Система защиты информации и искусство предоставления сервиса

Информационные системы должны быть надежно защищены как от внешних, так и от внутренних угроз. Однако если вредоносные программы и хакерские атаки всегда воспринимаются как угроза, от которой необходимо защищаться, то внутренние враги (или инсайдеры), хотя и рассматриваются как столь же опасные, однако меры защиты от них применяются не всегда, не везде и в недостаточной степени.

Средства внутренней безопасности по разграничению доступа и контролю утечки информации способны охватывать далеко не все каналы утечки, и для того, чтобы их применение было эффективным, желательно пересматривать политику информационной безопасности в отношении каналов передачи данных, которые могут быть доступны пользователям. Так, использование интернет-пейджеров влечет за собой порядка 85% утечек, а через мобильные устройства (далеко не все из них контролируются средствами обеспечения внутренней безопасности) в некоторых организациях может

«уходить» до 91% от всех утечек критичной и конфиденциальной информации.

К настоящему моменту информационную безопасность в госструктурах пока не удалось полностью избавить от всех перечисленных проблем, однако существуют возможности, позволяющие государственным организациям значительно повысить защищенность своих информационных систем.

Вопросы организации защиты информации должны решаться уже на стадии предпроектной разработки информационной системы (ИС). Погрешности защиты могут быть в значительной мере устранены, если при проектировании учитывать приведенные ниже основные принципы построения системы защиты.

Принцип простоты механизма защиты общеизвестен, но не всегда глубоко осознается. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не желательно связывать со знанием специальных языков или с выполнением трудоемких действий при обычной работе законных пользователей.

Надежный механизм, реализующий принцип постоянства защиты, должен не допускать несанкционированных изменений. Ни одна компьютерная система не может рассматриваться как безопасная, если основные аппаратные и программные механизмы, призванные обеспечивать безопасность, сами являются объектами несанкционированной модификации или видоизменения.

Принцип всеобъемлющего контроля лежит в основе системы защиты и предполагает необходимость проверки полномочий любого обращения к любому объекту.

Принцип несекретности проектирования означает, что механизм защиты должен функционировать достаточно эффективно даже в том случае, если его структура и содержание известны злоумышленнику. Не имеет смысла засекречивать детали реализации системы защиты, предназначенной для широкого использования. Эффективность защиты не должна зависеть от того, насколько опытны потенциальные нарушители. Защита не должна обеспечиваться только секретностью структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно способствовать ее преодолению (даже автору).

Требование идентификации состоит в том, что каждый объект ИС должен однозначно идентифицироваться. При попытке получения доступа к информации решение о санкционировании доступа следует принимать на основании данных претендента и определения высшей степени секретности информации, с которой ему разрешается работать. Данные об идентификации и полномочиях должны надежно сохраняться и обновляться компьютерной системой для каждого активного участника системы, выполняющего действия, затрагивающие ее безопасность. Пользователи должны иметь соответствующие полномочия, объекты (файлы) — соответствующий гриф, а система должна контролировать все попытки получения доступа.

Разделение полномочий определяет применение нескольких ключей защиты. Это удобно в тех случаях, когда право на доступ определяется выполнением ряда условий.

Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для работы.

Принцип надежности реализуется в создании механизма системы защиты информации (СЗИ), который позволил бы оценить обеспечение достаточной надежности функционирования СЗИ (соблюдение правил безопасности, секретности, идентификации и отчетности). Для этого необходимы выверенные и унифицированные аппаратные и программные средства контроля. Целью применения данных механизмов является выполнение определенных задач методом, обеспечивающим безопасность.

Максимальная обособленность механизма защиты означает, что защита должна быть отделена от функций управления данными.

Принцип защиты памяти подразумевает, что пакет программ, реализующих защиту, должен размещаться в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если вызов выполнен некорректно.

Принцип удобства для пользователей состоит в следующем: схема защиты должна быть в реализации простой, чтобы механизм защиты не создавал для пользователей дополнительных трудностей.

Контроль доступа на основании авторизации пользователя по его физическому ключу и личному PIN-коду обеспечивает защиту от атак неавторизованных пользователей на доступ:

• •    к ресурсам ПК;

• •    к областям HD ПК;

• •    к ресурсам и серверам сети;

• •    к модулям выполнения авторизации пользователей.

Авторизация пользователя на основании физического ключа позволяет исключить непреднамеренную дискредитацию его прав доступа.

Применение принципа отчетности связано с необходимостью защищать контрольные данные от модификации и несанкционированного уничтожения, чтобы обеспечить обнаружение и расследование выявленных фактов нарушения безопасности. Надежная система должна сохранять сведения обо всех событиях, имеющих отношение к безопасности, в контрольных журналах. Кроме того, она должна гарантировать выбор интересующих событий при проведении аудита, чтобы минимизировать стоимость аудита и повысить эффективность анализа. Наличие программных средств аудита или создание отчетов еще не означает ни усиления безопасности, ни наличия гарантий обнаружения нарушений.

Доступность к исполнению только тех команд операционной системы, которые не могут повредить операционную среду и результат контроля предыдущей аутентификации.

Существуют механизмы защиты от следующих угроз:

• •    несанкционированного чтения информации;

• •    модификации хранящейся и циркулирующей в сети информации;

• •    навязывания информации;

• •    несанкционированного отказа от авторства переданной информации.

Системный подход к защите информации предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для обеспечения безопасности ИС.

Возможность наращивания защиты основывается на том, что система защиты строится с учетом не только всех известных каналов проникновения и НСД к информации, но с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексный подход предполагает согласованное применение разнородных средств защиты информации.

Адекватность — обеспечение необходимого уровня защиты (определяется степенью секретности подлежащей обработке информации) при минимальных издержках на создание механизма защиты и обеспечение его функционирования. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и масштаб возможного ущерба были бы приемлемыми (задача анализа риска).

Минимизация привилегий в доступе, предоставляемых пользователям, т.е. каждому пользователю должны предоставляться только действительно необходимые ему права по обращению к ресурсам системы и данным.

Полнота контроля — обязательный контроль всех обращений к защищаемым данным.

Наказуемость нарушений означает разработку системы штрафных санкций. Наиболее распространенная мера наказания — отказ в доступе к системе.

Экономичность механизма — обеспечение минимальности расходов на создание и эксплуатацию механизма.

Принцип системности сводится к тому, что для обеспечения надежной защиты информации в современных ИС должна быть обеспечена надежная и согласованная защита во всех структурных элементах, на всех технологических участках автоматизированной обработки информации и во все время функционирования ИС.

Специализация, как принцип организации защиты, предполагает, что надежный механизм защиты может быть спроектирован и организован лишь профессиональными специалистами по защите информации. Кроме того, для обеспечения эффективного функционирования механизма защиты в состав ИС должны быть включены соответствующие специалисты.

Принцип неформальности означает, что методология проектирования механизма защиты и обеспечения его функционирования — неформальна. В настоящее время не существует инженерной (в традиционном понимании этого термина) методики проектирования механизма защиты. Методики проектирования, разработанные к настоящему времени, содержат комплексы требований, правил, последовательность и содержание этапов, которые сформулированы на неформальном уровне, т.е. механическое их осуществление в общем случае невозможно.

Требование гибкости системы защиты определяется тем обстоятельством, что принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.

Принцип непрерывности защиты предполагает, что защита информации — это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС. Разработка системы защиты должна осуществляться параллельно с разработкой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные защищенные информационные системы.

На формулирование понятия защиты оказывает влияние большое количество разноплановых факторов, среди которых можно выделить следующие:

• •    влияние информации на эффективность принимаемых решений;

• •    концепции построения и использования защищенных информационных систем;

• •    техническая оснащенность информационных систем;

• •    характеристики информационных систем и их компонентов с точки зрения угроз сохранности информации;

• •    потенциальные возможности злоумышленного воздействия на информацию, ее получение и использование;

• •    наличие методов и средств защиты информации.

Развитие подходов к защите информации происходит под воздействием перечисленных факторов, при этом можно условно выделить три периода развития систем защиты информации. Первый относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям; второй — когда для обработки информации на регулярной основе применялись средства электронно-вычислительной техники первых поколений; третий — когда использование ИТ приняло массовый и повсеместный характер.

Генеральным направлением поиска путей защиты информации является неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось, прежде всего, в том смысле, что защита информации состоит не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки данных при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты информации, непременно и наиболее рационально объединяются в единый целостный механизм — систему защиты, которая должна обеспечивать, говоря военным языком, глубокоэшелонированную оборону, причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала.

В этой системе должно быть, по крайней мере, четыре защитных пояса: внешний, охватывающий всю территорию, на которой расположены сооружения; пояс сооружений, помещений или устройств системы; пояс компонентов системы (технических средств, программного обеспечения, элементов баз данных) и пояс технологических процессов обработки данных (ввод/ вывод, внутренняя обработка и т.п.).

Основные трудности реализации систем защиты состоят в том, что они должны удовлетворять двум группам противоречивых требований. С одной стороны, должна быть обеспечена надежная защита находящейся в системе информации, что в более конкретном выражении формулируется в виде двух обобщенных задач: 1) исключение случайной и преднамеренной выдачи информации посторонним лицам; 2) разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала. С другой стороны, системы защиты не должны создавать заметных неудобств в процессе работы с использованием ресурсов системы.

