CC BY
32
О. И. Нестеровский, Е. С. Пашковская, Е. Е. Бутрик
кандидат технических кандидат технических наук наук
МЕТОДИЧЕСКИЙ ПОДХОД К ОРГАНИЗАЦИИ ПРОВЕДЕНИЯ КОНТРОЛЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ НА ОБЪЕКТАХ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
METHODOLOGICAL APPROACH TO THE ORGANIZATION OF INFORMATION SECURITY MONITORING AT CRITICAL INFORMATION INFRASTRUCTURE FACILITIES
Предложен подход к организации проведения контроля защищенности информации на объектах критической информационной инфраструктуры, заключающийся в определении правильности выбора номенклатуры требований и оценки достаточности уровня реализации требований к обеспечению безопасности объекта с учетом его категории.
An approach to the organization of information security control at the objects of critical information infrastructure is proposed, which consists in determining the correctness of the choice of the nomenclature of requirements and assessing the sufficiency of the level of implementation of the requirements for ensuring the security of the object, taking into account its category.
Введение. Обеспечение безопасного функционирования значимых объектов (ЗО) критической информационной инфраструктуры (КИИ) является сложной научно-практической задачей, решение которой требует проведения совокупности согласованных по цели, месту, времени и параметрам организационно-технических мероприятий, обеспечивающих защиту ЗО КИИ.
Для решения указанной задачи на ЗО КИИ создаются системы безопасности, основными функциями которых являются [1—3]:
- предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами критической информационной инфраструктуры, уничтожения такой информации, ее модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
- недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов критической информационной инфраструктуры.
В интересах создания систем безопасности ЗО разработан ряд нормативно-методических документов, регламентирующих порядок:
- установления требований к обеспечению безопасности;
- разработки организационных и технических мер по обеспечению безопасности;
- внедрения организационных и технических мер по обеспечению безопасности;
- обеспечения безопасности в ходе эксплуатации объекта;
- обеспечения безопасности объекта при выводе его из эксплуатации.
В процессе обеспечения безопасности в ходе эксплуатации значимого объекта одним из важнейших мероприятий является контроль за обеспечением безопасности, в ходе которого должны осуществляться [1—3]:
- контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;
- анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы безопасности значимого объекта.
Выполнение этих мероприятий, в свою очередь, требует проведения:
- оценки корректности формирования набора требований обеспечения безопасности при утвержденной (заданной) модели актуальных угроз безопасности для объекта;
- оценки правильности реализации требований обеспечения безопасности для объекта.
Основная часть. Многообразие объектов КИИ (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления [3]) и сфер деятельности субъектов КИИ (здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность [3]) предопределяют сложность типизации процедур организации и проведения контроля обеспечения безопасности ЗО. Для преодоления этой сложности предлагается разрабатывать типовую процедуру и алгоритм контроля, исходя из результатов анализа критически важной информации, используемой на объекте, которая может использоваться в процессе реализации неправомерных действий в отношении такой информации (далее по тексту — деструктивных информационных воздействий), с привязкой к возможностям добывания этой информации в процессе реализации компьютерных атак.
Для успешной реализации неправомерного доступа к информации, обрабатываемой ЗО КИИ, и осуществления деструктивных информационных воздействий (ДИВ) злоумышленнику, в первую очередь, необходима информация о ЗО КИИ и его системе защиты (далее — информация первого типа), которая может быть использована для организации и проведения компьютерных атак. При этом собственно деструктивным воздействиям, приводящим к нештатному функционированию ЗО, подвергается управляющая либо контрольно-измерительная информация (далее — информация второго типа), например показания датчиков состояния управляемого процесса или объекта.
В настоящее время определены основные этапы компьютерных атак применительно к типовым автоматизированным системам управления технологическими процессами (АСУ ТП) [4]. Промежуточной целью компьютерных атак является получение необходимой информации о ЗО и его системе защиты, и приобретение полномочий для дальнейшей реализации деструктивных действий. При этом каждый последующий этап
атаки обеспечивает получение дополнительной информации. По мере успешной реализации последовательности этапов компьютерной атаки происходит накопление информации первого типа, что, в конечном счете, влечет за собой качественный скачок возможностей злоумышленника, обеспечивающий возможность осуществления ДИВ путем несанкционированной модификации или блокирования критически важной информации второго типа. Осуществление ДИВ ведет к изменению состояния атакуемого объекта — из состояния нормального функционирования в состояние нештатной или кризисной (аварийной) ситуации, что может привести к значительному ущербу.
