Методы проведения внутреннего контроля и самооценки защищенности информационных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.9:004.036

И. Е. СЫЧЕВА

Омский государственный технический университет

МЕТОДЫ ПРОВЕДЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ И САМООЦЕНКИ ЗАЩИЩЁННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

В статье рассматриваются вопросы и проблемы осуществления внутреннего контроля (аудита безопасности) и оценки защищенности информационных систем. Предложены модели и методы расчета уровня защищенности конфиденциальных сведений, обрабатываемых с помощью информационных систем, предложены порядок (стратегия) проведения внутреннего контроля, алгоритм оценки эффективности защитных мер и формы документального оформления результатов оценки. Разработанный инструментарий контроля и оценки позволяет устранить (смягчить) существующий конфликт интересов подразделений информатизации и безопасности организации.

Широкое внедрение информационных систем (далее — ИС), являющихся одним из компонентов информационной инфраструктуры и поддерживающих цели деятельности организации, привело к необходимости реализации решений по обеспечению информационной безопасности (далее — ИБ), построению и оценке эффективности1 подсистем защиты информации. Существенный рост рисков потерь (материальных, финансовых, моральных и других) от нарушения ИБ диктует необходимость использования обоснованных технико-экономических методов и средств, позволяющих количественно и качественно измерять уровень защищенности информационных систем и информационных технологий (далее — ИТ), а также оценивать экономическую эффективность затрат на ИБ.

Задачи обеспечения безопасности ИТ, как правило, не обладают свойством единственности решения. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для организации — разработать на основе точного прогноза, базирующегося на анализе и оценке рисков, политику (концепцию) безопасности и в соответствии с ней реализовать, эксплуатировать и совершенствовать применяемые защитные средства и механизмы.

Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень защищенности может снижаться. Это неминуемо ведет к возрастанию рисков нарушения И Б. Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие периодический внутренний контроль и самооценку эффективности используемых защитных средств, что станет основой для дальнейшего планирования работ по обеспечению ИБ в организации.

Необходимость текущего контроля и управления безопасностью обусловлена и тем, что ИС, функционирующая сама по себе, неизбежно теряет четко определенные формы: у ней появляются посторонние пользователи, информация на носителях устаревает, возникает ненужная информация и т. п.

Управление безопасностью в крупных организациях становится конфликтным процессом (рис. 1).

Конфликты происходят из-за пересечения интересов различных категорий должностных лиц, работающих с ИС организации. В крупных организациях можно выделить три категории должностных лиц, имеющие отношение к обеспечению безопасностью ИС:

. сотрудники подразделения информатизации (системные, сетевые администраторы, администраторы баз данных и т.д.);

. подразделения защиты информации или администраторы информационной безопасности;

. руководители структурных подразделений.

Сотрудники подразделения информатизации обслуживают коммуникационное оборудование, серверы баз данных, установленные операционные и прикладные системы. Их основная задача — обеспечение бесперебойного функционирования того оборудования и программного обеспечения, за которое они отвечают. Сотрудники подразделения информатизации обладают расширенным набором привилегий для выполнения своих обязанностей и заинтересованы в максимальном облегчении работы пользователя в ИС. Руководители структурных подразделений отвечают за решение функциональных задач и также придерживаются мнения о максимальном облегчении работы сотрудников, что обычно противоречит положениям политики безопасности организации и интересам владельца ИС. Такое противоречие и неточности в конфигурировании компонентов ИС можно выявить только в процессе контроля защищенности ИС.

Задачей внутреннего контроля защищенности (аудит безопасности) ИС, эксплуатирующихся в организации, является проверка состояния защиты конфиденциальной информации от внутренних и внешних угроз, атакже программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование ИС. Аудит безопасности И С подразумевает как документальный, так и инструментальный контроль состояния защищенности информации при ее сборе, обработке, хранении с использованием различных ИС.

Учитывая, что политики безопасности, разработанные в организациях, отражают подходы к обеспечению безопасности, как правило, в общем виде и

Подразделение информатизации

Подразделение или специалисты безопасности

Другие подразделения вспомогательной деятельности

_1~

Рис. 1. Конфликт интересов различных категорий должностных лиц

не содержат конкретных параметров настройки информационных систем, для проведения внутреннего контроля (самоконтроля) реализованной конфигурации хорошей практикой является разработка и утверждение в организации плана задиты или модели безопасности используемых информационных систем.

