Поняття політики безпеки

Фундаментальним поняттям захисту інформації є політика безпеки(ПБ)або політика захисту. Важливість цього поняття важко переоцінити – існують ситуації, коли правильно сформульована політика є чи не єдиним механізмом захисту від НСД.

З ПБ пов’язується поняття оптимальності рішень з організації та підтримки системи захисту, що приймаються. Іноді вдається досягти загально прийнятого розуміння оптимальності прийнятого рішення і навіть довести його існування. Однак, коли розв'язок багатоальтернативний, то загальноприйнятого розуміння оптимальності немає, а в тих випадках, коли розглядається питання про оптимальний у якомусь сенсі розв'язок, то його існування, частіше всього, вдається довести лише в окремих задачах.

Подібна ситуація існує і в задачах захисту інформації, оскільки неоднозначним є рішення про те, що система захищена. Крім того, система захисту – не самоціль, а має лише підпорядковане значення і має нести підпорядковану функцію в порівнянні з головною метою обчислювального процесу. Наведемо приклад.

Нехай у базі даних збирається інформація про здоров'я приватних осіб, яка у більшості країн вважається конфіденційною. База даних потрібна, тому що ця інформація дозволяє ефективно робити діагностику. Якщо доступ до цієї бази з точки зору захисту інформації сильно обмежений, то в такій базі не буде користі для лікарів, що ставлять діагнози, і не буде користі від самої бази. Якщо доступ відкрити, то можливий витік конфіденційної інформації, за якої по суду може бути пред'явлено великий позов. Яким повинне бути оптимальне рішення?

Результатом рішення в наведеному прикладі та інших аналогічних задачах є вибір правил розподілу та збереження інформації, а також поводження з інформацією, що і називається політикою безпеки.

Під поняттям ПБ інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих із нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованої в системі комплексної системи захисту інформації.

Формування ПБ є дуже складним аналітичним важко формалізованим процесом. Існують різні типи конкретних політик, причому деякі з них припускають достатньо високий рівень формалізації. Більш того, існують точні доказові методи оцінки ПБ.

Дотримання ПБ повинно забезпечити виконання того компромісу між альтернативами, який вибрали володарі цінної інформації для її захисту. Вочевидь, що будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що приймають участь у взаємодії із інформацією, що захищається. У той же час вибір ПБ – це кінцеве вирішення проблеми: що – гарно і що – погане при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації гарна, якщо вона надійно підтримує виконання правил ПБ. Навпаки, система захисту інформації – погана, якщо вона ненадійно підтримує ПБ.

Таке вирішення проблеми захищеності інформації та проблеми побудови системи захисту дозволяє залучити точні математичні методи. Тобто довести, що дана система в заданих умовах підтримує ПБ. У цьому суть доказового підходу до захисту інформації, який дозволяє говорити про «гарантовано захищену систему». Смисл «гарантованого захисту» у тому, що при дотриманні початкових умов завідомо виконуються усі правила ПБ. Термін «гарантований захист» вперше зустрічається в стандарті міністерства оборони США на вимоги до захищених систем («Оранжева книга»).

Помітимо відмінність ПБ від уживаного поняття санкціонованого доступу. Перша відмінність полягає в тому, що політика визначає як дозволені, так і недозволені доступи. Друга відмінність – ПБ по своєму визначенню конструктивна, може бути основою визначення деякого автомата чи апарата для своєї реалізації.

Для прикладу сформулюємо просту політику безпеки в деякій установі. Ціль, що стоїть перед захистом – забезпечення таємності інформації. ПБ полягає в наступному: кожен користувач користається своїми і тільки своїми даними, не обмінюючись з іншими користувачами. Легко побудувати систему, що підтримує цю політику. Кожен користувач має свій персональний комп'ютер у персональній охоронюваній кімнаті, куди не допускаються крім нього сторонні особи. Легко бачити, що сформульована вище політика реалізується в цій системі. Будемо називати таку політику тривіальною розмежувальною (дискреційною) політикою.

ПБ визначається неоднозначно і, звичайно, завжди пов'язана з практичною реалізацією системи і механізмів захисту. Наприклад, ПБ у останньому прикладі може цілком змінитися, якщо в організації немає достатнього числа комп'ютерів і приміщень для підтримки цієї політики.

Побудова політики безпеки звичайно відповідає наступним крокам:

1. В інформацію вноситься структура цінностей і проводиться аналіз ризику.

2. Визначаються правила для будь-якого процесу користування даним видом доступу до елементів інформації, що має дану оцінку цінностей.

Однак реалізація цих кроків є складною задачею. Результатом помилкового чи бездумного визначення правил ПБ, як правило, є руйнування цінності інформації без порушення політики. Таким чином, навіть гарна система захисту може бути «прозорою» для зловмисника при поганий ПБ.

Розглянемо наступні приклади.

Нехай банківські рахунки зберігаються в зашифрованому виді у файлах ЕОМ. Для зашифрування, природно, використовується блокова система шифру, що для надійності реалізована поза комп'ютером і оперується за допомогою довіреної особи. Прочитавши в книгах про гарні механізми захисту, служба безпеки банка переконана, що якщо шифр стійкий, то зазначеним способом інформація добре захищена. Дійсно, прочитати її при гарному шифрі неможливо, але службовець банку, що знає стандарти заповнення рахунків і має доступ до комп'ютера, може замінити частину шифротекста у своєму рахунку на шифротекст у рахунку багатого клієнта. Якщо формати збіглися, то рахунок такого службовця з великою імовірністю зросте. У цьому прикладі гра йде на тому, що в даній задачі небезпека для цілісності інформації значно вище небезпеки для порушення таємності, а обрана ПБ добре захищає від порушень таємності, але не орієнтована на небезпеку для цілісності.

Якщо невдало вибрати ПБ, то можна показати, як користувач, що не має доступу до секретної інформації, реалізує канал витоку секретних даних про те, де в пустелі знаходиться колодязь з водою (нехай, для простоти, у розглянутій місцевості є тільки один колодязь). Отже, інформація про карту будь-якої ділянки пустелі є несекретною, але координати колодязя є секретною інформацією. Для одержання секретної інформації користувач робить послідовність запитів у базу даних, причому кожен наступний запит (можна говорити про кроки алгоритму користувача) визначається відповіддю на попередній.

1. Розбивається район (для зручності – прямокутник) на вертикальні смуги і робиться запит на ці ділянки в базу даних. Згідно до вибраної ПБ відповідь подається в двох формах:

* відмовлення від показу карти, якщо вона секретна, так як користувачу, що не має допуску до секретної інформації, база даних, природно, не повинна її показувати;

* представлення карти на екрані, якщо участок не містить колодязя.

Якщо є відмовлення в доступі, то висновок – в даній смузі є колодязь.

2. Розбивається смуга, де є колодязь (тобто де є відмовлення в доступі) на окремі ділянки по горизонталі і знову робиться запит в базу даних. Відмовлення знову означає, що в даній ділянці є колодязь.

У результаті обчислюються координати колодязя, причому це можна зробити з будь-якою заданою точністю (залежно від рівня дискретизації ділянок пустелі). Таким чином, ПБ дотримана, однак, відбувся витік секретної інформації.

Зрозуміло, що ПБ можна підкорегувати наступним чином: нехай будь-який користувач одержує карту за запитом, але користувач з допуском до секретної інформації одержує карту з нанесеним колодязем, а користувач без такого доступу – без колодязя. У цьому випадку канал, побудований вище, не працює і ПБ надійно захищає інформацію.

Згідно з [ ] під ПБ інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т.ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін «політика безпеки» може бути застосовано щодо організації, АС, ОС, послуги, що реалізується системою (набору функцій), і т.ін. Чим дрібніше об'єкт, відносно якого застосовується даний термін, тим конкретнішими і формальніше стають правила. Далі для скорочення замість словосполучення «політика безпеки інформації» може використовуватись словосполучення «політика безпеки», а замість словосполучення «політика безпеки інформації, що реалізується послугою» – «політика послуги» і т.ін.

ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС ПБ інформації може бути індивідуальною і може залежати від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і від багатьох інших чинників. Тим більше, одна й та ж сама АС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і ПБ інформації в такій АС буде складеною і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.

ПБ інформації, що реалізуються різними КС будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, але і в зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із аписами, розподіленими в різних файлах.

Для визначення і формалізації процесу розробки ПБ в деякій організації звичайно необхідно розробляти два комплекти документів:

1. Узагальнена політика (program-level).

2. Проблемно-орієнтована (окрема) політика (issue-specific).

Основна функція узагальненої ПБ є визначення програми ЗІ, призначення відповідальних за її виконання осіб, формулювання цілей і об’єктів захисту, а також вироблення схеми для змушування додержання розроблених правил і вказівок. Компонентами узагальненої ПБ вважаються призначення, область розповсюдження, визначення цілей ЗІ, розподіл відповідальності за виконання і методи змушування додержання правил.

Проблемно-орієнтована ПБ необхідна для виділення певних проблемних областей і визначення позицій організації у відношенні до них.

Якщо узагальнена ПБ описує глобальні аспекти ЗІ і її схему, то окремі ПБ розробляються для деяких видів діяльності й у деяких випадках для конкретних систем (наприклад, для захисту електронної кореспонденції). Таким чином, окремі ПБ стандартизують роботу і зменшують потенційний ризик, який виникає при некоректному використанні інформаційних ресурсів. Проблемно-орієнтована ПБ частково визначає керівні принципи при створенні функціональних інструкцій для співробітників організації. Формуючи окрему ПБ, виділяють наступні її компоненти: формулювання проблеми, визначення позиції організації, визначення області розповсюдження, ролей і відповідальності, а також призначення осіб для контактів по даному питанню. Частина ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу (ПРД) (access mediation rules).

Створення життєздатної ПБ – важлива і складна задача, яка вимагає розуміння цілей ЗІ, а також потенційної користі від її розробки. Тому необхідно розробляти структурні підходи для формування ПБ, які включали б у собі способи розподілу обов'язків, підходи для розробки узагальненої й окремих компонент у вигляді узгодженої політики ЗІ, а також рекомендації щодо формування на її основі наборів функціональних інструкцій. Політика ЗІ допомагає визначить стандарти, керівні інструкції і правила для всіх робітників в організації.

Таким чином, у склад будь якої СЗІ обов'язково має входити ПБ і набір апаратних і програмних компонент, використання яких регламентовано політикою, що забезпечує збереження інформації. Для більшої впевненості в надійності СЗІ, необхідна також наявність строгих доказів її повноти і коректності.