Проектирование
А.Н. Приезжая
ПРОЕКТИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
Процесс разработки информационной системы в защищенном исполнении требует трудоемкого анализа защищаемого объекта и разработки большого количества документации. В данной статье предлагается технология, основанная на автоматизированном преобразовании моделей, которая позволяет одновременно разрабатывать несколько представлений объекта, включая модели угроз и нарушителя и в автоматизированном режиме строить на их основе модель информационной системы в защищенном исполнении.
Ключевые слова: UML-модель, автоматизация, разработка автоматизированной системы, преобразование моделей, модель объекта.
В России существует огромное количество видов (категорий) информации, подлежащей защите (по некоторым оценкам до 30), и к каждому из них предъявляются свои требования по обеспечению безопасности1, кроме того в связи с развитием информационных технологий постоянно растет сложность систем обработки данных. В результате специалисты в области информационной безопасности сталкиваются с необходимостью защищать все более сложные системы в соответствии с разными, порой противоречивыми требованиями, и при этом сроки разработки СЗИ крайне ограничены. В связи со всем вышесказанным особую актуальность приобретает создание средств поддержки разработки защищенных систем.
Рассматриваемый метод автоматизированной разработки информационных систем в защищенном исполнении включает
© Приезжая А.Н., 2012
А.Н. Приезжая
в себя разработку нескольких взаимосвязанных формальных моделей объекта, предназначенных для автоматизированного преобразования. В рамках данной статьи процесс разработки информационных систем в защищенном исполнении рассматривается применительно к информационным системам обработки персональных данных.
В соответствии с ГОСТ Р 51583-20002 и ГОСТ 34.6013 разработка информационных систем в защищенном исполнении осуществляется следующим образом:
- формирование требований к информационной системе, в том числе обследование объекта защиты, определение факторов влияющих на информацию, разработка предварительных требований по защите информации;
- разработка концепции АС, в том числе формирование модели угроз информационной системы, определение принципов построения системы защиты;
- разработка технического задания на создание информационной системы в защищенном исполнении;
- разработка проектных решений (данная стадия может подразделяться на эскизное и техническое проектирование, разработку рабочей документации).
Далее следуют этапы по созданию и вводу в действие информационной системы в защищенном исполнении.
В данной статье рассматривается методика автоматизированного проектирования информационных систем в защищенном исполнении. Данная методика позволяет осуществлять разработку и документирование систем защиты информации в соответствии с ГОСТ 34 серии и нормативно-методическими документами ФСТЭК России и ФСБ России, регламентирующими обеспечение безопасности персональных данных и иной информации ограниченного доступа, не составляющей государственную тайну.
В соответствии с рассматриваемой методикой, проектирование информационных систем в защищенном исполнении осуществляется в несколько этапов:
- анализ информационной системы (определение актуальных угроз безопасности информационной системы и формирование требований к системе защиты информации);
- определение технического решения по защите информации (формирование модели защиты, определение состава применяемых средств и методов защиты);
- проверка решения на соответствие требованиям.
Проектирование информационных систем в защищенном исполнении
В процессе разработки информационной системы в защищенном исполнении формируется ряд прикладных моделей, характеризующих особенности конкретного объекта защиты (информационной системы). При формировании прикладных моделей используются базовые модели, содержащие структурированную информацию, в том числе описания угроз безопасности, возможностей нарушителя, средств защиты.
Рассматриваемая методика подразумевает автоматизированную разработку, т. е. формирование прикладных моделей средствами автоматизации на основании введенных данных. Вместе с тем предлагаемая методика подразумевает возможность корректировки полученных данных экспертом в области защиты информации, что позволяет обеспечить большую гибкость и адаптивность системы.
Рассмотрим процесс проектирования информационных систем в защищенном исполнении более детально.
Для определения необходимых и достаточных мер защиты информационных систем формируется модель угроз безопасности информационной системы. В ходе формирования модели угроз выявляется перечень угроз, актуальных для конкретной информационной системы. Модель угроз безопасности формируется на основе анализа объекта защиты - информационной системы.
