BIS Journal №2(9)/2013

21 мая, 2013

Разметка конфиденциальности

Управление потоками информации на основе меток конфиденциальности в многозвенных сервис-ориентированных автоматизированных системах является одним из актуальных методов обеспечения информационной безопасности. В настоящей статье представлен подход к изучению проблематики такого управления, а также рассмотрены сложности, которые могут возникнуть при выстраивании управления потоками информации.

 

ПРОЕКТИРОВАНИЕ БЕЗОПАСНОСТИ

С учетом ряда требований законодательства и подзаконных актов, в том числе в сфере обеспечения защиты прав субъектов персональных данных, перед многими архитекторами современных корпоративных информационных систем стоит задача обеспечения работоспособности метода управления потоками информации на основе меток конфиденциальности.

В настоящее время в крупных компаниях, включая государственные учреждения, при построении корпоративных автоматизированных систем все чаще отдают предпочтение многозвенной архитектуре построения, так называемой технологии «тонкий» клиент. Доступ конечных пользователей к данным, хранящимся на сервере СУБД, обеспечивается из единой точки входа (корпоративный портал) через корпоративные приложения, работающие на сервере приложений. Архитектура таких систем, как правило, строится в соответствии с эталонной сервис-ориентированной архитектурой (Service Oriented Architecture – SOA) (см. схему).

Схема структуры решений SOA

При проектировании многопользовательских корпоративных систем и реализации в них бизнес-задач производится распределение компонентов приложений по слоям эталонной архитектуры. Программные комплексы, разработанные в соответствии с сервис-ориентированной архитектурой, обычно реализуются как набор веб-служб, взаимодействующих по протоколу SOAP.

Интерфейсы компонентов в сервис-ориентированной архитектуре инкапсулируют детали реализации (операционную систему, платформу, язык программирования) от остальных компонентов. Таким образом производится комбинирование и многократное использование компонентов для построения сложных распределённых программных комплексов, обеспечивается независимость от используемых платформ и инструментов разработки, способствующая масштабируемости и управляемости создаваемых корпоративных систем.

В SOA главным принципом является то, что элементы бизнес-процессов и элементы ИТ-инфраструктуры, лежащие в их основе, рассматриваются в качестве компонентов, которые комбинируются и многократно используются для построения и реализации корпоративных процессов.

При проектировании вышеуказанных систем одной из важнейших задач является построение для них качественной системы информационной безопасности. Одной из актуальных и трудно решаемых задач при построении системы информационной безопасности для крупных многозвенных сервис-ориентированных информационных автоматизированных систем в государственных учреждениях, обрабатывающих и/или хранящих информацию различных типов/уровней конфиденциальности, является управление доступом и потоками информации на основе их меток конфиденциальности.

Необходимость решения данной задачи для вышеуказанных систем продиктовано требованиями документа «Гостехкомиссия России. Руководящий документ. Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (1997 год).

РАЗДЕЛЕНИЕ ПОТОКОВ ИНФОРМАЦИИ

Под потоком информации в многозвенной сервис-ориентированной информационной системе понимается передача отнесённой к одному типу/категории и обрабатываемой в рамках одного запроса информации от объекта к объекту. Любая обработка информации внутри информационной системы происходит посредством таких потоков. Утечка информации также происходит только с помощью информационных потоков, а значит, необходимо уметь разделять потоки на разрешённые (безопасные, не приводящие к утечке данных) и запрещённые (небезопасные, потенциально ведущие к утечке).

Если рассматривать потоки информации внутри контура организации, которая не имеет доступа к сети Internet, то потоки информации циркулируют только в локальной вычислительной сети организации между компонентами системы и сотрудниками, имеющими доступ к обрабатываемой информации, причем пользователи имеют доступ не ко всем типам/категориям информации автоматизированной системы.

И потенциальная утечка информации в такой системе может произойти, если неправильно организовано управление информационными потоками между компонентами системы и конечными пользователями организации. Задача управления информационными потоками сводится к разделению доступа и потоков информации, отнесённой к одному типу/категории, на основе их меток конфиденциальности, что и будет рассмотрено далее.

Обеспечение безопасности информационных потоков в таких системах реализуется комплексом мер, механизмов и методов по защите информации, отнесённой к одному типу/категории и обрабатываемой в рамках одного запроса, на всех компонентах и слоях многозвенной системы, направленных на то, чтобы определить какие информационные потоки в информационной системе являются разрешёнными, а какие нет.

Для выполнения вышеуказанной задачи перед проектированием таких систем в организации целесообразно разработать математическую модель безопасности управления доступом и информационными потоками на основе меток конфиденциальности. На необходимость формализации процедур оценки безопасности, разработки общих методологий и моделей угроз безопасности информационных систем указывается в приказе председателя Гостехкомиссии России № 114 от 4 июня 1999 года «ФСТЭК России. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации».

Более того, в соответствии с требованиями документа «Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: в 3 ч.», введённого в действие Приказом Гостехкомиссии России № 187 от 19 июня 2002 года, для информационных систем с высоким уровнем доверия обязательным является разработка формальной модели их политики безопасности управления доступом и информационными потоками.

«ГИБРИДНАЯ» МОДЕЛЬ

Для теоретического анализа и обоснования безопасности информационных систем используется подходы, основанные на применении классических моделей Take-Grant, Белла – Ла-Падула, систем военных сообщений, ролевого разграничения доступа, а также субъектно-ориентированной модели изолированной программной среды. С их использованием анализируется безопасность управления доступом и информационными потоками в информационных системах с дискреционным, мандатным и ролевым управлением доступом.

Мандатное разграничение доступа определяется четырьмя условиями:

  • все субъекты и объекты однозначно идентифицированы;
  • задана решётка уровней конфиденциальности;
  • каждому объекту системы присвоен уровень конфиденциальности, определяющий ценность содержащейся в ней информации;
  • каждому субъекту системы присвоен уровень доступа, определяющий уровень доверия к нему в информационной системе.

Основной целью мандатного разграничения доступа является предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. недопущение в информационной системе неблагоприятных информационных потоков сверху вниз. Мандатное разграничение доступа чаще всего описывается в терминах и определениях свойств математической модели Белла – Ла-Падула. Кроме того, по сравнению с информационными системами с дискреционным разграничением доступа, для систем с мандатным разграничением доступа характерна более высокая степень надёжности, хотя ценой большей ресурсоёмкости для информационной системы.

Модель безопасности информационных потоков не является самостоятельной и используется в дополнении к мандатной или дискреционной модели управления доступа. Обеспечение безопасности информационных потоков основано на разделении всех возможных информационных потоков между объектами системы на 2 непересекающихся множества: благоприятных и неблагоприятных информационных потоков. Целью обеспечения безопасности информационных потоков является обеспечение невозможности возникновения в информационной системе неблагоприятных информационных потоков.

Но существующие теоретические модели безопасности не позволяют в полной мере учесть существенные особенности функционирования многозвенных сервис-ориентированных информационных систем для реализации в них механизмов управления доступом и потоками информации на основе меток конфиденциальности.

Поэтому для решения задачи управления потоками информации на основе меток конфиденциальности в многозвенных сервис-ориентированных информационных системах необходимо в первую очередь построить «гибридную» математическую модель безопасности на основе существующих математических моделей безопасности для управления потоками информации в соответствии с метками конфиденциальности, применимую для многозвенных сервис-ориентированных информационных систем.

Второе действие – выработка на основе «гибридной» математической модели механизмов/методов/критериев для управления потоками информации в соответствии с метками конфиденциальности в многозвенных сервис-ориентированных информационных системах.

Третий шаг – реализовать выбранные механизмы/методы/критерии управления потоками информации на основе меток конфиденциальности в реальной многозвенной сервис-ориентированной информационной системе, обрабатывающей информацию разных уровней конфиденциальности.

ТРИ ВОЗМОЖНЫЕ СЛОЖНОСТИ

При реализации данных задач может возникать ряд затруднений.

Во-первых, при выборе уже известных математических моделей безопасности для построения такой модели безопасности, которая будет применима для решения вопроса разделения потоков информации в многопользовательских корпоративных информационных системах с сервис-ориентированной архитектурой для пользователей этой системы, имеющих доступ к информации в зависимости от её уровня конфиденциальности. А также в самом процессе построения математического аппарата для разрабатываемой «гибридной» модели безопасности.

Во-вторых, в подборе адекватных мер, механизмов, критериев и методов, применимых к задачам управления потоками информации на различных уровнях обработки информации в многозвенной сервис-ориентированной архитектуре информационной системы как для пользователей, так и для программных процессов. Выполнение вышеуказанных механизмов в части управления потоками информации необходимо обеспечить на:

  • уровне хранения информации (выработать методы разделения физических/виртуальных областей хранения данных многозвенной сервис-ориентированной системы);
  • уровне СУБД (идентифицировать единицу хранения данных и определить методы разграничения доступа к ним, используя механизмы меток конфиденциальности);
  • уровне исполняемых процессов в многозвенной сервис-ориентированной информационной системе (идентифицировать исполняемые процессы между и внутри слоёв сервис-ориентированной информационной системы, а так же определить критерии по разделению потоков информации между исполняемыми процессами).

Все вышеперечисленные меры должны однозначно гарантировать, что при запросе информации одного уровня конфиденциальности конечный пользователь корпоративной многозвенной системы получит доступ к информации запрашиваемого уровня конфиденциальности и информации ниже по уровню конфиденциальности, но не выше.

В-третьих, в реализации выработанных выше для многозвенной сервис-ориентированной многопользовательской информационной корпоративной системы методов разделения потоков информации на основе метки конфиденциальности в реальной системе, обрабатывающей информацию разного уровня конфиденциальности.

При реализации данных методов разделения потоков информации целесообразно, по возможности, использовать встроенные механизмы информационной безопасности программного и системного обеспечения, используемого во всех слоях многозвенной корпоративной системы (решения мировых производителей ОС Microsoft, Linux-подобных систем, продуктов IBM, ORACLE/SQL).

Достичь приемлемого уровня обеспечения безопасности информационных потоков в многозвенной сервис-ориентированной информационной системе возможно. Для этого необходимо выполнить все вышеуказанные мероприятия и решить в полном объёме перечисленные задачи, обусловленные сложностями управления информационными потоками на основе их меток конфиденциальности.

Смотрите также