Политика безопасности


4.1. Сущность политики безопасности

Политика безопасности — это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Только человек, четко осознающий цели организации и условия се функционирования, может определить, какую информацию необходимо защищать и насколько существенными могут стать потери от несанкционированного распространения, искажения или разрушения информации.

После того как политика безопасности определена, должен решаться вопрос о технологии ее реализации в автоматизированном контуре. Для реализации сформулированных в терминах естественного языка правил и норм политики безопасности необходимо использовать (или разработать) некоторую формальную модель, которая допускает эффективное программирование на каком-либо формальном языке. Наибольшее распространение в настоящее время получили две базовые модели безопасности данных: дискреционная и мандатная.

4.2. Цель формализации политики безопасности

Цель формализации политики безопасности для информационной системы — ясное изложение взглядов руководства организации па существо угроз информационной безопасности организации и технологий обеспечения безопасности ее информационных ресурсов. Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с информацион­ными ресурсами и, в частности, с базами данных для различных категорий пользователей. Политика безопасности — это всегда некоторый компромисс между желаемым уровнем защищенности ресурсов информационной системы, удобством работы с системой и затратами средств, выделяемых на ее эксплуатацию.

Политика безопасности должна быть оформлена документаль­но на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности информационных систем (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях.

В руководстве по компьютерной безопасности, разработанном национальным институтом стандартов и технологий США (National Institute of Standards and Technology — NIST), рекомендовано включать в описание политики безопасности следующие разделы.

Предмет политики.В разделе должны быть определены цели и причины разработки политики, область ее применения в конкретном фрагменте системы документооборота организации. Должны быть ясно сформулированы задачи, решаемые с использованием информационных систем, которые затрагивает данная политика. При необходимости могут быть сформулированы термины и определения, используемые в остальных разделах.

Описание позиции организации.В этом разделе необходимо ясно описать характер информационных ресурсов организации, перечень допущенных к информационным ресурсам лиц и про­цессов и порядок получения доступа к информационным ресурсам организации.

Применимость.В разделе может быть уточнен порядок доступа к данным ПС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности.

Роли и обязанности.В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики. Обычно определяются обязанности администратора безопасности данных (отвечает за содержательную сторону предоставления доступа к информа­ционным ресурсам организации), администратора баз данных (определяет техническую реализацию механизмов разграничения доступа), администратора локальной сети, операторов.

Соблюдение политики.В разделе описываются права и обязанности пользователей ИС. Необходимо явное описание и документированное знакомство пользователей с перечнем недопустимых действий при осуществлении доступа к инфор­мационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.

Для эффективной реализации политика безопасности должна быть понятной всем пользователям информационных систем организации. Возможна подготовка презентаций и проведение семинаров с разъяснением основных положений и практических технологий реализации политики безопасности. Новые сотрудники организации должны быть ознакомлены или обучены конкретным правилам и технологиям доступа к ресурсам ИС, реализованным в соответствии с принятой политикой безопасности. Целесообразно проводить контрольные проверки действий сотрудников с обсуж­дением результатов.

Эффективное проведение политики безопасности возможно только, если она согласована с существующими приказами и общими задачами организации. Основным способом координации политики безопасности с действующими нормами организации является ее согласование с заинтересованными подразделениями и ходе разработки.

Комплект документов, представляющий основные решения организации по реализации политики безопасности, должен включать:

— документацию, определяющую используемые подходы к оцениванию и управлению рисками для организации в целом и при необходимости конкретных подразделений;

— обоснование принятых решений по выбору средств защиты для рассматриваемой информационной системы;

— формальное описание процедуры определения допустимого уровня остаточного риска;

— директиву, определяющую процедуру проверки режима информационной безопасности и журналов, в которых фиксируются результаты проверки (документы необходимы для осуществления проверки эффективности реализации средств обеспечения информационной безопасности, осуществления их контроля качества и правильности использования);

— документацию, регламентирующую процессы обслуживания и администрирования информационных систем;

— документацию по подготовке периодических проверок по оцениванию и управлению рисками;

— документ «Ведомость соответствия», включающий сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью;

— контрмеры для противодействия выявленным рискам.

Успех проведения в жизнь политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных программно-технических средств контроля.

4.3. Принципы построения защищенных систем баз данных

Разработать универсальную защищенную систему баз данных скорее всего нереально. При любом разумном методе измерения уровня защищенности этот уровень является неубывающей функцией от затрат на построение системы защиты. Следовательно,

в любом практическом случае, когда существуют ограничения на бюджет системы защиты, существует и некоторый предельный уровень информационной безопасности, который теоретически может быть достигнут.

В настоящее время отсутствует общепринятая методология разработки защищенных автоматизированных информационных систем и, в частности, систем баз данных. В подобных случаях традиционно используется подход, основанный на анализе лучшего мирового опыта решения некоторого класса проблем и формули­ровании руководящих принципов построения соответствующих систем, концентрирующих накопленный опыт. Именно таким образом для проблемы обеспечения безопасности информационных систем разрабатывался британский стандарт BS 7799 и созданный на его основе международный стандарт ISO 17799.

Анализ наиболее успешных решений в области обеспе­чения информационной безопасности баз данных позволил сформулировать несколько полезных принципов, которыми можно руководствоваться при проектировании систем защиты:

— экономическая оправданность механизмов защиты;

— открытое проектирование;

— распределение полномочий между различными субъектами в соответствии с правилами организации;

— минимально возможные привилегии для пользователей и администраторов;

— управляемость системы при возникновении отказов и сбоев;

— психологическая приемлемость работы средств защиты данных.

Первый из этих принципов — экономическая оправданность механизмов защиты — предписывает использование простейшего из всевозможных вариантов проекта, который обеспечивает достижение желаемой цели. Хотя этот принцип относится ко многим аспектам проектирования систем, он наиболее пригоден при разработке механизмов защиты, так как ошибки проектирования и реализации, которые ведут к неконтролируемым способам доступа к данным, могут быть не замечены в ходе нормального использования системы. Строгое соблюдение этого принципа приводит к применению на практике таких методов, как проверка «строка за строкой» программных средств и физическая проверка аппаратных средств, реализующих механизмы защиты.

В соответствии с принципом открытого проектирования, технология систем защиты не должна базироваться на «сек­ретных» алгоритмах. Этот принцип широко используется при проектировании безопасных систем и сетей связи. Высокое качество систем защиты обеспечивается не недостатком знаний у возможных нарушителей, а использованием широко опробованных (как правило, открытых) стандартов и правильной организацией управления ключевой информацией. Использование алгоритмов, основанных на открытых стандартах в области информационной безопасности, повышает степень доверия пользователей к системе защиты и формирует правильную психологическую установку на необходимость внимательности и аккуратности при работе с ключевой информацией.

Принцип распределения полномочий состоит в том, что для критически важных приложений целесообразно использовать многокомпонентные схемы доступа к данным. То есть для выполнения соответствующей операции необходимо провести аутентификацию нескольких ее обязательных участников. Физический аналог этого принципа можно наблюдать в конструкциях банковских сейфов, когда для того, чтобы открыть сейф, необходимо наличие двух ключей, которые обычно хранятся у различных людей. Ясно, что механизмы защиты, требующие двух ключей для доступа к информации, являются более устойчивыми, чем механизмы, которые разрешают доступ на основе предъявления единственного ключа. В то же время подобные многокомпонентные процедуры требуют больших затрат и, как правило, более сложных процедур управления ключами (включая хранение резервной копии).

При проектировании многокомпонентных схем доступа за прообраз берется существующая в организации практика. Действительно, переход в автоматизированном контуре на более

сложные, чем использовались «в доавтоматизированную эру», технологии может вызвать психологический дискомфорт и различные формы скрытого саботажа системы.

Принцип минимально возможных привилегий для пользователей и администраторов предписывает, чтобы каждый пользователь (процесс) системы оперировали с данными, используя наименьший из возможных набор привилегий, необходимых для выполнения конкретной функции. Применение данного принципа нацелено на минимизацию ущерба, который может быть нанесен в случае сбоя, ошибки программного обеспечения или компрометации элементов системы защиты данных.

Согласно принципу управляемости системы при отказах и сбоях, проектирование информационной системы, реализованной на базе СУБД, должно осуществляться в предположении, что ошибки операционной системы и СУБД, а также сбои аппаратуры неизбежны. При создании системы возможность реализации таких событий должна быть учтена: при проектировании процедур и функций должны быть обработаны все исключительные ситуации, при обработке данных, содержащих конфиденциальную информа­цию, должны быть минимизированы риски восстановления этих данных по дампам оперативной памяти и содержимому временных файлов и т. п. Также должны быть разработаны документы, регламентирующие действия участников процесса обработки данных (как пользователей, так и обслуживающего персонала) при возникновении нештатных ситуаций. Персонал должен проходить регулярные инструктажи и тренинги по обучению действиям в нештатных ситуациях, с иерархией передачи данных.

И наконец, в соответствии с принципом психологической приемлемости работы средств защиты данных взаимодействие людей с системой (и подсистемой защиты) не должно быть сложным. Пользователи должны шаблонно и автоматически применять имеющиеся механизмы защиты. Чрезмерное усложнение механизмов защиты может вызывать их внутреннее неприятие и побуждать к использованию различных форм скрытого саботажа. Осознанное принятие используемых средств и методов обеспечения информационной безопасности и оценка комплекса применяемых мер как необходимых приводит к уменьшению числа ошибок пользователей. В этом случае аномальное поведение потенциального нарушителя становится более заметным и проще устанавливается. Принцип психологической приемлемости является важным при выборе процедур аутентификации и модели управления доступом.

4.4. Стратегия применения средств обеспечения информационной безопасности

Стратегия определяет структуру, приоритеты и методы принятия решений при организации и обеспечении соответствующего вида деятельности. Разработка стратегии направлена на то, чтобы наиболее важные цели соответствующей деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Процесс выработки стратегии обеспечения информационной безопасности баз данных в самом общем виде может быть определен как поиск компромисса между уровнем обеспечения информационной безопасности и необходимыми для достижения этих целей ресурсами.

Необходимый уровень информационной безопасности определяется собственником информационного ресурса или уполномоченным им лицом и учитывает, прежде всего, важность информационного ресурса для обеспечения соответствующего вида деятельности. Диапазон вариантов чрезвычайно широк: от ситуации, когда разрушение информационного ресурса приводит к прекращению бизнеса (например, утрата состояния счетов клиентов банка), до ситуации, когда произошла досадная, но мелкая неприятность (случайно стерты копии руководств по информационной безопасности, переписанные вчера из сети Интернет).

Размер средств, выделяемых на обеспечение безопасности информационного ресурса, всегда ограничен. Из соображений здравого смысла, стоимость средств, выделенных на обеспечение информационной безопасности ресурса, не может превышать ценность самого ресурса. В реальности, стоимость средств, выделяемых на обеспечение информационной безопасности ресурса, не превышает 1% его стоимости (обычно заметно меньше). Размер средств, выделяемых на проектирование или сопровождение системы защиты информации баз данных, может определяться соответствующими позициями бюджета организации, зачастую непосредственно не связанными с ценностью информационных ресурсов организации. В этом случае стратегия расходования выделенных средств состоит в получении максимального эффективной системы обеспечения информационной безопасности при ограничениях, заданных на доступные средства.

С формальной точки зрения, сформулированные задачи являются оптимизационными задачами. Точнее, речь идет о паре двойственных задач. Несмотря на ясность содержательной сути поставленной задачи, осуществить формальную постановку задачи защиты информации баз данных в форме задач линейного или нелинейного программирования обычно не удается. Существует несколько проблем, затрудняющих формальную постановку пары двойственных задач:

— определение ценности информационных ресурсов и оценка ущерба от конкретных действий или событий часто может быть выполнена только на качественном уровне;

— эффективность методов и средств обеспечения информационной безопасности зависит от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, случайные сбои и необнаруженные ошибки в системе обработки информации и т. п.;

— организационные меры по обеспечению информационной безопасности связанны с действиями людей, эффективность которых также трудно оценить количественно.

В реальной практике обычно используются качественные оценки или оценки в ранговых шкалах. Например, можно рассмотреть проектные решения, которые обеспечат требуемый уровень защиты:

— от наиболее опасных из известных угроз;

— от всех идентифицированных угроз;

— от всех потенциально возможных угроз.

Во многих случаях системы обработки данных создаются не «с нуля», а развивают имеющиеся системы обеспечения бизнес-процессов организации с возможной автоматизацией некоторых процессов. При разработке средств обеспечения информационной безопасности баз данных проектные решения в значительной степени зависят от возможностей по изменению элементов существующих систем. Можно выделить несколько вариантов, в значительной степени определяющих существо возможных проектных решений:

— никакое вмешательство в информационную систему недопускается (требование предъявляется к функционирующим системам обработки информации, остановка или модификация которых недопустима);

— допускается частичное изменение архитектуры информационной системы (возможна временная остановка процессов функционирования и модификация используемых технологий для встраивания некоторых механизмов защиты);

— требования, обусловленные необходимостью обеспечения информационной безопасности, принимаются в полном объеме при проектировании и эксплуатации системы обработки информации.

На основе представленных классификаций можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 3.1.

Таблица 4.1.Стратегии обеспечения информационной безопасности

 

Учитываемые угрозы Влияние на информационные системы
Отсутствует частичное существенное
Наиболее опасные Оборонительная стратегия    
Все идентифицирован­ные угрозы   Наступательная стратегия  
Все потенциально возможные     Упреждающая стратегия

 

Выбирая оборонительную стратегию, проектировщик должен четко понимать и грамотно объяснить руководству, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.