Для разработки системы защиты информации проектировщикам необходимо выполнить следующие виды работ:
∙ на предпроектной стадии определить особенности хранимой информации, выявить виды угроз и утечки информации и оформить ТЗ на разработку системы;
∙ на стадии проектирования выбрать концепцию и принципы построения системы защиты и разработать функциональную структуру системы защиты;
∙ выбрать механизмы ─ методы защиты, реализующие выбранные функции;
∙ разработать программное, информационное и технологическое и организационное обеспечение системы защиты;
∙ провести отладку разработанной системы;
∙ разработать пакет технологической документации;
∙ осуществить внедрение системы;
∙ проводить комплекс работ по эксплуатации и администрированию системы защиты.
Существенное значение при проектировании системы защиты информации придается предпроектному обследованию объекта. На этой стадии выполняются следующие операции:
∙ устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой ЭИС, оценивается уровень конфиденциальности и объемы такой информации;
∙ определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
∙ анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
∙ определяется степень участия персонала, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
∙ определяется состав мероприятий по обеспечению режима секретности на стадии разработки.
На стадии проектирования выявляется все множество каналов несанкционированного доступа путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.
Создание базовой системы защиты информации в ЭИС в целом и для информационной базы, в частности, должно основываться на главных принципах, сформулированных в работе [2]:
∙ Комплексный подход к построению системы защиты, означающий оптимальное сочетание программных, аппаратных средств и организационных мер защиты.
∙ Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки.
∙ Полнота контроля и регистрация попыток несанкционированного доступа.
∙ Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
∙ "Прозрачность" системы защиты информации для общего, прикладного программного обеспечения и пользователей ЭИС.
Установление видов угроз и средств их реализации позволяет проектировщикам ЭИС разработать структуру системы защиты хранимых, обрабатываемых и передаваемых данных, основанную на применении разнообразных мер и средств защиты. Важную часть этой системы составляет организация подсистем, предназначенных для выполнения обеспечения безопасности данных, хранимых в информационной базе. Для каждой подсистемы определяются основные цели, функции, задачи и методы их решения.
Существует несколько подходов к реализации системы защиты. Ряд специалистов из практики своей работы предлагают разделять систему безопасности на две части: внутреннюю и внешнюю. Во внутренней части осуществляется в основном контроль доступа путем идентификации и аутентификации пользователей при допуске в сеть и при доступе в базу данных. Помимо этого шифруются и идентифицируются данные во время их передачи и хранения.
Безопасность во внешней части системы в основном достигается криптографическими средствами. Аппаратные средства защиты реализуют функции разграничения доступа, криптографии, контроля целостности программ и их защиты от копирования во внутренней части, хорошо защищенной административно.
Как правило, для организации безопасности данных в ИБ используется комбинация нескольких методов и механизмов. Выбор способов защиты информации в ИБ ─ сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.
После выбора методов и механизмов осуществляется разработка программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Изготовитель или поставщик выполняет набор тестов, документирует его и предоставляет на рассмотрение аттестационной комиссии, которая проверяет полноту набора и выполняет свои тесты. Тестированию подлежат как собственно механизмы безопасности, так и пользовательский интерфейс к ним.
Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием, и что не существует очевидных способов обхода или разрушения защиты. Кроме того, тесты должны продемонстрировать действенность средств управления доступом, защищенность регистрационной и аутентификационной информации. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы
Составление документации ─ необходимое условие гарантированной надежности системы и одновременно ─ инструмент проведения выбранной концепции безопасности. Согласно "Оранжевой книге" в комплект документации надежной системы должны входить следующие компоненты:
∙ руководство пользователя по средствам безопасности;
∙ руководство администратора по средствам безопасности;
∙ тестовая документация;
∙ описание архитектуры.
Руководство пользователя по средствам безопасности предназначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования. Руководство должно давать ответы на следующие вопросы:
∙ Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?
∙ Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?
∙ Как импортировать и экспортировать информацию, не нарушая правил безопасности?
∙ Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?
Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируются соотношения между безопасностью и эффективностью функционирования. В состав Руководства администратора должны быть включены следующие пункты:
∙ Каковы основные защитные механизмы?
∙ Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?
∙ Как администрировать средства произвольного управления доступом? Как защищать системную информацию? Как обнаруживать слабые места?
∙ Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?
∙ Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?
∙ Как генерировать новую, переконфигурированную надежную вычислительную базу?
∙ Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?
∙ Как разделить обязанности системного администратора и оператора?
Тестовая документация содержит описания тестов и их результаты.
Описание архитектуры в данном контексте должно включать в себя, по крайней мере, сведения о внутреннем устройстве надежной вычислительной базы..
Технологический процесс функционирования системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает выполнение следующих процедур:
∙ учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
∙ ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
∙ оперативный контроль функционирования систем защиты секретной информации;
∙ контроль соответствия общесистемной программной среды эталону;
∙ контроль хода технологического процесса обработки информации путем регистрации анализа действий пользователей.
Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в системе в целом.
Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь выбранной концепции безопасности.
Деятельность администратора средств безопасности должна осуществляться по трем направлениям:
∙ администрирование системы в целом;
∙ администрирование функций безопасности;
∙ администрирование механизмов безопасности.
Среди действий, относящихся к системе в целом, отметим поддержание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например, таким типовым списком:
∙ управление ключами (генерация и распределение);
∙ управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи, управление целостностью, если оно обеспечивается криптографическими средствами;
∙ администрирование управления доступом (распределение информации, необходимой для управления ─ паролей, списков доступа и т.п.);
∙ управление аутентификацией (распределение информации, необходимой для аутентификации ─ паролей, ключей и т.п.).