4 Модели политик информационной безопасности

4.1 Классификация существующих моделей политики ИБ

На рисунке 5 представлена схема классификации и взаимосвязи положений математических моделей безопасности компьютерных систем.

Рисунок 5 – Классификация и взаимосвязи положений математических моделей безопасности компьютерных систем

Основную роль в методе формальной разработки системы играет так называемая модель безопасности (модель управления доступом, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к данной системе. Она определяет потоки информации, разрешенные в системе, и правила управления доступом к информации.

Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как она является формальной, возможно осуществить доказательство различных свойств безопасности системы.

Хорошая модель безопасности обладает свойствами абстрактности, простоты и адекватности моделируемой системе. Основные понятия, используемые в моделях разграничения доступа:

Доступ к информации — ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа

Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

4.2 Модель дискреционного доступа (DAC)

В рамках дискреционной модели контролируется доступ субъектов (пользователей или приложений) к объектам (представляющим собой различные информационные ресурсы: файлы, приложения, устройства вывода и т.д.).

Для каждого объекта существует субъект-владелец, который сам определяет тех, кто имеет доступ к объекту, а также разрешенные операции доступа. Основными операциями доступа являются READ (чтение), WRITE (запись) и EXECUTE (выполнение, имеет смысл только для программ).

Таким образом, в модели дискреционного доступа для каждой пары субъект-объект устанавливается набор разрешенных операций доступа. При запросе доступа к объекту, система ищет субъекта в списке прав доступа объекта и разрешает доступ если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Иначе доступ не предоставляется.

Классическая система дискреционного контроля доступа является «закрытой» в том смысле, что изначально объект не доступен никому, и в списке прав доступа описывается набор разрешений. Также существуют «открытые» системы, в которых по умолчанию все имеют полный доступ к объектам, а в списке доступа описывается набор ограничений.

В частности, в Linux для каждого файла (все ресурсы в ОС Linux представимы в виде файлов, в том числе устройства ввода-вывода) устанавливаются разрешения доступа для трех категорий субъектов: владелец файла, члены той же группы, что и владелец, и все остальные пользователи. Для каждой из этих категорий устанавливаются права на чтение (r), запись (w) и выполнение (x). Набор прав доступа объекта может быть представлен в виде символьной строки. Например, запись «rwxr-xr--» означает, что владелец файла может делать с ним все, что угодно; члены его группы могут читать и исполнять файл, но не могут записывать, а прочим пользователям доступно только чтение.

Недостаток модели DAC заключается в том, что субъект, имеющий право на чтение информации может передать ее другим субъектам, которые этого права не имеют, без уведомления владельца объекта. Таким образом, нет гарантии, что информация не станет доступна субъектам, не имеющим к ней доступа. Кроме того, не во всех АИС каждому объекту можно назначить владельца (во многих случаях данные принадлежат не отдельным субъектам, а всей системе).

4.3. Модель безопасности Белла-Ла Падулы

Одна из наиболее известных моделей безопасности — модель Белла-Ла Падулы (модель мандатного управления доступом). В ней определено множество понятий, связанных с контролем доступа; даются определения субъекта, объекта и операции доступа, а также математический аппарат для их описания. Эта модель в основном известна двумя основными правилами безопасности: одно относится к чтению, а другое – к записи данных.

Пусть в системе имеются данные (файлы) двух видов: секретные и несекретные, а пользователи этой системы также относятся к двум категориям: с уровнем допуска к несекретным данным (несекретные) и с уровнем допуска к секретным данным (секретные).

1. Свойство простой безопасности: несекретный пользователь (или процесс, запущенный от его имени) не может читать данные из секретного файла.

2. *-свойство: пользователь с уровнем доступа к секретным данным не может за-писывать данные в несекретный файл. Это правило менее очевидно, но не менее важно. Действительно, если пользователь с уровнем доступа к секретным данным скопирует эти данные в обычный файл (по ошибке или злому умыслу), они станут доступны любому «несекретному» пользователю. Кроме того, в системе могут быть установлены ограничения на операции с секретными файлами (например, запрет копировать эти файлы на другой компьютер, отправлять их по электронной почте и т.д.). Второе правило безопасности гарантирует, что эти файлы (или даже просто содержащиеся в них данные) никогда не станут несекретными и не «обойдут» эти ограничения. Таким образом, вирус, например, не сможет похитить конфиденциальные данные.

Рисунок 6 – Модель безопасности Белла-ЛаПадулы

Рассмотренные правила легко распространить на случай, когда в системе необходимо иметь более двух уровней доступа — например, различаются несекретные, конфиденциальные, секретные и совершенно секретные данные. Тогда пользователь с уровнем допуска к секретным данным может читать несекретные, конфиденциальные и секретные документы, а создавать — только секретные и совершенно секретные.

Общее правило звучит так: пользователи могут читать только документы, уровень секретности которых не превышает их допуска, и не могут создавать документы ниже уровня своего допуска. То есть теоретически пользователи могут создавать документы, прочесть которые они не имеют права.

Модель Белла-Ла Падулы стала первой значительной моделью политики безопасности, применимой для компьютеров, и до сих пор в измененном виде применяется в военной отрасли. Модель полностью формализована математически. Основной упор в модели делается на конфиденциальность, но кроме неё фактически больше ничего не представлено. Кроме того, в модели игнорируется проблема изменения классификации: предполагается, что все сведения относятся к соответствующему уровню секретности, который остается неизменным. Наконец, бывают случаи, когда пользователи должны работать с данными, которые они не имеют права увидеть.

4.4 Ролевая модель контроля доступа (RBAC)

Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе (ролей). Под ролью понимается совокупность действий и обязанностей, связанных с определенным видом деятельности. Примеры ролей: администратор базы данных, менеджер, начальник отдела.

В ролевой модели с каждым объектом сопоставлен набор разрешенных операций доступа для каждой роли (а не для каждого пользователя). В свою очередь, каждому пользователю сопоставлены роли, которые он может выполнять. В некоторых системах пользователю разрешается выполнять несколько ролей одновременно, в других есть ограничение на одну или несколько не противоречащих друг другу ролей в каждый момент времени.

Для формального определения модели RBAC используются следующие соглашения:

S = субъект — человек или автоматизированный агент.

R = роль — рабочая функция или название, определяется на уровне авторизации.

P = разрешения — утверждения режима доступа к ресурсу.

SE = сессия — Соответствие между S, R и/или P.

SA = назначение субъекта (Subject Assignment). SA ⊆ S × R. При этом субъекты назначаются связям ролей и субъектов в отношении «многие ко многим» (один субъект может иметь несколько ролей, а одну роля могут иметь несколько субъектов).

PA = назначение разрешения (Permission Assignment). PA ⊆ P × R. При этом разрешения назначаются связям ролей в отношении «многие ко многим».

RH = частично упорядоченная иерархия ролей (Role Hierarchy). PH ⊆ R × R.

На возможность наследования разрешений от противоположных ролей накладывается ограничительная норма, которая позволяет достичь надлежащего разделения режимов. Например, одному и тому же лицу может быть не позволено создать учетную запись для кого-то, а затем авторизоваться под этой учетной записью.

Рисунок 7 – Схема ролевой модели контроля доступа (RBAC)

Основные достоинства ролевой модели:

1. Простота администрирования. В отличие от модели DAC нет необходимости прописывать разрешения для каждой пары «объект-пользователь». Вместо этого прописываются разрешения для пар «объект-роль» и определяются роли каждого пользователя. При изменении области ответственности пользователя, у него просто изменяются роли.

2. Принцип наименьшей привилегии. Ролевая модель позволяет пользователю регистрироваться в системе ролью, минимально необходимой для выполнения требуемых задач. Запрещение полномочий, не требуемых для выполнения текущей задачи, не позволяет обойти политику безопасности системы.

3. Разделение обязанностей. RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R/3 и множество других, эффективно применяющих RBAC. С помощью RBAC могут быть смоделированы дискреционные и мандатные системы управления доступом.

5

Безопасность банка, как и любого экономического хозяйствующего субъекта бизнеса складывается из многих составляющих, среди которых можно выделить: стратегию работы с клиентами, сохранение собственного персонала (уровень лояльности), работа с партнерами и конкурентами.

Для любого банка критически важным ресурсом ведения бизнеса является информация. Банковская информация сохраняется в корпоративных сетях банка, а также передается по внешним, неконтролируемым вычислительным сетям общего доступа (например, Интернет). Огромная доля коммерческой информации сосредотачивается в информационной системе (ИС) банка. Данные из ИС используются операторами, менеджерами, а также партнерами и клиентами посредством веб-представительства банка в Интернете.

Обеспечение информационной безопасности является важнейшей составляющей частью выполнения задачи обеспечения экономической безопасности бизнеса в целом. Экономически ценная информация используется при работе с клиентами, партнерами, внутри банка; к ней имеет непосредственный доступ персонал банка, а так же существует множество внешних злоумышленников, заинтересованных в организации несанкционированного доступа к интересующей их секретной информации. Любые действия пользователей на компьютерах и в сетях приводят к перемещению или к обработке информации. Кроме того, информация находится в стадии хранения на информационных ресурсах.

Руководство банка должно понимать важность обеспечения безопасности информационных ресурсов и иметь представление о том, какие правила информационной безопасности необходимы для эффективного баланса между защитой и оперативностью функционирования организации.

Рисунок 8 – Схема информационного взаимодействия ПАО «Акцент-Банк» с внешним миром

На схеме изображены наиболее значимые сущности экономического взаимодействия банка с внешним миром, каждая из которых осуществляет активный информационный обмен с банком. Безопасность этого обмена, в том числе и доступность каналов связи и скорость обмена данными, определяет экономический успех банковской деятельности. Важной составляющей является и репутация банка, необходимо обеспечить ее защиту от внешних и внутренних посягательств. Политика безопасности банка является приоритетным стратегическим документом, отражающий концепции банка в сфере обеспечения безопасности своей экономической деятельности.

Состав банковской ИС

В первую очередь банковская ИВС предназначена для поддержки бизнеса банка. Выделим основные направления деятельности банка, поддерживающиеся ИС: " управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность; " ритейл (розничные услуги), депозиты и кредитование; " кассовые операции; " дилинговые операции; " операции на фондовом рынке, работа банка с ценными бумагами, инвестиционно-фондовые услуги; " внутрихозяйственная деятельность; " дистанционное банковское обслуживание, электронные банковские услуги; " консультационные услуги; " расчетное обслуживание и платежная система (карточные продукты), клиринговые услуги; " интеграция бэк-офиса банка с его внешними операциями; " управление рисками и стратегическое планирование; " комиссионные операции; " страховые услуги; " инкассация, факторинг, лизинг, трастовые операции, гарантии; " программы лояльности клиентов, маркетинговая, рекламная и PR-службы. Таким образом, банковская ИВС является сложносоставным комплексом, действующим в гетерогенной вычислительной сети. Необходимость функционирования в общедоступных сетях одновременно с требованием открытости информации для внешних пользователей банковской ИС (клиентов, контрагентов, партнеров ...) обуславливают возникновение множества проблем при решении задачи обеспечения информационной безопасности. Необходимо обеспечивать разделение доступа к информации, защиту хранящихся и передаваемых данных от перехвата, раскрытия, модификации/уничтожения. Важной задачей поддержки бизнеса является постоянное обеспечение работоспособности системы, для чего необходимо применять методы защиты от наиболее распространенных и простых в исполнении атак типа "отказ в доступе". Основные угрозы банковским ИС Считается, что основная угроза ИС исходит извне. Безусловно, банк должен уметь защищаться от внешних информационных атак. Но практика показала, что более чем в 70% случаев нарушение информационной защиты осуществлялось изнутри собственным персоналом банка. Политика безопасности должна учитывать это: следует руководствоваться принципом минимальных привилегий (знай только то, что необходимо для своей работы), разделением секретов и полномочий. Многочисленные попытки взломов и успешные нападения на банковские вычислительные сети остро ставят проблему обеспечения информационной безопасности. Среди связей устанавливаемых ИВС, выделим следующие: " внешние o платежная система; o банк--клиент (банк--банк); o Интернет--клиент; o интернет-трейдинг; " внутренние o офис--удаленный менеджер; o головной офис--региональные офисы/отделения. Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через сети общего доступа, использование которых таит в себе многочисленные информационные угрозы. Наиболее распространенные из них: " отказ в обслуживании; " перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине"); " несанкционированный доступ к ресурсам и данным системы: o подбор пароля; o взлом систем защиты и администрирования; o маскарад (действия от чужого имени); " IP-спуфинг (подмена сетевых адресов); " сканирование сетей/сетевая разведка. Можно указать следующие причины, приводящие к появлению подобных уязвимостей: " неполная реализация или неверная модель политики безопасности; " недостаточный уровень проверки участников соединения; " отсутствие гарантии конфиденциальности и целостности передаваемых данных; " уязвимости при управлении ключами; " отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак); " существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов; " проблемы при построении межсетевых фильтров; " непрофессиональное и слабое администрирование систем; " сговор сотрудников банка с внешним злоумышленником; " сбои в работе компонентов системы или их низкая производительность.

Подключение к Интернету Подключение к Интернету должно быть защищено. Это позволяют сделать межсетевые экраны или брандмауэры. Они способны фильтровать входящий и исходящий трафик в соответствии с правилами политики безопасности. Существует возможность отключать и включать разрешения на использование сетевых протоколов, различных сетевых служб, конференций и т. п. При этом необходимо руководствоваться принципом минимизации предоставляемых сервисов, исходя из производственных потребностей сотрудников. При наличии подключения к Интернету, служащие банка могут передать важную информацию во внешнюю среду. При этом все предпринимаемые административные меры обеспечения информационной безопасности будут бессильны. В банке должен проводиться инструктаж или существовать программа обучения пользователей Интернета, должны быть разработаны правила, регламентирующие использование запатентованной информации и интеллектуальной собственности банка. До сведения служащих должна также доводиться политика безопасности банка и ответственность пользователей за представление банка в мировой Сети. Следует разработать четкие инструкции, регламентирующие использование электронной почты: от этикета общения и соответствия имиджу банка до вопросов обеспечения безопасности. В некоторых случаях необходимо ограничивать объем пересылаемой корреспонденции. Следует производить сканирование поступающих сообщений на наличие вредоносных программ, таких как вирусы или трояны. Вирус, заразивший рабочую станцию сотрудника или сервер сети, может передавать на адрес злоумышленника различную информацию, среди которой могут оказаться конфиденциальные данные банка. Информация, пересылаемая по открытым каналам связи (Интернет, e-mail) может быть перехвачена сторонними лицами. Без необходимых мер предосторожности не должна пересылаться информация, которая может нанести ущерб финансовой организации или лично пользователю. В качестве мер предосторожности необходимо использовать шифрование, туннелирование, защищенные каналы связи и технологию VPN (Virtual Private Network, Виртуальная Частная Сеть). Кроме того, пользователи должны заботиться о разумных границах предоставления личных данных. В Интернете существуют специализированные сервисы, занимающиеся сбором информации. При онлайновом заполнении любых форм (регистрационных и не только) необходимо руководствоваться минимизацией передаваемых данных. Если большое число сотрудников передадут пусть небольшие объемы информации на один сайт, в целом он получит вполне представительную информацию о банке. Пользователи Интернета не должны передавать никакой информации, которая раскрывает сведения об интеллектуальной собственности или деловой активности банка. Должны также вводиться ограничения на создание сотрудниками корпорации собственных веб-ресурсов с общим доступом. Минимальным требованием должно быть предъявление содержимого публикуемого веб-ресурса специальной комиссии. Кроме этого банк должен разработать четкие инструкции, предписывающие порядок публикации информации на корпоративном веб-сервере, поддержания его содержимого в адекватном состоянии. Необходимо соблюдать организационные и административные меры по обеспечению безопасного функционирования всего веб-сервера, скриптов, сценариев и программ, выполняющихся на нем. Важным является проведение ревизий по проверке содержимого веб-ресурса и журнализации попыток взлома сайта, а также попыток и фактов замены статических или исполняемых объектов веб-ресурса. Не следует забывать об устанавливаемом ПО, полученном из источников, распространяющих неленцензированные программы, в частности из Интернета. Никто не дает гарантии и не несет юридической ответственности за последствия использования подобных программ. В качестве организационных мер защиты необходим регламент получения, проверки, инсталляции и использования ПО, полученного бесплатно или условно бесплатно из открытых источников. Среди административных мер обеспечения безопасности прежде всего выделим антивирусные системы защиты.

СПИСОК ИСТОЧНИКОВ

1. Амелин Р. В.Информационная безопасность

2. http://www.average.org/freecrypto — Использование "сильной" криптографии в России.

3. http://www.ssl.stu.neva.ru/psw/crypto/appl_rus/appl_cryp.htm — Павел Семьянов. Брюс Шнайер. Прикладная криптография.

4. Скляров Д. В. Искусство защиты и взлома информации. — СПб.: БХВ-Петербург,2004. - 288 с.

5. ISO/IEC 27001:2005. Information Technology. — Security Techniques. — Information Security management Systems. — Requirements.

6. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность

7. Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 2007 г.

8. Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 2007 г.