|
|
№ 6 ноябрь-декабрь 2005 г.
Тема номера: ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ ИБ
|
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ.
АЛЬТЕРНАТИВНЫЙ ПОДХОД
В. В. Мельников, к. т. н.,
системный аналитик в области безопасности информации,
начальник сектора НИИ АА им. академика В. С. Семенихина |
|
|
I
Актуальность проблемы безопасности информации в автоматизированных системах (АС) ее обработки и передачи (персональных компьютерах, локальных, региональных, глобальных вычислительных сетях и системах управления) сегодня ни у кого не вызывает сомнений. Работы в этом направлении ведутся в мире уже более 30 лет, в том числе по разработке принципов построения и теории защиты, соответствующих стандартов оценки ее прочности специалистами международного класса, Однако потери различного рода от НСД информации продолжают расти. Главной причиной такого положения, по мнению автора данной статьи, является неудачный выбор концептуального подхода к построению защиты.
Обзор технической литературы по данной проблеме говорит о том, что в настоящее время при построении этой защиты сложился подход, основанный на представлении обработки информации в виде абстрактной вычислительной среды, в которой работают множество «субъектов» (пользователей и процессов) с множеством «объектов» (ресурсами и наборами данных). При этом построение защиты заключается в создании защитной среды в виде некоторого множества ограничений и процедур, способных под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ «субъектов» к «объектам» и защиту последних от множества преднамеренных и случайных внешних и внутренних угроз.
Данный подход опирается на теоретические модели безопасности: АДЕПТ-50 Хартсона, Белла–Лападулы, MMS Лендвера и МакЛина, Биба, Кларка–Вилсона и др. [1]. Считается, что данные модели являются инструментарием при разработке определенных политик безопасности, определяющих некоторое множество требований, которые должны быть выполнены в конкретной реализации системы. На практике разработчику чрезвычайно сложно реализовать эти модели, и поэтому они рекомендуются лишь для анализа и оценки уровня «безопасности автоматизированных систем», а руководствоваться при разработке предлагается специально разработанными на основе упомянутых подхода и моделей стандартами [2].
Последним из них является введенный в России новый международный стандарт ИСО\МЭК 15408-99 «Критерии оценки безопасности информационных технологий» [Criteria for Information Technology Security Evaluation], разработанный в рамках проекта «Общие критерии». Считается, что в данном стандарте обобщен опыт использования предыдущих стандартов, но базовый подход, приведенный выше, сохранился.
Общие критерии (ОК) представляют собой структурированную, универсальную библиотеку требований безопасности, сформулированных в весьма общем виде. Их специализация и конкретизация осуществляются в двух основных конструкциях, определенных в ОК: профилях защиты (ПЗ) и заданиях по безопасности (ЗБ). Профиль защиты предназначен для сертификации средств защиты информации (по российским стандартам – СВТ) и систем информационных технологий (ИТ) и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия ИТ [2].
Однако такому подходу и способу присущи принципиальные недостатки, приводящие к низкому уровню безопасности обрабатываемой информации. Суть их заключается в неопределенности постановки задачи и вытекающей из нее сложности ее решения. В разрабатываемой системе сложно определить:
- предмет защиты (множество «объектов» доступа);
- виды и количество угроз;
- «субъекты» доступа (множество процессов);
- возможные механизмы взаимодействия «субъектов» с «объектами» (в стандартах отсутствует физическая «привязка» функций защиты к видам автоматизированных систем).
Если число штатных «объектов» и «субъектов» (кроме процессов) доступа на конкретной системе можно как-то еще определить, то виды и количество процессов, возможных преднамеренных несанкционированных и случайных воздействий, особенно в региональных, глобальных сетях учету не поддаются (виды и количество их постоянно увеличиваются). Проверить стойкость защиты по каждой ожидаемой угрозе вообще не представляется возможным.
Особенно следует отметить отсутствие объективной возможности оценки степени приближения полученных результатов прочности защиты к истинному значению, так как в стандартах отсутствует механизм создания замкнутой защитной оболочки и расчетных соотношений ее прочности. Отсутствие первого приводит к наличию «дыр» в защите, а отсутствие вторых – к существенному отклонению точности получаемых результатов оценки ожидаемой эффективности защиты.
Создаваемая защитная среда носит сугубо фрагментарный характер, так как невозможно определить ее границы и плотность. На практике защитная среда реализуется в виде определенного нормативными документами набора функций, в котором отсутствуют количественные показатели прочности защиты и используется «лукавый» термин «защищенность». Данные функции определены лишь на основе опыта работы режимных служб. Достаточность набора и уровня исполнения этих функций для обеспечения защиты нигде и никем не доказана. Поэтому совершенствование отдельных средств защиты приводит только ко временному положительному результату. Адекватный системный подход отсутствует.
Анализ пpименяемых в указанных стандартах теpминов и опpеделений (гаpантиpованности, коppектности, адекватности функциональности, мощности; базовой, средней и высокой стойкости оценки) говоpит о весьма пpиближенном хаpактеpе их влияния на конечный pезультат оценки уровня безопасности информации в АС. Основной недостаток перечисленных документов заключается в том, что пpи пpоектиpовании автоматизиpованной системы pазpаботчик не имеет четких исходных данных и методов расчета, pуководствуясь котоpыми он должен стpоить систему. Дpугими словами, пpоцессы пpоектиpования и оценки слабо связаны между собой. Пpи пpоведении такой оценки в сложных системах она может иметь отpицательный pезультат, и потpебуется большая доpаботка автоматизиpованной системы, затpаты на котоpую pазpаботчиком не учтены.
Из-за отсутствия соответствующей теории и расчетных соотношений в «Критериях оценки...» не пpиведены единицы измерения и количественная оценка безопасности информации в автоматизированных системах.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|