Політика інформаційної безпеки

   РПБ застосовується досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального життя.

   Справді, по суті, користувачі, що працюють у  системі, діють не від свого власного імені ─ вони завжди виконують  певні службові обов'язки, тобто  виконують деякі ролі, які аж ніяк не пов'язані з їх особистістю. Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов' язків і повноважень між учасниками прикладного  інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов'язків.

   Наприклад, у реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі. У такій ситуації РПБ дає змогу розподілити повноваження між цими ролями відповідно до їх службових обов'язків: ролі адміністратора призначаються спеціальні повноваження, які дозволять йому контролювати роботу системи і керувати її конфігурацією, роль менеджера баз даних дозволяє здійснювати керування сервером БД, а права простих користувачів  обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів ─ один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією й тією ж роллю, якщо вони виконують однакову роботу. При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об'єктів, і, по-друге, кожному користувачеві призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження. У моделі РПБ визначаються множини: множина користувачів, множина ролей, множина повноважень на доступ до об'єктів, наприклад, у вигляді матриці прав доступу, множина сеансів роботи користувачів з системою. Для перелічених множин визначаються відношення, які встановлюють для кожної ролі набір наданих їй повноважень, а також для кожного користувача- набір доступних йому ролей.

   Правила керування доступом РПБ визначаються певними функціями, які для кожного  сеансу визначають користувачів, набір  ролей, що можуть бути одночасно доступні користувачеві в цьому сеансі, а також набір доступних у  ньому повноважень, що визначається як сукупність повноважень усіх ролей, що беруть участь у цьому сеансі. Як критерій безпеки рольової моделі  використовується правило: «система вважається безпечною, якщо будь-який користувач системи, що працює в певному сеансі, може здійснити дії, які вимагають певних повноважень тільки в тому випадку, коли ці повноваження належать сукупності повноважень усіх ролей, що беруть участь у цьому сеансі».

   З формулювання критерію безпеки рольової моделі випливає, що управління доступом здійснюється, головним чином, не за допомогою призначення повноважень ролям, а шляхом встановлення відношення, яке призначає ролі користувачам, і функції, що визначає доступний у сеансі набір ролей. Тому численні інтерпретації рольової моделі відрізняються видом функцій, що визначають правила керування доступом, а також обмеженнями, що накладаються на відношення між множинами. Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеку за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоча такий підхід дозволяє отримати прості й зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, проте позбавляє систему теоретичної доказової бази (вада). У деяких ситуаціях ця обставина утруднює використання РПБ, однак у кожному разі оперувати ролями набагато зручніше, ніж суб'єктами (знову перевага), оскільки це більше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов'язків і сфер відповідальності між користувачами. Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюється контролюється ДПБ або МПБ, що дозволяє будувати багаторівневі схеми контролю доступу. 

3.  Значення політики безпеки інформації

   Наведений огляд сучасних ПБ визначає основні  принципи їх функціонування, а також  підкреслює їх роль і виключну важливість при побудові та експлуатації захищених  АС. Додамо, що в багатьох сучасних програмних засобах захисту інформації розглянуті ПБ уже реалізовані. Однак слід зазначити, що це зовсім не означає їх механічного застосування. Зрозуміло, що спочатку в конкретній організації має бути проведений ретельний аналіз процесів обробки інформації, на основі якого потім створюється і застосовується конкретна ПБ.

   Необхідно також зазначити, що, крім загального опису поняття ПБ, в Українському стандарті з технічного захисту  інформації [1, 2] більш конкретних нормативних  та методичних матеріалів з розробки ПБ для АС поки що немає.

   Зауважимо, що, в більшості організацій (як державних, так і недержавних) про поняття ПБ навіть не мають уявлення. Але парадокс якраз полягає в тому, що фактично в будь-якій організації завжди існують конкретні правила, що

регламентують процес її функціонування, зокрема  і процес захисту інформації, а  саме ці правила і є політикою. Отже, фактично в будь-яких АС окремі елементи ПБ завжди наявні.  

   2.4 Опис  трьохрівневої політики інформаційної  безпеки  

   З практичної точки зору політику безпеки  доцільно розділити на три рівні. До верхнього рівня можна віднести рішення, що торкаються організації  в цілому. Вони носять дуже загальний  характер і, як правило, виходять від  керівництва організації. Наприклад, список подібних рішень може включати в себе:

   ─ формування або перегляд самої комплексної програми забезпечення інформаційної безпеки, призначення відповідальних за реалізацію цієї програми;

   ─ формулювання цілей у сфері інформаційної безпеки та визначення загальних напрямів їх досягнення;

   ─ забезпечення технічної бази для дотримання відповідних законів і правил;

   ─ формулювання управлінських рішень з тих питань реалізації програмної безпеки, які повинні розглядатися на рівні організації в цілому.

   На  політику верхнього рівня впливають  цілі організації в галузі інформаційної  безпеки: вони формулюються, як правило  в термінах цілісності, доступності  та конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, то на першому плані може стояти зменшення випадків втрат, пошкоджень або спотворень даних. Для організації, що займається наданням послуг, імовірно, важлива актуальність інформації про ці послуги та їх ціни, а також доступність послуг максимальному числу потенційних покупців. Режимна організація в першу чергу піклується про захист від несанкціонованого доступу ─ конфіденційності.