При этом для определения перечня актуальных для конкретной информационной системы угроз безопасности необходимо провести анализ уязвимостей системы и возможностей нарушителя, т. е. сформировать прикладную модель нарушителя. При определении возможных атак необходимо учитывать, что атака, реализующая ту или иную угрозу, может происходить в несколько этапов, т. е. помимо защищаемых ресурсов должны быть определены потенциальные точки воздействия - элементы объекта защиты, посредством которых может быть проведена атака на защищаемую информацию.
Прикладная модель нарушителя в сочетании с прикладной моделью объекта определяет перечень возможных угроз безопасности информации; данный перечень может быть скорректирован экспертом в части уточнения потенциального ущерба и вероятности реализации угроз, после чего формируется перечень актуальных угроз безопасности - прикладная модель угроз.
Таким образом, в ходе анализа информационной системы должны быть сформированы следующие прикладные модели: модель объекта защиты; модель нарушителя; модель угроз.
А.Н. Приезжая
Подробное описание формирования вышеуказанных моделей дано в статье «Автоматизированное формирование модели угроз безопасности информационной системы»4.
На основе прикладной модели угроз формируются требования к защите рассматриваемой информационной системы. При формировании перечня требований к системе защиты используется следующее правило: «Каждой актуальной угрозе безопасности должно соответствовать как минимум одно требование к методу (средству) противодействия». Требования к системе защиты информации в свою очередь определяют состав применяемых средств и мер защиты, которые описываются прикладной моделью защиты. Модель защиты должна предлагать способ нейтрализации для всех актуальных способов доступа.
Рассмотрим формирование модели защиты. Для ее формирования используются следующие базовые модели:
- модель «Возможности средств защиты»;
- модель «Типовые решения»;
- модель «Обязательные средства защиты».
Базовая модель «Возможности средств защиты» описывает функциональные возможности средств защиты, в том числе для каждой возможности средств защиты, а также для каждого СрЗИ указываются иные параметры выбора, такие как стоимость и наличие сертификатов соответствия, недостатки (например, сложность администрирования).
В рамках данной статьи рассматривались следующие механизмы защиты:
организационные меры защиты; технические средства защиты:
средства защиты от утечки по техническим каналам; средства управления доступом; средства регистрации и учета; средства контроля целостности; средства межсетевого экранирования;
средства защиты от утечек и несанкционированного распространения информации;
средства обнаружения атак; средства анализа защищенности; средства криптографической защиты; средства антивирусной защиты; средства централизованного управления.
Проектирование информационных систем в защищенном исполнении
Структура базы данных, содержащей модель «Возможности средств защиты» приведена на рис. 1.
Рис 1. Структура базы данных «Возможности средств защиты»
Базовая модель «Типовые решения» описывает наборы технических средств и организационных мероприятий, достаточных для противодействия конкретной угрозе при условии ограничений. Подобный набор может быть сформирован как на основе нормативно-методических документов в области информационной безопасности (требований к классам защищенности), так и на основе предшествующего опыта. Модель «Типовые решения» используется для разработки прикладной модели «Средства защиты».
Структура базы данных, содержащей модель «Типовые решения», приведена на рис. 2.
При этом «Документ» определяет нормативно-методические, проектные решения, в соответствии с которыми это типовое решение сформировано, что позволяет эксперту дополнительно оценить его применимость в данном случае.
Также при формировании прикладной модели «Средства защиты» используется базовая модель «Обязательные средства защиты» (рис. 3), описывающая наборы технических средств
А.Н. Приезжая
Рис 2. Структура базы данных, содержащей модель «Типовые решения»
Рис 3. Структура базы данных, содержащей модель «Обязательные средства защиты»
и организационных мероприятий, рекомендованных для использования в нормативно-методических документах регуляторов в области информационной безопасности в системах, обрабатывающих определенные типы информации.
Собственно формирование прикладной модели защиты разбивается на следующие этапы:
- выбор средств защиты от актуальных угроз;
- встраивание средств защиты в структуру объекта защиты;
- проверка достаточности предложенных мер, разработка дополнительных рекомендаций по использованию средств защиты информации и организационных мер.
