3. В отношении подсистемы обеспечения целостности:
— организация и обеспечение проверок правильности функционирования СЗИ (аппаратных средств — по тестовым программам и организационно; физических средств — организационно, программных средств — по специальным контрольным суммам (на целостность) и по другим идентифицирующим признакам; регистрационных журналов — программно и организационно на целостность и защищенность; организационных средств защиты — организационно сотрудниками служб защиты);
— контроль за резервированием информационных ресурсов и их уничтожением при необходимости;
— обеспечение недоступности средств управления доступом со стороны пользователей с целью их модификации, блокирования или отключения.
4. В отношении подсистемы регистрации и учета:
— организация и контроль процесса регистрации всех случаев, рассмотренных выше;
— анализ регистрируемых данных для оценки уровня безопас-ности объекта.
Кроме того, в отношении общего управления ядро СЗИ обеспечивает текущее планирование защиты информации, включение компонентов и технологических схем функционирования СЗИ в работу при поступлении запросов на обработку защищаемых данных, подготовку персонала объекта и т. д. Под организационным построением СЗ И понимается общая организация системы, адекватно отражающая основные принципы построения ОИ. При этом основные элементы СЗИ территориально привязываются к основным организационным составляющим объекта. Одним из весьма перспективны х вариантов та кого построения является та к называемая семирубежная модель защиты (рис . 3). Существо подхода состоит в следующем. Очевидно, что за щита информации в ОИ может быть обеспечена лишь в том случае, если будут защищены элементы, имеющие отношение к ОИ:
— территория, в пределах ко торой расположены средства ОИ;
— здания и помещения, в которых размещены средства ОИ;
— ресурсы, используемые для обработки и хранения защищаемой информации;
— линии (каналы) связи, используемые для сопряжения элементов ОИ и ОИ с другими (внешними) объектами.
Тогда организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:
— территории, занимаемой ОИ;
— зданий, расположенных на территории;
Рис.3. Семирубежная модель СЗИ
— помещений внутри здания, в ко торы х расположены ресурсы ОИ и защищаемая информация;
— ресурсов, используемы х для обработки и хранения информации и самой защищаемой информации: технических ресурсов (средств обработки информации, технических средств шифрования и т. д.), устройств хранения конфиденциальной информации (сейфов, электронных устройств), самой конфиденциальной информации ее носителей;
— линий связи, проходящих в предела х одного и того же здания;
— линий (каналов) связи, проходящих между различными зданиями, расположенными на одной и той же охраняемой территории;
— линий (каналов) с вязи, выходящих за пределы объекта . При этом в зависимости от требований к уровню безопасности информации на каждом из рубежей защиты могут быть реализованы функции одной или нескольких подсистем защиты, указанных выше. Рассмотрим далее вопрос о структурном построении СЗИ. Поскольку СЗИ является подсистемой системы обработки информации, ее структурное построение может быть определено по аналогии со структурным построением ОИ. Сформированная таким образом структурная схема СЗИ представлена на рис. 4.
Рис. 4. Общая структурная схема системы защиты информации
Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования ОИ. К ним должны быть отнесены:
1) абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке информации;
2) администрация объекта, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ;
3) телефонисты и операторы ОИ, осуществляющие прием информации, подготовку ее к обработке, управление средствами ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков;
4) администраторы банков данных, отвечающие за организацию, ведение и использование баз данных ОИ, а также специалисты, занимающиеся ведением защищенного документооборота;
5) обслуживающий персонал, обеспечивающий работу тех-нических средств ОИ, в том числе и средств СЗИ;
6) системные программисты, осуществляющие управление программным обеспечением ОИ;
7) служба защиты информации, которая несет полную от-ветственность за защиту информации и имеет особые полномочия. Если эта служба в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на обслуживающий персонал ОИ и администрацию банков данных с соответствующим изменением ее организационно-правового статуса.
Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом:
— техническое обеспечение — совокупность технических средств, необходимых для технической поддержки решения всех тех задач по защите информации, решение которых может потребоваться в процессе функционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые необходимы для решения задач по управлению механизмами защиты информации;
— математическое обеспечение — совокупность математических методов, моделей и алгоритмов, необходимых для оценки уровня защищенности информации и решения других задач по защите;
— программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач по управлению механизмами защиты. К ним должны быть отнесены также сервисные и вспомогательные программы СЗИ;
— информационное обеспечение — совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входные и выходные документы СЗИ;
— лингвистическое обеспечение — совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентами ОИ и внешней средой.
