Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств. Для чего нужно знать теорию Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе. Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности". Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав. Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит. Поэтому в данной статье мы упомянем лишь наиболее важные российские и международные положения, устанавливающие стандарты в области информационной безопасности. Понятие безопасности информации Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность. Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков. Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране. Международный стандарт информационной безопасности Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria". Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408. Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования. Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна. Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации. Особенности процесса стандартизации в Интернете В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF. За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг. Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов. Стандарты безопасности в Интернете В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто. SSL (TLS) Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. SET SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть. Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет. IPSec Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов. Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает: - поддержку немодифицированных конечных систем;
- поддержку транспортных протоколов, отличных от ТСР;
- поддержку виртуальных сетей в незащищенных сетях;
- защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного
анализа трафика); - защиту от атак типа "отказ в обслуживании".
Кроме того, IPSec имеет два важных преимущества: - его применение не требует изменений в промежуточных устройствах сети;
- рабочие места и серверы не обязательно должны поддерживать IPSec.
Особенности российского рынка Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них : - Приоритет экономических факторов. Для коммерческой автоматизированной системы
очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.); - Открытость проектирования, предусматривающая создание подсистемы защиты
информации из средств, широко доступных на рынке и работающих в открытых системах; - Юридическая значимость коммерческой информации, которую можно определить
как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц). Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит: - приобщить российские ИТ к современным международным требованиям по информационной
безопасности, что упростит, например, применение зарубежной продукции и экспорт собственной; - облегчить разработку соответствующих российских специализированных нормативно-методических
материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и других ИТ; - создать основу для качественной и количественной оценки информационных рисков,
необходимую при страховании автоматизированных систем; - снизить общие расходы на поддержание режима информационной безопасности
в банках и корпорациях за счет типизации и унификации методов, мер и средств защиты информации. Государственные стандарты Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны. Таблица 1. Нормативные документы, регламентирующие оценку защищенности ИТ № п/п | Номер документа | Описание | 1 | ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации | 2 | ГОСТ Р ИСО/МЭК 9594-8-98 | Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации | 3 | ГОСТ Р ИСО/МЭК 9594-9-95 | Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование | 4 | - | Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997) | 5 | ГОСТ Р 50739-95 | "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" | 6 | ГОСТ 28147-89 | Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования | 7 | ГОСТ Р 34.10-94 | Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма | 8 | ГОСТ Р 34.11-94 | Информационная технология. Криптографическая защита информации. Функция хэширования | Как и где работают различные стандарты Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении. Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня. От теории к практике Чтобы продемонстрировать практическую важность перечисленных положений, приведем перечень стандартов безопасности, применяющихся в комплексе реализации электронных банковских услуг InterBank Протокол SSL (TLS) может использоваться в качестве защиты канала обмена информацией в системах RS-Portal и "Интернет-Клиент". Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие шифрование данных и механизм электронно-цифровой подписи, реализованы во всех системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows", "Интернет-Клиент"). С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией между клиентом и банком, использующий сетевой протокол IP. Это относится как к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной почты RS-Mail, поддерживающей работу по IP. Надеемся, что приведенная в статье информация поможет вам оценить надежность ваших систем, а силы и время разработчиков будут направлены на создание действительно лучших средств, которые станут новой ступенью на пути развития технологии информационной безопасности.
|