На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№1 январь-февраль 2005 г.
Тема номера: ЭКОНОМИЧЕСКИ ОПРАВДАННАЯ БЕЗОПАСНОСТЬ


ПРОЕКТИРОВАНИЕ ЭКОНОМИЧЕСКИ ЭФФЕКТИВНОЙ
СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

А. А. Теренин, к. т. н., специалист по качеству ИТ и ПО «Дойче Банк Москва»


Предыдущая статьяСледующая статья

Руководство любой компании понимает, что невозможно выделить неограниченный объем финансов и человеческих ресурсов на обеспечение информационной безопасности. С экономической точки зрения вложения в безопасность должны показать прибыль или сокращение имевших место или возможных затрат. Политика обеспечения информационной безопасности должна определять приоритеты инвестиций в направлении наибольшей уязвимости.

Невозможно создать абсолютно надежную систему безопасности. В основном из-за того, что постоянно разрабатываются новые виды угроз, которым система не сможет противостоять, а также из-за того, что эффективность системы защиты зависит от обслуживающего персонала, а человеку свойственно ошибаться. Стоимость преодоления защиты должна быть больше стоимости достигаемого эффекта при ее взломе. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для среды, окружающей хозяйствующий субъект.

Данная статья призвана ответить на вопрос, как спроектировать экономически эффективную систему безопасности, адекватную угрозам бизнеса.

1. Подготовка к проектированию системы информационной безопасности

Система безопасности предназначена для того, чтобы защищаемая вычислительная сеть постоянно находилась в безопасном состоянии. Существует ряд определений безопасности вычислительной сети, отражающих различные подходы к ее решению. Приведем наиболее распространенное из них.

Определение. Безопасным состоянием вычислительной сети будем понимать такое состояние, при котором невозможны модификация, уничтожение, раскрытие или блокировка хранимых, обрабатываемых или передаваемых данных, а также неправомерные воздействия на активные процессы. Для того чтобы информационная сеть находилась в безопасном состоянии, она должна удовлетворять ряду свойств, среди которых основными являются конфиденциальность, целостность и доступность.

Конфиденциальность означает недоступность классифицированных определенным образом данных для пользователей, которым не разрешен доступ к указанным данным.

Свойство целостности состоит в неизменности свойств информации, обрабатываемой, хранящейся или передаваемой в вычислительной сети.

Доступность (безотказность) – возможность использования ресурсов сети и данных в любой момент времени авторизованными пользователями системы.

Перед тем как приступить к проектированию системы безопасности, необходимо сформулировать требования к разрабатываемой системе. Сделать это наилучшим образом поможет организационно-нормативная документация. В компании должна быть разработана внутренняя нормативная документация: политика информационной безопасности, методика определения ценности или критичности для бизнеса различных данных, правила реагирования на инциденты в области нарушения информационной безопасности и т. п. Сформулировать требования также помогут российские (Руководящие документы Гостехкомиссии РФ) и международные стандарты (ISO 17799, Trusted Computer System Evaluation Criteria – США, The Common Criteria for information Technology Security Evaluation/ISO 15408).

К сожалению, многие стандарты дают расплывчатые определения к требованиям или ограничиваются только набором против определенных видов угроз информации (РД ГТК – от несанкционированного доступа). Это происходит из-за того, что стандарты разрабатываются как универсальное руководство, но оно не всегда может применяться в оригинальном виде в российских компаниях, в которых сильно развита индивидуальность ведения бизнеса, даже в единой отрасли. С экономической точки зрения эффективно сформулировать собственные требования к конкретной уникальной информационной среде каждой компании. При этом необходимо приложить общие усилия совместно со специалистами по информационной безопасности (в том числе консультантами из сторонних специализирующихся предприятий), аналитиками, ведущими специалистами, техническими специалистами, обслуживающими вычислительную сеть, и руководством компании.

Изначально необходимо сформулировать ЧТО необходимо защищать, затем от КОГО и на анализе полученного материала ответить КАК защищать, а затем реализовать разработанную систему безопасности на техническом, организационном и правовом уровнях.

Необходимо оценить ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. К сожалению, получить реальную стоимость информации довольно сложно, поэтому часто применяются качественные экспертные оценки; информационные ресурсы классифицируют как критичные для ведения бизнеса, особой важности и т. д.

Также желательно знать, от КОГО следует защищаться, то есть потенциальных нарушителей информационной защиты вашей компании, кому наиболее выгодны посягательства на интеллектуальную собственность. Опираясь на построенную модель злоумышленника, уже можно строить адекватную систему информационной защиты. Таким образом, правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей – способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы. Подробнее тема построения модели нарушителя рассмотрена в отдельной статье.

