ПРОЕКТИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ

Процесс разработки информационной системы в защищенном испол- нении требует трудоемкого анализа защищаемого объекта и разработки большого количества документации. В данной статье предлагается техно — логия, основанная на автоматизированном преобразовании моделей, ко — торая позволяет одновременно разрабатывать несколько представлений объекта, включая модели угроз и нарушителя и в автоматизированном режиме строить на их основе модель информационной системы в защи — щенном исполнении.

Ключевые слова: UML-модель, автоматизация, разработка автомати — зированной системы, преобразование моделей, модель объекта.

В России существует огромное количество видов (категорий) информации, подлежащей защите (по некоторым оценкам до 30), и к каждому из них предъявляются свои требова- ния по обеспечению безопасности1, кроме того в связи с разви — тием информационных технологий постоянно растет сложность систем обработки данных. В результате специалисты в области ин — формационной безопасности сталкиваются с необходимостью защищать все более сложные системы в соответствии с разными, порой противоречивыми требованиями, и при этом сроки разра — ботки СЗИ крайне ограничены. В связи со всем вышесказанным особую актуальность приобретает создание средств поддержки разработки защищенных систем.

Рассматриваемый метод автоматизированной разработки информационных систем в защищенном исполнении включает

в себя разработку нескольких взаимосвязанных формальных моделей объекта, предназначенных для автоматизированного пре- образования. В рамках данной статьи процесс разработки инфор — мационных систем в защищенном исполнении рассматривается применительно к информационным системам обработки персо- нальных данных.

В соответствии с ГОСТ Р 51583-20002 и ГОСТ 34.6013 разра — ботка информационных систем в защищенном исполнении осуще — ствляется следующим образом:

– формирование требований к информационной системе, в том числе обследование объекта защиты, определение факторов влияющих на информацию, разработка предварительных требова — ний по защите информации;

– разработка концепции АС, в том числе формирование моде — ли угроз информационной системы, определение принципов по — строения системы защиты;

– разработка технического задания на создание информацион — ной системы в защищенном исполнении;

– разработка проектных решений (данная стадия может под — разделяться на эскизное и техническое проектирование, разработ — ку рабочей документации).

Далее следуют этапы по созданию и вводу в действие инфор — мационной системы в защищенном исполнении.

В данной статье рассматривается методика автоматизиро- ванного проектирования информационных систем в защищенном исполнении. Данная методика позволяет осуществлять разработ — ку и документирование систем защиты информации в соответ — ствии с ГОСТ 34 серии и нормативно-методическими документа — ми ФСТЭК России и ФСБ России, регламентирующими обеспе — чение безопасности персональных данных и иной информации ог — раниченного доступа, не составляющей государственную тайну.

В соответствии с рассматриваемой методикой, проектирование информационных систем в защищенном исполнении осуществ — ляется в несколько этапов:

– анализ информационной системы (определение актуальных угроз безопасности информационной системы и формирование требований к системе защиты информации);

– определение технического решения по защите информации (формирование модели защиты, определение состава применяе — мых средств и методов защиты);

– проверка решения на соответствие требованиям.

200

Проектирование информационных систем в защищенном исполнении

В процессе разработки информационной системы в защищен — ном исполнении формируется ряд прикладных моделей, харак — теризующих особенности конкретного объекта защиты (инфор — мационной системы). При формировании прикладных моделей используются базовые модели, содержащие структурированную информацию, в том числе описания угроз безопасности, возмож — ностей нарушителя, средств защиты.

Рассматриваемая методика подразумевает автоматизирован — ную разработку, т. е. формирование прикладных моделей средства — ми автоматизации на основании введенных данных. Вместе с тем предлагаемая методика подразумевает возможность корректи- ровки полученных данных экспертом в области защиты информа — ции, что позволяет обеспечить большую гибкость и адаптивность системы.

Рассмотрим процесс проектирования информационных си — стем в защищенном исполнении более детально.

Для определения необходимых и достаточных мер защиты информационных систем формируется модель угроз безопасности информационной системы. В ходе формирования модели угроз выявляется перечень угроз, актуальных для конкретной информа — ционной системы. Модель угроз безопасности формируется на основе анализа объекта защиты – информационной системы.

