logo
Захист інформації

Проблемы технической защиты информации в корпоративных сетях

Зубрицкий Александр Сергеевич,

ДСТСЗИ СБ Украины, конт. тел. 483-97-30

Под корпоративной сетью (системой) в этом докладе понимается система, в которой обеспечивается взаимодействие между достаточно большим количеством достаточно независимых компонентов, которые могут рассматриваться как отдельные системы.

Для корпоративной сети характерны:

- территориальная распределенность, т.е. объединяются офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга;

- высокая степень гетерогенности – типы компьютеров, коммуникационного оборудования, операционных систем и приложений различны;

- использование глобальных связей – сети филиалов соединяются с помощью телекоммуникационных средств, в том числе телефонных каналов, радиоканалов, спутниковой связи.

Исходя из такого понимания, корпоративная сеть является классическим примером интегрированной автоматизированной системы.

Обеспечение защиты информации в таких сетях представляет особую проблему. Это связано с тем, что, во-первых, уровень необходимой защиты от несанкционированного доступа для разных пользователей и разных информационных систем может изменяться в широком диапазоне, во-вторых, наличие средств защиты потенциально может влиять на производительность системы, удобство ее использования.

Из чего следует исходить при формировании требований по защите информации. Прямое использование Профилей защиты не дает такого ответа, вследствие того, что во-первых, документ этого и не предусматривает, а во-вторых, рассматривает случай однородности требований по защите во всех составляющих.

Поэтому для корпоративной сети как единой системы остаются такие основные вопросы:

1. Что можно понимать под комплексной системой защиты информации (КСЗИ) корпоративной сети и каким образом могут быть сформированы требования к ней?

2. Какой порядок выполнения работ, какой наиболее оптимальный подход к проектированию и вводу в действие КСЗИ?

3. Какой может быть порядок проведения оценки КСЗИ в такой сложной по структуре системе?

Исходя из того, что КСЗИ является неотъемлемой составной частью АС, а ее основные механизмы лишь логически отделенной структурой (это полностью справедливо хотя бы в части комплекса средств защиты от несанкционированного доступа - КСЗ, вопросы защиты информации от утечек по техническим каналам – в этом докладе не рассматриваются), которая “налагается” на структуру АС, можно сделать предположить, что архитектура КСЗИ должна полностью соответствовать архитектуре и принципам построения АС.

Так как корпоративная сеть по своим задачам, составу, архитектуре и др. является системой неоднородной, такой же должна быть и КСЗИ. Неоднородность КСЗИ состоит в наличии различных объектов защиты и, соответственно, различных требований к защите информации в каждой независимой составляющей АС (например, локальной сети, отдельном сервисе). Последнее следует из того, что в каждой такой независимой составляющей АС могут быть только ей присущие критические информационные ресурсы, программно-аппаратные средства обработки информации, особенности технологии обработки, модели угроз и модели нарушителей, и, следовательно, различные политики безопасности.

Таким образом, политика безопасности корпоративной сети является суммой политик безопасности отдельных ее составляющих, взаимодействующих по единым принципам и правилам.

Другими словами КСЗИ любой интегрированной автоматизированной системы (в нашем случае – корпоративной) может рассматриваться, как некий сложный объект, построенный по модульному принципу и состоящий из N максимально независимых модулей. Каждый такой модуль представляет собой полноценную КСЗИ i-ой составляющей компоненты АС. В силу этого, такой модуль (КСЗИ составляющей компоненты) может независимо от других модулей проектироваться, разрабатываться, внедряться, оцениваться и эксплуатироваться. Под КСЗИ корпоративной системы нужно понимать сумму КСЗИ i-тых модулей от 1 до N.

Критически важным для такого построения КСЗИ и такой архитектуры становится взаимодействие и обмен информацией между отдельными модулями и управление КСЗИ в целом. Наиболее простым путем решения этой задачи является создание в рамках КСЗИ отдельной подсистемы.

Для построения такой подсистемы могут быть выбраны два основных варианта – либо централизованное администрирование из единой точки (при этом в каждом из модулей КСЗИ должен функционировать агент подсистемы взаимодействия и обмена информацией), либо взаимодействие равноправных модулей.

Суть обоих вариантов с точки зрения требований по защите одна и та же. Существенно различными являются лишь процедуры проектирования и оценки – в первом случае подсистема взаимодействия и обмена информацией рассматривается как самостоятельная система (отдельный N+1 модуль КСЗИ), во втором – проектирование и оценка механизмов обмена производится в рамках этих задач для каждого i-того модуля, что сложнее с точки зрения формирования согласованных требований во всех модулях и оценки их реализации в системе.

При этом надо стремиться, чтобы построение и архитектура каждого модуля КСЗИ были принципиально одинаковыми (использовали по возможности одинаковые протоколы, одинаковые механизмы защиты, совместимое программное обеспечение и т.д.), что важно для обеспечения взаимодействия модулей.

