Архитектурное моделирование системы информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.53- 004.514.6

АРХИТЕКТУРНОЕ МОДЕЛИРОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

О.П. Ильина1, А.К. Сотавов2

Санкт-Петербургский государственный экономический университет (СПбГЭУ),

191023, Санкт-Петербург, ул. Садовая, 21

Рассматриваются принципы архитектурного моделирования системы информационной безопасности, использование метода ADM архитектурного фреймворка TOGAF, концепции системы информационной безопасности, содержание этапов проектных работ.

Ключевые слова: архитектура предприятия, информационная безопасность,OSA, SAM, OCTAVE, CRAMM, TOGAF, Archimate 3.0

ARCHITECTURAL MODELING OF INFORMATION SECURITY SYSTEMS

O.P. Ilyina, A.K. Sotavov

St. Petersburg state University of Economics (St. Petersburg state University),

191023, Saint-Petersburg, Sadovaya street, 21 There are principles of architectural modeling of the information security system, the use of the ADM method of the architectural framework TOGAF, the concepts of information security systems, the content of the work stages are considered.

Keywords: enterprise architecture, information security, OSA, SAM, OCTAVE, CRAMM, TOGAF, Archimate 3.0

Реальная потребность общества в условиях роста и проникновения информационных и коммуникационных технологий (ИКТ) заключается в необходимости обеспечения информационной безопасности. Для предприятий эта необходимость должна быть реализована на уровне корпоративного управления. Информационная безопасность использует три фундаментальных критерия: конфиденциальность, доступность и целостность информации. Создание подобной системы информационной безопасности корпоративного типа должно выполняться в контексте:

- модели архитектуры предприятия (Enterprise Architecture);

- принципов корпоративного управления ИКТ (Corporate IT Governance);

- основ корпоративного управления рисками (Corporate Risk Management);

- обеспечения физической безопасности (Physical Security) информационных ресурсов.

Обеспечение информационной безопасности рассматривал Комитет организаций-спонсоров Тредуэйской комиссии COSO, коалиция профессиональных организаций по учету, аудиту и управлению финансами. В сентяб-

ре 2004 г. была разработана корпоративная система управления рисками - Enterprise Risk Management (ERM), определено понятие «корпоративного управления рисками» как «... процесс, осуществляемый советом директоров, руководством и другим персоналом предприятия, применяемый при разработке стратегии и в масштабах всего предприятия, предназначенный для выявления потенциальных событий, которые могут повлиять на предприятие, и управления риском в пределах его склонности к риску, чтобы обеспечить разумную уверенность в отношении достижения целей организации». В модели COSO процесс управления рисками и обеспечения информационной безопасности охватывает:

1. Постановка целей, их соответствие миссии организации и уровню риск-аппетита

2. Определение внутренних и внешних событий, оказывающих влияние на достижение целей организации, разделение их на риски и возможности.

3. Оценка рисков с точки зрения присущего и остаточного риска

1Илъина Ольга Павловна - кандидат экономических наук, профессор, профессор кафедры информатики СПбГЭУ тел.: +7 9043303439, e-mail: ilop@mail.ru ;

2Сотавов Абакар Капланович - старший преподаватель кафедры информатики СПбГЭУ, тел.:(812) 310-22-61, внутр. 3312, e-mail: ki@unecon.ru

4. Реагирование на риск - выбор методов реагирования на риск (уклонение от риска, принятие, сокращение или перераспределение риска) в соответствие с допустимым уровнем риска и риск-аппетитом организации

5. Средства контроля - политики и процедуры для гарантии эффективного и своевременного реагирования на риски

6. Информация и коммуникации относительно рисковой ситуации

7. Мониторинг процесса управления рисками организации в рамках текущей деятельности руководства или путем проведения периодических оценок.

Управление ИТ-рисками имеет определенную специфику, обусловленную природой информации, процессов обработки, используемых инструментальных средств - программ, вычислительной техники, а также неоднозначной ролью человека - и как источника сведений, и как лица, принимающего решение, и как простого оператора, включенного в контур управления. Роль ИТ возрастает по мере перехода к автоматизированному управлению, проникновения ИТ в сферу промышленных технологий. ИТ-риск — это вероятность возникновения события, связанного с применением информационных технологий, которое окажет отрицательное воздействие на достижение поставленных целей.