Конструирование модели безопасности для формирования подмножества контролируемых параметров и диапазонов значений зон их контроля на основе заданных требований к защищенности информационных систем становится актуальной задачей. Задача построения адекватных моделей безопасности усложняется тем, что системы и процессы защиты информации включают в себя не только технические аспекты, но и социально-экономические аспекты, подверженные повышенному влиянию случайных и даже труднопредсказуемых факторов.

К основным социально-экономическим факторам, влияющим на защищенность ИС, можно отнести следующие факторы.

. Человеческий фактор. Пользователи (и администраторы) системы часто являются ее слабейшим звеном. Имея легальные полномочия, они небрежно относятся к паролям, игнорируют средства защиты от вредоносного ПО, выставляют собственные ресурсы и секреты на всеобщее обозрение (часто неосознанно) и многое другое.

. Ошибки в программах. За много лет в программном обеспечении (системном и прикладном) было выявлено несметное число ошибок, связанных с безопасностью. Используя программистские просчеты или архитектурные зависимости, злоумышленникам удается манипулировать системой по своему усмотрению до момента выявления ошибки.

. Открытые двери. Многие компоненты программного обеспечения сконфигурированы в режиме полной или неполной безопасности. По умолчанию чаще всего принимается режим неполной безопасности, но обеспечивающий большую функциональность или производительность. Существует формула:

Безопасность = 1/1.072' Удобство - (1)

чем безопаснее система, тем труднее в ней работать пользователям.

Кроме того, трудность исследования вопросов обеспечения безопасности ИС усугубляется большой неопределенностью условий их функционирования.

С чего начать построение такой модели безопасности?

Основой для формирования набора показателей и построения модели безопасности являются приме-

няемые в ИС программно-технические средства и механизмы защиты информации. Поскольку ИС приобретаются и создаются для выполнения определенных функциональных задач, по экономическим причинам должны максимально использоваться уже имеющиеся в организации коммерческие продукты ИТ, такие как ОС, СУБД, компоненты прикладного программного обеспечения общего и специального назначения, а также аппаратные платформы. Меры безопасности, реализованные в ИС, должны максимально использовать функции, уже имеющиеся во включаемых продуктах ИТ. Если же требования по безопасности не удается выполнить с использованием основных защитных механизмов, тогда необходимо применение дополнительных средств защиты информации, таких как программно-аппаратные СЗИ от НСД, СКЗИ или специализированные уги-литы поддержания целос тности ПО и другие средства защиты.

Таким образом, в начале осуществляется анализ структуры ИС и выделяются компоненты, для которых формируются частные модели безопасности. Модели безопасности, выполненные с использованием терминологии и конструкций руководящего документа ФСТЭК России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий » (ГОСТ Р ИСО/МЭК 15408-2002), включают в себя функциональные требования безопасности и требования доверия к безопасности, зависящие от конфиденциальности информации и стратегии защиты. Кроме того, модель безопасности напрямую должна зависеть от ценности (значимости) информации, обрабатываемой в ИС и подлежащей защите.

В общем виде модель безопасности включает в себя формализованное описание (см. выражение 2): характерных угроз безопасности, которым должны противостоять компоненты ИС 1уп„ политики, осуществление которой должно быть обеспечено механизмами безопасности компонентов ИС 1ПИГ>, предположений безопасности относительно использования 'пред и Челей безопасности, соответствующих компонентам ИС 1ЦЕЛИ, частных моделей защиты, учитывающих внутренние и межуровневые зависимости функций безопасности компонентов ИС 1ллм и соответствующие уровням управления и контроля И С 1ЧМ,ИТ.Д.

-I-- \ГР и 'пИБ и 1пРЕД 'ими ^ЧМ"-

Частная модель безопасности для составных компонентов ИС представляет собой базу знаний о функциональных требованиях безопасности, предъявляемых к рассматриваемому компоненту ИС. В мо-

дель безопасности включены зависимости каждого функционального требования (показателя), Зависимые показатели должны выполняться преимущественно на одном уровне структуры ИС, т.е. зависимости должны быть удовлетворены на соответствующем уровне ОС, СУБД, сетевых сервисов, прикладного ПО. Кроме функциональных требований безопасности, в частных моделях безопасности выделены роли задействованного персонала организации с целью определения зон управления (администрирования) и ответственности, отслеживания влияния человеческого фактора на реализацию функций безопасности на каждом уровне управления и контроля. Структура частной модели безопасности компонента ИС представлена на рис. 2.

