Классификация методов и средств контроля эффективности ЗИ в КС

Контроль эффективности защиты информации в КС является неотъемлемой частью комплекса системы мер безопасности не объекте информатизации. Он направлен на:

- проверку соответствия предпринимаемых защитных мер предъявленным к ним требованиям;

- выявление уязвимостей реализованной системы защиты.

Контроль эффективности защиты должен включать в себя применение организационных мероприятий и программно-технических методов.

Основные направления контроля эффективности ЗИ в КС:

-инспектирование повседневной работы защитных служб и элементов;

-проверка соответствия фактически реализованных и спроектированных (запланированных) мер;

-тестирование программно-технических средств ЗИ;

-моделирование угроз системе безопасности.

Инспектирование системы защиты должно регулярно проводиться специалистами по ЗИ с помощью заранее подготовленных контрольных списков, включающих все потенциально уязвимые точки КС. Полученные в ходе инспектирования результаты используются при подготовке рекомендаций для совершенствования защиты. Инспектирование может быть плановым и “случайным”, комплексным и выборочным. На практике следует сочетать различные формы и методы проведения инспектирования СЗИ КС.

Задача тестирования программно-технических средств ЗИ и моделирование угроз системе безопасности должна решаться с момента их проектирования (выбора) и далее периодически при изменении компонентов или конфигурации информационной системы.

Для крупных КС проведение такого рода проверок для всех узлов корпоративной сети представляет собой сложную и трудоемкую задачу. Автоматизировать этот процесс помогают средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner).

Данные средства могут быть как самостоятельными (в том числе узкоспециализированными) программными продуктами, так и входить в состав систем защиты, основанных на модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS).

Такие системы позволяют обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты. Система обеспечения адаптивной безопасности сети должна включать в себя компоненты:

-анализа защищенности (security assessment);

-поиска уязвимостей (vulnerabilities assessment);

-обнаружения атак (intrusion detection);

-настройки (адаптации) и управления.

Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней “слабых мест” и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:

-«люки» в системах (back door) и программы типа «троянский конь»;

-слабые пароли;

-восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»;

-отсутствие необходимых обновлений (patch, hotfix) операционных систем;

-неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Средств анализа защищенности приложений на сегодняшний день не так много. Такие средства пока существуют только для широко распространенных прикладных систем - Web-броузеров и СУБД.