Не пора ли нам сменить концепцию защиты?
Виталий Мельников,
системный аналитик в области безопасности информации,
замначальника отдела ФГУП "НИИАА", к.т.н.
Itsec.Ru
ИЗВЕСТНО, что случаи несанкционированного доступа (НСД) к информации в автоматизированных системах (АС) в мире продолжают иметь место. В связи с этим на протяжении долгого времени продолжаются работы по совершенствованию применяемых методов и средств защиты, а также разработка новых, что принципиально до сих пор не изменило ситуацию. Ведется также постоянная доработка (в течение 20 лет) стандартов, необходимых для сертификации АС в данной области. Проводимые изменения стандартов с периодичностью 3–5 лет носят иногда принципиальный характер, что ставит разработчиков сложных АС в затруднительное положение и фактически подтверждает остроту положения с решением проблемы безопасности данных в создаваемых АС. По мнению специалистов АНБ США, положение в области безопасности компьютерных систем характеризуется как провальное.
Анализ современного состояния решения проблемы
В настоящее время сложился подход, основанный на представлении обработки информации в виде абстрактной вычислительной среды, в которой работают множество "субъектов" (пользователей и процессов) с множеством "объектов" (ресурсами и наборами данных). При этом построение защиты заключается в создании защитной среды в виде некоторого множества ограничений и процедур, способных под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ "субъектов" к "объектам" и защиту последних от множества преднамеренных и случайных внешних и внутренних угроз.
Данный подход опирается на теоретические модели безопасности: АДЕПТ-50 Хартсона, Белла-Лападулы, MMS Лендве-ра и МакЛина, Биба, Кларка-Вилсона и др. Считается, что данные модели являются инструментарием при разработке определенных политик безопасности, определяющих некоторое множество требований, которые должны быть выполнены в конкретной реализации системы. На практике разработчику чрезвычайно сложно реализовать эти модели, и поэтому они рекомендуются лишь для анализа и оценки уровня безопасности автоматизированных систем, а руководствоваться при разработке предлагается специально разработанными стандартами на основе упомянутых подхода и моделей.
Критерии оценки безопасности IT
Следует рассмотреть международный стандарт ГОСТ Р ИСО/МЭК 15408–2002 "Критерии оценки безопасности информационных технологий" (Criteria for Information Technology Security Evaluation), разработанный в рамках проекта "Общие критерии". Общие критерии (ОК) представляют собой структурированную, универсальную библиотеку требований безопасности, сформулированных в общем виде. Их специализация и конкретизация осуществляются в двух основных конструкциях, определенных в ОК: профилях защиты (ПЗ) и заданиях по безопасности (ЗБ). Профиль защиты предназначен для сертификации средств защиты информации продуктов и систем IТ и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия IТ. Заметим, что при этом появляются промежуточные документы (ПЗ и ЗБ).
В указанных документах (с некоторыми различиями) приводится совокупность требований к набору и содержанию защитных функций, выполнение которых должно обеспечить защищенность создаваемых систем от известных на момент создания документов угроз случайного и преднамеренного характера. Полнота выполнения упомянутых требований оценивается экспертами, которые и определяют класс защищенности по стандарту без количественных показателей.
Однако такому подходу и способу присущи принципиальные недостатки, приводящие к низкому уровню безопасности обрабатываемой информации, которые и являются основной причиной создавшегося положения. Суть их заключается прежде всего в неопределенности постановки задачи, что является причиной сложности ее решения. В разрабатываемой системе не просто определить:
- предмет защиты (множество "объектов" доступа);
- виды и количество угроз; "субъекты" доступа (множество процессов);
- возможные механизмы взаимодействия "субъектов" с "объектами" (в стандартах отсутствует физическая "привязка" функций защиты к видам АС).
Если число штатных "объектов" и "субъектов" (кроме процессов) доступа на конкретной системе можно как-то еще определить, то виды и количество процессов, возможных преднамеренных несанкционированных и случайных воздействий, особенно в региональных, глобальных сетях, учету не поддаются. Проверить стойкость защиты по каждой ожидаемой угрозе вообще не представляется возможным.
