Защищенная информационная система

21.1. Определение защищенной информационной системы

В отличие от корпоративных сетей, подключенных к Internet, где обычные средства безопасности в большой степени решают проблемы защиты внутренних сегментов сети от злоумышленников, распределенные корпоративные информационные системы, системы электронной коммерции и предоставления услуг пользователям Internet предъявляют повышенные требования в плане обеспечения информационной безопасности.

Межсетевые экраны, системы обнаружения атак, сканеры для выявления уязвимостей в узлах сети, операционных систем и СУБД, фильтры пакетов данных на маршрутизаторах - достаточно ли всего этого мощного арсенала (так называемого "жесткого периметра") для обеспечения безопасности критически важных информационных систем, работающих в Internet и Intranet? Практика и накопленный к настоящему времени опыт показывают - чаще всего нет!

Концепция "Защищенные информационные системы" включает ряд законодательных инициатив, научных, технических и технологических решений, готовность государственных организаций и компаний использовать их для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя так же комфортно и безопасно.

В таблице 21.1-1 приведена трехуровневая модель проблемы защищенности ИС.

В "Оранжевой книге" надежная информационная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживающая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз".

Это качественное определение содержит необходимое достаточное условие безопасности. При этом не обусловливается, какие механизмы и каким образом реализуют безопасность - практическая реализация зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее распределенности и сложности, топологии сетей, используемого программного обеспечения и т. д. В общем случае можно говорить о степени доверия, или надежности систем, оцениваемых по двум основным критериям:

Наличие и полнота политики безопасности - набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и определяющих, как организация собирает, обрабатывает, распространяет и защищает информацию. В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с определенными наборами данных. В политике сформулированы права и ответственности пользователей и персонала отделов ИБ. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения. Чем больше информационная система и чем больше она имеет "входов" и "выходов" (распределенная система), тем "строже", детализированнее и многообразнее должна быть политика безопасности.

Гарантированность безопасности - мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления ее конфигурацией и целостностью. Гарантированность может проистекать как из тестирования и верификации, так и из проверки (системной или эксплуатационной) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты, реализованным качеством разработки, внедрения, эксплуатации и сопровождения информационной системы и заложенных принципов безопасности.

Концепция гарантированности является центральной при оценке степени, с которой информационную систему можно считать надежной. Надежность определяется всей совокупностью защитных механизмов системы в целом и надежностью вычислительной базы (ядра системы), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется ее реализацией и корректностью исходных данных, вводимых административным и операционным персоналом. Выше было отмечено, что компоненты вычислительной базы могут не быть абсолютно надежными, однако это не должно влиять на безопасность системы в целом.

Основное назначение надежной вычислительной базы - выполнять функции монитора обращений и действий, т. е. контролировать допустимость выполнения пользователями определенных операций над объектами. Монитор проверяет каждое обращение к программам или данным на предмет их согласованности со списком допустимых действий. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Надежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом - анализом регистрационной информации.

Эти общие положения являются основой для проектирования и реализации безопасности открытых информационных систем.

21.2. Методология анализа защищенности информационной системы

При разработке архитектуры и создании инфраструктуры корпоративной ИС неизбежно встает вопрос о ее защищенности от угроз. Решение вопроса состоит в подробном анализе таких взаимно пересекающихся видов работ, как реализация ИС и аттестация, аудит и обследование безопасности ИС.

Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие "области угроз", "защищаемой области" и "системы защиты". Таким образом, имеем три множества:

1. T = {t_i} - множество угроз безопасности,
2. O = {o_j} - множество объектов (ресурсов) защищенной системы,
3. M = {m_k} - множество механизмов безопасности АС.

Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты. Для описания системы защиты обычно используется графовая модель. Множество отношений угроза-объект образует двухдольный граф {T, O}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора M; в результате получается трехдольный граф {T, M, O}.

Развитие модели предполагает введение еще двух элементов.

V - набор уязвимых мест, определяемый подмножеством декартова произведения {T x O} : v_r = <t_i, o_j>. Под уязвимостью системы защиты понимают возможность осуществления угрозы T в отношении объекта O. (На практике под уязвимостью системы защиты обычно понимают, те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для ее осуществления).

