Go back to Main page... Возврат на Главную страничку...
Московский Государственный Университет им. Ломоносова
Факультет Вычислительной Математики и Кибернетики
Кафедра Автоматизации Систем Вычислительных Комплексов



Курсовая работа
"Автоматизация проектирования систем управления безопасностью информационных технологий"

студента 321 группы Майданского И.С.
Научный руководитель проф. Сухомлин В.А.



Москва 1997

Содержание

  1. Введение
  2. Методические основы проектирования СУБ ИТ
    1. Этапы жизненного цикла СУБ ИТ
    2. Методы анализа риска
    3. Поэтапное создание многоуровневой СУБ
  3. Автоматизация процесса управления безопасностью
    1. Требования к соответствующим программным инструментам
    2. Возможности предлагаемого программного инструмента
    3. Описание интерфейса программы
    4. Типовые каталоги
  4. Заключение
  5. Литература

1. Введение

Целью данной работы являлось исследование принципов автоматизации проектирования систем управления безопасностью информационных технологий (СУБ ИТ) в масштабе организации.

Назначением СУБ ИТ является защита информации и других ресурсов ИТ от несанкционированного доступа к ним, а также обеспечение целостности ресурсов ИТ и данных (защищенности от разрушения в результате случайных или преднамеренных действий и функциональной устойчивости системы и данных). Наличие потенциальной опасности случайных или умышленных воздействий на информационно-вычислительные ресурсы организации, в результате чего возможны катастрофические последствия и крупномасштабный ущерб, ставят проблему создания СУБ ИТ в ряд актуальных научно-производственных и организационных задач.

Однако разработка подобных высокоэффективных СУБ под конкретные защищаемые ресурсы является сложной технологической задачей, требующей крупных материальных и временных ресурсов, а также трудозатрат со стороны большого количества высококвалифицированных экспертов в области защиты ИТ. Применение систем автоматизации проектирования (САПР) СУБ ИТ позволяет значительно облегчить данную задачу, а в некоторых случая - обойтись без помощи высококвалифицированных экспертов.

В представленном материале отражены результаты теоретической проработки проблем автоматизированного проектирования СУБ ИТ, а также результаты практического применения САПР в данной области.

2. Методические основы проектирования СУБ ИТ

В данном разделе изложены методические основы проектирования СУБ ИТ, разработанные в соответствии с рекомендациями, изложенными в техническом отчете ISO #13335. В частности, рассмотрены следующие методические аспекты:

2.1. Этапы жизненного цикла СУБ ИТ

На основе анализа модели процесса управления безопасностью ИТ можно выделить следующие основные этапы жизненного цикла СУБ ИТ:

  • Разработка спецификаций требований к СУБ ИТ (в форме целей, стратегии и политики безопасности ИТ);
  • Разработка методики проектирования СУБ ИТ в целом и ее компонент (стратегии применения методов анализа риска);
  • Проектирование СУБ ИТ и ее компонент на основе последовательного применения методов анализа риска;
  • Реализация защитных средств СУБ ИТ и их интеграция в целостную систему;
  • Аттестационное тестирование защитных средств на соответствие требованиям политики безопасности;
  • Аттестационные испытания объектов информатизации (ИТ) и сертификация средств СУБ ИТ;
  • Использование и сопровождение (продолжающаяся разработка) средств СУБ ИТ.

Ниже предложены методические основы проектирования СУБ ИТ, охватывающие наиболее важные начальные второй и третий этапы построения системы.

2.2. Методы анализа риска

Определение состава и спецификаций средств СУБ ИТ осуществляется посредством применения специализированных методов анализа и оценки исходных данных для проектирования СУБ ИТ. Такие методы называются методами анализа риска. По существу, они составляют методическую основу систематического проектирования средств защиты информации, удовлетворяющих требованиям, определенным в корпоративной политике безопасности ИТ.

Различают следующие методы анализа риска:

  • базовый (основной) метод;
  • экспертный или неформальный метод;
  • детальный анализ;
  • комбинированный метод.

Основное различие между указанными выше методами характеризуется глубиной проведения анализа исходных данных. Ниже рассматриваются две наиболее важные стратегии анализа.

