Судебные споры

Средства контроля защищенности от несанкционированного доступа. Классификация средств защиты информации от фстэк и фсб россии

15.07.2019

Контроль состояния защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно­технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.

Контроль организуется Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службойвнешней разведки Российской Федерации и Федеральной службой охраны Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчинённости предприятия.

ФСТЭК России организует контроль силами центрального аппарата и управлений ФСТЭК России по федеральным округам. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию ФСБ России, МВД России, Минобороны России, СВР России, ФСО Росси).

Управления ФСТЭК России по федеральным округам, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесённых к государственной или служебной тайне, осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. Нарушения по степени важности делятся на три категории:

    первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

    вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

    третья - невыполнение других требований по защите информации.

При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

    немедленно прекратить работы на участке (рабочем месте), где обнаруженынарушения и принять меры по их устранению;

    организовать в установленном порядке расследование причин и условийпоявления нарушений с целью недопущения их в дальнейшем и привлеченияк ответственности виновных лиц;

    сообщить в ФСТЭК России, ФСБ России, руководству органагосударственной власти и заказчику о вскрытых нарушениях и принятыхмерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.

С.А. ЯСЬКО
к.т.н., начальник отдела ООО "Газинформсервис"

Эволюция защиты

После создания системы защиты информации всегда встает два вопроса:

1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?

Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.

Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.

По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.

В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.

Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.

1этап. Защита "вручную":

  • использование встроенных средств защиты информации ОС, СУБД;
  • устранение уязвимостей путем корректной настройки ПО;

2этап. Автоматизированное обнаружение уязвимостей:

  • использование внешних средств защиты информации;
  • автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
  • ручная установка "заплаток" на используемое ПО.

3этап. Динамическая защита:

  • комплекс средств защиты информации;
  • автоматическое обнаружение или прогнозирование уязвимостей;
  • автоматические блокирование атак.

В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).

Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.

Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.

Сканеры безопасности

Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.

Для решения этих задач сканеры безопасности осуществляют:

  • контроль состояния защищенности АС;
  • тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
  • представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
  • формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
  • регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).

В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.

Системы обнаружения вторжений

Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.

Для решения этих задач современные СОВ осуществляют:

  • обнаружение информационных вторжений и злоупотреблений в сети;
  • реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
  • предоставление отчетов о результатах работы.

Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.

В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).

По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.

По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!

В этом случае и приходит на помощь технология "виртуальных заплаток" (рис. 3). Процесс работы этой технологии выглядит следующим образом.

Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.

После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.

Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!

С.А. ЯСЬКО
к.т.н., начальник отдела ООО "Газинформсервис"

Эволюция защиты

После создания системы защиты информации всегда встает два вопроса:

1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?

Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.

Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.

По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.

В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.

Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.

1этап. Защита "вручную":

  • использование встроенных средств защиты информации ОС, СУБД;
  • устранение уязвимостей путем корректной настройки ПО;

2этап. Автоматизированное обнаружение уязвимостей:

  • использование внешних средств защиты информации;
  • автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
  • ручная установка "заплаток" на используемое ПО.

3этап. Динамическая защита:

  • комплекс средств защиты информации;
  • автоматическое обнаружение или прогнозирование уязвимостей;
  • автоматические блокирование атак.

В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).

Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.

Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.

Сканеры безопасности

Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.

Для решения этих задач сканеры безопасности осуществляют:

  • контроль состояния защищенности АС;
  • тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
  • представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
  • формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
  • регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).

В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.

Системы обнаружения вторжений

Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.

Для решения этих задач современные СОВ осуществляют:

  • обнаружение информационных вторжений и злоупотреблений в сети;
  • реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
  • предоставление отчетов о результатах работы.

Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.

В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).

По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.

По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!

В этом случае и приходит на помощь технология "виртуальных заплаток" (рис. 3). Процесс работы этой технологии выглядит следующим образом.

Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.

После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.

Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!

Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.

Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.

Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.

Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы-ООО "Центр безопасности информации".

Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.

  • отображение всей информации, содержащейся в ПРД (возможен только просмотр);
  • сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
  • создание отчета по результатам сравнения;
  • построение плана тестирования объектов АРМ;
  • проверка реальных прав доступа пользователей к объектам доступа;
  • создание отчета по результатам тестирования.

Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP . Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее. Кроме того программа проводит поиск уязвимостей, содержащихся в cve.mitre. org , ovaldb.altx-soft.ru, microsoft . com и некоторых других источниках.

Средство фиксации и контроля исходного состояния программного комплекса "ФИКС" предназначено для контроля подсистемы обеспечения целостности. Основные возможности программы:

  • фиксация исходного состояния программного комплекса;
  • контроль исходного состояния программного комплекса;
  • фиксация и контроль каталогов;
  • контроль различий в заданных файлах (каталогах);
  • возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.

Программа поиска и гарантированного уничтожения информации на дисках "TERRIER" позволяет осуществить контроль уничтожения информации. Для проверки необходимо создать на конфиденциальном логическом диске файл с контрольной комбинацией символов, определить местонахождение секторов с помощью "TERRIER", удалить файл с помощью штатных средств и проконтролировать его удаление с помощью TERRIER.

18.4. Документирование результатов контроля. Требования к средствам контроля защищенности информации

Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства 3 марта 2012 №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".

Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод .