Современные подходы к безопасности автоматизированных информационнных систем И.Б.Шнайдерман, С.А.Охрименко, Г.А.Черней Развитие средств обработки, передачи и хранения информации породило специфическую проблему обеспечения безопасности автоматизированных информационных систем (АИС). Проблема безопасности чрезвычайно многогранна и охватывает все стадии жизненного цикла - от проектирования до эксплуатации. В настоящее время назрела необходимость систематизации накопленного опыта в данной области и формирования целостной концепции системы информационной безопасности (СИБ). Массовое применение персональных компьютеров и компьютерных сетей в ряде областей человеческой деятельности, среди которых следует выделить такие, как производственная, административная, технологическая, финансовая, патентная и др., информационное наполнение которых в большей степени не должно быть общедоступным, порождает проблему защиты и определяет возросшую актуальность. Несмотря на большое количество публикаций по рассматриваемой проблеме [3], к сожалению, до настоящего времени отсутствует комплексная проработка трех взаимосвязанных задач. Во-первых, методолигия построения системы информационной безопасности АИС, во-вторых, анализ потенциальных угроз и степени риска при реализации программных злоупотреблений, и, в-третьих, размещение элементов и механизмов системы безопасности. В качестве отправной точки для исследования выделенных задач могут использоваться работы [1,2]. В представленном материале предпринята попытка раскрыть содержание методологии построения СИБ с переходом к решению конкретных задач по обеспечению сохранности информации. Вполне естественно предположить, что авторы не претендуют на строгость в формулировке состава компонент системы информационной безопасности и рассматривают данный материал как основу для дальнейших исследований. В определении компьютерной безопасности, как системы охраны информации, технических и программных средств от нанесения им ущерба в результате сознательных либо случайных противоправных действий, совершенно не учитываются активы, присущие всем компьютерным системам. Речь должна идти не только об информации, как основном активе, но и ресурсах и отношениях партнеров. Доступность и стабильность вычислительных и информационных услуг, а также отношения партнерства являются активами системы и должны быть также защищены от неверных манипуляций. В качестве основы для построения концепции СИБ следует рассматривать, прежде всего, преднамеренные угрозы - несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами. Построение концепции СИБ требует разработки специальной методологии, позволяющей не ограничиваться простым выбором технических и организационных решений, а концентрировать внимание разработчиков и пользователей на таких составляющих, как правовое, организационно-техническое и технологическое обеспечение. Общая схема построения системы информационной безопасности для АИС включает пять последовательных этапов (рис.1): - подготовительный; - аналитический; - исследовательский; - рекомендательный; - этап внедрения. На подготовительном этапе выбираются и обосновываются объект (АИС в целом, отдельные компоненты, подсистемы), цели и задачи, общая концепция системы безопасности. Основной задачей аналитического этапа является сбор, систематизация и обработка информации о потенциальных угрозах, каналах утечки информации, а также разработка эталонов и критериев эффективности защиты информации, рассмотрение характеристик существующих аппаратно-программных средств защиты. Рис.1 Общая схема построения системы информационной безопасности
На исследовательском этапе определяется политика безопасности, допустимая степень риска, набор процедур и методов несанкционированного доступа к ресурсам АИС. Содержание рекомендательного этапа заключается в дальнейшей проработке вариантов размещения элементов системы информационной безопасности АИС, выбор оптимального по критерию “эффективность-стоимость”, документирование, оформление окончательных рекомендаций к внедрению. Этап внедрения включает работы по обучению персонала, дальнейшее развитие и поддержку составных частей системы информационной безопасности, а также регулярное тестирование. Рассмотрим поподробнее содержание приведенных этапов. Подготовительный. Проводят системный анализ ресурсов и ограничений, методов подготовки, приема-передачи и обработки информации, особенностей архитектуры АИС и содержащейся в ней информации. Одновременно с этим дается описание ресурсов системы, которые объединяют в следующие категории: техника (hardware); программное обеспечение (software); данные; персонал; дополнительные ресурсы. На основании проведенного анализа разрабатывается общая концепция СИБ, определяются цели, формируются основные требования, учитывающие не только текущие потребности, но и перспективу развития АИС в целом, а также технологий обработки, хранения и передачи данных. К основным целям системы информационной безопасности АИС следует отнести: - обеспечение физической и логической целостности информации; - предупреждение несанкционированной модификации, получения и распространения информации. В основу СИБ должны быть положены следующие принципы: 1. Обеспечение конфиденциальности личной, служебной и другой доверительной информации. 