Оперативные действия мобильных IT-команд
рассматриваются руководством многих крупных
корпораций как составная часть оперативной
работы по охране и поддержанию
работоспособности своих информационных
ресурсов, сетей. Методы оперативного обеспечения
представляют собой комплекс административных и
полуадминистртивных, политических,
психологических и экономический мер защиты и
нападения.

Цели защитных
мероприятий.

Конечной целью
борьбы против различных кризисных и проблемных
ситуаций, является создание активной и четко
отлаженной защитной системы, с помощью которых
можно оперативно и адекватно реагировать на
внешние раздражители с целью их полной
нейтрализации. Наиболее эффективными
раздражающие и криминальные действия против
информационных систем корпорации являются
действия, которые пользуются поддержкой или
попустительством собственного персонала. В этой
связи с этим можно считать непременным условием
успешной борьбы с подобного рода ситуациями,
прежде всего их изоляция от собственных
сотрудников и лишение поддержки извне.


Для достижения указанных целей должны быть
решены такие основные задачи, как:

— выявление возможных видов
угроз, маршрутов реализации внешних и внутренних
атак;

— разработка и
внедрение четких, формализованных планов
действий персонала и организационных структур
на случай различных внештатных ситуаций;

— осуществление
политических, экономических, социальных и иных
мероприятий с целью стимуляции преданного
персонала своей организации;

Решающим условием
успеха защитных мероприятий является
централизованное руководство всеми силами и
средствами, участвующими в этой борьбе.
Высшим
органом руководства защитными мероприятиями в
данной организации, фирме считается
Координационный центр по информационной
безопасности (возглавляется обычно
вице-президентом, начальником департамента
информационной безопасности, руководителем
отдела информатизации), которые представляет
собой объединенное учреждение, организуемое на
различных уровнях. Такой орган может эффективно
планировать, координировать и направлять
операции собственных сил в той или иной ситуации,
районе.


Организация работы IT-команды и методы
оперативного обеспечения.

Защитные мероприятия
организуются и проводятся централизованным
управлением в масштабах той или иной
организации. Однако непосредственными
исполнителями защитных акций (действий) являются
оперативные команды быстрого реагирования (5-15
человек).

Весь персонал и
сторонние консультанты, привлекаемые к защитным
мероприятиям в данной организации или
информационной сети, составляют оперативную
группу со своим штабом, оперативным управлением,
каналами двухстороннего обмена информацией с
Координационным центром по информационной
безопасности.
В ходе защитных мероприятий
локальных и глобальных сетей, веб-сайтов
корпорации, антивирусной безопасности и
безопасности от стихийных бедствий, ошибках в
операционных системах, программных сбоях и
хакерских атак, в зависимости от характера и
специфики выполняемых задач, в состав
специальной группы могут включаться специалисты
(группы специалистов и консультантов) по
разведке и противодействию промышленному
шпионажу, работе с пользователями, организации
чрезвычайных административных мер, связи,
техническому обслуживанию данного
компьютерного парка. Кроме того, в специальных
группах могут быть специалисты из
фирмы-производителя программного обеспечения,
используемого в данной корпорации, собственной
службы персонала и офицеры правоохранительных
органов.

Считается, что в
качестве основных сил для ведения защитных
мероприятий повседневного характера, должны,
прежде всего, использоваться местные
администраторы и специалисты по информационной
безопасности, а специальные оперативные группы
должны составлять постоянный резерв защитных
сил организации (удаленного филиала корпорации).

Зоны ответственности
района защитных действий выделяются в виде
естественных сегментов (подсегментов) сети,
нескольких объединенных рабочих групп или по
территориальному признаку (отдельные здания,
удаленные филиалы), но предназначаются для
одного местного отдела автоматизации (или
нескольких сотрудников, если создание целого
отдела нецелесообразно по экономическим и иным
причинам). Границы зон ответственности
рекомендуется совмещать с границами
административных (государственных) районов, если
информационные сети предприятия (корпорации)
представляют собой разветвленную структуру.
Зоны ответственности для управления
автоматизации могут делится на секторы отделов,
которые, в свою очередь, могут делиться на
секторы групп или отдельных специалистов.

