Современные подходы к безопасности автоматизированных информационнных систем

И.Б.Шнайдерман, С.А.Охрименко, Г.А.Черней

Развитие средств обработки, передачи и хранения информации породило специфическую проблему обеспечения безопасности автоматизированных информационных систем (АИС). Проблема безопасности чрезвычайно многогранна и охватывает все стадии жизненного цикла - от проектирования до эксплуатации. В настоящее время назрела необходимость систематизации накопленного опыта в данной области и формирования целостной концепции системы информационной безопасности (СИБ).

Массовое применение персональных компьютеров и компьютерных сетей в ряде областей человеческой деятельности, среди которых следует выделить такие, как производственная, административная, технологическая, финансовая, патентная и др., информационное наполнение которых в большей степени не должно быть общедоступным, порождает проблему защиты и определяет возросшую актуальность.

Несмотря на большое количество публикаций по рассматриваемой проблеме [3], к сожалению, до настоящего времени отсутствует комплексная проработка трех взаимосвязанных задач. Во-первых, методолигия построения системы информационной безопасности АИС, во-вторых, анализ потенциальных угроз и степени риска при реализации программных злоупотреблений, и, в-третьих, размещение элементов и механизмов системы безопасности. В качестве отправной точки для исследования выделенных задач могут использоваться работы [1,2].

В представленном материале предпринята попытка раскрыть содержание методологии построения СИБ с переходом к решению конкретных задач по обеспечению сохранности информации. Вполне естественно предположить, что авторы не претендуют на строгость в формулировке состава компонент системы информационной безопасности и рассматривают данный материал как основу для дальнейших исследований.

В определении компьютерной безопасности, как системы охраны информации, технических и программных средств от нанесения им ущерба в результате сознательных либо случайных противоправных действий, совершенно не учитываются активы, присущие всем компьютерным системам. Речь должна идти не только об информации, как основном активе, но и ресурсах и отношениях партнеров. Доступность и стабильность вычислительных и информационных услуг, а также отношения партнерства являются активами системы и должны быть также защищены от неверных манипуляций.

В качестве основы для построения концепции СИБ следует рассматривать, прежде всего, преднамеренные угрозы - несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами.

Построение концепции СИБ требует разработки специальной методологии, позволяющей не ограничиваться простым выбором технических и организационных решений, а концентрировать внимание разработчиков и пользователей на таких составляющих, как правовое, организационно-техническое и технологическое обеспечение.

Общая схема построения системы информационной безопасности для АИС включает пять последовательных этапов (рис.1):

- подготовительный;

- аналитический;

- исследовательский;

- рекомендательный;

- этап внедрения.

На подготовительном этапе выбираются и обосновываются объект (АИС в целом, отдельные компоненты, подсистемы), цели и задачи, общая концепция системы безопасности.

Основной задачей аналитического этапа является сбор, систематизация и обработка информации о потенциальных угрозах, каналах утечки информации, а также разработка эталонов и критериев эффективности защиты информации, рассмотрение характеристик существующих аппаратно-программных средств защиты.

Рис.1 Общая схема построения системы информационной безопасности

 

На исследовательском этапе определяется политика безопасности, допустимая степень риска, набор процедур и методов несанкционированного доступа к ресурсам АИС.

Содержание рекомендательного этапа заключается в дальнейшей проработке вариантов размещения элементов системы информационной безопасности АИС, выбор оптимального по критерию “эффективность-стоимость”, документирование, оформление окончательных рекомендаций к внедрению.

Этап внедрения включает работы по обучению персонала, дальнейшее развитие и поддержку составных частей системы информационной безопасности, а также регулярное тестирование.

Рассмотрим поподробнее содержание приведенных этапов.

Подготовительный. Проводят системный анализ ресурсов и ограничений, методов подготовки, приема-передачи и обработки информации, особенностей архитектуры АИС и содержащейся в ней информации. Одновременно с этим дается описание ресурсов системы, которые объединяют в следующие категории: техника (hardware); программное обеспечение (software); данные; персонал; дополнительные ресурсы.

