Проектирование системы защиты данных в ИБ
Рекомендации Х.800
«Оранжевая книга» Министерства обороны США и Руководящие документы создавались в расчете на централизованные конфигурации, основу которых составляют большие машины. Распределенная организация современных информационных систем требует внесения существенных изменений и дополнений как в политику безопасности, так и в способы проведения их в жизнь. Появились новые угрозы, для противодействия которым нужны новые функции и механизмы защиты. Основополагающим документом в области защиты распределенных систем стали Рекомендации Х.800. В этом документе перечислены основные сервисы (функции) безопасности, характерные для распределенных систем, и роли, которые они могут играть. Кроме того, здесь указан перечень основных механизмов, с помощью которых можно реализовать эти сервисы.
/
Для разработки системы защиты информации проектировщикам необходимо выполнить следующие виды работ:
• на предпроектной стадии определить особенности хранимой информации, выявить виды угроз и утечки информации и оформить ТЗ на разработку системы;
• на стадии проектирования выбрать концепцию и принципы построения системы защиты и разработать функциональную структуру системы защиты;
• выбрать механизмы - методы защиты, реализующие выбранные функции;
• разработать программное, информационное, технологическое и организационное обеспечение системы защиты;
• провести отладку разработанной системы;
• разработать пакет технологической документации;
• осуществить внедрение системы;
• проводить комплекс работ по эксплуатации и администрированию системы защиты.
Существенное значение при проектировании системы защиты информации придается предпроектному обследованию объекта. На этой стадии выполняются следующие операции:
• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;
• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяются степень участия персонала, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
• определяется состав мероприятий по обеспечению режима секретности на стадии разработки.
На стадии проектирования выявляется все множество каналов несанкционированного доступа путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.
Создание базовой системы защиты информации в ЭИС в целом и для информационной базы, в частности, должно основываться на главных принципах, сформулированных в работе [2].
• Комплексный подход к построению системы защиты, означающий оптимальное сочетание программных, аппаратных средств и организационных мер защиты.
• Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки.
• Полнота контроля и регистрация попыток несанкционированного доступа.
• Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или
непреднамеренных ошибок пользователей и обслуживающего персонала.
• «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей ЭИС.
Установление видов угроз и средств их реализации позволяет проектировщикам ЭИС разработать структуру системы защиты хранимых, обрабатываемых и передаваемых данных, основанную на применении разнообразных мер и средств защиты. Важную часть этой системы составляет организация подсистем: управления доступом; регистрации и учета; обеспечения целостности. Для каждой подсистемы определяются основные цели, функции, задачи и методы их решения.
Существует несколько подходов к реализации системы защиты. Ряд специалистов из практики своей работы предлагают разделять систему безопасности на две части: внутреннюю и внешнюю. Во внутренней части осуществляется в основном контроль доступа путем идентификации и аутентификации пользователей при допуске в сеть и доступе в базу данных. Помимо этого шифруются и идентифицируются данные во время их передачи и хранения.
Безопасность во внешней части системы в основном достигается криптографическими средствами. Аппаратные средства защиты реализуют функции разграничения доступа, криптографии, контроля целостности программ и их защиты от копирования во внутренней части, хорошо защищенной административно.
Как правило, для организации безопасности данных в ИБ используется комбинация нескольких методов и механизмов. Выбор способов защиты информации в ИБ - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющей выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.
После выбора методов и механизмов осуществляется разработка программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Изготовитель или поставщик выполняет набор тестов, документирует его и предоставляет на рассмотрение аттестационной комиссии, которая проверяет полноту набора и выполняет свои тесты. Тестированию подлежат как собственно механизмы безопасности, так и пользовательский интерфейс к ним.
Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием и что не существует очевидных способов обхода или разрушения защиты. Кроме того, тесты должны продемонстрировать действенность средств управления доступом, защищенность регистрационной и аутентификационной информации. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.
Составление документации - необходимое условие гарантированной надежности системы и одновременно инструмент проведения выбранной концепции безопасности. Согласно «Оранжевой книге» в комплект документации надежной системы должны входить следующие компоненты:
• руководство пользователя по средствам безопасности;
• руководство администратора по средствам безопасности;
• тестовая документация;
• описание архитектуры.