Такое построение КСЗИ имеет целый ряд преимуществ:

- обеспечивается реализация открытой архитектуры безопасности в соответствии со стандартом ISO 7498-2;

- обеспечивается возможность разработки, внедрения, оценки и эксплуатации отдельно каждой і-той составляющей КСЗИ, т.е. система становится масштабируемой, обеспечивается простота развития системы, введение в действие новых компонент не влияет на общую политику безопасности АС, обеспечивается возможность постепенного поэтапного ввода отдельных составляющих без ущерба для работоспособности АС и приостановления ее функционирования;

- упрощается, стандартизуется и удешевляется проектирование и разработка КСЗИ - эти процедуры сводятся к проектированию некоторого количества типовых компонент, каждая из которых имеет только свои собственные входные и выходные данные (для формирования базы данных защиты), а не механизмы защиты. Информация баз данных защиты (имена, идентификаторы пользователей, перечни объектов защиты, атрибуты доступа пользователей и др.) каждого модуля формируются отдельно и уточняются на этапе технорабочего проектирования;

- каждый модуль КСЗИ может быть оценен отдельно (причем для любого вида испытаний). При этом государственная экспертиза каждого модуля состоит из двух этапов: на первом – выполняется полномасштабная экспертиза типовой компоненты системы, а на втором - для всех модулей этого типа осуществляется лишь проверка адекватности условий эксплуатации на конкретном объекте и установление их соответствия типовым;

- после оценки отдельных модулей государственная экспертиза КСЗИ корпоративной системы состоит в проверке взаимодействия (администрирование, обмен информацией базы данных защиты и т.д.) уже предварительно оцененных модулей. Этим самым процедура оценки упрощается и введение в состав КСЗИ нового модуля не требует повторной экспертизы всей КСЗИ (производится только оценка взаимодействия вводимого модуля с уже эксплуатируемыми).

Изложенный подход применим как к КСЗИ корпоративной системы в целом, так и к некоторой ее части.

Еще одним для обсуждения является вопрос – какой должен быть при таком подходе вид заключительного документа по результатам создания КСЗИ (аттестата соответствия)? Это будет один аттестат на всю КСЗИ, или каждый оцененный модуль КСЗИ может иметь свой аттестат? Как поступать в случае ввода в действие новых компонент, нужно ли при этом заменять выданный ранее на часть КСЗИ аттестат на новый?

Нормативно-правовые акты в сфере защиты информации допускают разные варианты, но наиболее приемлемыми являются такие.

Первый – каждый оцененный модуль КСЗИ корпоративной системы получает свой собственный документ. Таким образом, результат оценки КСЗИ в полном объеме будет состоять из, по крайней мере, N аттестатов (необходимо также учитывать и аттестат на КСЗИ подсистемы взаимодействия). Этот вариант может быть удобным, когда различные составляющие АС имеют различных собственников, либо в случае небольшого количества независимых компонент.

Второй – независимо от количества оцененных модулей (например, один из N) на момент выдачи аттестата документ выдается на всю КСЗИ в полном объеме, т.е. формально и на все оставшиеся N-1составляющих (даже, если их создание в далекой перспективе). В этом случае в обязательном приложении к аттестату (экспертном заключении) указывается состав и конфигурация оцененной КСЗИ. При проведении оценки очередного модуля соответствующим образом корректируется только экспертное заключение, вносится изменение в состав КСЗИ корпоративной системы, а сам аттестат остается без видимых изменений. Этот вариант может быть удобным, для АС с N, стремящимся к довольно большому значению.

Допустим также вариант, являющейся композицией названых выше.

Нормативными документами выбор любого из возможных подходов к построению КСЗИ не регламентируется, последнее слово остается за собственником (распорядителем) АС.

Наиболее наглядной иллюстрацией сказанного выше может служить ход создания такой глобальной информационной системы как Единая государственная автоматизированная паспортная система. Разработчиками ЕГАПС была выполнена кропотливая работа по формализации объектов защиты, задач и технических решений, а также их оптимального распределения между составными частями системы.

Результатом такой работы стало определение типовых составляющих ЕГАПС на значительно более низком уровне, чем уровень локальной сети, - на уровне отдельного АРМ. Всего в ЕГАПС определено 7-8 типовых АРМ. Это и есть те “кирпичики” (причем, каждый из них может быть оценен независимо!), из которых и строится любая составляющая компонента ЕГАПС любого уровня иерархии. Подсистемы ЕГАПС на каждом из трех уровней типовые. Взаимодействие и обмен информацией осуществляется отдельной подсистемой.

Таким образом, проектирование ЕГАПС состояло из проектирования набора типовых АРМ, типовой подсистемы соответствующего уровня иерархии. Далее по единому проекту реализуется необходимое количество составляющих. Аналогично предполагается провести и государственную экспертизу КСЗИ – оценить по одной типовой компоненте, оценить подсистему обмена информацией и распространять (путем проверки условий эксплуатации для типовой компоненты) результаты экспертизы на вводящиеся в разное время остальные компоненты.

Такие проблемы необходимо решать еще на начальных этапах работ – до момента формирования требований к АС в целом и к КСЗИ, в частности. При этом за собственником АС остается право и последнее слово в выборе варианта создания КСЗИ.