Информационная безопасность » Создание службы безопасности

Контроль процесса подбора кадров

admin — Thu, 28 Aug 2008 13:18:14 +0000

Если вас не очень интересуют все внутренние тонкости “кухни” обеспечения информационной безопасности, однако, вы хотите быть уверенными, что она тем не менее находится на должном уровне (например, вы — внешний аудитор для данной организации), можно порекомендовать следующую последовательность действий.
Во-первых, вам следует ознакомиться с письменными документами по информационной безопасности, которые присутствуют в организации. Какие конкретно документы должны входить в этот список, перечислено в главе 27, однако, общий совет может быть таким.
□ Ознакомьтесь со всеми имеющимися документами с точки зрения обычного пользователя, умеющего обращаться с графическим интерфейсом своего десктопа и знающего одно-два приложения типа текстового редактора или интернет-браузера. Оцените, какие плюсы вам принесло, как пользователю, ознакомление с этими документами.
□ Если позволяет квалификация, ознакомьтесь с документами с точки зрения продвинутого системного администратора и оцените, как вы можете использовать пробелы и ошибки в этих документах для своих целей.
Во-вторых, ознакомьтесь с уровнем знаний специалистов информационной безопасности (или хотя бы руководителя службы), изучив соответствующие сертификаты (с учетом их срока действия), а также историю прохождения обучения и перспективный план.
Далее, вам необходимо узнать, какие операционные системы используются в организации и какие основные приложения применяются для критически значимых производственных направлений. После этого вам необходимо получить (по возможности независимо от специалистов самой организации) проверочные анкеты по безопасности (англ. security checklist) для каждой операционной системы и приложения (большинство наиболее свежих вариантов этих анкет всегда доступно в Интернете). С помощью специалистов организации или, если имеется возможность, без них убедитесь, что соответствующие пункты анкет для системы исполнены. Если же нет — узнайте, почему так произошло.
Самые каверзные контролеры могут зайти в Интернет на сайты с последними известными уязвимостями в системах, прочитать их описания и узнать об имеющихся заплатках (англ. fix или patch) на эти уязвимости. При проверке систем необходимо проверить, были ли установлены на нее заплатки в соответствии с новыми обнаруженными уязвимостями. Наиболее известные из них — http://www.cert.org/ , http://www.securityfocus.com/ .
Есть и другой путь — предпринять (возможно, с помощью стороннего специалиста) тестовое вторжение в информационное пространство организации. Но это сложный способ не только технически (то есть то, что вы не смогли проникнуть внутрь, еще не означает, что уровень защиты хорош — быть может, просто квалификация взломщика невысока), но и с точки зрения законности (если это действительно тестовое, а не реальное вторжение, то необходимо заручиться согласием самой организации, причем в письменной форме с указанием способов разрешения всех возможных конфликтов в этой связи).

Подбор кадров: теория или практика?

admin — Thu, 28 Aug 2008 13:17:37 +0000

При всех положительных свойствах сертификатов хотелось бы предостеречь от слепого доверия к их наличию. К сожалению, авторам известны случаи, когда экзамены на право обладания самыми знаменитыми сертификатами за деньги сдавали специалисты более высокого уровня, чем потенциальные владельцы. Кроме того, и честные владельцы именитых сертификатов не всегда могли показать серьезного уровня знаний в решении практических, повседневных проблем, например, системной поддержки локальной компьютерной сети.
Таким образом, можно утверждать, что наличие у специалиста сертификата означает, что он, как минимум, один раз разобрался в теоретических аспектах темы настолько, что смог сдать указанный экзамен. Это дает возможность предположить, что при наличии необходимой литературы, времени и технической базы он сможет подойти к решению практического вопроса лучше, чем другой неподготовленный специалист. Однако подобные теоретические знания отличаются от практической деятельности, которая, например, включает способность понять сущность проблемы при общении с неквалифицированным пользователем, который с трудом может объяснить симптомы ситуации.
Иначе говоря, достаточным критерием оценки может служить только наличие двух факторов:
1. Сертификата, как подтверждения теоретических знаний в данной области.
2. Документа о практической работе в должности, соответствующей интересующей области.
В целом, в этой главе очерчена обширная область знаний, необходимая команде по информационной безопасности для успешного выполнения своих обязанностей. В последующих частях книги будет предпринята попытка раскрыть некоторые наиболее важные вопросы. Кроме того, дополнительные сведения об обучении в области информационной безопасности можно получить из документа “Information Technology Security Training Requirements: A Role- and Performance-Based Model”, NIST Special Publication 800-16.