Для полного охвата показателей в общей модели безопасности ИС кроме частных моделей безопасности составных компонентов учитываются показатели, влияющие на доверие к безопасности, В терминах ГОСТ Р ИСО/МЭК 15408 такие показатели определены как требования доверия и включены в профили защиты ИТ-продуктов как оценочные уровни доверия (ОУД). ОУД имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего. В общую модель безопасности ИС добавлен уровень, который отражает выполнение требований доверия к работоспособности функций безопасности.

Данный уровень отражает требования к защищенности ИС в целом, включает в себя организационные меры защиты и отражает полноту документа-ционного обеспечения (эксплуатационной документацией и распорядительными документами) функционирования ИС, включая описание взаимодействия с внешними системами.

Декомпозиция общей модели безопасности ИС, реализованной по технологии клиент-сервер на уровни управления и контроля, показана на рис. 3. В зависимости от структуры составные компоненты ИС и уровни управления могут меняться. Например, если в состав ИС включены дополнительные программно-аппаратные средства защиты от НСД (Secret Net, Dallas Lock, Аккорд и др.) или средства криптографической защиты информации, тогда необходимо выделять дополнительные уровни управления и контроля, т.к. добавляются как функции безопасности, так и управляющий персонал (администратор СЗИ от НСД или СКЗИ).

Основным критерием деления на указанные уровни является то, что каждый уровень может быть функционально независимым и может являться отдельным объектом контроля защищенности ИС. Кроме того, каждый перечисленный уровень управляется (администрируется) разными ответственными лицами (администратор ОС, администратор СУБД, администратор ЛВС, прикладной администратор, администратор информационной безопасности ИС и т.д.), являющимися сотрудниками различных подразделений организации. Деление на вышеперечисленные уровни дает возможность осуществлять контроль защищенности по зонам ответственности и позволяет разделить этапы принятия решений для совершенствования защитных средств и рацио-нального построения контуров защиты.

Поскольку информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи, то наиболее часто задаваемым вопросом руководителей высшего звена организации к специалистам по ИТ и ИБ является вопрос: "Насколько защищена наша информационная система?". Повы-

Компонент ИС

Показатель - ФТБ

Класс безопасности (FAU, FCS, F1A..J

Семейство

Показатель -требование доверия

тп

Класс доверия (АРУ, AG D, AT А...)

Семейство

Зависимости показателей

Внутренние зависимости

Межуровневые зависимости

Управление компонентом ИС

Элемент

Элемент

П4

П; Пс

П. nN

П;„

Пы

П,; П

Пм

1Ш

Рис. 2. Структура частной модели безопасности компонента ИС

Конкретная ИС

1 Встроенные функции безопасности серверной ОС - частная модель защиты СОС Управление серверной ОС -администратор СОС

2 Встроенные функции безопасности используемой СУБД - частная модель защиты СУБД Управление СУБД -администратор СОС и администратор СУБД

3. Функции безопасности, реализованные на уровне коммуникаций - частная модель защиты ЛВС Управление ЛВС -администратор ЛВС

4. Встроенные функции безопасности клиентской ОС - частная модель защиты КОС ----- Управление КОС -администратор КОС

5. Функции безопасности, реализованные на уровне прикладного ПО - частная модель защиты ППО Управление ППО -прикладной администратор и,1и разработчик

6 Организационные меры защиты и документационное обеспечение - частная модель защиты ДИС Управление ДИС -АИБ ИС (или ответственное лицо)

N. Функции безопасности СЗИ от НСД или СКЗИ -частная модель защиты СЗИ Управление СЗ -администратор средства зашиты

Рис. 3. Структура общей модели безопасности ИС

сить свою уверенность в мера* безопасности ИС возможно с помощью осуществления регулярного контроля и анализа защищенности применяемых продуктов или систем ИТ, т.е. проведения самооценки защищенности используемых ИС.

Оценка защищенности позволяет количественно выразить качество функционирования защитных средств и поддерживает процессы осознания, руководства и управления информационной безопасностью. Процессы осознания, руководства и управления информационной безопасностью в организации должны стать частью общей деятельности, курироваться высшим руководством и должны быть ориентированными на содействие целям деятельности через обеспечение защищенности информационной сферы.