На основании проведенного анализа разрабатывается общая концепция СИБ, определяются цели, формируются основные требования, учитывающие не только текущие потребности, но и перспективу развития АИС в целом, а также технологий обработки, хранения и передачи данных.

К основным целям системы информационной безопасности АИС следует отнести:

- обеспечение физической и логической целостности информации;

- предупреждение несанкционированной модификации, получения и распространения информации.

В основу СИБ должны быть положены следующие принципы:

1. Обеспечение конфиденциальности личной, служебной и другой доверительной информации.

2. Поддержка целостности и достоверности хранимых данных с помощью специальных средств.

3. Обеспечение постоянного доступа к системе, данным и услугам всем уполномоченным пользователям.

4. Обеспечение соблюдения законов, правил, лицензий, договоров и этических норм при использовании информации.

Аналитический этап. Выявляют возможные угрозы системе, с выделением потенциальных. Определяют каналы несанкционированного доступа и утечки информации и выделяют категории объектов, подлежащих защите. При этом следует рассматривать не только каналы утечки информации, обусловленные свойствами технических средств и несовершенством программного обеспечения, но и возможностью осуществления несанкционированного доступа и реализации программных злоупотреблений. Такой подход к выявлению потенциальных каналов несанкционированного доступа и утечки информации определяется необходимостью комплексного решения проблемы защиты информации, включая борьбу с промышленным шпионажем.

Определяются критерии эффективности СИБ, в их числе выделяют: целевые; технические; эффективности жизненного цикла; экономические; эффективности управления; социальные.

На данном этапе определяются также допустимые ограничения, накладываемые системой информационной безопасности на компьютерную систему (например, уменьшение производительности аппаратной и программной составляющих, ограничения административно-организационного плана и др.).

При разработке эталонов информационной безопасности определяются основные требования с точки зрения производительности. К ним относят требования технического, правового и экономического характера.

В качестве технических требований рассматривают эффективность системы защиты, время реагирования на нарушение и т.д.

К правовым требованиям относят соблюдение правовых актов и законов, относящихся к области защиты информации и обработки данных.

К экономическим требованиям относят параметры соотношения “стоимость-производительность”.

При анализе характеристик существующих аппаратно-программных средств защиты определяются те, которые удовлетворяют требованиям разработанного эталона информационной безопасности. Определяются системы шифрования, используемые при обработке, приеме-передаче и хранении информации в системе.

Важно отметить, что чем больше охват рассматриваемых систем и методов, тем надежнее будет функционировать СИБ. Другим важным моментом является совместимость рассматриваемых средств с функционирующей системой (в т.ч. аппаратная часть, операционная система, прикладные программы).

Исследовательский этап. При анализе степени риска и определении величин возможных потерь в случае нарушения целостности СИБ проводится анализ состояния системы и оценка видов угроз, с учетом имеющихся механизмов защиты.

Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что в каждой АИС, и в каждом узле существует своя граница "допустимости" потерь, определяемая ценностью информации, масштабами разработок, бюджетом и множеством других политических, организационных, экономических и этических факторов. В случае, если потери меньше, чем затраты, требуемые на разработку, внедрение и эксплуатацию средств защиты, и если с точки зрения интересов АИС возможный несанкционированный доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым. Однако, необходимо учитывать, что в большинстве случаев исключается даже незначительная утечка информации, например, когда речь идет о содержании конфиденциальной информации - анализ коньюктуры рынка, новых технологий или оригинальных технических решений.

Результаты анализа риска служат основой для:

- улучшения осведомленности персонала. Обсуждение вопросов защиты может повысить интерес сотрудников к данной проблеме и приведет к точному выполнению ими требований политики безопасности.

- определения сильных и слабых сторон системы контроля. Многие компании не имеют полной информации о своей вычислительной базе и ее слабых сторонах. Систематический анализ позволит сформировать всестороннюю информацию о состоянии вычислительной системы и степени риска;

- подготовки и принятия решений. Система контроля снижает производительность системы и вносит дополнительные ограничения в работу. Некоторые виды контроля достаточно сложны и их применение не может быть оправдано теми преимуществами, которые они обеспечивают. С другой стороны, существуют настолько серьезные виды риска, что поиск и разработка новых, более эффективных средств контроля, является необходимой мерой. В любом случае выявленная степень риска определяет уровень необходимых средств контроля;

- определения затрат на организацию защиты. Реализация механизмов защиты требует достаточных ресурсов и их работа скрыта от пользователей. Анализ риска помогает определить главные требования к механизмам защиты. При этом необходимо отметить, что чем меньше затраты на организацию защиты, тем выше риск потери информации.

