Модель административного управления защитой. Правила управления информационной безопасностью

БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ

КАФЕДРА ЗАЩИТЫ ИНФОРМАЦИИ

РЕФЕРАТ НА ТЕМУ:

«Модель административного управления защитой. Правила управления информационной безопасностью»

Минск, 2009

Управление - (management, control) - процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе.

Основная (опосредованная) цель управления - реализация потенциальных возможностей системы обработки информации.

Непосредственная цель управления - выработка и реализация своевременных и обоснованных решений, наилучших (оптимальных) по критерию реализации потенциальных возможностей АСОИ в конкретных условиях.

Основные свойства и показатели эффективности процессов управления

Устойчивость управления - определяется способностью управлять с заданной эффективностью при активном вмешательстве нарушителя.

Под непрерывностью управления понимается возможность постоянно воздействовать на процесс защиты информации.

Скрытность управления защитой информации - определяется способностью воспрепятствовать в выявлении организации управления.

Оперативность управления определяется способностью своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.

Обоснованность управления характеризуется всесторонним учетом условий решения поставленной задачи, применением различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других факторов, повышающих достоверность исходной информации и принимаемых решений.

Управление системой защиты и осуществление контроля за функционированием АСОИ - все это составляющие одной задачи -реализации политики безопасности.

Нормативно-правовое обеспечение безопасности на уровне предприятия в большинстве случаев касается установления правил обращения с конфиденциальной информацией.

Действия приводящие к неправомерному овладению конфиденциальной информацией

Разглашение - умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не имеющих соответствующего допуска

Утечка - бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Несанкционированный доступ - противоправное преднамеренное овладение конфиденциальной информацией лицом не имеющим права доступа к охраняемым секретам.

Условия способствующие неправомерному овладению конфиденциальной информацией:

Правовые нормы обеспечения безопасности информации должны находить отражение в учредительных, организационных и функциональных документах.

В Уставе:

В правилах внутреннего распорядка:

В трудовых договорах (контрактах):

Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют степень их ответственности и меры воздействия за нарушение установленных норм.

ГОСТ Р ИСО 7498-2-99. ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ

Административное управление защитой

1. Общие положения

1.1 Административное управление защитой ВОС касается тех аспектов административного управления защитой, которые относятся к ВОС и к защите административного управления ВОС. Аспекты административного управления защитой ВОС связаны с теми операциями, которые не относятся к обычным сеансам обмена данными, но которые необходимы для обеспечения и контроля аспектов защиты этих обменов данными.

Примечание -- Доступность услуги обмена данными определяется построением сети и/или протоколами административного управления сетью. Для предотвращения отклонения услуги необходим соответствующий выбор последних.

1.2 Может существовать несколько стратегий защиты, устанавливаемых администрацией(ями) распределенных открытых систем, и стандарты административного управления защитой ВОС должны обеспечивать такие стратегии. Объекты, которые подчиняются отдельной стратегии защиты, устанавливаемой отдельным полномочным административным органом, иногда объединяются в так называемую «область защиты». Области защиты и их взаимосвязи являются важной сферой для будущего расширения.

Административное управление защитой ВОС относится к административному управлению услугами и механизмами защиты ВОС. Такое управление требует распределения информации административного управления между этими услугами и механизмами, а также сбора информации, относящейся к работе этих услуг и механизмов. Примерами могут служить распределение криптографических ключей, установка административно назначаемых параметров выбора защиты, выдача сообщений как о нормальных, так и об аварийных ситуациях защиты (данные отслеживания защиты), а также активизация и деактивизация услуг. Административное управление защитой не касается прохождения информации, относящейся к защите, в протоколах, которые привлекают специальные услуги защиты (например, в параметрах запросов на соединение).

Информационная база административного управления защитой (ИБАУЗ) является концептуальным хранилищем всей информации, относящейся к защите, необходимой открытым системам. Такой подход не устанавливает какой-либо формы для хранения информации или ее реализации. Однако каждая оконечная система должна содержать необходимую локальную информацию, позволяющую ей приводить в действие соответствующую стратегию защиты. ИБАУЗ является распределенной информационной базой с такой степенью распределения, которая необходима для обеспечения согласованной стратегии защиты в (логической или физической) группировке оконечных систем. На практике области ИБАУЗ могут входить или не входить в состав ИБАУ.

Примечание -- Может существовать множество реализаций ИБАУЗ, например:

таблица данных;

файл;

c) данные или правила, содержащиеся в рамках программного или аппаратного обеспечения реальной открытой системы.

Протоколы административного управления, особенно протоколы административного управления защитой, и каналы передачи данных, передающие информацию административного управления, являются потенциально уязвимыми. Поэтому особое внимание следует уделять обеспечению таких протоколов и информации административного управления защитой, чтобы средства защиты, предоставляемые для обычных сеансов обмена данными, не были ослаблены.

Административное управление защитой может потребовать обмена информацией, относящейся к защите, между различными системными администраторами с целью установления или расширения ИБАУЗ. В некоторых случаях информация, относящаяся к защите, будет проходить через маршруты обмена данными, существующие вне ВОС, и локальные системные администраторы будут модифицировать содержимое ИБАУЗ методами, не стандартизованными в рамках ВОС. В других случаях может оказаться целесообразным организовать обмен подобной информацией по маршрутам обмена данными ВОС, когда информация будет передаваться между двумя прикладными системами административного управления защитой, реализованными в рамках реальной открытой системы. Прикладные системы административного управления защитой будет использовать передаваемую по маршрутам обмена данными информацию для модификации ИБАУЗ. Такая модификация ИБАУЗ может потребовать предварительного предоставления полномочий соответствующему администратору защиты.

1.7 Прикладные протоколы должны быть определены для обмена информацией, относящейся к защите, по каналам обмена данных ВОС.

2. Категории административного управления защитой ВОС

Существует три категории активностей административного управления защитой ВОС:

административное управление защитой системы;

административное управление услугами защиты;

административное управление механизмами защиты.

Кроме того, должна быть рассмотрена защита самого административного управления ВОС (см. 8.2.4). Ключевые функции, выполняемые этими категориями административного управления зашитой, обобщены ниже.

2.1 Административное управление защитой системы

Административное управление защитой системы рассматривается с точки зрения аспектов административного управления защитой всей функциональной среды ВОС. Приводимый ниже перечень является типичным для видов деятельности, попадающих в эту категорию административного управления защитой:

a) административное управление общей стратегией защиты, включая модификации и поддержание совместимости;

b) взаимодействие с другими функциями административного управления ВОС;

административное управлением услугами и механизмами защиты;

административное управление обработкой событий;

административное управление анализом процедур защиты;

административное управление восстановлением защиты.

2.2 Административное управление услугами защиты

Административное управление услугами защиты относится к административному управлению конкретными услугами защиты. Приводимый ниже перечень является типичным для активностей, выполняемых при административном управлении конкретной услугой защиты:

а) определение и присвоение средства желаемой защиты при заданной услуге;

b) присвоение и поддержание правил выбора (при наличии альтернатив) конкретного механизма защиты, используемого для обеспечения запрашиваемой услуги защиты;

c) согласование (локальное или удаленное) доступных механизмов защиты, требующих предварительной настройки административного управления;

d) привлечение конкретных механизмов защиты через соответствующую функцию административного управления механизмами защиты, например, для обеспечения административно-назначаемых услуг защиты;

e) взаимодействие с другими функциями административного управления услугами и механизмами защиты.

2.3 Административное управление механизмами защиты

Административное управление механизмами защиты относится к административному управлению конкретными механизмами защиты. Следующий перечень функций административного управления механизмами защиты является типичным, но не исчерпывающим:

административное управление ключами;

административное управление шифрованием;

административное управление цифровой подписью;

административное управление доступом;

административное управление целостностью данных;

административное управление аутентификацией;

административное управление заполнением трафика; h) административное управление маршрутизацией;

j) административное управление нотаризацией;

2.4 Зашита административного управления ВОС

Защита всех функций административного управления ВОС и обмена информацией административного управления ВОС является важной составной частью защиты ВОС. Эта категория административного управления защитой потребует соответствующего выбора вышеперечисленных услуг и механизмов защиты ВОС с целью обеспечения адекватной защиты протоколов и информации административного управления. Например, обмен данными между логическими объектами административного управления с использованием информационной базы административного управления, в общем случае, потребует некоторой формы защиты.

