Современные информационные технологии.
Информационная безопасность.
Д.т.н. Юдін О.К, магістр Чунарьова А.В.
СУЧАСНІ МЕТОДИ АУДИТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМ ТА МЕРЕЖ
Вступ
Однією
з найважливіших частин інформаційної інфраструктури сучасних підприємств і
багатьох державних організацій є корпоративні мережі, які давно перейшли до
розряду критичних для забезпечення безперервності бізнес – процесів ресурсів. Вихід
з ладу такої системи або спотворення підсистеми доступу до інформаційних
ресурсів фактично означає зупинку діяльності всієї організації.
Забезпечення
безпеки корпоративних мереж включає організацію протидії будь-якому
несанкціонованому вторгненню в процес функціонування, а також спробам модифікації,
розкрадання, виводу з ладу або руйнування її компонентів, тобто захист всіх
компонентів інформаційно – комунікаційних систем та мереж – апаратних засобів,
програмного забезпечення, даних та персоналу, тощо.
Поряд зі
стандартними засобами захисту, без яких неможливе нормальне функціонування
корпоративних мереж (таких як між мережеві екрани, системи резервного
копіювання й антивірусні засоби), існує необхідність використання систем
моніторингу (систем виявлення атак або вторгнень), які є основним засобом
боротьби з мережними атаками чи іншими несанкціонованим діям.
Корпоративні
мережі мають високу складність побудови, оскільки вони територіально розподілені
з точки зору ресурсів та розташування систем управління. Вони поєднують в собі
можливість передачі даних з можливостями телефонії й відеоконференцзв’язку,
наявності вбудованої системи підтримки інформаційної безпеки, а також резервних
і дублюючих елементів, які відповідають за забезпечення надійності і
доступності функціонування корпоративної мережі. Для всіх організацій в більшій
мірі актуальна і перша (складність) і друга (критичність) властивості сучасних
корпоративних мереж. Тобто разом з перевагами, які забезпечують сучасні
інформаційні мережі з'являються й небезпечні ризики, стосовно взаємодії з
відкритим і неконтрольованим зовнішнім інформаційним середовищем. Для зниження
цих ризиків необхідно приділяти все більш уваги організації моніторингу
функціонування, згідно державних і
міжнародних стандартів.
Постановка
задачі. Для вирішення більшої частини проблем, які виникають при функціонуванні
корпоративними мережами, використовують системи моніторингу й управління
мережею. Цей клас рішень забезпечує інвентаризацію й розширену діагностику
комп'ютерних мереж; постійний контроль функціонування використовуваного
мережного устаткування, прикладних систем і мережних сервісів; збір статистики
й візуалізацію ключових показників продуктивності й операційних параметрів
мережної інфраструктури; оптимізацію навантаження на мережне устаткування й
сервери; фіксацію інцидентів; аналіз впливу ризиків на бізнес-процеси, і
критично важливі додатки; локалізацію причин інциденту і його автоматичне
усунення, або повідомлення відповідальних за його усунення осіб. Використання
подібних систем дозволяє організації здійснювати про активний моніторинг
доступності, стану й продуктивності компонентів корпоративної мережі передачі
даних, аналізувати й оптимізувати їхнє завантаження, а також прогнозувати
виникнення позаштатних ситуацій.
Метою
даною статті є формування системи вимог та основних правил, щодо процесів моніторингу й
управління доступом до інформаційної
мережі на базі державних та міжнародних стандартів ISO.
Аналіз
основних правил
Під моніторингом
доступу й використання системи будемо розуміти процес виявлення відхилень від реалізації політики управління доступом до
інформаційних ресурсів та мережних послуг з метою фіксації неавторизованих дій.
Необхідно проводити моніторинг системи, щоб виявляти відхилення від
політики управління доступом і записувати контрольовані події, щоб
забезпечувати доказ у випадку інцидентів, що стосуються безпеки інформаційної
мережі та її ресурсів. Моніторинг системи дозволяє перевіряти ефективність
прийнятих засобів управління й підтверджувати відповідність моделі системи
політиці доступу .
