Информационна сигурност

Компютърна сигурност и информационна защита на компютърни системи и мрежи

Информационна сигурност e защитата на информацията и информационните системи от неоторизиран достъп, използване, разкриване, промяна, прочитане, запис и унищожаване. В тази статия са описани основните заплахи за информационната сигурност, мерките за защита и принципите за изграждане на система за защита.
Термините информационна сигурност, компютърна сигурност и защита на информацията често и неправилно се използват, като синоними. Тези термини са свързани и имат общи цели, като конфиденциалност, интегритет и достъпност на информацията, но има разлика между тях.
•    Информационната сигурност е защитата на информацията, независимо от нейната форма – електронна, отпечатана или други.
•    Компютърната сигурност се фокусира върху коректната работа на компютърните системи и мрежи и обработваната от тях информация.
•    Информационна защита са практиките по управление на рисковете, свързани с използването, работата, съхранението и предаването на информацията, както системите и процесите използвани за тези цели.
Частният бизнес акумулира голямо количество чувствителна информация, в това число информация за служители, клиенти, продукти, разработки и финанси. В днешни дни огромна част от тази информация (за повечето организации до 100%) се събира, обработва и съхранява в електронна форма в даден етап от жизнения си цикъл. Това е причината компютърната сигурност и информационната защита на компютърните системи и мрежи и използваната в тях информация да е един от основните елементи на информационната сигурност.

Модел  на информационната сигурност
Най-използваният модел на информационна сигурност включва три основни компонента – конфиденциалност, интегритет и достъпност, като съществуват и други модели, които разширяват посочения.

•    Конфиденциалност
Представлява предотвратяване разкриването на информация на неоторизирани лица или системи. Нарушаването на конфиденциалността може да има много форми:
– Надничане в компютърен екран при наличие на чувствителна информация.
– Кражба или загуба на мобилен компютър или флаш памет.
– Предаване на некриптирани данни през компютърна или телефонна мрежа, когато няма физически контрол върху преносната среда, това включва публични телефонни мрежи, интернет, некриптирани виртуални частни мрежи.

•    Интегритет
Това е невъзможността за промяна на информацията без разрешение. Интегритета е нарушен, когато служител несъзнателно или съзнателно изтрие или унищожи важна информация (файл), когато вреден софтуер зарази компютър, когато служител или външно лице има възможността неоторизирано да промени чувствителна информация.

•    Достъпност
Представлява възможността информацията да бъде достъпна, когато е необходима. Компютърните системи, които обработват и съхраняват информацията, техническите мерки за защита и комуникационните канали, използвани за предаването и да работят коректно. Т.е. прекъсването на ток, техническите проблеми, свързани със софтуер и хардуер, както и подновяването или смяната на техника или софтуер да не прекъсват работните процеси, свързани с обработка и съхранение на информацията.

Управление на риска
Управлението на риска е процес по установяване на уязвимостите и заплахите, свързани с дадена организация и бизнес процесите, както и мерки за редуцирането на този риск до приемливи нива. Той е важна част от защитата на информацията.
Управлението на риска и сигурността са непрекъснати процеси, а не еднократен акт.  Инсталирането на нов софтуер, хардуер или друга система ще повиши нивото на сигурност, но няма да ви предпази ако не се извършва постоянен контрол, мониторинг и адаптиране на тези системи към новите уязвимости и заплахи.

Мерки за налагане на информационна сигурност

•    Административни (организационни, процедурни) мерки
Тези мерки включват одобрени политики, процедури, стандарти и указания.  Те информират персонала, какво трябва и какво не трябва да прави при всекидневната си работа. Нормативната база и регулации също са тип административни мерки. Пример за такива мерки са политиките за сигурност. Тези мерки формират базата за техническите и физическите мерки.

•    Логически (технически) мерки
Тези мерки включват използването на софтуер, мониторинг и контрол на достъп до информацията и компютърните системи. Примери за това са пароли, антивирусен софтуер, защитни стени, контроли за достъп (кой до коя папка/файл има достъп), криптиране и други.
Важен логически контрол са ограничените права при използване на компютърна система. Чрез ограничаване на правата на всеки потребител, програма или системен процес се предоставят само необходимите права за изпълнение на определените задачи. Пример за нарушаването на този принцип е използването на компютър за всекидневни задачи с администраторски права.

