• превентивные меры, которые препятствуют нарушениям информационной безопасности;
• меры обнаружения нарушений;
• локализующие меры, которые сужают зону воздействия нарушений;
• меры по выявлению нарушителя;
• меры восстановления режима безопасности.
В продуманной архитектуре безопасности все указанные меры должны присутствовать.
Важными также являются следующие принципы архитектурной безопасности:
• непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
• следование признанным стандартам, использование апробированных решений;
• иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
• усиление самого слабого звена;
• невозможность перехода в небезопасное состояние;
• минимизация привилегий;
• разделение обязанностей;
• многоуровневая оборона;
• разнообразие защитных средств;
• простота и управляемость информационной системы.
Основным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:
• идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• шифрование;
• контроль целостности;
• экранирование;
• анализ защищенности;
• обеспечение отказоустойчивости;
• обеспечение безопасного восстановления;
• туннелирование;
• управление.
Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, т. е. быть устойчивыми к соответствующим угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/ аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.
Основные моменты для каждого из перечисленных сервисов безопасности:
1. Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде.
2. При разграничении доступа должна учитываться семантика операций.
3. Простота администрирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации.
Протоколирование и аудит должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более высокий уровень. Это необходимое условие управляемости. Желательно применение средств активного аудита. Однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей многоуровневой обороны. Следует конфигурировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании.
Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения. Данный сервис является инфраструктурным, его реализация должна присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого программного обеспечения.
Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. К статической целостности есть и некриптографические подходы, основанные на использовании запоминающих устройств, данные на которых доступны только для чтения. Если в системе разделить статическую и динамическую составляющие и поместить первую в постоянное запоминающее устройство или на компакт-диск, можно в основном пресечь угрозы целостности. В этом случае наиболее рационально записывать регистрационную информацию на устройства с однократной записью.
Экранирование является сервисом безопасности, который реализуется через межсетевые экраны, ограничивающие интерфейсы и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удобства использования и администрирования. В сетевой среде они являются первым и весьма эффективным рубежом защиты информации. Целесообразно применение всех видов межсетевых экранов от персональной до внешней корпоративной системы. Контролю должны подлежать действия внешних и внутренних пользователей.
Анализ защищенности – это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость практически непрерывного обновления базы знаний. Анализ защищенности не самый надежный, но необходимый защитный рубеж, на котором можно расположить свободно распространяемый продукт.
Обеспечение отказоустойчивости и безопасного восстановления – это аспекты высокой доступности. При их реализации решаются архитектурные вопросы, в первую очередь – внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом возможных угроз и соответствующих зон поражения.
Безопасное восстановление – это последний уровень защиты, требующий особого внимания, тщательности при проектировании, реализации и сопровождении.
Туннелирование – не основной, но необходимый элемент сервисов безопасности. Он важен в комбинации с шифрованием и экранированием для реализации виртуальных частных сетей.
Управление – это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в ИС (а в идеале и получить прогноз развития ситуации). Наиболее практичным решением для большинства организаций является использование какого-либо свободно распространяемого программного или технического каркаса с постепенным дополнением на него собственных функций.
В Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
ФСТЭК России предполагает выполнение двух РД – Классификацию автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа к информации (НСД) и аналогичную классификацию межсетевых экранов (МЭ).
Согласно первому из них устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности.
Группа содержит два класса – 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
В табл. 2 приведены требования ко всем девяти классам защищенности АС.
Таблица 2
Требования к защищенности автоматизированных систем
Примечание к табл. 2: "-" нет требований к данному классу; "+" есть требования к данному классу; СЗИ НСД система защиты информации от несанкционированного доступа.
По существу это минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступность (точнее, восстановление) предусмотрено только для самих средств защиты.
В принципиально важном РД "Классификация межсетевых экранов" описываются сервисы безопасности относительно использования межсетевого разграничения доступа. Основным критерием классификации МЭ служит протокольный уровень (в соответствии с эталонной семиуровневой моделью), на котором осуществляется фильтрация информации. Чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию можно реализовать. Значительное внимание в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирования распределенных конфигураций.