Доц. В.И.Морозова дисц. «Информационная безопасность»
Тема 4. Функциональная безопасность корпоративных систем
Задачи функциональной безопасности
Международные и отечественные стандарты информационной безопасности
Составляющие функциональной безопасности
Этапы построения систем безопасности
Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач – автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом.
Особенностью функциональной безопасности является расстановка приоритетов каждого из этих свойств. Единой структуры информационной безопасности, оптимальной на все случаи, не существует. Каждая категория пользователей или ИТ-специалистов может иметь свой собственный набор требований, проблем и приоритетов, в зависимости от функций конкретной системы.
Под информационной безопасностью автоматизированной системы (АС) понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии информационная безопасность определяется наличием у системы следующих свойств:
доступность — возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью;
целостность — актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
конфиденциальность — защита от несанкционированного ознакомления.
Многие системы ориентированы на предоставление определенных информационных услуг. Если по тем или иным причинам их получение пользователями становится невозможным, это наносит ущерб, как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важнейшим элементом информационной безопасности является доступность предоставляемых услуг.
Например. В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостности передаваемой платежной информации.
Для работающих в реальном времени управляющих систем безусловный приоритет отдается доступности данных — защите от атак типа «отказ в обслуживании», резервированию важных компонентов и оперативному оповещению.
Для нормативно-справочных систем основной является задача обеспечения целостности, которая означает в первую очередь актуальность и непротиворечивость предоставляемой информации.
Мероприятия по защите информации охватывают целый ряд аспектов законодательного, организационного и программно-технического характера.
Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:
определения круга нормативных документов федерального и отраслевого уровня, применение которых требуется при проектировании и реализации подсистемы информационной безопасности;
определения на основе нормативных документов требований по категорированию информации;
определения на основе нормативных документов набора требований к подсистеме информационной безопасности и ее компонентам.
В организационном аспекте необходимо решение следующих задач:
определения соответствия категорированной информации ресурсам системы, в которых производится хранение, обработка и передача информации (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);
определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);
формирования политики безопасности, описывающей условия и правила доступа различных пользователей к ресурсам системы, а также границы и способы контроля безопасного состояния системы, мониторинга деятельности пользователей.
В процедурном аспекте решаются следующие задачи:
обеспечение решения задач информационной безопасности при управлении персоналом;
организация физической защиты компонентов информационной системы;
формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;
внесение дополнений, связанных со спецификой ликвидации последствий НСД доступа, в план восстановительных работ.
В программно-техническом аспекте необходимо решение следующих задач:
обеспечения архитектурной безопасности решений, связанных с хранением, обработкой и передачей конфиденциальной информации;
обеспечения проектной непротиворечивости и полноты механизмов безопасности;
выработка и реализация проектных решений по механизмам безопасности.
Международные и отечественные стандарты информационной безопасности
Безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.
Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.
Основные источники для успешности реализации подсистемы информационной безопасности — использование отечественных и международных стандартов в области информационной безопасности, а также практика внедрения и разработки средств защиты информации.
Международный стандарт информационной безопасности
Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".
Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. В 2001 году Госстандарт должен был подготовить вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.
Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.
Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.
Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. То есть, создаются технические и программные средства ЭВМ, отвечающие общим критериям.
Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.
Особенности процесса стандартизации в Интернете
В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым, ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.
В последнее время сетевой рынок стал свидетелем, так называемого, фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.
Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.
Стандарты безопасности в Интернете
В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v.6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.
SSL (TLS)
Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.
SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.
Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.
IPSec
Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.
Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.
Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:
поддержку немодифицированных конечных систем;
поддержку транспортных протоколов, отличных от ТСР;
поддержку виртуальных сетей в незащищенных сетях;
защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
защиту от атак типа "отказ в обслуживании".
Кроме того, IPSec имеет два важных преимущества:
его применение не требует изменений в промежуточных устройствах сети;
рабочие места и серверы не обязательно должны поддерживать IPSec.