3.5 Выбор мер и средств защиты информации

3.5.1 Общие вопросы выбора мер и средств при проектировании систем защиты информации

В настоящее время в международной практике сложилось много подходов к выбору мер и средств защиты информации для распределенных вычислительных сетей открытого типа, которые изложены в целом ряде так называемых моделей защиты. Данные модели защиты представлены в виде стандартов, разработанных различными организациями и фирмами.

Первым международным стандартом, посвященным функциональному описанию средств защиты информации в открытых системах, стал стандарт ISO 7498-2 (эквивалент — стандарт ITU-T X.800). Задача защиты информации рассматривается в нем в рамках стандартной модели взаимосвязи открытых систем OSI.

Защита информации в модели OSI осуществляется набором из четырнадцати (необязательных) функций безопасности (сервисов защиты), из которых выделяются пять базовых: аутентификация, управление доступом, конфиденциальность данных, целостность данных, неотказуемость, - остальные их конкретизируют.

Под функцией безопасности понимается действие, направленное на решение определенной задачи защиты, то есть на парирование одной или нескольких угроз безопасности, на реализацию одного или нескольких правил разграничения доступа. Чаще всего функция безопасности связана с применением какого-либо одного средства или меры защиты.

Функции безопасности реализуются при помощи восьми механизмов защиты, которые осуществляются на одном или нескольких уровнях модели OSI: шифрования, цифровой подписи, управления доступом, обеспечения целостности данных, взаимной идентификации, заполнения трафика (используется для защиты от попыток анализа трафика, он эффективен только в случае сплошного и непрерывного шифрования всего трафика, когда невозможно отличить момент передачи сообщения от передачи "пустого" заполнения), управления маршрутизацией, нотариального заверения. Понятие механизма защиты, строгое определение которого пока отсутствует, сегодня широко применяется в области защиты информации. Оно введено для обозначения определенной группы приемов защиты информации, отличающейся от других как направленностью и содержанием действий, так и характерными особенностями реализации.

Модель OSE/RM также рассматривает вопросы организации систем защиты информации (СЗИ) в среде открытых систем. В стандарте определяются основные механизмы защиты информации в среде переносимых операционных систем: дискреционный и мандатный контроль доступа, механизмы аудита, стандартные вызовы криптографических функций. В дальнейшем методы защиты информации в компьютерных системах были обобщены и систематизированы в публикациях NIST (Национального института стандартов и технологий США), Министерства обороны США, некоторых крупных фирм, таких как IBM.

Дальнейшее развитие механизмы защиты информации находят в модели RM-ODP. В ней определяются семь групп функций безопасности: функции контроля доступа, аудита, аутентификации, целостности, конфиденциальности, неотказуемости и управления ключами. Первые шесть из них рассматриваются в стандарте ISO/IEC 10181 из семи частей и его эквивалентах ITU-T X.810 — X.816.

В отдельные стандарты вынесены: каркасная модель сервиса аутентификации в открытых системах (ISO/IEC 9594-8 и его эквивалент ITU-T X.509), функции аудита и оповещения о чрезвычайных ситуациях в системе защиты (ISO 10164-7,8), управление системой защиты (ISO/IEC TR 13335), общая модель и механизмы управления ключами (ISO/IEC 11770). Стандарт ISO 7498-2 приобрел значение основного стандарта по защите информации в открытых телекоммуникационных сетях.

Наиболее полная на сегодняшний день система стандартов по защите информации в открытых системах сформирована международной организацией The Open Group: она основывается на общих рекомендациях модели TOGAF. Общую концепцию защиты прикладных программ и данных в распределенной среде определяет модель XDSF (X/Open Distributed Security Framework). Набор сервисов защиты, их взаимодействие, управление ими, архитектуру СЗИ в распределенной вычислительной среде описывает модель CDSA (Common Data Security Architecture). Концепцию организованной поддержки механизмов защиты информации описывает модель APKI (Architecture for Public Key Infrastructure).

Значительное влияние на процесс международной стандартизации компонентов систем защиты информации для информационных систем оказывают работы Национального института стандартов и технологий США (NIST). В 1995-96 гг. NIST выпустил основополагающие документы, в которых были изложены принципы обеспечения безопасности информации в компьютерных системах. В 2000-2003 гг. на их основе и на основе стандарта в NIST была разработана серия руководств по обеспечению безопасности информации в информационных системах, которые обрабатывают информацию, не составляющую государственную тайну. В них, в частности, определяется модель, получившая название ISSEP (Information Systems Security Engineering Practice), особенностью которой является то, что наряду с общей моделью сервисов защиты в ней рассматривается модель реализации системы защиты информации применительно к распределенным вычислительным средам. Общая модель представляет функциональный взгляд на структуру системы защиты информации – функциональные компоненты-блоки, взаимосвязи между ними, инфраструктуру для поддержки реализуемых механизмов защиты.

Таким образом, рассмотрение основных функциональных моделей систем защиты информации, созданных международными организациями, позволяет заключить, что защита информации в открытых системах обеспечивается большим количеством взаимосвязанных функций (в терминологии ISO), или сервисов (в терминологии моделей The Open Group).

В настоящее время международная организация The Open Group предпринимает попытки построить более современную методологию функционального описания и синтеза СЗИ. Существо подхода заключается в выработке методологии покомпонентного синтеза системы защиты из готовых структурных элементов с заданными свойствами – "шаблонов".

Проектирование СЗИ лучше всего из зарубежных разработок отражено в "Общих критериях". В этом документе содержится предельно обобщенная модель разработки СЗИ как "продукта информационных технологий". Она может быть представлена в виде ступенчатой "модели водопада".

Рисунок 3.4 - Порядок ("модель") разработки СЗИ в соответствии со стандартом "Общие критерии"

В ней выделяется четыре этапа разработки СЗИ: "функциональная спецификация" (то есть определение функций безопасности), "высокоуровневая конструкция" (определение подсистем), "низкоуровневая конструкция" (определение программных и программно-аппаратных модулей) и "описание реализации". Такой порядок в общем виде отражает процесс "нисходящего проектирования" изделия или системы.

В общем случае имеет место несколько вариантов выбора состава и характеристик СЗИ, то есть ее синтеза или, по сути, процесса непосредственного эскизного или технического проектирования.

Первый – синтез "снизу-вверх" (вариант "восходящего проектирования"), когда меры и средства начинают выбираться относительно каждого блока информации или каждого хоста, содержащего защищаемую информацию пользователя, с переходом к средствам защиты узла ИТКС на его периферии. Этот путь целесообразен для небольших компьютерных сетей, состоящих из нескольких хостов.

Второй – синтез "сверху – вниз" (вариант "нисходящего проектирования"), когда сначала выбираются меры и средства пригодные для всей ИТКС в целом, а затем уже подбирают при необходимости меры и средства защиты информации для сегментов и отдельных хостов. Этот метод нашел наибольшее применение в практике как зарубежных фирм, так и отечественных фирм.

Третий – синтез СЗИ (выбор мер и средств защиты) на основе предварительного установления приоритетов, когда сначала предусматриваются приоритетные меры и средства защиты, а затем все остальные.

При этом может вводиться целая система приоритетов, таких как приоритеты по эффективности, стоимости, совместимости, эргономичности и т.д. Особенность такого выбора заключается в том, что фактически используется либо восходящее, либо нисходящее, либо (чаще всего) смешанное проектирование. При таком подходе угрозы безопасности информации должны быть выстроены в приоритетный ряд по уровню опасности, затем для каждой угрозы, начиная с самых опасных, подбирается необходимый состав мер и средств защиты в соответствии с установленными приоритетами. Далее перечень мер и средств защиты корректируется путем устранения избыточности, минимизации затрат на закупку или разработку, установку и эксплуатацию программных продуктов. Недостатками этого варианта являются, во-первых, сложность предварительного установления приоритетов, во-вторых, при ограничениях на затраты – реализация остаточного принципа выбора мер и средств защиты, что может привести к недостаточной эффективности защиты информации в целом в ИТКС, в третьих, сложность реализации модульного принципа построения СЗИ.

