"Методика и средства автоматизации проектирования политики безопасности Информационных Технологий"

1. Введение

Массовое появление открытых систем и бурное развитие в последнее время информационных технологий (ИТ) остро поставило задачу их защиты от несанкционированного использования. На сегодняшний день существует большое количество готовых частных (узко специальных) решений этой проблемы для конкретных систем, в то время, как практически отсутствуют системный подход и методика проектирования систем защиты конкретных систем заданной степени надежности. Данная ситуация и явилась основанием для проведения научно-исследовательской работы (НИР) в области защиты информационных технологий.

В качестве направления данной НИР был выбран подход, связанный с так называемой политикой безопасности ИТ, под которой понимаются правила, руководящие материалы и практические средства, с помощью которых осуществляется управление информационными ресурсами, их защита и распределение в организации и ее системах ИТ.

Были поставлены следующие цели и задачи:

1. Вспомогательные - анализ состояния современной нормативно-методической базы в части управления информационной безопасностью и формирование словаря основополагающих терминов и списка основных сокращений, используемых в области информационной безопасности;
2. Концептуальные - разработка концептуальных моделей управления безопасностью и жизненного цикла системы управления безопасностью и анализ наиболее распространенных математических моделей, используемых при формальной спецификации требований к безопасности ИТ;
3. Методические - описание концепции и метода политики безопасности для спецификации требований к системе управления информационной безопасностью организации, анализ методов оценки рисков и разработка принципов проектирования многоуровневой СУБ ИТ организации с использованием рекомендуемой комбинированной стратегии анализа рисков;
4. Направленные на автоматизацию - разработка принципов автоматического принятия наиболее приемлемых решений направленных на удовлетворение требований по безопасности с использованием результатов оценки риска, полученных путем применения либо базовой стратегии, либо стратегии детального анализа, либо их комбинации и описание концепции автоматизации всего жизненного цикла СУБ ИТ организации, начиная от спецификации политики безопасности и заканчивая процессом мониторинга системы и ее модернизации.

2. Анализ состояния современной нормативно-методической базы в части управления информационной безопасностью

Анализ проводился в таких направлениях, как: модели безопасности ИТ, общие принципы управления информационной безопасностью, методы и механизмы безопасности ИТ, а также методы оценки безопасности. Наиболее ценными оказались документы ISO, претендующие на роль международных стандартов и регламентирующих материалов общеметодологического назначения, как, например, Технический отчет ISO/IEC DTR 13335. Из отечественных следует упомянуть серию Руководящих документов ГосТехКомиссии России, посвященных терминологии, концепциям зашиты и ее административно-организационным аспектам.

3. Формирование словаря основополагающих терминов и списка основных сокращений, используемых в области информационной безопасности

Вследствие того, что в настоящее время не существует единой общепризнанной терминологии в области защиты ИТ, авторами была предпринята попытка, основываясь на анализе соответствующих документов ISO и Руководящих документов ГосТехКомиссии России, сформировать минимальный набор понятий, терминов и сокращений, наиболее часто используемых в сфере управления безопасностью ИТ. Ниже приведено толкование трех основных понятий.

Под понятием "Безопасность ИТ" понимаются все аспекты, касающиеся определения, достижения и поддержания таких свойств ИТ, связанных с защитой информации, таких как конфиденциальность, целостность, доступность сервиса, подотчетность, подлинность и надежность.

Под понятием "Политика безопасности ИТ" понимаются правила, руководящие материалы, практические средства, директивы, с помощью которых и осуществляется управление информационными ресурсами, их защита и распределение в организации и ее системах ИТ.

Наконец, "Управление безопасностью ИТ" - процесс, применяемый для достижения и поддержания на соответствующем уровне свойств ИТ, связанных с безопасностью.

4. Концептуальные модели управления безопасностью и жизненного цикла системы управления безопасностью

Основной используемой моделью является модель информационной безопасности. Она использует такие понятия как защищаемые достояния, уязвимые места, угрозы безопасности, средства защиты, риск, остаточный риск, и демонстрирует суть процесса управления информационной безопасностью.

