01.06.2015

Доверенные системы как средство противодействия киберугрозам

"Защита информации. Инсайд", № 3, май-июнь, 2015
Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."

Для успешного развития информатизации общества в "атмосфере" интенсивно растущих киберугроз с непредсказуемым изменением векторов атак необходимо создавать условия устойчивого и относительно безопасного удалённого электронного взаимодействия (УЭВ) с заданными характеристиками функциональной надёжности (ФН).

Информационные системы (ИС), спроектированные для работы в таких внешних условиях (критически-важные системы, дистанционное банковское обслуживание, здравоохранение, электронная коммерция и т.д.), в целях поддержания высокого уровня ФН, требуют создания так называемой доверенной среды (ДС).

Понятие ДС применительно к ИС пока не имеет устоявшегося определения, специалисты не могут сойтись во мнениях, а в нормативной базе также нет единого подхода, отделённого от контекста. Термин ДС появился в развитие понятия "доверенная система", введённого ещё в 1983г. в так называемой Оранжевой книге (TSSEC - Trusted Computer System Evaluation Criteria, критерии оценки доверенных компьютерных систем) – стандарте министерства обороны США [1], явившейся исходным материалом ряда руководящих документов Гостехкомиссии РФ, например, [2].

Так, под доверенной системой в стандарте [1] понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа. Как трансформировалось это понятие в связи с эволюционным развитием вычислительных технологий? Что подразумевается под одним из самых дискуссионных понятий – "доверенная среда"? В данной статье попытаемся сформулировать некий подход к синтезированию ответов на эти вопросы на основе анализа ряда стандартов и научных работ.

Что такое доверие применительно к результатам функционирования ИС?

Дискуссия по рассматриваемому вопросу, развернувшаяся на круглом столе проходившего недавно IV форума АЗИ [3] показала, что начинать рассмотрение исследуемого вопроса следует с изучения самого понятия доверия. Рассмотрим, что такое доверие и как оно возникает.

Согласно стандарту [4] , разработанному для оценки доверия продукту (услуги) и его окружению, целью обеспечения доверия является создание уверенности в надёжном функционировании продукта в заданных условиях. Цель доверия определяется оценкой риска и/или политикой организации, при этом пользователь должен быть уведомлён об остаточном риске.

Все элементы безопасности, в частности, управление риском, независимо от применяемого метода, включают в себя неопределённость, которая исходит от множества факторов таких, как недостаточное знание всех аспектов функционирования, допусков при измерениях, экстраполяции величин и т.д. Значение этой неопределённости может быть настолько велико, что может являться основной составляющей остаточного риска. Сопутствующими факторами являются уязвимости эксплуатационной среды и несовершенство механизмов безопасности. При повышении уровня строгости доверия и усиления функций применяемых средств безопасности связанная с этими факторами неопределённость уменьшается, что сказывается на снижении величины остаточного риска.

Основываясь на этих положениях, попробуем связать возникновение доверия к выполнению определённого набора заданных функций ИС с её важнейшими эксплуатационными характеристиками:

  • функциональной надёжностью, т.е. степенью готовности к выполнению заданных функций, пригодностью к восстановлению в случаях сбоев и ошибок, безотказностью, степенью достоверности результатов вычислений, контроля за процессом их получения [5];
  • функциональной устойчивостью, т.е. способностью ИС противостоять деструктивным воздействиям [6];
  • информационной безопасностью ИС, т.е. выполнению условий поддержания заданного уровня конфиденциальности, доступности и целостности информации, хранимой, передаваемой, принимаемой и обрабатываемой ИС в процессе её работы.

Будем считать, что применительно к ИС только выполнение в достаточной мере всех требований этих трёх составляющих, сбалансированных между собой по уровням их достижения, может приводить к определённому уровню доверия.

Методы достижения доверия

В международных стандартах [4, 7-11] представлено достаточно много методов обеспечения доверия. Приведём некоторые простые и понятные методы в качестве примера, при этом выделим вопросы, которые возникают при применении этих методов.

Многократное повторение определённого действия. Пример. Выдали банковскую карту. После двадцатого успешного снятия наличных денег в банкомате или оплате товаров в супермаркете появляется доверие к указанным процедурам. Если какое-то устройство эксплуатируется в течение длительного срока без сбоев и ошибок, успешно противостоит атакам, поддерживается весь его жизненный цикл, – оно вызывает доверие.

Однако могут быть скрытые отказы, недекладированные возможности (НДВ), которые могут вызвать тяжкие последствия. То есть, к многократному повторению необходимым дополнением должно являться знание архитектуры, компонентов и различных свойств устройства.

Проверка (испытания). Проверка соответствия стандартам и требованиям. Например, сертификация продукта или аттестация ИС. Заметим, что при этом возникает много вопросов о методике и полноте испытаний, а, главное, об ответственности организаций, проводивших испытания и подписавших итоговые документы.

Следовательно, эти вопросы могут быть транслированы в вопросы доверия к продукту, процессам и среде, в которой функционирует продукт, а, значит, и к самой информационной системе.

Трансляция (перенос) доверия. Доверие к самому источнику, который относит ИС, аппаратный или аппаратно-программный комплекс к доверенным или не доверенным. Естественными вопросами при этом будут являться полнота и степень корректности реализации методов и методик классификации уровня доверия.

В итоге можно лишний раз убедиться, что доверие не может быть абсолютным.

Всегда существует некая неопределённость, обусловленная постановкой задачи риск-менеджмента, которая может снижаться в процессе эксплуатации и постепенного раскрытия неопределённостей. Участие трёх перечисленных в предыдущем параграфе составляющих, имеющих вероятностную природу, диктует необходимость введения уровней доверия согласно определённым правилам. Эти правила можно будет сформулировать на основе требований, вытекающих из выполнения условий функциональной надёжности, устойчивости и информационной безопасности для ИС.

Что такое компьютерная среда?

Одним из дискуссионных вопросов является определение компьютерной среды (КС). По мере развития и совершенствования вычислительной техники этот вопрос становится все более неоднозначным. В терминах стандарта [4] понятие КС, переведённое с английского слова environment (строго говоря, окружение, окружающая среда, оборудование), в этом стандарте уже включает в себя все условия, в которых выполняются процессы жизненного цикла (т.е. люди, аппаратное, программное обеспечение и другие ресурсы). Такой подход впервые появился всего около 20 лет назад.

Вычислительные системы прошли довольно долгий путь развития и совершенствования. Компьютеры, а точнее, электронно-вычислительные машины (ЭВМ) примерно до 1990г. зачастую подразумевали управление вычислительным процессом (запуск и перезапуск ЭВМ, остановка и т.д.) с правами администратора многими из допущенных к вычислениям пользователей.

В те времена практически не было сетей, компьютеры стояли изолированно (stand alone). В то время не было компьютерных вирусов, вычислениям доверяли, но с осторожностью. Абсолютное большинство выявляемых ошибок составляли ошибки программирования. Однако надёжность ЭВМ была не столь высока, как сейчас. Сбои и ошибки в работе ЭВМ как электронного устройства были отнюдь не редки. Поэтому общее доверие к результатам вычислений ЭВМ было невысоким, все результаты вычислений подвергались сомнениям и обязательной проверке аналитическими, имитационными или экспериментальными методами. К тому, что стало пониматься как КС в те годы, как правило, относилась только сама ЭВМ.

Не всем пользователям нравилось ходить в вычислительный центр (ВЦ). Появление удалённых рабочих мест, связанных кабелем с ВЦ, постепенно перевело изолированный ВЦ в связанную чаще всего по схеме "звезда" вычислительную сеть.

С появлением компьютерных сетей к КС в зависимости от вычислительных задач стали относить либо само рабочее место, либо рабочую станцию, ВЦ и соединяющий их кабель, либо всю систему (не только все ЭВМ, но и связывающие их каналы).

Появление системы распределённых вычислительных систем, а в последние годы, и облачных вычислений, расширяет понятие КС до гигантских (в смысле физических параметров) размеров. Роль операторов при этом уже невозможно не учитывать. В то же время значительно актуализируется необходимость создания доверенной среды как такой части общей КС, которая гарантированно обеспечивает информационную и функциональную безопасность удалённого электронного взаимодействия и необходимых вычислений.

Что такое доверенная среда? Как строятся доверенные системы?

Определений ДС в научных статьях приводится много [12-17]. Все они разные, поскольку выработаны в разных контекстах. Нужен системный подход. Например, одним из вариантов такого подхода может быть принцип целеполагания: с какими целями создаётся и какие задачи решает ДС?

Представляет интерес также рассмотрение вопросов сложности создания системы доверия (к среде, продукту, процессам и собственно ИС) с помощью методов обеспечения доверия и строгости требований к доверию. Воспользуемся результатами стандарта [4], п.5.1, которые дополним на основе изложенного выше материала. В таблице 1 представлены полученные результаты анализа.

Для иллюстрации приведенных в таблице результатов рассмотрим взаимосвязь и соотношение степени доверия к среде, процессу и продукту. Так, доверие к процессу согласно стандарту сосредоточено на процессах, применяемых к продукту на конкретных этапах жизненного цикла, в то время как доверие к среде сосредоточено на ресурсах и среде, в которой используются эти ресурсы. Уверенность в продукте, обеспечиваемая доверием к среде, обусловлена уверенностью в организации и её персонале, а также других ресурсах, взаимодействующих с продуктом. Такая уверенность может быть обеспечена аттестацией персонала или организации в целом.

При условии применения сопоставимой степени детализации доверие к среде обычно менее эффективно, чем доверие к процессу. Доверие к среде является самой низкой формой доверия и поэтому доверие к среде обеспечить легче всего.

В случае доверия к продукту утверждается, что характеристики продукта и его функционирования интенсивно тестировались и подтверждались в отношении корректности работы, пока не была получена требуемая степень доверия к продукту, являющаяся функцией применяемых критериев (что оценивалось) и методологией обеспечения доверия (как верифицировалось соответствие критериям).

Доверенная система строится на основе доверенных компонент, функционирующих в доверенной среде и реализующих доверенные процессы. С этой точки зрения согласно [18] доверие, – это свойство ИС, объективно, обоснованно и документально выраженное основание того, что элемент системы (в терминах стандартов – изделие ИТ, продукт ИТ, компонент ИС) отвечает априорно заданной (регламентациями высшего уровня) целевой функции на протяжении всего жизненного цикла.

Доверенные системы должны удовлетворять всем требованиям одного из, как минимум, трёх уровней безопасности (минимальный, стандартный и повышенный) и требованиям, зависящим от назначения ИС. Например, для систем дистанционного банковского обслуживания и интернет-банкинга нового поколения в [18] приводится 9 требований: к идентификации и аутентификации клиентов, идентификации и аутентификации клиента и удалённого банка, аутентификации и регистрации операций, защите транзакций, криптографической подсистеме, системе хранения ключей, безопасности программного окружения, журналам и аудиту, а также технологические требования.

Доверенная среда в качестве базы доверенной системы

Доверенная среда как основа создания и функционирования доверенной ИС может иметь как микроскопические размеры (например, чип), так и практически неограниченное физическими размерами пространство. В качестве одного из примеров доверенной среды в работе [19] рассмотрена банковская смарт-карта. Современная интеллектуальная смарт-карта - это целый маленький компьютер, состоящий из аппаратной части, операционной системы, системы управления картой, прикладного ПО, интерфейсов взаимодействия. Вопросы разработки архитектуры среды доверия подробно рассмотрены в главе 9 указанной работы.

Пример масштабируемой ДС – PKI (Public Key Infrastructure, инфраструктура открытых ключей). По сути это некая область доверия к открытым ключам. Правила простые: каждый отрытый ключ должен быть уникален и связан с конкретным владельцем. Ограничения: доверие распространяется только на вполне определённые функции. Пример попытки построения пространства доверия открытых ключей электронной подписи (ЭП) в Российской Федерации показывает, что этот процесс не решается только законодательными и подзаконными актами, а должен включать в себя набор согласованных нормативных, организационных и технических мер.

Однако использование инфраструктуры открытых ключей в качестве одного из видов масштабируемых ДС представляется весьма перспективным. Возможно расширение доверия на ряд сервисов. Принцип построения пространства доверия с определёнными уровнями применительно к сервисам идентификации и аутентификации приводится в работе [20]. Если исследованы и описаны все процессы и используемые продукты и они могут быть доверенными, то построение такого пространства возможно. Как показано в работе, при этом необходимо выработать согласованные требования к надёжности, устойчивости и безопасности используемых решений, что неизбежно влечёт за собой и уровни доверия к идентификации и аутентификации, а также выработку механизмов отнесения к определённому уровню доверия. Также показано, что необходимо создание института инспектирования как меры контроля за поддержанием среды, процессов, продуктов и компонент ИС в состоянии доверия заданного уровня. На базе PKI также может быть построено пространство доверия для обеспечения юридической силы электронным документам [21].

