CC BY
51
2. Информационные системы и технологии
УДК 004.056
О C.B. Исаев
КИБЕРБЕЗОПАСНОСТЬ НАУЧНО-ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ - АКТИВЫ И УГРОЗЫ1
В работе рассматривается международный стандарт по кибербезопас-ностн. Перечислены основные элементы и их связи. Определены ключевые активы кибербезопасности для научно-образовательного учреждения. Рассматриваются возможные риски и их последствия. Предложен ряд мер по повышению безопасности в киберпространстве.
Ключевые слова: защита информации, кибербезопасность, стандарт, компьютерные сети.
OS.V.Isaev
CYBERSECURITY OF ACADEMIC AND EDUCATIONAL INSTITUTION - ITS ASSETS AND THREATS
The paper deals with the international standard for cybersecurity. Main elements and their relationships are listed. Key assets of cybersecurity of research and educational institutions have been identified. The possible risks and their consequences are considered. A number of measures to improve security in cyberspace are proposed.
Keywords: information protection, cybersecurity, standard, computer networks.
Введение
Развитие информационно-телекоммуникационных технологий приводит к тому, что все больше сфер человеческой деятельности напрямую оказываются связанными с информационным или киберпространством. Все большую актуальность приобретают вопросы кибербезопасности, ки-беругроз и кибервойн [1]. Причем в среде специалистов по информационным технологиям еще нет единого понимания этих терминов. В июле 2012 года был принят новый стандарт в области кибербезопасности ISO 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности» [2]. Он дает однозначное понимание связи кибербезопасности (cybersecurity) с
1 Работа выполнена при финансовой поддержке интеграционного проекта № 21 «Исследование закономерностей и тенденций развития самоорганизующихся систем на примере веб-пространства и биологических сообществ».
9
сетевой безопасностью, прикладной безопасностью, интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. Для российских ИТ-специалистов, безусловно, полезно изучить основные понятия данного стандарта для лучшего понимания западных коллег, а может быть, и друг друга.
Центральное место в стандарте занимает киберпространство, определяемое как сложная среда, возникающая как результат взаимодействия между людьми, программным обеспечением и интернет-сервисами, поддерживаемая посредством распространения информационно-телекоммуникационных устройств и сетей по всему миру. В киберпро-странстве часть проблем безопасности не покрывается существующими традиционными направлениями: информационная безопасность, интернет-безопасность, сетевая безопасность. Остаются пробелы, обусловленные большим количеством организаций и провайдеров услуг в киберпро-странстве и недостаточной взаимосвязью между ними.
Основные понятия и определения
Кибербезопасность (безопасность киберпространства) определяется как сохранение конфиденциальности, целостности и доступности информации в киберпространстве. Взаимосвязь кибербезопасности с соседними областями, определенная в стандарте, иллюстрируется на рис. 1.
Исходя из данного определения, кибербезопасность представляет собой набор средств, технологий, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками, которые используются для защиты киберсреды, ресурсов организаций и пользователей. Понимание стандарта специалистами помогает подготовиться, идентифицировать, осуществлять мониторинг и реагировать на атаки: с применением социального инжиниринга, хакерство, вредоносные приложения (та1\\агс). шпионские приложения (зру\¥аге), другое нежелательное программное обеспечение.
Рис. 1. Взаимосвязь кибербезопасности с другими технологиями
10
Главное внимание уделено защите информации корпоративных и иных пользователей при посещении интернет-сайтов, оплате счетов и использовании интернет-банкинга. Основными участниками киберпро-странства являются пользователи (частные и корпоративные) и операторы (сетей связи и различных телекоммуникационных приложений). Под угрозу ставятся активы, которые можно разделить на персональные и корпоративные, виртуальные и физические. Средства реагирования на кибе-ругрозы разделяют на превентивные, реактивные и обнаруживающие. На рис. 2 приводится модель отношений объектов киберпространства, позволяющая понять все аспекты их взаимодействия.
Также в сфере кибербезопасности используется определение «агент угрозы» - человек или группа людей, выполняющих или поддерживающих атаку. Под уязвимостью актива понимают слабую защищенность актива или управления, которая может использоваться угрозой.
Рис. 2. Модель отношений объектов безопасности киберпространства
Отдельно стоит упомянуть термин «cybersafety», который не имеет прямого перевода и понимается как принципы безопасного поведения в киберпространстве. Очень часто, пользуясь интернет-сервисами, социальными сетями и прочими элементами киберпространства, у людей возникает ложное представление о приватности и защищенности помещаемой в киберпространство информации. Фотографии, видео, персональная информация - все это размещается в сети для друзей, но может в любой
момент использоваться и злоумышленниками. Именно поэтому безопасному поведению в киберпространстве нужно начинать учить одновременно со знакомством с компьютером.
Основные предлагаемые в стандарте методы оценки и устранения рисков:
1. Идентификация критических активов: использование терминологии киберпространства расширяют область активов. Поскольку экономически нерентабельно защитить все активы, важно идентифицировать критические активы и предусмотреть специальные меры для их защиты. Выделение происходит из контекста бизнеса, посредством рассмотрения воздействия потери или ухудшения актива на бизнесе в целом.
2. Идентификация рисков: участники должны рассмотреть дополнительные риски, угрозы и атаки, появляющиеся при включении в киберпространство.
3. Ответственность: участник киберпространства должен нести дополнительную ответственность перед другими участниками.
4. Отключение систем и сервисов: если система или сервис перестает использоваться, то они должны быть удалены, что гарантирует прекращение воздействия и уменьшение угроз на связанные сервисы и интерфейсы.
5. Взаимодействие: подход к управлению рисками применяется ко всему киберпространству. На участников киберпространства возлагаются обязанности планирования на случай непредвиденных ситуаций, аварийного восстановления, развития и внедрения защитных программ для систем под их контролем или в их собственности.
Кибербезопасность научно-образовательного учреждения
Рассмотрим основные активы киберпространства в контексте научно-образовательного учреждения:
1. Информация и программное обеспечение - виртуальные активы. Все, что хранится на носителях и передается по сетям, принадлежит рассматриваемой организации.
2. Физические устройства, такие как компьютеры, принтеры, сетевые устройства и прочие устройства, связанные с киберпространством -материальные активы, которые могут быть атакованы из киберпространства.
3. Телекоммуникационные сервисы, такие как корпоративная электронная почта, веб-сайты организации, информационно-справочные и библиотечные системы, корпоративная связь, являются виртуальными, но очень важными для эффективного функционирования научного учреждения.
4. Люди, их квалификация, умения и опыт - эти активы находят свое отражение в киберпространстве. За счет изменения информации о
людях в киберпространстве можно нанести серьезный вред как конкретному человеку, так и организации.
5. Репутация, имидж организации и ее работников являются нематериальными активами и могут быть испорчены за счет формирования ложного образа в киберпространстве, например размещения на информационных ресурсах ложных сообщений, ложных отзывов и т.д.
6. Средства на банковских счетах - нематериальные активы, которые могут быть уязвимы из киберпространства.
Приведенный список активов можно расширять, в том числе с учетом специфики источников угроз для сети научно-образовательного учреждения и их динамики [3]. Но даже безопасность перечисленных активов уже не всегда может быть обеспечена традиционными средствами защиты информации. Например, имидж организации, формирующийся в том числе и в киберпространстве, можно отслеживать и защищать с помощью мониторинга динамики поисковых запросов об организации. При обнаружении резких изменений следует проанализировать причины и принять адекватные меры. Также безопасность части активов, таких как телекоммуникационные сервисы, невозможно обеспечить только на уровне организации, так как они тесно связаны с киберпространством. Для защиты в этом случае требуется совместная работа с операторами связи и постоянный мониторинг доступности сервиса из ключевых точек киберпространства.
В Институте вычислительного моделирования СО РАН действует система противодействия попыткам несанкционированного доступа, позволяющая отслеживать динамику угроз (рис. 3). Она основана на замене стандартных служб удаленного входа у серверов на собственные службы. При обнаружении попытки соединения с такой службой в журнале событий фиксируется дата и сетевой адрес источника. После этого адрес источника блокируется на сутки на внешнем маршрутизаторе. Блокировка предотвращает все попытки соединения с любыми интернет-службами серверов сети Красноярского научного центра с потенциально неблагонадежного адреса. После установления соединения обычно следуют попытки авторизации путем подбора паролей или выявление возможных уязви-мостей сетевых служб атакуемого сервера.
50 45 40 35 30 25 20 15 10 5 0
Китай
V-
США 'Бразилия
Россия
"/-
— • Индия
— — Китай
США
Россия
2007 2008 2011 2012 2013
Рис. 3. Доля попыток несанкционированного доступа за 2008-2012 годы
Обработка журнала работы данной системы позволяет подсчитать количество попыток соединения и фиксировать их адреса. Принадлежность адресов странам можно проверить по общедоступным базам зарегистрированных IP-адресов. Не все адреса присутствуют в базах и не все попытки соединения несут угрозу.
Анализ журнала системы за июнь-август 2013 года показывает, что количество угроз постоянно увеличивается. Также интересен факт увеличения доли угроз со стороны китайских сетей более чем в два раза за последние пять лет, несмотря на использование национальной системы фильтрации трафика.
В настоящее время в ИВМ СО РАН активно используются системы мониторинга критичных интернет-сервисов, уязвимых из киберпростран-ства. Ведется разработка моделей безопасности веб-сервисов, ориентированных на использование в киберпространстве [4]. Также проектируется система мониторинга, которая могла бы анализировать количественные и семантические характеристики исследуемых веб-сайтов. Использование такой системы совместно с поисковыми системами позволит отслеживать характеристики таких активов киберпространства, как имидж организации, ее сотрудников.
Заключение
Рассмотрение всех информационно-телекоммуникационных активов научно-образовательной организации в контексте безопасности киберпространства позволяет выявить новые критические активы и недостатки в их безопасности. Комплексные методы противодействия, предлагаемые стандартом кибербезопасности, позволяют найти приемлемые решения, обеспечивающие безопасность активов киберпространства.
Литература
1. Капто А.С. Кибервойна: генезис и доктринальные очертания // Вестник Российской академии наук. - 2013. - Т. 83, № 7. - С. 616-625.
2. ISO/IEC 27032:2012 Information technology—Security techniques — Guidelines for cybersecurity.
3. Исаев С.В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. - 2012. - Вып. 3 (43). -С. 20-25.
4. Кононов Д.Д., Исаев С.В. Модель безопасности веб-приложений на основе мандатного ролевого разграничения доступа // Вестник Бурятского государственного университета. - 2012. - Вып. 9. - С. 29-33.
Исаев Сергей Владиславович, кандидат технических наук, доцент, зав. отделом Института вычислительного моделирования СО РАН. 660036, Красноярск, Академгородок, 50, стр.44, ИВМ СО РАН, тел. (391) 2494767. E-mail: si@icm.krasn.ru
Isaev Sergey Vladislavovich, candidate of technical sciences, associate professor, head of the department, Institute of Computational Modeling SB RAS 660036, Krasnoyarsk, Akademgorodok, 50, bld.44, ICM SB RAS, phone (391) 2494767. E-mail: si@icm.krasn.ru
