Управління персоналом

Професор В.Горицький

Лекція 8. Процедурний рівень інформаційної безпеки

1. Основні класи заходів процедурного рівня ……………………….. 1

2. Управління персоналом ……………………………………………. 2

3. Фізичний захист ………………………………………………………. 4

4. Підтримка працездатності ………………………………………….. 6

5. Реагування на порушення режиму безпеки ……………………….. 8

6. Планування відновлювальних робіт ……………………………….. 10

Описуються основні класи заходів процедурного рівня. Формулюються принципи, що дозволяють забезпечити надійний захист.

Основні класи заходів процедурного рівня

Ми приступаємо до розгляду мір безпеки, які орієнтовані на людей, а не на технічні засоби. Саме люди формують режим інформаційної безпеки, і вони ж виявляються головною загрозою, тому "людський фактор" заслуговує особливої уваги.

У російських компаніях накопичено багатий досвід регламентування та реалізації процедурних (організаційних) заходів, однак справа в тому, що вони прийшли з "докомп'ютерної" минулого, тому вимагають переоцінки.

Слід усвідомити ту ступінь залежності від комп'ютерної обробки даних, в яку потрапило сучасне суспільство. Без жодного перебільшення можна сказати, що необхідна інформаційна цивільна оборона. Спокійно, без нагнітання пристрастей, потрібно роз'яснювати суспільству не тільки переваги, а й небезпеки, пов'язані з використанням інформаційних технологій. Акцент слід робити не на військовій чи кримінальної боку справи, а на цивільних аспектах, пов'язаних з підтриманням нормального функціонування апаратного та програмного забезпечення, тобто концентруватися на питаннях доступності та цілісності даних.

На процедурному рівні можна виділити такі класи заходів:

· управління персоналом;

· фізичний захист;

· підтримку працездатності;

· реагування на порушення режиму безпеки;

· планування відновлювальних робіт.

Управління персоналом

Управління персоналом починається з прийому нового співробітника на роботу і навіть раніше - з складання опису посади. Вже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення комп'ютерних привілеїв, асоційованих з посадою. Існує два загальних принципу, які слід мати на увазі:

· поділ обов'язків;

· мінімізація привілеїв.

Принцип поділу обов'язків наказує як розподіляти ролі та відповідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, небажана ситуація, коли великі платежі від імені організації виконує одна людина. Надійніше доручити одному співробітнику оформлення заявок на подібні платежі, а іншому - завіряти ці заявки. Інший приклад - процедурні обмеження дій суперкористувача. Можна штучно "розщепити" пароль суперкористувача, повідомивши першу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії з адміністрування ІС вони зможуть виконати тільки вдвох, що знижує ймовірність помилок і зловживань.

Принцип мінімізації привілеїв наказує виділяти користувачам тільки ті права доступу, які необхідні їм для виконання службових обов'язків. Призначення цього принципу очевидно - зменшити збитки від випадкових або навмисних некоректних дій.

Попереднє складання опису посади дозволяє оцінити її критичність і спланувати процедуру перевірки та відбору кандидатів. Чим відповідальніше посаду, тим ретельніше потрібно перевіряти кандидатів: навести про них довідки, можливо, поговорити з колишніми товаришами по службі і т.д. Подібна процедура може бути тривалою та дорогою, тому немає сенсу додатково ускладнювати її. У той же час, нерозумно і зовсім відмовлятися від попередньої перевірки, щоб випадково не прийняти на роботу людину з кримінальним минулим або психічним захворюванням.

Коли кандидат визначений, він, ймовірно, повинен пройти навчання; принаймні, його слід докладно ознайомити зі службовими обов'язками, а також з нормами і процедурами інформаційної безпеки. Бажано, щоб заходи безпеки були ним засвоєні до вступу на посаду і до закладу його системного рахунки з вхідним ім'ям, паролем і привілеями.

З моменту закладу системного рахунку починається його адміністрування, а також протоколювання і аналіз дій користувача. Поступово змінюється оточення, в якому працює користувач, його службові обов'язки, і т.п. Все це вимагає відповідної зміни привілеїв. Технічну складність представляють тимчасові переміщення користувача, виконання ним обов'язків замість співробітника, який пішов у відпустку, і інші обставини, коли повноваження потрібно спочатку надати, а через деякий час взяти назад. У такі періоди профіль активності користувача різко змінюється, що створює труднощі при виявленні підозрілих ситуацій. Певну акуратність слід дотримуватися і при видачі нових постійних повноважень, не забуваючи ліквідувати старі права доступу.