Базовый метод. В качестве начального варианта создания СУБ ИТ, может применяться, так называемый, базовый (основной) метод анализа риска, суть которого состоит в использовании некоторого унифицированного набора требований к безопасности для всех систем (подсистем) ИТ одновременно. Средства защиты (СЗ), определяемые посредством базового метода, как правило, реализуются с помощью штатных средств защиты информации, предоставляемых общесистемным программным обеспечением, а также соответствующими продуктами, предоставляемыми специализированными организациями и специфицируемыми в специальных каталогах. Преимущество данного подхода состоит в минимальных затратах стоимостных и временных ресурсов на проектирование средств СУБ ИТ. Недостаток данного метода состоит в том, что, если уровень требований к средствам защиты информации для отдельных систем ИТ достаточно высок, то для одних систем он может оказаться чрезмерно завышенным, а для других - слишком низким, в том числе для систем, подверженных наибольшему риску.

Детальный анализ. Данный метод предполагает систематический анализ исходных данных для всех систем (подсистем) ИТ конкретной организации с целью оценки риска нарушения свойств безопасности ИТ и обоснованного выбора средств защиты, соответствующих заданным требованиям. Преимущество данного метода состоит в том, что он позволяет на основе системного подхода, всестороннего анализа исходных данных и требований, дифференцированно для каждой из систем осуществить выбор требуемых средств СУБ ИТ. Кроме этого, полученные с помощью данного метода результаты существенно облегчают сопровождение и модернизацию СУБ ИТ. Основным недостатком этого подхода является его ресурсоемкость, и, как следствие, высокая цена реализации на практике. Он требует максимальных затрат времени и усилий.

Как правило, на практике применяется сочетание двух или большего числа методов риска в некоторой заданной комбинации, определенной и обоснованной в соответствующем документе - методике проектирования средств защиты информации, называемой стратегией анализа риска. Целью данного документа является достижение баланса между функциональными, стоимостными и временными показателями проектируемой СУБ ИТ.

2.3. Поэтапное создание многоуровневой СУБ

Основной задачей проектирования средств СУБ ИТ является процесс оценки риска реализации некоторой угрозы для каждой из систем ИТ, осуществляемый на основе некоторой стратегии анализа.

В данном разделе предлагается некоторая комбинированная стратегия анализа риска, ориентированная на поэтапное проектирование средств защиты информации для структурно и организационно сложных объектов информатизации со значительным диапазоном требований к уровню защиты различных систем ИТ.

В предлагаемой стратегии сочетаются достоинства как, базового метода анализа риска, так и метода, построенного на детальной оценке риска.

Основная идея данного подхода состоит в следующем:

  1. первоначально осуществляется классификация систем ИТ по уровням риска и, на основе этой классификации, выделение систем, наиболее значимых (ценных) для выполнения целевых задач организации;
  2. для систем ИТ с наивысшей степенью риска применяется метод детального анализа, обеспечивающий системность и полноту рассмотрения требований, позволяющий конструировать систему средств защиты информации с учетом характерных особенностей систем ИТ и требований к ним;
  3. для всех остальных ИТ применяется базовый метод, с помощью которого выбираются унифицированные примитивы защиты ИТ для всех систем данного класса, при этом минимизируются затраты ресурсов и времени на ввод в работу средств СУБ ИТ для указанного класса систем ИТ;
  4. после ввода в эксплуатацию разработанных на основе данной стратегии средств СУБ ИТ, осуществляется поэтапная модернизация СУБ ИТ последовательным охватом методом детального анализа все большего числа степеней риска для классов систем ИТ;
  5. конечной целью данной стратегии является построение итеративным способом полной системы средств СУБ ИТ, спроектированных на основе метода детального анализа риска, примененного для каждой системы (подсистемы) ИТ организации.

Как указывалось выше, детальный анализ риска является основой всего процесса создания СУБ ИТ. Суть детального анализа риска состоит в идентификации и количественной оценки последствий нежелательных событий, а также оценки вероятности их проявления. Оценка последствий конкретного события определяется из стоимости (степени важности) подвергаемых риску ресурсов, степени серьезности угроз и характеристик соответствующих уязвимых мест.