•    Физически мерки
Тези мерки включват мониторинга и контрола над работната среда. Контрол на достъп, видео наблюдение, алармена инсталация, системи за противопожарна охрана, заграждания и жива охрана са пример за такива мерки. Важен аспект от защитата на информацията при обработката и съхранението и в компютърни системи и предаването и в локални мрежи е физическата защита на кабелната система, комуникационното оборудване, сървърите и работните станции от неоторизиран достъп.

Класификация на информацията
Елемент от информационната сигурност и управлението на риска е оценката на информацията и дефинирането на процедури за защитата в зависимост от тази оценка. Информацията е различна от гледна точка на стойността и за дадена организация, като различната информация предполага различни мерки за защита. Това предполага класифициране на информацията и създаването на организационни документи, които да описват съответните грифове и критерии за класификация, както и необходимите мерки за защита за всяка класификация.

Примерна класификация за частни организации и организационни мерки за защита в компютърни системи и мрежи:
–    Публична информация – може да се обработва, съхранява и предава свободно;
–   Служебна информация – може да обработва, съхранява и предава само върху компютърни системи и мрежи и електронни носители (твърди дискове, флаш памети) собственост на организацията; не се разрешава публикуване и предаване (електронна поща, чат клиенти) в Интернет или други публични мрежи без разрешение;
–    Конфиденциална информация – може да се обработва, съхранява и предава само върху компютърни системи и мрежи собственост на организацията, които не са свързани с Интернет или други публични мрежи; забранява се записа или съхранението върху преносими електронни носители без одобрено за организацията криптиране; забранява се публикуване и предаване (електронна поща, чат клиенти) в Интернет или други публични мрежи без разрешение и без одобрено за организацията криптиране;

Обикновено цялата информация за дадена компания е нужно да се третира като служебна, освен ако изрично не е упоменато друго.

Добра практика е освен грифове в съдържанието на самите документи да има и политика за имената на файловете и/или съхранението на тези файлове да се извършва в отделни папки според класификацията.
Пример за имена на файлове:
Reklamna kampania-10.10.2010-public.doc
Lichni danni на slujiteli kam 10.2010-10.10.2010-restricted.doc
Sreshta Ivanov 10.2010-10.10.2010-confidential.doc

Защита в дълбочина
Информационната сигурност трябва да предвижда защитата на информацията през целия и жизнен цикъл от първоначалното и създаване, до унищожаването и. Тя трябва да е защитена когато е в движение и когато се съхранява. За да бъде защитена във всяка фаза от жизнения си цикъл трябва да съществуват различни механизми за защитата. Всяка система е сигурна, колкото е сигурно най-слабото и звено. Чрез използването на защита в дълбочина, при пропуск в дадени елемент, другите предприети мерки биха предоставили необходимата защита на информацията.
Пример на защита в дълбочина:
– Защити на ниво мрежа
– Защити на ниво хост (сървър, работна станция)
– Защити на ниво приложение
– Защити на ниво данни

Управление на сигурността
Защитата на информацията е екипно усилие и неделима част от всеки бизнес. Тя изисква участието и поддръжката на всички служители на дадена организация, както и одобрението и подкрепата на мениджърския екип. Трябва да бъдат въведени и наложени съответните организационни мерки, като  всички служители съвестно да се запознаят с тях и да ги изпълняват, а мениджърския екип на всички нива трябва да следи за това изпълнение. Всички трябва да разберат изискванията и да се придържат към тях.

Инциденти и непрекъсваемост на бизнеса
Инцидент е събитие, представляващо промяна в нормалната работа на информационните системи. Непрекъсваемостта на бизнеса се определя от функционирането на критични за него процеси, без прекъсване в следствия на аварии, природни бедствия или човешка грешка. Информационните системи в една компания трябва да са организирани така, че при настъпване на инциденти непрекъсваемостта на бизнеса да бъде осигурена. В световен мащаб 93% от компаниите, които загубят информационните си системи за повече от 10 дни фалират до една година.

Служителите, чиито служебни задължения включват информационната защита и техническото осигуряване на компютърните системи и мрежи трябва да имат план за реакция при настъпване на инциденти, в това число и план за възстановяване след срив.