Ліквідація системного рахунку користувача, особливо у випадку конфлікту між співробітником і організацією, повинна проводитися максимально оперативно (в ідеалі - одночасно з повідомленням про покарання або звільнення). Можливо і фізичне обмеження доступу до робочого місця. Зрозуміло, якщо працівник звільняється, у нього потрібно прийняти всі його комп'ютерне господарство і, зокрема, криптографічні ключі, якщо використовувалися засоби шифрування.

До управління співробітниками примикає адміністрування осіб, що працюють за контрактом (наприклад, фахівців фірми-постачальника, що допомагають запустити нову систему).Відповідно до принципу мінімізації привілеїв, їм потрібно виділити рівно стільки прав, скільки необхідно, і вилучити ці права відразу після закінчення контракту. Проблема, однак, полягає в тому, що на початковому етапі впровадження "зовнішні" співробітники будуть адмініструвати "місцевих", а не навпаки. Тут на перший план виходить кваліфікація персоналу організації, його здатність швидко навчатися, а також оперативне проведення навчальних курсів. Важливі й принципи вибору ділових партнерів.

Іноді зовнішні організації беруть на обслуговування і адміністрування відповідальні компоненти комп'ютерної системи, наприклад, мережеве обладнання. Нерідко адміністрування виконується у віддаленому режимі. Взагалі кажучи, це створює в системі додаткові вразливі місця, які необхідно компенсувати посиленим контролем засобів віддаленого доступу або, знову-таки, навчанням власних співробітників.

Ми бачимо, що проблема навчання - одна з основних з точки зору інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї організації, він не може прагнути до досягнення сформульованих у ній цілей. Не знаючи заходів безпеки, він не зможе їх дотримуватися. Навпаки, якщо працівник знає, що його дії записуються, він, можливо, утримається від порушень.

Фізичний захист

Безпека інформаційної системи залежить від оточення, в якому вона функціонує. Необхідно вжити заходів для захисту будівель і прилеглої території, підтримуючої інфраструктури, обчислювальної техніки, носіїв даних.

Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як "безперервність захисту в просторі і часі". Раніше ми розглядали поняття вікна небезпеки. Для фізичного захисту таких вікон бути не повинно.

Ми коротко розглянемо наступні напрями фізичного захисту:

 • фізичне управління доступом;

 • протипожежні заходи;

 • захист підтримуючої інфраструктури;

 • захист від перехоплення даних;

 • захист мобільних систем.

Заходи фізичного управління доступом дозволяють контролювати і при необхідності обмежувати вхід і вихід працівників та відвідувачів. Контролюватися може вся будівля організації, а також окремі приміщення, наприклад, ті, де розташовані сервери, комунікаційна апаратура і т.п.

При проектуванні і реалізації заходів фізичного управління доступом доцільно застосовувати об'єктний підхід. По-перше, визначається периметр безпеки, обмежує контрольовану територію. На цьому рівні деталізації важливо продумати зовнішній інтерфейс організації - порядок входу / виходу штатних співробітників і відвідувачів, що вносяться / винесення техніки. Усе, що не входить у зовнішній інтерфейс, має бути инкапсулирован, тобто захищене від нелегальних проникнень.

По-друге, проводиться декомпозиція контрольованої території, виділяються (під) об'єкти та зв'язку (проходи) між ними. Під час такої, більш глибокої деталізації слід виділити серед підоб'єктів найбільш критичні з точки зору безпеки та забезпечити їм підвищену увагу. Декомпозиція повинна бути семантично виправданою, забезпечує розмежування різнорідних сутностей, таких як устаткування різних власників або персонал, що працює з даними різного ступеня критичності. Важливо зробити так, щоб відвідувачі, по можливості, не мали безпосереднього доступу до комп'ютерів або, в крайньому випадку, подбати про те, щоб від вікон і дверей не проглядалися екрани моніторів і принтери. Необхідно, щоб відвідувачів за зовнішнім виглядом можна було відрізнити від співробітників. Якщо відмінність полягає в тому, що відвідувачам видаються ідентифікаційні картки, а співробітники ходять "без розпізнавальних знаків", зловмисникові достатньо зняти картку, щоб його вважали "своїм". Очевидно, відповідні картки потрібно видавати всім.

