воскресенье, 10 апреля 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 1

В этой части рассмотрены следующие вопросы:
  • Роль Департамента эксплуатации
  • Административное управление
  • Администратор безопасности и администратор сети
  • Подотчетность
  • Уровни отсечения
  • Уровень гарантий
Операционная безопасность (operations security) имеет отношение ко всему тому, что делается для сохранения доступности и обеспечения защиты сетей, компьютерных систем, приложений и сред. В частности, операционная безопасность обеспечивает правильную настройку привилегий и прав доступа пользователей и приложений к тем ресурсам, для работы с которыми они имеют необходимые полномочия, а также выполнение журналирования событий, мониторинга и анализа журналов, подготовки необходимой отчетности. После того, как сеть создана и введена в эксплуатацию, в ней начинают выполняться различные операции, в т.ч. операции по сопровождению и постоянной поддержке функционирования сети и повседневной деятельности в ней. Это действия, которые позволяют сети и системам в ней работать правильно и безопасно.

Сети и вычислительные среды являются динамичными. То, что они безопасны сегодня, совершенно не означает, что они будут безопасны через месяц. Многие компании нанимают консультантов по безопасности, чтобы они дали рекомендации по улучшению их инфраструктуры, политик и процедур. Компания может потратить миллионы на реализацию предложений консультанта: закупить, установить и правильно настроить межсетевые экраны, системы обнаружения вторжений (IDS), антивирусные средства и системы управления патчами. Однако если для ее IDS и антивирусных средств не выполняется постоянное обновление сигнатур, не устанавливаются обновления и новые версии самих этих средств, если межсетевые экраны и маршрутизаторы не проверяются на наличие уязвимостей, если новые программы появляются в сети, минуя планы по обеспечению безопасности, компания может легко скатиться обратно в небезопасное состояние. Это происходит из-за того, что компания не поддерживает в актуальном состоянии свою операционную безопасность.
Большинство вопросов, связанных с операционной безопасностью, были рассмотрены в предыдущих Доменах. Они были интегрированы в темы этих Доменов, и не помечались особо в качестве вопросов операционной безопасности. В этом Домене мы будем ссылаться на уже рассмотренные вопросы и более детально остановимся на еще не рассмотренных вопросах операционной безопасности, имеющих большое значение для компний и кандидатов CISSP.


Необходим постоянный контроль, чтобы сохранять уверенность в том, что внедрены правильные политики, процедуры, стандарты и инструкции, что им действительно следуют сотрудники компании. Это является важной частью проявления должной заботы (due care) и должной осмотрительности (due diligence), которые обязана выполнять компания. Должная забота и должная осмотрительность основаны на понимании «разумного человека». Разумный человек считается ответственным, внимательным, осторожным и практичным. Это полностью применимо и к компании, проявляющей должную заботу и должную осмотрительность. Необходимо выполнить правильные шаги для достижения необходимого уровня безопасности, сохраняя при этом баланс простоты использования, соблюдения установленных требований и минимизации затрат. Необходимо предпринимать постоянные усилия и обеспечивать дисциплину, чтобы сохранить надлежащий уровень безопасности. Операционная безопасность – это все то, что делается для обеспечения адекватной защиты людей, приложений, оборудования, а также среды, в которой они работают.

Хотя операционная безопасность основана на постоянной поддержке защитных мер и средств для сохранения необходимого уровня безопасности среды, при выполнении этих задач также должны учитываться обязательства компании и ее юридическая ответственность. Компании и их высшее руководство часто имеют закрепленные на законодательном уровне обязательства по обеспечению защиты активов, реализации мер безопасности, проверке их эффективности, чтобы убедиться, что они реально обеспечивают необходимый уровень защиты. Если эти обязательства по операционной безопасности не будут выполнены, у компании могут возникнуть серьезные проблемы.