Стандарти

ISO 27001 – Системи за управление на сигурността на информацията
Този международен стандарт се отнася за всички видове организации (например търговски предприятия, правителствени агенции и организации с идеална цел). Този международен стандарт определя изискванията за създаване, внедряване, функциониране, наблюдение, преглед, поддържане и подобряване на документирана СУСИ с оглед на общия риск, свързан с дейността на организацията. Той определя изискванията за внедряване на механизми за контрол по сигурността, пригодени към потребностите на всяка организация или части от нея.
Системата за управление на сигурността на информацията е предназначена да осигури избор на подходящи механизми за контрол по сигурността, които да защитават информационните активи и да дават увереност на заинтересованите страни.

ISO 27002 – Кодекс за добра практика за управление на сигурността на информацията
Този международен стандарт дава указания и общи принципи за внедряване, поддържане и подобряване на управлението на сигурността на информацията в дадена организация. Целта на този международен стандарт е да се предоставят указания за общоприетите насоки при управление на сигурността на информацията.
Целите по контрола и механизмите за контрол в този международен стандарт се предвижда да бъдат внедрени така, че да отговарят на изискванията, определени чрез преценяването на риска. Този международен стандарт може да служи като практическо указание за разработване на стандарти за сигурност на информацията в организацията, ефикасни практики за управление на сигурността и да подпомогне създаването на защита на служебната информация за вътрешноорганизационните дейности.

Основни заплахи за сигурността на информацията


•    Вреден софтуер

Това е софтуер, който работи без знанието и информираното съгласие на потребителите на дадена компютърна система. Това включва компютърни вируси, червеи, троянски коне, софтуер за шпиониране и други. Легитимен софтуер, като системи за архив, системи за отдалечена техническа поддръжка и системи за мониторинг на персонала, също могат да се използват като вреден софтуер, ако бъдат скрити от потребителите. Компютърна система може да бъде заразена с вреден софтуер нецеленасочено при посещаване на интернет страници, отваряне на писма и прикачени файлове от електронна поща и чат клиенти, използване на преносими електронни носители (флаш памет), използване на споделени ресурси (споделени папки) в компютърна мрежа, инсталиране на заразен легитимен софтуер и т.н. Вреден софтуер може да се инсталира целенасочено, при наличието на физически достъп до компютърната система или отдалечено, с използването на парола или уязвимости в операционната система, в системния  и приложния софтуер. Вредният софтуер може да се използва за прочитане, промяна, запис или унищожаване на информация (документи, поща, пароли и други), обработвана и съхранявана в локалния компютър и достъпните мрежови услуги, за шпиониране чрез следене на екрана на компютъра, за подслушване с използването на микрофон (преносимите компютри имат вградени микрофони), за получаване на неоторизиран достъп до услуги и информация в локалните мрежи, чрез прихващане на трафика и други техники, за заразяване на компютърни системи в локалните мрежи или интернет и т.н. Според данни от 2008 г. има над един милион активни разновидности на вреден софтуер, като всяка година новият вреден софтуер се увеличава.
Само с използването на антивирусен софтуер не може да се гарантира защита поради факта, че антивирусните софтуери работят основно с бази данни (дефиниции) на вече разпространен вреден софтуер.

За приемливо ниво на защита от вреден софтуер, трябва:
–    използваният софтуер за всеки отделен компютър, да е предварително определен и свързан само със служебните задължения на потребителите;
–    да се използват ограничени права при работа с компютрите, като само определени лица трябва да имат достъп до администраторските акаунти, така че единствено те да могат да инсталират системен софтуер и да променят системни настройки;
–    да има правила (заложени в политиката за сигурност), кой, кога и с чия санкция може да инсталира нов софтуер;
–    да са инсталирани всички кръпки (пачове), свързани със сигурността  на използвания системен и приложен софтуер;
–    да се използва антивирусен софтуер с актуални дефиниции;
–    да се извършва централизиран и непрекъснат мониторинг на антивирусния софтуер и другите използвани софтуери за сигурност;
Могат да се прилагат и допълнителни мерки :
–    един път в месеца ръчно да се извършва проверка на всички или на случайно избрани компютри, по предварително подготвена процедура, на инсталирания софтуер, стартираните процеси и други;
–    технически да се забрани стартирането на различен от предварително одобрения и инсталиран вече софтуер;
–    да се извършва мониторинг на трафика в локалните мрежи;

•    Нелоялни служители
Служител, който съзнателно се стреми да навреди на конкретния бизнес или работодател. Такъв служител може да отпечата или запише и изнесе чувствителна информация, до която има достъп. Може технически (вреден софтуер, прихващане на трафик) или по друг начин да придобие неоторизиран достъп до такава информация. Изнасянето може да стане с помощта на външен електронен носител (флаш памет, преносим диск, мобилен телефон) или чрез изпращане през интернет (електронна поща, чат клиенти, файлов трансфер). Този служител може да даде на външни технически грамотни лица, физически или отдалечен достъп с помощта на софтуер (вреден софтуер, софтуер за отдалечена техническа поддръжка) и/или хардуер (безжично устройство, мобилен телефон), до компютърните системи и мрежи на организацията.
Най-голяма е опасността от нелоялни служители, чиито служебни задължения включват информационна защита и техническо осигуряване на компютърните системи. Те или имат или лесно могат да получат неоторизиран достъп до цялата информация.

За приемливо ниво на защита от нелоялни служители е нужно:
–    чувствителната информация да се съхранява на сървърите на организацията и/или на отделни компютри, за които са въведени по-строги мерки за защита;
–    да се ограничи физическия достъп до помещенията със сървърите/компютрите;
–    да се създаде структура от папки със съответните контроли за достъп (кой, до коя папка/файл има достъп), като се вземе под внимание принципа „необходимост да се знае“;
–    да се въведе задължително използване на пароли за достъп до компютърните системи и услуги със съответните правила (заложени в политиката за сигурност);
–    за системите и услугите, които обработват чувствителна информация да се извършва непрекъснат запис на всички събития, свързани с достъпа до тези системи, услуги и информацията, която обработват;
–    да има правила (заложени в политиката за сигурност) – кой, кога и с чия санкция може да извършва, технически действия свързани с кабелната система, комуникационното оборудване, сървърите и компютрите;
–    да се въведе адекватна защита от вреден софтуер;
Могат да се прилагат и допълнителни мерки:
–    да се въведе софтуер за мониторинг на персонала;
–    да се използва криптиране на трафика в локалните мрежи;
–    да се използват смарт карти, вместо пароли за достъп до компютърните системи и услуги;
–    компютрите, определени за работа с чувствителна информация да нямат връзка с интернет или други публични мрежи;

•    Човешка грешка
Несъзнателно действие или бездействие на служител, което вреди на организацията. Това действие или бездействие може да е в следствие подвеждане, немарливост или незнание. Тези грешки могат да доведат до заразяване с вреден софтуер, да спомогнат действията на нелоялни или външни лица, целящи да навредят на организацията, да предизвика техническа неизправност или да унищожи информация, да разкрият чувствителна информация, както се даде достъп до нея през интернет или изгуби електронен носител (флаш памет, преносим компютър).
Тук отново най-голяма е опасността от служители, чиито служебни задължения включват информационна защита и техническо осигуряване на компютърните системи. Техните грешки имат най-сериозно отражение върху компютърната сигурност и информацията обработвана и съхранявана в компютърните системи. Те или чрез техните права за достъп може лесно да се получи оторизиран или неоторизиран достъп до цялата информация или да се заобикалят или изключат системите за защита.

За да се постигне  приемливо ниво на защита от човешка грешка, е нужно:
– да се въведе адекватна защита от вреден софтуер;
– да се въведе адекватна защита от нелоялни служители;
– да се въведе система за автоматизиран архив;
– да има правила за работа със системите (заложени в политиката за сигурност) и да се следи дали тези правила се спазват;
Могат да се използват и следните допълнителни мерки:
– да се ограничи използването или да се въведе одобрено от организацията криптиране на електронни носители (флаш памети, мобилни компютри);

•    Техническа неизправност
Техническа неизправност може да се получи в следствие на софтуерна грешка, отказ на хардуера, природно бедствие, човешка грешка, злоумишлени действия на служител или външно лице. Техническите неизправности обикновено водят до спирането на услуги и прекъсват дадени процеси в организацията. Неизправност може да доведе и до загуба на информация.