• Уязвимость - слабости в системе или организации, которые являются причиной возможных угроз.
• Угроза - потенциально возможная ситуация, в результате которой может быть нанесен ущерб системе или организации.
• Риск - потенциальная возможность осуществления угрозы (атаки).
• Средство защиты - практическое мероприятие, некоторая процедура или механизм, уменьшающие вероятность риска для безопасности ИТ.
• Остаточный риск - это риск, который остается после ввода в действие средств защиты.

Данная модель показывает на концептуальном уровне суть процесса управления безопасностью ИТ, который лежит в основе получения систем заданной степени защищенности.

Другой важной моделью является модель жизненного цикла СУБ ИТ. Она показывает семантику процесса управления безопасностью ИТ, определяющую состав, структуру и принципы функционирования системы обеспечения безопасности. В данной модели определены основные функциональные элементы, необходимые для реализации этого процесса, а также их взаимосвязанность, включая обратную связь для получаемых результатов.

Управление безопасностью ИТ, по замыслу авторов, представляет собой итеративный развивающийся процесс с множественными обратными связями, основные элементы которого для упрощения модели будут иметь логическую и, следовательно, временную упорядоченность на каждом полном витке итерации данного процесса.

К основным элементам модели процесса управления безопасностью ИТ относятся:

1. Анализ и разработка спецификаций требований к СУБ ИТ, определяющих цели, стратегию и общую политику организации по вопросам безопасности ИТ.
2. Определение методики проектирования СУБ ИТ - шаг, назначением которого является выбор методов анализа риска и способа их применения для проектирования системы защитных средств, удовлетворяющей исходным требованиям. Результатом осуществления данного элемента является документ, называемый стратегией анализа риска.
3. Проектирование СУБ ИТ на основе систематического применения выбранных на предыдущем шаге методов анализа риска с целью определения и обоснования выбора защитных средств, разработки спецификаций для политик безопасности на уровне систем (подсистем), а также разработки плана реализации СУБ ИТ.
4. Реализация защитных средств и их интеграция в целостную систему. Данный шаг должен быть поддержан подготовкой программ по обучению сотрудников и персонала служб технологии управления информационной безопасностью.
5. Функционирование СУБ ИТ, охватывающее совокупность процедур и действий, таких как: проверка согласованности средств СУБ ИТ и их соответствия текущей политике безопасности, контроль за правильной работой средств СУБ ИТ, пересмотр проектных и эксплуатационных решений для средств СУБ ИТ, сопровождение (продолжающаяся разработка) средств СУБ ИТ, отслеживание нештатных ситуаций и реакция на них.

5. Анализ наиболее распространенных математических моделей, используемых при формальной спецификации требований к безопасности ИТ

Построение формальных моделей позволяет структурировать и конкретизировать исследуемые объекты, устранить неоднозначности в их понимании, разбить решаемую задачу на подзадачи, и, в конечном итоге, выработать необходимые решения. Кроме того, такая модель позволит использовать формальный математический аппарат для проверки непротиворечивости требований политик безопасности создаваемых систем защиты.

Однако, в связи с тем, что любая реальная СУБ ИТ является многофункциональной и включает в свой состав некоторую совокупность средств и механизмов защиты, был предложен подход построения комплексной модели средств защиты в виде композиции моделей, соответствующих конкретным сервисам и механизмам защиты, а именно:

1. модели субъектов и объектов (для определения состава активных и пассивных сущностей, представляющих ресурсы системы и различные процессы их использования);
2. модели доступа (для описания взаимодействия объектов и субъектов в системе ИТ путем определения условий, выполнение которых необходимо для поддержания требований политики безопасности); и
3. модели состояний (для описания динамики функционирования системы ИТ, рассматривая работу системы в виде совокупности допустимых состояний, не нарушающих условий безопасности).