Руководство пользователя по средствам безопасности предназначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования. Руководство должно давать ответы на следующие вопросы:
• Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?
• Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?
• Как импортировать и экспортировать информацию, не нарушая правил безопасности?
• Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?
Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируются соотношения между безопасностью и эффективностью функционирования. В состав Руководства администратора должны быть включены следующие вопросы:
• Каковы основные защитные механизмы?
• Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?
• Как администрировать средства произвольного управления
доступом? Как защищать системную информацию? Как обнаруживать слабые места?
• Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?
• Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?
• Как генерировать новую, переконфигурированную надежную вычислительную базу?
• Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?
• Как разделить обязанности системного администратора и оператора?
Тестовая документация содержит описания тестов и их результаты.
Описание архитектуры в данном контексте должно включать в себя, по крайней мере, сведения о внутреннем устройстве надежной вычислительной базы.
Технологический процесс функционирования системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает выполнение следующих процедур:
• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
• ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
• оперативный контроль функционирования систем защиты секретной информации;
• контроль соответствия общесистемной программной среды эталону;
• контроль хода технологического процесса обработки информации путем регистрации анализа действий пользователей.
Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения, предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в системе в целом.
Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь выбранной концепции безопасности.
Деятельность администратора средств безопасности должна осуществляться по трем направлениям:
• администрирование системы в целом;
• администрирование функций безопасности;
• администрирование механизмов безопасности.
Среди действий, относящихся к системе в целом, отметим поддержание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например таким типовым списком:
• управление ключами (генерация и распределение);
• управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электрон
ной подписи, управление целостностью, если оно обеспечивается криптографическими средствами;
• администрирование управления доступом (распределение информации, необходимой для управления, - паролей, списков доступа и т.п.);
• управление аутентификацией (распределение информации, необходимой для аутентификации, - паролей, ключей и т.п.).
• Вопросы для самопроверки
1. Что такое «концепция безопасности» хранимых данных и ее содержание?
2. Каковы средства реализации механизма подотчетности и их содержание?
3. Какая информация должна фиксироваться в процессе протоколирования событий?
4. Каковы основные принципы защиты от НСД, сформулированные в «Концепции защиты СВТ и АС от НСД к информации»?
5. Каков состав операций, выполняемых при проектировании системы защиты данных в ИБ?
6. Каков состав операций, выполняемых на предпроектной стадии?
7. Что такое угроза безопасности? Перечислите основные виды угроз.
8. Что понимается под «несанкционированным доступом» и каковы основные пути несанкционированного доступа?
9. Каковы методы защиты от НСД?
10. Что такое «защита от несанкционированного копирования ценной компьютерной информации»? Назовите методы ее обеспечения.
11. Каков состав подсистем, включаемых в систему защиты данных?
12. Назовите состав выполняемых функций Подсистемы управления доступом.
13. Каков состав функций, возлагаемых на Подсистему регистрации и учета?
14. Какие функции должна выполнять Подсистема обеспечения целостности?
15. В чем заключается содержание механизма управления доступом?
16. Каковы алгоритмы криптографической защиты данных?
17. В чем заключается содержание механизма обеспечения целостности данных?
18. Каков состав документации по системе защиты? В чем заключается ее содержание?
19. В чем состоит содержание процедуры администрирования системы защиты данных ИБ?
20. Что означает гарантированность разработанной системы защиты данных? В чем ее назначение?
21. Проверку каких элементов включает операционная гарантированность?
Каково назначение технологической гарантированности и в чем заключается ее содержание
ЛИТЕРАТУРА
1. Кондрашова С. С. Інформаційні технології в управлінні: Навч. посібник. – К.: МАУП, 1998
2. Козырев А. А. Информационные технологии в єкономике и управлении: Учебник. Второе издание. – СПб.: Изд-во Михайлова В. А., 2001
3. В. К. Чаадаева, И. В. Шеметева, И. В. Шибаева Информационные системы компаний связи. Создание и внедрение. – М.: Эко - Трендз, 2004
4. Грабауров В. А. Информационные технологии для менеджеров. – М.: Финансы и статистика, 2002
5. Маклаков С. В. BPwin и Erwin.CASE-средства разработки информационных систем. – М.: ДИАЛОГ – МИФИ, 2000