При этом для определения перечня актуальных для конкрет — ной информационной системы угроз безопасности необходимо провести анализ уязвимостей системы и возможностей нарушите — ля, т. е. сформировать прикладную модель нарушителя. При опре — делении возможных атак необходимо учитывать, что атака, реали — зующая ту или иную угрозу, может происходить в несколько эта — пов, т. е. помимо защищаемых ресурсов должны быть определены потенциальные точки воздействия – элементы объекта защиты, посредством которых может быть проведена атака на защищаемую информацию.

Прикладная модель нарушителя в сочетании с прикладной моделью объекта определяет перечень возможных угроз безопас — ности информации; данный перечень может быть скорректирован экспертом в части уточнения потенциального ущерба и вероятно — сти реализации угроз, после чего формируется перечень актуаль — ных угроз безопасности – прикладная модель угроз.

Таким образом, в ходе анализа информационной системы должны быть сформированы следующие прикладные модели: модель объекта защиты; модель нарушителя; модель угроз.

201

А. Н. Приезжая

Подробное описание формирования вышеуказанных моделей дано в статье «Автоматизированное формирование модели угроз безопасности информационной системы»4.

На основе прикладной модели угроз формируются тре- бования к защите рассматриваемой информационной систе — мы. При формировании перечня требований к системе защиты используется следующее правило: «Каждой актуальной угрозе безопасности должно соответствовать как минимум одно тре — бование к методу (средству) противодействия». Требования к системе защиты информации в свою очередь определяют со — став применяемых средств и мер защиты, которые описывают — ся прикладной моделью защиты. Модель защиты должна пред — лагать способ нейтрализации для всех актуальных способов доступа.

Рассмотрим формирование модели защиты. Для ее формиро — вания используются следующие базовые модели:

– модель «Возможности средств защиты»;

– модель «Типовые решения»;

– модель «Обязательные средства защиты».

Базовая модель «Возможности средств защиты» описывает функциональные возможности средств защиты, в том числе для каждой возможности средств защиты, а также для каждого СрЗИ указываются иные параметры выбора, такие как стоимость и на — личие сертификатов соответствия, недостатки (например, слож — ность администрирования).

В рамках данной статьи рассматривались следующие механиз — мы защиты:

организационные меры защиты;

технические средства защиты:

средства защиты от утечки по техническим каналам;

средства управления доступом; средства регистрации и учета; средства контроля целостности; средства межсетевого экранирования;

средства защиты от утечек и несанкционированного распро- странения информации;

средства обнаружения атак; средства анализа защищенности; средства криптографической защиты; средства антивирусной защиты;

средства централизованного управления.

Базовая модель «Типовые решения» описывает наборы тех — нических средств и организационных мероприятий, достаточных для противодействия конкретной угрозе при условии ограниче — ний. Подобный набор может быть сформирован как на основе нормативно-методических документов в области информацион — ной безопасности (требований к классам защищенности), так и на основе предшествующего опыта. Модель «Типовые реше — ния» используется для разработки прикладной модели «Сред — ства защиты».

Структура базы данных, содержащей модель «Типовые реше — ния», приведена на рис. 2.

При этом «Документ» определяет нормативно-методические, проектные решения, в соответствии с которыми это типовое реше — ние сформировано, что позволяет эксперту дополнительно оце — нить его применимость в данном случае.

Также при формировании прикладной модели «Средства защиты» используется базовая модель «Обязательные средства защиты» (рис. 3), описывающая наборы технических средств

«Обязательные средства защиты»

и организационных мероприятий, рекомендованных для исполь — зования в нормативно-методических документах регуляторов в области информационной безопасности в системах, обрабаты- вающих определенные типы информации.

Собственно формирование прикладной модели защиты разби- вается на следующие этапы:

– выбор средств защиты от актуальных угроз;

– встраивание средств защиты в структуру объекта защиты;

– проверка достаточности предложенных мер, разработка до — полнительных рекомендаций по использованию средств защиты информации и организационных мер.

Проектирование информационных систем в защищенном исполнении

На основании прикладных моделей угроз и объекта защиты определяются защищаемые ресурсы и потенциальные точки воз — действия (элементы объекта защиты, посредством которых может быть проведена атака на защищаемую информацию), для которых необходима реализация защиты. Для каждого ресурса и потенци — альной точки воздействий автоматически определяется перечень подключаемых механизмов (средств) защиты, также при выборе средств защиты учитываются дополнительные параметры в зави — симости от выставленного экспертом приоритета (например, ми — нимальная стоимость решения или максимальная надежность ис — пользуемых средств).

При встраивании средств защиты в структуру объекта защиты используется модель контуров защиты. При этом контур защиты определяется следующим образом:

Контур защиты объединяет один или несколько элементов объекта защиты.

В контуре защиты могут быть применены одно или несколько средств защиты, которые не позволяют нарушителю воспользо — ваться теми или иными каналами реализации угрозы или лишить его возможности реализовать другие возможности в отношении принадлежащих контуру элементов системы. Защитные возмож — ности контура являются объединением возможностей средств, описанных в справочнике средств защиты (формируются автома — тически на основе базовой модели).

Примерами контура защиты могут служить:

– контролируемая зона, лишающая внешнего нарушителя воз — можности физического доступа и использования ПЭМИН;

– организационные мероприятия, исключающие возможности сговора с внутренним нарушителем;

– АРМ с установленными средствами защиты от НСД;

– сеть с межсетевым экраном.

В процессе разработки контуров защиты эксперт имеет возмож — ность производить автоматическую оценку актуальных угроз с уче — том контуров защиты. Угрозы, реализуемые в условиях применения средств защиты, получаются аналогично перечню актуальных угроз безопасности информационной системы. Данная прикладная мо — дель может быть использована в дальнейшем при сопровождении информационной системы, в том числе и для оценки защищенности информационной системы при ее модернизации.

Контуры защиты являются достаточно универсальным меха — низмом описания средств и мер по защите информации. Однако

205

А. Н. Приезжая

Справочник Типов Средств Защиты

(from Справочники)

Актуальные угрозы

(from Прикладная модель «Угрозы»)

<<Экземпляр>> Средства защиты

Обязательное средство Рекомендованный набор Не используется Добавлено Экспертом

Обоснование решения Эксперта

Рекомендации по применению

Угрозы, реализуемые в условиях применения средств защиты Происхождение

Обоснование

Интегральный Ущерб

Протокол оценки реализуемости

Элемент Модели «ОЗ»

(from Прикладная Модель «ОЗ»)

Контур защиты Название Определение Назначение Внутренняя структура

Дополнительные сведения

Лишает нарушителя Возможности

(from Базованя модель «Возможности средств защиты»

Блокирует каналы

(from Базовая модель «Возможности средств защиты»)

Значение Классификатора

(from Классификаторы)

Рис 4. Структура прикладной модели защиты

в тех случаях, когда эксперт сочтет этот механизм неудобным, он может сформулировать свои рекомендации по защите от «угроз, реализуемых в условиях применения средств защиты», в свобод — ной форме.

206

Проектирование информационных систем в защищенном исполнении

Подготовка рекомендаций по использованию средств за — щиты осуществляется в автоматическом режиме с использо — ванием базовых моделей «Обязательные средства защиты» и

«Типовые решения». При этом формируется общий список реко — мендованных средств защиты, в котором для каждого средства указаны:

1) происхождение данного средства:

– типовое решение (с указанием списка названий типовых ре — шений, рекомендующих использование данного средства);

– обязательное средство (со ссылкой на документы, предписы- вающие их применение);

– добавлено экспертом (с обоснованием данного средства);

2) информация о решениях эксперта и их обосновании:

– эксперт может отказаться от использования рекомендован — ного средства;

– заменить рекомендованное средство на аналогичное (того же типа), выбранное из справочника средств защиты;

3) информация об использовании данного средства. При этом возможно два варианта использования:

– средство может быть использовано в одном или нескольких контурах защиты;

– эксперт может дать рекомендации по применению данного средства в свободной форме.

Предлагаемые средства защиты включаются в прикладную мо- дель объекта, формируя модель информационной системы в защи — щенном исполнении. На данном этапе проводится проверка доста — точности предложенных средств защиты. Достаточность опреде — ляется на основании повторной генерации модели угроз: если предложенные средства защиты обеспечивают противодействие всем актуальным угрозам безопасности, генерация выдаст пустое множество атак, иначе требуется экспертное решение (например, переоценка ущерба, наносимого данной угрозой, или поиск альтер — нативного решения по защите).

По результатам построения модели защиты формируется пере — чень рекомендуемых мер и средств защиты.

При формировании прикладной модели «Средства защиты»

используются следующие правила:

– для каждого требования должно быть предусмотрено сред — ство защиты, его выполняющее;

– для каждой потенциальной точки воздействия должно быть предусмотрено средство защиты;

Описание алгоритма

Таблица

Шаг

Действие

Автоматическое формиро — вание требований и реко — мендаций по защите

Подготовка рекомендаций по использованию средств защиты осуществляется в автоматическом режиме с использованием базовых моделей «Обяза — тельные средства защиты» и «Типовые решения»

Корректировка рекоменда — ций экспертом

Эксперт может:

– отказаться от использования рекомендованного средства;

– заменить рекомендованное средство на аналогич — ное, выбранное из справочника средств защиты;

– добавить средство из справочника средств защиты.

Во всех случаях эксперт должен привести обоснова — ние принятого решения

Формирование контура(ов)

защиты

При встраивании средств защиты в структуру ОЗ

используется модель контуров защиты:

– контур защиты содержит один или несколько эле — ментов ОЗ;

– в контуре защиты может применено одно или не — сколько средств защиты, которые не позволяют нарушителю воспользоваться теми или иными каналами реализации угрозы или лишить его воз- можности реализовать те или иные возможности

в отношении принадлежащих контуру элементов системы. Защитные возможности контура являют — ся объединением возможностей средств, описанных в справочнике средств защиты (формируются авто — матически)

Оценка реализуемых угроз при наличии контуров защиты и использовании типовых решений

Производится автоматически

Обеспечена защита от всех актуальных угроз

Если в результате оценки реализуемости угроз

с учетом средств защиты выявлены актуальные угрозы, то процесс повторяется начиная с этапа 3.

Формирование отчета по принятым экспертом реше — ниям и их обоснованиям

Автоматически формируемый отчет содержит информацию о принятых экспертом решениях:

– отказах от использования рекомендованного средства;

– заменах рекомендованных средств на аналогичные;

– использовании дополнительных средств защиты

208

Проектирование информационных систем в защищенном исполнении

– подтип угрозы наследует все средства и меры защиты, реко- мендованные для угроз, расположенных выше по иерархии.

Описание алгоритма проектирования информационной систе — мы в защищенном исполнении приведено в таблице.

Требования к системам защиты информации формулируются не только заказчиком, но и государственными регуляторами в сфе — ре информационной безопасности. Одной из проверок реализо — ванной прикладной модели защиты является проверка достаточ — ности функциональных возможностей выбранных средств защиты для выполнения требований регуляторов, применяемых к дан — ному классу систем (класс системы определяется в прикладной модели объекта на основании характеристик объекта и норма — тивно-методических документов проекта). Требования по составу и функциям средств защиты в соответствии с требованиями регу — ляторов фиксируются в модели «Обязательные средства», провер — ка осуществляется путем сравнения полученной модели с требова — ниями для данного класса.

Предложенный подход упрощает анализ системы, сокращает затраты времени на рутинные процедуры и снижает вероятность ошибки, иными словами, снижает финансовые и временные затра — ты на разработку защищенной системы, что позволяет существен — но сократить сроки и стоимость разработки системы защиты ин — формации, в том числе за счет автоматизированной генерации до — кументов проекта на основании шаблонов, так как формализация описания как объекта защиты, средств защиты и иных значимых для проектирования системы защиты информации сущностей яв- ляется неотъемлемой частью данного подхода. Задача генерации документов на основании моделей может быть осуществлена с ис — пользованием общепринятых подходов к генерации документов на основе элементов базы знаний.

Материал взят из: Научный журнал Серия «Информатика. Защита информации. Математика» № 14 (94)