Для оценки рисков и разработки мер реагирования, расчёта риск-аппетита широко используются методологии:

1. OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), Carnegie Mellon University2.

Это методология оценки критически важных угроз, активов и уязвимостей, оценки среды операционного риска организации с целью производства более надежные результаты без необходимости обширных знаний по оценке рисков с акцентом на информационные активы (как они используются, где они хранятся, транспортируются и обрабатываются, и каким подвержены угрозам, уязвимостям и сбоям). Основные шаги применения методологии:

1) Установить критерии измерения ИТ-риска

2) Разработка профиля информационных активов

3) Формирование контейнеров информационных активов

4) Определите проблемные области ИТ

5) Определить сценарии угроз для ИТ

6) Определить ИТ-риски

2 https://www.cmu.edu/

7) Анализ ИТ-рисков

8) Выбор подхода к смягчению ИТ-рисков 2. CRAMM (CCTA Risk Analysis and Management Method), Central Computer and Telecommunications Agency)3.

CRAMM - мощный и универсальный инструмент анализа рисков, проведения обследования ИС, аудита ИТ, проведение обследования ИС, обеспечивает выпуск сопроводительной документации на всех этапах его проведения, проведение аудита в соответствии с требованиями стандартов, разработку политики безопасности и плана обеспечения непрерывности бизнеса.

Связь понятий ERM и «информационной безопасности» устанавливает ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью», в котором сделан акцент на информации как ценном активе, который требует надежной защиты на основе системы информационной безопасности для обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса. Механизм защиты должен обеспечить:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается с учетом:

- рисков организации (выявленные угрозы активам организации, оценка их уязвимости и вероятности возникновения угроз, возможных негативных последствий);

- юридических, законодательных, регулирующих и договорных требований;

- набора принципов, целей и требований, разработанных организацией в отношении обработки информации.

Стандарты ISO/IEC 2700х, включающие более 30 стандартов по различным направлениям системы менеджмента информационной безопасности, рассматривают стратегическое управление и контроль, технические рекомендации по применению отдельных программно-технических и организационных мер защиты информации. Управление информационной безопасностью основано на процессном цикле PDCA (Plan, Do, Check, Act), а система

3

www.cramm.com

менеджмента информационной безопасности (СМИБ) направлена на защиту информационных активов организации от угроз и минимизацию рисков в организациях любого масштаба. На сегодняшний день КОЛЕС 27001 - один из самых динамично развивающихся стандартов по информационной безопасности, позволяет избежать дублирования процессов защиты информации.

Проектирование СМИБ должно основываться на эталонной архитектуре безопасности и конфиденциальности, которая позволит создавать совершенные архитектуры и проекты решений безопасности, используя открытые многократно используемые строительные блоки и стандарты, включая: принципы безопасности и конфиденциальности, «строительные блоки решения» - инструменты безопасности и конфиденциальности с открытым исходным кодом, шаблоны архитектуры и дизайна для решения проблем безопасности и конфиденциальности (рис.1 и 2), модели и др.

Рисунок l - Типовой строительный блок для построения системы обеспечения информационной безопасности

Другой пример - справочная модель и методология управления конфиденциальной информацией комитета OASIS Privacy Management Reference Model (PMRM), посвященная разработке и внедрению политики конфиденциальности и безопасности.

Создание эффективных решений информационной безопасности требует создания модели проблемной ситуации, описания векторов атак, модели угроз, документирования рисков безопасности системы и прочее. Наиболее известные угрозы: многообразие логинов и паролей аутентификации пользователя на различных сервисах, DDoS-атаки, использование мобильных устройств и IoT (Интернет вещей) и др.

Рисунок 1 - Типовой строительный блок для

построения системы обеспечения информационной конфиденциальности

Полноценный ландшафт архитектуры открытой системы безопасности - Open Security Architecture (OSA) (рис. 3).

Проект Open Security Application Project Project ™ (OWASP) предложена модель Software Assurance Maturity Model (SAMM)4, содержащую группы процессов и методов:

- Governance (руководство по стратегическим метрикам безопасности, политике и соответствию стандартам, обучению пользователей)

- Construction (оценки угроз, описание требований и построение архитектуры безопасности)

- Verification (проверка и тестирование программного кода, дизайна системы безопасности)

- Deployment (внедрение менеджмента уязвимостей, внешней и операционной среды).

SAMM позволяет модифицировать жизненный цикл Software Development Life Cycle (SDLC), когда безопасность и конфиденциальность будут встроены в процесс разработки программного обеспечения - рис. 4.

Такое многообразие подходов и моделей ставят законный вопрос о совмещении корпоративного управления рисками (ERM) и информационной безопасности в модели архитектуры предприятия - Enterprise Architecture, являющейся открытым стандарт п для описания и взаимосвязи бизнес- и ИТ- архитектур, а также применения языка ArchiMate для представления концепций риска и безопасности.

https://www.opensamm.org/

Рисунок 1 - Архитектура открытой системы безопасности

Рисунок 2 - Процесс разработки программного обеспечения

Архитектура предприятия использует модельное описание бизнес- и ИТ-системы предприятия, комплекс моделей бизнес-архитектуры, системной архитектур на языке архитектурного моделирования [1]. Бизнес-архитектура дает четкое представление о результатах деятельности, внутренних бизнес-процессах, организационной, функциональной и процессной структурах организации. Основные модели бизнес-архитектуры:

- Бизнес-канва и бизнес-модель

- Модели бизнес-процессов

- Модель организационной структуры системы управления

- Модель функциональной структуры системы управления

- Мотивационные модели стейкхолдеров, в которых представлены бизнес-драйверы, измеримые цели деятельности, принципы и ограничения для достижения целей, сформулированы корпоративные стратегии, определены результаты целей, необходимые ресурсы. В моти-вационной модели находят отражения бизнес-требования к ИТ-системе, способной обеспе-

чить реализацию целей бизнес с учетом рисков, требуемой информационной безопасности и конфиденциальности.

Системная архитектура представляется в виде моделей архитектуры приложений, архитектуры данных, архитектуры ИТ-инфраструктуры. В этих моделях описаны обеспечивающие подсистемы ИКТ: информационное, программное, техническое обеспечения, аппаратно-программная платформа, характеристики элементов системы ИКТ. Модельное представление системной архитектуры позволяет контролировать связь бизнес-системы и ИТ, проводить выравнивание стратегий бизнес и ИТ.

Между элементами различных моделей существует сервисный интерфейс. Так, ИТ-инфраструктура генерирует ИТ-

инфраструктурные сервисы, которые используют приложениями. Приложения и данные в совокупности реализуют ИТ-сервисы, которые необходимы для поддержки бизнес-процессов. Конечным результатом выполнения бизнес-процессов являются бизнес-сервисы - товары, работы или услуги, предназначенные для внешнего потребителя и приносящие таким образом финансовый доход. Такое модельное представление может быть выполнено на языке архитектурного моделирования ArcЫmate 3.0 [1]. Вполне логично добавить в корпоративную архитектурную модель предприятия модель системы обеспечения информационной безопасности, для которой может также использоваться язык Archimate 3.0, в которой могут быть внесены некоторые новые элементы и связи.

Базовые принципы архитектуры системы информационной безопасности:

1. Информационная безопасность - часть корпоративной стратегии предприятия, благодаря которой осуществляется поддержка бизнес-целей корпоративной стратегии, минимизируются риски. Для этого следует определить бизнес-цель информационной безопасности с учетом интересов заинтересованных сторон; документировать стратегию информационной безопасности, предоставляя четкое представление о том, как информационная безопасность в организации поддерживает миссию предприятия (рис. 5).

Цели бизнес-системы, ИТ-системы и системы информационной безопасности безусловно различаются. Образуется каскад целей, иерархически связанных отношениями между собой:

- стратегические и операционные цели информатизации подчинены, согласованы и «выравнены» (alignment) с целями бизнеса;

- стратегические и операционные цели системы информационной безопасности зависимы как от целей информатизации, так и от целей бизнеса.

Стратегические цели

предприятия

1

Стратегия информатизации i

1 Г 1

Стратегия системы информационной безопасности

Рисунок 3 - Каскад стратегических целей бизнеса, целей информатизации и системы информационной безопасности предприятия

2. Целостный подход к реализации информационной безопасности, учитывая влияние информационной безопасности на всю организацию (бизнес-систему, ИКТ-систему). Информационная безопасность должна быть интегрирована в информационные системы и процессы. Целостный подход гарантирует, что информационная безопасность позволяет включить представителей всех областей организации в процесс принятия решений по информационной безопасности, обеспечить их активное участие.

3. Определение требований к информационной безопасности на основе рисков.

Основным требованием бизнес-операций является управление рисками. Требования информационной безопасности должны быть пропорционален влиянию риска на бизнес. Управление рисками требует разработки методологии оценки рисков, специфичной для информационных систем, проведения ИТ аудита для проверки уязвимости объектов защиты, оценки характеристик рисков (вероятности риска, суммы ущерба), установления приоритетов рисков, выработки рекомендаций по снижению рисков и др.

4. Определение ответственности за обеспечение информационной безопасности.

Определение ответственности основано на распределении среди персонала предприятия обязанностей по обеспечению информационной безопасности, подотчетности и ответственности за выполнение действий, ролевой принцип закрепления исполнителей работ для обес-

печения конфиденциальности, целостности и доступности информации.