Уровень подготовки специалистов

admin — Thu, 28 Aug 2008 13:17:16 +0000

Итак, вы — не новичок в области информационной безопасности. Вы уже решили, что такая служба нужна и, возможно, уже наметили первые шаги по планированию работы. Как же определить, достаточно ли вы и ваши сотрудники подготовлены для выполнения возложенной на вас миссии?
Можно рекомендовать обратится за опытом к профессионалам — службам обеспечения квалифицированным персоналом. Достаточно посетить несколько крупных агентств по трудоустройству (например, их интернет-сайты) с ключевым запросом “information security”, и в списках требований к кандидатам часто можно увидеть сочетание “CISSP preferred”. Что оно означает?
Существует специальная организация International Information Systems Security Certification Consortium, Inc. (Международный консорциум по сертификации в области информационной безопасности), которая занимается тестированием и сертификацией специалистов по информационной безопасности, a CISSP — это ни что иное, как Certified Information Systems Security Professional (Сертифицированный специалист в области информационной безопасности). Другая категория, по которой проводится сертификация, — это SSCP — Systems Security Certified Practitioner (Сертифицированный практикующий специалист по безопасности систем). Если вы, читатель, уже имеете подобный сертификат, то примите наше уважение и можете лишь бегло проглядеть эту книгу — большинство из написанного здесь вам уже известно.
Если же вы еще ни разу не пытались произвести независимую оценку своих способностей, то вас должен заинтересовать список требований компании к сертифицируемым кандидатам. По дополнительному запросу (по адресу http://www.isc2.org/), вам по электронной почте бесплатно вышлют список тематических вопросов для подготовки.
Не нарушая авторские права компании на разработку данного материала, рассмотрим кратко список тем, по которым производится тестирование:
□ системы контроля доступа, методология;
□ телекоммуникации и сетевая безопасность;
□ практическое управление безопасностью;
□ безопасность разработки приложений и систем;
□ криптография;
□ архитектура и модели безопасности;
□ безопасность операций;
□ планирование продолжения производственной деятельности и восстановления после аварий;
□ законность в проведении расследований и этика;
□ физическая безопасность.
Если большинство этих тем вам знакомы и вы считаете, что достаточно подготовлены в них, тогда давайте углубимся немного в конкретные вопросы представленных разделов:
□ в чем отличие контроля доступа, основанного на правилах (rule-based) и основанного на ролях (role-based);
□ что представляют собой модели контроля доступа Bell-LaPadula, Biba и Clark-Wilson;
□ в чем преимущества и недостатки протоколов контроля доступа RADIUS и TACACS;                                                                                                                                 □ что такое “атака методом грубой силы” (brute force) или “злоумышленник-посредник” (man-in-the-middle);
□ какие способы аутентификации и конфиденциальности поддерживает технология IPSec;
□ чем отличаются методы аутентификации РАР и CHAP;
□ как вычисляются среднегодовые ожидаемые убытки   (Annual Loss Expectancy);
□ чем обеспечивается неотрекаемость (non-repudiation);
□ что такое “восстановление ключей” (key recovery) и “слабые ключи”;
□ что такое “демилитаризованная зона” (DMZ) и как она используется;
□ какая из систем биометрического контроля доступа обеспечивает наибольшую точность?
На большинство таких вопросов мы постараемся ответить в этой книге, для оставшихся — укажем источники информации и направления поиска.
Ряд других компаний, занимающихся информационной безопасностью (например, компания-производитель известных межсетевых экранов — Checkpoint Inc.), также предлагают сертификацию специалистов как по своим конкретным продуктам, так и по общим направлениям безопасности. Не так давно компания ICSA (http://www.trusecure.com/) анонсировала программу сертификации специалистов по безопасности, в которую входят следующие категории: ICSA (The ICSA Certified Security Associate — Сертифицированный специалист по безопасности ICSA), ICSE (The ICSA Certified Security Expert — Сертифицированный эксперт по безопасности ICSA) и ICSP (The ICSA Certified Security Professional — Сертифицированный профессионал по безопасности ICSA).
Получение сертификации CISSP или других известных компаний, без сомнения, показывает высокий уровень подготовки специалиста, однако он приемлем не для всех из-за стоимости самого экзамена и расходов на поездку до учебного центра.
К счастью, существуют альтернативные методы подтверждения квалификации специалиста по информационной безопасности (как, впрочем, и по другим информационным технологиям и ряду других направлений). Это широко известная компания по он-лайн тестированию, обслуживающая более трех миллионов пользователей по всему миру — Brainbench Inc. (бывшая Tekmetrics).
Проверить специалиста по безопасности можно по следующим экзаменам, предлагаемым компанией на 1 сентября 2002 года:
□ Internet security (проверяются знания как основ, так и конкретных методов обеспечения безопасности в TCP/IP сетях);                                                                           □ Network security (экзамен интересен тем, что требует специальных знаний в конкретных областях, таких как Unix, Windows-системы, Solaris, Novell, Cisco IOS и т. п.);
□ Disaster recovery and planning (проверяет способности к организации аварийного плана действий);
□ TCP/IP administration (проверяет глубину знаний в архитектуре протоколов TCP/IP);
□ NT/Win2000/Unix/Linux administration (проверяет уровень знаний в конкретной операционной системе);
□ Network/Internet/Telecommunication concepts (проверяет знания в соответствующей области).
Есть ряд экзаменов по конкретным направлениям безопасности, таким как:
□ Check Point Firewall-1 administration (экзамен по широко известному межсетевому экрану);
□ MS Proxy 2.0 administration (экзамен по межсетевому экрану производства компании Microsoft);
□ VPN with Windows (экзамен по использованию РРТР и L2TP в виртуальных частных сетях);
□ Security Industry (здесь можно проверить свои знания по обеспечению физической безопасности).
Кроме того, на наш взгляд, руководителю службы безопасности будет полезно сдать следующие экзамены:
□ Project management (проверяются способности возглавить команду по выполнению проекта);
□ Technical writing (проверяются способности к написанию документации и отчетов);
□ E-commerce concept (организация бизнес-деятельности с использованием информационных технологий);
□ Object-oriented development (полезен для проверки специалиста как потенциального участника команды по постановке задачи на создание или тестирование имеющегося приложения);
□ RDBMS development (экзамен используется для проверки знаний по основам работы с СУБД).
В стоимость сдачи экзамена включается выпуск и почтовая доставка сертификата. Экзамен сдается по двум уровням, в зависимости от результата — обычный (испытуемый получает более 2,75 балла) и мастер-уровень (при прохождении экзамена с результатом более 4 баллов из 5 возможных).
Данный метод сертификации выгодно отличает возможность прохождения обучения и экзамена без выезда в учебный центр, используя только выход в Интернет и удаленное средство оплаты (пластиковую карту).

Состав службы информационной безопасности

admin — Thu, 28 Aug 2008 13:15:11 +0000

Как создать такую службу “с нуля” и кто должен входить в ее состав?
Конечно, ответы на эти вопросы также зависят от самой организации, ее целей, от условий, в которых она существует, и многих других факторов. В качестве модели будет рассматриваться достаточно крупное предприятие, в котором описываемые задачи и функции могут быть распределены между различными сотрудниками службы информационной безопасности. Для более скромных компаний различные роли могут быть совмещены меньшим количеством сотрудников или даже одним.
Итак, состав службы. Нужен собственно руководитель службы —- тот, кто будет определять ее общую стратегию и тактику, отчитываться руководству, принимать оперативные решения и нести за них ответственность. Это должен быть достаточно подготовленный специалист, так как ему необходимо следующее.
1. Разбираться в общих чертах в технических особенностях используемого информационного обеспечения (включая аппаратное и программное обеспечение, принятые де-юре и де-факто методы работы в информационном пространстве организации и т. п.). Иначе он просто не будет понимать, чем занимаются его подчиненные, а те в свою очередь смогут манипулировать своим руководителем.
2. Осуществлять надзорные функции как формализованные, так и нет, в том числе управление проектами, так как внедрение многих механизмов безопасности (например, таких как приобретение и внедрение технических решений) потребует проектной работы.
3. Разбираться в психологии работников, уметь разрешать конфликты (так как служба безопасности часто сама служит основой для репрессивного или ограничительного воздействия). Возможно, придется использовать слабые или сильные стороны различных сотрудников организации.
4. Знать основы существующего законодательства, так как, возможно, придется производить расследования, в которых будут фигурировать такие понятия, как “право частной собственности на информацию”, “улики и доказательства”, “свидетельства” и т. п.
5. Налаживать связи как с коллегами в других организациях, так и с вышестоящими организациями для защиты интересов своей компании в соответствующей сфере.
6. Пользоваться доверием руководства, так как при определенном желании можно создать такую ситуацию, когда на службу безопасности будет замкнуто очень многое, что даст возможность ее руководителю использовать свой пост в личных интересах.
Подчиненные описанного выше “идеального” руководителя будут специалистами, подбор которых также возможно осуществлять по различным критериям. В первую очередь, следует учесть характер функций, которые им предстоит выполнять.
□ Операционный. Сюда входит выполнение ежедневных процедур по мониторингу сети и отдельных сервисов (приложений), инструктаж и регистрация пользователей, контроль выполнения процедур (например, резервного копирования) и т. п. Можно добавить к перечисленному также проведение расследований.
□ Исследовательский. Сюда входит изучение текущей обстановки в информационном пространстве как ближайшем, так и общемировом, анализ новых возможностей и уязвимостей. Возможно, здесь будет производиться выбор, разработка и внедрение новых технологий.
□ Методический. Данный набор функций является связующим между первыми двумя. Завершенный проект по внедрению технологии необходимо поставить на рельсы ежедневного рутинного функционирования, т. е. обеспечить соответствующими процедурами и порядками, нормативной и технической документацией и т. п. Эта же группа может производить анализ рисков.
Теперь, когда руководитель и специалисты подобраны, можно ли начинать работать? Не можно, а нужно, только это еще будет не работа, а подготовка к ней.
Ведь вам предстоит определить:
□ стратегию и тактику вашей защиты;
□ что, от чего и как вы будете защищать;
□ необходимые средства для этого (в том числе и финансовые);
□ обеспечить необходимое нормативно-правовое пространство.

