В.С. Зарубин,
С.В. Петрушков,
кандидат технических наук, ФГУ НИЦ «Охрана» доцент
А.Р. Фамильнов,
ФГУ НИЦ «Охрана»
ПРОБЛЕМЫ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ИНТЕГРИРОВАННЫХ СИСТЕМАХ БЕЗОПАСНОСТИ
PROTECTING INFORMATION PROBLEMS IN THE INTEGRATED SAFETY SYSTEM
Рассматриваются вопросы обеспечения безопасности информации в интегрированных системах безопасности (ИСБ), информационные технологии и разрабатываемые документы, необходимые для регламентации процесса работы пользователей в ИСБ. Формулируются проблемы защищённости информации в ИСБ.
The matters of information safety supplying in the integrated safety systems, information technologies and developed papers necessary for regulation working users process in the integrated safety systems are considered.
То обстоятельство, что возможности ИСБ в значительной степени определяются эффективностью реализации информационных процессов, связанных с накоплением, обработкой и выдачей информации, приводит к необходимости рассматривать в качестве доминирующего фактора, оказывающего влияние на качество функционирования этих систем, угрозы информационной безопасности.
В соответствии с существующей классификацией угрозы информационной безопасности принято делить на случайные (непреднамеренные) и умышленные (преднамеренные). Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации сети и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям ИСБ и, в свою очередь, подразделяются на активные и пассивные. Пассивные угрозы, как правило, направлены на несанкционированное использование информации, не оказывая при этом влияния на функционирование системы, например, попытка получения видеоданных, циркулирующей в каналах СОТ, посредством несанкционированного подключения к ним. Активные угрозы имеют цель нарушения нормального процесса функционирования ИСБ посредством целенаправленного воздействия на её аппаратные, программные и информационные ресурсы. К активным
угрозам относят, например, разрушение или радиоэлектронное подавление линий обмена данными, вывод из строя ПЭВМ, искажение сведений в информационных массивах, разрушение или искажение операционной системы (включая нарушения протоколов обмена информацией) и т.п. Источниками таких угроз могут быть непосредственные действия злоумышленников, программные воздействия и т.п.
Для обеспечения безопасности информации ИСБ необходимо согласованное применение разнородных мер защиты (юридических, организационных, технологических, программно-технических). Только в этом случае существует потенциальная возможность надёжно защитить информацию ИСБ от различных посягательств. Подобное сочетание этих мер для достижения надёжной защиты информации получило название «комплексного подхода к обеспечению безопасности информации». Несмотря на крайнюю актуальность проблемы комплексного подхода, его реализация на практике для защиты информации ИСБ затруднена в связи с существованием ряда объективных причин.
Для описания возникающих проблем рассмотрим основные мероприятия, производимые в рамках реализации комплексного подхода.
На этапе проведения обследования изучаются информационные технологии, принятые в ИСБ, и разрабатываются документы, необходимые для регламентации процесса работы пользователей в ИСБ (политика безопасности):
- описание технологии обработки данных в виде, позволяющем наглядно представить угрозы безопасности ИСБ;
- описание угроз безопасности с оценкой возможности их проявления (реализации) и возможного ущерба;
- порядок взаимодействия подразделений охраны для обеспечения безопасности функционирования ИСБ;
- рекомендации по совершенствованию механизмов защиты информации, существующих в ИСБ;
- организационно-распорядительные документы, регламентирующие деятельность пользователей и обслуживающего персонала ИСБ.
При разработке политики безопасности возникает проблема несоответствия динамики её изменений, происходящих в ИСБ. Для систем такого уровня сложности, как ИСБ, процесс информационного обследования и разработки организационнораспорядительных документов является достаточно длительным. Как правило, за время разработки этих документов состояние ИСБ изменяется: добавляются новые автоматизированные рабочие места, сетевое оборудование, изменяются структура сети и настройки сетевого оборудования), поэтому содержание документов не будет в полной мере соответствовать действительности.
Несоответствие между положениями политики безопасности и реальными настройками механизмов защиты ИСБ возникает из-за того, что изменения в ИСБ происходят значительно быстрее, чем разрабатываются и согласовываются любые документы.
Так как эти документы существуют отдельно от ИСБ, состояние которой они описывают, и связаны с ней только деятельностью сотрудников подразделений охраны, ответственных за защиту информации, поддержание актуальности этих документов представляет собой сложную задачу.
Отказаться вообще от разработки организационно-распорядительных документов нельзя, так как именно на основании этих документов разграничивается ответственность различных категорий должностных лиц по доступу к информации ИСБ. То есть именно этими документами определяется понятие «санкционированный доступ» и, как следствие, «несанкционированный доступ».
Снижение степени детализации разрабатываемых организационно-распорядительных документов (отказ от указания конкретных значений настроек для различного сетевого оборудования, автоматизированных рабочих мест ИСБ, полномочий пользователей, атрибутов управления доступом к информации) приводит к тому, что разработанные таким образом документы будут содержать лишь пожелания по защите информации, и на их основе невозможно разграничивать ответственность должностных лиц, имеющих доступ к информации ИСБ, а также осуществлять какой-либо контроль их деятельности.
Все указанные выше причины могут привести к тому, что разработанные организационно-распорядительные документы вместо решения возложенных на них задач будут мешать нормальному развитию и функционированию ИСБ. Реализация положений политики безопасности заключается в задании конкретных настроек сетевого оборудования, автоматизированных рабочих мест, полномочий и прав доступа пользователей для той или иной операционной среды, используемой в ИСБ. Задание этих настроек осуществляется, как правило, с использованием стандартных средств операционных сред либо специализированными средствами, призванными унифицировать управление доступом пользователей к ресурсам ИСБ.
