2915
.pdf
-непрерывности защиты; -разумной достаточности;
-гибкости управления и применения; -открытости алгоритмов и механизмов защиты; -простоты применения защитных мер и средств.
Принцип комплексности.
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Комплексный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности КС. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и
сучетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип непрерывности.
Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла КС.
Разработка системы защиты должна вестись параллельно
сразработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать наиболее эффективные (как по затратам ресурсов, так и по стойкости)
защищенные системы. Большинству физических и
37
технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Принцип гибкости защиты.
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме
38
того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев КС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Принцип открытости алгоритмов и механизмов защиты.
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе легальных пользователей, а также не должно требовать от пользователей выполнения рутинных малопонятных операций (ввод нескольких паролей и имен и т.д.).
3.2. Выработка политики безопасности
Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на объекте информатизации. Основные направления выработки политики безопасности:
-определение какие данные и насколько серьезно необходимо защищать;
-определение кто и какой ущерб может нанести фирме в информационном аспекте;
-расчет рисков ИБ; -выработка системы мер по уменьшению рисков до
39
приемлемой величины.
Существуют ряд методов анализа информационной безопасности на объекте информатизации. Среди них наиболее часто применяются "исследование снизу вверх" и "исследование сверху вниз". Первый метод прост, требует намного меньших вложений, но и обладает меньшими возможностями. Он основан на схеме: "Вы – злоумышленник. Ваши действия?". То есть, служба ИБ, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы обработки информации на объекте информатизации:
- определение, какие информационные объекты и потоки необходимо защищать;
-изучение текущего состояния системы информационной безопасности с целью определения, что из методик защиты информации уже реализовано, в каком объеме и на каком уровне.
-классификация всех информационных объектов в соответствии с требованиями к конфиденциальности, доступности и целостности.
-выяснение, какой ущерб может принести определенная угроза и какова вероятность ее реализации (расчет рисков).
Невозможно стопроцентно защитить КС от всех угроз
безопасности. Поэтому основной задачей политики
безопасности для КС является минимизация уровней риска.
Уровень риска - величина, получаемая в результате комплексной оценки значимости КС, требований к ее защищенности, степени опасности и вероятности реализации определенных угроз. Уровень риска, при котором допускается эксплуатация КС, называется приемлемым риском.
Анализ |
рисков - |
процесс выбора вариантов |
оптимального соотношения |
между стоимостью защитных |
|
мероприятий, а также размерами и вероятностью негативных
40
последствий, которые могут возникнуть при их отсутствии. Он включает постановку вопросов и формирование ответов об угрозах, уязвимых местах и о том, какие контрмеры можно применить для устранения выявленных угроз и уязвимых мест. Анализ рисков всегда носит превентивный характер - до реального воздействия какой-либо угрозы. Анализ рисков специалистами ЗИ включает также оценку того, насколько хорошо проводится планирование на худший случай, которое иногда называют планированием действий в чрезвычайной ситуации или управление в кризисной обстановке. После реальной атаки на КС производится анализ способов ее совершения и случившихся последствий.
Наиболее предпочтительно проводить первичный анализ рисков до начала проектирования КС и ее СЗИ на основе технического задания, функциональных обязанностей и сложившихся информационных взаимодействий. Анализ рисков должен осуществляться периодически, поскольку уязвимые места КС и угрозы могут носить как статический, так и динамический характер. Статические угрозы и уязвимые места относительно постоянны во времени (физическое размещение КС, окружающие здания и т.п.). Динамические угрозы и уязвимые места могут измениться в любой момент времени или изменяются периодически. Изменения могут происходить на объекте информатизации, в технологии, в регионе или в мире в целом. Все это требует достаточно динамичных контрмер, так как применение статичных планов действий в чрезвычайных ситуациях (в условиях динамических угроз) неминуемо приведет к нарушению защиты КС.
В ходе проведения анализа рисков:
-определяется принадлежность конкретной КС к одному из классов, рассмотренных в лекции 3;
-с учетом этого, а также используемых программнотехнических и технологических решений, определяются уязвимые места КС, реально возможные угрозы и каналы их воздействия;
41
-просчитываются уровни риска по каждой угрозе - вероятность и опасность (размер и характер возможных негативных последствий);
-определяются приемлемые уровни риска и примерный объем затрат (труда, денег и т.п.) для снижения реальных уровней до приемлемых;
-процесс анализа и его результаты документируются. Существует множество схем расчета рисков. В качестве
примера приведем одну из самых простых, в которой риск является произведением "возможного ущерба от атаки" на "вероятность такой атаки":
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии с табл. 1.
|
|
|
Таблица 1 |
|
|
Пример оценки возможного ущерба |
|
||
|
|
|
|
|
Величина |
Описание |
|
|
|
ущерба |
|
|
||
|
|
|
||
|
Раскрытие |
информации |
принесет |
|
0 |
ничтожный моральный и финансовый ущерб |
|||
|
фирме |
|
|
|
|
Ущерб от атки есть, но он незначителен, |
|||
1 |
основные финансовые операции и положение |
|||
|
фирмы на рынке не затронуты |
|
||
|
Финансовые операции не ведутся в течение |
|||
2 |
некоторого времени, за это время фирма терпит |
|||
убытки, но ее положение на рынке и количество |
||||
|
||||
|
клиентов изменяются минимально |
|
||
|
Значительные потери на рынке и в |
|||
3 |
прибыли. От фирмы уходит ощутимая часть |
|||
|
клиентов |
|
|
|
|
|
42 |
|
|
Потери очень значительны, фирма на
4период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5Фирма прекращает существование
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии с табл. 2.
|
|
Таблица 2. |
Пример оценки вероятностей атак |
||
|
|
|
Вероятность |
Средняя частота появления |
|
0 |
Данный вид атаки отсутствует |
|
1 |
реже, чем раз в год |
|
2 |
около 1 |
раза в год |
3 |
около 1 |
раза в месяц |
4 |
около 1 |
раза в неделю |
5 |
практически ежедневно |
|
Классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. Оценку же вероятности появления атаки следует производить техническим сотрудникам или независимым экспертам. Следующим этапом составляется таблица рисков объекта информатизации (табл. 3).
|
|
|
Таблица 3. |
|
Пример расчета рисков для КС |
||
|
|
|
|
Описание атаки |
Ущерб |
Вероятность |
Риск=Ущерб*Вер |
|
|
|
оятность |
Спам |
|
|
|
(переполнение |
1 |
4 |
4 |
почтового ящика) |
|
|
|
|
|
43 |
|
Копирование |
|
|
|
|
жесткого диска |
3 |
1 |
3 |
|
из центрального |
||||
|
|
|
||
офиса |
|
|
|
|
... |
... |
... |
2 |
|
Итого: |
|
|
9 |
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском (порогом). Сначала проверяется каждая строка таблицы на превышение порога. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей применения СЗИ.
На следующем этапе производится собственно разработка политики безопасности объекта информатизации, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска.
После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлимыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на этап определения максимально допустимого риска и увеличение его на один или два пункта.
Завершается разработка политики безопасности ее утверждением у руководства и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и, как следствие, модификация политики безопасности объекта информатизации должны производится с периодичностью, соответствующей динамике развития предметной области КС и используемых технологий.
44
3.3. Направления применения методов и средств ЗИ
После завершения анализа рисков осуществляется выбор направлений и уровней защиты КС. В общем случае система защиты информации (СЗИ) должна строиться с учетом максимально возможных для определенного класса КС:
-функциональной полноты КС;
-ее физической и сетевой инфраструктуры;
-уровней конфиденциальности циркулирующей информации;
-разнообразия классов и каналов доступа пользователей.
В настоящее время максимуму приведенных параметров соответствуют КС, объединяющие в себе:
-электронный документооборот; -банки данных (в том числе распределенные и
работающие по технологии "клиент-сервер"; -разветвленную сетевую инфраструктуру;
-интегрированные в едином информационном пространстве информационные ресурсы с разной степенью конфиденциальности;
-многопользовательский доступ к этим ресурсам в реальном масштабе времени по разнообразным каналам.
Основным условием для проектирования эффективной защиты АИС является применение системного подхода, при котором защита строится как многоуровневая двунаправленная система (СЗИ):
СЗИ=СЗД+СЗЦ,
где СЗК – система защиты конфиденциальности информации, а СЗЦ – система защиты целостности информации.
Структурная схема СЗИ, построенная на основе изложенных принципов, приведена на рис. 17.
Угрозы безопасности информации в сложных системах могут проявляться на разных уровнях их жизнедеятельности, к которым отнесем:
45
-организационный уровень (1) - правила, режимы
работы, действия персонала и пользователей; |
|
|
||||
-аппаратный |
уровень |
(2) |
- функционирование |
|||
технических |
средств |
центрального |
звена |
АИС, |
||
коммуникационных |
средств, |
сетевой |
среды |
и |
||
пользовательских ПЭВМ; |
|
|
|
|
||
-системный уровень (3), объединяющий функции сетевой ОС с управляющими надстройками и СУБД;
-прикладной уровень приложений (4), который включает
подуровень |
инструментальных |
(обеспечивающих |
взаимодействие с |
ядром СУБД |
и администраторских) |
программ и подуровень пользовательских интерфейсов.
46