Основные понятие Иб

В этой главе рассматриваются политики безопасности в контексте

требований к информационной безопасности и обстоятельств, при которых
эти требования должны выполняться, рассматриваются общие принципы
управленческого контроля и рассматриваются типичные уязвимости систем,
чтобы мотивировать рассмотрение конкретных видов механизмов
безопасности, которые могут быть встроены в компьютерные системы—
дополнить нетехнические средства управления и, таким образом, реализовать
политику—и подчеркнуть важность создания GSSP. Дополнительная
информация по вопросам конфиденциальности и подробное описание
результатов неофициального опроса сотрудников коммерческой службы
безопасности приводятся в приложениях к двум главам.

Организации и люди использующие компьютеры могут описать свои

потребности в информационной безопасности и доверии к системам в
терминах трех основных требований:

 Конфиденциальность: контроль за тем, кто получает доступ к

информации;

 Целостность: обеспечение того, чтобы информация и программы

изменялись только определенным и разрешенным образом; и

 Доступность: обеспечение постоянного доступа авторизованных

пользователей к информации и ресурсам.

Эти три требования могут быть подчеркнуты по-разному в различных

приложениях. Для системы национальной обороны главной задачей может
быть обеспечение конфиденциальности секретной информации, в то время
как система перевода средств может потребовать строгого контроля
целостности. Требования к приложениям, подключенным к внешним
системам, будут отличаться от требований к приложениям без такого
соединения. Таким образом, конкретные требования и элементы управления
информационной безопасностью могут отличаться.

Структура, в рамках которой организация стремится удовлетворить свои

потребности в информационной безопасности, кодифицируется как политика
безопасности. Политика — безопасности-это краткое изложение лицами,
ответственными за систему (например, высшим руководством),
информационных ценностей, обязанностей по защите и организационных
обязательств. Эту политику можно реализовать, предпринимая конкретные
действия, руководствуясь принципами управленческого контроля и
используя конкретные стандарты, процедуры и механизмы безопасности. И
наоборот, выбор стандартов, процедур и механизмов должен определяться
политикой, чтобы быть наиболее эффективным.

Чтобы быть полезной, политика безопасности должна не только указывать

потребность в безопасности (например, в конфиденциальности—эти данные
должны раскрываться только уполномоченным лицам), но и учитывать ряд
обстоятельств, при которых эта потребность должна быть удовлетворена, и
связанные с этим операционные стандарты. Без этой второй части политика
безопасности настолько общая, что бесполезна (хотя вторая часть может
быть реализована с помощью процедур и стандартов, установленных для
реализации политики). В любом конкретном случае некоторые угрозы более
вероятны, чем другие, и благоразумный политик должен оценить угрозы,
назначить каждому уровень опасности и сформулировать политику, с точки
зрения которой угрозам следует противостоять. Например, до недавнего
времени большинство политик безопасности не требовали удовлетворения
потребностей в безопасности перед лицом вирусной атаки, поскольку эта
форма атаки была необычной и не получила широкого
понимания. Поскольку вирусы превратились из гипотетической угрозы в
обычную, возникла необходимость пересмотреть такую политику в
отношении методов распространения и приобретения программного
обеспечения. Этот процесс подразумевает выбор руководством уровня
остаточного риска, с которым оно будет жить, - уровня, который варьируется
в зависимости от организации.

Управленческий контроль—это механизмы и методы—административные,

процедурные и технические, - которые создаются для реализации политики
безопасности. Некоторые элементы управления явно связаны с защитой
информации и информационных систем, но понятие элементов управления
включает в себя гораздо больше, чем конкретная роль компьютера в
обеспечении безопасности. Обратите внимание, что средства управления
используются не только менеджерами, но и пользователями. Эффективная
программа управленческого контроля необходима для того, чтобы охватить
все аспекты информационной безопасности, включая физическую
безопасность, классификацию информации, средства восстановления после
нарушений безопасности и, прежде всего, обучение, чтобы привить
осведомленность и принятие людьми. Есть компромиссы между
контролем. Например, если технические средства управления недоступны, то
процедурные средства управления могут использоваться до тех пор, пока не
будет найдено техническое решение.

Только технические меры не могут предотвратить нарушения доверия людей

к отдельным лицам, нарушения, которые были источником большая часть
проблем компьютерной безопасности в промышленности на
сегодняшний день (см Технические меры могут помешать людям совершать
несанкционированные действия, но не могут помешать им делать то, на что
они имеют право по своим служебным обязанностям. Таким образом, чтобы
предотвратить нарушения доверия, а не просто устранить причиненный
ущерб, необходимо прежде всего полагаться на осведомленность людей о
том, что делают другие люди в организации. Но даже технически надежная
система с информированным и внимательным руководством и
пользователями не может быть свободна от всех возможных
уязвимостей. Остаточный риск должен управляться с помощью процедур
аудита, резервного копирования и восстановления, подкрепленных общей
бдительностью и творческими реакциями. Кроме того, организация должна
иметь административные процедуры для доведения специфических действий
до сведения кого-то, кто может на законных основаниях исследовать
целесообразность таких действий, и это лицо должно фактически провести
расследование. Во многих организациях эти административные положения
являются гораздо менее удовлетворительными, чем технические положения,
касающиеся безопасности.