2. Поддержка целостности и достоверности хранимых данных с помощью специальных средств. 3. Обеспечение постоянного доступа к системе, данным и услугам всем уполномоченным пользователям. 4. Обеспечение соблюдения законов, правил, лицензий, договоров и этических норм при использовании информации. Аналитический этап. Выявляют возможные угрозы системе, с выделением потенциальных. Определяют каналы несанкционированного доступа и утечки информации и выделяют категории объектов, подлежащих защите. При этом следует рассматривать не только каналы утечки информации, обусловленные свойствами технических средств и несовершенством программного обеспечения, но и возможностью осуществления несанкционированного доступа и реализации программных злоупотреблений. Такой подход к выявлению потенциальных каналов несанкционированного доступа и утечки информации определяется необходимостью комплексного решения проблемы защиты информации, включая борьбу с промышленным шпионажем. Определяются критерии эффективности СИБ, в их числе выделяют: целевые; технические; эффективности жизненного цикла; экономические; эффективности управления; социальные. На данном этапе определяются также допустимые ограничения, накладываемые системой информационной безопасности на компьютерную систему (например, уменьшение производительности аппаратной и программной составляющих, ограничения административно-организационного плана и др.). При разработке эталонов информационной безопасности определяются основные требования с точки зрения производительности. К ним относят требования технического, правового и экономического характера. В качестве технических требований рассматривают эффективность системы защиты, время реагирования на нарушение и т.д. К правовым требованиям относят соблюдение правовых актов и законов, относящихся к области защиты информации и обработки данных. К экономическим требованиям относят параметры соотношения “стоимость-производительность”. При анализе характеристик существующих аппаратно-программных средств защиты определяются те, которые удовлетворяют требованиям разработанного эталона информационной безопасности. Определяются системы шифрования, используемые при обработке, приеме-передаче и хранении информации в системе. Важно отметить, что чем больше охват рассматриваемых систем и методов, тем надежнее будет функционировать СИБ. Другим важным моментом является совместимость рассматриваемых средств с функционирующей системой (в т.ч. аппаратная часть, операционная система, прикладные программы). Исследовательский этап. При анализе степени риска и определении величин возможных потерь в случае нарушения целостности СИБ проводится анализ состояния системы и оценка видов угроз, с учетом имеющихся механизмов защиты. Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что в каждой АИС, и в каждом узле существует своя граница "допустимости" потерь, определяемая ценностью информации, масштабами разработок, бюджетом и множеством других политических, организационных, экономических и этических факторов. В случае, если потери меньше, чем затраты, требуемые на разработку, внедрение и эксплуатацию средств защиты, и если с точки зрения интересов АИС возможный несанкционированный доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым. Однако, необходимо учитывать, что в большинстве случаев исключается даже незначительная утечка информации, например, когда речь идет о содержании конфиденциальной информации - анализ коньюктуры рынка, новых технологий или оригинальных технических решений. Результаты анализа риска служат основой для: - улучшения осведомленности персонала. Обсуждение вопросов защиты может повысить интерес сотрудников к данной проблеме и приведет к точному выполнению ими требований политики безопасности. - определения сильных и слабых сторон системы контроля. Многие компании не имеют полной информации о своей вычислительной базе и ее слабых сторонах. Систематический анализ позволит сформировать всестороннюю информацию о состоянии вычислительной системы и степени риска; - подготовки и