Засоби фізичного управління доступом відомі давно. Це охорона, двері із замками, перегородки, телекамери, датчики руху і багато іншого. Для вибору оптимального (за критерієм вартість / ефективність) кошти доцільно провести аналіз ризиків (до цього ми ще повернемося).Крім того, є сенс періодично відстежувати появу технічних новинок у цій області, намагаючись максимально автоматизувати фізичний захист.

Більш детально дана тема розглянута в статті В. Барсукова "Фізичний захист інформаційних систем" (Jet Info, 1997, 1).

Професія пожежного - одна з найдавніших, але пожежі як і раніше трапляються і завдають великої шкоди. Ми не збираємося цитувати параграфи протипожежних інструкцій або винаходити нові методи боротьби з вогнем - на це є професіонали. Відзначимо лише необхідність установки протипожежної сигналізації та автоматичних засобів пожежогасіння. Звернемо також увагу на те, що захисні заходи можуть створювати нові слабкі місця. Якщо на роботу узятий новий охоронець, це, ймовірно, покращує фізичне управління доступом. Якщо ж він ночами палить і п'є, то з огляду на підвищеної пожежонебезпеки подібна міра захисту може тільки нашкодити.

До підтримуючої інфраструктури можна віднести системи електро-, водо-і теплопостачання, кондиціонери і засоби комунікацій. У принципі, до них застосовуються ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для забезпечення цілісності потрібно захищати обладнання від крадіжок та пошкоджень. Для підтримки доступності слід вибирати обладнання з максимальним часом напрацювання на відмову, дублювати відповідальні вузли і завжди мати під рукою запчастини.

Окрему проблему становлять аварії водопроводу. Вони відбуваються нечасто, але можуть завдати величезної шкоди. При розміщенні комп'ютерів необхідно взяти до уваги розташування водопровідних і каналізаційних труб і постаратися триматися від них подалі. Співробітники повинні знати, куди слід звертатися при виявленні протікань.

Перехоплення даних (про що ми вже писали) може здійснюватися самими різними способами. Зловмисник може підглядати за екраном монітора, читати пакети, що передаються по мережі, робити аналіз побічних електромагнітних випромінювань і наведень (ПЕМВН) і т.д. Залишається сподіватися на повсюдне використання криптографії (що, втім, поєднується у нас в країні з безліччю технічних і законодавчих проблем), намагатися максимально розширити контрольовану територію, розмістившись в тихому особняку, віддалік від інших будинків,намагатися тримати під контролем лінії зв'язку (наприклад, укладати їх у надувний оболонку з виявленням проколювання), але саме розумне, ймовірно, - постаратися усвідомити,що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.

Бажаючим докладніше ознайомитися з питанням ми рекомендуємо прочитати статтю В. Барсукова "Блокування технологічних каналів витоку інформації" (Jet Info, 1998, 5-6).

Мобільні та портативні комп'ютери - привабливий об'єкт крадіжки. Їх часто залишають без нагляду, в автомобілі або на роботі, і викрасти такий комп'ютер зовсім нескладно. Раз у раз засоби масової інформації повідомляють про те, що будь-який офіцер англійської розвідки чи американський військовий позбувся таким чином рухомого майна. Ми настійно рекомендуємо шифрувати дані на жорстких дисках таких комп'ютерів.

Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, приймаючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, що займається організацією (втім, майже напевно воно виявиться поганим), характер і тривалість збоїв електроживлення,вартість доступних джерел і можливі втрати від аварій (поломка техніки,припинення роботи організації і т.п.) (див. також статтю В. Барсукова "Захист комп'ютерних систем від силових деструктивних впливів" в Jet Info, 2000, 2). У той же час, в багатьох випадках рішення очевидні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох заходів (наприклад, установка звичайного замку на двері серверної кімнати) або мала, або хоч і помітна, але все ж явно менше, ніж можливі збитки. Зокрема, має сенс регулярно копіювати великі бази даних.