Методология анализа и оценки ИБ в системах управления

В настоящее время все более четко вырисовываются контуры нового научного направления и инженерной дисциплины "Безопасность информации в автоматизированных системах обработки данных" (АСОД) и есть основания говорить о наличии достаточного материала для анализа развития концептуальных подходов к реализации защиты информации в системе управления организацией.

Центральной идеей первого этапа создания защиты системы управления являлось намерение обеспечивать надежную защиту информации механизмами, содержащими в основном технические и программные средства.

Технические средства защиты – те, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств было принято подразделять на аппаратные и физические.

Аппаратные технические средства защиты – это устройства, встраиваемые непосредственно в аппаратуру АСОД или устройства, которые сопрягаются с аппаратурой АСОД по стандартному интерфейсу.

Физическими средствами названы такие, которые реализуются в виде автономных устройств и систем (электронномеханическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.).

Программные средства защиты – это программы, специально предназначенные для выполнения функций, связанных с защитой информации.

Указанные средства и составляли основу механизмов защиты в 1960-е гг. При этом господствовало убеждение, что основными средствами защиты являются программные, считалось, что программы защиты информации будут работать эффективнее, если будут включены в состав общесистемных компонентов ПО. В связи с этим первоначально программные механизмы защиты включались в состав ОС или систем управления БД (например, ОС фирмы IBM 08/360). Практика показала, что надежность механизмов защиты такого типа является явно недостаточной.

Следующей попыткой расширения рамок и повышения эффективности программной защиты стала организация дифференцированного разграничения доступа пользователей к данным, находящимся в АСОД. Для этого идентифицировались все пользователи и элементы защищаемых данных, устанавливалось каким-либо образом соответствие между идентификаторами пользователей и идентификаторами элементов данных и строилась алгоритмическая процедура проверки лояльности каждого запроса пользователя. Одной из систем с такими механизмами была система Multics.

Уникальной по своему содержанию была система безопасности ресурса в ОС, разработанной под руководством фирмы IBM. В ней реализуются три основные функции защиты: изоляция, контроль доступа и контроль уровня защиты. Всесторонние испытания системы безопасности ресурса показали в ней ряд серьезных недостатков.

В итоге специалисты пришли к выводу, что концепция защиты, основывающаяся на концентрации механизмов защиты в рамках ОС, не отвечает требованиям надежной защиты процессов переработки информации, особенно в АСОД с повышенной секретностью.

Для преодоления указанных недостатков принимались следующие решения:

1) создание в механизмах защиты специального организующего элемента – ядра безопасности;

2) децентрализация механизмов защиты, вплоть до создания элементов, находящихся под управлением пользователей АСОД;

3) расширение арсенала используемых средств защиты.

Развитие концепции ИБ, основанной на приведенных выше решениях, происходило в 1970-е гг. Интенсивно развивались средства защиты, особенно технические и криптографические.

Однако, несмотря на все принятые меры, надежная защита информации опять оказалась недостижимой, о чем красноречиво говорили реальные факты злоумышленного доступа к информации. К тому же именно в это время была доказана теория (ее иногда называют теоремой Харрисона) о невозможности решить для общего случая задачу о безопасности произвольной системы защиты при общем задании на доступ. На этом основании в зарубежной печати все чаще стали появляться высказывания о том, что вообще нет предпосылок для надежного обеспечения безопасности информации.

Поиски выхода из такого тупикового состояния и составляют основное ОГЛАВЛЕНИЕ третьего этапа развития концепций защиты информации, который происходил в 1980-е гг. При этом генеральным направлением поисков стало неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде всего в смысле нс просто создания соответствующих механизмов защиты, но и в смысле регулярности процесса, осуществляемого на всех этапах жизненного цикла АСОД при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты информации, непременно и наиболее рациональным образом объединяются в единый целостный механизм – систему защиты.

В этой системе должны быть по крайней мере четыре защитных пояса: внешний пояс, охватывающий всю территорию, на которой расположены сооружения АСОД; пояс сооружений, помещений или устройств АСОД; пояс компонентов системы (технических средств, ПО, элементов БД) и пояс технологических процессов обработки данных (ввод-вывод, внутренняя обработка и т.п.).

Конкретным примером практической реализации системного подхода к защите информации является проект системы защиты, разрабатываемый и реализуемый фирмой Honeywell Inc. по контракту с Министерством обороны США. В качестве исходных были приняты следующие три положения:

1) система защиты информации разрабатывается и внедряется одновременно с разработкой самой АСОД;

2) реализация функции защиты – преимущественно аппаратная;

3) должно быть строго доказано обеспечение задаваемого уровня защиты.

Специалисты указанной фирмы разработали на основе результатов, полученных в процессе разработки средств защиты информации для систем Multics и Scomp, а также при создании фирмой SRI International ОС с доказуемой защищенностью данных, математический аппарат, позволяющий определить степень защищенности информации.

В последние годы большое внимание уделяется проблемам защиты ПО обеспечения АСОД, что обусловлено рядом обстоятельств.

Во-первых, ПО играет решающую роль в качественной обработке информации. Во-вторых, программы все больше и больше становятся предметом коммерческой тайны. В-третьих, программные средства являются одним из наиболее уязвимых компонентов АСОД, особую тревогу вызывает все, что связано с компьютерным вирусом.