Вероятность проявления события зависит от того, насколько привлекательными для потенциального злоумышленника являются требующие защиты ресурсы, насколько просто они могут быть обращены во что-нибудь менее ценное, а также от того, какова вероятность появления угрозы, какова легкость использования уязвимых мест злоумышленником.

Результаты анализа риска являются основной информацией, необходимой для определения и выбора средств СУБ ИТ, способных уменьшить уровень риска до некоторого приемлемого значения.

Существуют различные (в том числе и по производительности) методы проведения анализа риска для систем ИТ: от подходов, основанных на списках проверки, до методологии структурного анализа. Возможно использование как ручных методов, так и применение специализированных пакетов для автоматизации процедуры анализа риска. Однако, вне зависимости от используемых методов детального анализа риска для систем ИТ по существу все методы этого класса содержат следующий необходимый набор шагов:

  1. Определение границ системы;
  2. Идентификация защищаемых ресурсов;
  3. Оценка ценности ресурсов и определение взаимосвязи между ними;
  4. Идентификация применяемых средств защиты;
  5. Оценка уязвимых мест системы;
  6. Оценка угроз;
  7. Определение меры риска;
  8. Выбор средств защиты;
  9. Идентификация ограничений;
  10. Оценка допустимости остаточного риска;
  11. Спецификация политики безопасности систем ИТ;
  12. Определение плана по безопасности ИТ.

Детальное описание каждого шага выходит за рамки данной статьи. Далее описываются только те аспекты создания СУБ ИТ, которые связаны с идеей автоматизации проектирования последней.

3. Автоматизация процесса управления безопасностью

Как уже отмечалось ранее, в силу многих факторов процесс проектирования СУБ ИТ является сложной технической задачей, решить которую, большинстве случаев, способна только группа высококвалифицированных экспертов, специализирующихся в области защиты ИТ. Кроме того, даже такой группе экспертов требуется большое количество времени (от нескольких месяцев до одного года) для решения поставленной задачи. Для организации, которой необходима данная СУБ, подобные материальные и временные затраты могут оказаться выше ее возможностей.

В данном случае большую помощь разработчикам (как организации, так и экспертам) СУБ ИТ могут оказать системы автоматизации проектирования (САПР) СУБ. Данные системы берут на себя часть функций по описанию компонент системы, по перечислению возможных угроз, уязвимых мест, по оценке риска, по выбору адекватных СЗ, а также по контролю принимаемых решений. Применение подобных САПР позволит организации значительно сократить время и материальные ресурсы, необходимые для создания СУБ ИТ, а в некоторых случаях провести проектирование системы защиты своими силами.

Ниже приводится перечень требований к САПР СУБ ИТ, а также описание предлагаемой программы, реализующей функции такой САПР, и порядок ее применения.

3.1. Требования к соответствующим программным инструментам

Существует ряд требований к САПР СУБ ИТ, анализ которых позволяет оценить ее качество, т.е. показатель отношения трудозатрат на создание конкретной СУБ с использованием САПР к трудозатратам без ее использования. По данной оценке организация может определить наиболее подходящий для конкретной системы ИТ инструмент ее проектирования. При правильном выборе САПР можно добиться значительного сокращения средств, необходимых для реализации СУБ.

Основными требованиями к САПР СУБ ИТ являются:

  1. Поддержка иерархических моделей СУБ ИТ, т.е. возможность проектирования системы путем ее постепенной детализации (нисходящее проектирование), а также проектирование системы после окончания проектирования ее компонент (восходящее проектирование);
  2. Поддержка всех фаз жизненного цикла СУБ, а именно фаз описания стратегии и целей безопасности, описания защищаемых ресурсов, оценки ценности ресурсов и определения взаимосвязи между ними, идентификации уже установленных и применяемых средств защиты, оценки уязвимых мест системы, оценки угроз, определения меры риска, выбора средств защиты, оценки допустимости остаточного риска, спецификации политики и плана безопасности, и фазы использования (продолжающейся разработки) СУБ;
  3. Наглядность пользовательского интерфейса - интерфейса, разработанного в соответствии с существующими на данный момент стандартами на графический интерфейс САПР с пользователем (интерфейс должен предоставлять пользователю возможность удобного просмотра проектируемой системы и легкой манипуляции и пополнения информации о системе);
  4. Поддержка наиболее распространенных форматов хранения проектов (данное требование позволяет производить импорт в данную САПР и экспорт из нее проектов, а также совместное использование нескольких САПР для более полного охвата автоматизируемых функций проектирования);
  5. Возможность комплексной оценки риска, т.е. оценки риска для системы ИТ исходя из оценок риска для ее подсистем (компонент) и из оценки возможных угроз и наличия уязвимых мест по заданному критерию;
  6. Автоматическое принятие решений по использованию необходимых СЗ (по проведенной комплексной оценке риска и учитывая допустимый остаточный риск);
  7. Возможность использования готовых решений по детализации системы ИТ, по наличию тех или иных уязвимых мест у системы, по определению требуемых базовых СЗ;
  8. Большое количество заготовленных каталогов типов угроз, уязвимых мест и компонент системы, а также каталогов СЗ (для наиболее оптимального выбора готовых решений по проектированию);
  9. Автоматическое документирование СУБ ИТ (автоматическая генерация политики, плана безопасности и различных отчетов по системе защиты);
  10. Поддержка больших проектов, т.е. способность САПР проектировать СУБ для больших систем ИТ в крупных организациях;
  11. Возможность пересмотра решений во время использования системы защиты (по причине постоянного развития защищаемой системы ИТ и появления новых угроз).

3.2. Возможности предлагаемого программного инструмента

Предлагаемый в данной работе программный инструмент "System Designer" является САПР широкого класса систем, в том числе и САПР СУБ ИТ. Настройка данной САПР на конкретную область ее применения осуществляется путем замены ее типовых каталогов.

Так как данный программный инструмент является демонстрационной программой, то поддерживаемый им набор функций минимален. Однако, как САПР СУБ ИТ, программный инструмент удовлетворяет требованиям, перечисленным выше, почти в полном объеме. Возможности данной САПР следующие:

  • хранение проекта осуществляется в текстовом (ASCII) виде и имеет простой иерархический формат, что позволяет легко манипулировать созданными проектами и просматривать их без использования данной программы;
  • использование готовых решений осуществляется путем простого переноса компонент (свойств) из типовых каталогов САПР непосредственно в проект;
  • существует возможность дополнения типовых каталогов САПР новой информацией;
  • программа предлагает стандартный для операционной системы "Windows NT" пользовательский графический интерфейс и использует все его возможности.

3.3. Описание интерфейса программы

Программа обладает простым и понятным пользовательским интерфейсом, благодаря чему возможно эффективное проектирование СУБ ИТ. Интерфейс представлен следующими элементами: главным управляющим окном (со встроенной системой меню) и дочерними окнами проектов.

Система меню на верхнем уровне представлена строкой "File Edit Data Help". Ниспадающее подменю "File" позволяет создавать ("New"), открывать ("Open"), сохранять ("Save") и закрывать ("Close") проекты, а также завершить работу с САПР ("Exit"). Подменю "Edit" предоставляет возможность активной манипуляции с данными (т.е. позволяет переносить элементы типовых каталогов в проект и копировать свойства одной компоненты системы в другую при создании ее описания). Данное подменю представлено следующими пунктами: "Copy" - для копирования текущей компоненты со всем ее описанием в буфер обмена ("Clipboard"), "Paste" - для вставки новой компоненты (подсистемы) из буфера обмена, "Delete" - для удаления текущей компоненты из проекта, "Cut" - для переноса компоненты (последовательное применение команд "Copy" и "Delete"). Подменю "Data" предназначено для ручного описания системы и ее компонент, и позволяет детализировать систему (подсистему) или перечислять свойства компоненты (опция "Insert"), определять конкретные характеристики компоненты (опция "Modify"), изменять название конкретной компоненты (опция "Rename"), а также производить поиск компонент по заданным характеристикам.