На каждом этапе компьютерной атаки злоумышленник получает определенную информацию (рис. 1):
сведения об аппаратном и программном обеспечении системы;
- аутентификационные данные пользователя для входа в систему;
- данные о системных процессах и программном обеспечении;
- аутентификационные данные администратора для расширения своих прав;
- ключ шифрования для доступа к конфиденциальной информации и др.
Информация, которой владеет
Этапы атак злоумышленник_
.Получение всех учетных данных пользователей, получение ключа шифрования для доступа к конфиденциальной информации и др._
Получение аутентификационных данных администратора и др.
Данные о системных процессах, используемых _протоколах и др._
Аутентификационные данные пользователя _для входа в систему и др._
Информация о программном и аппаратном обеспечении, топология сети и др.
Подготовка к атаке
Программно-техническая информация о КИИ и ее системе защиты
Рис. 1. Программно-техническая информация, получаемая на этапах
компьютерных атак
Применительно к каждому виду информации первого типа, добываемой на этапах компьютерной атаки, можно определить средства и меры защиты информации, которые потенциально способны препятствовать ее добыванию. Следовательно, можно и определить, что именно надо контролировать для определения степени защищенности объекта КИИ. Переход к средствам и мерам защиты, используемым на конкретном (контролируемом) объекте КИИ, при этом может осуществляться непосредственно в ходе проводимой проверки, исходя из схемы циркуляции информации и из топологии автоматизированной (информационной, информационно-справочной или управляющей) системы.
При этом выявляется интересная закономерность. С одной стороны, этапы компьютерной атаки «подготовка к атаке» и «получение начального доступа» позволяют получить минимально необходимую информацию об атакуемой системе («программно-техническая информация о ЗО и его системе защиты»), а с другой стороны, большинство существующих
мер и средств защиты информации нацелено на парирование устремлений злоумышленника именно на этих этапах атаки. Это соответствует исходной парадигме реализации защиты, основанной на принципе презумпции мер по недопущению «взлома» системы по отношению к мерам выявления факта «взлома» и ликвидации его последствий.
Анализ имеющейся информации о мерах и средствах противодействия компьютерным атакам показывает, что на начальных этапах компьютерной атаки могут применяться меры защиты информации, условно объединенные в две следующие группы.
Первая группа мер и средств защиты информации имеет своей целью проведение непрерывного анализа информации, циркулирующей в системе, и включает в себя:
- проведение анализа потоков циркулирующей в системе информации (анализ инцидентов безопасности, ведение журналов происходящих событий), реализуемого комплексными средствами защиты информации от несанкционированного доступа, средствами защищенных операционных систем, системами обнаружения вторжений;
- проведение анализа выполняющихся процессов (анализ системы на наличие вредоносного кода), реализуемого с использованием антивирусных средств и комплексных средств защиты информации от несанкционированного доступа;
- проведение анализа защищенности системы в целом (анализ уязвимостей, анализ архитектуры сети), реализуемого с использованием сканеров уязвимостей, средств инвентаризации сети, средств анализа и контроля защищенности.
Вторая группа мер и средств защиты информации имеет своей целью формирование различных барьеров, усложняющих проникновение в систему, и проведение ее изучения. Как правило, эти меры и средства реализуются путем:
- использования различных вариантов аутентификации пользователей (использование одноразовых паролей, рассылка паролей через sms-сообщения и др.), реализуемых с использованием специального программного обеспечения (ПО), комплексных средств защиты информации от несанкционированного доступа, средств защищенных операционных систем;
- осуществления контроля информации, циркулирующей внутри и за пределами системы (фильтрация входящего и исходящего трафика), реализуемого с использованием средств однонаправленной передачи данных, ЕШегпе^коммутаторов, межсетевых экранов, шлюзов безопасности, комплексных средств защиты информации от несанкционированного доступа и средств защищенных операционных систем;
- изменения стандартных настроек системы (использование нестандартных портов для подключения к внешним сетям). Как правило, изменение стандартных настроек системы осуществляется администратором сети или службой информационной безопасности. В случае изменения стандартных настроек системы в ходе проведения контроля необходимо проверить корректность настроек средств защиты информации на предмет отсутствия коллизий в связи с введенными изменениями.