Как показывает практика, воплощение замысла, описанного в организационно-распорядительных документах, затруднено в связи с наличием следующих основных проблем.
1. Проблемы взаимодействия различных подразделений, отвечающих за управление ИСБ. В крупных организациях существуют специальные подразделения и должностные лица, отвечающие за функционирование ИСБ и обеспечивающие их администрирование. По роду своей деятельности сотрудники этих подразделений обладают статусом привилегированных пользователей и зачастую имеют неограниченный доступ к ресурсам ИСБ. В силу специфики своей деятельности на эти лица возлагается решение задач по управлению пользователями ИСБ и настройками механизмов защиты информации в соответствующих операционных средах. Препятствие работе этих должностных лиц может повлечь за собой дезорганизацию работы всей ИСБ. Дублирование администраторской деятельности этих лиц специалистами по защите информации может привести к размыванию ответственности за управление системой, а отсутствие контроля за работой этих лиц — к потере управления ИСБ.
2. Проблема несоответствия уровня управления безопасностью в ИСБ и в используемых операционных средах. В ИСБ обычно используются различные операционные среды, для каждой из которых характерны свои наименования объектов и субъектов доступа, правила управления доступом, номенклатура настроек по управлению безопасностью.
Каждая операционная среда работает со своей моделью предметной области, в которой некоторому объекту предметной области сопоставляется объект из модели, например сотруднику — пользователь, подразделению — группа пользователей и т.д.
Для упрощения процессом управления безопасностью администратор оперирует объектами более высокого уровня, чем те, которые реализованы в существующих операционных средах. Это приводит к усложнению управления безопасностью в связи с тем, что преобразование «объект предметной области в объект модели» приходится выполнять должностным лицам, ответственным за обеспечение информационной безопасности.
3. Проблемы использования средств единого управления безопасностью. Для различных операционных сред существуют свои модели предметной области. Их согласование с целью организации единого управления полномочиями пользователей ИСБ
представляет собой трудоёмкую задачу, решение которой осложняется следующими факторами:
- предельно допустимым уровнем абстракции при описании объектов предметной области, используемым в ряде средств единого управления безопасностью. Для согласования моделей предметной области, существующих в различных операционных средах, разработчики средств единого управления безопасностью вынуждены вводить свой понятийный уровень. Это делает единое управление безопасностью трудным для понимания и практически невозможным для применения;
- многовариантностью назначения прав доступа к информации ИСБ. Одни и те же права доступа к информации могут быть определены как непосредственно для данного пользователя, так и для группы, в которую он входит. Кроме того, права доступа, например, к файлу могут быть заданы на уровне каталога или диска. Такая многовариантность затрудняет процесс управления доступом пользователей к ресурсам системы;
- наличием разнородных средств управления безопасностью. В любой операционной среде существуют собственные средства управления безопасностью (именами и полномочиями пользователей и их правами доступа к информации). Использование таких средств существенно затрудняет единое управление полномочиями пользователей в организации;
- отсутствием коллективного управления полномочиями пользователей. При наличии в ИСБ нескольких сервисов можно утверждать что средства единого управления окажутся в распоряжении только одного из этих сервисов. В этом случае контроль за использованием средств ИСБ и корректностью их настройки будет утерян, что может привести к непредсказуемым последствиям.
Контроль за соблюдением соответствия реального состояния защиты информации в ИСБ требованиям положений политики безопасности предполагает периодический сбор информации о значениях контролируемых настроек сетевого оборудования, компьютерных средств, прав доступа пользователей и т.д. и их сравнение с настройками, указанными в организационно-распорядительных документах. При обнаружении несоответствия возможна корректировка как прав доступа пользователя, так и положений этих документов.
ЛИТЕРАТУРА
1. Гайфулин В.В. Защищенность информации в интегрированных системах безопасности // Охрана. — 2009. — № 2. — С. 54 —55.
2. Проблемы организации защиты информации в интегрированных системах безопасности / В.С. Зарубин, В.В. Гайфулин, С.В. Петрушков, А.Р. Фамильнов // Информация и безопасность. — Воронеж: ВГТУ, 2009. — Вып. 1. — С. 95 — 98.
СВЕДЕНИЯ ОБ АВТОРАХ СТАТЬИ:
Зарубин Владимир Сергеевич. Начальник кафедры технических систем безопасности и связи. Кандидат технических наук, доцент.
Воронежский институт МВД России.
E-mail :[email protected]
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. (4732) 702-030.
Петрушков Сергей Васильевич. Начальник отдела ФГУ НИЦ «Охрана».
Научно-исследовательский центр «Охрана».
Россия, Московская область, г. Балашиха, мкр. ВНИИПО, 12. Тел. (495) 521-25-22.
Фамильнов Александр Рудольфович. Заместитель начальника отдела ФГУ НИЦ «Охрана».
Научно-исследовательский центр «Охрана».
Россия, Московская область, г. Балашиха, мкр. ВНИИПО, 12. Тел. (495) 521-25-22.
Zarubin Vladimir Sergeyevich. The chief of chair of technical systems of safety and communication. Candidate of technical sciences, assistant professor.
Voronezh Institute of the Ministry of the Interior of Russia.
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (4732) 702-030.
Petrushkov Sergey Vasilyevich. The chief of department FGU research centre “Protection”.
Research centre “Protection”.
Work address: Russia, Moscow region, Balashikha, microdistrict VNIIPO, 12.
Tel. (495) 521-25-22.
Familnov Alexander Rudolfovich. The deputy chief of department FGU research centre “Protection”.
Research centre “Protection”.
Work address: Russia, Moscow region, Balashikha, microdistrict VNIIPO, 12.
Tel. (495) 521-25-22.
Ключевые слова к статье: интегрированные системы безопасности; защита информации.
Keywords: the integrated systems of safety; information protection.
УДК 621.3