принятия решений. Система контроля снижает производительность системы и вносит дополнительные ограничения в работу. Некоторые виды контроля достаточно сложны и их применение не может быть оправдано теми преимуществами, которые они обеспечивают. С другой стороны, существуют настолько серьезные виды риска, что поиск и разработка новых, более эффективных средств контроля, является необходимой мерой. В любом случае выявленная степень риска определяет уровень необходимых средств контроля; - определения затрат на организацию защиты. Реализация механизмов защиты требует достаточных ресурсов и их работа скрыта от пользователей. Анализ риска помогает определить главные требования к механизмам защиты. При этом необходимо отметить, что чем меньше затраты на организацию защиты, тем выше риск потери информации. Кроме того, при создании СИБ следует выделять следующие управляемые виды риска: 1. Финансовый. Данный вид риска является основным. Слишком высокий финансовый риск допустим только в случае уникальности защищаемой информации. Следует отметить, что не для всех АИС (даже государственных организаций и учреждений), могут авансироваться достаточно большие денежные и материальные средства на создание и поддержку СИБ. Снижение финансового риска допускается за счет управления другими видами риска и сведения их значений к минимально допустимым. 2. Технический. Этот вид риска присутствует повсеместно и распространяется на весь спектр аппаратных и программных средств защиты. 3. Проектный. Техническая сложность проектируемой СИБ должна соответствовать квалификации и опыту персонала и обеспечивать завершенность и целостность системы. 4. Функциональный. При завершении проектирования СИБ может оказаться, что функциональное наполнение не соответствует заданным требованиям. В результате возникает потребность в дополнительных исследованиях и разработках по уточнению и совершенстованию функционального наполнения. 5. Системный. Если система спроектирована таким образом, что она отвечает основным требованиям окружающей среды и обеспечивает сохранность информации и ресурсов от несанкционированного доступа, использования и распространения и все предварительные допущения относительно основных функций выполнимы, то СИБ считается законченной. Следует учитывать, что система должна быть открытой по отношению к нововведениям в области вычислительной техники, коммуникаций и программного обеспечения, а также защиты информации, одновременно с этим, недопустимы частые и радикальные изменения системы информационной безопасности. Одним из основных и весьма сложных вопросов создания СИБ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критической информации в АИС. Она должна охватывать все особенности процесса обработки информации, определять поведение системы в различных ситуациях. При разработке политики безопасности, в первую очередь, определяется способ управления доступом, порядок доступа субъектов системы к объектам. Важным моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и включать регистрацию, распознавание и обработку событий, связанных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СИБ и защиты данных. Рекомендательный этап. Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах АИС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов. Разрабатывается комплекс методических и инструктивных материалов, описывающих реализацию СИБ, содержащий следующие разделы: - ПОЛИТИКА - описание конечных целей защиты и подготовки персонала, а также мер, направленных на достижение целей защиты и обеспечивающих адекватную защиту (требования к защите и ее стоимость должны соответствовать ценности обрабатываемой информации); - ТЕКУЩЕЕ СОСТОЯНИЕ - описание статуса объектов, субъектов и механизмов защиты в момент составления плана; - РЕКОМЕНДАЦИИ - описание основных шагов для достижения целей защиты, обеспечивающих достижение целей политики безопасности, способов и механизмов ее реализации в конкретной системе; - ОТВЕТСТВЕННОСТЬ - список лиц, ответственных за функционирвание средств защиты, а также зон ответственности; - РАСПИСАНИЕ - описание порядка работы механизмов СИБ, включая меры контроля. - ПЕРЕСМОТР - описание положений плана, которые периодически подвергаются пересмотру, а также содержание конкретных организационно-технических мероприятий. Ввод СИБ в эксплуатацию. В рамках заключительного этапа реализуется комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий. Расмотренная схема построения СИБ, содержание приведенных этапов, по нашему мнению, может явиться достаточной основой для развертыванию работ по организации проектирования систем безопасности конкретных информационных систем.
ЛИТЕРАТУРА.
|