За приемливо ниво на защита от техническа неизправност, трябва:
– да се въведе адекватна защита от вреден софтуер;
– да се въведе автоматизирана система за архив;
– да се резервират и дублират всички важни компоненти на компютърните системи;
– да се изготви план за реакция при настъпване на инциденти/план за възстановяване след срив;

•    Външни атаки
Външни атаки са действия на софтуер или трети лица, които целят да навредят на дадена организация. Тези действия могат да доведат до изтичане или унищожаване на информация или до спиране на определени услуги.
Това може да стане отдалечено – с използване уязвимости в операционната система, в системния и приложния софтуер, с прихващане на некриптиран трафик (пароли), с използване на вреден софтуер, с помощта на социален инженеринг (измама).

За приемливо ниво на защита от външни атаки, трябва:
–    да се използват защитни стени при връзка с интернет;
–    да се използва адекватна защита от вреден софтуер;

Най често допусканите грешки, които влияят пряко на сигурността на информацията в този случай са:
При осъществяване на връзка с интернет:
–     хардуерните устройства са собственост на интернет доставчиците
–    обслужват се от доставчика и имат връзка с локалната мрежа

При изграждане на кабелна система и комуникационно оборудване:
–    няма документация – оплетени кабели, не се знае кой кабел къде отива, не се знае какви устройства са включени и къде
–    всички служители мога и включват различни устройства/компютри (преносими лични)

При покупка и инсталиране на хардуер:
–    не се знае с каква техника разполага фирмата
–    не се прави профилактика
–    нова техника се купува на парче, без ясно изразена концепция

При покупка и инсталиране на софтуер:
–    всеки сам или с помощта на колеги, приятели може и инсталира софтуер по собствено усмотрение
–    външни фирми  инсталират софтуер за техническа поддръжка
–    за едни и същи цели се използва различен софтуер, често пиратски при наличие не безплатни аналози
–    операционните системи, системния и приложен софтуер не се обновяват
–    антивирусния софтуер често е различен на различните компютри, понякога без актуални дефиниции и без централизиран мониторинг
–    споделят се папки без оглед на информацията в тях, обикновено на някой компютър в даден отдел , без контроли за достъп
–    на компютрите няма пароли или ако има пароли, често системни акаунти се оставят без парола
–    паролата може да се заобиколи със стартирането на операционна система от външен носител
–    няма централизиран и автоматизиран архив, като често ако се правят архиви на ръка, тези архиви са много стари
–    без контрол се записва и разнася информация на лични флашки, CD-та, мобилни компютри
–    Няма правила и каквато и да е обща концепция за това какво се прави, включително и за сигурността

Ето един пример, как принципно трябва да изглежда една мрежа:
Собствен рутер/защитна стена;
Подредена и документирана кабелна система и комуникационни устройства;
Устройствата за безжична връзка трябва да имат сложни пароли (които се сменят регулярно) и да не използват остарели алгоритми за криптиране;
Ограничен физически достъп до сървърите, ако е възможно до комуникационното оборудване и кабелната система;
Централизирани система за идентификация/автентикация, конфигуриране;
Всички услуги и документи, които са свързани с важна информация да се намират на сървъри със съответното резервиране и дублиране;
Структура от папки със съответните контроли за достъп (кой до коя папка/файл има достъп), като се вземе под внимание принципа „необходимост да се знае“;
Компютрите са с ограничени права, само софтуер, свързан със служебните задължения на потребителите;
Необходимо е да се извършва контрол на външни лица фирми – които физически или отдалечено извършват дейност за фирмата;
Необходимо е да има точно определено/определени лица за техническа поддръжка и ако е възможно да има лице, което се занимава със сигурността на информацията в компютърните системи и контролира тяхната работа;
Да има въведени разписани правила, процедури, политики, които се спазват.

Информационната сигурност е наука и не може да се разгледа в няколко страници. Използвайки информацията от статията много специалисти и не-специалисти биха могли да извършат първоначална оценка на състоянието на информационната сигурност в средата, в която работят. Естествено за изграждане на професионална система за информационна сигурност е необходима помощ от професионалист.

Димитър Чобанов, бр. 8, списание Professional

Новини

picture

Тринадесети брой на специализираното списание за сигурност Professional

Виж още »

Проекти

picture

Система за откриване на подслушвателни устройства, използващи WiFi и Bluetooth свързаност

Виж още »

Библиотека

picture

Защита от подслушване през мобилен телефон

Виж още »