ПРОЕКТИРОВАНИЕ БЕЗОПАСНОСТИ
С учетом ряда требований законодательства и подзаконных актов, в том числе в сфере обеспечения защиты прав субъектов персональных данных, перед многими архитекторами современных корпоративных информационных систем стоит задача обеспечения работоспособности метода управления потоками информации на основе меток конфиденциальности.
В настоящее время в крупных компаниях, включая государственные учреждения, при построении корпоративных автоматизированных систем все чаще отдают предпочтение многозвенной архитектуре построения, так называемой технологии «тонкий» клиент. Доступ конечных пользователей к данным, хранящимся на сервере СУБД, обеспечивается из единой точки входа (корпоративный портал) через корпоративные приложения, работающие на сервере приложений. Архитектура таких систем, как правило, строится в соответствии с эталонной сервис-ориентированной архитектурой (Service Oriented Architecture – SOA) (см. схему).
Схема структуры решений SOA
При проектировании многопользовательских корпоративных систем и реализации в них бизнес-задач производится распределение компонентов приложений по слоям эталонной архитектуры. Программные комплексы, разработанные в соответствии с сервис-ориентированной архитектурой, обычно реализуются как набор веб-служб, взаимодействующих по протоколу SOAP.
Интерфейсы компонентов в сервис-ориентированной архитектуре инкапсулируют детали реализации (операционную систему, платформу, язык программирования) от остальных компонентов. Таким образом производится комбинирование и многократное использование компонентов для построения сложных распределённых программных комплексов, обеспечивается независимость от используемых платформ и инструментов разработки, способствующая масштабируемости и управляемости создаваемых корпоративных систем.
В SOA главным принципом является то, что элементы бизнес-процессов и элементы ИТ-инфраструктуры, лежащие в их основе, рассматриваются в качестве компонентов, которые комбинируются и многократно используются для построения и реализации корпоративных процессов.
При проектировании вышеуказанных систем одной из важнейших задач является построение для них качественной системы информационной безопасности. Одной из актуальных и трудно решаемых задач при построении системы информационной безопасности для крупных многозвенных сервис-ориентированных информационных автоматизированных систем в государственных учреждениях, обрабатывающих и/или хранящих информацию различных типов/уровней конфиденциальности, является управление доступом и потоками информации на основе их меток конфиденциальности.
Необходимость решения данной задачи для вышеуказанных систем продиктовано требованиями документа «Гостехкомиссия России. Руководящий документ. Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (1997 год).
РАЗДЕЛЕНИЕ ПОТОКОВ ИНФОРМАЦИИ
Под потоком информации в многозвенной сервис-ориентированной информационной системе понимается передача отнесённой к одному типу/категории и обрабатываемой в рамках одного запроса информации от объекта к объекту. Любая обработка информации внутри информационной системы происходит посредством таких потоков. Утечка информации также происходит только с помощью информационных потоков, а значит, необходимо уметь разделять потоки на разрешённые (безопасные, не приводящие к утечке данных) и запрещённые (небезопасные, потенциально ведущие к утечке).
Если рассматривать потоки информации внутри контура организации, которая не имеет доступа к сети Internet, то потоки информации циркулируют только в локальной вычислительной сети организации между компонентами системы и сотрудниками, имеющими доступ к обрабатываемой информации, причем пользователи имеют доступ не ко всем типам/категориям информации автоматизированной системы.
И потенциальная утечка информации в такой системе может произойти, если неправильно организовано управление информационными потоками между компонентами системы и конечными пользователями организации. Задача управления информационными потоками сводится к разделению доступа и потоков информации, отнесённой к одному типу/категории, на основе их меток конфиденциальности, что и будет рассмотрено далее.
Обеспечение безопасности информационных потоков в таких системах реализуется комплексом мер, механизмов и методов по защите информации, отнесённой к одному типу/категории и обрабатываемой в рамках одного запроса, на всех компонентах и слоях многозвенной системы, направленных на то, чтобы определить какие информационные потоки в информационной системе являются разрешёнными, а какие нет.
Для выполнения вышеуказанной задачи перед проектированием таких систем в организации целесообразно разработать математическую модель безопасности управления доступом и информационными потоками на основе меток конфиденциальности. На необходимость формализации процедур оценки безопасности, разработки общих методологий и моделей угроз безопасности информационных систем указывается в приказе председателя Гостехкомиссии России № 114 от 4 июня 1999 года «ФСТЭК России. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации».
Более того, в соответствии с требованиями документа «Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: в 3 ч.», введённого в действие Приказом Гостехкомиссии России № 187 от 19 июня 2002 года, для информационных систем с высоким уровнем доверия обязательным является разработка формальной модели их политики безопасности управления доступом и информационными потоками.
«ГИБРИДНАЯ» МОДЕЛЬ
Для теоретического анализа и обоснования безопасности информационных систем используется подходы, основанные на применении классических моделей Take-Grant, Белла – Ла-Падула, систем военных сообщений, ролевого разграничения доступа, а также субъектно-ориентированной модели изолированной программной среды. С их использованием анализируется безопасность управления доступом и информационными потоками в информационных системах с дискреционным, мандатным и ролевым управлением доступом.
Мандатное разграничение доступа определяется четырьмя условиями:
Основной целью мандатного разграничения доступа является предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. недопущение в информационной системе неблагоприятных информационных потоков сверху вниз. Мандатное разграничение доступа чаще всего описывается в терминах и определениях свойств математической модели Белла – Ла-Падула. Кроме того, по сравнению с информационными системами с дискреционным разграничением доступа, для систем с мандатным разграничением доступа характерна более высокая степень надёжности, хотя ценой большей ресурсоёмкости для информационной системы.
Модель безопасности информационных потоков не является самостоятельной и используется в дополнении к мандатной или дискреционной модели управления доступа. Обеспечение безопасности информационных потоков основано на разделении всех возможных информационных потоков между объектами системы на 2 непересекающихся множества: благоприятных и неблагоприятных информационных потоков. Целью обеспечения безопасности информационных потоков является обеспечение невозможности возникновения в информационной системе неблагоприятных информационных потоков.
Но существующие теоретические модели безопасности не позволяют в полной мере учесть существенные особенности функционирования многозвенных сервис-ориентированных информационных систем для реализации в них механизмов управления доступом и потоками информации на основе меток конфиденциальности.
Поэтому для решения задачи управления потоками информации на основе меток конфиденциальности в многозвенных сервис-ориентированных информационных системах необходимо в первую очередь построить «гибридную» математическую модель безопасности на основе существующих математических моделей безопасности для управления потоками информации в соответствии с метками конфиденциальности, применимую для многозвенных сервис-ориентированных информационных систем.
Второе действие – выработка на основе «гибридной» математической модели механизмов/методов/критериев для управления потоками информации в соответствии с метками конфиденциальности в многозвенных сервис-ориентированных информационных системах.
Третий шаг – реализовать выбранные механизмы/методы/критерии управления потоками информации на основе меток конфиденциальности в реальной многозвенной сервис-ориентированной информационной системе, обрабатывающей информацию разных уровней конфиденциальности.
ТРИ ВОЗМОЖНЫЕ СЛОЖНОСТИ
При реализации данных задач может возникать ряд затруднений.
Во-первых, при выборе уже известных математических моделей безопасности для построения такой модели безопасности, которая будет применима для решения вопроса разделения потоков информации в многопользовательских корпоративных информационных системах с сервис-ориентированной архитектурой для пользователей этой системы, имеющих доступ к информации в зависимости от её уровня конфиденциальности. А также в самом процессе построения математического аппарата для разрабатываемой «гибридной» модели безопасности.
Во-вторых, в подборе адекватных мер, механизмов, критериев и методов, применимых к задачам управления потоками информации на различных уровнях обработки информации в многозвенной сервис-ориентированной архитектуре информационной системы как для пользователей, так и для программных процессов. Выполнение вышеуказанных механизмов в части управления потоками информации необходимо обеспечить на:
Все вышеперечисленные меры должны однозначно гарантировать, что при запросе информации одного уровня конфиденциальности конечный пользователь корпоративной многозвенной системы получит доступ к информации запрашиваемого уровня конфиденциальности и информации ниже по уровню конфиденциальности, но не выше.
В-третьих, в реализации выработанных выше для многозвенной сервис-ориентированной многопользовательской информационной корпоративной системы методов разделения потоков информации на основе метки конфиденциальности в реальной системе, обрабатывающей информацию разного уровня конфиденциальности.
При реализации данных методов разделения потоков информации целесообразно, по возможности, использовать встроенные механизмы информационной безопасности программного и системного обеспечения, используемого во всех слоях многозвенной корпоративной системы (решения мировых производителей ОС Microsoft, Linux-подобных систем, продуктов IBM, ORACLE/SQL).
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных