После того, как в организации определено, что и где подлежит защите, необходимо подготовить список угроз, которым подвержена система. Говорят, что в этом случае нужно составить модель угроз.

Информация может быть утеряна, повреждена (временно недоступна) или же стать доступной третьим лицам. Все эти события нежелательны для системы. Причины, способные привести к указанным событиям, можно разделить на следующие группы:

умышленные действия пользователей, имеющих доступ к информации и/или настройкам системы;

не умышленные, ошибочные действия пользователей, имеющих доступ к информации и системе;

умышленные действия лиц, не имеющих доступа к информации;

отказ оборудования, порывы кабелей и т. д.

Для удобства подготовки мер противодействия удобно рассматривать эти угрозы по следующим уровням информационной системы:

уровню сети (уязвимости протоколов TCP/IP, канального уровня);

уровню операционных систем (особенности реализации и уязвимости различных ОС);

уровню управления базами данных (выделен особо, поскольку практически все информационные системы используют те или иные базы данных);

уровню прикладных приложений.

Таким образом, последовательность подготовки мер по защите информации будет выглядеть примерно так. Рассматриваем транспортный уровень сети. Что могут сделать допущенные к управлению сетью пользователи? Наверное, получить несанкционированный доступ к информации, модифицировать ее в своих интересах или нарушить связь. После этого пытаемся в общих чертах сформулировать возможности по каждому выявленному риску. Например, для получения доступа можно изменить настройки оборудования и направить копию данных на интерфейс своего компьютера. Можно подключиться к порту оборудования в другой частной сети, если для этого порта не настроен контроль доступа. И так далее.

После того как мы сформулируем риски, можно уже приступать к выработке мер противодействия.

Понятно, что для выявления возможных рисков и подготовки мероприятий необходимо наличие соответствующего опыта у системного администратора. Хотя для начала работ вполне достаточно тех материалов, которые есть в свободном доступе.

Наиболее трудоемки в определении риски, связанные с конкретной реализацией информационной системы и используемым в ней программным обеспечением. Чтобы правильно предусмотреть возможные опасности при использовании на одном компьютере программного продукта "А", на другом - "В" и при наличии, например, конкретного типа хранения данных на сервере, нужно обладать высокой квалификацией практически по всем используемым продуктам.

Хорошо, если такие специалисты в организации есть, и они могут выработать какие-либо предупреждающие мероприятия. В подавляющем же большинстве случа ев используется информация только о типовых уязвимостях, которые известны техническому персоналу.

Примечание В силу особой важности этого положения, хочу еще раз акцентировать внимание на том, что ни одна программа, сканирующая сеть на наличие уязвимостей, ни одна аудиторская организация, приглашенная для анализа безопасности, не смогут предложить вам исчерпывающий перечень мероприятий. В большинстве случаев вы получите анализ типовых уязвимостей в типовой структуре. Так, сканеры безопасности проверяют, прежде всего, реализацию всех мер, предлагаемых изготовителем в инструкции по повышению безопасности (см. разд. "Индивидуальная настройка серверов" далее в этой главе), и установку обновлений (см. разд. "Исключение уязвимостей программного обеспечения" далее в этой главе). При сертификации системы особое внимание уделяется наличию комплекта организационно-распорядительной документации (приказов, инструкций, матриц доступа и т. п.). "Закрытие" всех этих уязвимостей не даст шанса "покоиться на лаврах".

То защищаем | Самоучитель системного администратора | Как защищаем


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31