Проектирование информационных систем в защищенном исполнении
На основании прикладных моделей угроз и объекта защиты определяются защищаемые ресурсы и потенциальные точки воздействия (элементы объекта защиты, посредством которых может быть проведена атака на защищаемую информацию), для которых необходима реализация защиты. Для каждого ресурса и потенциальной точки воздействий автоматически определяется перечень подключаемых механизмов (средств) защиты, также при выборе средств защиты учитываются дополнительные параметры в зависимости от выставленного экспертом приоритета (например, минимальная стоимость решения или максимальная надежность используемых средств).
При встраивании средств защиты в структуру объекта защиты используется модель контуров защиты. При этом контур защиты определяется следующим образом:
Контур защиты объединяет один или несколько элементов объекта защиты.
В контуре защиты могут быть применены одно или несколько средств защиты, которые не позволяют нарушителю воспользоваться теми или иными каналами реализации угрозы или лишить его возможности реализовать другие возможности в отношении принадлежащих контуру элементов системы. Защитные возможности контура являются объединением возможностей средств, описанных в справочнике средств защиты (формируются автоматически на основе базовой модели).
Примерами контура защиты могут служить:
- контролируемая зона, лишающая внешнего нарушителя возможности физического доступа и использования ПЭМИН;
- организационные мероприятия, исключающие возможности сговора с внутренним нарушителем;
- АРМ с установленными средствами защиты от НСД;
- сеть с межсетевым экраном.
В процессе разработки контуров защиты эксперт имеет возможность производить автоматическую оценку актуальных угроз с учетом контуров защиты. Угрозы, реализуемые в условиях применения средств защиты, получаются аналогично перечню актуальных угроз безопасности информационной системы. Данная прикладная модель может быть использована в дальнейшем при сопровождении информационной системы, в том числе и для оценки защищенности информационной системы при ее модернизации.
Контуры защиты являются достаточно универсальным механизмом описания средств и мер по защите информации. Однако
А.Н. Приезжая
Рис 4. Структура прикладной модели защиты
в тех случаях, когда эксперт сочтет этот механизм неудобным, он может сформулировать свои рекомендации по защите от «угроз, реализуемых в условиях применения средств защиты», в свободной форме.
Проектирование информационных систем в защищенном исполнении
Подготовка рекомендаций по использованию средств защиты осуществляется в автоматическом режиме с использованием базовых моделей «Обязательные средства защиты» и «Типовые решения». При этом формируется общий список рекомендованных средств защиты, в котором для каждого средства указаны:
1) происхождение данного средства:
- типовое решение (с указанием списка названий типовых решений, рекомендующих использование данного средства);
- обязательное средство (со ссылкой на документы, предписывающие их применение);
- добавлено экспертом (с обоснованием данного средства);
2) информация о решениях эксперта и их обосновании:
- эксперт может отказаться от использования рекомендованного средства;
- заменить рекомендованное средство на аналогичное (того же типа), выбранное из справочника средств защиты;
3) информация об использовании данного средства. При этом возможно два варианта использования:
- средство может быть использовано в одном или нескольких контурах защиты;
- эксперт может дать рекомендации по применению данного средства в свободной форме.
Предлагаемые средства защиты включаются в прикладную модель объекта, формируя модель информационной системы в защищенном исполнении. На данном этапе проводится проверка достаточности предложенных средств защиты. Достаточность определяется на основании повторной генерации модели угроз: если предложенные средства защиты обеспечивают противодействие всем актуальным угрозам безопасности, генерация выдаст пустое множество атак, иначе требуется экспертное решение (например, переоценка ущерба, наносимого данной угрозой, или поиск альтернативного решения по защите).
По результатам построения модели защиты формируется перечень рекомендуемых мер и средств защиты.
