Методы системного проектирования

3.     Информационная безопасность  и проблемы сертификации  качества ПС (TCSEC, ITSEC) 

Информационная  безопасность - защищенность информации и поддерживающей инфраструктуры от случайных  или преднамеренных воздействий естественного  или искусственного характера, чреватых нанесением ущерба владельцам или пользователям  информации и поддерживающей инфраструктуры.          

На практике важнейшими являются три аспекта  информационной безопасности:

• доступность (за разумное время получение требуемой информационной услуги);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность (защита от несанкционированного прочтения).

Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для ИС (основополагающие документы):

• «Оранжевая книга» Национального центра защиты компьютеров США (TCSEC);
• Гармонизированные критерии Европейских стран (ITSEC);
• Рекомендации Х.800;
• Концепция защиты от НСД Госкомиссии при Президенте РФ.

« Оранжевая  книга» - документ (Министерство обороны  США, август 1983 г.). В нем дается пояснение понятия «безопасная система», которая «управляет посредством соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию». Однако, безопасных систем не существует (речь идет о надежных системах). Надежная система - система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Степень доверия или надежность проектируемой или используемой системы защиты или ее компонентов (критерии):

1. концепция безопасности
2. гарантированность

Концепция безопасности разрабатываемой системы - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Элементы:

• произвольное управление доступом

метод ограничения  доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит, владелец объекта может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту (гибок; рассредоточенность управления и сложность централизованного  контроля, оторванность прав доступа  от данных)

• безопасность повторного использования объектов

дополнение  средств управления доступом, предохраняющее от случайного или преднамеренного  извлечения секретной информации из «мусора»; гарантируется для областей оперативной памяти (буферы с образами экрана, расшифрованные пароли), дисковых блоков и магнитных носителей 

• метки безопасности

 Субъекты (благонадежность) и объекты (степень закрытости информации) для реализации принудительного  управления доступом. Части: уровень  секретности и список категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

• совершенно секретно;
• секретно;
• конфиденциально;
• несекретно.

Главная проблема - обеспечение их целостности (не должно быть непомеченных субъектов и объектов, при любых операциях с данными  метки должны оставаться правильными). Одним из средств обеспечения  целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться  информация разного уровня секретности. Одноуровневое устройство - вырожденный  случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система  может решить, допустимо ли записывать на него информацию с определенной меткой.

• принудительное управление доступом     

Сопоставление меток безопасности субъекта и объекта, он не зависит от воли субъектов. Субъект  может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все  категории, перечисленные в метке  безопасности объекта, присутствуют в  метке субъекта (метка субъекта доминирует над меткой объекта). После фиксации меток безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

Если понимать систему безопасности узко, как правила  разграничения доступа, то механизм подотчетности является дополнением  подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что  он делает. Средства подотчетности  делятся (категории):

• идентификация и аутентификация;
• предоставление надежного пути;
• анализ регистрационной информации.

Обычный способ идентификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить  подлинность личности пользователя. Стандартное средство проверки аутентификации – пароль (личные карточки, сканирование роговицы, отпечатков пальцев, их комбинация). Надежный путь связывает пользователя непосредственно с надежной вычислительной базой, минуя потенциально опасные  компоненты системы. Цель - возможность  убедиться в подлинности обслуживающей  его системы. Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), затрагивающими безопасность системы. События:

• вход в систему (успешность);
• выход из системы;
• обращение к удаленной системе;
• операции с файлами (открыть, закрыть, переименовать, удалить);
• смена привилегий или иных атрибутов безопасности (режим доступа, уровень благонадежности пользователя)

Протоколирование  помогает следить за пользователями и реконструировать прошедшие события. При протоколировании записываются:

• дата и время события;
• уникальный идентификатор пользователя - инициатора действия;
• тип события;
• результат действия;
• источник запроса  (имя терминала);
• имена затронутых объектов (открываемых или удаляемых файлов);
• описание изменений, внесенных в базы данных защиты (новая метка безопасности объекта);
• метки безопасности субъектов и объектов события.

