Безопасность по стандарту или аспирин для админа

Файл : ref-16334.pdf (размер : 78,796 байт)

Безопасность по стандарту или

аспирин для админа

С.А.Козлов sergeyk@tsi.lv

11 августа 2003 г.

Аннотация

В статье произведена попытка обзора документов регламенти- рущих безопасность ИС и связанных с ними областями. Автор не претендует на роль эксперта по безопасности.

Статья написана в качестве контрольной работы по курсу «Без- опасность компьютерных сетей» в Институте Транспорта и Связи.

1 Введение «Ничто так не способствует успешному внедрению новшеств, как отсутствие проверок»

Закон Муэнча [1]

Для начала попробуем отвлечься от Информационных Технологий(ИТ) и рассмотреть простой бытовой пример: есть некоторое помещение с две- рью. Некто, кто не должен был попасть в это помещение, оказался в этом помещении — кто виноват? Это помещение защищено? А если это помещение Ваш кабинет, квартира, комната или офис? У вас на каж- дой двери, выполненной из титана, установлен замок четвёртого класса стойкости1? Почему?

1ГОСТ 5089-97 «Замки и защелки для дверей. Технические условия.»

1

Безопасность сама по себе бессмысленна. Реальная Информационная Cистема(ИС) — это всегда компромисс между функциональностью и безопасностью, с поправкой на материальные затраты.

В быту и на малых фирмах вопросы безопасности решаются интуи- тивно: эмпирически, сисадмин или хозяин находит «золотую середину» в этом вопросе, а оценка производится по принципу «До первой полом- ки». Такой подход вполне естественен и оправдан — системный подход к безопасности может оказаться непомерной затратой. Если же убытки от простоя вычислительной техники превышают её стоимость, то есть смысл задуматься о детальном рассмотрении проблем безопасности, т.е. определиться с решаемыми задачами и оценить риски.

Вирусы, хакеры, ошибки пользователей и в Програмном и Аппарат- ном Обеспечении(ПО и АО) способны вызвать стрессовое состояние у любого человека связанного с компьютерами. Постоянные сообщения об обнаружении «дыр» в программном обеспечении именитых производи- телей могут привести в уныние любого администратора, ибо потратить всю жизнь на исправление не самая лучшая перспектива для творческой личности. Здесь, во избежание нервного расстройства, лучше восполь- зоваться советом именитого психолога: расслабиться и последовательно разобраться в сложившейся ситуации [2].

ПО любого производителя и на любой платформе будет иметь ошиб- ки, ибо программы пишут, устанавливают и эксплуатируют люди, а лю- дям свойственно ошибаться. Абсолютно надёжного ПО не существует. Так же как не существует абсолютно надёжного аппаратного обеспече- ния.

Применять все, рекомендуемые производителем, исправления ПО и правила и нормы безопасности весьма сложно, ибо исправляя одни ошиб- ки, патчи могут иметь другие ошибки или особенности. Отдельные пра- вила могут утрачивать значение с изобретением новых методов атак или вступать в противоречие с другими правилами или со здравым смыс- лом [3].

Если Ваш бизнес не относится к классу пресловутого «неуловимого Джо», то у Вас будут конкуренты и недоброжелатели. В любом случае следует учитывать хакеров-«альтруистов» способных взломать «всё и вся» не соизмеряя материальные затраты.

Более детально составляющие угрозы информационной безопасности рассмотрены в [4].

«Что может быть проще! Купите CoolFirewall с SuperServer и у Вас не будет проблем, а цена конечно высокая, ибо безопасность не может стоить дёшево!» — воскликнут в фирме торгующей дорогой аппаратурой и ПО для защиты. Возможно красивая коробка действительно обеспечи-

2

вает то что написано в рекламных проспектах, но стоит ли платить такие деньги за это? Ведь это надо обосновать и шефу. А потом обосновать, что, несмотря, на вновь возникшие проблемы, деньги были выброше- ны незря. Другими словами: как оценивать затраты и результат? Какую прибыль приносит безопасность? [15]

И так, разобравшись, создаётся впечатление, что задача обеспечения безопасности неразрешима. Да, это так, более того — в такой поста- новке2 задача в принципе не имеет решения. Но решение есть и более того оно стандартизовано и не одно! В общих чертах для обеспечения безопасности (и, что важно, для её измерения) необходимо определить- ся в том: «Что и кому собираемся предоставлять или продавать?». Для