Организационно-правовое обеспечение как компонент СЗИ представляет собой совокупность организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны, участвуют в непосредственном решении задач по защите (чисто организационными средствами или совместно с другими средствами защиты), а с другой — объединяют все средства в единые комплексы защиты информации. Организационно-правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно-правовое обеспечение служит для объединения всех компонентов в единую систему защиты.
Последовательность и общее содержание проектирования индивидуальных систем защиты информации
Проектирование систем защиты информации заключается в том, чтобы для за данного объекта (и ли его проекта) создать оптимальную совокупность механизмов обеспечения защиты информации и механизмов управления ими. Очевидно, что при проектировании СЗИ, как и других сложны х систем, необходимо учитывать два основных показа теля для оценки оптимальности: требуемый уровень защищенности информации и размеры имеющихся для построения СЗИ ресурсов (рис. 5). При этом оптимальность систем защиты понимается в общепринятом смысле: или достижение заданного уровня защищенности информации при минимальны х за трата х (первая постановка задачи), или достижение максимально возможного уровня защищенности при заданном уровне затрат на защиту
Рис 5. Обобщенная структура показателей оптимальности построения СЗИ
Наиболее сложной является задача определения требуемого уровня защищенности, так как э тот показа те ль комплексны й и может быть за дан характером защищаемой информации и условиями обработки этой информации и ее хранения на ООИ (состоянием и спецификой самой системы обработки информации и возможностями злоумышленника). Для использования при решении оптимизационных задач существующего математического аппарата необходимо, чтобы оба показателя были формализованы. Поэтому выбор той или иной постановки задачи зависит прежде всего от характера защищаемой информации, вернее от характера тайны, содержащейся в ней. Основные виды тайны могут быть классифицированы на две категории: государственную и конфиденциальную (служебная, коммерческая, персональные данные). При этом для тех видов секретов, для которых могут быть определены размеры потерь при нарушении защиты соответствующей информации, то есть имеется возможность формализовать показатель, максимально допустимым уровнем затрат на защиту будет именно размер потенциально возможных потерь. Для тех же видов секретов, возможные потери от раскрытия которых не могут быть выражены стоимостными показателями, необходимый уровень защиты должен определяться исходя из более общих показателей важности соответствующей информации, рассмотренных ранее. Другими исходными данными для задания уровня защищенности информации являются условия ее обработки и хранения. Действительно, проектирование СЗИ может осуществляться при следующих состояниях ОИ:
— объект функционирует, возможности влияния на элементы системы обработки нет;
— объект функционирует, возможность влияния на элементы системы обработки есть;
— объект только проектируется.
При этом, как указывалось выше, должны быть реализованы и различные стратегии защиты, оборонительная, наступательная, упреждающая. Это, в свою очередь, определит и необходимые затраты на создание СЗИ. Более детально принципы задания исходных данных для проектирования СЗИ будут рассмотрены ниже. Собственно методология проектирования полностью вписывается в общую методологию проектирования сложных систем организационно-технологического типа. Самое общее правило, которым следует при этом руководствоваться, тоже носит общий характер, а именно — необходимо стремиться к как можно более широкому использованию типовых проектных решений.
Типизация в самом общем виде определяется как разработка типовых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Типизация рассматривается как один из методов стандартизации. Стандартизация — это процесс установления и применения стандартов, которые, в свою очередь, определяются как образцы, эталоны, модели, принимаемые за исходные для сопоставления с ними других подобных объектов. Стандарт же как нормативно-технический документ устанавливает комплекс норм, правил, требований к объекту стандартизации и утверждается компетентным органом. Анализ концепции защиты информации вообще и подходов к архитектурному построению СЗИ в частности показывает, что с целью создания наилучших предпосылок для оптимизации СЗИ целесообразно выделить три уровня типизации и стандартизации:
1) высший — уровень СЗИ в целом;
2) средний — уровень составных компонентов СЗИ;
3) низший — уровень проектных решений по средствам и механизмам защиты.
С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях прежде всего необходимо осуществить системную классификацию СЗИ. При этом классификация должна проводиться на основе показателей, с помощью которых все потенциально необходимые СЗИ делились бы на такие элементы классификационной структуры (классы, группы), каждый из которых был бы адекватен некоторым вполне определенным потребностям в защите информации, а вся совокупность элементов охватывала бы все потенциально возможные варианты потребностей в защите. Характерным для процесса типизации СЗИ является ужесточение требований по использованию типовых решений высокого уровня с ростом важности обрабатываемой информации. Примером здесь может служить строго регламентированное в соответствии с действующей нормативной базой использование механизмов и средств защиты информации, составляющей государственную тайну. Такой подход характерен, например, для шифрорганов систем шифрованной связи. Другим примером типизации СЗИ на высшем уровне является классификация автоматизированных систем обработки информации в соответствии с руководящими документами Гостехкомиссии РФ (табл. 1).
Типизация и стандартизация на среднем уровне предполагают разработку типовых проектов структурно или функционально ориентированных компонентов СЗИ, которые могут быть аттестованы в качестве стандартных и из которых просто составить необходимую СЗИ. Как было рассмотрено выше («Архитектура СЗИ»), в качестве структурно ориентированных можно выбрать компоненты СЗИ, каждый из которых ориентирован на защиту информации в конкретном типовом структурном элементе ОИ (ПЭВМ, ЛВС, СПД и т. д.). Другим вариантом является использование в качестве структурного элемента одного из рубежей защиты в соответствии с семирубежной моделью. В качестве функционально ориентированных компонентов выделяют подсистемы ограничения доступа к ресурсам, криптографической защиты, регистрации и учета и т. д. При этом указанные подсистемы, в свою очередь, могут разделяться на составные компоненты. Например, подсистема ограничения доступа может быть представлена типовыми компонентами физической защиты объекта, аутентификации, защиты от утечки по техническим каналам, разграничения доступа и т. д. Наконец, типизация и стандартизация на низшем уровне предполагают разработку и стандартизацию типовых проектных решений по практической реализации средств защиты информации:
— технических;
— программных;
— организационных.
Каждое средство может быть представлено в виде типового проектного решения, для чего оно должно быть оформлено по общеизвестным правилам. Для технических и программных средств основанием для использования их в качестве типового является наличие сертификата, гарантирующего пользователю выполнение декларированных производителем свойств защиты информации. В соответствии с изложенным классификационная структура возможных вариантов подхода к проектированию СЗИ будет выглядеть так, как показано на рис. 6. Рекомендации по использованию вариантов можно найти в литературе. Таким образом, обобщенный алгоритм проектирования СЗИ можно представить следующим образом:
— анализ целей и условий создания СЗИ;
— обоснование требований к защите информации;
— выбор варианта проектирования;
— реализация варианта проектирования;
— оценка эффективности разработанного проекта.
Наряду с таким достоинством проектирования СЗИ с использованием ТПР, как относительная простота реализации, эти варианты имеют явные недостатки, связанные с возможным дублированием в рамка х всей СЗИ отдельных механизмов защиты, входящих в состав типовых компонентов.
Табл.1. Классификация автоматизированных систем
Рис. 6. Классификационная структура подходов к проектированию СЗИ
Наиболее с ложным и ресурсоемким, но наиболее эффективным с точки зрения обеспечения защиты информации является индивидуальное проектирование, под которым понимается разработка самостоятельного проекта системы защиты для конкретной создаваемой или уже функционирующей АСОД. Использование этого метода проектирования позволяет учитывать все возможные угрозы информации конкретного объекта, условия его функционирования и разработать оптимальную с точки зрения имеющихся ресурсов и требуемого уровня безопасности совокупность средств и методов защиты информации.
Алгоритм проектирования индивидуальных систем защиты Проектирование СЗИ принципиально ничем не отличается от проектирования любы х других систем организационно -технологического типа. Тогда в соответствии с общеизвестной методологией проектирования больших систем последовательность разработки индивидуального проекта СЗИ может быть представлена на рис. 7.
Рис. 7. Последовательность и содержание проектирования СЗИ
Рассмотрим общее содержание выделенных этапов проектирования.
Этап 1 — обоснование требований и анализ условий защиты информации:
— формирование факторов, влияющих на защиту информации на ОИ;
— выбор и обоснование требований по защите информации;
— анализ условий защиты информации на ОИ.
Этап 2 — определение функций защиты информации (обоснование перечня те х функций защиты, осуществление которых позволит обеспечить требуемый уровень защиты в потенциально возможных условиях функционирования ОИ).
Этап 3 — определение перечня потенциально возможных КНПИ и ПНЦИ, их классификация, определение характеристик КНПИ.
Этап 4 — обоснование перечня подлежащих решению задач по защите:
— определение перечня задач по защите информации, перекрывающих все потенциально возможные КНПИ и снижающих возможность НЦИ на ОИ;
— их классификация;
— определение эффективности их решения с точки зрения перекрытия КНПИ;
— выбор задач защиты информации.
Этап 5 — выбор средств, достаточных для решения выбранных задач по защите информации:
— определение перечня ТПР, которые могут быть использованы для их решения;
— классификация ТПР;
— определение эффективности использования выбранных ТПР;
— определение оптимального набора ТПР, необходимых для их решения с заданной эффективностью.
Этап 6— оценка эффективности защиты информации в условиях выбранных задач защиты информации:
— оценка защищенности информации в условиях решения выбранных задач выбранными средствами;
— сравнение полученных оценок защищенности с требуемой (при этом учитываются и стоимостные расходы на обеспечение защиты).
Этап 7—обоснование уточнений задания на проектирование.
— определение причин недостаточного обеспечения защиты информации;
— выбор рационального варианта уточнения задания на проектирование СЗИ.
Этап 8 — обоснование структуры и технологии функционирования СЗИ:
— определение функциональной структуры СЗИ, ее подсистем и ядра защиты информации;
— определение состава технического, математического, программного, информационного, организационного и лингвистического обеспечения, нормативно-правовых актов и организационно-технических мероприятий по защите информации;
— обоснование структуры компонентов и архитектуры СЗИ;
— обоснование технологических схем функционирования СЗИ во всех режимах автоматизированной обработки информации;
— обоснование технологии управления защитой информации.
Этап 9 — технико-экономические оценки проекта:
— оценка надежности выполнения функций защиты информации;
— оценка живучести СЗИ, то есть способности выполнять свои функции в экстремальных условиях функционирования ОИ;
— экономические оценки СЗИ;
— оценка степени влияния СЗИ на временные характеристики ООИ при автоматизированной обработке информации.
Этап 10 — решение организационно-правовых вопросов по защите информации:
— определение прав и обязанностей по защите информации всех подразделений и лиц, участвующих в процессах функционирования ОИ;
— разработка правил осуществления всех процедур и мероприятий по защите информации;
— обучение всех лиц, участвующих в процессах функционирования ОИ, выполнению правил защиты информации;
— обеспечение всех подразделений и лиц, участвующих в процессах обработки и обеспечения защиты информации, необходимыми руководящими и методическими материалами (документами);
— разработка правил и порядка контроля функционирования СЗИ;
— определение мер ответственности за нарушение правил защиты информации;
— разработка порядка разрешения спорных и конфликтных ситуаций, возникающих в процессе функционирования ОИ и относящихся к вопросам обеспечения защиты информации.
Как было указано выше, проектирование СЗИ может быть осуществлено в соответствии с выбранной стратегией защиты. Наиболее эффективной с точки зрения достижения максимально возможного уровня защищенности является упреждающая стратегия, которая позволяет нейтрализовать все потенциально возможные угрозы на этапе проектирования СОИ.
При реализации проектирования в соответствии с выбранной стратегией возникают проблемы (этап 4), связанные с отсутствием реальных (построенных) объектов и невозможностью оценить вероятность утечки информации по техническим каналам с помощью существующих методик оценки. В связи с этим возникают существенные трудности в выборе средств защиты информации (этап 5), проведении оценки ЗИ в условиях решения требуемых задач выбранными средствами, а затем сравнении полученных оценок защищенности с требуемой (при этом учитываются и стоимостные расходы на обеспечение защиты). В условиях отсутствия реальных СОИ оптимальным решением задачи является моделирование систем защиты информации.