При создании нового проекта или при его создании появляется окно данного проекта. Данное дочернее окно состоит из трех частей: области детализации системы, области задания характеристик и строки статуса. Область детализации содержит информацию о всем проекте и показывает ее с нужной степенью детализации в виде иерархии; с помощью клавиш управления курсором можно выбирать текущую компоненту (просмотр или редактирование которой производится в данное время) и выбирать степень ее детализации. Область задания характеристик состоит из колонок названия компоненты (характеристики) и ее значения (если есть); информация в данную область помещается о всех компонентах или характеристиках текущей системы (компоненты). А строка статуса показывает название текущей компоненты.

3.4. Типовые каталоги

Как было отмечено выше, настройка данной САПР на конкретную область ее применения производится путем замены ее типовых каталогов. Для САПР СУБ ИТ существует три главных каталога: каталог типовых компонент системы ИТ, каталог наиболее распространенных угроз, каталог известных уязвимых мест системы, каталог критериев комплексной оценки риска и каталог шаблонов политик безопасности различного уровня. Ниже следует детальное описание каждого из каталогов.

Каталог типовых компонент системы является справочником по наличию заданной системы (подсистемы) ИТ тех или иных компонент. Кроме того, в данном каталоге каждая компонента в каталоге сопровождается характеристиками (наиболее типичными для нее). Таким образом, описание защищаемых ресурсов системы ИТ сводится к копированию компонент из данного каталога в область описания системы ИТ в проекте.

Каталог наиболее распространенных типов угроз представляет важную для оценки риска информацию об угрозах, возможных для данной системы ИТ или ее компоненты, о вероятности их появления, о возможном причиненном ущербе и о связи угроз с соответствующими уязвимыми местами системы. Описание угроз системы происходит путем копирования наборов угроз из данного каталога в область описания компоненты (подсистемы) в проекте.

Каталог известных уязвимых мест системы дает проектировщику ее защиты возможность быстро произвести оценку риска исходя из информации о наличии тех или иных угроз. Процесс описания уязвимых мест системы ИТ аналогичен процессу описания угроз.

Каталог критериев комплексной оценки риска содержит описания различных способов получения комплексной оценки риска из разнородной информации, уже определенной для системы ИТ ранее в ходе проектирования последней (обычно таковой информацией является данные о вероятных угрозах, известных уязвимых местах защищаемой системы, ценности системы, вероятности появления угрозы и т.д.). Выбранный критерий копируется из каталога в описание данной компоненты (подсистемы). Это позволяет автоматизировать процесс получения комплексной оценки риска.

Каталог шаблонов политик безопасности предназначен для быстрого формирования политики безопасности нужного уровня (корпоративной, системы ИТ и т.д.). В приложении приведен пример одного такого шаблона политики безопасности корпоративного уровня.

4. Заключение

В данной работе были рассмотрены методические основы СУБ ИТ и принципы их проектирования с использованием САПР. Был также предложен конкретный программный инструмент, реализующий функции САПР СУБ ИТ. Применение предложенной САПР позволит организации в значительной степени ускорить работу по построению СУБ для заданной системы ИТ, а также сократить свои расходы на ее проектирование и сопровождение.

Литература

  1. ISO/IEC DTR #13335-1,2,3 - "Информационная технология. Руководство по управлению безопасностью информационных технологий"
  2. Сухомлин В.А. "Методологический базис открытых систем" - Открытые системы, #4, 1996.
  3. Грушо А.А., Тимонина Е.Е. "Теоретические основы защиты информации" Москва: Издательство Агентства "Яхтсмен", - 1996.
  4. "Department of Defense Trusted Computer System Evaluation Criteria" ("Orange Book"), DoD, 1985.
  5. "Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria" ("Red Book"), NCSC, 1991.
  6. Герасименко В.А. "Защита информации в автоматизированных системах обработки данных" В 2-х кн. Москва: Энергоатомиздат, 1994.
  7. John McLean "The Specification and Modeling of Computer Security" - Computer, #1, 1990.
  8. Ravi S. Sandhu "Lattice-Based Access Control Models" - Computer, #11, 1993.
© Иван Майданский <ivmai@mail.ru>, 29.04.1997