Критерии необходимости создания службы

admin — Thu, 28 Aug 2008 13:14:12 +0000

Нужна или не нужна служба информационной безопасности? Как определить время, когда необходимо ответить на этот вопрос положительно (если такая служба еще не создана)? Это зависит от множества причин и условий, но первая стадия может определяться исходя из комбинации следующих пунктов:
□ в вашей организации уже больше 10 компьютеров, распределенных по различным помещениям;
□ в вашей организации создана локальная сеть;
□ один из компьютеров вашей организации соединен с модемом;
□ вы храните/обрабатываете на компьютере информацию, разглашение или утеря которой может принести вашей организации существенный ущерб.
Почему любой из перечисленных пунктов требует внимания?
1. Если у вас достаточно много компьютеров и к ним имеет доступ значительное число обслуживающего персонала, то необходимо задуматься о сохранности вашего оборудования. Пусть у вас еще нет даже локальной компьютерной сети и в компьютерах нет никакой существенной информации — сами по себе они представляют значительную ценность. Порой, рассуждая о вопросах информационной безопасности, специалисты упускают из виду такой ее аспект, как контроль физического доступа к информационным ресурсам. Между тем, по существующим оценкам, соотношение масса/цена у ряда компьютерных составляющих (например, у плат оперативной памяти) сравнимы с соотношением масса/цена золота. А это означает, что они сами по себе представляют мишень для злоумышленников.
Продолжая пример с платами оперативной памяти, можно привести типовой сценарий преступления — из 128 или 256 Мбайт оперативной памяти похищается половина (или четверть). А теперь задумайтесь, все ли ваши сотрудники внимательно следят за процессом загрузки при включении компьютера и способны определить, что оперативная память сократилась? Каждый ли из них немедленно сообщит, если компьютер стал медленнее работать? А может, у вас есть компьютеры, которые никто не включает по несколько дней? Через какой срок тогда обнаружится пропажа?
2. Если у вас появилась локальная сеть, это означает, что вы начали использовать компьютеры в производственном процессе, даже если ваши сотрудники всего лишь обмениваются файлами через совместно используемые каталоги. Предположим, что даже при этом никакой существенной информации в вашей сети не присутствует. Однако, как вы будете себя чувствовать, если обнаружите, что утром очередного рабочего дня ни один из ваших компьютеров не сможет загрузиться из-за ошибки сбоя в операционной системе, так как накануне вечером один из ваших сотрудников запустил на своем компьютере игру с пиратского диска? Где в таком случае взять пусть не очень важный, но очень обширный отчет, который вы в течение последней недели готовили в Microsoft Word?
3. У вас появился модем — его сразу же попробуют подключить к одному из компьютеров. Ну и что, скажете вы, телефонная сеть — это еще не Интернет с его злобными хакерами. Но, может быть, недавно один из ваших сотрудников купил своему сыну (который знает папины рабочие телефоны) домашний компьютер с модемом, а у того есть диск с программами, которые скачал с сервера http://hackzone.ru/, и много свободного времени. Не обнаружите ли вы в один из дней ситуацию, аналогичную описанной в предыдущем пункте?
4. Вы храните в своем компьютере (даже не включенном в общую локальную сеть) конфиденциальную информацию и считаете, что она защищена, потому что у вас стоит пароль на включение компьютера, а сам компьютер находится в вашем персональном кабинете. А пароль — это, случайно, не номер вашего домашнего телефона? И всегда ли вы присутствуете в кабинете, когда производится уборка помещений?
Если вы задумались над этими вопросами, значит, вы готовы к созданию соответствующей службы или найму сотрудника, которому надо их переадресовать. А, может, этот специалист и есть вы? Тогда эта книга для вас.