Основной вывод настоящего доклада заключается в том, что отсутствие

четкой формулировки политики безопасности для общих вычислений
является одним из основных препятствий для повышения безопасности в
компьютерных системах. Хотя Министерство обороны (МО)
сформулировало свои требования к средствам контроля для обеспечения
конфиденциальности, для систем, основанных на других требованиях и
средствах контроля за управлением (обсуждаемых ниже)—индивидуальной
подотчетности, разделении обязанностей, проверяемой и взыскании-нет
четких формулировок. Цель этого комитета-разработать набор
Общепринятых Принципов системной безопасности (GSSP), направленных
на устранение этого недостатка, и является центральной рекомендацией
настоящего доклада.

В вычислительной технике не существует общепринятого свода разумной

практики, аналогичного общепринятым Принципам бухгалтерского учета,
провозглашенным Советом по стандартам финансового аудита, менеджеры,
которые никогда не видели адекватного контроля за компьютерными
системами, могут не оценить возможности, имеющиеся в настоящее время у
них, или риски, которые они берут на себя, работая без этих средств
контроля. Столкнувшись с требованиями увеличения объема производства,
они не имели стимула тратить деньги на контроль. Рассуждения, подобные
следующим, распространены: "Не могу этого сделать и все равно остаюсь
конкурентоспособным"; "У нас никогда не было никаких проблем, так зачем
беспокоиться"; "Продавец не положил его в продукт; мы ничего не можем
сделать."

Исходя из сообщаемых потерь, такие отношения не являются

необоснованными (Neumann, 1989). Однако компьютеры являются
активными сущностями, и программы могут быть изменены в мгновение ока,
так что прошлое счастье не является предиктором будущего
блаженства. Должен быть только один инцидент с интернет-червем, чтобы
сигнализировать о более крупной проблеме. Опыт работы с интернет-червем,
включающим атаки copy-cat и derivative, показывает, как возможность,
однажды продемонстрированная, может стать часто используемой
реальностью.

Существует определенный консенсус в отношении фундаментальных или

минимально необходимых механизмов безопасности. Недавнее
неофициальное обследование, проведенное от имени комитета,
свидетельствует о широко распространенном среди руководителей
корпоративных систем и сотрудников службы безопасности желании иметь
возможность выявлять пользователей и ограничивать время и места доступа,
особенно по сетям, и следить за вторжением путем регистрации попыток
недействительных действий. Специальные вирусные шашки, хорошо
известные на рынке персональных компьютеров, также пользуются
спросом. Тем не менее, существует небольшой спрос на системных
менеджеров, чтобы иметь возможность получить положительное
подтверждение того, что программное обеспечение, работающее на их
системах сегодня, такое же, как и вчера. Такой простой аналог аппаратной
диагностики должен быть фундаментальным требованием; он не может
рассматриваться как таковой, потому что поставщики не предлагают его или
потому что пользователи испытывают трудности с выражением своих
потребностей.

Хотя угрозы и политики для их устранения различны для разных

приложений, тем не менее они имеют много общего, и общие системы, на
которых строятся приложения, часто одинаковы. Кроме того, базовые
службы безопасности могут работать против многих угроз и поддерживать
многие политики. Таким образом, существует большое ядро политик и
служб, с которыми большинство пользователей компьютеров должны быть в
состоянии согласиться. На этой основе комитет предлагает предпринять
усилия по определению и формулированию ГССП.

ПОЛИТИКИ БЕЗОПАСНОСТИ-РЕАГИРОВАНИЕ НА ТРЕБОВАНИЯ

КОНФИДЕНЦИАЛЬНОСТИ, ЦЕЛОСТНОСТИ И ДОСТУПНОСТИ

Вес, придаваемый каждому из трех основных требований, описывающих

потребности в информационной безопасности—конфиденциальности,
целостности и доступности—сильно зависит от обстоятельств. Например,
неблагоприятные последствия отсутствия системы должны быть частично
связаны с требованиями к времени восстановления. Система, которая должна
быть восстановлена в течение часа после сбоя, представляет собой и требует
более требовательного набора политик и средств контроля, чем аналогичная
система, которую не нужно восстанавливать в течение двух - трех
дней. Кроме того, риск потери конфиденциальности в отношении основного
объявления о продукте со временем изменится. Раннее раскрытие может
поставить под угрозу конкурентное преимущество, но раскрытие
непосредственно перед предполагаемым объявлением может быть
незначительным. При этом информация остается прежней, а сроки ее
обнародования существенно влияют на риск потерь.
 Конфиденциальность

Конфиденциальность-это требование, цель которого состоит в том, чтобы

сохранить конфиденциальную информацию от разглашения
неавторизованным получателям. То секреты могут быть важны по
соображениям национальной безопасности (данные о ядерном оружии),
правоохранительных органов (личности тайных агентов по борьбе с
наркотиками), конкурентных преимуществ (производственные затраты или
планы торгов) или личной неприкосновенности (кредитные истории) (см.