В частности должны быть гарантированы:

• •    полная свобода доступа каждого пользователя и независимость его работы в пределах предоставленных ему прав и полномочий;

• •    удобство работы с информацией для групп взаимосвязанных пользователей;

• •    возможность для пользователей допускать друг друга к своей информации.

Многие специалисты считают, что точный ответ на вопрос, что же такое «защищенная информационная система», пока не найден.

Существуют следующие представления защищенности ИС:

• •    это совокупность средств и технологических приемов, обеспечивающих защиту компонентов ИС;

• •    это минимизация риска, которому могут быть подвергнуты компоненты и ресурсы ИС;

• •    это комплекс процедурных, логических и физических мер, направленных на предотвращение угроз информации и компонентам ИС.

Можно предложить следующее определение защищенной ИС: ИС, в которой реализованы механизмы выполнения правил, удовлетворяющих установленному на основе анализа угроз перечню требований по защите информации и компонентов этой ИС.

При этом механизмы выполнения указанных правил чаще всего реализуются в виде системы защиты информации. Таким образом, перечень угроз информации определяет основу для формирования требований к защите. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты, объединенные в комплексную СЗИ.

Можно утверждать, что чем полнее будет список требований к защите и соответствующих правил защиты, тем эффективнее будет СЗИ для данной ИС.

Для того чтобы построить защищенную ИС, целесообразно провести анализ угроз информации, составить перечень требований к защите, сформулировать правила организации непосредственной защиты и реализовать их выполнение путем создания комплексной СЗИ, которая представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации от всех выявленных угроз и возможных каналов утечки.

Искусство предоставления сервиса

Все методы и средства, используемые для защиты информации в информационных системах, не должны оказывать отрицательное влияние на качество предоставляемых услуг. Рассмотрим одно из наиболее популярных понятий, характеризующих качество предоставления услуг. SLA (Service Level Agreement) — соглашение об уровне обслуживания — пока не стало неотъемлемой частью контрактов и договоров с провайдерами или операторами связи в нашей стране. Иногда оперируют другим термином — QoS, или качество сервиса, хотя оно является лишь одним из «кирпичиков» фундаментального понятия SLA. В развитых странах машина SLA запущена на полную мощность: на специальных сайтах можно получить исчерпывающую информацию о продуктах и методиках обеспечения SLA сети, а также рекомендации по выбору консультанта, по составлению нужного для конкретной области деятельности соглашения. Существуют формы договоров, составленные и проверенные опытными юристами, существует аутсорсинг по контролю SLA для компаний различных вертикальных рынков. В секторе SLA телекоммуникационного рынка существует «специализация» по видам технологий. Одни компании предлагают средства обеспечения SLA для проводных сетей, другие — для спутниковых, третьи — для беспроводных. Еще одна группа компаний специализируется на интернет-сетях, их главные клиенты — интернет-провайдеры, которым предлагаются средства мониторинга производительности каналов доставки и качества поставляемых сервисов, работающие в режиме реального времени.

Простои сети ведут к финансовым потерям, поэтому организации ожидают и требуют большего от своих провайдеров услуг. Резкое увеличение числа обращений к сторонним услугам привело к тому, что SLA уделяется все большее внимание как средству обеспечения оптимальной производительности корпоративной сети и критически важных приложений, все чаще находящихся на серверах провайдеров услуг.

Другими стимулами популяризации SLA стали появление электронной коммерции и требования, которые она накладывает на сеть. Некоторые организации самостоятельно устанавливают средства мониторинга SLA для контроля над характеристиками получаемого сервиса. Кроме того, администраторы сетей используют их для того, чтобы продемонстрировать руководству, что сеть функционирует на должном уровне (или получить предупреждение, когда это не так). Некоторые провайдеры услуг используют тот же инструментарий для предоставления отчетов своим клиентам, чтобы те могли видеть, что их провайдеры выполняют обязательства по SLA. Кроме того, за счет мониторинга уровня сервиса и предоставления различных гарантированных уровней сервиса провайдеры могут выделиться среди конкурентов предложением лучших услуг. Они могут также взимать повышенную плату за эти услуги, потому что их характеристики поддаются проверке.

SLA могут быть внешними или внутренними. Цель внешних SLA состоит в определении и мониторинге требуемого уровня производительности, в то время как цель внутренних SLA — в установлении и выполнении пожеланий пользователей и заказчиков.

Общим для внутренних и внешних SLA является измерение производительности и доступности сети. В этой связи большое значение приобретает работа приложений, так что инструментарий мониторинга SLA должен быть способен измерять помимо производительности и доступности сети также и поведение критически важных приложений.