6. Концепция и метод политики безопасности для спецификации требований к системе управления информационной безопасностью организации

При создании СУБ ИТ важную роль приобретает тщательная разработка спецификаций требований деятельности организации в области информационной безопасности. Такие спецификации представляют собой фундамент системы безопасности. Их разработка считается центральной задачей построения систем безопасности и осуществляется на основе многоуровневого подхода. Фактически эти спецификации и регламентируют все виды деятельности организации в области безопасности, определяя ее политику в этой сфере, т.е. политику безопасности. Данное понятие рассматривается как центральная концепция в области защиты информации, так и как метод систематического проектирования и сопровождения спецификаций СУБ ИТ. Также под политикой безопасности часто понимается итоговый документ, содержащий спецификации безопасности и принятый полномочным органом организации в качестве нормативного или регламентирующего документа.

Построение СУБ ИТ для сложных распределенных систем осуществляется посредством комплексирования функций управления безопасностью отдельных компонент, представляющих собой конкретные информационные системы. При этом комплексирование функций управления безопасностью в единую систему должно осуществляться на основе требований общей политики безопасности.

Общая политика безопасности организации, при использовании рекомендуемого многоуровневого подхода, находится на верху иерархии и служит определяющим контекстом для разработки политик информационной безопасности нижних уровней. Она формируется на основе анализа целей и стратегии безопасности организации (а также других сфер деятельности организации, включая общую политику управления, безопасности, развития ИТ). Поэтому разработка политики безопасности ИТ начинается с определения целей и стратегии безопасности организации. Разработка и сопровождение общей политики безопасности ИТ должны, по мнению авторов, осуществляться специализированным органом, например, отделом или управлением по информационной безопасности организации, отвечающим за методическое руководство управлением безопасностью ИТ и опирающимся в своей работе на все подразделения (структуры) организации, привлекаемые к решению этой общей задачи.

Следующий уровень иерархии отводится политикам крупных подразделений, если используется административная основа для структуризации общей политики, или политикам доменов защиты при функциональной структуризации деятельности организации.

И, наконец, на нижнем уровне иерархии располагаются политики безопасности систем/подсистем, конкретизирующие общую политику организации на уровне систем ИТ и их компонент. Политика безопасности систем (подсистем) должна удовлетворять требованиям общей политики безопасности ИТ и политики информационной безопасности подразделения (если они определены) и включать описание положений и правил управления безопасностью систем/подсистем и их сервиса.

Политика безопасности системы/подсистемы формируется на основе анализа политики (политик) более высокого ранга, а также на основе результатов анализа риска для рассматриваемой системы/подсистемы ИТ, включая правила по обеспечению финансового обеспечения соответствующего персонала и планирование использования людских ресурсов для реализации необходимых функций процесса управления информационной безопасностью системы/подсистемы.

7. Анализ методов оценки рисков как основы систематического исследования защищаемой системы для удовлетворения требований, специфицированных в политике безопасности

Как было указано выше, проектирование СУБ ИТ, в частности, определение состава и спецификаций средств защиты, осуществляется на основе применения специализированных методов анализа и оценки исходных данных, таких как, например, состав ценностей (достояний) организации, их уязвимостей, угроз информационной безопасности и др. Такие методы называются методами анализа рисков. По существу они и составляют методическую основу систематического проектирования средств защиты информации, удовлетворяющих требованиям политики безопасности.

Авторы выделяют следующие методы анализа рисков, характеризующиеся, в основном, различной глубиной проведения анализа исходных данных:

1. Базовый (основной) метод, суть которого состоит в использовании некоторого унифицированного набора требований к безопасности для всех систем ИТ одновременно. Средства защиты, определяемые посредством базового метода, как правило, реализуются с помощью штатных средств защиты информации, предоставляемых общесистемным программным обеспечением, а также соответствующими продуктами, предоставляемыми специализированными организациями и специфицируемыми в специальных каталогах. Преимущество данного подхода состоит в минимальных затратах стоимостных и временных ресурсов на проектирование средств СУБ ИТ. Недостаток данного метода состоит том, что, если уровень требований к средствам защиты информации для отдельных систем ИТ достаточно высок, то для одних систем он может оказаться чрезмерно завышенным, а для других - слишком низким, в том числе для систем, подверженных наибольшему риску. Соответственно, если все системы ИТ организации имеют только минимальные требования по безопасности, то тогда стратегия анализа рисков, построенная на этом методе, может обладать достаточной функциональностью и быть наиболее экономичной, иначе применение этого метода вряд ли обеспечит удовлетворительные проектные решения по созданию средств СУБ ИТ. Следует отметить, что для многих организаций, имеющих невысокие требования к безопасности ИТ, применение базовой стратегии будет наиболее приемлемым решением.
2. Экспертный метод, который включает в себя проведение неформального, прагматического анализа риска и обычно не требует много ресурсов и времени. Метод не является систематическим или структурированным, а основан на знаниях и опыте некоторого эксперта, вследствие чего имеет много недостатков (потенциальная субъективность, отсутствие инструментария формализованных спецификаций, трудности в сопровождении и др.). Поэтому, авторы считают, что выбор данного подхода не является эффективным для анализа риска в большинстве случаев.
3. Детальный анализ рисков. Данный метод предполагает систематический анализ исходных данных для всех систем ИТ конкретной организации с целью оценки рисков нарушения свойств безопасности ИТ и обоснованного выбора средств защиты, соответствующих заданным требованиям. Преимущество данного метода состоит в том, что он позволяет на основе системного подхода, всестороннего анализа исходных данных и требований, дифференцированно для каждой из систем осуществить выбор требуемых средств СУБ ИТ. Кроме этого, полученные с помощью данного метода результаты существенно облегчают сопровождение и модернизацию СУБ ИТ. Недостатком же этого подхода является его ресурсоемкость, и, как следствие, высокая цена реализации на практике. Он требует максимальных затрат времени и усилий.
4. Комбинированный метод анализа рисков. Он представляется собой сочетание нескольких рассмотренных выше методов. В частности, к комбинированному подходу следует отнести рекомендуемую авторами стратегию анализа рисков, в которой для ИТ с высокой ценой рисков применяется метод детального анализа, а для всех других ИТ - базовый метод. Такая комбинация методов должна обеспечивать необходимый баланс между временем и усилиями, затраченными на проектирование СУБ ИТ, с одной стороны, и требованиями обеспечения защиты информации для критических ИТ, от надежного функционирования которых зависит функционирование организации, с другой стороны.

8. Принципы проектирования многоуровневой СУБ ИТ организации с использованием рекомендуемой комбинированной стратегии анализа рисков

Авторами предлагается некоторая комбинированная стратегия анализа рисков, ориентированная на проектирование средств защиты информации для структурно и организационно сложных объектов информатизации со значительным диапазоном требований к уровню защиты различных систем ИТ. В этой стратегии сочетаются достоинства, как базового метода анализа рисков, так и метода, построенного на детальной оценке рисков. Основная идея подхода состоит в следующем:

1. первоначально осуществляется классификация систем (ресурсов) ИТ по уровням риска и на основе этой классификации выделение систем, наиболее значимых (ценных) для выполнения целевых задач организации;
2. для систем ИТ с наивысшей ценой рисков применяется метод детального анализа, обеспечивающий системность и полноту рассмотрения требований и позволяющий конструировать систему средств защиты информации с учетом характерных особенностей систем ИТ и требований к ним;
3. для всех остальных ИТ применяется базовый метод, с помощью которого выбираются унифицированные сервисы безопасности ИТ для всех систем данного класса, при этом минимизируются затраты ресурсов и времени на ввод в работу средств СУБ ИТ для указанного класса систем ИТ;
4. после ввода в эксплуатацию разработанных на основе данной стратегии средств СУБ ИТ осуществляется поэтапная модернизация СУБ ИТ, последовательным охватом методом детального анализа рисков все большего числа уровней риска для классов систем ИТ;
5. конечной целью данной стратегии является построение итеративным способом полной системы средств СУБ ИТ, спроектированных на основе метода детального анализа рисков, примененного для каждой системы ИТ организации.

9. Принципы классификации систем ИТ по уровням риска

В соответствии с предложенной выше стратегией для того, чтобы дифференцированно подойти к выбору методов анализа риска (базовый или детальный анализ) по отношению к каждой из систем (ресурсов) ИТ, первоначально необходимо провести классификацию систем ИТ по уровню риска. Эта классификация должна учитывать значимость и ценность систем ИТ, а также связанную с ними степень риска нарушения безопасности их функционирования или использования с точки зрения интересов организации.

