![]() |
|
сделать стартовой | добавить в избранное |
![]() |
Компьютеры, Программирование
Программное обеспечение
Методические основы защиты систем поддержки бизнеса |
Д. КОСТРОВ, начальник отдела ИБ ОАО «МТТ» Приятно сознавать, что сегодня уже есть прецеденты внедрения и проработки проектов специализированных информационных систем OSS/BSS многими российскими операторами связи для управления производственной деятельностью, эффективного хранения и использования различной информации (перечень оборудования, данные о работоспособности элементов системы, наборы конфигураций, реестры клиентов, услуг, тарифов и т.п.). Это означает, что компании выходят на более высокий уровень управления своими ИС. Угрозы, риски, рекомендации С немалой долей вероятности можно сказать, что наибольшую опасность для системы OSS/BSS будут представлять внутренние злоумышленники (инсайдеры). Внешние злоумышленники без поддержки внутренних вряд ли смогут нарушить работу бизнес-процессов, выполняемых в рамках OSS/BSS. Поэтому к наиболее опасным источникам угроз на уровне бизнес-процессов относятся внутренние, которые реализуются как в рамках полномочий служащих, так и за их пределами (авторизованные пользователи и операторы, представители менеджмента организации и пр.). Далее по рангу - комбинированные источники, которые подразделяются на внешние (например, конкуренты) и внутренние, действующие «в сговоре» с первыми. Главная цель злоумышленника - получить контроль над активами на уровне бизнес-процессов. Прямое нападение на этом уровне (например, путем раскрытия конфиденциальной информации) более эффективно для нападающего и опаснее для собственника, чем атака на нижних уровнях -физическом (линии связи, аппаратные средства и пр.), сетевом (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и т.п.); приложений и сервисов (ОС, СУБД, технологических процессов и приложений). Причина - атаки на нижних уровнях требуют специфического опыта, знаний и ресурсов (в том числе и временных), а потому менее эффективны по соотношению затраты/результат. Чаще всего потенциальный злоумышленник стремится либо получить доступ к информации базы данных, циркулирующей (хранящейся) в системе OSS/BSS, либо нарушить ход штатного (строго описанного) бизнес-процесса. На стадии эксплуатации должна быть обеспечена также защита от умышленного несанкционированного раскрытия, модификации или уничтожения информации, неумышленной модификации или уничтожения информации, недоставки или ошибочной доставки информации, ухудшения обслуживания или отказа в нем. Кроме того, на сетях связи весьма актуальна угроза отказа от авторства сообщения. Для этого сейчас служит ЭЦП под сообщениями или их массивами. С точки зрения архитектуры система OSS/BSS всегда наложена на существующую офисную компьютерную сеть, и поэтому, как правило, представляет собой выделенную подсеть с повышенным уровнем защиты (например, на базе технологии VLA с контролируемым доступом на 3-м уровне и с применением списков доступа), где достаточно просто реализовать контроль несанкционированных действий. Поэтому при оценке рисков необходимо точно определить, какую именно информацию обрабатывают подсистемы, входящие в OSS/BSS. Часто для систем OSS/BSS предусматриваются дополнительные меры безопасности, например добавочный уровень аутентификации пользователя.
То есть для доступа к ПЭВМ работник компании использует общий USB-токен, а для вызова программы (клиента) системы OSS/BSS он должен предъявить дополнительный ключ. Обычно во внутренней сети вся информация относится к уровню «для внутреннего использования», однако владельцы (не пользователи и не хранители) информации могут отнести ее и к уровню «коммерческая тайна» с дополнительным уровнем обеспечения защищенности (например, введя дополнительную аутентификацию при доступе). Поэтому следует выделить и определить соответствующие роли персонала организации и установить степень ответственности за исполнение этих ролей. Формирование ролей, как правило, должно осуществляться на основании бизнес-процессов, а ответственность зафиксирована в должностных инструкциях. Не рекомендуется применять ролевой механизм, где одна персональная роль включает все правила, необходимые для выполнения полного бизнес-процесса в рамках системы OSS/BSS. Совокупность правил, составляющих роли, не должна быть критичной для компании с точки зрения последствий успешного нападения на исполнителя данной роли. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля (например, оператора и администратора, администратора и аудитора). Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO R13569 и БО/1ЕС IS 17799-2000 следует включать в трудовые контракты (соглашения, договоры). Хотя в большинстве случаев встроенные механизмы защиты специалисты считают «несерьезными», пренебрегать ими не стоит. Иногда такой дополнительный пароль становится той соломинкой, которая создаст последний, «непроходимый» рубеж безопасности. При распределении прав доступа персонала к системе следует руководствоваться тремя принципами, суть которых изложена в ISO R 13569: «знание своих служащих» (K ow your Employee) -предполагать возможные проблемы сотрудников, которые могут привести к злоупотреблениям ресурсами фирмы, аферам или махинациям; «необходимые знания» ( eed o K ow) - соблюдать правила безопасности для ограничения доступа к информации и ресурсам тех лиц, кому требуется выполнять определенные обязанности; «двойное управление» (Dual Co rol) - использовать в системе независимое управление для сохранения целостности процесса и борьбы с искажением функций системы, которое отражено в требовании ИБ выполнять некое действие до завершения определенных транзакций двумя лицами независимо друг от друга. Важное условие обеспечения защищенности как системы OSS/BSS, так и в целом ИС компании - выделение отдельного подразделения с соответствующими функциями. Главная задача этого подразделения - создание определенных гарантий того, что уровень организации ИБ достаточен по отношению к целям бизнеса организации. И еще одно замечание. Безопасность систем OSS/BSS должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации). При этом модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.6
01 и документом ISO/IEC IS 15288, а разработку технических заданий, проектирование, создание, тестирование и приемку средств и систем защиты OSS/BSS следует обязательно согласовывать с отделом ИБ (ОИБ). Ввод в действие, эксплуатация, снятие с эксплуатации систем OSS/BSS - все должно проходить при обязательном участии ОИБ. Диалектика политики Необходимо отметить, что при разработке политики обеспечения ИБ компании требования в общем случае должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла процесс. Перечень минимально необходимых средств включает защиту от несанкционированных действий, управления доступом и регистрацией в системах (в том числе и OSS/BSS), в телекоммуникационном оборудовании, АТС и т.д., а также антивирусную защиту, средства контроля использования ресурсов Интернета, криптографической защиты информации и защиты информационных технологических процессов (в том числе и системы OSS/BSS). Кроме того, необходимы и организационные меры для определения назначения и распределения ролей и уровней доверия для персонала. В политике информационной безопасности компании могут присутствовать и другие требования, например обеспечение непрерывности бизнес-процессов, физическая защита ресурсов и активов и т.д. Соблюдение политики в значительной мере есть элемент корпоративной этики, поэтому на уровень ИБ в организации оказывают серьезное влияние отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Вместе с тем назначение/лишение полномочий доступа сотрудников к ресурсам сети и системы санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении. Увы, но любые защитные меры по ряду объективных причин имеют тенденцию к ослаблению своей эффективности, в результате чего снижается общий уровень ИБ, что неминуемо ведет к возрастанию рисков ИБ. Чтобы не допустить этого, нужно проводить регулярный мониторинг и аудит системы ИБ и своевременно принимать меры по поддержанию системы управления ИБ на необходимом уровне. В идеале должна действовать циклическая модель: В целом требования ИБ к OSS/BSS не отличаются от требований для сети предприятия, которые включают идентификацию, аутентификацию, авторизацию; управление доступом; контроль целостности и регистрацию пользователей. При этом рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями (хорошей практикой является использование e- oke s с сертификатами открытых ключей). Не следует забывать и о регистрации действий персонала и пользователей в специальном электронном журнале, который должен быть доступен для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. Для контроля реализации положений нормативных актов по обеспечению ИБ, выявления нештатных (или злоумышленных) действий и потенциальных нарушений ИБ сотрудники ОИБ выполняют мониторинг ИБ.