3. Конкретные виды административного управления защитой системы

3.1 Административное управление обработкой событий

Аспекты административного управления обработкой событий, распознаваемых в ВОС, представляют собой удаленную выдачу сообщений об очевидных попытках нарушения защиты системы и изменении допустимых значений, используемых для реализации результатов этих сообщений об ошибках.

3.2 Административное управление анализом процедур защиты

Административное управление анализом процедур защиты может включать следующие функции:

выбор событий, подлежащих регистрации и/или удаленному сбору;

разрешение и запрещение регистрации в системном журнале данных отслеживания защиты выбранных событий;

удаленный сбор выбранных записей анализа процедур;

подготовка отчетов об анализе процедур защиты.

3.3 Административное управление восстановлением защиты

Административное управление восстановлением защиты может охватывать следующие функции:

a) обслуживание правил реагирования на реальные или предполагаемые нарушения защиты;

b) удаленная выдача сообщений об очевидных нарушениях защиты системы;

c) взаимодействия администратора защиты.

4. Функции административного управления механизмами зашиты

4.1 Административное управление ключами

Административное управление ключами может охватывать следующие функции:

генерация соответствующих ключей в соизмеримые с требуемым уровнем защиты интервалы времени;

определение в соответствии с требованиями к управлению доступом тех логических объектов, которые должны получить копию каждого ключа;

обеспечение защищенной доступности или распределения ключей по запросам объектов в реальной открытой системе. Предполагается, что некоторые функции административного

управления ключами должны осуществляться вне функциональной среды ВОС. Сюда относится физическое распределение ключей доверительными методами.

Обмен рабочими ключами, используемыми во время действия ассоциации, является нормальной функцией уровневого протокола. Выбор рабочих ключей может также осуществляться посредством доступа к центру распределения ключей или путем предварительного распределения через протоколы административного управления.

4.2 Административное управление шифрованием

Административное управление шифрованием может включать следующие функции:

взаимосвязь с административным управлением ключами;

установление криптографических параметров;

криптографическая синхронизация.

Наличие механизма шифрования предполагает использование административного управления ключами и общих методов обращения к криптографическим алгоритмам.

Степень избирательности защиты, обеспечиваемая шифрованием, определяется теми логическими объектами внутри функциональной среды ВОС, которым присваиваются независимые ключи. Это, в свою очередь, определяется, в общем случае, архитектурой защиты и особенно механизмом административного управления ключами.

Общей ссылкой для криптографических алгоритмов может служить использование соответствующего регистра криптографических алгоритмов или предварительное согласование между логическими объектами.

4.3 Административное управление цифровой подписью

Административное управление цифровой подписью включает следующие функции:

взаимосвязь с административным управлением ключами;

установление криптографических параметров и алгоритмов;

c) использование протокола между связанными логическими объектами, а возможно, и третьей стороной.

Примечание -- В общем случае существует большая аналогия между административным управлением цифровой подписью и шифрованием.

4.4 Административное управление доступом

Административное управление доступом может предусматривать распределение атрибутов защиты (включая пароли) или модификации списков управления доступом или списков возможностей. Оно может также предусматривать использование протокола между взаимодействующими логическими объектами и другими логическими объектами, обеспечивающими услуги управления доступом.

4.5 Административное управление целостностью данных

Административное управление целостностью данных может включать следующие функции:

взаимосвязь с административным управлением ключами;

установление криптографических параметров и алгоритмов;

использование протокола между взаимодействующими логическими объектами.

Примечание -- При использовании криптографических методов для обеспечения целостности данных существует большая аналогия между административным управлением целостностью данных и шифрованием.

4.6 Административное управление аутентификацией

Административное управление аутентификацией может предусматривать распределение описательной информации, паролей или ключей (с использованием административного управления ключами) между логическими объектами, запрашиваемыми для выполнения аутентификации. Оно может также включать использование протокола между связанными логическими объектами и другими логическими объектами, предоставляющими услуги аутентификации.

4.7 Административное управление заполнением трафика

Административное управление заполнением трафика может предусматривать поддержание правил, используемых для заполнения графика. Например, оно может включать следующие функции:

предварительное установление скоростей передачи данных;

установление произвольных скоростей передачи данных;

установление характеристик сообщений, таких как длина, и

d) изменение спецификации, возможно, в зависимости от времени суток и/или дня недели.

4.8 Административное управление маршрутизацией

Административное управление маршрутизацией может охватывать определение звеньев данных или подсетей, которые считаются защищенными или достоверными относительно конкретных критериев.

4.9 Административное управление нотаризацией

Административное управление нотаризацией может включать следующие функции:

a) распределение информации о нотариусах;

b) использование протокола между нотариусом и взаимодействующими объектами;

c) взаимодействие с нотариусом.

СТБ П ИСО/МЭК 17799

Продолжая рассмотрение стандартов и спецификаций, относящихся к административному и процедурному уровням информационной безопасности, мы приступаем к изучению стандарта РБ СТБ П ИСО/МЭК 17799-2000/2004 ( его аналог международный первая часть стандарта ISO/IEC 17799). Вступает в действие с 01.11.2004.

Стандарт "Правила управления информационной безопасностью", содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Согласно стандарту, цель информационной безопасности - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.

Предлагаемые в первой части стандарта регуляторы безопасности разбиты на десять групп:

политика безопасности;

общеорганизационные аспекты защиты;

классификация активов и управление ими;

безопасность персонала;

физическая безопасность и безопасность окружающей среды;

администрирование систем и сетей;

управление доступом к системам и сетям;

разработка и сопровождение информационных систем;

управление бесперебойной работой организации;

контроль соответствия требованиям.

В стандарте выделяется десять ключевых регуляторов, которые либо являются обязательными в соответствии с действующим законодательством, либо считаются основными структурными элементами информационной безопасности. К ним относятся:

документ о политике информационной безопасности;

распределение обязанностей по обеспечению информационной безопасности;

обучение и подготовка персонала к поддержанию режима информационной безопасности;

уведомление о случаях нарушения защиты;

антивирусные средства;

процесс планирования бесперебойной работы организации;

контроль за копированием программного обеспечения, защищенного законом об авторском праве;

защита документации;

защита данных;

контроль соответствия политике безопасности.

Для обеспечения повышенного уровня защиты особо ценных ресурсов или оказания противодействия злоумышленнику с исключительно высоким потенциалом нападения могут потребоваться другие (более сильные) средства, которые в стандарте не рассматриваются.

Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:

цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях.

функции управления безопасностью должно взять на себя руководство организации;

необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;

требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;

необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

Во второй части стандарта BS 7799-2:2002 "Системы управления информационной безопасностью - спецификация с руководством по использованию" предметом рассмотрения, как следует из названия, является система управления информационной безопасностью.

Под системой управления информационной безопасностью (СУИБ) (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:

планирование;

реализацию;

оценку;

корректировку.

По-русски данную модель можно назвать ПРОК (в оригинале - Plan-Do-Check-Act, PDCA). Детальный анализ каждой из выделенных фаз и составляет основное содержание стандарта BS 7799-2:2002.

Система управления безопасностью автоматизированной информационной системы (АИС) крупной организации должна включать в себя следующие компоненты: Управление рисками:

оценку и анализ рисков …

оценку

Управление защитой:

обеспечение соблюдения политики безопасности в организации;

мониторинг

Управление подсистемой ИБ

Управление проектами повышения ИБ ИС и развития ПИБ

Управление персоналом

Литература

Галкин Г. Управление в свободном полете. Сетевой журнал. 2007, №2, 32-39.

Финогенов Е., Бойченко А. Высоко сижу, далеко гляжу! Сетевой журнал. 2007, №2, 40-45.

Горшков В. Управляемые компьютеры. Сетевой журнал. 2007, №2, 46-51.

Гринько Д., Саякин В. Управление гетерогенными сетями связи. Журнал "LAN", 2001, №11

Дубова Н., Кутукова Е. Unicenter TNG - управление распределенной корпорацией. Журнал "Открытые системы", 1998, №2.

Петренко С.А., Петренко А.А. Аудит безопасности Intranet. М.: ДМК Пресс, 2007. - 416 с.: ил.

ГОСТ Р ИСО/МЭК 7498-2 - 99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

ГОСТ Р ИСО/МЭК 7498-4 - 99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Основы административного управления.

СТБ П ИСО/МЭК 17799-2000/2004 Информационные технологии и безопасность. Правила управления информационной безопасностью.

Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: «КомпанияАйТи», «ДМИ Пресс», 2004 г.