Журнал "Системы безопасности" #5, 2019

О П С , П О Ж А Р Н А Я Б Е З О П А С Н О С Т Ь 90 Требования к антивирусному программному обеспечению После того как создана топология сети передачи данных АС, необходимо обеспечить программ- ную защиту, основной контур которой состав- ляют антивирусные программы. Все теми же СТО 56947007-29.240.10.167-2014 прописа- ны задачи ПО, предназначенного для обеспече- ния безопасности данных от инфицирования вредоносными программами: l проверка информации в режиме реального времени (постоянная проверка); l проверка по требованию – пользователь лично указывает файлы, каталоги или обла- сти диска для проверки и время проверки; l проверка всех внешних носителей информа- ции, таких как дискеты, компакт-диски, flash- накопители каждый раз перед чтением информации с них, а также весь жесткий диск не реже одного раза в неделю. Этим же стандартом определен минимальный функциональный состав антивирусного про- граммного обеспечения: l сигнатурный анализ (однозначная идентифи- кация наличия вируса в файле); l эвристический анализ (поиск вирусов, похо- жих на известные, возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры; поиск вирусов, выпол- няющих подозрительные действия, выделе- ние основных вредоносных действий (удале- ние файла, запись в файл т.д.); l модуль обновления, обеспечивающий воз- можность обновления антивирусных баз, сиг- натур и версий антивирусного программного обеспечения без прямого доступа к сети Интернет (для эффективной работы антиви- русной защиты необходимо обеспечить регу- лярное обновление антивирусных баз); l модуль планирования (позволяет настроить время для проверки всего компьютера на нали- чие вирусов и обновлять антивирусную базу); l модуль управления настройками антивируса; l карантин (позволяет защитить информацию и оборудование от возможной потери данных в результате действий антивируса). В целом не приходится говорить о том, что ука- занный функционал антивирусов отличается от стандартного, но при настройке ПО необходимо учитывать некоторые особенности технологиче- ских систем, в первую очередь доступа специа- лизированного программного обеспечения, которое обязательно используется на верхнем уровне любой АС. Инструменты безопасности операционных систем При рассмотрении требований к программным средствам информационной защиты часто можно встретить следующее проектное решение: защита операционных систем сервера АС обеспечивается средствами установленных операционных систем. Не всякий пользователь сможет перечислить дан- ные средства, а большинство считает их несостоя- тельными. Тем не менее в составе программного пакета ОС есть достаточно большое число инстру- ментов, обеспечивающих безопасность. Так, в составе Windows Server 2019 можно выделить следующие технологические модули подсистемы информационной безопасности: l Just Enough Administration (JEA) – технология обеспечения безопасности, которая делает возможным делегированное администриро- вание любого объекта, которым можно управлять с помощью Windows PowerShell (стандартного средства ОС для создания и выполнения скриптовых команд автомати- зации процессов). Новые возможности обеспечивают поддержку работы под сете- вой личностью пользователя, соединение по PowerShell Direct, безопасное копирование файлов на/с конечных точек JEA, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию; l Credential Guard – технология изолирования конфиденциальной информации, используе- мой для доступа привилегированного систем- ного ПО; l Remote Credential Guard – технологическая поддержка протокола удаленного рабочего стола (RDP) без передачи учетных данных клиента-пользователя серверной стороне; l Device Guard – служба контроля целостности кода устанавливаемого программного обес- печения с помощью редактирования полити- ки, основанной на списке доверенных серти- фикатов разрешенного к использованию про- граммного обеспечения. Помимо этого среди инструментов безопасно- сти операционной системы есть стандартный брандмауэр Windows Defender и Control Flow Integrity (технология контроля целостности потока исполнения приложения), используе- мые для борьбы с эксплойтами и прочим вре- доносным ПО. Вопрос самодостаточности данных инструмен- тов для обеспечения полного контура безопас- ности не стоит, но пренебрегать средствами безопасности в составе ОС не следует и лучше регулярно проводить их обновление. Даже самая хорошая проактивная система защиты, работающая на технологии "песочницы", может оказаться бессильна в условиях неполноценно- сти основной рабочей среды. Важность процесса аутентификации Игнорирование стандартных средств безопас- ности ОС распространено повсеместно, но, наверное, самым недооцененным инструмен- том информационной безопасности является процедура аутентификации пользователей и устройств в сети. На практике более 90% устройств сохраняют заводской код доступа, а связной номер в сети в 99% случаев соответ- ствует последним двум цифрам заводского номера. Отследить действия пользователя admin, пароль которого знает обычно даже уборщица, в принципе невозможно. Полный удаленный доступ посредством RDP предостав- ляется любой запросившей организации. В таких условиях бесполезно проводить дорого- стоящие мероприятия, описанные выше, но в большинстве случаев именно так организова- на процедура на объектах. Наладить нормаль- ный процесс аутентификации несложно, слож- нее поддерживать его в рабочем состоянии, но при должном внимании ответственных лиц и эта задача не представляется чрезмерно сложной. Классификация защищенности АС Намного сложнее организация криптографиче- ской защиты данных в АС. Вопрос целесообраз- ности шифрования данных внутри сети автома- тизированной системы остается открытым на протяжении последних лет. Так, в тех же систе- мах коммерческого учета электроэнергии дан- ные о потреблении передаются коммерческому оператору ОРЭМ в зашифрованном виде, но внутри самой сети шифрование используется единицами предприятий. Этот дорогостоящий инструмент безопасности пока не получил рас- пространения, однако с развитием технологий и расширением перечня угроз вполне возможно его внедрение на всех уровнях АС. Интересно, что еще в 1992 г. вышел руководя- щий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизиро- ванных систем и требования по защите инфор- мации. Классификация автоматизированных систем и требования по защите информации". В данном стандарте предусмотрена классифи- кация требований по защите информации от несанкционированного доступа в АС по девяти классам с кратким их описанием. Глобально рассматриваются четыре параметра: l наличие подсистемы управления доступом; l наличие подсистемы регистрации и учета; l наличие криптографической подсистемы; l наличие подсистемы обеспечения целостности. Этот документ до сих пор активно используется рядом предприятий для оценки информацион- ной защищенности АС, хотя стоит отметить, что формальное описание параметров не позволяет однозначно идентифицировать классы, а отсут- ствие конкретных требований к ним в других стандартах делает работу по классификации фактически бесполезной. Тем не менее значительное количество современ- ных стандартов (и данная статья) во многом построены на указанной параметризации системы безопасности. Неосвещенной осталась только подсистема обеспечения целостности, которая все-таки относится к предупреждению следующей большой группы рисков – уничтожения/повреж- дения АС внешними объектами и факторами – и требует отдельного рассмотрения. n октябрь – ноябрь 2019 www.secuteck.ru Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Д ля адекватного построения связи автоматизированной системы с внешними сетями передачи данных необходимо создать смарт-изоля- цию, которая, с одной стороны, на физическом и программном уровне ограничит несанкционированный доступ к компонентам сети, а с другой стороны – будет работать, не мешая эксплуатирующим и обслуживаю- щим организациям делать свою работу