Компания должна учесть множество угроз, в т.ч. возможное разглашение конфиденциальной информации, кражу имущества, повреждение данных, прерывание отдельных сервисов, а также полное разрушение физической или логической среды. Важно определить, какие системы и операции обрабатывают информацию ограниченного доступа (что означает, что должна быть обеспечена защита конфиденциальности обрабатываемой в них информации), а какие являются критичными для работы самой компании (что означает, что они должны быть доступны постоянно) (вопросы законодательства и ответственности, связанные с безопасностью, были рассмотрены в Домене 08).

Важно также отметить, что, несмотря на то, что значительная часть операционной деятельности компаний связана с компьютерными ресурсами, компании по-прежнему зависят и от физических ресурсов, включая бумажные документы и данные, хранящиеся на дисках, лентах и других съемных носителях. Значительная часть операционной безопасности посвящена вопросам, связанным с физическими проблемами и проблемами внешней среды, такими как температура и контроль влажности, повторное использование носителей информации, утилизация и уничтожение носителей информации, содержащих критичную информацию. Также операционная безопасность связана с конфигурациями, производительностью, отказоустойчивостью, безопасностью, ведением учета, проведением проверок соблюдения действующих операционных стандартов и требований.


Административное управление (administrative management) является очень важной частью операционной безопасности. Одним из аспектов административного управления являются кадровые вопросы. Они включают в себя разделение обязанностей и ротацию обязанностей. Целью разделения обязанностей (separation of duties) является обеспечение того, чтобы один человек не мог в одиночку нарушить безопасность компании каким-либо образом. Высокорискованные операции (действия) должны быть разбиты на несколько частей и распределены между разными людьми или подразделениями. При этом компании не нужно принимать опасно высокий уровень доверия к отдельным лицам. Для реализации мошеннических действий потребуется сговор, т.е. в этом должны принимать участие несколько человек, предварительно договорившись между собой, что менее вероятно, чем действия отдельного злоумышленника. Таким образом, разделение обязанностей является превентивной мерой, которая не позволяет нарушить безопасность компании без специального сговора нескольких ее сотрудников.

В Таблице 10-1 перечислены распространенные в компаниях роли и их основные обязанности. Для каждой роли в компании должны быть разработаны полные и понятные должностные инструкции. Сотрудники безопасности должны руководствоваться этими должностными инструкции при назначении прав доступа и разрешений, чтобы обеспечить наличие у каждого из пользователей доступа только к тем ресурсам, которые необходимы им для выполнения возложенных на них задач.

Таблица 10-1. Роли и связанные с ними задачи

Таблица 10-1 содержит всего несколько ролей с несколькими задачами для каждой роли. Компания должна разработать полный список ролей, работающих в ее среде, с указанием задач и обязанностей каждой роли. Этот список должен использоваться в дальнейшем владельцами данных и сотрудниками безопасности при определении, кто должен иметь доступ к определенным ресурсам и какой именно доступ.

Разделение обязанностей позволяет избежать ошибок и свести к минимуму конфликты интересов, которые могут произойти, если один человек выполняет некую задачу от начала до конца. Например, программист не должен быть единственным, кто протестирует разработанный им код. Тестирование его кода на предмет функциональности и целостности должен произвести другой человек, имеющий другие задачи, поскольку сам программист может быть совершенно уверен в своей программе, у него может быть собственное понимание, как программа должна работать, поэтому он проведет тестирование только нескольких функций и нескольких вариантов входных значений и только в определенных средах.

Другим примером разделения обязанностей являются различия в функциях пользователя компьютера и системного администратора. Между их обязанностями должна проходить четкая линия. Конкретные обязанности пользователей и администраторов могут различаться в различных средах и в зависимости от требуемого уровня безопасности в этих средах. Как правило, системные администраторы и администраторы безопасности выполняют такие функции, как резервное копирование и восстановление, разграничение прав доступа, добавление и удаление пользователей, создание пользовательских профилей. При этом пользователю компьютера может быть разрешено устанавливать программное обеспечение на свой компьютер, устанавливать первоначальный пароль, изменять настройки рабочего стола и некоторые параметры системы. Однако пользователь не должен иметь возможностей изменять свой профиль безопасности, добавлять и удалять глобальных пользователей, предоставлять и изменять права доступа к критичным сетевым ресурсам, т.к. это могло бы нарушить концепцию разделения обязанностей.

