Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Информационная безопасность и защищенность
информационных систем


Если бы зеленкой можно было защититься от переломов! При построении системы безопасности "с нуля" для действующей информационной системы достижение приемлемого уровня требует проведения ее фактически полного и детального аудита для выявления скрытых даже от профессионалов уязвимостей.

Пример. ISP-провайдер, обслуживающий тысячи клиентов, фактически противостоящих конечному штату служб безопасности и администраторов. Коллективный разум оказался изощреннее в реализации своей меркантильной цели для получения бесплатного доступа к ресурсам сети Интернет и вычислил ошибку, обеспечивающую полную бесконтрольность действий. Причина банальна - отсутствие детальной документации по сетевым ресурсам компании и, как следствие, мелкие изменения в структуре сети оставались неизвестными всему персоналу. При незначительной "среднедушевой" экономии клиентов постоянный ущерб компании существенно превышал расходы на содержание названных служб.

Обнаружение уязвимости стало возможным лишь при проведение независимого внешнего аудита

Опыт традиционных служб безопасности на основе ведомственных руководящих документов и стандартов с успехом решает задачи организационного уровня, однако глубина проработки специализированных методик, регламентов и инструкций, как правило, не определяет однозначного и полного решения задач информационной безопасности в конкретных вопросах, корректного поведения персонала даже в штатных ситуациях и оставляет широкие возможности злоумышленнику для несанкционированного воздействия на информационную систему. Стремительное развитие информационных технологий, ориентированных на использование глобальных сетей, лишь усугубляет ситуацию, поддержка действующих систем информационной безопасности собственными силами становится проблемой и проведение внешнего активного аудита специализированными инструментальными средствами способно определить уязвимости и предотвратить проблемы при вполне бюджетных затратах и, как правило, несоизмеримых потенциальному ущербу.

 

Мелочей не бывает, точнее, вся жизнь состоит из них, поэтому не следует пренебрегать даже самыми простыми проверками. Как пример, когда среди тысяч пользовательских логинов обнаруживаются исторически не имеющие паролей! Точно по Мэрфи - источником ошибок является наиболее очевидный факт.

Иная ситуация в случае практического исследования кода коммерческого программного продукта, полностью обеспечивающего необходимую функциональность и нагрузочную устойчивость, но не обладающего элементарными свойствами защищенности от нештатного ввода. Причина проста - при постановке задачи программистам не были явно сформулированы требования по безопасному программированию. Исследование выявило и уязвимости в обеспечении безопасности приложения во взаимодействии со средой функционирования и смежными сервисами. В этом случае можно поздравить зарубежного заказчика, инициировавшего исследование и не имеющего представления о русском фольклоре и нашем "авось".

Необходимый состав активного аудита зависит от многих факторов - сложности структуры ИС, квалификации обслуживающего персонала, степени проработки организационных мер, определяющих защищенность информационной системы, качество регламентов, инструкций, правил и пр. документов, регламентирующих деятельность персонала в штатных и критических ситуациях и детализируется в каждом конкретном случае. В общем случае "базовый" перечень работ включает инструментальные исследования корректности настроек ОС, штатного и прикладного ПО, СУБД, Интернет-приложений и иного ПО, исследование систем аутентификации и авторизации, проведение специализированных исследований ПО собственной разработки или заказного для решения нестандартных задач. Определение критических точек нагрузки ИС проводится т.н. стресс-тестированием с организацией плановой атаки на ИС до достижения отказа в обслуживании легальных процессов и запросов пользователей и является необходимым дополнением к имитации иных возможных действий потенциального злоумышленника.

Страница 1 2 3 4 5

© Центр Сетевой Безопасности Арнис, 2005

о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница