автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка требований к средствам защиты информации в корпоративных системах с внешним информационным обменом на основе анализа рисков

Введение.

Глава 1. Особенности систем с внешним информационным обменом. ф 1.1 Варианты реализации внешнего информационного обмена.

1.2 Специфика задачи защиты внешнего информационного обмена.

1.3 Выводы.

Глава 2. Модель количественного анализа рисков.

2.1 Основные понятия анализа рисков.

2.2 Классификация угроз для задачи ранжирования рисков.

2.3 Формальная модель оценки рисков.

2.4 Выводы.

Глава 3. Верификация модели на основе баз данных уязвимостей.

3.1 Уязвимости и их роль в оценке рисков.

3.2 Применение базы уязвимостей для верификации модели рисков.

3.3 Выводы.

Глава 4. Практические следствия модели рисков.

4.1 Оценка адекватности моделей угроз в профилях защиты.

4.2 Оптимизация архитектуры подсистем защиты информации.

4.3 Выводы.

Значимость информационных технологий в жизни любой крупной организации, вне зависимости от ее целей и задач, формы собственности и ф особенностей функционирования трудно переоценить. Системы управления производством, финансово-хозяйственной деятельностью, документооборота настолько тесно связаны с основными бизнес-процессами, что любые нарушения их функционирования автоматически приводят к остановке основных процессов деятельности организации. Это предопределяет, с одной стороны, повышенное внимание к вопросам защиты информации в корпоративных информационных системах (КИС), с другой стороны -определяющее влияние требований бизнес-процессов для сервисов, ® предоставляемых КИС. Эти два фактора часто вступают в противоречие между собой, заставляя проектировщиков КИС решать задачу оптимизации эффективности работы системы и степени ее защищенности. Одним из * наиболее критичных случаев, где указанные противоречия наиболее остры, является внешний информационный обмен корпоративной информационной системы.

Еще несколько лет назад, рассматривая вопросы защиты информации можно было говорить о КИС как изолированной системе, в которой внешние воздействия могут быть локализованы, а в ряде случаев и ничтожно малы. Внешний информационный обмен рассматривался как вспомогательная операция, главным образом для получения общедоступной справочной информации. По сути дела, сведение к минимуму внешнего информационного обмена прямо ассоциировалось с серьезностью системы, что нашло отражение в нормативных документах Российской федерации, стандартов крупнейших ведомств и предприятий. Если вопросы информационного взаимодействия между различными подразделениями или организациями в рамках ведомства или отрасли предполагалось допустимым решать применением определенных средств защиты (межсетевые экраны, виртуальные частные сети) то контакт с глобальными информационными сервисами и сейчас считается недопустимым для многих информационных систем.

Однако, на сегодняшний день ситуация существенно изменилась. Практически любая организация должна участвовать во внешнем информационном обмене, причем не только получая информацию, но и предоставляя определенный набор информационных сервисов. В качестве типовых могут быть названы:

• Для государственных структур - предоставление нормативной информации, ведение открытого документооборота с хозяйствующими субъектами проведение открытых конкурсов и торгов.

• Для финансовых организаций - проведение платежей с внешними корреспондентами, сбор и предоставление услуг аналитического характера.

• Для производственных предприятий - организация виртуальных торговых площадок, открытый документооборот с партнерами, как предоставляющими услуги, так и потребляющими продукцию предприятия.

Необходимо отметить, что задача внешнего информационного обмена сама по себе является достаточно сложной. В ее основе лежит необходимость работать с независимыми информационными ресурсами и сервисами, реализованными исторически при помощи различных технологий. При этом требуется выработка универсальных механизмов интеграции, для того чтобы, с одной стороны, обеспечить унифицированное решение по доступу к внешним информационным ресурсам, обеспечивающее экономическую эффективность при внедрении первой очереди системы, с другой стороны - сохранение уже сделанных инвестиций. В результате формируется сложный набор приложений, который необходимо инкапсулировать в набор простых сервисов, поддерживаемых средой информационно-телекоммуникационного взаимодействия.

Универсальной телекоммуникационной и транспортной средой для внешнего информационного обмена выступают сети связи общего пользования (ССОП), наиболее известным из которых является множество сетей Интернет. При очевидных преимуществах его использования, таких как всеобщность, доступность и финансовая эффективность, существуют также очевидные риски, связанные с невозможностью контроля пользователей, работающих за пределами корпоративной информационной системы. Как следствие, статистика попыток НСД из ССОП возрастает из года в год, причем ущерб от реализации таких попыток растет существенно быстрее их количества.