Ротация обязанностей (Job rotation) означает, что один и тот же человек не может постояно выполнять задачи одной должности в компании. По прошествии определенного времени, он должен быть переведен на другую должность или на него должны быть возложены иные обязанности. Это позволяет компании иметь несколько сотрудников, которые понимают и умеют выполнять задачи и обязанности такой должности, что обеспечивает наличие резерва, который может понадобиться в случае, если критичный для компании сотрудник уйдет из компании или будет отсутствовать на рабочем месте. Ротация обязанностей также помогает выявить мошеннические действия, поэтому ее можно считать детективной защитной мерой. Если Кейт раньше занимал должность Девида, он хорошо знает задачи и процедуры, которые входят в обязанности этой должности. Поэтому Кейт может лучше других выявить что-то необычное и подозрительное в деятельности Девида (вопросы, связанные с ротацией обязанностей рассматривались в Домене 02).

Приципы наименьших привилегий (least privilege) и «необходимо знать» (need to know) также являются административными защитными мерами, которые должны быть реализованы в операционной среде. Принцип наименьших привилегий означает, что человек должен иметь достаточно прав и полномочий для выполнения задач своей роли в компании, но не более того. Если человек имеет излишние права или полномочия, это может стать причиной злоупотреблений и привести к излишним рискам для компании. Например, если Александр в компании занимает должность технического писателя, ему не обязательно иметь доступ к исходным текстам программного обеспечения, разрабатываемого компанией. Поэтому механизмы, контролирующие доступ Александра к ресурсам, не должны позволить ему получить доступ к исходным текстам. Это будет правильной реализаций защитных мер, обеспечивающих операционную безопасность ресурсов.

Принципы наименьших привилегий и «необходимо знать» имеют общие черты. Каждый пользователь должен иметь доступ к тому, что ему «необходимо знать». Если Майку не требуется знать сумму налогов, которую компания заплатила в прошлом году, его права доступа в соответствующей системы не должны содержать разрешений на доступ к этим данным, что является примером реализации принципа наименьших привилегий. Использование нового программного обеспечения управления идентификацией (identity management software), которое сочетает в себе традиционные каталоги, системы контроля доступа и инициализации пользователей на серверах, в приложениях и системах, становится нормой для компаний. Это программное обеспечение позволяет в любой момент убедиться, что конкретным пользователям предоставлены только определенные права доступа, как правило, оно включает в себя расширенные функции аудита, которые могут быть использованы для контроля соблюдения действующих требований (внутренних и внешних).

Права доступа пользователя являются комбинацией атрибутов наименьших привилегий, уровня допуска пользователя, элементов, которые ему «необходимо знать», уровня критичности ресурса, а также режима безопасности, в котором работает компьютер. Система может работать в разных режимах в зависимости от критичности обрабатываемых данных, уровня допуска пользователей, и того, что эти пользователи имеют полномочия делать. Режим работы описывает условия, в которых система фактически работает. Мы рассматривали эти вопросы в Домене 03.

Обязательный отпуск (mandatory vacations) является другим видом административных защитных мер, хотя название может показаться немного странным на первый взгляд. В Домене 01 были рассмотрены причины, по которым следует убедиться, что сотрудники реально берут свои отпуска. Эти причины включают в себя возможности для выявления мошеннической деятельности и создание более благоприятных условий для выполнения ротации обязанностей. Если бухгалтер занимался мошенничеством, переводя по одному рублю с множества различных счетов на свой счет (атака «салями»), у компании будет больше шансов обнаружить это, если этот бухгалтер находится в отпуске неделю или больше. Когда один сотрудник находится в отпуске, другой сотрудник заменяет его. При этом он может найти сомнительные документы и указания на совершенные мошеннические действия, либо компания может заметить изменения в некоторых аспектах картины повседневной работы после того, как сотрудник ушел в отпуск.