Хорошо продуманное SLA выгодно и провайдеру услуг, и клиенту. Провайдер услуг твердо знает, что конкретно он может дать, и таким образом может не опасаться нереальных запросов, удовлетворить которые будет технически невозможно или экономически нецелесообразно. Клиент же получает приемлемый для него гарантированный уровень сервиса. Если соглашение с внешним провайдером услуг, скорее всего, будет выражено в виде формального документа, то внутренние SLA являются менее формальными. Как бы то ни было, в них содержится одна и та же информация. Успешное SLA отличает несколько особенностей, главная из которых — достижимость и измеримость условий соглашения.

Инструментарий мониторинга SLA предлагает обычно два вида анализа: в реальном времени и в перспективе. Мониторинг в реальном времени применяется для выявления проблем на ранних стадиях до того, как они приобретут серьезный характер. Он позволяет решить проблему, прежде чем условия соглашения будут нарушены. Анализ тенденций дает возможность проверить уровень сервиса за определенный период, а также выявить тенденции общего характера, способные привести к проблемам в будущем.

Значительным препятствием на пути реализации SLA является невозможность создать надежную базу данных для количественного описания работы сети за произвольный период времени. Без хранения всей совокупности данных получить осмысленные и реалистичные SLA вряд ли возможно, к тому же ожидания могут оказаться чрезмерно завышенными. Кроме того, не все инструменты способны собирать данные обо всех компонентах сети, так что статистика может оказаться неполной.

В прошлом SLA часто оказывались неэффективны и от них отказывались из-за отсутствия измерительных инструментов. Данные были фрагментарными или создавались вручную и часто оказывались ненадежными. Новые инструменты мониторинга повысили качество и количество данных, собираемых для составления отчетов по SLA.

Инструменты мониторинга SLA — нечто большое, чем просто механизмы для установления факта нарушения соглашения. Помимо измерения QoS они могут помочь при диагностировании потенциальных проблем на ранних стадиях, прежде чем те примут серьезный характер, и тем самым сократить время решения проблемы. При наличии исчерпывающих отчетов по SLA бухгалтеры смогут определить отдачу от инвестиций в сеть, приложения и управление.

Реализация успешного SLA предполагает ясное понимание параметров производительности, а также наличие механизмов для сбора данных в масштабах предприятия в реальном времени в течение продолжительного срока.

SLA — это гораздо большее, чем перечень индикаторов уровня сервиса. Соглашение устанавливает процедуру мониторинга и реагирования на возникшие проблемы. Поэтому оно должно четко определять ответственность сторон. Для всех определенных функций оно должно перечислять ответственные за выполнение лица с указанием его должности.

SLA должно также предусматривать корректирующие действия, т.е. меры, принимаемые в случае, если уровень сервиса окажется ниже указанного в SLA. Этот раздел должен указывать ответственного за вывод сервиса на должный уровень, а также последствия не разрешения этой проблемы. Последствия могут иметь вид штрафных санкций или скидок. Конечный результат будет один и тот же.

Каждое SLA имеет свои особенности, но некоторые моменты являются общими для них всех. Ниже приведены базовые элементы любого хорошего SLA:

• 1)    стороны соглашения. Все участвующие в соглашении стороны должны быть перечислены, в особенности, когда провайдеров услуг и/или клиентских групп несколько;

• 2)    сроки соглашения. Соглашение должно заключаться на определенный срок, обычно это один или два года;

• 3)    невыполнение условий соглашения. SLA также определяет невыполнение, указывая, что следует делать, когда индикаторы показывают недостижение должного уровня сервиса. Немаловажное значение здесь имеет степень отклонения. Например, требование, что время отклика для всех транзакций не должно превышать 2 сек., менее реалистично, чем требование о том, что время отклика не должно превышать 2 сек. для 95% транзакций, а для остальных 5% оно должно находиться в пределах от 2 до 5 сек.

• 4)    предоставляемые услуги. Все сервисы должны быть перечислены и определены с указанием индикаторов уровня сервиса. SLA должно описывать способ измерения индикатора и указывать ответственного за измерения;

• 5)    дополнительные услуги. Это перечень дополнительных услуг, которые провайдер услуг готов предоставить по запросу в дополнение к перечисленным в данном соглашении;

• 6)    отчеты и анализ. Отдельный пункт должен описывать отчеты, частоту составления отчетов, способ доступа заказчика к отчетам и возможность предоставления отчетов в реальном времени (помимо периодических отчетов);

• 7)    особые условия. При необходимости в SLA следует предусмотреть особые условия с учетом сферы деятельности компании;