Определим B как набор барьеров, определяемый декартовым произведением {V x M} : b_l = <t_i, o_j, m_k>, представляющим собой пути осуществления угроз безопасности, перекрытые средствами защиты. В результате получаем систему, состоящую из пяти элементов: <T, O, M, V, B>, описывающую систему защиты с учетом наличия уязвимостей.

Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз. Данное условие является первым фактором, определяющим защищенность ИС, второй фактор - "прочность" и надежность механизмов защиты.

В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь определенную степень сопротивляемости угрозам безопасности. Поэтому в качестве характеристик элемента набора барьеров b_l = <t_i, o_j, m_k> может рассматриваться набор <P_l, L_l, R_l>, где P_l - вероятность появления угрозы, L_l - величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), а R₁ - степень сопротивляемости механизма защиты m_k, характеризующаяся вероятностью его преодоления.

Надежность барьера b_l = <t_i, o_j, m_k> характеризуется величиной остаточного риска Risk_l, связанного с возможностью осуществления угрозы t_i в отношении объекта информационной системы o_j при использовании механизма защиты m_k. Эта величина определяется по формуле:

Risk_l = P_k x L_k x (1 - R_k).

Для нахождения примерной величины защищенности S можно использовать следующую простую формулу: S = 1/Risk₀, где Risk₀ является суммой всех остаточных рисков, (0 < [P_k, L_k] < 1), (0 ≤ R_k < 1).

Суммарная величина остаточных рисков характеризует приблизительную совокупную уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров b_k, "перекрывающих" выявленные уязвимости, степень сопротивляемости механизма защиты R_k принимается равной нулю.

На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Построение моделей системы защиты и анализ их свойств составляют предмет "теории безопасных систем", еще только оформляющейся в качестве самостоятельного направления.

Вместе с тем для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина C_l затраты на построение средства защиты барьера b_l. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат W = {w_l}, состоящих из затрат C = {c_l} на создание средств защиты и возможных затрат в результате успешного осуществления угроз N = {n_l}.

Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным является использование неформальных классификационных подходов. Для этого применяют категорирование: нарушителей (по целям, квалификации и доступным вычислительным ресурсам); информации (по уровням критичности и конфиденциальности); средств защиты (по функциональности и гарантированности реализуемых возможностей), эффективности и рентабельности средств защиты и т. п.

21.3. Требования к архитектуре информационных систем для обеспечения безопасности ее функционирования

Идеология открытых систем (см. гл. 19) существенно отразилась на методологических аспектах и направлении развития сложных ИС. Она базируется на строгом соблюдении совокупности профилей, протоколов и стандартов де-факто и де-юре. Программные и аппаратные компоненты по этой идеологии должны отвечать важнейшим требованиям: переносимости и возможности согласованной, совместной работы с другими удаленными компонентами. Это позволяет обеспечить совместимость компонент различных информационных систем, а также средств передачи данных. Задача сводится к максимально возможному повторному использованию разработанных и апробированных программных и информационных компонент при изменении вычислительных аппаратных платформ, операционных систем и процессов взаимодействия.

При создании сложных, распределенных информационных систем, проектировании их архитектуры, инфраструктуры, выборе компонент и связей между ними следует учитывать, помимо общих (открытость, масштабируемость, переносимость, мобильность, защита инвестиций и т. п.), ряд специфических концептуальных требований, направленных на обеспечение безопасности функционирования:

• архитектура системы должна быть достаточно гибкой, т. е. она должна допускать относительно простое, без коренных структурных изменений, развитие инфраструктуры и изменение конфигурации используемых средств, наращивание функций и ресурсов ИС в соответствии с расширением сфер и задач ее применения;
• должны быть обеспечены безопасность функционирования системы при различных видах угроз и надежная защита данных от ошибок проектирования, от разрушения или потери информации, а также авторизация пользователей, управление рабочей загрузкой, резервированием данных и вычислительных ресурсов, максимально быстрым восстановлением функционирования ИС;
• следует обеспечить комфортный, максимально упрощенный доступ пользователей к сервисам и результатам функционирования информационной системы на основе современных графических средств, мнемосхем и наглядных пользовательских интерфейсов;
• систему должна сопровождать актуализированная, комплектная документация, обеспечивающая квалифицированную эксплуатацию и возможность развития ИС.

Подчеркнем, что системы безопасности, какими бы мощными они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.

С практической точки зрения обеспечения безопасности наиболее важными являются следующие принципы построения архитектуры ИС:

• проектирование ИС на принципах "открытых систем", следование признанным стандартам, использование апробированных решений, иерархическая организация ИС с небольшим числом сущностей на каждом уровне - все это способствует "прозрачности" и хорошей управляемости ИС;
• непрерывность защиты в пространстве и времени, невозможность миновать защитные средства, невозможность спонтанного или вызванного перехода в небезопасное состояние - при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ в систему или ее часть;
• усиление самого слабого звена, минимизация привилегий доступа, разделение функций обслуживающих сервисов и обязанностей персонала. Предполагается такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по неведению или по заказу злоумышленников. Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Это позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов;
• эшелонирование обороны, разнообразие защитных средств, простота и управляемость информационной системы и системы ее безопасности. Принцип эшелонирования обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом, протоколирование и аудит. Эшелонированная оборона способна не только не пропустить злоумышленника, но и в в некоторых случаях идентифицировать его, благодаря протоколированию и аудиту. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.

Очень важен общий принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Internet, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет уязвимой, сложной и плохо управляемой.

Продуманная и упорядоченная структура программных средств и баз данных, топология внутренних и внешних сетей непосредственно отражается на достигаемом качестве и безопасности ИС, а также на трудоемкости их разработки. При строгом соблюдении правил структурного построения значительно облегчается достижение высоких показателей качества и безопасности, так как сокращается число возможных ошибок в реализующих программах, отказов и сбоев оборудования, упрощается их диагностика и локализация. В хорошо структурированной системе с четко выделенными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.

Высокие требования, предъявляемые к формированию архитектуры и инфраструктуры на стадии проектирования ИС, определяются тем, что именно на этой стадии можно в значительной степени минимизировать число уязвимостей, связанных с непредумышленными дестабилизирующими факторами, которые влияют на безопасность программных средств, баз данных и систем коммуникации.

Анализ безопасности ИС при отсутствии злоумышленных факторов базируется на модели взаимодействия основных компонент ИС, представленной на рис. 21.3-1.

Рис. 21.3-1. Модель анализа безопасности информационных систем при отсутствии злоумышленных угроз

В качестве объектов уязвимости рассматриваются:

• динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;
• объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;
• данные и информация, накопленная в базах данных;
• информация, выдаваемая потребителям и на исполнительные механизмы.

Очевидно, что полное устранение перечисленных угроз принципиально невозможно. Задача состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на безопасность ИС, а также в эффективном распределении ресурсов для обеспечения защиты, равнопрочной по отношению ко всем негативным воздействиям.

21.4. Этапы построения системы безопасности ИС

Концепция информационнной безопасности определяет этапы построения системы информационной безопасности в соответствии со стандартизованным жизненным циклом ИС: аудит безопасности (обследование) существующей системы защиты ИС, анализ рисков, формирование требований и выработка первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение системы. Рассмотрим кратко содержание отдельных этапов.

Аудит безопасности. Аудит безопасности может включать по крайней мере четыре различных группы работ.

К первой группе относятся так называемые "тестовые взломы" ИС. Эти тесты применяются, как правило, на начальных стадиях обследования защищенности ИС. Причина малой эффективности "тестовых взломов" скрывается в самой постановке задачи. Действительно, основной задачей "взломщика" является обнаружение нескольких уязвимостей и их использование для доступа в систему. Если тест оказался успешным, то, предотвратив потенциальное развитие возможных сценариев "взлома", работу надо начинать сначала и искать следующие. Неуспех "взлома" может означать в равной мере как защищенность системы, так и недостаточность тестов.

Вторая группа - экспресс-обследование. В рамках этой, обычно непродолжительной, работы оценивается общее состояние механизмов безопасности в обследуемой ИС на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования, так и в результате тестовой работы автоматизированных сканеров защищенности.

Третья группа работ по аудиту - аттестация систем на соответствие требованиям защищенности информационных ресурсов. При этом происходит формальная проверка набора требований как организационного, так и технического аспектов, рассматриваются полнота и достаточность реализации механизмов безопасности. Типовая методика анализа защищенности корпоративной информационной системы состоит в совокупности следующих методов:

• изучение исходных данных по структуре, архитектуре, инфраструктуре и конфигурации ИС на момент обследования;
• предварительная оценка рисков, связанных с осуществлением угроз безопасности в отношении технических и информационных ресурсов;
• анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима ИБ и оценка их соответствия требованиям существующих стандартов и нормативных документов, а также их адекватности существующим рискам;
• анализ конфигурационных файлов маршрутизаторов и Proxy-серверов, почтовых и DNS-серверов (Domain Name System), шлюзов виртуальных частных сетей (VPN), других критических элементов сетевой инфраструктуры;
• сканирование внешних сетевых адресов локальной сети;
• сканирование ресурсов локальной сети изнутри;
• анализ конфигурации серверов и рабочих станций при помощи специализированных программных агентов.

Перечисленные технические методы предполагают применение как активного, так и пассивного тестирования системы защиты. Активное тестирование заключается в моделировании действий потенциального злоумышленника; пассивное тестирование предполагает анализ конфигурации операционной системы и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную или с использованием специализированных программных средств.

При анализе конфигурации средств защиты для внешнего периметра локальной сети и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты:

• настройка правил разграничения доступа (фильтрация сетевых пакетов);
• используемые схемы и настройка параметров аутентификации;
• настройка параметров системы регистрации событий;
• использование механизмов, обеспечивающих сокрытие топологии защищаемой сети (например, трансляция сетевых адресов);
• настройка механизмов оповещения об атаках и реагирования;
• наличие и работоспособность средств контроля целостности;
• версии используемого программного обеспечения и установленные обновления.

Анализ конфигурации предполагает проверку правильности установки сотен различных параметров. Для автоматизации этого процесса могут использоваться специализированные программные средства анализа защищенности, выбор которых в настоящее время достаточно широк.

Один из современных и быстро развивающихся методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем - использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности ИС. Управление агентами осуществляет по сети программа-менеджер. Такие менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации ESM (производитель - компания Symantec Enterprise Security Manager).

Четвертая группа - предпроектное обследование - самый трудоемкий вариант аудита. Такой аудит предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным приложениям. Затем выполняется анализ самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, необходимые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения ИБ дает основания для ранжирования рисков, существующих в ИС, и выработки адекватных контрмер. Успешное проведение предпроектного обследования, последующего анализа рисков и формирования требований определяют, насколько принятые меры будут адекватны угрозам, эффективны и экономически оправданы.

Проектирование системы. В настоящее время сложились два подхода к построению системы ИБ - продуктовый и проектный. В рамках продуктового подхода выбирается набор средств физической, технической и программной защиты (готовое решение), анализируются их функции, а на основе анализа функций определяется политика доступа в рабочие и технологические помещения, к информационным ресурсам. Можно поступать наоборот: вначале прорабатывается политика доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор средств и продуктов, обеспечивающих выполнение этих функций. Выбор методов зависит от конкретных условий деятельности организации, ее местонахождения, расположения помещений, состава подсистем ИС, совокупности решаемых задач, требований к системе защиты и т. д.

Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, в некоторых случаях он является единственно возможным в условиях дефицита решений или жестких требований нормативных документов на государственном уровне (например, для криптографической защиты в сетях специального назначения и правительственных телефонных сетях применяется только такой подход). Проектный подход заведомо более полон, и решения, построенные на его основе, более оптимизированы и проще аттестуемы. Проектный подход предпочтительнее и при создании больших гетерогенных распределенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более "долгоживущие" решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа. А это, в свою очередь, обеспечивает хороший показатель возврата инвестиций (ROI) при развитии ИС и системы ИБ.

Объекты или приложения? При проектировании архитектуры системы информационной безопасности применяются объектный, прикладной или смешанный подходы.

Объектный подход строит защиту информации на основании физической структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т. д. К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.

