Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач — автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому уже недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом. «Функциональная безопасность» и составляет предмет данной статьи.
Сегодняшнему пониманию важности обеспечения интегральной безопасности предшествовал длительный период поиска места соответствующих подсистем в ИТ-инфраструктуре предприятий, оптимизация методов защиты и способов их реализации. Можно выделить ряд этапов.
- Этап "проб и экспериментов" (до 1990 года). Соответствует идеологии "больших компьютеров", мэйнфреймов. Для этапа характерно наличие теоретических наработок в области моделей разграничения доступа, средств криптографической защиты и ряда других областей. Вместе с тем, результаты этих разработок реализуются избирательно, по инициативе производителей тех или иных решений и плохо интегрированы. Открытые стандарты в области безопасности практически отсутствуют, появляясь в самом конце этапа (например, стандарты "радужной серии" Министерства обороны США).
- Этап "универсальных средств" (1990-1997 годы). Соответствует идеологии "персональных компьютеров". Для этапа характерно появление открытых стандартов в области информационной безопасности, осознание значимости соответствующих задач (этому способствовало интенсивное развитие Internet). Возникла "продуктовая" идеология защиты информации, т.е. стремление произвести универсальный продукт, обеспечивающий в любой системе полный набор механизмов защиты.
- Этап "вычислительных центров" (с 1998 года). Рост объемов и значимости хранимой и обрабатываемой информации, ее интеграция с производственными процессами породили идеологию "вычислительных центров", что привело к формированию современного взгляда на обеспечение информационной безопасности. Для него характерны безусловная ориентация на открытые стандарты, значимость процедурных механизмов в процессе эксплуатации информационной системы, создание и внедрение корпоративных норм и стандартов, переход от универсальных продуктов к интеграции встроенных средств защиты в различные компоненты информационной системы.
Требования информационной безопасности привязываются к цели обеспечения оптимального режима функционирования информационной системы в целом, гармонизации взаимодействия служб администрирования системы и подсистемы информационной безопасности. Такой подход можно назвать «функциональной безопасностью».
Задачи функциональной безопасности
Под информационной безопасностью автоматизированной системы понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии [1-7] информационная безопасность определяется наличием у системы следующих свойств:
- доступность - возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью;
- целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
- конфиденциальность - защита от несанкционированного ознакомления.
Многие системы ориентированы на предоставление определенных информационных услуг. Если по тем или иным причинам их получение пользователями становится невозможным, это наносит ущерб как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важнейшим элементом информационной безопасности является доступность предоставляемых услуг.
В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостности передаваемой платежной информации.
Для работающих в реальном времени управляющих систем безусловный приоритет отдается доступности данных — защите от атак типа «отказ в обслуживании», резервированию важных компонентов и оперативному оповещению.
Для нормативно-справочных систем основной является задача обеспечения целостности, которая означает в первую очередь актуальность и непротиворечивость предоставляемой информации.
Мероприятия по защите информации охватывают целый ряд аспектов законодательного, организационного и программно-технического характера. Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:
- определения круга нормативных документов федерального и отраслевого уровня, применение которых требуется при проектировании и реализации подсистемы информационной безопасности;
- определения на основе нормативных документов требований по категорированию информации;
- определения на основе нормативных документов набора требований к подсистеме информационной безопасности и ее компонентам.
В организационном аспекте необходимо решение следующих задач:
- определения соответствия категорированной информации ресурсам системы, в которых производится хранение, обработка и передача информации (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);
- определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);
- формирования политики безопасности, описывающей условия и правила доступа различных пользователей к ресурсам системы, а также границы и способы контроля безопасного состояния системы, мониторинга деятельности пользователей.
В процедурном аспекте решаются следующие задачи:
- обеспечение решения задач информационной безопасности при управлении персоналом;
- организация физической защиты компонентов информационной системы;
- формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;
- внесение дополнений, связанных со спецификой ликвидации последствий несанкционированного доступа, в план восстановительных работ.
В программно-техническом аспекте необходимо решение следующих задач:
- обеспечения архитектурной безопасности решений, связанных с хранением, обработкой и передачей конфиденциальной информации;
- обеспечения проектной непротиворечивости и полноты механизмов безопасности;
- выработки и реализация проектных решений по механизмам безопасности.
Далее будут подробнее рассмотрены условия выполнения указанных задач.
Составляющие функциональной безопасности
Основные источники для успешности реализации подсистемы информационной безопасности — использование отечественных и международных стандартов в области информационной безопасности, а также практика внедрения и разработки средств защиты информации.
В самом деле, применение стандартов дает уверенность в том, что подсистема информационной безопасности реализуема и достаточна для соответствия сформулированным требованиям. В то же время практика внедрения средств защиты позволяет выделить специфичные для данной системы вопросы, обратить внимание на критичные моменты как с точки зрения организации подсистемы информационной безопасности, так и с точки зрения ее последующей эксплуатации. Наконец, практика разработки собственных средств защиты дает возможность более четко представлять, почему применяемые решения (даже если это решения сторонних фирм) построены именно таким образом, позволяет выделить наиболее и наименее надежные конструктивные особенности применяемых решений.
Составными частями концепции функциональной безопасности являются организационные меры и программно-технические средства, реализующие механизмы безопасности. В качестве третьего компонента следует назвать оптимизацию архитектуры информационной системы. Действительно, в системе, где доступ к ресурсам осуществляется неконтролируемым набором услуг, не ассоциированных с какими-либо точками доступа (скажем, в сетях NetBIOS), выделение точек контроля и ассоциация с ними набора механизмов безопасности — дело весьма трудоемкое, если не безнадежное. В то же время в строго структурированной системе с четко выделенными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.
Этапы построения систем безопасности
Концепция функциональной безопасности определяет этапы построения подсистемы информационной безопасности в соответствии со стандартизованной этапностью: обследование, анализ рисков и реализация первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение системы (см. рис. 1). Рассмотрим подробнее специфику отдельных этапов.
Рис. 1. Этапы построения подсистем информационной безопасности |
Аудит безопасности
Аудит безопасности понимается сегодня достаточно широко. За этим названием скрываются, по крайней мере, четыре различных группы работ.
К первой группе относятся так называемые «тестовые взломы» систем информационной безопасности. Об этом виде аудита обычно пишут как о наиболее серьезном тесте защищенности, что абсолютно не оправдано. Причина малой эффективности «тестовых взломов» с точки зрения получения сведений, насколько правильно защищена сеть, скрывается в самой постановке задачи. В самом деле, основной задачей «взломщика» является обнаружение одной-двух уязвимостей и их максимальная эксплуатация для доступа в систему. Если тест оказался успешным, то, предотвратив потенциальное развитие возможных сценариев «взлома», работу надо начинать сначала и искать следующие. Неуспех «взлома» может означать в равной мере как защищенность системы, так и недостаточность тестов.
Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной, работы оценивается общее состояние механизмов безопасности в обследуемой системе на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования, так и в результате работы автоматизированных сканеров защищенности.
Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищенности информационных ресурсов. При этом происходит формальная проверка набора требований как организационного, так и технического аспектов, рассматриваются полнота и достаточность реализации механизмов безопасности. Количество информационных систем, аттестуемых на соответствие требованиям защиты информации, постоянно растет, несмотря на то, что эти работы связаны со значительными затратами и существенной вовлеченностью в них сотрудников организации, в которой она производится.
Наконец, самый трудоемкий вариант аудита — предпроектное обследование. Такой аудит предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным приложениям. Затем выполняется анализ самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, требуемые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования рисков, существующих в информационной системе, и выработки адекватных контрмер. Успешное проведение предпроектного обследования и анализа рисков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам.
Проектирование системы
Возможны два подхода к построению подсистемы информационной безопасности — продуктовый и проектный.
В рамках продуктового подхода выбирается набор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.
Альтернативой такому подходу является первоначальная проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор продуктов, обеспечивающих выполнение этих функций.
Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто является единственно возможным в условиях дефицита решений (например, для криптографической защиты применяется исключительно такой подход). Проектный подход заведомо более полон, и системы, построенные на его основе, более оптимизированы и аттестуемы. Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа.
Объекты или приложения
С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяются объектный, прикладной или смешанный подход.
Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т.д. К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.
Прикладной подход строит механизмы безопасности в привязке к конкретному приложению. Пример прикладного подхода — защита подсистемы либо отдельных задач автоматизации (бухгалтерия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно необходимость увязывать различные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций.
Возможна комбинация двух описанных подходов. В смешанном подходе информационная система представляется как совокупность объектов, для каждого из которых определена область использования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проектирования, однако часто дает преимущества в стоимости внедрения и эксплуатации системы защиты информации.
Службы и механизмы безопасности
С точки зрения стратегии защиты выделяют ресурсный подход, рассматривающий систему как набор ресурсов и привязывающий компоненты подсистемы информационной безопасности к ресурсам, и сервисный подход, трактующий систему как набор служб, предоставляемых пользователям.
При реализации ресурсного подхода задачу защиты информации необходимо решать без дополнительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным.
Сегодня сервисный подход представляется предпочтительным, поскольку привязывается к реализованным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от «лишних» служб, делая структуру подсистемы информационной безопасности более логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности, ISO 15408.
Внедрение и аттестация
Этап внедрения включает целый комплекс последовательно проводимых мероприятий, включая установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдача в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в «боевой» режим.
Если в процессе опытной эксплуатации выявлены факты некорректной работы компонентов, проводится корректировка настроек средств защиты, режимов их функционирования и т.п. По результатам опытной эксплуатации проводится внесение корректировок (при необходимости) и уточнение настроек средств защиты. Далее следует проведение приемо-сдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.
Подтверждение функциональной полноты подсистемы безопасности и обеспечения требуемого уровня защищенности системы обеспечивается проведением аттестации системы уполномоченным центром Гостехкомиссии.
Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе исходя из следующего перечня работ:
- анализа исходных данных, предварительное ознакомление с аттестуемым объектом и информатизации;
- экспертного обследования объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;
- испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;
- испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);
- комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
- анализа результатов экспертного обследования и аттестационных испытаний и утверждение заключения по результатам аттестации объекта информатизации.
По результатам испытаний готовится отчетная документация, проводится оценка результатов испытаний и выдается аттестат соответствия установленного образца. Его наличие дает право обработки информации со степенью конфиденциальности и на период времени, установленными в аттестате.
Техническая поддержка и сопровождение
Для поддержания работоспособности подсистемы информационной безопасности и бесперебойного выполнения ей своих функций необходимо предусмотреть комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактические работы. Данный комплекс мероприятий включает в себя:
- техническое обслуживание средств защиты;
- администрирование штатных средств защиты;
- контроль состояния системы, профилактическое обследование конфигурации, выявление потенциальных проблем;
- мониторинг и установка выпускаемых обновлений и программных коррекций средств защиты, а также используемых операционных систем, СУБД и приложений;
- диагностику неисправностей и проведение восстановительных работ при возникновении аварийных и нештатных ситуаций;
- регулярный поиск и анализ уязвимостей в защищаемой системе с использованием специальных средств сканирования;
- периодическое тестирование подсистемы информационной безопасности и оценка эффективности защиты.
Техническая поддержка и сопровождение подсистемы информационной безопасности требует наличия у обслуживающего персонала определенных знаний и навыков и может осуществляться как штатными сотрудниками организации-владельца защищаемой системы, ответственными за информационную безопасность, так и сотрудниками специализированных организаций.
Заключение
Концепция функциональной безопасности предлагает набор базовых положений, определяющих основные подходы, решения и методы обеспечения защиты информационных ресурсов современных корпоративных систем.
Использование основных положений концепции при организации и проведении работ по защите служит основой построения эффективной и надежной системы обеспечения информационной безопасности, способной развиваться и модифицироваться вместе с общим развитием корпоративной системы.
Литература
[1] А. Астахов, Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности. Jet Info, № 11, 2000
[2] С. Гузик, Зачем проводить аудит информационных систем? Jet Info, № 10, 2000
[3] М. Кобзарь, А. Сидак, О Руководстве по разработке профилей защиты на основе Общих критериев. Jet Info, № 2, 2000
[4] М. Кобзарь, И. Калайда, Общие критерии оценки безопасности информационных технологий и перспективы их использования. Jet Info, № 1, 1998
Илья Трифаленков, Наталья Зайцева — сотрудники компании «Инфосистемы Джет».
Руководящие документы Гостехкомиссии РФ
- "Концепция защиты СВТ и АС от НСД к информации". 1992
- "Защита от несанкционированного доступа к информации. Термины и определения". 1992
- "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации". 1992
- "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". 1992
- "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". 1992
- Руководящий документ "Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей". 1999
- Специальные технические требования и рекомендации по технической защите конфиденциальной информации (СТР-К, проект). 2002
- Положение по аттестации объектов информатизации по требованиям безопасности информации. 1994
Нормативы и стандарты
Наличие стандартов служит, пожалуй, наиболее важным свидетельством зрелости подхода к обеспечению информационной безопасности. Существует целый ряд отечественных и международных стандартов. Все стандарты делятся на нормативные (требования к средствам защиты информации), функциональные (основные действия по защите информации) и технологические (отдельные технологические протоколы и форматы работы механизмов безопасности).
В последние годы по инициативе Гостехкомиссии проводится большая работа по гармонизации отечественной и международной нормативной базы. В рамках этой работы выполнена адаптация стандарта ISO 15408 и предложен отечественный стандарт ГОСТ Р ИСО/МЭК 15408-х-2002.
Стандарт ГОСТ/ИСО 15408 служит для унификации описания требований и решений в отношении средств защиты информации. Связанные с новым стандартом существенные изменения позволяют, с одной стороны, логически связать угрозы и меры противодействия, и с другой стороны, дать подробную систематизацию критериев для систем и средств защиты информации. Необходимо отметить его продуманное сопряжение с существующей нормативной базой, возможностью конкретизации старых требований в новых терминах. Примером функционального стандарта может служить стандарт ГОСТ Р 51583-2000, описывающий этапность построения защищенных информационных систем. Важным функциональным стандартом является документ СТР-К.
- ГОСТ Р 50922-96. Защита информации. Основные термины и определения
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
- ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения
- ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении
- ГОСТ Р ИСО/МЭК 15408-х-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
- ISO 15408. Information technology. Security techniques. Evaluation criteria for IT security