5. Создание информационной безопасности с учетом интересов внутренних и внешних заинтересованных сторон. При принятии решений в области информационной безопасности следует учитывать интересы заинтересованных сторон, включая клиентов, поставщиков и других деловых партнеров. Критическая инфраструктура несет ответственность за удовлетворение ожиданий безопасности сообщества в целом. Информационная безопасность не должна нарушать непрерывность деятельности предприятия, не должна ухудшать качества сервисов.

6. Неукоснительное следование требованиям информационной безопасности, понимание и приверженность принципам информационной безопасности. Осведомленность об информационной безопасности напрямую помогает организации обеспечить раннее обнаружение угроз информационной безопасности; улучшить принятие и использование политики информационной безопасности; улучшить информационную безопасность общения внутри организации; эффективно координировать реагирование на инциденты информационной безопасности и др. Необходима актуальная и практичная политика информационной безопасности, использование четких правил, обучение и повышение компетентности сотрудников, которые играют ключевую роль в выявлении рисков информационной безопасности и обеспечении соблюдения согласованных мер контроля.

7. Постоянное улучшение информационной безопасности. Управление безопасностью имеет процессную основу. Постоянное улучшение позволяет оценивать производительность и эффективность процессов, поддерживать состояние информационной безопасности на уровне, приемлемом для внутренних и внешних заинтересованных сторон, обеспечивая риск на соответствующем допустимом уровне.

Разработка архитектуры безопасности может быть основана на общих принципах и методе ADM архитектурного фреймворка TOGAF [2] с учетом специфики информационной безопасности.

Предварительная фаза: структура и принципы, стратегия информационной безопасности

Формулировка принципов информационной безопасности в контексте предприятия, а именно:

- Обеспечение информационной безопасности в соответствии с требованиями законодательства и нормативных требований

- Распределите обязанности по информационной безопасности во всей организации

Этап А: архитектурное видение

Концепция архитектуры безопасности должна - полноценная поддержка бизнес-целей. На этапе выполняется:

- Разработка стратегии информационной безопасности в соответствии с бизнес-целями и обязанностями организации

- Принятие идеи информационной безопасности на всех уровнях организации

- Определение физических методов обеспечения информационной безопасности для защиты информации

- Возложить ответственность на исполнительное руководство за состояние информационной безопасности предприятия

- Внедрить средства контроля информационной безопасности для обеспечения непрерывности обслуживания

- Учитывать интересы сотрудников при проектировании систем безопасности.

Этап В: Архитектура бизнеса

На основании описания текущей бизнес-архитектуры организации определить целевую архитектуру, выполняется:

- Разработка стратегии информационной безопасности в соответствии с бизнес-целями и обязанностями организации

- Провести оценку рисков информационной безопасности в соответствии с методологией оценки рисков предприятия

- Расставить приоритеты в отношении рисков и убедится, что они соразмерны влиянию бизнеса

- Распределить обязанности по информационной безопасности во всей организации

- Распределить ответственность за информационную безопасность в соответствии с бизнес-ролями

- Определить обязанности по информационной безопасности для внешних сторон в договоре о взаимодействии

- Внедрить средства контроля информационной безопасности для обеспечения непрерывности обслуживания

- Обеспечить безопасность всех организаций, участвующих в цепочке создания стоимости бизнеса

- Учитывать интересы сотрудников при проектировании систем безопасности.

Этап С: Архитектура информационных систем

Целью этого этапа является разработка целевой информационной и прикладной архитектуры для поддержки информационной безопасности бизнес-архитектуры. Необходимо обеспечить:

- Стандартизацию данных, приложений, осуществить выбор стандартов и руководящих принципов информационной безопасности

- Идентификация и классификация ИТ-активов для определения требуемого уровня защиты

- Учет событий, оказывающих влияние на информационную безопасность, выявление несанкционированного поведения

- Моделирование угроз для ИТ-активов.

- Встраивание решений по информационной безопасности в жизненный цикл корпоративных информационных систем

- Внедрение безопасности на основе прозрачных, надежных и проверенных решений

- Оценка остаточных рисков информационной безопасности

- Обеспечение защиту конфиденциальных данных клиентов и сообществ

- Проверка средств защиты информации на соответствие национальным и международным стандартам.