Разработанный метод оценки защищенности ИС позволяет учитывать следующие особенности ИС:

• преимущественно качественный характер показателей, учитываемых при анализе защищенности ИС;

. необходимость учета большого числа показателей или требований безопасности;

. сложная опосредствованная взаимосвязь показателей качества защиты с показателями качества ИС;

. различная важность выполнения требований безопасности, предъявляемых к ИС;

. существенная взаимосвязь и взаимозависимость показателей различных продуктов ИТ, входящих в ИС;

. трудность получения исходных данных, необходимых для решения задач контроля, анализа и оценки защищенности (большое количество источников данных).

При оценке защищенности считается, что если в рассматриваемой ИС обеспечены все функции безопасности, входящие в ее общую модель безопасности, то ИС находится в защищенном состоянии и обеспечен требуемый (заданный) уровень защиты информации в системе, т.е. уровень защищенности

ИС соответствует требуемому уровню по нормативным документам. При проведении текущего контроля защищенности ИС может оказаться, что некоторые показатели защищенности не выполняются или выполняются не в полной мере. Для расчета отклонений от требуемого уровня защищенности построена модель, позволяющая оценить текущий или реализованный уровень защищенности ИС.

В основу оценки защищенности положены исходные данные, представленные в виде базы знаний, заполненной в процессе проведения внутренней проверки ИС специалистами по безопасности организации. Поскольку в рассматриваемой модели показателем является выполнение требуемых функций безопасности, то для определения важности показателей предлагается руководствоваться приоритетами политики информационной безопасности, принятой в организации.

Например, распространенной практикой является распределение приоритетов политики ИБ конкрет-ной организации в соответствии с табл. 1.

После ранжирования классов или показателей по важности для каждого показателя модели определяются весовые коэффициенты и производится их нормирование. Определение весовых коэффициентов А± для каждого ¡-го класса или показателя производится по формуле

M

(3)

где М — число классов или показателей, X А, ~1.

Далее для показателей, имеющих прямую зависимость, производится расчет их значений по формуле

. 1АЛ,

" 1А, '

где А, - весовые коэффициенты соответствующего Ьго показателя, Х() —результаты выполнения показателей, входящих в зависимость.

(4)

ь ИС организации, обрабатывающие информацию ТКСиСС, передающие информацию

о S С содержащую государственную тайну ограниченного распространения служебную (или внутреннюю) открытую технологическую и управляющую внешних организаций

1 конфиденциальность целостность доступность целостность гарантирован-ность доставки целостность

2 целостность конфиденциальность целостность доступность целостность доступность

3 доступность доступность конфиденциальность конфиденциальность' конфиденциальность'

Таблица 2

Номер класса (ранг) Класс безопасности Количество показателей, N Обобщенный показатель, Ху

СОС, J = 1 СУБД, J = 2 ABC, J = 3 КОС, J = 4 ППО, J = 5 ДИС, J=6

1 FCS 4 х,, X,a X,, . XM X,.s X,,

2 FTP 2 X», X42 Х-Д, X-J.5 XM

3 ИА 12 Х„ X,2 Хы XM X,„

-1 FPR 2 х,., x,2 x„ x„ X« X,„

5 FDP 7 X.,, Xi3 Xs, X,5 xä.

6 FAU 11 Х,„ X,,, X,« X«

7 FMT 11 X,, X,, X7J X7, x,. X,„

8 ГРТ 13 Х„, X,., X„, Xfl.i X,15 X,,

9 FRU 2 XiU X.,, ХЯЛ X,,., X,Aä X.«

10 FTA 7 XlO.I Xio.2 X,o Х|0,1 Xjo.i Хюл,

И Доверие 18 - — ... X||.B

Итого показателей 89 41 35 48 26 52 18

Аддитивный показатель по уровням, X xl

Важность уровней, А, А, = 0,2 Aj = 0,2 A3 = 0,2 A, = 0,15 A5 = 0,15 A,, = 0,1

Итоговая оценка ß =

защищенности определяется выражением

_ т _

0 = £А,Х);0<0>1 , (7)

т

где = А] - важность выполнения

требований на]-ом уровне.

В табл. 2 представлена модель для оценки защищенности ИС, построенной по технологии клиент-сервер.

На практике часто итоговую оценку защищенности ИС удобно иметь в балльной оценке. Для балльных оценок вводится эталонная шкала, т.е. такая шкала, в которой выражается аддитивный признак.

