В статье Алана Поллера «Ключевые моменты безопасности» (Computerworld Россия № 38 за 1999 год), где в очередной раз поднимается вопрос о построении эффективной системы защиты информации предприятия, особо отмечена важность определения необходимого уровня безопасности, требующегося для компании. Каким же образом оценить этот уровень и, самое главное, какие информационные (программные и/или аппаратные) ресурсы выбирать при построении системы защиты?
Искандер Конеев — начальник отдела безопасности компьютерных систем Национального банка Узбекистана. С ним можно связаться по электронной почте ikoneev@central.nbu.com |
Для определения уровня безопасности информационных систем существует множество материалов: это и знаменитые Оранжевая и Красная книги в США (DoD 5200.28-STD и NCSC-TG-005), и аналогичные документы в других странах. Каждый руководитель предприятия или начальник службы безопасности на основе этих данных способен определить уровень безопасности системы. При этом есть возможность не ограничиваться абстрактными буквенно-цифровыми сочетаниями вроде С2 или В1, которые любят употреблять поставщики ИТ-продуктов, и использовать подробные описания способов доступа, политики безопасности, учета пользователей, аудита, тестирования и многих других параметров, которые приведены в указанных материалах.
Таким образом, проведя определенную работу, можно в большей или меньшей степени описать существующую на предприятии или приобретаемую систему в приемлемых и понятных терминах, например: Модуль 1 — уровня С2, Подсистема 3 — уровня D и т. д.
Но возникает другая проблема: мы знаем уровень безопасности данной системы, но какой уровень безопасности нужен нам? Было бы заманчиво иметь некий классификатор данных, в котором было бы четко указано, например: «Электронный файл формата TXT, содержащий устав ООО с уставным фондом в 1 млн. долл., должен храниться и обрабатываться только в информационных системах уровня Х9». Согласитесь, это значительно упростило бы жизнь: если упомянутый устав — это самый серьезный ваш документ, то приобретайте систему уровня не ниже Х9 и будете счастливы.
Существуют общие рекомендации, например такие: «Для коммерческих банков приемлемым уровнем безопасности является С2». Но ведь и банки бывают разные, и национальные классификаторы включают в себя множество подробностей.
На самом деле разработать единый классификатор вряд ли возможно из-за обилия видов информационных объектов (документов, таблиц, баз данных и пр.). Однако можно попытаться разработать общую методику. Этим мы и займемся.
Прежде чем начать — одно небольшое замечание: используемые в настоящем материале термины («информация», «хранение», «обработка» и др.) будут интуитивно верно поняты большинством специалистов, однако в реальном документе-классификаторе они должны быть четко определены. Мы же сформулируем для себя лишь определения информационного объекта и субъекта как (соответственно) пассивного и активного участника взаимодействий в информационном пространстве.
Классификация объектов и субъектов
Классификацию субъектов информационной деятельности произведем следующим образом:
- субъект, создающий объекты;
- субъект, использующий объекты;
- субъект, администрирующий объекты (то есть обеспечивающий среду работы с объектами других субъектов);
- субъект, контролирующий использование объектов субъектами.
Каждый конкретный субъект может совмещать в себе несколько или все указанные классификационные сущности.
Классификацию важности информационного объекта произведем исходя из триединой сущности способов обработки информации с точки зрения информационной безопасности, а именно:
- объект должен быть доступен только тем субъектам, которые имеют на это право (данную сущность назовем конфиденциальностью);
- вносить изменения в состояние объекта могут только те субъекты, которые имеют на это право (сущность целостность или достоверность);
- для субъектов, обладающих необходимым уровнем прав, объект должен быть доступен в течение времени, необходимого для работы с ним (доступность).
Для более сложных способов работы с объектами можно дополнительно ввести понятия неотрекаемости (невозможности для субъекта отрицать факт создания, внесения изменения, рассылки, получения объекта) и понятия подотчетности (фиксацию всех значимых действий субъекта с объектом). Но мы не будем перегружать настоящий материал. Поняв общую схему классификации, несложно распространить ее и на другие понятия.
Категории информации
Важность объекта определим по следующим параметрам.По наличию (доступность)
- Критическая — без нее работа субъекта останавливается (Д0).
- Очень важная — без нее можно работать, но очень короткое время (Д1).
- Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
- Полезная — без нее можно работать, но ее использование экономит ресурсы (Д3).
- Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
- Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)
По несанкционированной модификации (целостность)
- Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы (Ц0).
- Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы (Ц1).
- Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы (Ц2).
- Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы (Ц3).
- Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).
(Аналогичным образом вместо «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя».)
По разглашению (конфиденциальность)
- Критическая — ее разглашение приведет к краху работы субъекта или значительным его материальным потерям (К0).
- Очень важная — ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
- Важная — ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия (К2).
- Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (К3).
- Малозначимая — может принести моральный ущерб в очень редких случаях (К4).
- Незначимая — не влияет на работу субъекта. (К5)
Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.
Субъекты информационного пространства
Определим следующие группы по способам работы с информацией.
А. Один субъект владеет информацией, самостоятельно обрабатывает ее без передачи другим субъектам. В этом случае он сам контролирует все способы работы и классификацию информации.
Б. Один субъект владеет информацией и передает ее для использования субъекту или группе субъектов. При этом он должен произвести классификацию информации, определить правила ее использования и ознакомить с ними пользователей либо уполномочить другого субъекта (или нескольких субъектов) на выполнение этих действий.
В. Группа субъектов использует один и тот же информационный объект (в целом или различные его части) или совокупность объектов без явно выраженного права владения, однако хотя бы по одному из параметров классификации объект превышает следующее Д3, Ц3 или К4. В этом случае необходимо произвести разделение субъектов на пользователей, администраторов и контролеров.
Г. Субъект или группа субъектов использует информацию, владелец которой находится вне самой организации. В этом случае субъекты следуют правилам использования информации, определенной владельцем в рамках законодательного пространства страны.
Д. Группа субъектов использует информационные объекты широкого или неопределенного доступа. В этом случае работа с объектами производится без ограничений, в рамках законодательного пространства страны.
Рассматриваемый нами Классификатор, как корпоративный нормативный документ, определяет виды и способы работы информационных объектов, относящихся к группе В.
Обязанности и ответственность субъектов
В соответствии с описанными группами субъектов будем различать следующие обязанности субъектов по жизненным стадиям информации.
- Субъекты-администраторы (далее просто администраторы) должны обеспечить наличие условий для создания, использования, передачи и хранения объектов в соответствии с задачами, определяемыми уполномоченными субъектами-пользователями (далее пользователями), а также создать условия для осуществления контроля со стороны субъектов-контролеров (далее контролеров) за действиями как пользователей, так и администраторов.
- Контролеры должны разработать (и при необходимости дорабатывать) правила, по которым пользователи будут работать с объектами. Кроме того, они должны произвести классификацию информационных объектов, обеспечить ознакомление пользователей с правилами и классификацией, а также контролировать соблюдение этих правил.
- Пользователи должны работать с объектами в рамках разработанных правил.
Во врезках к статье приведены примеры классификации данных. Применительно к конкретным организациям некоторые требования могут быть завышенными, другие, наоборот, заниженными, третьи — могут и должны быть изменены.
Надеюсь, предлагаемая модель классификатора поможет соответствующим специалистам создать рабочий «боевой» документ.
Искандер Конеев — начальник отдела безопасности компьютерных систем Национального банка Узбекистана. С ним можно связаться по электронной почте ikoneev@central.nbu.com
Способы работы с классифицированной информацией (пример)
По приведенным ниже классифицированным параметрам информационных объектов необходимо выполнять следующие правила.
Для объектов уровня Д0
Администраторы
Обязательное географически распределенное хранилище объекта (кластеризация, зеркалирование, дуплексирование и пр.), а также ежедневное резервное копирование на внешний носитель.
Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом следует обеспечить возможность аварийного администрирования объекта в случае отсутствия администраторов.
Администраторы должны иметь широко известные средства коммуникационного контакта и возможность оперативного оповещения в случае сбоя в работе объекта.
Доступ к внешнему носителю с резервной копией должен быть физически ограничен. Количество субъектов, имеющих право доступа, не может превышать пяти. Факты использования резервной копии подлежат регистрации, так же как и все действия по управлению объектом.
Контролеры
Необходимо разработать строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в работе объекта.
Контроль действий должен производиться не реже одного раза в рабочий день.
Предусматривается создание аварийных планов на случай временной частичной или полной недоступности объекта.
Пользователи
Пользователи должны строго придерживаться правил работы с объектом, не пытаясь получать доступ к другим объектам, кроме предназначенного для них в соответствии с их функциональными обязанностями.
При невозможности получения доступа к объекту немедленно обратиться к администратору.
Для объектов уровня Д1
Администраторы
Обязательное резервное копирование объекта на жесткий диск не реже трех раз в день и ежедневное копирование на внешний носитель. Наличие холодного резервирования средств хранения и обработки.
Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом должна быть обеспечена возможность аварийного администрирования объекта в случае отсутствия администраторов.
Администраторам надлежит иметь широко известные средства коммуникационного контакта и возможность оперативного оповещения в случае сбоя в работе объекта.
Доступ к внешнему носителю с резервной копией должен быть физически контролируем, случаи использования резервной копии следует регистрировать.
Все действия по управлению объектом должны регистрироваться.
Контролеры
Необходимо разработать строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в действиях объекта.
Контроль действий производится не реже одного раза в рабочий день.
Должны быть разработаны аварийные планы на случай временной частичной или полной недоступности объекта.
Пользователи
Пользователи обязаны строго придерживаться правил работы с объектом, не пытаясь получать доступ к объекту помимо определенного для них в соответствии с их функциональными обязанностями.
При невозможности получения доступа к объекту немедленно обратиться к администратору.
Для объектов уровня Д2
Администраторы
Обязательное ежедневное резервное копирование на внешний носитель.
Санкционированную возможность управления доступом к объекту должны иметь не более трех пользователей. Необходимо определить одного администратора. Следует обеспечить возможность аварийного администрирования.
Доступ к внешнему носителю с резервной копией должен контролироваться.
Действия по изменению размещения объекта или правил доступа к объекту подлежат регистрации.
Контролеры
Предусмотрены процедуры для осуществления контроля.
Контроль действий должен производиться не реже одного раза в неделю.
Пользователи
Пользователи должны придерживаться правил работы с объектом, не пытаясь получать доступ к другому объекту помимо определенного для них в соответствии с их функциональными обязанностями.
При невозможности получения доступа к объекту следует обратиться к администратору или пользователям, управляющим доступом.
Для объектов уровня Д3
Работа с полезной информацией оставляется на усмотрение пользователей информации.
Для объектов уровня Д4
Работа с несущественной информацией не регламентируется.Для объектов уровня Д5
Администраторы
Необходимо обеспечить доступными средствами ограничение попадания информации данного класса пользователям.
Контролеры
Необходимо наличие регламента использования такой информации и процедур контроля за расходом пользователями ресурсов на информацию данного класса.
Пользователи
При обнаружении подобной информации пользователь должен принять меры к ее уничтожению и сообщить администратору или контролеру.
Для объектов уровня Ц0 и Ц1
Администраторы
Необходимо обеспечить право на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля.
Предусматривается разделение прав на модификацию данных (внесение изменения/авторизация изменения) и ведение регистрационного журнала изменений.
Для хранения и обработки объектов класса Ц0 предпочтительно использовать средства хранения, не включенные в общую компьютерную сеть.
Контролеры
Следует разработать строгие и однозначные правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта.
Проверка регистрационного журнала изменений должна осуществляться не реже одного раза в рабочий день.
Пользователи
Пользователи обязаны придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, они должны осуществлять санкционированные модификации в соответствии с временным графиком и в рамках своих полномочий.
На каждую модификацию информации данной категории должен быть документ в виде твердой копии соответствующей формы.
При обнаружении модификации объекта, подозрительно похожей на несанкционированную, немедленно сообщить контролеру.
Для объектов уровня Ц2
Администраторы
Обеспечить права на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля.
Заполнять регистрационный журнал изменений.
Контролеры
Следует разработать правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта.
Проверка регистрационного журнала изменений должна осуществляться не реже двух раз в неделю.
Пользователи
Пользователи должны строго придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, пользователи должны осуществлять санкционированные модификации строго в соответствии с временным графиком и в рамках своих полномочий.
При обнаружении модификации объекта, подозрительно похожей на несанкционированную, немедленно сообщить контролеру.
Для объектов уровня Ц3
Определение способов работы с объектами данного класса оставлено на усмотрение пользователей объекта.
Для объектов уровня Ц4
Определение способов работы с объектами данного класса не регламентируется.
Для объектов уровня К0
Запрещено хранение объектов данного типа в электронном виде.
Необходимо обеспечить подписание пользователями объекта обязательства о неразглашении информации.
Для объектов уровня К1
Работа с объектами данного типа возможна только на отдельно стоящих компьютерах или гарантированно защищенных от удаленного доступа.
В этом случае пользователь информации является одновременно ее администратором и контролером, предоставляя ее для использования другим пользователям только в личном присутствии и под личным контролем.
Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.
Для объектов уровня К2
Администраторы
Право на ознакомление с информацией предоставляется только авторизованным, идентифицируемым пользователям по предъявлению пароля и/или ключа на внешнем носителе.
Необходимо заполнять регистрационный журнал доступа.
Контролеры
Следует разработать правила использования объекта, процедуры для осуществления контроля.
Проверка регистрационного журнала изменений доступа должна осуществляться не реже одного раза в день.
Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.
Пользователи
Пользователи должны строго придерживаться правил работы с объектом, не пытаясь использовать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на доступ и не пытаться получить доступ к чужим паролям.
Для объектов уровня К3
В зависимости от специфики конкретной информации используются те же требования, что и в К2 или К4.
Для объектов уровня К4
Определение способов работы с объектами данного класса возложено на пользователей объекта.
Для объектов уровня К5
Определение способов работы с объектами данного класса не регламентируется.