Из изложенного следует, что в ходе проведения проверочных мероприятий необходимо констатировать наличие или отсутствие указанных средств (мер) защиты информации и правильность их применения (настройки).
Отметим, что для парирования компьютерных атак на начальных этапах их реализации большое значение имеет полнота и качество предпринятых организационных мер (организация демилитаризованной зоны, сегментирование системы и др.) и архитектурных решений при развертывании сети (использование нестандартных портов при подключении сервисов системы к внешним сетям, использование контейнеров и изоляция процессов в выделенной области памяти и др.). Перечисленные меры реализуются за счет архитектурных решений и настроек операционной системы.
На этапах реализации компьютерных атак, когда злоумышленник уже проник в систему, можно выделить следующие группы типовых этапов компьютерных атак:
- «закрепление в системе»;
- «повышение привилегий»;
- «обход защиты»;
- «получение учетных данных».
В конечном счете действия злоумышленника направлены на повышение своих привилегий в системе, что должно позволить ему обойти систему защиты информации и получить доступ к необходимой информации второго типа (рис. 1).
В качестве средств защиты на данных этапах выступают инструменты защищён-ных операционных систем, к которым можно отнести:
- средства реализации мандатного доступа, позволяющего разделить доступ ко всем данным и процессам системы, причем использование данного инструментария не гарантирует злоумышленнику успешность проведения атаки даже при получении им прав администратора системы;
- использование атрибутов файловых систем, реализуемое путем установления флагов отдельных файлов и ограничения файловых операций в системе;
- шифрование разделов дискового пространства, ограничивающее использование информации даже при получении физического доступа к данным, реализуемое в том числе средствами криптографической защиты.
Следует отметить, что на данных этапах компьютерных атак повышается значимость мер защиты, использующих организационные и архитектурные решения. К ним относятся:
- организация и проведение информирования и обучения персонала;
- организация и осуществление аудита безопасности;
- осуществление идентификации и аутентификации на уровне прикладного ПО и сервисов;
- мероприятия по ограничению программной среды;
- мероприятия по предотвращению вторжений.
Первостепенное значение при этом приобретает квалификация персонала, осуществляющего администрирование и эксплуатацию системы, включая мероприятия, направленные на контроль функционирования системы и выявление любых отклонений от заданных режимов её функционирования.
В соответствии с этим при проведении контроля защищенности ЗО КИИ проверке подлежат:
- правильность настроек доступа, определённых межсетевыми экранами (расширение доступа в систему и её ключевым элементам);
- возможность осуществления или осуществление несанкционированной модификации файлов системных журналов (по датам создания и атрибутам файлов - пользователь-создатель/группа пользователя-создателя);
- возможность несанкционированного изменения прав пользователей по запуску отдельных элементов ПО.
Осуществление этих проверок в ходе контроля защищенности ЗО базируется на периодической сверке хеш-сумм конфигурационных файлов с эталонным значением.
Корректность действий персонала, осуществляющего администрирование и эксплуатацию системы, может быть оценена в ходе контроля по прямым и косвенным признакам.
К прямым признакам можно отнести:
- аномальное (подозрительное) поведение пользователей, зафиксированное в системных журналах и журналах, генерируемых ПО;
- некорректное или нестандартное выполнение отдельных элементов ПО;
- наличие (появление) программных скриптов, запускаемых при инициализации системы (автозапуска) и непосредственно в процессе работы и т.д.
К косвенным признакам можно отнести:
- увеличение объема трафика;
- повышенную нагрузку на систему, возникающую вследствие выполнения посторонних программ (по результатам анализа данных системных мониторов);
- исчезновение/изменение аутентификационных данных пользователей и т.д.