Анализ развития проблемы и путей ее решения, а также опыт разработки соответствующих систем и предлагаемые ниже исследования позволяют предположить следующие причины указанных выше неудач. Это прежде всего отсутствие четких и ясных определений объектов и предмета защиты, оптимальных классификаций потенциальных угроз и возможных канатов несанкционированного доступа, отсутствие адекватных моделей объекта защиты информации и ожидаемой модели поведения нарушителя. Деление отдельных средств защиты на аппаратные, физические, программные, инженерные, т.е. по технологии исполнения (не по прямому назначению), положенное в основу принципов построения системы защиты, не учитывает их функциональные возможности по взаимодействию и создаст предпосылки для образования "щелей" в защите.

При построении защиты часто не учитывается различие предметов защиты, возможных каналов несанкционированного доступа и соответствующих средств защиты на этапах проектирования и эксплуатации АСОД.

Отсутствие четкой и обоснованной классификации объектов защиты процессов переработки информации по принципам построения не позволило найти единого подхода к территориально-сосредоточенным и глобальным АСОД.

Возможной причиной неудач явилось также то, что используемое представление потенциальных угроз не полностью учитывает их физическое происхождение и точки приложения в конкретной вычислительной системе (например, различную природу случайных и преднамеренных воздействий). В результате этого недостаточно точно определены возможные подходы нарушителя к объекту защиты, что в свою очередь не позволило установить на его пути соответствующие преграды.

Модель поведения нарушителя часто не устанавливает его исходную позицию и не учитывает его естественное стремление использовать в своих целях наиболее слабое звено в защите. Практически полностью отсутствуют обоснование и реализация принципа равнопрочности звеньев защиты, вытекающего из необходимости создания вокруг предмета замкнутой оболочки защиты. В результате выясняется, что в большинстве случаев программные средства защиты значительно прочнее аппаратных, через которые эти программные средства защиты можно легко обойти.

Кроме того, почти не учитывается при разработке и не оценивается в количественном отношении принципиально важное свойство звеньев защиты – способность к обнаружению и блокировке несанкционированного доступа нарушителя по аналогии с функциональным контролем вычислительной системы.

Достаточным доказательством отсутствия завершенности решения проблемы является также существующий в настоящее время метод оценки защищенности информации в конкретных вычислительных системах, в котором в качестве критерия оценки предусмотрено наличие всего лишь определенного набора средств защиты, состав которого соответствует некоторому классу защиты без количественной оценки прочности средств защиты и системы в целом.

Приведенный анализ недостатков и трудностей решения проблемы даст основание искать их причины в начале пути: анализе объектов защиты информации, потенциальных угрозах и выборе другой концепции защиты процессов переработки информации в АСОД.

Проблема безопасности информации охватывает широкий спектр автоматизированных систем ее обработки: от персонального компьютера и больших вычислительных комплексов до глобальных вычислительных сетей и автоматизированных систем управления различного назначения. Наряду с известными и необходимыми для выполнения своих задач по прямому назначению характеристиками, такими как надежность функционирования, устойчивость к внешним воздействиям и скорость обработки данных, каждая из этих систем должна обеспечивать гарантированную безопасность обрабатываемой информации. Как показал накопленный опыт, данная характеристика, или свойство системы, по своему значению не уступает приведенным характеристикам и часто даже превосходит их. Это видно хотя бы из того, что при отказе функционирования системы ценная информация в ней должна быть сохранена, т.е. не должна претерпеть никаких изменений, быть разрушенной или похищенной и доступной посторонним лицам.

Все АСОД можно разделить на два вида: с централизованной и децентрализованной обработкой данных. К первым относятся ЭВМ; вычислительные комплексы и вычислительные системы. Ко вторым – системы телеобработки данных, вычислительные сети (сети передачи данных) и автоматизированные системы управления.

При рассмотрении структуры и принципов построения данных АСОД обратим внимание на следующую закономерность, вытекающую из последовательного их развития в сторону усложнения состава технических средств и умножения выполняемых задач: каждый последующий вид АСОД может включать в себя все предыдущие. Вычислительные системы могут содержать в своем составе вычислительные комплексы и ЭВМ; автоматизированные системы управления – вычислительные системы, соединенные через вычислительную сеть каналами связи. Вычислительная сеть состоит также из вычислительных систем, соединенных между собой каналами связи. Только часть этих систем выполняет задачи узлов коммутации сообщений, а остальные – задачи абонентских комплексов. Таким образом, вычислительную систему с позиций безопасности процессов переработки информации можно рассматривать как некий базовый элемент вычислительной сети и автоматизированной системы управления.

Общий подход к разработке концепции безопасности процессов переработки информации для указанных АСОД заключается в анализе этого элемента, разработке концептуальных основ защиты информации на его уровне и затем на уровне вычислительной сети и автоматизированной системы управления.

Такой подход удобен переходом от простого к сложному, а также тем, что позволит получить возможность распространения полученных результатов на персональную ЭВМ и локальную вычислительную сеть, рассматривая первую как АСОД с централизованной, а вторую – с децентрализованной обработкой данных.