Современные информационные технологии.

Информационная безопасность.

К.т.н. НАУ Чунарьова А.В., Чунарьов А.В.

Національний авіаційний університет (НАУ), Україна

СУЧАСНІ МЕТОДИ АУДИТУ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ ТА МЕРЕЖ

Вступ

Однією з найважливіших частин інформаційної інфраструктури сучасних підприємств і багатьох державних організацій є інформаційно-комунікаційні системи та мережі (ІКСМ), які давно перейшли до розряду критичних для забезпечення безперервного і надійного захисту інформаційних ресурсів та процесів. Вихід з ладу такої системи або спотворення підсистеми доступу до інформаційних ресурсів фактично означає зупинку діяльності всієї організації.

Забезпечення безпеки ІКСМ включає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування, а також спробам модифікації, розкрадання, виводу з ладу або руйнування її компонентів, тобто захист всіх компонентів інформаційно-комунікаційних систем та мереж - апаратних засобів, програмного забезпечення, даних та персоналу, тощо.

Поряд зі стандартними засобами захисту, без яких неможливе нормальне функціонування інформаційних мереж (таких як міжмережеві екрани, системи резервного копіювання й антивірусні засоби), існує необхідність використання систем моніторингу та управління доступу (систем виявлення атак або вторгнень), які є основним засобом боротьби з мережними атаками чи іншими несанкціонованим діями.

Сучасні системи та мережі мають високу складність побудови, оскільки вони територіально розподілені з точки зору ресурсів та розташування систем управління. Вони поєднують в собі можливість передачі даних з можливостями телефонії й відеоконференцзв’язку, наявності вбудованої системи підтримки інформаційної безпеки, а також резервних і дублюючих елементів, які відповідають за забезпечення надійності і доступності функціонування інформаційної мережі. Для всіх організацій в більшій мірі актуальна і перша (складність) і друга (критичність) властивості сучасних мереж та систем. Тобто разом з перевагами, які забезпечують сучасні інформаційні мережі з'являються й небезпечні ризики, стосовно взаємодії з відкритим і неконтрольованим зовнішнім інформаційним середовищем. Для зниження цих ризиків необхідно приділяти все більш уваги організації моніторингу функціонування, згідно державних і міжнародних стандартів.

Постановка задачі

Для вирішення більшої частини проблем, які виникають при функціонуванні інформаційних мереж, використовують системи моніторингу й управління. Цей клас рішень забезпечує інвентаризацію й розширену діагностику комп'ютерних мереж; постійний контроль функціонування використовуваного мережного устаткування, прикладних систем і мережних сервісів; збір статистики й візуалізацію ключових показників продуктивності й операційних параметрів мережної інфраструктури; оптимізацію навантаження на мережне устаткування й сервери; фіксацію інцидентів; аналіз впливу ризиків на бізнес-процеси, і критично важливі додатки; локалізацію причин інциденту і його автоматичне усунення, або повідомлення відповідальних за його усунення осіб. Використання подібних систем дозволяє організації здійснювати про активний моніторинг доступності, стану й продуктивності компонентів мережі передачі даних, аналізувати й оптимізувати їхнє завантаження, а також прогнозувати виникнення позаштатних ситуацій.

Метою даною статті є формування системи вимог та основних правил, щодо процесів моніторингу й управління доступом до інформаційної  мережі на базі державних та міжнародних стандартів серії ISO.

Основні правила моніторингу та управління доступом сучасних ІКСМ

Політика безпеки повинна містити в собі офіційні процедури по управлінню, моніторингу  та розподілу  прав доступу до інформаційних систем та її послуг. Загальна політика безпеки ІКСМ та організації в цілому, повинна включати й документувати вимоги бізнесу, щодо методів та заходів моніторингу доступом до системи та її ресурсів. Порядок управління та моніторингу доступу, права кожного користувача або групи користувачів повинні бути чітко фіксовані у формулюванні політики доступу та її безпеки.

Процедури політики безпеки повинні охоплювати всі стадії в життєвому циклі користувальницького доступу, від початкової реєстрації нових користувачів до кінцевого зняття з реєстрації користувачів, яким більше не потрібен, або заборонений доступ до інформаційних систем і послуг.

Під забезпеченням управління  доступом будемо розуміти порядок розробки і впровадження процедур захисту з  метою реалізації авторизованого   доступу до інформаційних ресурсів та інформації.

Порядок управляння доступу повинен створюватися з метою управління інформаційними ресурсами з урахуванням вимог  політики безпеки й авторизації інформації й користувачів.

Для проведення та організації ефективного захисту інформації в сучасних ІКСМ необхідно проводити моніторинг системи, для того щоб виявляти відхилення від політики управління доступом і записувати контрольовані події, Моніторинг доступу в системі забезпечить контроль інцидентів та виявлення порушників. Він дозволяє перевіряти ефективність прийнятих засобів управління й підтверджувати відповідність моделі системи політиці доступу .

Заходи забезпечення процедур управління доступом (рис.):

-         вимоги до безпеки інформації;

-         ідентифікація всієї інформації;

-         класифікація інформації що циркулює, обробляється та зберігаеться;

-         взаємоузгодженість між політиками управління доступом і класифікацією інформації різних систем і мереж;

-         відповідне законодавство й будь-які договірні зобов'язання щодо захисту доступу до даних або послуг системи;

-         стандартні профілі доступу користувача та політика розмежування доступу;

-         управління правами доступу в розподіленому й об'єднаному у мережу інформаційному середовищі, що визнає всі типи доступних зв'язків.  

Заходи управління доступу повинні бути погоджені з політикою моніторингу доступу до інформаційних ресурсів ІКСМ.

Під моніторингом доступу й використання системи будемо розуміти процес виявлення відхилень від реалізації політики управління доступом до інформаційних ресурсів та мережних послуг з метою фіксації неавторизованих дій.

Також варто створювати журнали аудита для запису подій пов'язаних з безпекою інформаційних ресурсів та мережних послуг, і зберігати їх протягом погодженого періоду, з метою надання допомоги в майбутніх розслідуваннях і моніторингу управління доступом.

Записи аудита ІКСМ повинні включати основні пункти контролю доступу до ресурсів та послуг  (рис.1): користувальницькі ID; дату й час входу й виходу; ідентифікатор термінала або місце розташування, якщо можливо; запис успішних і відхилених спроб доступу до системи; запис успішних і відхилених даних й інших спроб доступу до ресурсів.

Рис.1 Записи аудита ІКСМ

Таким чином введення систем та процедур моніторингу необхідні забезпечать впевненість в тім, що користувачі ІКСМ виконують тільки ті дії, на які вони були явно авторизовані та поять права відповідно до політики розмежування доступу. Рівень моніторингу, необхідного для окремих засобів, ресурсів та послуг, варто визначати за допомогою оцінки ризику.

На основі викладеного можна вважати, що моніторинг повинен включати наступні напрями, в яких проводиться аудит мережі (рис. 2):

–       авторизований доступ, включаючи деталі, такі як:

користувальницький ID;

дата й час головних подій;

типи подій;

файли, до яких був здійснений доступ;

використовувані програми/утиліти;

– всі привілейовані дії, такі як:

використання облікового запису супервізора;

запуск й зупинка системи;

приєднання/від'єднання пристрою введення/виводу;

– спроби неавторизованого доступу, такі як:

невдалі спроби;

порушення політики доступу й повідомлення мережних шлюзів і міжмережних екранів;

попередження від власних систем виявлення вторгнення;

– попередження або відмови системи, такі як:

консольні (термінальні) попередження або повідомлення;

виключення, записані в системні журнали реєстрації;

попереджувальні сигнали, пов'язані з керуванням мережею.

Варто регулярно розглядати результат дій по моніторингу. Необхідно, щоб частота огляду залежала від передбачуваних ризиків. Фактори ризику, які необхідно розглядати, включають:

– критичність процесів додатків;

– цінність, чутливість або критичність зв'язаної інформації;

– минулий досвід проникнення в систему й неправильне використання системи;

– ступінь взаємозв'язку систем (особливо загальнодоступних мереж).

Рис.2 Система вимог та правил сформованих на базі міжнародних

стандартів ISO

Висновок

Можна відзначити, що моніторинг та управління доступу корпоративних  мереж є перспективним напрямком розвитку інформаційної інфраструктури та гарантованості надання послуг. Незважаючи на ряд проблем, що виникають при його впровадженні, використання подібних рішень забезпечить значний ріст ефективності використання апаратного й програмного забезпечення й знизить число критичних збоїв та несанкціонованих дій, що особливо важливо для сучасних ІКСМ.

Сформовано систему вимог та основних правил, щодо процесів моніторингу й управління доступом до інформаційної мережі на базі державних та міжнародних стандартів серії ISO.

Література

1.     Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб. пособие. – М.: МИФИ, 1995. – 252 с.

2.     Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО «ТИД «ДС», 2004. – 992 с.

3.     Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. – 452 с.

4.     Юдін О.К., Корченко О.Г., Конахович Г.Ф. Захист інформації в мережах передачі даних: Підручник. – К.: Вид-во ТОВ «НВП» ІНТЕРСЕРВІС», 2009. – 716 с.