Наиболее полно разработанная политика конфиденциальности отражает

озабоченность сообщества национальной безопасности США, поскольку это
сообщество готово платить за разработку и реализацию политики (и
поскольку ценность информации, которую оно стремится защитить,
считается очень высокой). Поскольку в этом контексте масштабы угрозы
очень широки, политика требует, чтобы системы были устойчивы перед
лицом широкого спектра атак. Конкретные политики Министерства обороны,
направленные на обеспечение конфиденциальности, прямо не описывают
диапазон ожидаемых угроз, в отношении которых должна применяться та
или иная политика. Вместо этого они отражают оперативный подход,
выражая политику путем указания конкретных средств управления, которые
должны использоваться для достижения требования
конфиденциальности. Таким образом, они избегают перечисления угроз,
которые сами по себе представляли бы серьезный риск, и избегают риска
плохого проектирования системы безопасности, подразумевающего свежий
подход к каждой новой проблеме.

Оперативный контроль, разработанный военными в поддержку этого

требования, включает автоматизированные механизмы обработки
информации, имеющей решающее значение для национальной
безопасности. Такие механизмы требуют, чтобы информация
классифицировалась на разных уровнях чувствительности и в изолированных
отсеках, маркировалась этой классификацией и обрабатывалась людьми,
имеющими допуск к определенным уровням и/или отсекам. В пределах
каждого уровня и отсека человек с соответствующим допуском должен также
иметь "потребность знать", чтобы получить доступ. Эти процедуры
обязательны: необходимо также соблюдать тщательно разработанные
процедуры рассекречивания информации.2

Политика классификации существует и в других условиях, отражая общее

признание того, что для защиты активов полезно их идентифицировать и
классифицировать. Некоторые коммерческие фирмы, например,
классифицируют информацию как закрытую, конфиденциальную и
несекретную (Schmitt, 1990). Даже если организация не имеет собственных
секретов, она может быть обязана законом или обычной вежливостью
сохранять конфиденциальность информации о лицах. Медицинские записи,
например, могут потребовать более тщательной защиты, чем большая часть
конфиденциальной информации. Таким образом, больница должна выбрать
подходящую политику конфиденциальности для поддержания своей
фидуциарной ответственности в отношении записей пациентов.

В коммерческом мире конфиденциальность обычно охраняется механизмами

безопасности, которые менее строги, чем механизмы национальной
безопасности. Например, информация назначается "владельцу" (или
опекуну), который контролирует доступ к ней.3 Такие механизмы
безопасности способны справляться со многими ситуациями, но не так
устойчивы к определенным атакам, как механизмы, основанные на
классификации и мандате.-
маркировка тори-отчасти потому, что невозможно определить, куда могут
поступать копии информации. Например, при атаках на троянских коней
даже законные и честные пользователи механизма владельца могут быть
обмануты, чтобы раскрыть секретные данные. Коммерческий мир перенес
эти уязвимости в обмен на большую оперативную гибкость и
производительность системы, которые в настоящее время связаны с
относительно слабой безопасностью.

Целостность

Целостность-это требование, предназначенное для обеспечения того, чтобы

информация и программы изменялись только определенным и
санкционированным образом. Может быть важно поддерживать
согласованность данных (как при двойной бухгалтерии) или разрешать
изменять данные только утвержденным способом (как при снятии средств с
банковского счета). Также может потребоваться указать степень точности
данных.

Некоторые политики обеспечения добросовестности отражают заботу о

предотвращении мошенничества и излагаются в терминах управленческого
контроля. Например, любая задача, связанная с потенциальным
мошенничеством, должна быть разделена на части, которые выполняются
отдельными людьми. Классический пример-система закупок, состоящая из
трех частей: заказа, получения и оплаты. Кто—то должен подписаться на
каждом шаге, один и тот же человек не может подписаться на двух шагах, и
записи могут быть изменены только фиксированными, процедурами-
например, дебетуется счет и выписывается чек только на сумму
утвержденного и полученного заказа. В этом случае, несмотря на то, что
политика сформулирована общенационально, то есть с точки зрения
конкретных средств управления, модель угроз также раскрывается явно.
Другие политики целостности отражают проблемы, связанные с
предотвращением ошибок и упущений и контролем последствий изменения
программы. Политика добросовестности изучалась не так тщательно, как
политика конфиденциальности. Компьютерные меры, которые были
установлены для защиты целостности, как правило, носят разовый характер и
не вытекают из предложенных моделей целостности.

