Евгений Судов,
Александр Ратновский
Политика информационной безопасности
С чего начинается информационная безопасность предприятия? Теория говорит об анализе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных службах предприятия. Вы должны уметь четко ответить на вопрос, сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предприятии? Cколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве. Вы сумеете узнать каждый компьютер “в лицо”? Обнаружите ли вы “маскарад” оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей лошадкой оборудование на самом деле является троянским конем? Какие задачи и с какой целью решаются на каждом компьютере? Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопасности от него можно ожидать только вреда. А вот еще несколько вопросов по оборудованию. Каков порядок ремонта и технической профилактики компьютеров? Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место? Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования? Список вопросов можно продолжить...
Аналогичные вопросы можно задать и относительно программного обеспечения и персонала. Масштабы современных информационных систем таковы, что их функционирование зависит от сотен и тысяч удаленных друг от друга единиц оборудования, разнородного ПО и сотен сотрудников самой различной квалификации. Какие достижения современной компьютерной технологии можно порекомендовать для оперативного учета и контроля за состоянием оборудования, ПО и деятельностью персонала?
Прежде всего отметим тот факт, что оборудование, программное обеспечение и персонал должны рассматриваться не сами по себе, а в комплексе с целями организации, ее назначением и выполняемыми функциями. В таком случае цели организации, ее назначение и выполняемые функции становятся главными и относительно неизменяемыми элементами, своего рода костяком информационной системы, а оборудование и персонал являются зависимыми, привязанными к ним элементами.
Если бы главные элементы были хорошо структурируемыми, вся проблема решалась бы с помощью современных СУБД. Для компьютерного представления плохо структурируемых данных, таких, как функциональная структура, назначение и цели предприятия, применяют методы функционального анализа и моделирования. Широкое распространение получили такие методы, как BSP (Business System Planning), SADT (Structure Analysis and Design Technique), стандарты IDEF/0, IDEF/1.
В основе этих методик лежит декомпозиция основных функций предприятия на составляющие их процессы и действия. Существует ряд программных реализаций этих методов, в частности Design/IDEF (WorkFlow Modeler) фирмы Meta Software (США). Функциональная декомпозиция в Design/IDEF выполняется путем последовательного построения с помощью графического редактора связанных IDEF-диаграмм с использованием таких понятий, как “вход”, “действие”, “выход”, “механизм”, “управление”.
Полный набор таких диаграмм, называемый функциональной моделью предприятия, использует в качестве механизмов и условий описания всего реально необходимого оборудования, программного обеспечения или персонала. Если какое-то имеющееся оборудование, ПО или персонал не отражаются в модели, это означает, что данное оборудование, ПО или персонал не работают на конечные цели организации и, следовательно, являются лишними либо что модель построена с недостаточной точностью и требует доработки. Таким образом, построив функциональную модель предприятия, мы получаем (в пакете Design/IDEF - автоматически): некоторый обоснованный перечень вычислительных средств; программных компонентов, которые на них должны быть установлены; задач, которые на них должны решаться; персонала, который все это должен делать. Полученные таким образом перечни называют, идентифицируют оборудование и персонал только по инвентарному и табельному номерам. Используя функциональную модель совместно с имеющейся в организации базой данных оборудования (а если таковой нет - ее надо создать) и персонала (которая обычно ведется управлением кадров), мы получаем функционально-информационную модель организации.
Перечень решаемых на каждом компьютере задач тоже не может быть оставлен без внимания. При наличии в организации соответствующих баз данных, описывающих задачу с точки зрения используемых программ и данных, такой перечень может рассматриваться как костяк настройки средств защиты на данном компьютере.
Роль модели и полученных с ее помощью документов может быть весьма значительной. Модель IDEF - это компьютерная программа со всеми вытекающими из этого преимуществами. Вообразим, что какой-то банк перестал заниматься каким-либо видом деятельности. Что это означает для служб информационной безопасности? Надо отключить от сети часть сотрудников, убрать часть оборудования, изменить настройки средств безопасности. Как это сделать быстро и без ошибок? С помощью редактора Design/IDEF следует выделить элементы диаграмм, описывающие ликвидируемую функцию, провести модификацию функциональной модели и получить списки оборудования, программного обеспечения и персонала, занимавшегося этим. Далее - это уже дело техники - отправить по сети модифицированные операторы настройки средств защиты на нуждающиеся в изменениях компьютеры. Аналогично решаются подобные проблемы, связанные с добавлением и модификацией функций. Таким образом, администраторы безопасности получают в свое распоряжение инструментальный комплекс, обеспечивающий управление и мониторинг безопасности.
Располагая функционально-информационной моделью, можно проанализировать риски по всем правилам строгой науки. Анализ заключается в обследовании технологии выполнения всех защищаемых функций с целью выявления их уязвимых элементов (рисков), оценки вероятности и величины возможного ущерба. Задача анализа рисков заключается в исследовании возможностей их реализации с учетом уязвимости каждого изменения технологического процесса при реализации каждой функции. Модель предоставляет нам для анализа рисков все функции организации, все технологические переходы, полный перечень используемого оборудования и как бы выступает гидом, ведущим специалиста по информационной безопасности по всем закоулкам информационной системы. Таким образом, мы получаем базу и адекватную методику анализа рисков и выработки политики безопасности, благодаря чему можно учесть все и не потерять ничего. Далее дело за специалистами, обладающими опытом анализа схожих ситуаций и знанием нормативной документации.
Теперь вернемся к вопросам, поднятым в начале статьи. Как получить актуальные данные о составе оборудования и как его однозначно идентифицировать?
Не будем обсуждать тему нанесения инвентаризационных номеров на оборудование с помощью всевозможных бирок и шильдиков, оставим эту работу административно-хозяйственным подразделениям. Поговорим о проблеме однозначной идентификации внутренней электронной и программной “начинки” компьютера. Естественно, что ее решение осуществляется с помощью базы данных, в которой хранятся такие характеристики компьютера, как его инвентарный номер, место установки на территории, модель, тип процессора, видеоадаптера, мыши, тип и дата BIOS, тип шины, порты ввода-вывода, конфигурация памяти, тип флоппи-дисководов, типы жестких дисков, модемов, содержимое файла автозагрузки и конфигурации, сетевой адрес, контрольные суммы, по которым проверяется целостность программного обеспечения, а также имя пользователя, номер телефона, системное имя, точка входа в сеть и т. д.
Такой учет может быть организован с помощью любой коммерческой СУБД, однако принципиально важно использовать общепринятый стандарт MIF (Management Information Format). В этом случае поддержка и корректировка БД может осуществляться департаментом (управлением) информационных технологий автоматизированно с помощью, например, популярного средства сетевого управления ManageWise фирмы Novell. В этой системе создание инвентаризационных списков выполняется с одной консоли за счет встроенных средств управления сетевой инфраструктурой и отдельными ПК. В тех случаях, когда атрибутов оборудования, собранных штатными средствами пакета, оказывается недостаточно для однозначного автоматического опознавания компонентов по принципу “свой - чужой”, рекомендуется воспользоваться возможностями электронного распространения программ по сети на основе ПО NetWare Application Launcher.
Этим средством следует пользоваться для распространения по сети дополнительных идентифицирующих программ (типовых, как, например, Norton SI, или разработанных самостоятельно), с помощью которых, используя другое средство пакета - дистанционное управление программами, - можно собрать дополнительную информацию об атрибутах компонентов, например, о версии и дате BIOS и т. п. Стандарт MIF обеспечивает включение и использование собранной таким образом дополнительной идентифицирующей информации, которая в дальнейшем может помочь избежать “маскарада” оборудования.
В заключение отметим, что помимо приложений, относящихся к информационной безопасности, грамотно построенная, адекватная и целостная модель представляет собой источник важных объективных аналитических данных о структуре организации. Она дает возможность анализировать выполнимость процессов, выявлять причины плохой управляемости и узкие места, ранжировать загрузку подразделений и исполнителей, формировать должностные инструкции и положения о подразделениях, рассчитывать стоимостные оценки функций, процессов с учетом заработной платы исполнителей, амортизации основных фондов и вспомогательного оборудования.
К авторам, сотрудникам НПО “Прикладная логистика”, можно обратиться по телефону: (095) 955-5372.