Прикладной подход "привязывает" механизмы безопасности к конкретному приложению. Пример прикладного подхода - защита подсистемы либо отдельных зон автоматизации (бухгалтерия, склад, кадры, проектное бюро, аналитический отдел, отделы маркетинга и продаж и т. д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно: необходимо увязывать различные по функциональным возможностям средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций.

Возможна комбинация двух описанных подходов. В смешанном подходе информационная система представляется как совокупность объектов, для каждого из которых применен объектный подход, а для совокупности взаимосвязанных объектов - прикладной. Такая методика оказывается более трудоемкой на стадии проектирования, однако часто дает хорошую экономию средств при внедрении, эксплуатации и сопровождении системы защиты информации.

Службы и механизмы безопасности. Стратегию защиты можно реализовать двумя методами - ресурсным и сервисным. Первый метод рассматривает ИС как набор ресурсов, которые "привязываются" к конкретным компонентам системы ИБ. Это метод хорош для небольших ИС с ограниченным набором задач. При расширении круга задач и разрастании ИС приходится во многом дублировать элементы защиты для однотипных ресурсов, а это часто приводит к неоправданным затратам. Сервисный подход трактует ИС как набор служб, программных и телекоммуникационных сервисов для оказания услуг пользователям. В этом случае один и тот же элемент защиты можно использовать для различных сервисов, построенных на одном и том же программном обеспечении или техническом устройстве. Сегодня сервисный подход представляется предпочтительным, поскольку он предполагает строгий функциональный анализ существующих многочисленных служб, обеспечивающих функционирование ИС, и позволяет исключить широкий класс угроз при помощи отказа от "лишних" служб и оптимизации работы оставшихся, делая структуру системы ИБ логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности ISO 15408.

Внедрение и аттестация. Этап внедрения включает целый комплекс последовательно проводимых мероприятий, включая установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдачу в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в "боевой" режим. Если в процессе опытной эксплуатации выявлены факты некорректной работы компонентов, проводится корректировка настроек средств защиты, режимов их функционирования и т. п. По результатам опытной эксплуатации проводится внесение корректировок (при необходимости) и уточнение настроек средств защиты. Далее следует проведение приемо-сдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.

Подтверждение функциональной полноты системы безопасности и обеспечения требуемого уровня защищенности ИС обеспечивается проведением аттестации системы ИБ соответствующим аккредитованным центром Гостехкомиссии или зарубежной независимой лаборатории. Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе исходя из следующего перечня работ:

• анализ исходных данных, предварительное ознакомление с аттестуемым объектом информатизации;
• экспертное обследование объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;
• испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;
• испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);
• комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации;
• анализ результатов экспертного обследования и аттестационных испытаний и утверждение заключения по результатам аттестации объекта информатизации.

По результатам испытаний готовится отчетная документация, проводится оценка результатов испытаний и выдается аттестат соответствия установленного образца. Его наличие дает право обработки информации со степенью конфиденциальности и на период времени, которые установленны в аттестате.

Техническая поддержка и сопровождение. Для поддержания работоспособности подсистемы информационной безопасности и бесперебойного выполнения ею своих функций необходимо предусмотреть комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактические работы. Данный комплекс мероприятий включает в себя:

• администрирование штатных средств защиты и их техническое обслуживание;
• контроль состояния системы, профилактическое обследование конфигурации, выявление потенциальных проблем;
• мониторинг и установка выпускаемых обновлений и программных коррекций средств защиты, а также используемых операционных систем, СУБД и приложений;
• регулярный поиск и анализ уязвимостей в защищаемой системе с использованием специальных средств сканирования;
• диагностику неисправностей и проведение восстановительных работ при возникновении аварийных и нештатных ситуаций;
• периодическое тестирование системы ИБ и оценку эффективности защиты.

Техническая поддержка и сопровождение системы ИБ требует наличия у обслуживающего персонала определенных знаний и навыков и может осуществляться как штатными сотрудниками организации - владельца ИС, ответственными за информационную безопасность, так и сотрудниками специализированных организаций.

21.5. Стандартизация подходов к обеспечению информационной безопасности

Специалистам в области информационной безопасности (ИБ) сегодня практически невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько веских причин. Формальная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и Руководящим документам Гостехкомиссии России) закреплена законодательно. Убедительны и содержательные причины. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ и ИС. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки программного обеспечения и безопасности программных средств. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство работает весьма эффективно.

На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

• оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
• спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описывают важнейшие с точки зрения информационной безопасности понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализированные стандарты и спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем" и его интерпретацию для сетевых конфигураций, "Гармонизированные критерии Европейских стран", международный стандарт "Критерии оценки безопасности информационных технологий" и, конечно, Руководящие документы Гостехкомиссии России. К этой же группе относится и Федеральный стандарт США "Требования безопасности для криптографических модулей", регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

Технические спецификации, применимые к современным распределенным ИС, создаются, главным образом, "Тематической группой по технологии Internet" (IETF - Internet Engineering Task Force) и ее подразделением - рабочей группой по безопасности. Ядром технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (TLS - Transport Layer Security,), а также на уровне приложений (спецификации GSS-API, Kerberos). Необходимо отметить, что Internet-сообщество уделяет должное внимание административному и процедурному уровням безопасности, создав серию руководств и рекомендаций - "Руководство по информационной безопасности предприятия", "Как выбирать поставщика Internet-услуг", "Как реагировать на нарушения информационной безопасности" и др.

В вопросах сетевой безопасности невозможно обойтись без спецификаций X.800 "Архитектура безопасности для взаимодействия открытых систем", X.500 "Служба директорий: обзор концепций, моделей и сервисов" и X.509 "Служба директорий: каркасы сертификатов открытых ключей и атрибутов".

Критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408:1999. "Общие критерии оценки безопасности информационных технологий" ("The Common Criteria for Information Technology Security Evaluation"), принятом в 1999 г. "Общие критерии" определяют функциональные требования безопасности (Security Functional Requirements) и требования к адекватности реализации функций безопасности (Security Assurance Requirements).

"Общие критерии" ("ОК") содержат два основных вида требований безопасности:

• функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
• требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.

Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - программно-аппаратного продукта или информационной системы. Подчеркнем, что безопасность в "ОК" рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, обследуемый объект предстает не изолированно, а в "среде безопасности", характеризующейся определенными уязвимостями и угрозами. "ОК" целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость "ОК" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила" без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799:2000 "Практические правила управления информационной безопасностью" ("Code of practice for Information security management"). В этом стандарте обобщены правила по управлению информационной безопасностью, они могут быть использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на десять разделов:

1. Политика безопасности.
2. Организация защиты.
3. Классификация ресурсов и их контроль.
4. Безопасность персонала.
5. Физическая безопасность.
6. Администрирование компьютерных систем и сетей.
7. Управление доступом.
8. Разработка и сопровождение информационных систем.
9. Планирование бесперебойной работы организации.
10. Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особенно важными. При использовании некоторых из средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценке рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799. Процедура аудита безопасности ИС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

На нижнем уровне разработаны в разных странах сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению ИБ, которые применяются национальными компаниями при разработке программных средств, информационных систем и обеспечении качества и безопасности их функционирования.

21.6. Обеспечение интегральной безопасности информационных систем

Наряду с системной и функциональной интеграцией ИС в последнее время стала активно развиваться интегральная информационная безопасность (ИИБ). Под интегральной безопасностью понимается такое состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Интегральная безопасность информационных систем включает в себя следующие составляющие:

• физическая безопасность (защита зданий, помещений, подвижных средств, людей, а также аппаратных средств - компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры);
• безопасность сетей и телекоммуникационных устройств (защита каналов связи от воздействий любого рода);
• безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигурации и программного кода);
• безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

Задача обеспечения информационной безопасности появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению:

1. Частный подход основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат.
2. Комплексный подход реализуется решением совокупности частных задач по единой программе. Этот подход в настоящее время применяется наиболее часто.
3. Интегральный подход основан на объединении различных вычислительных подсистем ИС, подсистем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

Третий подход направлен на достижение интегральной информационной безопасности. Понятие интегральной безопасности предполагает обязательную непрерывность процесса обеспечения безопасности как во времени (в течение всей "жизни" ИС), так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т. п.). В какой бы форме ни применялся интегральный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи: разграничения доступа к информации, ее технического и криптографического "закрытия", устранение паразитных излучений технических средств, технической и физической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

На рис. 21.6-1 представлена блок-схема интегрального комплекса физической защиты объекта, обеспечивающего функционирование всех рассмотренных выше систем, на рис 21.6-2 - соотношение эффективности современных электронных средств контроля физического доступа.