Кроме того, при создании СИБ следует выделять следующие управляемые виды риска:

1. Финансовый. Данный вид риска является основным. Слишком высокий финансовый риск допустим только в случае уникальности защищаемой информации. Следует отметить, что не для всех АИС (даже государственных организаций и учреждений), могут авансироваться достаточно большие денежные и материальные средства на создание и поддержку СИБ. Снижение финансового риска допускается за счет управления другими видами риска и сведения их значений к минимально допустимым.

2. Технический. Этот вид риска присутствует повсеместно и распространяется на весь спектр аппаратных и программных средств защиты.

3. Проектный. Техническая сложность проектируемой СИБ должна соответствовать квалификации и опыту персонала и обеспечивать завершенность и целостность системы.

4. Функциональный. При завершении проектирования СИБ может оказаться, что функциональное наполнение не соответствует заданным требованиям. В результате возникает потребность в дополнительных исследованиях и разработках по уточнению и совершенстованию функционального наполнения.

5. Системный. Если система спроектирована таким образом, что она отвечает основным требованиям окружающей среды и обеспечивает сохранность информации и ресурсов от несанкционированного доступа, использования и распространения и все предварительные допущения относительно основных функций выполнимы, то СИБ считается законченной. Следует учитывать, что система должна быть открытой по отношению к нововведениям в области вычислительной техники, коммуникаций и программного обеспечения, а также защиты информации, одновременно с этим, недопустимы частые и радикальные изменения системы информационной безопасности.

Одним из основных и весьма сложных вопросов создания СИБ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критической информации в АИС. Она должна охватывать все особенности процесса обработки информации, определять поведение системы в различных ситуациях.

При разработке политики безопасности, в первую очередь, определяется способ управления доступом, порядок доступа субъектов системы к объектам.

Важным моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и включать регистрацию, распознавание и обработку событий, связанных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СИБ и защиты данных.

Рекомендательный этап. Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах АИС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.

Разрабатывается комплекс методических и инструктивных материалов, описывающих реализацию СИБ, содержащий следующие разделы:

- ПОЛИТИКА - описание конечных целей защиты и подготовки персонала, а также мер, направленных на достижение целей защиты и обеспечивающих адекватную защиту (требования к защите и ее стоимость должны соответствовать ценности обрабатываемой информации);

- ТЕКУЩЕЕ СОСТОЯНИЕ - описание статуса объектов, субъектов и механизмов защиты в момент составления плана;

- РЕКОМЕНДАЦИИ - описание основных шагов для достижения целей защиты, обеспечивающих достижение целей политики безопасности, способов и механизмов ее реализации в конкретной системе;

- ОТВЕТСТВЕННОСТЬ - список лиц, ответственных за функционирвание средств защиты, а также зон ответственности;

- РАСПИСАНИЕ - описание порядка работы механизмов СИБ, включая меры контроля.

- ПЕРЕСМОТР - описание положений плана, которые периодически подвергаются пересмотру, а также содержание конкретных организационно-технических мероприятий.

Ввод СИБ в эксплуатацию. В рамках заключительного этапа реализуется комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий.

Расмотренная схема построения СИБ, содержание приведенных этапов, по нашему мнению, может явиться достаточной основой для развертыванию работ по организации проектирования систем безопасности конкретных информационных систем.

 

ЛИТЕРАТУРА.

    1. Гайкович В., Першин А. Безопасность банковских электронных систем., М. Изд-во компания “Свободная Европа”,1993.- 364с.
    2. Герасименко В.А., Размахнин М.К. Организация работ по защите информации в системах обработки данных. //Зарубежная радиоэлектроника.-1989, № 12, с. 110-124.
    3. Библиографический указатель статей по защите информации. //Информационные ресурсы России.-1994, № 3, с. 31-32