Обольщаться по этому поводу не стоит: опыт применения альтернативных ОС в большинстве случаев окажется более чем ущербным. «МС-ДОС» («Майкрософт Уиндоуз 3.х, 9х, Ми»). Для ОС этой серии также существуют эмулирующие стандартную архитектуру пакеты и переносы популярных свободных программ, однако многие механизмы (например, распределение полномочий) здесь отсутствуют в принципе. «Классическая» «МакОС». Под торговой маркой «МакОС» вплоть до версии «МакОС X» (исключительно) компания «Эппл Компьютерз» поставляла самодельные ОС для своих ПК «Эппл Макинтош», до сих пор находящиеся в эксплуатации. Под «классическую» «МакОС» перенесено лишь небольшое количество свободных программ. Следует заметить, что сегодня «Эппл» под той же торговой маркой поставляет «МакОС X» — «бутерброд» из свободной открытой ОС «Дарвин» и проприетарных графических компонентов; под «Дарвин» существуют (или легко осуществимы) переносы большей части свободных программ и пакетов. Старые ПК «Макинтош», ресурсов которых недостаточно для запуска «МакОС Х», могут быть модернизированы установкой на них «ГНУ/Линукс» соответствующей версии. 1.2 Практическая интеграция Сильными техническими сторонами открытых ОС, выгодно отличающими их от любых альтернатив в плане практической интеграции (разворачивания, поддержания в работоспособном состоянии, непротиворечивого расширения и наращивания), являются: поддержка широкого спектра аппаратных платформ (самыми «всеядными» являются системы на основе ядра «Линукс»); поддержка различных топологий многопользовательских систем: от совокупности независимых рабочих станций до многотерминальных систем, в том числе, включающих компьютеры на разных аппаратных платформах
4. Математичекие основы теории систем: анализ сигнального графа и синтез комбинационных схем
9. Философское введение в "Основы построения систем искусственного интеллекта"
10. Методические основы стоимостной оценки рабочих мест в банках
11. Законодательные основы защиты населения от радиации
12. Методические основы расчета стоимости имущества предприятий в целях стратегического управления
13. Теоретические и методические основы оценки состояния водных ресурсов в регионе
15. Методические основы анализа финансовой отчетности
18. Основы микропроцессорных систем
19. Математические основы теории систем
20. HR-бизнес-партнер — эффективная поддержка бизнеса
21. Основи сучасних систем мотивації персоналу підприємств харчування
25. Методические основы производственной физической культуры
27. Вода как информационная основа живых систем (обычная и необыкновенная вода)
29. Полная параллельная поддержка для систем планирования, основанных на случаях
30. Основы формальной логики (учебно-методическое пособие для студентов вечернего и заочного отделения)
32. Наукоемкие технологии, технопарки и технополисы - основа венчурного бизнеса
33. Основы построения телекоммуникационных систем
34. Исследование горячеломкости литейных сплавов на основе систем Al-Si, Al-Cu, Al-Si-Cu
35. Учебно-методический материал по курсу "Правовые основы и менеджмент земельного рынка"
36. Государственная поддержка малого бизнеса
37. Основы разработки учебно-методического комплекса по коммерческой географии
41. Билеты по прдмету ОСНОВЫ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ за 1 семестр 2001 года
42. Основы организации вычислительных систем
43. Основы термодинамики неравновестных процессов и открытых систем
45. Философия правовой поддержки малого бизнеса
46. Основи роботи в системі символьної математики MATLAB 5.2
47. Теория основы построения вычислительных комплексов и систем
49. Бизнес-план как основа маркетингового исследования рынка
50. Маркетинг как основа современного бизнеса
51. Основы ресторанного бизнеса
52. Искусство продаж в XXI веке: творческое мышление как основа успешного бизнеса
53. Методологические основы бизнес-планирования
57. Разработка систем релейной защиты и автоматики основных элементов АЭС
58. Бизнес-план как основа инвестиционного проекта
59. Государственная финансовая поддержка малого бизнеса
61. Основы бизнеса
63. Поддержка малого и среднего бизнеса в Республике Казахстан
64. Сутність та еволюція економічних систем. Поняття та основа класифікації методів управління
65. Совершенствование форм и методов поддержки малого и среднего бизнеса
66. Структура и алгоритмы работы спутниковых радионавигационных систем
67. Особенности искусственных спутников земли на примере спутниковых систем связи
68. Экологические основы устойчивости растений
69. Развертывание систем персонального радиовызова
74. Исследования режима защиты рабочих и служащих химического завода в условиях радиоактивного заражения
76. Подготовка населения в области защиты населения от ЧС
77. Способы защиты населения при радиоактивном и химическом заражении местности
78. Защита населения в чрезвычайных ситуациях
79. Защита населения в чрезвычайных ситуациях
80. Гамма – каротаж. Физические основы метода
81. Социальная защита государственных служащих
82. Малый бизнес и налоговая политика
83. Правовые и организационные основы деятельности паспортно-визовой службы органов внутренних дел РФ
84. Становление системы социальной защиты государственных служащих в Российской Федерации
85. Правовые основы валютного регулирования и валютного контроля в Российской Федерации
90. Проблемы защиты авторского права в сфере web-журналистики Рунета
91. Юридические формы защиты прав потребителей
92. Гражданско-правовая защита чести, достоинства и деловой репутации
93. Гражданско-правовые способы защиты права собственности и ограниченных вещных прав
94. Сравнение договоров подряда и купли - продажи, форма расчета-инкассо, типы ведения бизнеса
95. Защита авторских прав в интернете
97. Основы конституционного права Франции
98. Основы конституционного строя Великобритании
99. Правовые основы государственной службы в зарубежных странах