Исходными данными для построения такой классификации являются результаты рассмотрения следующих аспектов:

• назначения системы ИТ;
• степени зависимости работы организации от системы ИТ, т.е. насколько функции, которые организация считает критичными для своей нормальной и эффективной работы зависят от системы ИТ или от конфиденциальности доступа к ее ресурсам, ее целостности и/или от своевременной доступности обрабатываемой на этой системе информации;
• уровня капиталовложений в систему ИТ, в ее разработку, сопровождение, замену;
• непосредственной ценности для организации как ее собственности (достояния).

Тогда, если система ИТ имеет большое значение для работы организации, или, если ее замена стоит для организации значительных затрат, или, если из-за ее незащищенности важные элементы собственности организации подвержены большому риску, то очевидно, что для построения эффективной системы защиты необходимо применение метода детального анализа рисков. При этом в принципе любого из этих условий достаточно, чтобы послужить поводом к использованию метода детального анализа. Во всех остальных случаях целесообразно использование базового метода.

10. Описание стратегии применения базового метода оценки риска для отдельных систем

Требования к защите на основе базового метода могут быть определены посредством использования каталогов средств безопасности, в которых предлагаются некоторые наборы средств для защиты ИТ от наиболее общих угроз. Поэтому все, что требуется для применения базового метода, - это найти в таком каталоге тип системы ИТ, соответствующий рассматриваемой системе, и сравнить состав перечисленных в каталоге средств защиты с уже имеющимися. Недостающие средства защиты, т.е. средства, которые реально не установлены в данной СУБ ИТ, должны быть приобретены или реализованы и введены в состав средств создаваемой или модернизируемой СУБ ИТ.

11. Стратегия применения метода детальной оценки риска для отдельных систем

Детальный анализ рисков для некоторой системы ИТ начинается с идентификации связанных с ней рисков и их оценки. Это выполняется с помощью идентификации потенциальных нежелательных событий и количественной оценки последствий их осуществления, а также оценки вероятности их проявления. Оценка последствий конкретного события определяется из стоимости (степени важности) подвергаемых риску ресурсов, степени серьезности угроз, вероятностных характеристик реализации угроз с использованием соответствующих уязвимых мест. Вероятность проявления события зависит от того, насколько привлекательными для потенциального злоумышленника являются требующие защиты ресурсы, насколько просто они могут быть превращены во что-нибудь менее ценное, а также от того, какова вероятность появления угрозы и какова легкость использования уязвимых мест злоумышленником.

Результаты анализа рисков являются основной информацией, необходимой для определения и выбора средств СУБ ИТ, предназначенных для уменьшения уровня риска до некоторого приемлемого значения.

Следует отметить, что существуют различные формы (в том числе и по производительности) метода анализа рисков для систем ИТ: от подходов, основанных на списках проверки, до методологии структурного анализа, при этом возможно использование, как ручных методов, так и применение специализированных программных пакетов автоматизации анализа рисков. Однако, вне зависимости от используемых способов детального анализа рисков, все они используют процедуры или шаги, входящие в состав логической схемы метода анализа рисков. Полный список этих шагов включает следующие действия:

1. определение состава защищаемых ресурсов (достояний);
2. оценка ценности достояний (ресурсов) и определение взаимосвязи между ними (Для оценки ценности достояния необходимы два элемента: шкала значений и критерий (закон) присваивания значения, определяющего ту или иную степень ценность. Шкала может быть либо количественной (например, денежный эквивалент ценности), либо качественной (например, вида низкая - средняя - высокая степень ценности). Критерии для оценки достояний могут строиться, исходя из самых разных принципов (например, ценность может быть связана с потенциальным ущербом при нарушении условий безопасности ИТ или со стоимостью приобретения, сопровождения и замены оцениваемого ресурса). При определении взаимосвязи между различными ресурсами следует также определять меру их зависимости и корректировать оценку ценности зависимых ресурсов на величину, характеризующую эту меру.);
3. определение уже установленных средств защиты;
4. оценка уязвимостей и соответствующих угроз (На данном этапе необходимо получить как можно более полный список уязвимых мест системы и список соответствующих возможных угроз с указанием их основных характеристик. Для полноты охвата описания рекомендуется использовать технологию каталогов типовых угроз и уязвимостей);
5. определение меры рисков (Цель данного шага - определить и оценить риск, которому подвергается система ИТ и ее ресурсы, что необходимо для обоснованного выбора средств защиты. Величина риска зависит от ценности/значимости достояния, соответствующих ему уязвимостей и уровней их серьезности, вероятностей осуществления соответствующих угроз, а также от эффективности уже применяемых средств защиты, которые могут понижать величину риска. Конкретные способы выражения данной зависимости можно найти в соответствующих справочных материалах по проведению оценки риска. При выполнении процедуры анализа рисков возможно использование разнообразных автоматизированных средств, таких как программные средства оценки угроз и уязвимых мест. В этом случае необходимо предпринять меры, направленные на обеспечение точности ввода данных, поскольку достоверность результата применения автоматизированных средств напрямую зависит от точности входных данных. Какой бы способ оценки не использовался, результатом данной работы должен являться список измеренных величин риска для каждого из последствий нарушения условий безопасности для каждого ресурса системы ИТ.);
6. формирование списка целей безопасности ИТ (Данный шаг предполагает составление списка целей безопасности для каждой системы ИТ на основе анализа общих целей безопасности ИТ организации, из которых с учетом назначения и роли данной системы в целевой деятельности организации выводятся и конкретизируются цели, связанные с безопасностью для каждой системы ИТ.);
7. учет существующих ограничений (Существуют различные ограничивающие факторы, влияющие на выбор средств защиты. Эти ограничения должны быть учтены при составлении рекомендаций по применению средств защиты или в процессе реализации. Наиболее типичными ограничениями являются: ограничения по времени, финансовые ограничения и ограничения физического окружения.);
8. выбор средств защиты (Определение средств защиты осуществляется на основе полученных мер рисков с учетом целей безопасности ИТ и существующих ограничений. Кроме того, целесообразно использовать результаты оценки уязвимостей и угроз, поскольку уязвимости показывают, где требуется дополнительная защита, а существующие для данной системы угрозы указывают на тип требуемых средств защиты. Следует отметить, что в процессе выбора средств защиты могут возникать альтернативные решения, которые должны разрешаться по критерию минимальной суммарной стоимости средств защиты.);
9. оценка допустимости остаточного риска (Если предположить, что выбранные и идентифицированные с помощью данного метода средства защиты реализованы, то это должно привести к снижению уровня риска. Естественно, представляется целесообразным оценить эффективность предложенных средств теоретически, до их реализации. Это оценка и рассчитывается на данном шаге метода детального анализа рисков, основываясь на предположении о том, что каковыми бы ни были выбранные средства защиты, всегда будет оставаться остаточный риск - ни одна система не может быть абсолютно защищенной. Этот остаточный риск может оцениваться для данной организации как "приемлемый" или как "неприемлемый".);
10. спецификация политики и плана безопасности систем ИТ (Политика безопасности системы ИТ должна содержать детальное описание требуемых средств защиты, а также включать обоснование того, почему они необходимы. В случае применения автоматизированных методов проектирования СУБ ИТ возможна полностью автоматическая спецификация политики безопасности по заданному шаблону. План работ по безопасности ИТ - это координирующий документ, определяющий действия, необходимые для реализации требуемых средств защиты. Этот план должен содержать описание работ по достижению и сопровождению требуемого уровня безопасности и сроки их исполнения.).

12. Вывод

Создание СУБ ИТ представляет собой сложную комплексную задачу, решение которой должно осуществляться на основе системного подхода, поэтапность создания и внедрения средств защиты, соответствия современным стандартам и нормативно-методическим материалам.

В данной НИР был предложен подход к решению данной задачи с использованием концепции и метода политики безопасности ИТ.