В общем случае возможности реализации компьютерных атак определяются наличием уязвимостей программного и программно-аппаратного обеспечения ЗО КИИ, а также некорректными действиями персонала, связанными с неудобством работы при выполнении установленных ограничений, определяемых архитектурными решениями и принятыми организационными мерами защиты. Необходимость оперативного выявления и нейтрализации уязвимостей требует непрерывного мониторинга и своевременного обновления операционных систем и микрокодов BIOS аппаратного обеспечения.
В соответствии с классификацией, приведенной в ГОСТ Р 56546-2015 [5], уязвимости могут быть сгруппированы в следующие четыре класса:
- уязвимости кода;
- уязвимости конфигурации;
- организационные уязвимости;
- уязвимости архитектуры.
Выявляемые уязвимости программного кода служб и сервисов, прикладного программного обеспечения постоянно исправляются в последующих версиях, что также требует своевременного обновления этих служб и сервисов при выявленных фактах их компрометации. Фактически наличие тех или иных средств защиты информации без их корректной настройки не делает систему более защищённой, именно точное следование при конфигурации правилу «всё, что не разрешено - запрещено» является непременным условием эффективного решения задачи защиты ЗО КИИ.
Таким образом, при проведении контроля средств защиты информации необходимо обратить внимание на своевременность и корректность обновлений ПО. В ходе проведения соответствующих проверок представляется целесообразным использовать входящие в состав систем защиты информации АСУ ТП сканеры уязвимостей, которые в обязательном порядке отобразят перечень установленного ПО и его последние обновления. На основании этого перечня можно будет сделать вывод о наличии или отсутствии в проверяемой АСУ ТП уязвимостей, связанных с обновлениями ПО. Кроме того, сканер уязвимостей показывает точную конфигурацию отдельных узлов сети, что позволяет сделать вывод о корректности настроек ПО.
При контроле защищенности ЗО от угроз, связанных с наличием организационных уязвимостей и уязвимостей архитектуры, следует оценивать адекватность и полноту документов, разрабатываемых в интересах обеспечения безопасности объектов КИИ, и корректность выполнения требований к архитектуре сети.
При проверке документов особое внимание необходимо обратить на правильность формирования модели угроз безопасности информации с привязкой ее к критически важной информации, циркулирующей в АСУ ТП, и разработки рабочей (эксплуатационной) документации на ЗО (в части обеспечения его безопасности). Анализ этих документов должен служить основой для формирования плана проведения проверки защищенности ЗО и для оценки адекватности принятых мер и правильности выбора и настройки используемых средств защиты информации.
Корректность развертывания сети определяется по результатам анализа документов, содержащих описания сетевых соединений и узлов, и анализа результатов работы сканеров сети, позволяющих отобразить ее реальное состояние. В ходе проверок выявляются уязвимости, связанные с архитектурными решениями построения сети, применяемыми сетевыми протоколами и механизмами обработки пакетов. На этой основе определяется степень соответствия принятых мер и средств защиты информации выявленным уязвимостям: каждая обнаруженная уязвимость должна быть «закрыта» как минимум одной мерой или средством защиты информации. По результатам проведенного анализа делается вывод о корректности развертывания сети.
Заключение. Таким образом, решение задачи контроля требований обеспечения безопасности на ЗО КИИ сводится в методическом плане к последовательному решению двух задач:
- определение правильности выбора номенклатуры требований исходя из структуры защищаемого объекта, модели угроз безопасности для него и номенклатуры и содержания критически важной информации, используемой в процессе функционирования объекта;
- оценка достаточности уровня реализации требований к обеспечению безопасности объекта с учетом его категории.
Такой подход является универсальным в том смысле, что он может быть применен при организации и проведении проверок защищенности значимых объектов КИИ независимо от вида объекта и сферы деятельности субъектов КИИ.
ЛИТЕРАТУРА
1. Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации : федеральный закон от 17.02.2018 № 162 // СПС «КонсультантПлюс».
2. О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 : федеральный закон от 25.11.2017 № 569// СПС «КонсультантПлюс».
3. О безопасности критической информационной инфраструктуры Российской Федерации : федеральный закон от 26.07.2017 № 187 // СПС «КонсультантПлюс».