При изобилии средств защиты, позиционируемых производителем как средства защиты КИС при информационном обмене с Интернет, сегодня практически отсутствуют критерии их выбора, применимости и эффективности в конкретных информационных системах, особенно когда применяется набор средств различных производителей.

Объектом исследования являются информационные (автоматизированные) системы, внешний информационный обмен в которых значим с точки зрения обеспечения их деятельности, а также средства защиты информации, обеспечивающие защиту сервисов внешнего информационного обмена.

Целью работы является выработка критериев обоснования технических требований к средствам защиты информации в корпоративных информационных системах с внешним информационным обменом на основе применения модели рисков и статистики уязвимостей. Для достижения поставленной цели в работе решались следующие задачи:

1) Выявление специфики систем внешнего информационного обмена с точки зрения защиты информации;

2) Определение взаимосвязи угроз и уязвимостей, делающих возможной их реализацию;

3) Классификация угроз в зависимости от значимости наносимого ими ущерба;

4) Формализация задачи защиты систем внешнего информационного обмена с использованием модели рисков;

5) Анализ требований, предъявляемых к отдельным средствам защиты информации;

6) Реализация требований в конкретных разработках СЗИ и проектах защиты внешнего информационного обмена.

В диссертационной работе рассмотрен системный подход к задаче защиты КИС, осуществляющей внешний информационный обмен как часть своей основной деятельности, предложены методы ее решения и разработаны практические варианты защиты информационных ресурсов таких КИС.

Методы исследования. Для решения поставленных задач использовались методы количественного анализа и моделирования рисков, системного анализа.

Научная новизна диссертационной работы состоит в следующем:

• Дана классификация рисков в системах внешнего информационного обмена, основанная на моделях угроз;

• Предложена количественная модель рисков для задач внешнего информационного обмена;

• Проведена интерпретация модели по отношению к основным классам средств защиты информации в системах внешнего информационного обмена;

• Для формулирования требований к СЗ ВИО использованы соглашения и структура стандарта ГОСТ/ИСО МЭК15408-2002;

• Предложен интеграционный подход к проектированию архитектуры СЗ ВИО.

Практическая ценность работы определяется возможностью использования предложенных в ней методов для оценки адекватности требований к СЗИ и архитектур систем защиты внешнего информационного обмена. К таким результатам относятся:

• Оценка эффективности различных средств межсетевого экранирования в зависимости от модели рисков;

• Определение области применения в СЗ ВИО средств межсетевого экранирования, контекстного анализа информации, средств активного аудита;

• Определение требований к среде функционирования СЗ ВИО;

• Обоснование функциональных характеристик, реализованных в разработках компании «Инфосистемы Джет» - межсетевой экран Z-2, СМАП «Дозор»;

• Реализация СЗ ВИО в проектах, выполненных специалистами компании «Инфосистемы Джет».

Апробация работы. Основные теоретические и практические результаты работы обсуждались на 4-й Всероссийской конференции «Информационная безопасность России в условиях глобального информационного общества» (Москва, 2002), на 6-й Международной научно-практической конференции «Защита информации в информационно-телекоммуникационных системах» (Киев, 2003), на 2-й и 3-й Ежегодных Всероссийских конференциях «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003-2004).

Публикации. По теме диссертации опубликовано 14 работ, в их числе 6 научных статей и 8 докладов, из них 1 на международной конференции.

Основные положения, выносимые на защиту:

Специфика систем внешнего информационного обмена;

Классификация угроз и формирование набора рисков;

Связь набора угроз и уязвимостей, при помощи которых они реализуются;

Формирование методик верификации моделей угроз и свидетельств анализа уязвимостей, используемых в профилях защиты стандарта ГОСТ/ИСО МЭК 15408-2002.

Архитектура подсистем безопасности критических систем с внешним информационным обменом.

Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения, одного приложения и списка литературы из 46 наименований.

Основные результаты диссертационной работы использованы при выполнении научно-исследовательских работ, проводимых в ЗАО «Инфосистемы Джет» в рамках НИОКР по заказам ФСТЭК РФ, Правительства г. Москвы, программе «Электронная Москва».

Содержащиеся в работе методические материалы, используются при формировании требований к разрабатываемым средствам защиты информации и решениям по обеспечению информационной безопасности систем внешнего информационного обмена, реализуемых в рамках работ, проводимых ЗАО «Инфосистемы Джет».

Заключение

В результате проведенных исследований были получены следующие результаты:

• Задача внешнего информационного обмена по значимости (а значит и по уровню требований к защите информационных ресурсов) сопоставима с другими задачами, решаемыми в корпоративных информационных системах. Задача анализа рисков в системах внешнего информационного обмена существенно упрощается за счет ограниченного набора сервисов в системах внешнего информационного обмена.

• При проведении классификации можно выделить три класса угроз: угрозы первого типа, вероятность реализации которых не зависит от стоимости информационных ресурсов, угрозы второго типа, вероятность реализации которых растет с ростом значимости информационных ресурсов, угрозы третьего типа, имеющие вероятность реализации обратно пропорционально наносимому ущербу.

• Связь между угрозами и возможным ущербом от их реализации позволяет создать достаточно простую, но адекватную модель количественного анализа рисков в системах внешнего информационного обмена.

• Каждую угрозу можно описывать как набор уязвимостей, однозначно ассоциированных с ней. Различные механизмы реализации угроз могут определяться анализом статистики уязвимостей, с помощью которых реализуются данные угрозы.

• Анализ уязвимостей, реализующих угрозы для СЗИ, позволяет оценить эффективность требований по защите информации и степень уменьшения рисков в результате их применения.

• При проектировании систем высокой критичности должны использоваться средства защиты, работающие на высоких уровнях модели OSI/ISO, причем все информационные потоки должны направляться таким образом, чтобы обеспечить невозможность обхода средств защиты.

Достоверность и практическая ценность полученных результатов подтверждена их применением в реальных разработках по созданию программных продуктов - средств защиты информации «Межсетевой экран Z-2», «СМАП Дозор-Джет», работах по проектированию и реализации подсистемы информационной безопасности АИС УБП ДФ.

1. Дж.Фенн, А. Линден. Ключевые технологии 2003-2012 г. электронный ресурс. N.Y.: Gartner group publications, 2003.

2. Галатенко В.А., Трифаленков И.А. Информационная безопасность в Интранет: концепции и решения // Jetlnfo. М.: Джет Инфо Паблишер, 1996. -№23-24.-78 с.

3. Tristan Debeaupuis (editor). Site Security Handbook Addendum for ISPs. — Internet Draft электронный ресурс. N.Y.:GRIP Working Group, 15 August 1999.

4. О противодействии распространению вредоносных программ (вирусов) и несанкционированных рекламных рассылок (спама). Меморандум Ассоциации Документальной электросвязи М., Ассоциация Документальной электросвязи, 2004. - 52 с.

5. Касперский Е.В. Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения // Jetlnfo. М.: Джет Инфо Паблишер, 2003. - №12. - 40 с.

6. Слепов О.В., Отт А.Я. Контроль использования Интернет-ресурсов // Jetlnfo. М.: Джет Инфо Паблишер, 2005. - № 2. - 42 с.

7. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации. Утв. Приказом Председателя Гостехкомиссии от 30.03.92. - М.: Гостехкомиссия России, 1992.- 9 с.

8. ITSEC Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom London: Department of Trade and Industry, 1991 - 165 c.

9. Federal Criteria for Information Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December1992. NY: National Institute of Standards and Technology & National Security Agency, 1992-173 c.

10. BS ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. London: BSI, 2005 - 45 c.

11. Прикупец A.JI. Подход к оценке потерь фирмы от атак злоумышленника на ее данные в процессе передачи в распределенной базе данных. // Безопасность информационных технологий. М., 1998. - № 2. - С. 80-82.

12. CSI/FBI Computer Crime and Security Survey. NY и flp.:CSI, 2005. - 20 c.

13. Трифаленков И.А. Скрытые проблемы защиты СПД // Сети. М., 2001. - № 6. - С.9-26 с.

14. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Введ. 2004-01-01. - М.: Изд-во стандартов, 2003. - 49 с.

15. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные требования безопасности. Введ. 2004-01-01. -М.: Изд-во стандартов, 2003. - 260 с.

16. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3: Требования доверия к безопасности. Введ. 2004-01-01. - М.: Изд-во стандартов, 2003. - 170 с.

17. Бетелин В.Б., Галатенко В.А., Кобзарь М.Т., Сидак А.А., Трифаленков И.А. Профили защиты на основе общих критериев. // Безопасность информационных технологий. М., 2003. - № 1. - 32 с.

18. Трифаленков И.А. Критерии выбора средств защиты информации // 6-я Международная научно-практическая конференция «Защита информации в информационно-телекоммуникационных системах»: тезисы докладов. -Киев: Интерлинк, 2003. С.25-40.

19. Руководящий документ. Безопасность информационных технологий. Базовая модель угроз безопасности информационных технологий (проект).1. М.: ФСТЭК РФ, 2005. 46 с.

20. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через «Internet», -СПб.: НПО Мир и семья, 1997. 95 с.

21. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2 книгах: Книга 1. М.: Энергоатомиздат, 1994. - 400 с.

22. Bundesamt fur Sicherheit in der Informationstechnik. IT Baseline Protection Manual, электронный ресурс., Berlin: Bundesamt fur Sicherheit in der Informationstechnik, 1998 100 c.

23. Симонов C.B. Технологии и инструментарий управления рисками // Jetlnfo. -М.: Джет Инфо Паблишер, 2003. № 2. - 42 с.

24. Калянов Г.Н. Консалтинг: от бизнес-стратегии к корпоративной информационно-управляющей системе. М.: Горячая линия-Телеком, 2004. -200 с.

25. Петренко С.А., Симонов С.В. Управление информационными рисками: экономическое оправдение безопасности. М.: АйТипресс, 2004. - 234 с.

26. Guide to BS 7799 risk assessment and risk management. DISC PD 3002 электронный ресурс. London: BSI, 1998.

27. Геннаднева Е.Г. Технико-экономические показатели задачи защиты информации // Безопасность информационных технологий. М., 1997. -№ 3. - С. 67-75.

28. Дж.О.Ким, Ч.У.Мюллер, Р.Клекка. Факторный, дискриминантный и кластерный анализ. М., Финансы и статистика, 1989. - 356 с.

29. Лукацкий А.В. Системы обнаружения атак // Сетевой. М., 2002. - №4. -С.5-16.

30. ISO/IEC 15408-1.1999. Information technology — Security techniques -Evaluation criteria for IT security Part 1: Introduction and general model. — N.Y.: CLEF - 54 c.

31. ISO/IEC 15408-2.1999. Information technology — Security techniques -Evaluation criteria for IT security Part 2: Security functional requirements. — N.Y.: CLEF -354 c.

32. ISO/IEC 15408-3.1999. Information technology — Security techniques -Evaluation criteria for IT security Part 3: Security assurance requirements. — N.Y.: CLEF-216 c.

33. Гостехкомиссия России. Руководство по разработке профилей защиты и заданий по безопасности (проект). М.: Гостехкомиссия России, 2002 - 165 с.

34. Гостехкомиссия России. Руководящий документ. Руководство по регистрации профилей защиты (проект). М.: Гостехкомиссия России, 2002 -13 с.

35. W. Jansen, J. Walsh Draft U.S. Government Application-Level Firewall Protection Profile for Low-Risk Environments. Version l.b., September, 1998. электронный ресурс. - N.Y.: U.S. National Security Agency.

36. W. Jansen, J. Walsh, K. Dolan, P. Wright Final U.S. Government Traffic-Filter Firewall Protection Profile for Low-Risk Environments. Version 1.1., April, 1998. электронный ресурс. - N.Y.: U.S. National Security Agency.

37. Профиль защиты для межсетевых экранов корпоративного уровня /Утв. и введ. в действие ЗАО «Инфосистемы Джет» с 10.03.2002/ Разраб. ЗАО «Инфосистемы Джет», М., ЗАО «Инфосистемы Джет», 2002 г. - 50 с.

38. Профиль защиты для межсетевых экранов провайдерского уровня /Утв. и введ. в действие ЗАО «Инфосистемы Джет» с 10.03.2002/ Разраб. ЗАО «Инфосистемы Джет», М., ЗАО «Инфосистемы Джет», 2002 г. - 64 с.

39. Слепов О.В. Контроль над корпоративной электронной почтой: СМАП «Дозор-Джет» // Jetlnfo М.: Джет Инфо Паблишер, 2004. - № 12.-32 с.