Рис. 21.6-1. Блок-схема интегрального комплекса физической защиты ИС

Рис. 21.6-2. Сравнение эффективности современных электронных средств контроля доступа

Стандартный набор средств защиты информации в составе современной ИС обычно содержит следующие компоненты:

• средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (FES - File Encryption System);
• средства авторизации и разграничения доступа к информационным ресурсам, а также защита от несанкционированного доступа (НСД) к информации с использованием технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т. п.);
• средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
• средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
• средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN - Virtual Private Net);
• средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружение атак (Intrusion Detection);
• средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной политикой безопасности.

Защита информации на файловом уровне. Эти технологии позволяют скрыть конфиденциальную информацию пользователя на жестком диске компьютера или на сетевых дисках путем кодирования содержимого файлов, каталогов и дисков. Доступ к данной информации осуществляется по предъявлении ключа, который может вводиться с клавиатуры, храниться и предоставляться со смарт-карты, HASP-ключей или USB-ключей и прочих токенов. Помимо вышеперечисленных функций указанные средства позволяют мгновенно "уничтожить" информацию при подаче сигнала "тревога" и при "входе под принуждением", а также блокировать компьютер в перерывах между сеансами работы.

Технологии токенов (смарт-карты, touch-memory, ключи для USB-портов). Электронные ключи-жетоны (Token) являются средством повышения надежности защиты данных на основе гарантированной идентификации пользователя. Токены являются "контейнерами" для хранения персональных данных пользователя системы и некоторых его паролей. Основное преимущество токена заключается в том, что персональная информация всегда находится на носителе (смарт-карте, ключе и т. д.) и предъявляется только во время доступа к системе или компьютеру. Эта система находит все новых и новых приверженцев, так как она позволяет унифицировать правила доступа и поместить на одном персональном электронном носителе систему паролей для доступа на различные устройства и системы кодирования и декодирования информации. В настоящее время получают распространение токены с системой персональной аутентификации на базе биометрической информации, которая считывается с руки пользователя. Таким "ключом" может воспользоваться только тот пользователь, на которого настроен этот ключ.

Межсетевые экраны. Использование технологии межсетевых экранов предлагается для решения таких задач, как:

• безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Extranet- и Intranet-сетях, с внешними сетями;
• создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
• построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

В зависимости от масштабов организации и установленной политики безопасности рекомендуются межсетевые экраны (Firewall), отличающиеся по степени функциональности и по стоимости (межсетевые экраны CheckPoint Firewall-1, Private Internet Exchange (PIX) компании Cisco и др.). Устройства содержательной фильтрации (Content Inspection) устанавливаются, как правило, на входы почтовых серверов для отсечения большого объема неопасной, но практически бесполезной информации, обычно рекламного характера (Spam), принудительно рассылаемой большому числу абонентов электронной почты.

Антивирусные средства. Лавинообразное распространение вирусов ("червей", "троянских коней") действительно стало большой проблемой для большинства компаний и государственных учреждений. В настоящее время известно более 45000 компьютерных вирусов и каждый месяц появляется более 300 новых разновидностей. При этом считается, что основной путь "заражения" компьютеров - через Internet, поэтому наилучшее решение, по мнению многих руководителей, - отключить корпоративную сеть от "Всемирной паутины". Перефразируя высказывание "великого вождя и учителя", часто говорят: "Есть Internet - есть проблемы, нет Internet - нет проблем". При этом не учитывается, что существует множество других путей проникновения вирусов на конкретный компьютер, например, при использовании чужих дискет и дисков, пиратское программное обеспечение или персональные компьютеры "общего пользования" (например, опасность представляют домашние или студенческие компьютеры, если на них работает более одного человека). Системное применение лицензионных антивирусных средств (например, Лаборатории Касперского) существенно уменьшает опасность "вирусного" заражения.

Защищенные виртуальные частные сети. Для защиты информации, передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP, существует ряд программных продуктов, предназначенных для построения защищенных виртуальных частных сетей (VPN) на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования (Internet). Для небольших и средних компаний они являются хорошей альтернативой изолированным корпоративным сетям, так как обладают очевидными преимуществами: высокой гарантированной надежностью, изменяемой топологией, простотой конфигурирования, легкостью масштабирования, контролем всех событий и действий в сети, относительно невысокой стоимостью аренды каналов и коммуникационного оборудования.

Продукты работают в операционных системах Windows 98/2000/NT и Solaris и обеспечивают:

• защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
• контроль доступа в защищаемый периметр сети;
• идентификацию и аутентификацию пользователей сетевых объектов;
• централизованное управление политикой корпоративной сетевой безопасности.

Системы шифрования с открытым криптографическим интерфейсом позволяют использовать различные реализации криптоалгоритмов. Это дает возможность использования продуктов в любой стране мира в соответствии с принятыми национальными стандартами. Наличие разнообразных модификаций (линейка продуктов включает до десятка наименований для клиентских, серверных платформ, для сети масштаба офиса, для генерации ключевой информации) позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепенного наращивания мощности системы защиты.

Технологии обнаружения атак (Intrusion Detection). Постоянное изменение сети (появление новых рабочих станций, реконфигурация программных средств, и т. п.) может привести к появлению новых уязвимых мест, угроз и возможностей атак и информационные ресурсы, и на саму систему защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки информационного комплекса и его подсистем, и в том числе в подсистему защиты. Это означает, что рабочее место администратора системы должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест (наличия "дыр") для проведения атак "извне" и "снаружи", а также комплексной оценки степени защищенности от атак нарушителей. Например, в состав продуктов ЭЛВИС +, Net Pro VPN входят наиболее мощные среди обширного семейства коммерческих пакетов продукты компании Internet Security Systems (Internet Scanner и System Security Scanner), а также продукты компании Cisco: система обнаружения несанкционированного доступа NetRanger и сканер уязвимости системы безопасности NetSonar (www.extrim.ru/instruments_vpn.asp).

Инфраструктура открытых ключей (PKI - Public Key Infrastruture). Основными функциями PKI являются: поддержка жизненного цикла цифровых ключей и сертификатов (т. е. их генерация, распределение, отзыв и пр.), поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонентов подсистемы безопасности. Несмотря на существующие международные стандарты, определяющие функционирование системы PKI и способствующие ее взаимодействию с различными средствами защиты информации, к сожалению, не каждое средство информационной защиты, даже если его производитель декларирует соответствие стандартам, может работать с любой системой PKI. В нашей стране только начинают появляться компании, предоставляющие услуги по анализу, проектированию и разработке инфраструктуры открытых ключей. Поскольку при возрастающих масштабах ведомственных и корпоративных сетей VPN-продукты не смогут работать без PKI, только у разработчиков и поставщиков VPN есть опыт работы в этой области.

Естественно, в зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться, но любой "продвинутый" CIO или специалист IT-службы скажет, что любая проблема в области информационной безопасности не решается односторонне - всегда требуется комплексный, интегральный подхода. В настоящее время с сожалением приходится констатировать, что в российском бизнесе многие высшие менеджеры компаний и руководители крупных государственных организаций считают, что все проблемы в сфере ИБ можно решить, не прилагая особых организационных, технических и финансовых усилий.

Нередко со стороны людей, позиционирующих себя в качестве IT-специалистов, приходится слышать высказывания: "проблемы информационной безопасности в нашей компании мы уже решили - мы установили классный межсетевой экран и купили лицензию на средства антивирусной защиты". Такой подход свидетельствует, что существование проблемы уже признается, но сильно недооценивается масштаб и сложность необходимых срочных мероприятий по ее решению. В тех компаниях, где руководство и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или "подручными" средствами уже не обойтись, а нужно применять именно комплексный подход.