4. Соловьев С. В., Енютин А. Ю. , Бутрик Е. Е. Методический подход к определению перечня актуальных сценариев реализации компьютерных атак на объекты критической информационной инфраструктуры с использованием аппарата логики предикатов // Противодействие иностранным техническим разведкам и техническая защита информации» : труды ГНИИИ ПТЗИ ФСТЭК России. — Воронеж, 2019. — Вып. 1(12). — С. 45—56.
5. ГОСТ Р 56546-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. — М. : Стандартинформ, 2015.
REFERENCES
1. Ob utverzhdenii Pravil osushhestvleniya gosudarstvennogo kontrolya v oblasti obespecheniya bezopasnosti znachimy'x ob''ektov kriticheskoj informacionnoj infrastruktury' Rossijskoj Federacii : federal'ny'j zakon ot 17.02.2018 № 162 // SPS «Konsul'tantPlyus».
2. O vnesenii izmenenij v Polozhenie o Federal'noj sluzhbe po texnicheskomu i e'ksportnomu kontrolyu, utverzhdennoe Ukazom Prezidenta Rossijskoj Federacii ot 16 avgusta 2004 g. № 1085 : federal'ny'j zakon ot 25.11.2017 № 569// SPS «Konsul' tantPlyus».
3. O bezopasnosti kriticheskoj informacionnoj infrastruktury' Rossijskoj Federacii : fed-eraTnyj zakon ot 26.07.2017 № 187 // SPS «KonsuTtantPlyus».
4. Solov'ev S. V., Enyutin A. Yu., Butrik E. E. Metodicheskij podxod k opredeleniyu perechnya aktual'ny'x scenariev realizacii komp'yuterny'x atak na ob''ekty' kriticheskoj informacionnoj infrastruktury' s ispol'zovaniem apparata logiki predikatov // Protivodejstvie in-ostranny'm texnicheskim razvedkam i texnicheskaya zashhita informacii» : trudy' GNIII PTZI FSTE'K Rossii. — Voronezh, 2019. — Vy'p. 1(12). — S. 45—56.
5. GOST R 56546-2015. Zashhita informacii. Uyazvimosti informacionny'x sistem. Klassifikaciya uyazvimostej informacionny'x sistem. — M. : Standartinform, 2015.
СВЕДЕНИЯ ОБ АВТОРАХ
Нестеровский Олег Игоревич. Начальник кафедры информационной безопасности. Кандидат технических наук.
Воронежский институт МВД России.
E-mail: nester6679@yandex.ru.
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-40.
Пашковская Елена Сергеевна. Старший научный сотрудник. Кандидат технических наук.
ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
E-mail: gniii@fstec.ru
Россия, 394087, Воронеж, ул. 9 Января, 280а. Тел. 8-910-349-09-73.
Бутрик Екатерина Евгеньевна. Научный сотрудник.
ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
E-mail: gniii@fstec.ru
Россия, 394087, Воронеж, ул. 9 Января, 280а. Тел. 8-910-349-09-73.
Nesterovskiy Oleg Igorevich. Head of the chair of Information Security. Candidate of Technical Sciences.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: nester6679@yandex.ru.
Work address: 394065, Russia, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-40.
Pashkovskaya Elena Sergeevna. Senior Researcher. Candidate of Technical Sciences.
Federal Autonomous Institution «State Research and Testing Institute of the Federal Service for Technical and Export Control».
E-mail: gniii@fstec.ru
Work address: Russia, 394087, Voronezh, 9 Januarya Str., 280a. Tel. 8-910-349-09-73.
Butrik Ekaterina Evgenievna. Researcher.
Federal Autonomous Institution "State Research and Testing Institute of the Federal Service for Technical and Export Control".
E-mail: gniii@fstec.ru
Work address: Russia, 394087, Voronezh, 9 Januarya Str., 280a. Tel. 8-910-349-09-73.
Ключевые слова: контроль защищенности информации; объекты критической информационной инфраструктуры; типовые этапы компьютерных атак
Key words: information security control; objects of critical information infrastructure; typical stages of computer attacks.
УДК 004.78:004.056