   На  верхній рівень виноситься управління ресурсами захисту та координація  їх використання, виділення спеціального персоналу для захисту особливо важливих систем, підтримка контактів  з іншими організаціями, що забезпечують чи контролюють режим безпеки.

   Сфера політики верхнього рівня повинна  бути чітко окреслена. Можливо, це будуть комп'ютерні системи самої організації, а, можливо, і деякі аспекти використання домашніх комп'ютерів у співробітників цієї організації. Можна уявити собі, і таку ситуацію, коли в сферу  впливу включаються лише окремі найбільш важливі системи політики інформаційної  безпеки підприємства. Вироблення програми інформаційної безпеки верхнього  рівня і її здійснення - це завдання певних посадових осіб, за виконання  якої вони повинні регулярно звітувати.

     Нарешті, політика інформаційної  безпеки верхнього рівня, очевидно, повинна вписуватися в існуючі  закони держави, а щоб бути  впевненими в тому, що їй точно  й акуратно слідує персонал  підприємства, доцільно розробити  систему відповідних заохочень  і покарань. А взагалі-то кажучи, на верхній рівень слід виносити  мінімум питань. До середнього  рівня можна віднести окремі  аспекти інформаційної безпеки,  проте важливі для різних систем, експлуатованих організацією.

   Політика  середнього рівня по кожному подібному  аспекту передбачає вироблення відповідного документованого управлінського рішення, в якому зазвичай є:

   ─ Опис аспекта. Наприклад, якщо взяти  застосування користувачами неофіційного програмного забезпечення, то про  нього обов'язково має бути сказано, що це таке забезпечення, яке не було схвалено і / або закуплено на рівні  організації.

   ─ Вказівка на область її застосування (розповсюдження тієї чи іншої політики інформаційної безпеки). Іншими словами  має бути сертифіковано, де, коли, як, по відношенню до кого і чого застосовується дана політика безпеки.

   ─ Чіткий розподіл відповідних ролей  та обов'язків. У «політичний» документ необхідно включити інформацію про  посадових осіб, відповідальних за проведення політики безпеки в життя. Наприклад, якщо для використання працівником  неофіційного програмного забезпечення потрібно офіційний дозвіл, то має  бути відомо, у кого і як його слід отримувати. Якщо повинні перевірятися диски, принесені з інших комп'ютерів, необхідно описати процедуру  перевірки. Якщо неофіційне програмне  забезпечення використовувати не можна, слід знати, хто стежить за виконанням цього правила.

   ─ Механізм забезпечення «законослухняності». Політика має містити загальний опис заборонених дій і покарання за них.

   ─ Вказівки на необхідні «точки контакту». Повинно бути точно відомо, куди слід звертатися за роз'ясненнями, допомогою та додатковою інформацією. Зазвичай «точкою контакту» служить посадова особа.

   Політика  безпеки нижнього рівня відноситься  до конкретних сервісів. Вона включає  в себе всього два аспекти - мети і правила їх досягнення, тому її часом важко відокремити від  питань реалізації (надання послуг з інформаційного забезпечення). На відміну від двох верхніх рівнів, розглянута політика нерідко буває  набагато більш детальною. Є багато питань, специфічних для окремих  сервісів, які не можна єдиним чином  регламентувати в рамках всієї організації. У той же час ці питання настільки  важливі для забезпечення режиму безпеки, що рішення, які належать до них, повинні прийматися на управлінському, а не технічному рівні. Ось лише кілька прикладів-запитань, на які слід дати відповідь при розробці політики безпеки нижнього рівня:

   ─ Хто має право доступу до об'єктів, що підтримуються сервісом?

   ─ За яких умов можна читати і модифікувати дані?

   ─ Як організований вилучений доступ до сервісу?

   При формулюванні цілей, політика нижнього рівня може виходити з міркувань  цілісності, доступності та конфіденційності, але вона не повинна на цьому зупинятися. Її цілі мають бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку зарплати, можна поставити мету, щоб тільки працівникам відділу  кадрів і бухгалтерії дозволялося  вводити і змінювати інформацію. У більш загальному випадку цілі повинні пов'язувати між собою  об'єкти сервісу та логічні з точки  зору інформаційної безпеки, осмислені, дії з ними. З цілей зазвичай виводяться правила безпеки, що описують, хто, що і за яких умов може робити. Чим  детальніше правила, чим більш формально  вони викладені, тим простіше підтримувати їх виконання програмно-технічними заходами. З іншого боку, занадто  жорсткі правила можуть заважати роботі користувачів, і, ймовірно, їх доведеться часто переглядати.

   Керівництву необхідно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а працівники не виявляться надмірно сковані.  
 
 
 
 
 
 
 

ПЕРЕЛІК ПОСИЛАНЬ 
 

  1. Садердинов А. А., Трайнев В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие.2-е изд. ─М.: Издательско-торговая корпорация «Дашков и К°». 2005. ─336 с.