Для проведения проверки лучше всего, чтобы проверяемый сотрудник взял отпуск и недели две отсутствовал на рабочем месте. Это даст достаточно времени для сбора улик, связанных с его мошеннической деятельностью. Сотрудники, которые сильно сопротивляются уходу в отпуск, должны вызывать подозрения, поскольку существует вероятность, что они не хотят идти в отпуск, т.к. боятся, что в их отсутствие могут быть обнаружены свидетельства их мошеннической деятельности.


Администратор безопасности не должен отчитываться перед сетевым администратором, потому что их работа направлена на достижение различных целей. Администратор сети должен обеспечить высокую доступность и производительность сети и ресурсов, предоставление пользователям той функциональности, которую они запрашивают. Однако зачастую концентрация на производительности и удобстве для пользователей дорого обходится безопасности. Обычно внедрение механизмов безопасности приводит к снижению производительности, поскольку эти механизмы принимают активное участие в процессах обработки и передачи данных: контентная фильтрация, поиск вирусов, выявление и предотвращение вторжений, обнаружение аномалий и т.д. Поскольку обычно все это не входит в зону ответственности сетевого администратора, может возникнуть конфликт интересов. Поэтому администратор безопасности должен быть подчинен другому руководителю (по отношению к администратору сети), чтобы вопросы безопасности не игнорировались и им не устанавливался самый низкий приоритет.

Ниже перечислены задачи, которые должны выполняться администратором безопасности, а не сетевым администратором:
  • Внедрение и сопровождение устройств и программного обеспечения безопасности. Несмотря на то, что некоторые поставщики утверждают, что их продукция будет эффективно обеспечивать безопасность при реализации по принципу «поставить и забыть», продукты безопасности требуют постоянного мониторинга и обслуживания, что необходимо для их полноценной работы. Для закрытия найденных в этих продуктах уязвимостей, а также для получения новых возможностей, может потребоваться установка патчей или обновление версий программного обеспечения этих продуктов.
  • Проведение оценки безопасности. При проведении оценки безопасности, требуются знания и опыт администратора безопасности, необходимые для выявления уязвимостей в системах, сетях, программном обеспечении компании. Результаты оценки безопасности позволят руководству компании лучше понять риски, перед лицом которых стоит компания, и принять наиболее разумные решения по закупке и внедрению продуктов и услуг безопасности, выбрать эффективную стратегию снижения риска с точки зрения соотношения затрат и величины, на которую будут снижены риски, либо принять решение о принятии или переносе рисков (путем приобретения страховки) или их избежании (путем отказа от деятельности, вызывающей появление этого риска), если расходы на снижение риска до приемлемого уровня превысят вероятные выгоды от выполнения вызывающей его деятельности.
  • Создание и сопровождение профилей пользователей, внедрение и поддержка механизмов контроля доступа. Администратор безопасности обеспечивает практическое применение требований политики безопасности в части соблюдения принципа наименьших привилегий, выполняет контроль существующих учетных записей, разрешений и прав, которые им предоставлены.
  • Настройка и сопровождение меток безопасности для среды мандатного управления доступом (MAC). MAC применяется в основном в правительственных и военных организациях. При его использовании объектам и субъектам доступа присваиваются метки безопасности. Решения о предоставлении доступа принимаются по результатам сравнения уровня классификации объекта с уровнем допуска субъекта. Более подробно это рассматривалось в Домене 02. Внедрение и сопровождение методов управления доступом является обязанностью администратора безопасности.
  • Установка первоначальных паролей для пользователей. Новые учетные записи должны быть защищены от злоумышленников, которые могут знать шаблоны, на основе которых вырабатываются первоначальные пароли, либо могут найти новые учетные записи, для которых пароли пока не установлены. Они могут получить контроль над такой учетной записью, прежде чем уполномоченный пользователь воспользуется ей и сменит пароль. Администратор безопасности должен использовать автоматизированные генераторы паролей, либо вручную устанавливать новые пароли, а затем передавать их уполномоченным пользователям. При этом пароли должны создаваться таким образом, чтобы злоумышленники не могли угадать или быстро подобрать их. Новые учетные записи не должны оставаться незащищенными.
  • Анализ журналов регистрации событий. Хотя наибольшую безопасность обеспечивают превентивные защитные меры (такие как межсетевые экраны, которые блокируют неразрешенную сетевую активность), детективные меры, такие как анализ журналов регистрации событий, также необходимы. Например, межсетевой экран заблокировал за вчерашний день 60000 попыток несанкционированного доступа. Единственный способ для администратора безопасности (или используемого им автоматизированного средства) узнать, хорошо это или плохо – проанализировать журналы межсетевого экрана, чтобы найти в них признаки действий злоумышленника. Если эти 60000 заблокированных попыток доступа были обычным случайным низкоуровневым шумом сети Интернет, тогда (вероятно) это нормально, но если эти попытки доступа были более сложными и исходили из конкретного диапазона адресов, вероятно, было проведено спланированное (и, возможно, успешное) нападение. Анализ журналов регистрации событий администратором безопасности позволяет выявить различные плохие вещи по мере того, как они происходят, и (надеюсь) до того, как они причинят реальный ущерб.


Доступ пользователей к ресурсам должен быть ограничен и надлежащим образом контролироваться, чтобы предотвратить нанесение ущерба компании и ее информационным ресурсам вследствие использования избыточных привилегий. Попытки доступа пользователей и их действия в процессе использования ресурсов должны журналироваться, должен быть организован мониторинг и регулярный анализ содержимого журналов регистрации событий. Каждому пользователю должен быть присвоен уникальный идентификатор, который должен записываться в журнал регистрации событий среди прочей информации о каждом событии, что позволит обеспечить персональную ответственность пользователей за свои действия. Каждый пользователь должен понимать свои обязанности при использовании ресурсов компании и нести ответственность за свои действия.

Ведение и мониторинг журналов регистрации событий помогают определить, действительно ли произошло нарушение, либо система просто нуждается в перенастройке для более качественного сбора событий, отражающих действия, которые выходят за пределы установленных разрешенных границ. Если действия пользователя не были записаны в журнал регистрации событий или не были проанализированы, очень трудно выявить факты наличия у пользователей избыточных привилегий или факты несанкционированного доступа.

Журналирование событий должно выполняться на постоянной основе. При этом кто-то должен регулярно просматривать содержимое журналов регистрации событий. Если никто не просматривает на регулярной основе эти журналы, сбор этих журналов вообще теряет смысл. Журналы регистрации событий зачастую содержат слишком много непонятных или, наоборот, обычных событий, чтобы их можно было эффективно анализировать вручную. Для этих целей существуют специализированные продукты и сервисы анализа журналов регистрации событий, которые разбирают каждое событие и сообщают о важных находках. Журналы регистрации событий должны анализироватьсы с помощью автоматизированных средств, либо вручную, при невозможности автоматизированного анализа, для выявления подозрительных действий, изменения настроек или поведения системы по сравнению с базовыми настройками (поведением). Кроме того, именно анализ журналов регистрации событий может заранее предупредить администраторов о многих проблемах, прежде чем они станут слишком большими и выйдут из-под контроля (вопросы журналирования, мониторинга и анализа журналов регистрации событий были рассмотрены в Доменах 02 и 08).