Четвертый – вариант, в котором выбор мер и средств защиты осуществляется по направлениям защиты, то есть по подсистемам с реализацией нисходящего варианта проектирования СЗИ. Этот подход позволяет разделить проектирование СЗИ по подсистемам и находит на практике наибольшее применение.

Пятый – комбинированный вариант, в котором выбор мер и средств защиты осуществляется по направлениям защиты, то есть по подсистемам с комбинированием восходящего и нисходящего проектирования. Этот подход также позволяет разделить проектирование СЗИ по подсистемам, но при этом может быть использован вариант либо восходящего, либо нисходящего проектирования с выбором наиболее приемлемого в конкретной ситуации.

Во всех указанных вариантах, как правило, реализуется итеративная процедура выбора, когда осуществляется проверка выбранного варианта решения на том или ином уровне процесса проектирования решениям на предыдущих уровнях.

В отечественной практике при выборе мер и средств защиты пользовательской информации в ходе проектировании СЗИ в настоящее время применяются два подхода. Первый основан на требованиях руководящих документов Гостехкомиссии России (ныне ФСТЭК России), второй ‑ на требованиях стандарта ГОСТ ИСО/МЭК 15408 – 2002 г. Последний применим только в случае отсутствия в информационной системе информации ограниченного доступа, составляющей государственный ресурс (то есть информации, составляющую государственную, служебную тайны, персональные данные, коммерческую тайну, важную для государства). С методологической точки зрения эти подходы практически одинаковы, так как основаны на определении тех функций безопасности, реализация которых обеспечит решение сформулированных задач защиты и удовлетворение установленных требований.

При выборе мер и средств защиты реализуется один из указанных выше вариантов: нисходящее, восходящее проектирование, проектирование на основе приоритетов, с разделением на подсистемы при нисходящем проектировании и комбинированный вариант проектирования. При традиционном подходе в соответствии с действующими руководящими документами Гостехкомиссии России (ныне ФСТЭК России) для выбранного класса защищенности информационной системы определяются функции:

- идентификации, аутентификации (проверки подлинности) и контроля доступа в систему, к терминалам, хостам сети, каналам связи, периферийным устройствам, к программам, каталогам, файлам, записям и полям записей в базах данных;

- управления потоками информации в интересах обеспечения ее защиты;

- регистрации и учета при входе в систему и выходе из нее пользователей, при выдаче выходных документов, при запуске и завершении программ (процессов), при доступе к защищаемым файлам, при их создании и удалении, при доступе к программам пользователей, хостам, каналам связи, записям и полям записей в базах данных;

- учета носителей информации;

- очистки (обнуления) освобождаемых областей памяти;

- сигнализации о попытках нарушения защиты;

- криптографической защиты;

- обеспечения целостности данных и программ, в том числе функции регистрации факта использования сертифицированных средств защиты, наличия администратора, физической охраны средств вычислительной техники, периодического тестирования и др.

По содержанию функций безопасности устанавливается назначение необходимых мер и средств защиты или иных компонент, которые должны быть включены в состав СЗИ. Составляется перечень таких мер и средств, однако при этом часть из них могут выполнять сразу несколько функций безопасности. Кроме того, для выполнения одной и той же функции могут быть применимы несколько разных мер и средств защиты, и реализация функций будет проходить с разной эффективностью. В связи с изложенным, определение функций безопасности является необходимым, но недостаточным условием для составления перечня мер и средств защиты.

В отечественной практике не регламентируется ни один из описанных вариантов выбора состава и характеристик СЗИ, то есть ее синтеза или, по сути, процесса непосредственного эскизного или технического проектирования, выбор варианта является прерогативой проектировщика. Применительно к ИСПДн (как и к большинству информационных систем) чаще всего применяется четвертый вариант (с разделением на подсистемы при нисходящем проектировании), что обусловлено рядом обстоятельств, таких как: возможность минимизации трудозатрат на проектирование, более четкая структуризация алгоритма проектирования, последовательный переход от общих требований к СЗИ в целом к частным требованиям к подсистемам и компонентам. В связи с этим, ниже раскрывается именно этот подход.