Важен регулярный и целенаправленный анализ информации  (средства аудита СУБД). Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы, вытекает из тестирования или проверки (формальной или нет) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выбранной концепции безопасности. Виды гарантированности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, а технологическая - к методам построения и сопровождения. Операционная гарантированность - способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и включают в себя проверку следующих элементов:

• архитектуры системы;
• целостности системы;
• анализа тайных каналов передачи информации;
• надежного администрирования;
• надежного восстановления после сбоев.

Архитектура системы  должна способствовать реализации мер  безопасности или прямо поддерживать их (разделение команд по уровням привилегированности, защита различных процессов от взаимного  влияния за счет выделения каждому  своего виртуального пространства, особая защита ядра ОС). Целостность системы (аппаратные и программные компоненты надежной вычислительной базы работают должным образом, имеется аппаратное и программное обеспечение для периодической проверки целостности). 
Анализ тайных каналов передачи информации - тема, где главное - обеспечить конфиденциальность информации. Тайный канал - передача информации, не предназначенный для обычного использования. Используются для получения злоумышленником сведений от внедренного в систему «троянского коня». 
Надежное администрирование в трактовке «Оранжевой книги» - должны быть логически выделены три роли (системного администратора, системного оператора и администратора безопасности). Надежное восстановление после сбоев - метод обеспечения гарантированности, сохранена целостность информации, в частности целостность меток безопасности. Виды надежного восстановления: подготовка к сбою (отказу) и восстановление. Подготовка к сбою - регулярное выполнение резервного копирования,  выработка планов действий в экстренных случаях, поддержание запаса резервных компонентов. Технологическая гарантированность охватывает весь жизненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Критерии, изложенные в «Оранжевой книге», позволили специалистам ранжировать информационные системы защиты информации по степени надежности. Уровни надежности: D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Имеется шесть классов безопасности - С1, С2, В1, В2, ВЗ, А1.           

     Следуя по пути интеграции, Европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC) (Франция, Германия, Нидерланды и Великобритания, июнь 1991г.) Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функциями, т.е. насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях. Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности:

• конфиденциальность
• целостность
• доступность

В европейских  критериях средства, имеющие отношение  к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем  нужны функции безопасности? Второй уровень содержит спецификации функций  безопасности, т. е. здесь выявляется, какая функциональность на самом  деле обеспечивается. На третьем уровне содержится информация о механизмах безопасности, показывающих, как реализуется указанная функция. Критерии рекомендуют выделить в спецификациях реализуемых функций обеспечения безопасности расширенный по сравнению с «Оранжевой книгой» состав разделов или классов функций:

• Идентификация и аутентификация.
• Управление доступом.
• Подотчетность.
• Аудит.
• Повторное использование объектов.
• Точность информации.
• Надежность обслуживания.
• Обмен данными.

          Чтобы облегчить  формулировку цели оценки, европейские  критерии содержат в качестве приложения описание десяти примерных классов  функциональности, типичных для правительственных  и коммерческих систем. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам  безопасности «Оранжевой книги». Кроме того, в критериях определены три уровня мощности механизмов защиты - базовый, средний и высокий.  

4.     Консалтинг в области  информационных технологий  

  Консалтинг - это деятельность специалиста или целой фирмы, занимающихся стратегическим планированием проекта, анализом и формализацией требований к информационной системе, созданием системного проекта, проектированием приложений. Консалтинг предваряет и регламентирует названные этапы.

Консультантом выполняется:

1. наведение порядка в организации: бизнес-анализ и реструктуризация (реинжиниринг бизнес-процессов). Бизнес-консалтинг - деятельность, направленная на разбор в функционировании, построение соответствующей модели и выдвижение предложения по улучшению работы некоторых звеньев, бизнес - процессов (деятельностей, имеющих ценность для клиента).
2. системный анализ и проектирование. Выявление и согласование требований заказчика приводит к пониманию того, что же в действительности необходимо сделать. За этим следует проектирование или выбор готовой системы так, чтобы она в итоге как можно в большей степени удовлетворяла требованиям заказчика.