Особенно следует отметить отсутствие объективной возможности оценить степень приближения полученных результатов прочности защиты к истинному значению, так как в стандартах отсутствует механизм создания замкнутой защитной оболочки и расчетных соотношений ее прочности. Отсутствие первого приводит к наличию "дыр" в защите, а отсутствие вторых - к существенному отклонению точности получаемых результатов оценки ожидаемой эффективности защиты.
Создаваемая защитная среда носит сугубо фрагментарный характер, так как невозможно определить ее границы и плотность. На практике защитная среда реализуется в виде определенного нормативными документами набора функций, в котором отсутствуют количественные показатели прочности защиты и используется "лукавый" термин "защищенность". Данные функции определены лишь на основе опыта. Достаточность набора и уровня исполнения этих функций для обеспечения защиты нигде и никем не доказана. Критерии оценки их реализации и ожидаемой эффективности весьма расплывчаты.
В некоторых классах защищенности АС, приведенных в РД Гостехкомиссии РФ, отсутствует требование сигнализации о НСД, а там, где оно указано, отсутствует самый важный параметр – время доведения сигнала. Период просмотра результатов регистрации событий не задан. В подсистеме обеспечения целостности отсутствует период контроля, в классах 1Д и 1Г отсутствует администратор безопасности или должностное лицо, исполняющее его обязанности, и т.д. Перечень недостатков, вытекающих из примененной концепции в нормативных документах, можно продолжить.
Анализ применяемых в указанных стандартах терминов и определений (гаpантиpован-ности, коppектности, адекватности функциональности, мощности) говорит о весьма приближенном хаpактеpе их влияния на конечный результат оценки. Их основной недостаток заключается в том, что при пpоектиpовании автоматизированной системы pазpаботчик не имеет четких исходных данных и методов расчета, руководствуясь которыми он должен строить систему. Другими словами, процессы пpоектиpо-вания и оценки защиты информации в АС слабо связаны между собой. При проведении такой оценки в сложных системах может оказаться, что она будет иметь отрицательный результат и потребуется большая доработка АС.
Из-за отсутствия адекватной теории и расчетных соотношений в "Критериях оценки" не приведены единицы измерения и количественная оценка уровня безопасности информации в автоматизированных системах. Существующие теории расчета защиты настолько сложны и абстрактны, что не имеют практического применения.
С позиций предлагаемой ниже концепции защиты информации критерии оценки уровня безопасности информации, используемые в указанных стандартах, не всегда учитывают или не учитывают совсем следующие данные:
- классификацию объектов обработки и передачи данных по видам технической реализации;
- классификацию потенциальных угроз, адекватную классификации объектов обработки и передачи данных;
- возможные каналы НСД к информации на объектах обработки и передачи данных;
- деление средств защиты на средства защиты от случайных и преднамеренных НСД, имеющих различные физическую природу, характер воздействия и точки приложения в объекте обработки и передачи данных;
- образование системы взаимосвязанных преград, замыкающихся вокруг предмета защиты и препятствующих обходу преград нарушителем;
- время жизни информации, обнаружения и блокировки НСД;
- ожидаемое время преодоления преграды нарушителем.
На основании изложенного можно сделать вывод о том, что в основу проектирования защиты уже закладываются пути ее обхода и может случиться, что получение сертификата о наличии защиты не означает, что она на самом деле есть.
Следствием такого подхода являются также противоречия и различное толкование основных терминов и определений, появление которых в некоторых работах и нормативных документах при отсутствии работающей на практике теории безопасности информации в АС можно считать явно преждевременным.
В последнее время появились понятия "атаки" и "уязвимости" вычислительной среды. Однако критерии обнаружения данных событий имеют довольно неопределенный характер, что не позволяет судить о полноте и достаточности принятых мер защиты в АС. Данные попытки относятся к совершенствованию средств защиты, результатом которого является лишь временное повышение эффективности защиты. С появлением новых атак и уязви-мостей опять эффективность такой защиты в уже изготовленной АС снижается.
Опубликовано:
Журнал "Information Security/ Информационная безопасность" #3, 2010