Варто створювати журнали аудита
для запису подій пов'язаних з безпекою інформаційних ресурсів та мережних
послу, і зберігати їх протягом погодженого періоду, з метою надання допомоги в
майбутніх розслідуваннях і моніторингу управління доступом.
Записи аудита
повинні включати (Рис.1): користувальницькі ID; дату й час входу й
виходу; ідентифікатор термінала або місце розташування, якщо можливо; запис
успішних і відхилених спроб доступу до системи; запис успішних і відхилених
даних й інших спроб доступу до ресурсів.
Рис.1 Записи аудита корпоративных мереж
Необхідно встановлювати стандартизовані процедури для моніторингу
використання засобів обробки інформації. Такі процедури необхідні для
забезпечення впевненості в тім, що користувачі виконують тільки ті дії, на які
вони були явно авторизовані. Рівень моніторингу, необхідного для окремих
засобів, варто визначати за допомогою оцінки ризику.
На основі
викладеного можна вважати, що моніторинг повинен включати наступні напрями в
яких проводиться аудит мережі (рис. 2):
– авторизований доступ, включаючи деталі,
такі як:
користувальницький ID;
дата й час головних подій;
типи подій;
файли, до яких був здійснений доступ;
використовувані програми/утиліти;
– всі привілейовані дії, такі як:
використання облікового запису
супервізора;
запуск й зупинка системи;
приєднання/від'єднання пристрою
введення/виводу;
– спроби неавторизованого доступу,
такі як:
невдалі спроби;
порушення політики доступу й
повідомлення мережних шлюзів і міжмережних екранів;
попередження від власних систем
виявлення вторгнення;
– попередження або відмови системи,
такі як:
консольні (термінальні)
попередження або повідомлення;
виключення, записані в системні
журнали реєстрації;
попереджувальні сигнали, пов'язані
з керуванням мережею.
Варто регулярно розглядати результат дій по моніторингу. Необхідно, щоб частота огляду залежала від передбачуваних ризиків. Фактори ризику, які необхідно розглядати, включають:
– критичність
процесів додатків;
– цінність,
чутливість або критичність зв'язаної інформації;
– минулий
досвід проникнення в систему й неправильне використання системи;
– ступінь
взаємозв'язку систем (особливо загальнодоступних мереж).
Рис.2 Система вимог та
правил сформованих на базі міжнародних
стандартів ISO
Перегляд журналу реєстрацій має на увазі розуміння загроз, з якими
зіштовхується система, і способу їхнього виникнення. Приклади подій, які могли
б зажадати подальшого дослідження у випадку інцидентів, що стосуються безпеки.
Системні журнали реєстрації часто містять великий обсяг інформації,
більша частина якої є далекою для моніторингу безпеки. Щоб допомогти
ідентифікувати значні події з метою моніторингу безпеки, необхідно розглядати
автоматичне копіювання відповідних типів повідомлень у другий журнал, і/або
використання підходящих системних утиліт або інструментів аудита, щоб
підготувати файл опитування.
Можна
відзначити, що моніторинг відомчих мереж є перспективним напрямком розвитку
інформаційної інфраструктури та
гарантованості надання послуг. Незважаючи на ряд
проблем, що виникають при його впровадженні, використання подібних рішень
забезпечить значний ріст ефективності використання апаратного й програмного
забезпечення й знизить число критичних збоїв у системах, що особливо важливо
для сучасних підприємств.
Сформовано
систему вимог та основних правил, щодо процесів моніторингу й управління
доступом до інформаційної мережі на
базі державних та міжнародних стандартів ISO.
Література
1. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб.
пособие. – М.: МИФИ, 1995. – 252 с.
2.
Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО «ТИД
«ДС», 2004. – 992 с.
3.
Зегжда Д.П., Ивашко
А.М. Основы безопасности информационных
систем. – М.: Горячая линия – Телеком, 2000. – 452 с.