Знания ЧТО защищать и от КОГО позволяют точно сформулировать требования к системе информационной безопасности. Последствия реализации каждой угрозой являются определенным риском для компании, который возможно оценить. Возможно на некоторые незначительные риски компания готова пойти, тогда защита от них не входит в требования. Некоторые риски допустимы до определенной степени и требования формулируются как допустимые рамки для некоторой величины.

На вопрос, КАК защищаться по каждому из требований, ответы уже готовы у специалистов по информационной безопасности. На рынке представлены многочисленные специальные средства информационной безопасности, обладающие определенным набором свойств, стоимостью, защищенностью. Но как выбрать именно тот набор средств защиты, который в комплексе при минимизации стоимости позволит достичь максимизации общего уровня защищенности всей информационной системы защиты в целом?

В итоге, мы получили представление, что необходимо защищать, как защищать, и видим бесчисленное множество вариантов реализации системы защиты. Пришло время ее проектировать. Для этого лучше всего использовать научные, точные математические методы, для особо важных объектов – формализованные модели безопасности и формальные политики безопасности. Преимуществом формального описания политики безопасности является отсутствие в ней противоречий и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности.

2. Проектирование системы информационной безопасности

Базой для создания системы безопасности служат корректно выработанные требования к ней. Когда все показатели, описывающие свойства защищаемых ресурсов и средств защиты, выражены количественно, проектирование системы безопасности сводится к математической модели. Для преобразования качественных показателей в количественные можно использовать экспертные оценки, например уровни секретности: «особой важности» – 10, «совершенно секретно» – 6, «секретно» – 3, «для внутреннего использования» – 1, «общий доступ» – 0.

Когда можно получить количественную оценку уровня защищенности по рассматриваемому критерию, мы получаем возможность сравнивать различные комплексы средств защиты. Для построения экономически эффективной системы защиты необходимо решить задачу оптимального выбора средств реализации системы защиты от комплекса возможных угроз информации, удовлетворяющих заданным ограничениям (стоимость всей системы, общий уровень безопасности, скорость работы и т. п.).

Для сокращения размерности задачи оптимизации и упрощения формализации политики безопасности предлагается рассматривать систему защиты в виде совокупности взаимодействующих подсистем. Декомпозиция системы защиты производится с целью распределения различных слабосвязанных функций защиты по различным подсистемам. В результате они могут проектироваться, реализовываться и управляться в процессе эксплуатации раздельно. Число подсистем определяется, исходя из практических потребностей и минимизации затрат на проектирование и построение системы безопасности. Информационное взаимодействие подсистем осуществляется на основе аутентификации взаимодействующих сторон с установлением защищенного соединения. Подобное построение позволяет комплексно использовать различные средства и методы защиты, повысить общую эффективность системы в целом при снижении затрат на проектирование и реализацию, а также сократить размерности задачи оптимизации и упростить формализацию правил функционирования подсистем защиты. Каждая подсистема, в свою очередь, может делиться на вложенные под-уровни защиты. Связь между подсистемами защиты осуществляется при помощи средств ЭЦП.

Все подсистемы должны иметь одинаковую степень защищенности, что позволяет эффективно распределить ресурсы системы защиты. По мере проектирования системы защиты производится поэтапная детализация и конкретизация целей, задач и структуры подсистем защиты. На этапе эксплуатации системы по мере выявления неучтенных угроз осуществляется уточнение структуры и состава подсистем безопасности. Проектирование и построение систем защиты с априорно заданными свойствами, соответствующими необходимому уровню безопасности, достаточно трудоемкая задача. Проектирование оптимальной системы затруднено из-за множества параметров, которые надо учесть, и из-за неадекватности моделей безопасности, модифицированных для описания распределенных вычислительных сетей.

В связи с этим, автором предлагается методика оптимального построения системы защиты, которая описывает специфику распределенного удаленного взаимодействия компонентов вычислительных сетей и многокритериальность решения задачи выбора комплекса средств защиты. Методика позволяет формализовать архитектуру сети и правила разграничения доступа в ней, сформулировать требования, предъявляемые к системе защиты (к компонентам сети и процедурам взаимодействия между ними), осуществить проектирование системы защиты с требуемым уровнем защищенности с минимизацией затрат на ее проектирование, построение и обслуживание с учетом используемых информационных технологий. Решается задача выбора такой совокупности методов защиты (из списка всех доступных методов по каждому из требований), при которой выполнялись бы заданные ограничения на часть параметров системы и максимизировались или минимизировались бы остальные параметры (уровень защищенности и стоимость).

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100