумышленник может узнать (или предположить) его. Единственное, что должно быть тайной – это ключ.
3. Организационная модель безопасности
Организационная модель безопасности является структурой, состоящей из многих элементов, механизмов защиты, логических, административных и физических компонентов, процедур, бизнес-процессов и конфигураций, которые работают совместно, обеспечивая необходимый уровень безопасности окружения. Каждая модель имеет свои отличия, но все модели реализованы в виде слоев: каждый слой поддерживает вышестоящий слой и защищает нижестоящий слой. Поскольку модель безопасности является структурой, компании могут наполнять ее различными видами технологий, методов и процедур для достижения необходимого уровня защиты своего окружения.
Рис. 4 иллюстрирует компоненты, из которых может состоять модель безопасности.
Эффективная безопасность требует взвешенного подхода и применения всех компонентов и процедур безопасности. Некоторые компоненты безопасности являются техническими (списки контроля доступа, шифрование), а некоторые - не техническими
(физическими и административными, такими, как разработка политики безопасности и обеспечение соответствия ей), но каждый имеет важное место в рамках общей модели.
Если один компонент отсутствует или реализуется не в полной мере, это может оказать негативное воздействие на всю структуру.
Модель безопасности имеет различные слои и различные виды целей, которые должны быть достигнуты за различные промежутки времени. Цели могут быть ежедневными (операционными), среднесрочными (тактическими) и долгосрочными
(стратегическими).

11
Рис. 4 – Эффективная модель безопасности
То же самое происходит и в сфере планирования безопасности. Ежедневные
(операционные) цели связаны с продуктивностью и выполнением текущих задач, обеспечивающих функционирование компании предсказуемым образом.
Среднесрочной (тактической) целью является, например, объединение всех рабочих станций и ресурсов в один домен, чтобы обеспечить возможность централизованного контроля.
Примером долгосрочных (стратегических) целей может являться объединение всех беспроводных технологий с целью единого подхода к обеспечению их безопасности.
Стратегическое планирование работает с планами, которые находятся на одном уровне с бизнес-целями и целями ИТ. Цели стратегического планирования долгосрочны и имеют широкий горизонт. Стратегическое планирование может включать некоторые из следующих целей:
• обеспечить правильное понимание и учет рисков;
• обеспечить соответствие требованиям законодательства и регуляторов;
• интегрировать обязанности по безопасности в деятельность компании;
• создать модель зрелости для обеспечения постоянного улучшения;
• использовать безопасность как бизнес-преимущество, чтобы привлечь больше клиентов.
Тактическое планирование относится к деятельности и поддержке, которые необходимы для достижения широких целей, выдвинутых в процессе стратегического планирования. В общем случае, тактические планы имеют более короткие сроки и более узкий горизонт планирования по сравнению со стратегическими планами.
И, наконец, оперативное планирование – это весьма конкретные планы, сроки и цели. Оперативное планирование предполагает указание конкретных мероприятий, установление жестких сроков и графиков выполнения плана. Это конкретные действия, которые нужно предпринять для достижения целей тактических и стратегических планов.
Ниже приводятся несколько примеров оперативного планирования:
• выполнения оценки рисков безопасности;
• недопущение негативного влияния изменений в системе безопасности на продуктивность;
• поддержка и внедрение защитных мер;
• постоянное сканирование уязвимостей и установка программных обновлений;

12
• контроль соответствия политикам.
Такой подход к планированию называется горизонтом планирования(planning horizon). Безопасность работает лучше всего, если оперативные, тактические и стратегические цели компании определены и работают поддерживая друг друга.
3.1. Компоненты программы безопасности
В настоящее время компании, корпорации, государственные учреждения и частные лица значительно больше внимания уделяют вопросам информационной безопасности, чем когда-либо прежде. Это правильно, поскольку означает большую степень вовлеченности в вопросы безопасности тех, кто принимает решения в компании. Ведь технологии являются лишь небольшой частью общей организационной безопасности компании. Однако наиболее часто события в компаниях развиваются по следующему сценарию.
Генеральный директор и совет директоров вынуждены обратить внимание на вопросы информационной безопасности, так как появляются новые требования законодательства (ситуация в России с Федеральным законом №152 «О персональных данных»), существенно возрастает ущерб от хакерских и фрикерских атак (характерно для банковского и телекоммуникационного секторов), против компании подаются судебные иски за нарушение защиты информации (утечка СМС-сообщений клиентов с сайтов операторов «большой тройки»). Компания обычно нанимает консультанта, который объясняет генеральному директору и совету директоров, что они нуждаются в политике безопасности и оценке информационных активов. Компания платит за проведение этих работ и верит в то, что теперь она защищена. Однако это ложное чувство, поскольку в компании до сих пор нет программы безопасности, которая выполняется непрерывно.
Затем компания нанимает специалиста по безопасности (обычно называемого CSO
- Corporate Security Officer (руководитель Службы безопасности компании) или CISO -
Corporate Information Security Officer (руководитель Службы информационной безопасности компании) и делегирует ему всю работу по обеспечению безопасности и ответственность за нее, но не дает при этом ему каких-либо реальных полномочий и бюджета. Потом, когда инциденты с безопасностью все же случаются, всю ответственность за это возлагают на CISO (CSO).
Таким образом, специалисты по безопасности имеют 3 возможных варианта действий:
• Спрятать голову в песок, и надеяться, что проблемы обойдут стороной компанию в целом и этого специалиста в частности
• Продолжать работать в том же духе, виня судьбу за все разочарования
• Понимая, что наше общество делает только первые шаги в развитии информационной безопасности, изучать и использовать лучшие практики, уже разработанные в данной отрасли CISO обязан хорошо понимать бизнес-процессы и цели компании, доводить до сведения высшего руководства информацию о рисках, которые угрожают компании, а также о требованиях законодательства и регуляторов, которым должна соответствовать компания.
Он должен разработать и внедрить программу обучения (повышения осведомленности) сотрудников компании по вопросам безопасности. Другими задачами
CISO является разработка документов по безопасности: политик, процедур, базисов, стандартов и руководств. CISO должен быть в курсе новых технологий, отслеживать новую информацию, касающуюся вопросов безопасности. Также, в задачи CISO входит оценка реакции на инциденты, подготовка программ обеспечения соответствия компании новым требованиям, разработка метрик безопасности. Выполняя все эти обязанности и требования, CISO будет работать эффективно и обеспечит уверенность компании в надлежащей работе безопасности и учете рисков.

13
Важно, чтобы вопросы безопасности обсуждались и указывались в отчетах на максимально высоком уровне управления компанией, так как негативное воздействие на бизнес проблем безопасности и несоответствия требованиям может быть катастрофическим. Отчитываясь перед CEO (Chief Executive Officer – генеральный директор или президент компании) и другими руководителями высшего звена, CISO должен предоставить достоверную информацию и исключить любое недопонимание.
Помимо высшего руководства CISO должен предоставлять отчеты и информацию в департамент ИТ, административный департамент, департамент страхования и управления рисками, юридический департамент, департамент внутреннего аудита, а также в бизнес- подразделения.
3.2. Стандарты безопасности
CobiT(Control Objectives for Information and related Technology) – это набор стандартов и лучших практик, разработанный ISACA(Information Systems Audit and
Control Association) и ITGI(IT Governance Institute). CobiT определяет цели контроля ИТ, которые следует использовать для надлежащего управления ИТ и обеспечения соответствия информационных технологий компании потребностям ее бизнеса. CobiT состоит из четырех доменов: Планирование и Организация, Приобретение и Внедрение,
Эксплуатация и Сопровождение, Мониторинг и Оценка. Каждый домен делится на подкатегории. Таким образом, домены CobiT предоставляют компаниям цели и инструкции, применимые при покупке, установке, тестировании, сертификации и аккредитации ИТ-продуктов. CobiT очень полезен, т.к. большинство компаний используют неформальные и непродуманные подходы при закупке ИТ-продуктов и выполнении процедур. Многие требования, а также аудиты основываются на стандарте
CobiT. Поэтому, если вы хотите сделать своих аудиторов счастливыми, изучайте, используйте в работе, внедряйте контрольные объекты, которые считаются лучшими практиками.
Людей, которые впервые видят CobiT, он просто ошеломляет, так как он имеет очень большой объем и не поддается полномасштабному внедрению даже за пару лет. По каждой из категорий CobiT определяет цели и методы контроля, целевые показатели, факторы успеха, а также модель зрелости. В нем излагается подробный план, которому можно следовать для выполнения каждой из 34 предусмотренных в нем целей контроля.
Рис. 5 показывает, как структура CobiT объединяет бизнес требования, ИТ-ресурсы и ИТ-процессы. Многие аудиторы информационной безопасности используют CobiT в качестве критериев оценки результативности применяемых защитных мер. Поэтому, если вы хотите успешно пройти аудит, компании было бы неплохо знать и осмысленно выполнять указанные в CobiT задачи управления.
CobiT основан на стандарте COSO, разработанном в 1985 году (разработчик:
Committee of Sponsoring Organizations of the Treadway Commission) для борьбы с мошеннической финансовой деятельностью и недостоверной отчетностью. Структура
COSO состоит из следующих компонентов:
• управление средой
• философия управления и стиль работы
• культура компании, как отношение к этике и мошенничеству
• оценка риска
• определение целей в области рисков
• возможность управлять внутренними и внешними изменениями
• деятельность по контролю
• политики, процедуры и практика, применяемая для снижения риска
• информация и коммуникации

14
• структура, обеспечивающая, что только уполномоченные лица получают достоверную информацию в то время, когда она им необходима
• мониторинг
• выявление и реакция на недостатки контроля
Рис. 5 - Компоненты CobiT
COSO – это модель корпоративного управления, а CobiT – модель управления ИТ.
COSO в большей степени относится к стратегическому уровню, а CobiT больше сосредоточен на оперативном уровне.
Разработка и внедрение программы безопасности не так сложны, как кажутся многим компаниям, однако это новые для них вещи, которые представляются страшными и запутанными. Поэтому им следует обратиться к отраслевым стандартам и лучшим практикам, которые дают конкретные рекомендации по созданию и реализации полноценной программы безопасности.
Наиболее широко для этих целей используется стандарт ISO 17799, основой которого является Британский Стандарт BS 7799. Это признанный на международном уровне стандарт управления информационной безопасностью, который предоставляет высокоуровневые концептуальные рекомендации по обеспечению безопасности компании. BS 7799 состоит из двух частей: в первой части описываются цели управления и ряд средств управления, которые могут быть использованы для достижения этих целей, а во второй части приводится порядок внедрения и поддержки программы безопасности.
Вторая часть BS 7799 является базисом, на соответствие которому может быть сертифицирована компания. Сертификация компании может проводиться, например, с целью повышения доверия к ней со стороны клиентов и партнеров, а также с целью использования факта сертификации в качестве инструмента маркетинга. Сертификацию проводит уполномоченная независимая третья сторона, при этом компания может быть сертифицирована на соответствие всему ISO 17799 Part II, либо только отдельным его частям.
В настоящее время произведен переход от стандарта ISO 17799 к целой группе стандартов ISO, которые помогают понять и структурировать лучшие практики. ISO

15
использует различные номера серий для различных видов стандартов. Например, серия
ISO 9000 содержит ряд стандартов, которые относятся к управлению качеством для бизнес-процессов.
Новая серия ISO/IEC 27000 используется для стандартов безопасности и гарантий.
ISO подкорректировал стандарты 17799 для их соответствия новому формату нумерации.
Ниже представлены стандарты ISO/IEC, которые следует использовать компаниям при разработке своей программы безопасности:
• ISO/IEC 27001. Основан на стандарте BS7799 Part II, связанном с организацией, внедрением, контролем и совершенствованием Системы управления информационной безопасностью.
• ISO/IEC 27002. Свод правил по управлению защитой информации (предыдущее название – ISO 17799), основан на стандарте BS 7799 Part I.
• ISO/IEC 27004. Стандарт для измерений в области управления информационной безопасностью.
• ISO/IEC 27005. Предназначен для реализации надлежащей информационной безопасности на основе ориентированного на риски подхода.
• ISO/IEC 27006. Руководство по процессу сертификации / регистрации.
• ISO/IEC 27799. Руководство по защите персональных данных о здоровье.
Домены стандарта ISO/IEC 27002 (который ранее назывался ISO 17799), приведенные ниже, очень близки CISSP CBK (Common Body of Knowledge):
• Политика информационной безопасности компании. Карта бизнес-целей в отношении безопасности, поддержки со стороны руководства, целей безопасности и обязанностей.
• Создание инфраструктуры информационной безопасности. Создание и поддержка организационной структуры безопасности посредством распределения обязанностей по безопасности, процессов авторизации, учета требований безопасности при аутсорсинге, независимого контроля обеспечения информационной безопасности.
• Классификация и управление активами. Разработка инфраструктуры безопасности для защиты активов компании посредством учета, инвентаризации, классификации, процедур использования активов.
• Безопасность, связанная с персоналом. Снижение рисков, вызванных "человеческим фактором" за счет тщательного отбора персонала, определения ролей и обязанностей, надлежащего обучения сотрудников, документирования мер воздействия в случае несоблюдения требований.
• Физическая безопасность и безопасность окружения. Защита активов компании посредством правильного размещения здания компании, установления и поддержания периметра безопасности, внедрения контроля доступа, защиты оборудования.
• Управление коммуникациями и функционированием. Обеспечение безопасности функционирования посредством операционных процедур, надлежащего управления изменениями, разделения обязанностей, планирования ресурсов, управления сетью, работы с носителями информации, мониторинга.
• Контроль доступа. Контроль доступа к активам на основе требований бизнеса, управления пользователями, методов аутентификации.
• Разработка и поддержка систем. Обеспечение безопасности на всех этапах жизненного цикла систем посредством разработки требований безопасности, криптографии, контроля целостности и процедур разработки программного обеспечения.
• Управление инцидентами безопасности. Обеспечение своевременного получения сведений о произошедших инцидентах и возникших уязвимостях, разработка порядка управления инцидентами и их анализа.
• Управление непрерывностью бизнеса. Противодействие нарушению нормального функционирования посредством планирования непрерывности и тестирования планов.