Проблема информационной компьютерной безопасности не нова - специалисты
занимаются ею с того самого момента, как компьютер начал обрабатывать данные,
ценность которых высока для пользователя. Однако за последние годы в связи
с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной
безопасности серьезно обострилась, а вопрос стандартизации подходов
к ее решению стал особенно актуальным как для разработчиков, так и для пользователей
ИТ-средств.
Для чего нужно знать теорию
Любой специалист по информационной безопасности проходит в своем профессиональном
развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением
специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном
и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он
работает на данном этапе.
Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши,
специалист приступает к разработке планов и методик, цель которых - упорядочить
действия по повышению безопасности систем и ликвидации последствий информационных
угроз. Именно на данной стадии возникает понятие "политики безопасности".
Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист
понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения
безопасности наверняка уже были разработаны до него. И в этом он, безусловно,
прав.
Многочисленные организации по всему миру уже давно занимаются проблемой информационной
безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений,
рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако
знать основополагающие документы, конечно же, стоит. Поэтому в данной статье
мы упомянем лишь наиболее важные российские и международные положения, устанавливающие
стандарты в области информационной безопасности.
Понятие безопасности информации
Развитие информационных и телекоммуникационных систем различного назначения
(в первую очередь сети Интернет), а также электронный обмен ценной информацией,
нуждающейся в защите, потребовали от специалистов, работающих в этой сфере,
систематизировать и упорядочить основные требования и характеристики компьютерных
систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению
сформированных стандартов, нужно определить, что же такое безопасность.
Учитывая важность понятия, попробуем сформулировать его расширенное определение,
в котором будут учтены последние международные и отечественные наработки в этой
области. Итак, безопасность информации - это состояние устойчивости данных
к случайным или преднамеренным воздействиям, исключающее недопустимые риски
их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу
владельца или пользователя. Такое определение наиболее полно учитывает главное
назначение коммерческой информационной компьютерной системы - минимизация финансовых
потерь, получение максимальной прибыли в условии реальных рисков.
Это положение особенно актуально для так называемых открытых систем общего
пользования, которые обрабатывают закрытую информацию ограниченного доступа,
не содержащую государственную тайну. Сегодня системы такого типа стремительно
развиваются и в мире, и у нас в стране.
Международный стандарт информационной безопасности
Общеизвестно, что стандартизация является основой всевозможных методик определения
качества продукции и услуг. Одним из главных результатов подобной деятельности
в сфере систематизации требований и характеристик защищенных информационных
комплексов стала Система международных и национальных стандартов безопасности
информации, которая насчитывает более сотни различных документов. В качестве
примера можно привести стандарт ISO 15408, известный как "Common Criteria".
Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408,
безусловно, очень важен для российских разработчиков. Тем более что в текущем,
2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа.
Международная организация по стандартизации (ISO) приступила к разработке Международного
стандарта по критериям оценки безопасности информационных технологий для общего
использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в
1990 году. В его создании участвовали: Национальный институт стандартов и технологии
и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций
(Канада), Агентство информационной безопасности (Германия), Агентство национальной
безопасности коммуникаций (Голландия), органы исполнения Программы безопасности
и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
После окончательного утверждения стандарта ему был присвоен номер ISO 15408.
Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности
ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить
результаты независимых оценок информационной безопасности и допустимых рисков
на основе множества общих требований к функциям безопасности средств и систем
ИТ, а также гарантий, применяемых к ним в процессе тестирования.
Главные преимущества ОК - полнота требований к информационной безопасности,
гибкость в применении и открытость для последующего развития с учетом новейших
достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить
потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков)
при исследовании свойств безопасности средства или системы ИТ (объекта оценки).
Этот стандарт полезен в качестве руководства при разработке функций безопасности
ИТ, а также при приобретении коммерческих продуктов с подобными свойствами.
Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях
человека, но ОК также могут использоваться и при оценке угроз, вызванных другими
факторами. В будущем ожидается создание специализированных требований для коммерческой
кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные
документы такого типа были привязаны к условиям правительственной или военной
системы, обрабатывающей секретную информацию, в которой может содержаться государственная
тайна.
Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой,
стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность
вычислительных систем. Иными словами, создаются технические и программные средства
ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group",
объединяющая около 200 ведущих фирм-производителей вычислительной техники и
телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности
информации для коммерческих автоматизированных систем с учетом указанных критериев.
Кроме того, "Open Group" создает учебные программы, способствующие быстрому
и качественному внедрению документов по стандартизации.
Особенности процесса стандартизации в Интернете
В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются
стандартизацией всех интернет-технологий. Эти организации, составляющие основную
часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF),
уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение
в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной
почты, а так же SNMP (Simple Network Management Protocol) для управления сетью
- результаты деятельности IETF.
За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного
влияния на формирование стандартов. По мере того, как Интернет ширился и обретал
черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути
влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали
даже неформальные органы, такие как IETF. По мере развития рынков, связанных
с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы
для продвижения своих собственных стандартов. В качестве примеров можно упомянуть
OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum
и Java Development Connection. Порой стандарты де-факто задают своими покупками
или заказами серьезные потребители интернет-услуг.
Одна из причин появления различных групп по стандартизации состоит в противоречии
между постоянно возрастающими темпами развития технологий и длительным циклом
создания стандартов.
Стандарты безопасности в Интернете
В качестве средств обеспечения безопасности в сети Интернет популярны протоколы
защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились
сравнительно недавно, и сразу стали стандартами де-факто.
SSL (TLS)
Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной
передачи по сети представляет собой набор криптографических алгоритмов, методов
и правил их применения. Позволяет устанавливать защищенное соединение,
производить контроль целостности данных и решать различные сопутствующие задачи.
SET
SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий
безопасные электронные транзакции в Интернете. Он основан на использовании цифровых
сертификатов по стандарту Х.509 и предназначен для организации электронной торговли
через сеть.
Данный протокол является стандартом, разработанным компаниями "MasterCard"
и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели
могут приобретать товары через Интернет, используя самый защищенный на сегодняшний
день механизм выполнения платежей. SET - это открытый стандартный многосторонний
протокол для проведения платежей в Интернете с использованием пластиковых карточек.
Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка
продавца для проверки готовности оплаты, а также целостность и секретность сообщения,
шифрование ценных и уязвимых данных. SET можно считать стандартной технологией
или системой протоколов выполнения безопасных платежей на основе пластиковых
карт через Интернет.
IPSec
Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению
к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security
IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации,
представляющих соответствующие RFC-стандарты.
Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом
(третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо
от работающего приложения, шифруется каждый пакет данных, проходящий по каналу.
Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec
работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других
криптографических алгоритмов.
Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:
- поддержку немодифицированных конечных систем;
- поддержку транспортных протоколов, отличных от ТСР;
- поддержку виртуальных сетей в незащищенных сетях;
- защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного
анализа трафика);
- защиту от атак типа "отказ в обслуживании".
Кроме того, IPSec имеет два важных преимущества:
- его применение не требует изменений в промежуточных устройствах сети;
- рабочие места и серверы не обязательно должны поддерживать IPSec.
Особенности российского рынка
Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно
решались только в сфере охраны государственной тайны. Аналогичные, но имеющие
собственную специфику задачи коммерческого сектора экономики долгое время не
находили соответствующих решений. Данный факт до сих пор существенно замедляет
появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется
с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной
системе есть свои особенности, которые просто необходимо учитывать, ведь они
оказывают серьезное влияние на технологию информационной безопасности. Перечислим
основные из них :
- Приоритет экономических факторов. Для коммерческой автоматизированной системы
очень важно снизить либо исключить финансовые потери и обеспечить получение
прибыли владельцем и пользователями данного инструментария в условиях реальных
рисков. Важным условием при этом, в частности, является минимизация типично
банковских рисков (например, потерь за счет ошибочных направлений платежей,
фальсификации платежных документов и т.п.);
- Открытость проектирования, предусматривающая создание подсистемы защиты
информации из средств, широко доступных на рынке и работающих в открытых системах;
- Юридическая значимость коммерческой информации, которую можно определить
как свойство безопасной информации, позволяющее обеспечить юридическую силу
электронным документам или информационным процессам в соответствии с правовым
режимом информационных ресурсов, установленным законодательством Российской
Федерации. Это условие в последнее время приобретает все большую значимость
в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ
(особенно при взаимодействии автоматизированных систем разных юридических
лиц).
Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию,
не содержащую государственной тайны, исключительно важно для экономико-финансовой
жизни современной России. Применение в России гармонизированного стандарта ISO
15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной
безопасности, позволит:
- приобщить российские ИТ к современным международным требованиям по информационной
безопасности, что упростит, например, применение зарубежной продукции и экспорт
собственной;
- облегчить разработку соответствующих российских специализированных нормативно-методических
материалов для испытаний, оценки (контроля) и сертификации средств и систем
безопасных банковских и других ИТ;
- создать основу для качественной и количественной оценки информационных рисков,
необходимую при страховании автоматизированных систем;
- снизить общие расходы на поддержание режима информационной безопасности
в банках и корпорациях за счет типизации и унификации методов, мер и средств
защиты информации.
Государственные стандарты
Среди различных стандартов по безопасности информационных технологий, существующих
в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи
открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы
по средствам, системам и критериям оценки защищенности средств вычислительной
техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа
документов, также как и многие ранее созданные зарубежные стандарты, ориентирована
преимущественно на защиту государственной тайны.
Таблица 1. Нормативные документы, регламентирующие оценку защищенности
ИТ
№
п/п
|
Номер документа
|
Описание
|
1 |
ГОСТ Р ИСО 7498-2-99
| Информационная технология. Взаимосвязь открытых систем. Базовая эталонная
модель. Часть 2. Архитектура защиты информации |
2
| ГОСТ Р ИСО/МЭК 9594-8-98 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть
8. Основы аутентификации |
3 |
ГОСТ Р ИСО/МЭК 9594-9-95 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть
9. Дублирование |
4 |
-
|
Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита
от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия
России, 1997) |
5 |
ГОСТ Р 50739-95 |
"Средства вычислительной техники. Защита от несанкционированного доступа
к информации. Общие технические требования" |
6 |
ГОСТ 28147-89
| Системы обработки информации. Защита криптографическая. Алгоритм криптографического
преобразования |
7 |
ГОСТ Р 34.10-94 |
Информационная технология. Криптографическая защита информации. Процедуры
выработки и проверки электронной подписи на базе асимметричного криптографического
алгоритма |
8 |
ГОСТ Р 34.11-94 |
Информационная технология. Криптографическая защита информации. Функция
хэширования |
Как и где работают различные стандарты
Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит,
что их применение ограничено определенным уровнем абстракции в информационных
системах (например, нельзя применять "Common Criteria" для детального описания
механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного
применения стандартов необходимо хорошо знать об их уровне и назначении.
Так, при формировании политики безопасности и системы оценок эффективности,
а также при проведении комплексных испытаний защищенности лучше всего использовать
положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического
совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие
ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно
использовать протокол TLS. Когда же речь идет не просто о защите линии связи,
а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя
протоколы защиты каналов в качестве одного из стандартов более низкого уровня.
От теории к практике
Чтобы продемонстрировать практическую важность перечисленных положений, приведем
перечень стандартов безопасности, применяющихся в комплексе реализации электронных
банковских услуг InterBank
Протокол SSL (TLS) может использоваться в качестве защиты канала
обмена информацией в системах RS-Portal и "Интернет-Клиент".
Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие
шифрование данных и механизм электронно-цифровой подписи, реализованы во всех
системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows",
"Интернет-Клиент").
С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией
между клиентом и банком, использующий сетевой протокол IP. Это относится как
к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной
почты RS-Mail, поддерживающей работу по IP.
Надеемся, что приведенная в статье информация поможет вам оценить надежность
ваших систем, а силы и время разработчиков будут направлены на создание действительно
лучших средств, которые станут новой ступенью на пути развития технологии информационной
безопасности.
| 
