Доц. В.И.Морозова дисц. «Информационная безопасность»

Тема 4. Функциональная безопасность корпоративных систем

1. Задачи функциональной безопасности

2. Международные и отечественные стандарты информационной безопасности

3. Составляющие функциональной безопасности

4. Этапы построения систем безопасности

Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач – автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом.

Особенностью функциональной безопасности яв­ляется расстанов­ка приоритетов каждого из этих свойств. Единой структуры ин­формационной безопасности, оптимальной на все случаи, не су­ществует. Каждая категория поль­зователей или ИТ-специалистов может иметь свой собственный набор требова­ний, проблем и приоритетов, в зависимости от функций кон­кретной системы.

Под информационной безопасностью автоматизи­рованной системы (АС) понимают защищенность ин­формации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естест­венного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии информационная безопасность определяется наличием у системы следующих свойств:

• доступность — возможность для авторизованного пользователя информационной системы за прием­лемое время получить информационную услугу, предусмотренную функциональностью;

• целостность — актуальность и непротиворечи­вость информации, ее защищенность от разруше­ния и несанкционированного изменения;

• конфиденциальность — защита от несанкциони­рованного ознакомления.

Многие системы ориентированы на предоставле­ние определенных информационных услуг. Если по тем или иным причинам их получение пользовате­лями становится невозможным, это наносит ущерб, как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важ­нейшим элементом информационной безопасности является доступность предоставляемых услуг.

Например. В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостно­сти передаваемой платежной информации.

Для работающих в реальном времени управляю­щих систем безусловный приоритет отдается дос­тупности данных — защите от атак типа «отказ в об­служивании», резервированию важных компонен­тов и оперативному оповещению.

Для нормативно-справочных систем основной является задача обеспечения целостности, которая означает в первую очередь актуальность и непроти­воречивость предоставляемой информации.

Мероприятия по защите информации охватыва­ют целый ряд аспектов законодательного, организа­ционного и программно-технического характера.

Для каждого из них формулируется ряд задач, вы­полнение которых необходимо для защиты информации. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:

• определения круга нормативных документов федерального и отраслевого уровня, применение которых требуется при проектировании и реализации подсистемы информационной безопасности;

• определения на основе нормативных документов требований по категорированию информации;

• определения на основе нормативных документов набора требований к подсистеме информационной безопасности и ее компонентам.

В организационном аспекте необходимо реше­ние следующих задач:

• определения соответствия категорированной ин­формации ресурсам системы, в которых производится хранение, обработка и передача информации (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);

• определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необхо­дима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);

• формирования политики безопасности, описывающей условия и правила доступа различных пользо­вателей к ресурсам системы, а также границы и спо­собы контроля безопасного состояния системы, мониторинга деятельности пользователей.

В процедурном аспекте решаются следующие за­дачи:

• обеспечение решения задач информационной безопасности при управлении персоналом;

• организация физической защиты компонентов информационной системы;

• формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;

• внесение дополнений, связанных со спецификой ликвидации последствий НСД доступа, в план восстановительных работ.

В программно-техническом аспекте необходимо решение следующих задач:

• обеспечения архитектурной безопасности реше­ний, связанных с хранением, обработкой и передачей конфиденциальной информации;

• обеспечения проектной непротиворечивости и полноты механизмов безопасности;

• выработка и реализация проектных решений по механизмам безопасности.

Международные и отечественные стандарты информационной безопасности

Безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Основные источники для успешности реализации подсистемы информационной безопасности — ис­пользование отечественных и международных стан­дартов в области информационной безопасности, а также практика внедрения и разработки средств защиты информации.

Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. В 2001 году Госстандарт должен был подготовить вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. То есть, создаются технические и программные средства ЭВМ, отвечающие общим критериям.

Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Особенности процесса стандартизации в Интернете

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым, ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

В последнее время сетевой рынок стал свидетелем, так называемого, фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.

Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v.6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

• поддержку немодифицированных конечных систем;

• поддержку транспортных протоколов, отличных от ТСР;

• поддержку виртуальных сетей в незащищенных сетях;

• защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);

• защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

• его применение не требует изменений в промежуточных устройствах сети;

• рабочие места и серверы не обязательно должны поддерживать IPSec.