При проведении мониторинга администраторы должны задаваться следующими вопросами в отношении пользователей, их действий, текущего уровня безопасности и доступа:
  • Получают ли пользователи доступ к информации или выполняют задачи, которые не являются необходимыми для выполнения их должностных обязанностей? В случае положительного ответа, должна быть проведена оценка (и, возможно, изменение) имеющихся у пользователя прав и разрешений.
  • Повторяются ли одни и те же (или однотипные) ошибки? В случае положительного ответ, следует провести дополнительное обучение пользователей.
  • Не слишком ли много пользователей имеют права и привилегии доступа к критичным данным и ресурсам ограниченного доступа? В случае положительного ответа, должна быть проведена переоценка имеющихся прав доступа к этим данным и ресурсам. Возможно, следует сократить число лиц, которые имеют доступ к ним, и/или изменить границы их прав доступа.


Компании могут заранее установить пороговые значения количества определенных видов ошибок, в пределах которых эти ошибки будут считаться допустимыми, однако при превышении порогового значения, вызвавшие их действия должны быть проанализированы. Такое пороговое значение является базовым уровнем, в пределах которого выполнение определенных нарушений считается допустимым, однако при его превышении включается сигнал тревоги. Этот базовый уровень называют уровнем отсечения (clipping level). После превышения этого уровня отсечения, дальнейшие нарушения должны быть обязательно сохранены в журнале для последующего анализа. В основном для отслеживания таких действий и шаблонов поведения используются системы IDS, т.к. человек просто не в силах постоянно мониторить стопку журналов регистрации событий и эффективно выявлять в них определенные шаблоны действий. При превышении уровня отсечения, IDS может отправить соответствующее уведомление администратору по электронной почте или на его мобильный телефон, либо просто добавить эту информацию в журнал регистрации событий, в зависимости от настроек программного обеспечения IDS.

Целью использования уровней отсечения, анализа и мониторинга журналов регистрации событий является обнаружение проблем до того, как они нанесут серьезный ущерб, а также для получения предупреждений о происходящих или готовящихся атаках.
ПРИМЕЧАНИЕ. Внедренные меры и средства безопасности должны иметь определенную степень "прозрачности". Это дает возможность пользователям выполнять свои задачи и обязанности без необходимости выполнения дополнительных шагов, вызванных введенными мерами безопасности. Прозрачность также позволяет не давать пользователям слишком много сведений об используемых защитных мерах, что не позволяет им придумать способы их обхода. Если защитные меры слишком очевидны, злоумышленнику будет проще выяснить, как можно их обойти или преодолеть.


При проведении оценки продуктов по уровню доверия и гарантий, которые они предоставляют, часто в состав такой оценки входят операционные гарантии (operational assurance) и гарантии жизненного цикла (life-cycle assurance). Оценка операционных гарантий сосредоточена на архитектуре продукта, встроенных возможностях и функциях, которые позволяют клиентам постоянно иметь необходимый уровень защиты при использовании продукта. В частности, в процессе оценки операционных гарантий, рассматриваются механизмы контроля доступа, разделение программного кода, исполняемого в реальном и защищенном режимах, возможности контроля и мониторинга, проверяется наличие скрытых каналов, а также механизмы восстановления доверенного состояния в случае возникновения непредвиденных обстоятельств.

Гарантии жизненного цикла относятся к тому, как продукт был разработан и сопровождается. К каждому этапу жизненного цикла продукта предъявляются определенные стандарты и ожидания, которым он должен соответствовать, чтобы считаться доверенным продуктом. Примерами стандартов гарантий жизненного цикла являются технические задания, настройки уровня отсечения, модульное и интеграционное тестирование, управление конфигурациями, доверенное распространение. Производители, собирающиеся достичь одного из высших рейтингов безопасности своей продукции, должны будут пройти через оценку и тестирование каждого из этих вопросов.

Следующие разделы рассматривают некоторые из видов операционных гарантий и гарантий жизненного цикла не только в части оценки, но и в части обязанностей компании, возникающих после внедрения продукта. Продукт – это просто рабочий инструмент компании, который используется для получения определенной функциональности и безопасности. Именно компания должна обеспечить, чтобы эта функциональность и безопасность были постоянно доступны, выполняя необходимые проактивные действия.

Ссылки по теме:

Комментариев нет: