О журнале
Рекомендации
Методология защиты информации в условиях конверсии военного производства
Ухлинов Л.М., Казарин О.В.
____________________________
Ухлинов Л.М., Казарин О.В.
- Рассмотрен методический подход к проведению работ по обеспечению защиты информации на предприятиях оборонного комплекса, определены этапы и взаимосвязь выполняемых мероприятий.
Однако такая информация может иметь открытый (общедоступный) и конфиденциальный характер. Это означает, что с развитием рыночной экономики возможно развитие промышленного шпионажа, при котором конкурирующие предприятия (фирмы) будут стараться получить как можно больше информации о самых различных областях деятельности друг друга с применением далеко не "джентльменских" методов. Следовательно, комплексная информатизация процессов конверсии оборонного комплекса должна предусматривать применение ряда организационных мероприятий и программно-аппаратных средств защиты информации от несанкционированного доступа и использования.
В общем случае методологическая схема создания системы обеспечения безопасности информации (СОБИ) на предприятии оборонного комплекса включает последовательность взаимоувязанных по целям и результатам этапов [2 ], каждый из которых обязательно содержит анализ специфических особенностей конкретного предприятия (рис. 1). Проведение всех работ начинается по решению руководства предприятия и существенно зависит от уровня его компетентности в вопросах защиты информации. Начальный этап включает подбор специалистов и формирование на предприятии рабочей группы, которая в дальнейшем будет вести разработку проекта СОБИ и контролировать его реализацию. В рабочую группу должны входить специалисты по защите информации, информационным технологиям, техническим средствам ЭВМ и локальных сетей, системному и прикладному программированию. Кроме того, в группу должны быть включены представители финансовой и маркетинговой служб, а также служб главного инженера и главного технолога предприятия.
Рис. 1. Методологическая схема создания системы обеспечения безопасности информации.
Деятельность рабочей группы начинается с анализа исходных данных и ограничений на создание СОБИ на предприятии. При этом учитываются такие факторы, как принципы подготовки и обработки документов в подразделениях и службах предприятия, принципы построения автоматизированной информационной системы (АИС) предприятия, а также финансовые и ресурсные ограничения на создание и эксплуатацию СОБИ. На основании проведенного анализа разрабатывается общая концепция обеспечения безопасности информации (ОБИ), которая определяет цели ОБИ, распределение ответственности между должностными лицами предприятия за организацию ОБИ, формулирует основные требования к ОБИ, учитывающие не только текущие потребности, но и перспективу развития предприятия, его техническую политику и конкурентоспособность производимой продукции. Общая концепция ОБИ обязательно обсуждается с руководством предприятия и утверждается в качестве основного документа.
Следующим этапом является выявление потенциальных каналов утечки информации и определение объектов АИС, требующих защиты. При этом рассматриваются не только каналы утечки информации, обусловленные свойствами технических средств и несовершенством программного обеспечения АИС, но и возможности прямого хищения документов сотрудниками предприятия. Такой подход к выявлению потенциальных каналов утечки определяется необходимостью комплексного решения проблем защиты информации, включая и проблемы борьбы с промышленным шпионажем. После формирования так называемой карты каналов утечки специалистами рабочей группы выполняется обобщение каналов по их физической сущности и разрабатывается система критериев оценки эффективности средств ОБИ, которая является основой для разработки предварительного варианта программы и методики испытаний СОБИ. Система критериев обычно строится на основании системы показателей эффективности СОБИ, структура которой приведена на рис. 2.
Рис. 2. Структура системы показателей эффективности
Далее выполняется разработка методов и средств ОБИ, которые должны использоваться для предотвращения несанкционированного доступа к информации. При этом каждое средство защиты может обеспечивать перекрытие нескольких каналов утечки, но, в то же время, некоторые каналы утечки имеют настолько сложную физическую и логическую сущность, что для их перекрытия может потребоваться несколько средств защиты.
Анализ степени риска проводится для определения возможных потерь в случае нарушения безопасности информации. Для проведения такого анализа обычно разрабатываются специализированные шкалы оценки допустимых потерь в денежном эквиваленте. Это обусловлено тем, что каждое предприятие имеет собственную границу "допустимости" потерь, определяемую масштабом разработок, бюджетом и множеством других политических и экономических факторов. Если потери меньше, чем затраты, требуемые на разработку, внедрение и эксплуатацию средств защиты, и если с точки зрения глобальных интересов предприятия возможный несанкционированный доступ не приведет к существенным нарушениям работы, то такой риск обычно считается допустимым. Однако необходимо учитывать, что в некоторых случаях не допускается даже незначительная утечка информации, например, если речь идет о новых технологиях создания вооружения или военной техники или об оригинальных технических решениях в области продукции, производимой в рамках конверсии.
Поскольку внедрение в деятельность предприятий новых информационных технологий ведет к концентрации значительных объемов данных разнообразного содержания в памяти ЭВМ АИС и существенному снижению времени получения обобщенных отчетов по формируемым с автоматизированных рабочих мест запросам операторов, основное внимание при анализе риска уделяется рассмотрению АИС как основного объекта попыток несанкционированного доступа. Упрощенная диаграмма таких исследований приведена на рис. 3.
Получение количественных оценок степени риска основывается на введении специальных показателей, характеризующих возможные потери для каждого типа угроз безопасности информации. В частности, могут использоваться коэффициенты ожидаемых потерь, которые вычисляются следующим образом:
Ki (An, Zm) = Mi (An) * Pi (Zm),
где Ki (Ап, Zm) — коэффициент, характеризующий потери свойства Ап при возникновении i-й угрозы и варианте защиты Zm; здесь под свойством Ап может пониматься безопасность информации, способность АИС выполнять ту или иную функцию, способность (целесообразность) продолжения выпуска предприятием той или иной продукции и др.; .
Mi (Ап) — максимальный уровень потерь свойства Ап при реализации
- нарушителем i-й угрозы;
Необходимо отметить, что коэффициент К( (Ап, Zm) имеет ту же физическую сущность, что и показатель потерь Мi (Ап). Это означает, что если М,- (Ап) выражает финансовые потери предприятия от нарушения свойства Ап, то и Ki (Ап, Zm) также измеряется в денежных единицах.
Определение допустимости потерь основывается на введении для каждого типа защищаемых информационных ресурсов (свойств) АИС пороговых значений Кi (Aп, Zm), превышение которых для данного предприятия считается с точки зрения наносимого ущерба значительным. Определение таких пороговых значений
выполняется путем экспертных оценок специалистами различных служб предприятия. В случае превышения допустимых значений потерь вводятся дополнительные меры и средства зашиты, после чего расчеты повторяются.
Обоснование соответствия между допустимыми потерями и стоимостью выбранного для каждого сценария нарушения безопасности информации варианта защиты выполняется с учетом стоимости введения средств защиты, планируемого времени его применения и стоимости его эксплуатации, например в течение года. При этом может использоваться показатель экономической допустимости потери свойства, который вычисляется следующим образом:
- Cm0 • Cm1 — стоимость введения и эксплуатации варианта защиты Zm.
Учитывая общую (и вполне закономерную) тенденцию увеличения стоимости защиты информации, обеспечивающей снижение уровня вероятного ущерба, можно сделать вывод, что наиболее предпочтительный вариант защиты для свойств Ап должен выбираться по минимуму показателя Fn (Zm).
Следующим этапом деятельности рабочей группы по ОБИ является разработка процедур обнаружения попыток несанкционированного доступа к информации и принятие соответствующих мер по минимизации возможного ущерба. Минимизация ущерба достигается за счет обнаружения попыток (или свершившегося факта) несанкционированного доступа, блокирования скомпрометированных ресурсов и принятия ряда мер по восстановлению системы защиты и предотвращению дальнейшего использования нарушителем выявленного канала утечки информации. Механизмы обнаружения попыток доступа к защищаемым ресурсам основываются на применении специализированных экспертных систем [3] и включают распознавание и регистрацию событий, связанных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа принятой в системе концепции защиты данных.
На следующем этапе разрабатывается предварительный проект СОБИ, в котором конкретизируются особенности ОБИ для данного предприятия и рассматриваются все аспекты защиты информации, начиная от нормативно-правовых документов и кончая подробной спецификацией каждой из используемых процедур защиты. В проекте СОБИ также определяются технологические принципы реализации защитных механизмов.
После разработки проекта СОБИ осуществляется его всесторонний анализ по критерию "эффективность/стоимость". При этом эффективность оценивается по уменьшению вероятных потерь, а стоимость включает в себя все затраты на организацию защиты данных, в том числе и затраты на измерение соответствующих характеристик АИС (например, уровней электромагнитного излучения, снижения производительности ЭВМ за счет включения средств защиты и др.).
Уменьшение вероятных потерь вычисляется следующим образом:
Выбор лучшего (или наиболее эффективного) проекта СОБИ может осуществляться либо по минимуму затрат (вероятных потерь), либо по максимуму R.
После анализа и обсуждения проект СОБИ обязательно утверждается руководством предприятия. Далее рабочая группа по ОБИ осуществляет контроль реализации проекта, тестирования всех элементов СОБИ и разработки необходимой документации. Сертификация проводится специализированной организацией, уполномоченной на проведение таких исследований. После сертификации осуществляется ввод системы в эксплуатацию.
Однако, как показал опыт организации защиты информации в сложных системах обработки данных, каким бы ни был совершенным проект СОБИ, в процессе функционирования АИС неизбежно возникают непредвиденные обстоятельства, обусловленные, с одной стороны, действием факторов, неучтенных (или недостаточно учтенных) на этапе создания СОБИ, а с другой стороны, изменениями условий применения АИС и технологических схем использования информации. В связи с этим неизбежно возникает потребность совершенствования СОБИ. Все изменения и их необходимость определяются на основании периодического тестирования СОБИ, причем в состав проверок включаются и преднамеренные попытки рузрушения СОБИ с использованием последних достижений криптоанализа и новых технологических приемов системного программирования. Одновременно с этим осуществляются обучение персонала АИС, анализ статуса пользователей и программистов.
Таким образом, можно говорить о существовании на предприятии замкнутого непрерывного технологического цикла организации работ по ОБИ, содержание которого определяется рассмотренной методологией. Вполне очевидно, что актуальность вопросов защиты информации с расширением экономических связей конверсируемых предприятий с зарубежными партнерами будет лишь увеличиваться, так как все-таки основной задачей оборонного комплекса является выпуск высокоэффективного вооружения и военной техники, а в этой области утечка информации просто недопустима.
ЛИТЕРАТУРА
1. Гусев Ю. Г., Крохин И.В., Нагибин С.Я., Н е в о л ь к о М. П., С л о б о ж а н о в В. Н., Ухлинов Л. М. Конверсия и информатизация: связь двух проблем // Вопросы экономики и конверсии. 1992. Вып. 4. С. 59—70.
2. У х л и н о в Л. М. Защита данных в информационно-вычислительных сетях: обзор технологий // Вестник ВОИВТ / ВИМИ. М., 1992. № 1—2. С. 39—47.
3. У х л и н о в Л. М. Принципы построения системы управления безопасностью данных в информационно-вычислительных сетях // Автоматика и вычислительная техника. 1990. № 4. С. 11—17.
Статья поступила в редакцию в ноябре 1993 г.
Научно-производственный центр "Дедал"
Л. М. Ухлинов - канд. техн. наук;
О. В. Казарин
© Информационное общество, 1994, вып. 1-2, с. 54-60.