В случае, когда рассчитывается показатель, имеющий выборочную зависимость, используется формула

Хм=шах[А,Х„;АтХт1)]. (5)

Для решения задачи оценки защищенности ИС выбран метод результирующего показателя, в соответствии с которым определяется аддитивный пока-2 ! затель на каждом уровне контроля и управления (Л).

Х^Хал^Х^Ь (6)

к = 1

п

где 0<А>1;^Ак=1, Ак - весовой коэффициент

к=1

важности классов безопасности. Итоговая оценка

Интервальная оценка, О Балльная оценка, В Лингвистическая оценка

0,9 - 1,0 5 — отлично Полностью удовлетворяет требованиям. Все зависимости функций безопасности соблюдены и выполнены. Выполнение требований согласовано между компонентами ИС и описано в документации

0,7 - 0,9 4 — хорошо Почти удовлетворяет требованиям. Все зависимости функций безопасности соблюдены и выполнены, но различными компонентами ИС, согласование между компонентами не описано в документации.

0,5 - 0,7 3 — удовлетворительно Удовлетворяет требование в основном. Основные требования выполнены, не все зависимое ш учтены и выполнены.

0,3 - 0.5 2 — неудовлетворительно Не удовлетворяет требованиям Требования разрозненны, выполнены не все основные требование.

0 - 0,3 1 — весьма неудовлетворительно Полиостью не удовлетворяет требованиям. Требования разрозненны, не выполнено большинство основных требований.

Поскольку итоговая оценка защищенности представлена в шкале от 0 до 1 (0«Э>1), то сформирована шкала соответствия О-В. Образец наиболее распространенной 5-балльной шкалы и лингвистическая оценка выполнения требований ИБ приведены в таблице 3.

Выработка стратегии проведения внутреннего контроля и осуществление оценки защищенности на основе документированных моделей и методов устраняет существующий конфликт интересов служб информатизации и безопасности организации (см. выражение 1).

Особенностью выбранной системы самооценки является возможность ее использования для обработки исходной экспертной информации, а также для представления данной информации в интерпретированном виде, выраженном нетехническим языком и пригодном для принятия взвешенных решений руководителями сколь угодно высокого ранга.

Основные результаты работы получены с использованием теорий классической (двузначной) логики, булевой алгебры и нечеткой логики и являются сочетанием известных методов. Рассмотрены методология, алгоритмы и подходы к решению многокритериальных задач синтеза моделей контроля, анализа и оценки защищенности, построенных на основе экспертной информации при нечеткой формулировке предпочтений показателей защищенности (силы функций безопасности) или их важности.

Основным результатом работы является инструментарий для осуществления внутреннего контроля и самооценки защищенности ИС, который включает в себя следующие компоненты:

— политика информационной безопасности организации для ИС, обрабатывающих конфиденциальные сведения;

— частные модели безопасности компонентов и общая модель безопасности ИС или подмножества контролируемых параметров, влияющих на ее защищенность;

— порядок проведения самоконтроля защищенности на основе общей модели безопасности ИС;

— модель и алгоритм самооценки текущего уровня защищенности ИС;

— документальное оформление результатов внутреннего контроля, анализа и оценки защищенности ИС.

Разработанный инструментарий понятен и доступен для применения сотрудниками, не имеющими специальной подготовки по информационной безопасности, и может многократно использоваться внутри организации для самоконтроля, самооценки и поддержания уровня защищенности информационной сферы организации.

Примечания

1 Эффективность: связь между достигнутым результатом и использованными ресурсами (ГОСТ Р ИСО 9000). Под эффективностью систем защиты надо понимать эффективность их использования в качестве активного средства в обеспечении конфиденциальности, целостности и доступности информации в процессах ее обработки, передачи и хранения,

2 Конфиденциальность вне организации.

3 Конфиденциальность обеспечивается в основном соответствующими приложениями (абонентский уровень), в отдельных случаях обеспечивается в системе передачи данных (сетевой уровень) или в канале связи (канальный уровень).

< Если конфиденциальность информации определена внешними организациями.

СЫЧЁВАИрина Евгеньевна, аспирант кафедры СС и ИБ РТФ (заочная форма обучения), ведущий инженер отдела технической защиты информации управления безопасности и защиты информации главного управления Центрального банка Российской Федерации по Омской области.

Статья поступила в редакцию 27.10.06. © Сычёва И. Е.