Этап D: Техническая архитектура Цель этого этапа - разработать целевую техническую архитектуру для поддержки информационных и прикладных архитектур с учетом:

- Техническая архитектура должна быть доступной с учетом решений по резервированию, резервному копированию и другим непрерывным решениям. Применяются механизмы защиты, обнаружения и предотвращения атак типа «отказ в обслуживании»

- Техническая архитектура требует мониторинга для обнаружения любых инцидентов безопасности или сбоев в архитектуре. Регистрация приложений и системы, обнаружение вторжений и корреляции событий

- Применение механизмов шифрования при хранении и передаче, механизмов контроля целостности сообщений

- Внедрение решений по аутентификации, обеспечению единого входа и проверки идентичности по мере необходимости

- Установление наименьших привилегий устройствам

- Внедрение стандартов и безопасных протоколов, модульной/сервисной архитектуры

- Внедрение средств контроля информационной безопасности для обеспечения непрерывности обслуживания.

- Внедрение процессов для выявления и реагирования на злонамеренные или непреднамеренные нарушения информационной безопасности.

Этап Е: возможности и решения Оцениваются и отбираются различные реализации информационной безопасности для целевой архитектуры:

- Оценка вариантов архитектуры, профиля риска для сравнения и выбора: если две или более архитектуры тождественны по бизнес-целям, выбирается архитектура с наименьшим профилем риска

- Отказ от чрезмерного усложнения архитектуры безопасности. Проведение оценки рисков на деловом, информационном, прикладном и техническом уровнях в соответствии с методологией оценки рисков предприятия

- Установление приоритетов для рисков

- Разработка процесса обратной связи для включения подробностей инцидентов в оценки рисков

- Выбор средств контроля информационной безопасности.

Этап F: планирование миграции На этапе создается переходная архитектура перехода к целевым решениям. Для этого следует:

- Проверить, как изменения в архитектуре могут повлиять на организацию бизнеса

- Провести оценку рисков информационной безопасности в соответствии с методологией оценки рисков предприятия

- Участвовать в специальных и формализованных сетях обмена информацией

- Включить безопасность в качестве критерия выбора для оценки новых технологий для организации.

Этап G: Управление внедрением Ведется мониторинг изменений архитектуры:

- Убедиться, что архитектура безопасности реализована по мере необходимости

- Проводить регулярные проверки и тестирование, особенно во время переходных состояний в соответствии со стандартами, технические оценки, проверки кода и тесты на проникновение

- На основе инцидентов безопасности проводить анализ первопричин изменений.

Этап Н: Управление изменениями архитектуры

Определение необходимости дальнейших архитектурных изменений, начала цикла:

- Периодический обзор архитектуры безопасности, проверка уровня безопасности, определение области потенциальной слабости

- Исследование новых внешних угроз, методов атак и уязвимостей

- Мониторинг активности пользователей.

- Внедрение корпоративных процессов информационной безопасности

- Встраивание информационной безопасности в жизненный цикл корпоративных информационных систем

- Разработка и поддержка актуальной политики информационной безопасности

- Проверка средств защиты информации на соответствие национальным и международным стандартам

- Техническое исследование: слияние или приобретение.

Таким образом, архитектура безопасности - это структура организационных, концептуальных, логических и физических компонентов, которые согласованно взаимодействуют для достижения и поддержания состояния управляемого риска, соблюдение конфиденциальности. Компоненты архитектуры безопасности связаны с другими элементами архитектуры.

Бизнес-ориентированный подход является ключевым: в мотивационной модели используются бизнес-драйверы с оценкой рисков;

осуществляется целевое планирование мер безопасности. Корпоративная архитектура безопасности стремится согласовать меры безопасности с целями бизнеса. Это достигается путем определения взаимосвязей между компонентами на разных уровнях архитектуры, что обеспечивает прослеживаемость и обоснованность. Enterprise Security Architect обычно использует процессы ISM и ERM для разработки конечных результатов и взаимодействия с заинтересованными сторонами.

На рис. 6 представлен фрагмент модели безопасности и управления рисками на языке Archimate 3.0. Т.н. агенты угроз инициируют рисковые события с учетом наличия уязвимости для различных ИТ-активов. Риски контролируются согласно сформулированным драйверам рисков, предъявленным требованиям к информационной безопасности, на основе принципов и целей обеспечения информационной безопасности.

Подобная модель позволяет описать свойства отдельных элементов, провести анализ силы влияния выбираемых параметров на конечный результат - уровень безопасности, требуемый бюджет.

Implementation of control measure Рисунок 4 - Фрагмент модели безопасности и управления рисками

2. [Электронный pecypc]//T0GAF 9.2 URL: Литература https://www.opengroup.org/togaf (дата обращения

19.03.2019)

3. Ильина О. П. И46 Архитектура корпораций и

1. Рлеюртнвый ресурс]//АгсЫт^е 3 0 URL: информационных систем: учебное пособие / О. П.

httPs://www. archimatetool.com/ (дата обращения Ильина. - СПб. : Изд-во СПбГЭУ, 2015. - 119 с. 19.03.2019)