Может ли ДС обеспечиваться исключительно техническими средствами?

Виды доверенной среды: аппаратная, программно-аппаратная, с участием операторов (наличие человеческого фактора). Проще всего – аппаратная ДС. Однако в данном случае тоже много вопросов, вытекающих из рассмотренных выше разделов. Для аппаратно-программной ДС потребуются дополнительные исследования и выполнение критериев для достижения определённого уровня доверия.

Может ли быть доверенной ИС общего пользования? Условно может. Если предприняты меры по достижению определённого уровня надёжности, устойчивости, безопасности, и эти меры не скрываются, а предъявляются пользователям.

Вывод. Только техническими средствами ДС в подавляющем числе случаев недостижима. Кроме технических, как минимум, обязательно должны применяться оргмеры и/или меры обеспечения физической безопасности. Простым примером может служить тонкий часовой механизм в прочном корпусе.

Киберугрозы и оценка рисков

Лавинообразный рост количества различных киберугроз (вирусы, шпионское ПО, другие вредоносные программы, спам, фишинг, сбои, вызванные проникновением в сеть, DDoS – атаки и др.) вынуждает приоретизировать задачу противодействия им как весьма актуальную. Кроме перечисленных выше, существуют и непреднамеренные угрозы, исходящие от сетевых устройств. Преднамеренные, точнее, злонамеренные угрозы в виде заранее заложенных "бомб" с "часовым" механизмом, которые могут срабатывать уже без участия человека, например, троянов, стали по существу массовыми явлениями.

С точки зрения анализа рисков перечисленные угрозы и вероятность их реализации условно можно разделить на опасные события (хакерские атаки) и случайные события. По степени тяжести последствий (потенциального ущерба) иногда они могут быть сравнимы.

Задача противодействия, таким образом, сводится к поиску решений, способных снизить риски потенциального ущерба и вероятности его реализации до приемлемого уровня.

Заключение

Изложенные в статье основные положения носят по существу концептуальный характер. Несмотря на наличие стандартов и рассмотренных подходов (а также множества не вошедших в текст данной статьи) тема представляется не до конца изученной и весьма перспективной не только в теоретическом плане, но и в плане сугубо практическом – для построения систем противодействия нарастающему числу реальных киберугроз.

Тем не менее, изложенные в статье подходы позволяют уже сами по себе сделать некоторые важные с точки зрения автора выводы.

Понятия доверенной среды, доверенного процесса, доверенного продукта, доверенной информационной системы имеют вероятностную природу. Это обстоятельство диктует необходимость введения уровней доверия согласно определённым правилам, которые можно будет сформулировать на основе требований, вытекающих из выполнения условий функциональной надёжности, устойчивости и информационной безопасности для ИС. Формирование уровней доверия логично связывать с уровнями рисков, принятых в организации. Как правило, это не менее трёх уровней.

Организации существуют не изолированно, а согласно доктрине [22] являются частью взаимодействующих между собой общностей в виде государства, общества и личности. Следовательно, для успешного противостояния киберугрозам на всех уровнях (государство, организация, личность) необходимо разработать и утвердить государственную стратегию создания и трансляции доверия.

Такие стратегии уже разработали многие развитые страны, примерами являются [23,24]. Принятые в июле 2014г. Советом ЕС "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС" [25] предписывают странам Европы использовать доверенные сервисы идентификации и электронной подписи для электронных транзакций, доступу к электронным медицинским данным, дистанционному образованию и т.д.

Это позволит не только унифицировать доверенные сервисы внутри европейских стран, но сделать возможной трансляцию доверия между странами.

Разработка стратегии создания и трансляции доверия между информационными системами в Российской Федерации может создать условия для создания пространства доверия как метода защиты от киберугроз, что в итоге позволит существенно повысить защищённость информационных ресурсов в условиях роста количества и разнообразия кибератак.

Литература

  1. Trusted Computer System Evaluation Criteria. http://scforum.info/index.php?topic=7626.0
  2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Гостехкомиссия России, 1992. 22с.
  3. IV Форум Ассоциации защиты информации. http://azi.ru/content/view/281/1/
  4. ГОСТ Р 54583-2011/ISO/IEC/TR 154443-3:2007. Информационная технология. Меры и средства обеспечения безопасности. М.: Стандартинформ. 2013. 54с.
  5. Шубинский И.Б. Функциональная надёжность информационных систем. Методы анализа / Ульяновск: областная типография «Печатный двор», 2012. – 296с.-ил.
  6. Тарасов А.А. Функциональная устойчивость информационных систем: проблемы и пути их решения //Вопросы защиты информации. 2012. №4. С.73-80.
  7. ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий Часть 1 Введение и общая модель. http://www.icc-iso.ru/upload/shop_3/4/0/4/item_404/GOST_R_ISO_MEK_15408-1-2008.pdf
  8. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. http://standartgost.ru/%D0%93%D0%9E%D0%A1%D0%A2%20%D0%A0%20%D0%98%D0%A1%D0%9E/%D0%9C%D0%AD%D0%9A%2015408-2-2002.
  9. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. http://docs.cntd.ru/document/gost-r-iso-15408-3-2002.
  10. ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса. http://www.pqm-online.com/assets/files/lib/std/iso-iec_21827-2002.pdf
  11. ГОСТ ИСО 9000. http://www.novsu.ru/file/1082575.
  12. Зотова А.В., Петренко С.А., Здирук К.Б., Сычев М.П. Доверенная среда облачных вычислений. Защита информации. Инсайд. 2013. № 5 (53). С. 28-33.
  13. Ваграменко Я.А., Русаков А.А., Сарьян В.К. Теоретико-методологические подходы проектирования доверенной среды в условиях построения информационного общества. В сборнике: Информационные ресурсы в образовании. Материалы Международной научно-практической конференции. Нижневартовский государственный университет; научный редактор Т.Б. Казиахмедов. 2013. С. 113-116.
  14. Киберугрозы и информационная безопасность в корпоративном секторе: тенденции в мире и в России. http://www.kaspersky.ru/downloads/pdf/kaspersky_global_it_security_risks_survey.pdf
  15. Михалевич И.Ф. Проблемы создания доверенной среды функционирования автоматизированных систем управления в защищённом исполнении. В сборнике: XII ВСЕРОССИЙСКОЕ СОВЕЩАНИЕ ПО ПРОБЛЕМАМ УПРАВЛЕНИЯ ВСПУ-2014. Институт проблем управления им. В.А. Трапезникова РАН. 2014. С. 9201-9207.
  16. Ваграменко Я.А., Назаренко А.П., Сарьян В.К., Сущенко Н.А., Шелупанов А.А., Беляков К.О., Мещеряков Р.В. Опыт создания доверенной среды для образовательных инфокоммуникационных услуг. Современные информационные технологии и ИТ-образование. 2012. № 8. С. 495-502.
  17. Конявский В.А. Создание задела для разработки дешевого (на уровне сотового телефона) персонального аппаратного USB-средства для защиты от несанкционированного доступа и организации персональной доверенной сетевой среды, разработки высокоскоростного квантового генератора случайных чисел, программно-аппаратного комплекса обнаружения вторжений, инструментальных средств повышения их отказоустойчивости. Отчет о НИР № 02.514.11.4023 от 18.05.2007. (Министерство образования и науки РФ).
  18. Доверенные информационно-коммуникационные системы: стратегия будущего // Аналитический банковский журнал. 2013. №2. С.76-80.
  19. "Национальная платежная система. Бизнес-энциклопедия» / коллектив Н35 авторов; ред.-сост. А.С.Воронин. – М.: КНОРУС : ЦИПСиР, 2013. – 424с.
  20. Сабанов А.Г. Аутентификация как часть единого пространства доверия // Электросвязь. 2012. №8. С.40-44.
  21. Сабанов А.Г. Юридическая сила Электронного документа: технологическая составляющая //Инсайд. Защита информации.2014 №3. C.20-25.
  22. Доктрина информационной безопасности Российской Федерации. Утв. Приказом Президента РФ от 09.09.2000 г. № ПР-1985.
  23. National e-Authentication Framework/ January 2009. http://agimo.gov.au/files/2012/04/NeAFFramework.pdf
  24. National Strategy for Trusted Identities in Cyberspace. June 25, 2010. Национальная стратегия идентификации в киберпространстве США. http://www.dhs.gov/xlibrary/assets/ns_tic.pdf
  25. Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC : http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32014R0910&qid=1411468890314.