При формировании прикладной модели «Средства защиты» используются следующие правила:
- для каждого требования должно быть предусмотрено средство защиты, его выполняющее;
- для каждой потенциальной точки воздействия должно быть предусмотрено средство защиты;
А.Н. Приезжая
Таблица
Описание алгоритма
Шаг Действие
Автоматическое формирование требований и рекомендаций по защите Подготовка рекомендаций по использованию средств защиты осуществляется в автоматическом режиме с использованием базовых моделей «Обязательные средства защиты» и «Типовые решения»
Корректировка рекомендаций экспертом Эксперт может: - отказаться от использования рекомендованного средства; - заменить рекомендованное средство на аналогичное, выбранное из справочника средств защиты; - добавить средство из справочника средств защиты. Во всех случаях эксперт должен привести обоснование принятого решения
Формирование контура(ов) защиты При встраивании средств защиты в структуру ОЗ используется модель контуров защиты: - контур защиты содержит один или несколько элементов ОЗ; - в контуре защиты может применено одно или несколько средств защиты, которые не позволяют нарушителю воспользоваться теми или иными каналами реализации угрозы или лишить его возможности реализовать те или иные возможности в отношении принадлежащих контуру элементов системы. Защитные возможности контура являются объединением возможностей средств, описанных в справочнике средств защиты (формируются автоматически)
Оценка реализуемых угроз при наличии контуров защиты и использовании типовых решений Производится автоматически
Обеспечена защита от всех актуальных угроз Если в результате оценки реализуемости угроз с учетом средств защиты выявлены актуальные угрозы, то процесс повторяется начиная с этапа 3.
Формирование отчета по принятым экспертом решениям и их обоснованиям Автоматически формируемый отчет содержит информацию о принятых экспертом решениях: - отказах от использования рекомендованного средства; - заменах рекомендованных средств на аналогичные; - использовании дополнительных средств защиты
Проектирование информационных систем в защищенном исполнении
- подтип угрозы наследует все средства и меры защиты, рекомендованные для угроз, расположенных выше по иерархии.
Описание алгоритма проектирования информационной системы в защищенном исполнении приведено в таблице.
Требования к системам защиты информации формулируются не только заказчиком, но и государственными регуляторами в сфере информационной безопасности. Одной из проверок реализованной прикладной модели защиты является проверка достаточности функциональных возможностей выбранных средств защиты для выполнения требований регуляторов, применяемых к данному классу систем (класс системы определяется в прикладной модели объекта на основании характеристик объекта и нормативно-методических документов проекта). Требования по составу и функциям средств защиты в соответствии с требованиями регуляторов фиксируются в модели «Обязательные средства», проверка осуществляется путем сравнения полученной модели с требованиями для данного класса.
Предложенный подход упрощает анализ системы, сокращает затраты времени на рутинные процедуры и снижает вероятность ошибки, иными словами, снижает финансовые и временные затраты на разработку защищенной системы, что позволяет существенно сократить сроки и стоимость разработки системы защиты информации, в том числе за счет автоматизированной генерации документов проекта на основании шаблонов, так как формализация описания как объекта защиты, средств защиты и иных значимых для проектирования системы защиты информации сущностей является неотъемлемой частью данного подхода. Задача генерации документов на основании моделей может быть осуществлена с использованием общепринятых подходов к генерации документов на основе элементов базы знаний.
Примечания
1 См.: Ефремов А. Понятие и виды конфиденциальной информации. [Электрон-
ный ресурс] // Новостной сайт «CNews». [М., 2007]. URL: http://www.rus-sianlaw.net/law/doc/a90.htm (дата обращения: 06.02.2012).
2 См.: ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизиро-
ванных систем в защищенном исполнении. Общие положения. [Электронный ресурс] [М., 2000]. URL: http://www.ispdn.narod.ru/gost2000.pdf (дата обращения: 06.02.2012).
А.Н. Приезжая
3 См.: ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадия создания». // Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. М.: Издательство стандартов, 2000.
4 См.: Приезжая А.Н. Автоматизированное формирование модели угроз безопас-
ности информационной системы // Вестник РГГУ. 2012. № 14/12. Сер. «Информатика. Защита информации. Математика». (в печати)