Информационное обеспечение государственного управления - Никитов В. А
..pdfпостоянно хранимая информация о принципах работы сис темы, включая секретную, нарушителю известна;
для достижения цели нарушитель выбирает самое слабое звено в защите;
в роли нарушителя выступает не только посторонний, но и законный пользователь системы.
Политика безопасности ИТКС
Такая политика необходима в распределенной системе для того, чтобы все информационные ресурсы были защищены достаточным множеством мер. Она используется для руко водства по организации защиты и всегда связана с особен ностями защищаемой среды, поддерживает непротиворечивость пользовательских действий и гарантирует определенное их поведение.
Политика безопасности относится ко всем информационным ресурсам ИТКС, программам, базам данных, операционным сис темам, аппаратным средствам, а также определяет правила пове дения пользователей сети, обслуживающего персонала и требова ния к поставщикам оборудования.
Цель ее — это эффективное управление рисками, выбор со трудника, ответственного за безопасность информационных ре сурсов, установление основы для стабильной среды обработки, гарантия соответствия законам и указам и сохранение контроля над системой в случае злоупотреблений, потерь или неавторизо ванного разглашения.
Политика безопасности определяет также взаимоотношения между информационными системами органов государственной власти, как входящими, так и не входящими в ИТКС. Мы уже отмечали, что ИТКС является той системой, в которой хранится и обрабатывается информация национального значения и перво степенной важности. Будучи распределенной, она работает как по закрытым, так и по открытым каналам связи, и в этой связи надо обеспечить доступ к ней множеству распределенных пользова телей, в том числе не принадлежащих системе ИТКС, которая должна взаимодействовать также с другими федеральными, ве домственными и региональными системами для получения и пре доставления информации.
С учетом потенциальных угроз безопасности такой инфор мационной системы необходима реализация комплекса мер и средств запщты с использованием таких технологий, как:
технология защиты распределенных информационных ре сурсов;
310
технология защиты целостности и подлинности информащ1и; технология защиты сетей и каналов; технология за1Щ1ты информащш от утечки по техническим
каналам; технология поддержки доверенной общесистемной про
граммной среды; администрирование системы безопасности.
Задачи обеспечения безопасности
Конечная цель информационной безопасности ИТКС — обес печение целостности, доступности, конфиденциальности, полно ты, актуальности предоставляемой информации в интересах ор ганов государствсЕшой власти, причем на всех этапах (хранение, обработка и передача информации, аутентификация и автори зация ресурсов системы и ее пользователей) на базе современных информационных технологий.
При этом должна гарантироваться защита от:
комплексного воздействия, направленного на нарушение функционирования непосредственно информационной и телеком муникационной среды;
несанкционированного нелегитимного доступа к технологи ческой (служебной) и иной информации, связанной с работой сети;
разрушения встроенных средств запщты.
ИТКС должна обеспечивать интегральную безопасность за счет использования криптографических, алгоритмических и ор ганизационно-технических мер, средств и способов. Это общее понятие включает в себя:
физическую безопасность (защита зданий, помещений, по движных средств и т. п.);
безопасность аппаратных средств (защита ЭВМ, сетевого обо рудования и т. п.);
безопасность информационных ресурсов системы (баз дан ных, баз документов, информационных хранилищ, метаинформации, серверов приложений);
безопасность программно-математического обеспечения (за щита от программных вирусов, "троянских коней", логических бомб, хакеров и т. д.);
безопасность связи (защита каналов связи от внешних воздей ствий любого вида);
безопасность сети в целом (дополнительные меры защиты, обеспечивающие ее комплексность).
311
Объектами защиты в системе ИТКС являются приложения, информационные ресурсы, система управления и средства обес печения функционирования системы.
Общая политика безопасности
Применительно к ИТКС она должна отвечать целому ряду положений:
1) Удовлетворять нормативным документам Гостехкомиссии, ФАПСИ и учитывать требования международных стандартов.
2) Необходимый уровень безопасности адекватно определяет ся ценностью защищаемой информации и соответствует трем уровням —
конфиденциально;
секретно; совершенно секретно.
3) Уровни определяют требования, которым обязаны удовле творять как программные, так и аппаратные средства и каналы связи.
4)Система ИТКС делится на несколько различных областей безопасности в соотвеххггвии с требуемым уровнем секретности.
5)Запрещается чтение информации высшего уровня безопас ности субъектам, принадлежащим низшим уровням безопасности.
6)Запрещается запись информации с высшим уровнем безопас ности в область, имеющую более низкий уровень безопасности.
7)В системе ИТКС обеспечивается контроль действий всех пользователей при работе с информационными ресурсами.
8)Следует избегать использования программных продуктов
ипакетов, исходные тексты которых не контролируются.
9)Политика безопасности в ИТКС носит разрешающий ха рактер, то есть пользователь получает доступ только к тем ресурсам, к которым ему разрешено.
10)Необходимо использовать понятие экранов и фильтров на всех уровнях модели OSI.
11)При запщте информации в каналах связи и базах данных
иинформационных хранилищах следует пользоваться криптогра фическими методами.
12)Должно обеспечиваться обнаружение нарушений целост ности объектов данных.
13)Надо надежно "оградить" программные продукты средств вычислительной техники от внедрения программных "вирусов"
изакладок.
14)Программное обеспечение, используемое в ИТКС, не мо жет нарушать пггатное функционирование средств защиты.
312
15)Необходима разумная достаточность уровня защиты, дифференцированная в соответствии со степенью важности об рабатываемой информации.
16)Требуется унификация средств и методов защиты.
17)Должна обеспечиваться децентрализация средств защиты.
18)Реализация многорубежности защиты в наиболее важных компонентах достигается сочетанием криптографических, про граммно-технических и организационно-технических мер.
19)Важнейшим требованием остается непрерывность функци онирования всех организационных, физических и программных мер обеспечения безопасности.
Политика использования информационных ресурсов
1) Информационные ресурсы, требующие защиты, предостав ляются пользователям только после полной их взаимной аутен тификации и авторизации.
2)Пользователю обеспечивается доступ только к той инфор мации, к которой он имеет доступ по роду своей деятельности.
3)Нельзя средства информационных систем (электронная почта, доски объявлений) применять для распространения и со
здания материалов, имеющих конфиденциальный характер, а также гриф "секретно" и т. д. без использования соответствую щих средств защиты.
4)Личная информация пользователей не может быть доступ на другим пользователям и обслуживающему персоналу, за ис ключением специальных случаев.
5)Пользователь ИТКС не должен иметь возможность от казаться от факта формирования или приема информации.
6)Необходимо добиться несовместимых по принятой концеп ции защиты процессов и отношений по видам обработки между субъектами и объектами системы изолирования.
7)В процессе функционирования системы следует контроли ровать и обеспечивать целостность санкционированных конфигу раций программных и аппаратных компонентов.
8)Надо обеспечивать контроль вьшолнения технологических процессов (их логическая завершенность, санкционированность, совместимость), а также оперативную отработку всех видов ре акции системы на нарушение принятых соглашений.
9)Следует протоколировать все действия пользователя при доступе к приложениям и информационным ресурсам.
Политика использования экранов и фильтров предполагает достижение следующих целей:
1) Вся система ИТКС делится на зоны по критериям требу емого уровня безопасности.
313
2)Каждая зона имеет свои собственные серверы и средства защиты, адекватные требуемому уровню безопасности.
3)Предусмотрены механизмы физического разделения облас тей, предназначенных для обработки информации с различным уровнем секретности.
4)Информация, проходящая через границы зон безопасности, пропускается через механизмы фильтрации, чтобы исключить ее неавторизованное разглашение.
5)Взаимодействие пользователей с системой ИТКС разреша ется только на прикладном уровне.
6)Каждая зона безопасности ИТКС защищена от внешнего проникновения специальными программно-аппаратными ком плексами на всех уровнях модели OSI (физическом, канальном, сетевом, транспортном и т. д.).
Политика обеспечения готовности и надеэ1Сности включает такие императивы:
1)Каждый сервер защиты ИТКС обязан дублироваться.
2)Всю информацию, относящуюся к защите, следует пери одически записывать на однократно записываемые носители.
3)Система обязана сохранять работоспособность при локаль ных нарушениях безопасности, не снижая при этом требуемого уровня защиты информации.
Политика использования методов криптографии подразумева ет выполнение ряда требований:
1) Используемые средства и методы криптографии обязатель но сертифицируются ФАПСИ.
2)При формировании информации пользователями ИТКС обеспечивается электронная подпись, однозначно определяющая источник.
3)Обеспечивается как индивидуальное, так и магистральное шифрование каналов передачи информации, при этом использу ется как абонентское, так и прозрачное шифрование.
4)Осуществляется контроль целостности программной и ин формационной частей ИТКС.
5)Используются средства установления подлинности и целост ности документальных сообщений при их передаче по каналам связи.
6)Исключается возможность отказов от авторства и содержа ния электронных документов.
Политика физической защиты включает реализацию ряда важных мероприятий, а именно:
1) Защита оборудования и технических средств системы, поме щений, где они размещаются, от утечки конфиденциальной ин формации по техническим каналам.
314
2)Защита пшфротехники, оборудования, технических и про граммных средств от утечки информации за счет аппаратных
ипрограммных закладок.
3)Все используемые в ИТКС технические средства обязаны проходить спецпроверки на отсутствие закладок.
4)Организация защиты сведений об интенсивности, продол жительности и трафиках обмена информацией.
5)Использование для передачи и обработки информации каналов и способов, затрудняющих ее перехват.
6)Обеспечение запщты технических средств и помещений,
вкоторых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации.
7)Дублирование критически важных каналов связи и обору дования.
Организационные меры
К их числу относятся:
обеспечение организационно-режимных мер защиты; разработка должностных инструкций для пользователей и об
служивающего персонала системы ИТКС; дублирующий контроль наиболее важных операций, касаю-
пдихся безопасности системы; организация "горячей линии", по которой пользователи сис
темы могут сообщить анонимно о своих подозрениях на наруше ние безопасности системы;
согласование принципов взаимодействия службы безопаснос ти со службами администрирования и управления ИТКС.
Под администрированием и управлением информационной без опасностью имеется в виду следующее:
1) В системе ИТКС используется централизованное управле ние защитой системы.
Если нет доверия к системе, она все равно не будет использоваться, даже при том, что все компоненты удов летворяют предъявленным функциональным требованиям. До верие устанавливается только тогда, когда в системе есть некоторый набор свойств и особенностей, которые удов летворяют ее заказчика, и она эти качества явно демонстрирует. Иными словами, должна быть уверенность в том, что компьютерная система может вьшолнять свои действия и при этом обеспечивать целостность, конфиденциальность и вы полнять свои функции долгое время. Такое требование со держится в ответе на следующий вопрос: "Каким способом мы можем сохранять высокий уровень доверия к системе,
315
которая может быть распределенной, и где высок риск наруше ний различного рода?" Ведь чтобы восстановить однажды утраченное доверие к системе, придется проделать огромную работу.
Модель доверия к информационной системе ИТКС должна состоять из трех компонент:
1) защита, включающая механизмы: аутентификации, автори зации, целостности, конфиденциальности и невозможности от каза;
2)готовность, базирующаяся на таких свойствах и качествах, которые позволят использовать систему в любой момент;
3)производительность, требуемая для того, чтобы преду преждать сбои программного обеспечения и возможные потери контроля.
Когда используется одиночный компьютер, относительно легко определить причины неправильной работы системы: в этом случае перед нами достаточно ограниченное число мест, в кото рых надо искать решение проблемы. Это обычно простые опера ции, где находится информация и где, возможно, изменяются файлы.
Более изощренные системы, в которых фигурирует множество файлов, требуют дополнительного механизма на случай ошибок, изменения файлов или когда в операции участвуют несколько файлов. Сложность системы возрастает на несколько порядков, когда выполняется компьютерная программа и изменяются фай лы на многих индивидуальных компьютерах в различных местах. И мы, естественно, сомневаемся, можно ли доверить системе выполнить то, что хотим, определить, успешно или нет прошло все, и вернуть все процессы в ту точку, где пребывали до ошибки. В случае доверия к системе такие свойства должны быть гаран тированы. Существует три вещи, сдерживающие сегодня реали зацию распределенных компьютерных систем: доступная полоса пропускания каналов, эффективная система управления и система безопасности.
Компоненты системы, отвечающие за поддержание доверен ной среды, должны выбираться на этапе проектирования. До веренные распределенные компьютерные системы требуются да же чаще, чем соответствующие механизмы запщты.
Безопасность информации достигается включением в систему таких механизмов логического контроля и защиты, которые обеспечивают требуемый уровень доверия пользователя к полу чаемым им из системы результатам, и обеспечивается за счет некоторой программной, аппаратной, информационной и орга низационной избыточности.
316
Готовность программно-технической среды
Готовность информационных ресурсов в ИТКС — не просто важная характеристика, но и составляющая часть доверия к сис теме, которая должна определяться в архитектуре безопасности ИТКС. Ресурсы системы должны быть доступны в тот момент, когда они необходимы пользователю. На степень их готовности влияют следующие факторы:
непрерывность — возможность системы выдерживать полный отказ сервиса и возможность вызова процедуры восстановления в случае аппаратных сбоев;
живучесть — способность выдерживать частичную или посте пенную деградацию, которая происходит в случае выхода из строя физических компонент распределенной системы;
восстановимость — возможность восстановления после пол ного отказа сервиса без участия человека;
согласованность — получение одинакового результата на оди наковых наборах данных.
Готовность гарантирует, что транзакции будут выполнены за приемлемое время. Но очень важно соотношение ожидаемого и реального времени ответа. Если оно сильно различается или непредсказуемо, то недоверие к такой системе резко возрастает. Даже если она делает точно, что вам требуется для работы, система должна быть готова, когда вам это потребуется, выпол нить задачу за приемлемое время.
Производительность программно-технической среды
Третья компонента доверенной среды — производительность. Чтобы компьютерную систему приняли и использовали, она должна вьшолнять требуемые функции как можно быстрее, не осложнять задачи пользователям и не увеличивать время вьшолнения работ. Производительность необходима для того, чтобы пользователь получал ответ за приемлемый период времени, а средства обеспечения безопасности могли вьшолнять свои функции, и кроме того — для поддержания целостности програм мно-технической среды и ее доступности для выполнения тех или иных задач. Требуется достаточная производительность от:
сервисных служб информационно-коммуникационной сис темы;
сервисов имен; сервисов безопасности; каналов связи;
информационных ресурсов.
317
Для увеличения производительности критических или пере груженных сервисов ИТКС следует предусмотреть их дублиро вание и равномерное распределение по сети.
Контроль и управление информационной безопасностью
Процесс управления распределенной защитой должен реализовываться как одна из необходимых компонент целостной архи тектуры безопасности. Требуемый механизм контроля включает в себя:
физический доступ — контроль доступа к компьютерным и сетевым устройствам;
сетевой доступ — контроль доступа к сети; управление — контроль за механизмами защиты;
измерение — воздействие на механизмы защиты и выявление необычных событий;
мониторинг и детектирование — возможности определения ситуаций взлома защиты;
изменение управления — управление сменой механизмов за щиты;
аудит — сохранение необходимой информации для проверки нарушений и функционирование запщты.
Критерии и стандарты
Критерии безопасности определяют использующийся стан дарт, который применяется в компонентах защиты и в техноло гиях. Широко известными критериями являются Trusted Computer System Evaluation Criteria, определенный министерст вом обороны СШ[А, документы Гостехкомиссии при Президенте РФ. Стандарты защиты также играют важную роль при оп ределении основ архитектуры. Например, на выбор определен ного стандарта безопасности может оказать влияние требование взаимодействия вне рамок ПТКС.
Информационная безопасность ИТКС должна основываться на следующих государственных стандартах и рекомендациях:
ГОСТ 28147-89 Системы обработки информации. Защита кри птографическая. Алгоритм криптографического преобразования.
ГОСТ Р 34.10-94 Информационная технология. Криптографи ческая защита информации. Система электронной цифровой под писи на базе асимметричного криптографического алгоритма.
318
г о с т Р 34.11-94 Информационная технология. Криптографи ческая защита информации. Функция хеширования^.
Гостехкомиссия России. Руководящий документ. Автомати зированные системы. Защита от НСД к информации. Классифи
кация автоматизированных систем и требования по защите ин формации. М.: Воениздат, 1992.
Гостехкомиссия России. Руководящий документ. Концепция
защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М.: Во ениздат, 1992.
Гостехкомиссия России. Руководящий документ. Временное
полоэюение по организации разработки, изготовлению и эксплу атации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных сис темах и средствах вычислительной техники. М.: Воениздат,
1992.
Гостехкомиссия России. Руководящий документ. Средства
вычислительной техники. Защита от несанкционированного дос тупа к информации. Показатели защищенности от несанкциони рованного доступа к информации. М.: Воениздат, 1992.
Гостехкомиссия России. Руководящий документ. Защита от
несанкционированного доступа к информации. Термины и определе ния. М.: Воениздат, 1992.
Однако следует помнить, что Руководящие документы Гостехкомиссии создавались в расчете на централизованные кон фигурации, основу которых составляют больпше машины. В этой связи распределенная архитектура ИТКС требует внесения суще ственных изменений и дополнений как в саму политику безопас ности, так и в способы проведения ее в жизнь.
Обучение
Говоря о дополнительных компонентах основ архитектуры, надо прежде всего назвать программы информирования и обуче ния всех, кто имеет дело с этой сферой. Правила безопасности могут быть реализованы только в том случае, когда известно, что такие правила существуют и что за их вьшолнение отвечает конкретный человек. А это можно усвоить в процессе познания предмета.
^Хешироваваэе (то же, что и рандомизация, перемешивание) — метод преоб разования клона записи в адрес его размещения во внешней памяти, основанный на использовании генератора псевдослучайных чисел.
319