Информационная безопасность

• нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими хар актер ис ти кам и);
• невозможность работать с системой в силу отсутствия соответствующей подготовки;
• невозможность работать с системой в силу отсутствия технической поддержки.

Основными источниками внутренних отказов являются:

• отступление (случайное или умышленное) от установленных правил эксплуатации;
• выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
• ошибки при (пере)конфигурировании системы;
• отказы программного и аппаратного обеспечения;
• разрушение данных;
• разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать  следующие у грозы:

• нарушение работы (случайное или умышленное) систем связи,электропитания, водо - и/или теплоснабжения,
• кондиционирования;
• разрушение или повреждение помещений;
• невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так  называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации - " обидчику", например:

• испортить оборудование;
• встроить логическую бомбу, которая со временем разрушит программы и/или данные;
• удалить данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в  организации и способны нанести  немалый ущерб. Необходимо следить  за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные  бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

Некоторые примеры  угроз доступности

Угрозы доступности  могут выглядеть грубо - как повреждение  или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными причинами (чаще всего - грозами). К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, и случаи выгорания оборудования - не редкость

В принципе, мощный кратковременный  импульс, способный разрушить данные на магнитных носителях, можно сгенерировать  и искусственным образом - с помощью  так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует все же признать надуманной.

Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения  в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Автору курса довелось быть свидетелем ситуации, когда прорвало трубу с горячей водой, и системный блок компьютера (это была рабочая станция производства Sun Microsystems) оказался заполнен кипятком. Когда кипяток вылили, а компьютер просушили, он возобновил нормальную работу, но лучше таких опытов не ставить... Летом, в сильную жару, норовят сломаться кондиционеры, установленные в серверных залах, набитых дорогостоящим оборудованием. В результате значительный ущерб наносится и репутации, и кошельку организации.

Общеизвестно, что периодически необходимо производить резервное  копирование данных. Однако даже если это предложение выполняется, резервные  носители зачастую хранят небрежно (к  этому мы еще вернемся при обсуждении угроз конфиденциальности), не обеспечивая их защиту от вредного воздействия окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Перейдем теперь к  угрозам доступности, которые будут  похитрее засоров канализации. Речь пойдет о программных атаках на доступность.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно - полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов - атака, получившая наименование "SYN-наводнение". Она представляет собой попытку переполнить таблицу "полуоткрытых" TCP -соединений сервера (установление соединений начинается, но не заканчивается). Такая атака по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке " Papa Smurf" уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты "съедают" полосу пропускания.

Удаленное потребление  ресурсов в последнее время проявляется  в особенно опасной форме - как  скоординированные распределенные атаки, когда на сервер с множества разных адресов с максимальной скоростью направляются вполне легальные запросы на соединение и/или обслуживание. Временем начала "моды" на подобные атаки можно считать февраль 2000 года, когда жертвами оказались несколько крупнейших систем электронной коммерции (точнее - владельцы и пользователи систем). Отметим, что если имеет место архитектурный просчет в виде разбалансированности между пропускной способностью сети и производительностью сервера, то защититься от распределенных атак на доступность крайне трудно.

Для выведения систем из штатного режима эксплуатации могут  использоваться уязвимые места в  виде программных и аппаратных ошибок. Например, известная ошибка в процессоре Pentium I дает возможность локальному пользователю ту тем выполнения определенной команды " подвесить" компьютер, так что помогает только аппаратный RESET.

Программа "Teardrop" удаленно "подвешивает" компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов. [3]

Описание программы Microsoft Security Assessment Tool.

Описание системы

Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) — это бесплатное средство, разработанное чтобы помочь организациям оценить уязвимости в  ИТ-средах, предоставить список расставленных  по приоритетам проблем и список рекомендаций по минимизации этих угроз. MSAT — это простой, экономичный способ приступить к усилению безопасности вычислительной среды предприятия. Начните процесс, сделав снимок текущего состояния безопасности, и затем используйте MSAT для постоянного отслеживания способности инфраструктуры отвечать на угрозы.

В корпорации Microsoft основным приоритетом является безопасность сетей, бизнес-серверов, компьютеров  конечных пользователей, мобильных  устройств и данных наших клиентов. Мы намерены предоставлять средства безопасности, подобные MSAT, чтобы помочь клиентам повысить безопасность бизнеса.[4]  
Средство Microsoft для оценки риска, связанного с безопасностью (MSAT), является приложением для оценки риска, которое предназначено для обеспечения клиента сведениями и рекомендациями о передовых методиках, связанных с безопасностью, в рамках инфраструктуры информационных технологий (ИТ). Это приложение разработано для организаций с числом настольных компьютеров от 50 до 500 и количеством служащих от 100 до 1000. 
MSAT разработан, чтобы помочь в определении и устранении угроз безопасности в ИТ-среде. Это средство применяет целостный подход к измерению уровня безопасности и охватывает такие темы, как персонал, процессы и технологии.