Доступность

Доступность-это требование, призванное обеспечить оперативную работу

систем и не отказывать в обслуживании авторизованным пользователям. С
оперативной точки зрения это требование относится к адекватному времени
отклика и/или гарантированной пропускной способности. С точки зрения
безопасности, он представляет собой возможность защиты и восстановления
от повреждающего события. Наличие правильно функционирующих
компьютерных систем (например, для маршрутизации междугородних
звонков или обработки бронирования авиабилетов) имеет важное значение
для работы многих крупных предприятий, а иногда

для сохранения жизни (например, управление воздушным движением или

автоматизированные медицинские системы). Планирование на случай
непредвиденных обстоятельств связано с оценкой рисков и разработкой
планов предотвращения или восстановления после неблагоприятных
событий, которые могут сделать систему недоступной.

Традиционное планирование на случай непредвиденных обстоятельств для

обеспечения готовности обычно включает в себя реагирование только на
стихийные бедствия (например, землетрясения) или случайные
антропогенные события (например, утечка токсичного газа, препятствующая
проникновению на объект). Однако планирование на случай непредвиденных
обстоятельств должно также включать в себя принятие мер реагирования на
злонамеренные действия, а не просто стихийные бедствия или несчастные
случаи, и как таковое должно включать в себя четкую оценку угрозы,
основанную на модели реального противника, а не на вероятностной модели
природы.

Например, простая политика доступности обычно формулируется так: "В

среднем терминал не работает менее 10 минут в месяц." Конкретный
терминал (например, банкомат или клавиатура и экран агента бронирования)
включен, если он правильно отвечает в течение одной секунды на
стандартный запрос на обслуживание; в противном случае он выключен. Эта
политика означает, что время работы на каждом терминале, усредненное по
всем терминалам, должно составлять не менее 99,98 процента.

Политика безопасности для обеспечения доступности обычно принимает

другую форму, как в следующем примере: "Никакие входы в систему любого
пользователя, не являющегося авторизованным администратором, не должны
приводить к прекращению обслуживания системы каким-либо другим
пользователем." Обратите внимание, что эта политика ничего не говорит о
системных сбоях, за исключением тех случаев, когда они могут быть
вызваны действиями пользователя. Вместо этого он идентифицирует
конкретную угрозу, злонамеренное или некомпетентное действие обычного
пользователя системы и требует, чтобы система пережила это действие. В
нем ничего не говорится о других способах, которыми враждебная сторона
может отказать в обслуживании, например, перерезав телефонную линию;
для каждой такой угрозы требуется отдельное утверждение, указывающее, в
какой степени сопротивление этой угрозе считается важным.

Примеры требований безопасности для различных приложений

Точные потребности систем в безопасности будут варьироваться от

приложения к приложению даже в рамках одного приложения. В результате
организации должны как понимать свои приложения, так и продумывать
соответствующие варианты для достижения соответствующего уровня
безопасности.

Например, автоматизированная кассовая система должна сохранять

конфиденциальность личных идентификационных номеров (ПИН-кодов) как
в хост-системе, так и во время передачи для транзакции. Он должен
защищать целостность учетных записей и отдельных операций. Защита
частной жизни важна, но не критична. Наличие принимающей системы
важно для экономического выживания банка, но не для его фидуциарной
ответственности. По сравнению с наличием

хост-система, наличие отдельных кассовых аппаратов вызывает меньше

беспокойства.

С другой стороны, телефонная коммутационная система не предъявляет

высоких требований к целостности отдельных транзакций, поскольку при
случайной потере записи о звонке или выставлении счета не будет причинен
длительный ущерб. Однако целостность управляющих программ и
конфигурационных записей имеет решающее значение. Без них функция
коммутации была бы разрушена, и самый важный атрибут всех—
доступность—был бы скомпрометирован. Система телефонной коммутации
также должна сохранять конфиденциальность отдельных звонков, не
позволяя одному абоненту подслушивать другого.

Потребности в безопасности определяются скорее тем, для чего используется

система, чем тем, что она собой представляет. Например, система набора
текста должна обеспечивать конфиденциальность, если она используется для
публикации материалов, принадлежащих корпорации, целостность, если она
используется для публикации законов, и доступность, если она используется
для публикации ежедневной газеты. Можно ожидать, что система
распределения времени общего назначения обеспечит конфиденциальность,
если она обслуживает разнообразную клиентуру, целостность, если она
используется в качестве среды разработки программного обеспечения или
инженерных проектов, и доступность в той мере, в какой ни один
пользователь не может монополизировать услугу и что потерянные файлы
будут восстановлены.