Размеры зон и секторов
ответственности зависят от условий в корпорации,
где проводятся защитные меры упреждающего и
противодействующего характера. Управлению
автоматизации моет быть назначена зона
численностью до десятков тысяч пользователей.
При этом уровень секторов ответственности
отделов может занимать не всю площадь зоны
ответственности управления. В таком случае
предусматривается последовательное проведение
защитных мероприятий в каждом из районов зоны.

Одним из наиболее
важных мероприятий, определяющих успех борьбы,
является своевременности получения и
использования информации, о новых разработках в
программном комплексе — новые версии
операционных систем и антивирусных комплексов,
новые заплаты для всевозможных офисных
продуктов, рекомендации по настройкам пакетных
фильтров и организации передачи информации из
одной подсети в другую. Гибкость и высокая
скорость обновления подобной информации делает
сведения о ней быстро устаревающими, поэтому
необходимо прилагать максимум усилий на всех
уровнях иерархической структуры для сокращения
времени от получения информации и материалов,
программ, до их проверки, практической
реализации и адекватного повсеместного
внедрения.


Мероприятия по предупреждению кризисных
ситуаций.

Информационная
разведка, мониторинг и поиски уязвимостей в
собственных системах безопасности и
информационных сетях проводятся силами
персонала отделов автоматизации на местах.
Группы в размере 1-3 специалистов являются
основной единицей подобного рода действий. Они
занимаются поиском различного рода аномальной
активности в пределах зоны ответственности
данного отдела.

Группы являются
первичными источниками данных о
несанкционированных проникновения,
нестандартных действия программных комплексов и
офисных приложений. На них возлагаются задачи не
только по обнаружению неправомерных действий
или ошибок в программном обеспечении, но и по
поддержанию тесного соприкосновения с данными
ситуациями в интересах детальной разведки,
обеспечения выигрыша времени, сосредоточения
сил и средств, необходимых для ведения действий
оп ликвидации чрезвычайных ситуаций.
Предусматривается также осуществление поисков и
засад силами групп с целью провокации сбоев,
информационных атак с целью открытия других
источников дополнительной информации и
совершенствования собственной системы
безопасности.

Наиболее
распространенным способом действий групп при
выполнении информационной разведки и
мониторинга по обнаружению аномальной
активности, программных и иных сбоев является
поиск в заданном районе — это может быть как
локальная сеть предприятия, так и
киберпространство Интернет, собственные
веб-узлы и ftp-сервера, скрипты, активность
пользователей.

Контрразведывательные
и административные мероприятия.

Административно-полицейские
мероприятия рекомендуется проводить регулярно,
постоянном меняя тактику в комплексе с другими
мерами, привлекая как сотрудников отделов
автоматизации, так и обычных пользователей. К
указанным мероприятиям относятся следующие:

1. Контроль за
деятельностью собственных пользователей,
рабочих и смежных групп. Администраторы проводят
регистрацию всех пользователей, находящихся в
данном комплексе сети, и выдают пароли, логины и
иные опознавательные знаки, удостоверяющие их
личность. Периодически вводится режим проверки
информационных сообщений, где пользовательскую
почту и сообщения подвергают цензуре с помощью
компьютерных программ, настроенных на реакцию по
заранее определенному списку ключевых слов.
Свободная передача информации и команд
разрешается только в пределах своей подсети.
Особое место отводится жесткому контролю за
выдачей и регулярной сменой паролей.
Определяются категории персональных
компьютеров и их владельцев, которые получают
высшие права доступа к информационным ресурсам
фирмы.

С помощью
специализированных программ-мониторов
администраторы организуют тщательное
наблюдение за лицами, подозреваемыми в
неправомерных действиях — ведется тщательный
учет всех действий, которые записываются в файлы
логов.

2. Проведение негласной
ревизии содержимого магнитных носителей
сотрудников, что, согласно законодательству
многих стран, является допустимым — на работе
персонал должен думать только о ней. Эти
мероприятия проводятся с целью проверки
подозрительных пользователей.

3. Организация
постоянного мониторинга. С целью
аутоидентефикации, контроля за правилами
передачи информационных сообщений и команд,
перехвата на ранних стадиях информации об
ошибках в используемом программном обеспечении.
Предусмотрено выделение рабочей группы для
мониторинга в составе группы IT-специалистов по
заранее установленным сменам (1-2 человека),
усиленной группы IT-специалистов (3-5 человек) и
постоянной группы быстрого реагирования.

4. Организация охраны
важных информационных ресурсов — серверов,
файловых архивов, веб-сайтов корпорации,
коммутаторов, маршрутизаторов, рабочих станций
администраторов. Информационная охрана данных
объектов организуется администраторами
совместно со службой безопасности. Для
надежности охраны применяются комбинированные
методы — информационная безопасность
обеспечивается пакетными фильтрами,
антивирусными комплексами, системами парольного
доступа и разграничения полномочий.

Рабочим группам по
мониторингу и информационной разведке
рекомендуется изменять график своей смены,
маршрутов и средств проверки. Большое внимание
должно уделяться охране коммуникаций (линии
связи, кабеля локальной сети и витая пара,
оптико-волоконные линии связи, терминалы
спутниковой и сотовой связи).

Все сегменты сетей и
линии связи в организации в зависимости от
степени защищенности от чрезвычайных ситуаций,
делятся на три категории: красные, желтые и
зеленые.

К красным относят линии
и серверы, находящиеся в зонах, где высока
вероятность возникновения чрезвычайных
ситуаций. Движение незашифрованных пакетов по
ним запрещается. Движение команд и передача
данных — только для выполнения активных
мероприятий по защите информации.

К желтым относят линии
и серверы, на которых имеется хотя бы малейшая
угроза безопасности. На таких линиях
сконцентрировано максимально возможное
внимание администраторов, антивирусные
комплексы настроены на избыточное сканирование,
пакетные фильтры настроены на максимально
жесткое отношение к скриптам и аплетам, вводятся
в действие программы, предупреждающие о
несанкционированном сканировании открытых
портов сервера. По таким линиям передачи данных
запрещается передача и прием информации без
антивирусного контроля и подтверждающих,
зашифрованных пакетов от отославшего и
принявшего серверов, причем такие пакеты должны
быть посылаемы через определенный промежуток
времени — в случае отсутствия пакета включается
система тревоги — либо вышел из строя сервер, либо
перехват на линии.

Категорию зеленых
составляют линии связи и серверы, проходящие в
сегментах сети, в которых низка вероятность
возникновения различных чрезвычайных ситуаций.
Передача информации разрешена без ограничений,
шифрование не применяется, антивирусные
комплексы осуществляют общее прикрытие.

 

Степень угрозы безопасности от
служащих

Элементы
системы

 

Внутре-нние
данные

Внутре-нние
прик-ладные программы

Внутре-нние
систем-ные модули

Внеш-ние
данные

Внеш-ние
систем-ные модули

Эле-менты
компьютерной техники и другая аппара-тура

Виды ущерба

Категории
пользователей

А В С

А В С

А В С

А В С

А В С

А В С

Библиотекарь
системных магнитных носителей

     

4 4

3 3

3 3

Библиотекарь
магнитных носителей пользователей

     

2 2

1 1

 

Пользователь-операционист

2 2 2

1 1

 

2 2 2

1 1

 

Оператор
системы

1 5 5

5 5

5 5

1 3 3

   

Оператор
перифирийного оборудования

     

3 3

4 4

1 1

Оператор
заданий

     

3 3

4 4

 

Оператор
ввода и подготовки данных

3 3 3

4 4

5 5

3 3 3

4 4

1 5

Менеджер
обработки

1 5 5

5 5

5 5

1 3 3

4 4

1 5

Администратор
баз данных

3 3 3

   

3 3 3

   

Системный
программист

5 5

5 5

5 5 5

   

1 5 1

Прикладной
программист

1 1 1

2 2 2

   

2 2 2

 

Пользователь-программист

1 1 1

2 2 2

   

2 2 2

 

Менеджер
программного обеспечения

1 1 1

4 4 4

   

4 4 4

 

Инженер/оператор
по связи

5 5

         

Инженер
системы

   

2 2 2

     

Администратор
безопасности

5 5 5

5 5 5

5 5 5

3 3 3

4 4 4

5 5 5

Системный
контролер

5 5 5

5 5 5

5 5 5

5 5 5

5 5 5

5 5 5

 

Оставит комментарий