MSAT предоставляет следующие  возможности:

• Понятную, исчерпывающую и постоянную осведомленность об уровне безопасности
• Инфраструктуру эшелонированной защиты, соответствующую отраслевым стандартам
• Подробные, постоянные отчеты, сравнивающие базовые показатели с достигнутыми успехами
• Проверенные рекомендации и расставленные по приоритетности действия для улучшения безопасности

Структурированные рекомендации от Microsoft и отрасли.

Оценка состоит из более чем 200 вопросов, разбитых на четыре категории:

• Инфраструктура
• Приложения
• Эксплуатация
• Персонал

Вопросы, составляющие опросную часть средства, и связанные с ними ответы извлечены из общепринятых практических рекомендаций по безопасности как общих, так и конкретных. Предлагаемые вопросы и рекомендации основаны на общепринятых стандартах, таких как ISO 17799 и NIST-800.x, а также рекомендациях и предписаниях от группы надежных вычислений Microsoft и других внешних источников по безопасности. [5]  
В основе средства оценки риска лежат общепринятые стандарты и передовые методики, призванные снизить риски в системах ИТ. В нем используется концепция "эшелонированной защиты" (DiD), которая относится к реализации многоуровневой защиты, включающей технический, организационный и рабочий контроль.

После завершения процедуры оценки, получаем доступ к полному отчету с вашими результатами. Кроме того, выгрузив свои результаты анонимно на защищенный веб-сервер MSAT, возможно сравнить их с результатами других аналогичных компаний (работающих в той же отрасли и сходных по величине). При выгрузке данных приложение будет одновременно получать самые последние имеющиеся данные. Для возможности сравнения данных необходимо, чтобы все клиенты выгружали свои данные.

MSAT состоит  из двух процедур оценки: оценки  профиля риска для бизнеса  (ПРБ) и эшелонированной защиты (DiD). В ходе оценки ПРБ определяются риски, с которым сталкивается компания, а в ходе оценки DiD проверяется наличие надежных методик безопасности в компании. ПРБ необходимо выполнять только один раз. При необходимости можно повторить эту процедуру, однако это следует делать только в том случае, если инфраструктура компании была значительно изменена.

Что касается оценки DiD, то ее можно выполнить  несколько раз, чтобы отследить  успехи компании. Каждая оценка сравнивается с ПРБ с целью получения  полной картины системы безопасности. Поэтому оценка может иметь только один соответствующий ПРБ.

Сравнение и  выгрузка результатов

После завершения оценки DiD можно просмотреть диаграмму  сравнения риска и защиты, на которой  результаты ПРБ сравниваются с результатами DiD. Чтобы просмотреть полный отчет, необходимо выгрузить данные на защищенный веб-сервер MSAT. Выгрузка будет полностью анонимной. 
Кроме просмотра полного отчета, будет предоставлен доступ к функции сравнения. При этом можно будет сравнить две собственные оценки, чтобы отследить прогресс, что позволит просмотреть результаты ПРБ и уровня риска. Кроме того, можно сравнить результаты с результатами своих коллег. 
Эта возможность сравнения результатов с результатами своих коллег очень полезна. Она зависит от других пользователей, которые, как и вы, выгружают свои данные на анонимной и безопасной основе.

Средство Microsoft для оценки риска, связанного с безопасностью, предназначено для выявления  риска для бизнеса организации  и определения мер безопасности, предпринимаемых для снижения риска. Сосредоточение внимания на общих проблемах этого сегмента рынка позволило разработать вопросы для обеспечения высококачественной оценки рисков, которые представляют для ведения бизнеса используемые технологии, процессы и персонал. 
Профиль риска для бизнеса (ПРБ) создается средством на основе серии предварительных вопросов о бизнес-модели компании, и тем самым измеряется риск для бизнеса, с которым компания сталкивается в данной отрасли и в условиях выбранной бизнес-модели. Вторая группа вопросов предлагается с целью составления списка мер безопасности, которые со временем должны быть предприняты компанией. В целом, эти меры безопасности формируют уровни защиты, обеспечивающие более серьезную защиту от угроз безопасности и конкретных уязвимых мест в системе. Каждый уровень способствует укреплению комбинированной стратегии для эшелонированной защиты. В сумме это рассматривается как индекс эшелонированной защиты (DiDI). Затем ПРБ и DiDI сравниваются для измерения распределения риска во всех областях анализа - инфраструктуре, приложениях, операциях, персонале. 
Кроме измерения соотношения угрозы безопасности и методов защиты, средство также измеряет уровень безопасности организации. Уровень безопасности подразумевает развитие высокоэффективных и стабильных методик обеспечения безопасности. При низком значении используется ограниченное число методов защиты, а для действий характерно быстрое реагирование. При высоком значении практикуются устоявшиеся и проверенные процессы, которые позволяют компании предпринимать упреждающие меры и при необходимости реагировать еще эффективнее и согласованнее. 
Для конкретной среды предлагаются рекомендации по управлению рисками, учитывающие существующее развертывание технологии, текущее состояние безопасности и стратегии эшелонированной защиты. Выработанные предложения являются ориентиром на пути к общепризнанными и эффективным методам защиты.