На этот, казалось бы, простой вопрос ответить не так-то легко. С
одной стороны, можно поступить не мудрствуя - купить рекламируемые
средства защиты, установить у себя в организации и потом хвалиться перед
коллегами, что вот у меня есть современнейшая система защиты, которая
также используется, например, в Министерстве обороны США. Если компания
богата, то она может позволить себе этот путь. Однако необходимо
правильно расходовать имеющиеся в распоряжении средства. Во всем мире
сейчас
принято развертывать комплексную систему защиты, следуя нескольким
этапам. Первый, - информационное обследование - самый важный. Именно
здесь определяется, от чего в первую очередь следует защищаться
компании. На этом же этапе строится так называемая модель нарушителя,
которая описывает вероятный облик злоумышленника, т. е. его
квалификацию, имеющиеся средства для реализации тех или иных атак,
обычное время действия и т. п. И здесь же вы получаете ответ на два
вопроса, которые задавались ранее: "Зачем и от кого надо защищаться?"
На этом же этапе выявляются и анализируются возможные пути реализации
угроз безопасности, оценивается вероятность и ущерб от их проведения в
жизнь. По результатам анализа вырабатываются рекомендации по устранению
выявленных угроз, правильному выбору и применению средств защиты. Пока
вы не перешли к следующему этапу, может быть рекомендовано не
приобретать достаточно дорогие защитные системы, а воспользоваться
имеющимися в распоряжении. Например, в случае наличия в организации
мощного маршрутизатора может статься предпочтительней задействовать
встроенные в него защитные функции, а не приобретать межсетевой экран.
Наряду с анализом существующей технологии должна осуществляться
разработка организационно-распорядительных документов, дающих
необходимую правовую базу службам безопасности и отделам защиты
информации для проведения всего спектра охранных мероприятий,
взаимодействия с внешними организациями, привлечения к ответственности
нарушителей ит. п. То есть результатом этого этапа является
разработанная и утвержденная руководством компании политика
безопасности, в т. ч. и касающаяся вопросов обнаружения атак.
Следующим шагом построения комплексной системы информационной
безопасности является приобретение, установка и настройка
рекомендованных на предыдущем этапе средств и механизмов обеспечения
информационной безопасности. К таким средствам можно отнести системы
защиты информации от несанкционированного доступа, системы
криптографической защиты, межсетевые экраны, средства анализа
защищенности и др.
Для правильного и эффективного применения установленных средств защиты
необходим квалифицированный персонал. Как уже упоминалось ранее, пока
таких специалистов мало. Выходом из сложившейся ситуации могут быть
курсы повышения квалификации, на которых сотрудники отделов защиты
информации и служб безопасности получат все необходимые практические
знания для использования имеющихся средств защиты, выявления угроз
безопасности и их предотвращения. Кстати, ответ на вопрос "кто будет
эксплуатировать систему обнаружения атак?" также сужает число возможных
альтернатив. Если у вас нет возможности выделить отдельного оператора
для слежения за сигналами тревога, появляющимися в реальном режиме
времени, то и выбирать вам нужно систему, которая позволяет проводить
автономный анализ.
Однако на этом процесс обеспечения безопасности не заканчивается. С
течением времени имеющиеся оборудование и программное обеспечение
устаревают, выходят новые версии систем обеспечения информационной
безопасности, постоянно расширяется список найденных уязвимостей и атак,
меняется технология обработки информации, совершенствуются программные и
аппаратные средства, приходит и уходит персонал компании. И необходимо
периодически пересматривать разработанные
организационно-распорядительные документы, проводить обследование ИС или
ее подсистем, обучать новый персонал, обновлять средства защиты.
Следование описанной выше последовательности построения комплексной
системы] обеспечения защиты информации поможет достичь необходимого и
достаточного уровня защищенности вашей автоматизированной системы.
Чем защищать?
Ответы на первые четыре вопроса (что, от чего, от кого и как?)
позволят! сузить круг выбираемых систем до 2-3, что качественно облегчит
их выбор и ускорит процесс тестирования. В табл. 9.1 перечислены
технологии, которые могут использоваться для защиты важных ресурсов
корпоративной сети. При этом вы можете выбрать любую из технологий.
Однако далеко не всегда самый очевидный выбор является самым правильным.
Например, вы хотите защитить файловый сервер. Казалось бы, лежащий на
поверхности вывод - это применение систем контроля целостности. Однако
представим себе, что на файловом сервере происходят ежесекундные
изменения хранимых файлов. Каждое такое событие приводит к проверке его
санкционированное со стороны системы контроля целостности. Разумеется,
это не может не сказаться на производительности файлового сервера.
Вероятна даже ситуация, когда файловый сервер будет настолько занят
решением вопроса целостности своих файлов, что захватит 100% всех
системных ресурсов и тем самым блокирует все запросы пользователей на
доступ к файлам сервера. В этом случае целесообразнее применять систему
обнаружения атак на уровне ОС или выбрать небольшое число самых важных
файлов, целостность которых должна контролироваться. Аналогичные примеры
можно привести и для других технологий.