СТВОРЕННЯ МОДЕЛЕЙ СИСТЕМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЇХ КОМПЛЕКСУВАННЯ

Автор: Кандидат юридичних наук, Доцент Лисенко С.О.

Останнім часом, все більше і більше стало з'являтися спеціалізованих засобів
захисту інформації, орієнтованих на вирішення в більшості своїй однієї (в рідкісному
випадку, деякого обмеженого набору) завдань захисту інформації. Це обумовлюється
двома причинами.

По-перше, ринок оперативно реагує на різке зростання актуальності окремих
проблем безпеки. Зауважимо, що, насправді, подібні "відкриття" в галузі безпеки здаються
трохи дивними, тому що складаються вони в тому, що раптом на давно відому проблему
починають звертати пильну увагу.
По-друге, подібні спеціалізовані засоби захисту значно простіші у виконанні (як в
осмисленні підходів до вирішення, так і в практичній реалізації), ніж комплексні системи,
що дозволяє відносно швидко їх створювати і поставляти на ринок. Однак, зробивши
вибір на користь спеціалізованого засобу захисту, рано чи пізно, але споживач починає
розуміти, що при використанні останнього, ним вирішується лише якась локальна, одна з
багатьох, проблема захисту інформації.
Адже, в кінцевому рахунку, ніхто не зможе поручитися в тому, що атака на
інформаційні або системні ресурси корпоративної мережі може бути здійснена лише за
засобом вразливостей, пов'язаних з усуненою споживачем локальною проблемою захисту.
І дуже добре, якщо розуміння цього настане до того, як буде здійснена успішна атака на
охороньовані корпоративні ресурси. Усвідомивши проблему в цілому, споживач
змушений буде або встановлювати додаткові засоби захисту, намагаючись вирішити
завдання захисту інформації в міру їх виникнення, за рахунок використання необхідного
набору спеціалізованих засобів захисту, або відмовитися від раніше обраного і
використовуваного ним спеціалізованого рішення, замінивши його спеціалізованою
моделлю безпеки, що включає необхідний комплекс засобів. Тут і виникає питання: У
чому полягають завдання комплексування технічних рішень і моделей захисту в єдину
систему, які особливості їх постановки і рішення?
Неодмінно ясно, що ефективність засобів захисту інформації визначається
виконанням двох груп вимог: вимог до коректності реалізації механізмів захисту та вимог
до забезпечення достатності набору механізмів захисту, стосовно до конкретних моделей
захисту. Умови використання визначають і можливі джерела атак на охороньовані
ресурси. Мова піде про дещо іншу вимогу, яка може бути сформульована при реалізації
засобів захисту інформації - про вимогу до несуперечності механізмів захисту.
Очевидно, що при реалізації моделі захисту повинні реалізовуватися два способи
комплексування: рівневе (в межах одного рівня ієрархії) і ієрархічне (міжрівневе).
Найважливішою вимогою при вирішенні завдання комплексування є забезпечення їх
функціональної несуперечності. Під функціональною несуперечністю реалізованих
рішень будемо розуміти наступну їх властивість - реалізовані рішення, комплексуємі як на
одному рівні ієрархії, так і ієрархічно, повинні бути сумісні в частині забезпечення
коректності реалізації функцій захисту на всіх рівнях ієрархії. Під системним підходом до
побудови моделі захисту будемо розуміти підхід до створення рішень, що забезпечує
реалізацію властивості їх функціональної несуперечності при комплексуванні як на
одному рівні ієрархії, так і ієрархічно.
Основу реалізації системного підходу становить розробка загальної концепції
комплексної моделі захисту в цілому, з подальшою декомпозицією завдань захисту на
окремі підзадачі з урахуванням їх ієрархії (а не навпаки) і створенням рішень для окремих
рівнів ієрархії вирішення завдань, що забезпечують виконання властивості несуперечності
для всіх рівнів ієрархії. Під комплексною системою захисту інформації будемо розуміти
модель захисту, при побудові якої був реалізований системний підхід, тобто модель, що
реалізує властивість функціональної несуперечності рішень на всіх рівнях ієрархії. У
повному обсязі системний підхід може бути реалізований тільки в разі побудови 
комплексної моделі захисту, яка покликана забезпечити коректність і достатність рішення
функціонального набору проблем захисту. Тому в основі побудови спеціалізованої моделі
захисту, покликаної забезпечити коректність і достатність рішення однієї (або деякого
обмеженого набору) проблем захисту, в принципі не може бути реалізований системний
підхід до побудови, спеціалізованою моделлю захисту не може в загальному випадку бути
реалізована вимога до функціональної несуперечності рішень.
Комплексна модель системи захисту інформації повинна не доповнювати деякі
власні механізми захисту, а заміщати вбудовані механізми захисту, тому тільки в цьому
випадку може бути реалізований системний підхід до побудови комплексної моделі
захисту, що дозволяє виконати вимогу до функціональної несуперечності рішень.
Розглянемо завдання комплексування далі, вже стосовно до побудови комплексної
моделі захисту, для вирішення проблем протидії і внутрішнім, і зовнішнім ІТ-загрозам.
Якщо ми будемо розглядати проблему протидії зовнішнім ІТ-загрозам, то в якості
сутності, яка характеризується нашою недовірою, виступає процес (додаток). Як наслідок,
саме процес повинен виступати в якості суб'єкта доступу, саме для нього в даному
випадку повинні розмежовуватися права доступу як до інформаційних, так і до системних
ресурсів. Це забезпечить можливість задати такі розмежування, при яких навіть знайдена
помилка у відповідній програмі, або запущений макро-вірус не дозволять зловмисникові
нанести скільки-небудь відчутних втрат. Бачимо, що тут уже мова йде про розмежуваннях
для процесів (саме їм, з різних причин, в цьому випадку ми не довіряємо), а розмежування
для користувачів в контексті цього завдання взагалі не розглядаються. Однак тут ми вже в
загальному випадку не можемо задавати ексклюзивні розмежування для процесів, в
іншому випадку, ми не розмежуємо і права доступу для користувачів. Ось в даних
додатках, як раз, і підійде та схема, коли заборони доступу до ресурсів для суб'єктів
користувач і процес формуються за логічною схемою "АБО", дозволу - за логічною
схемою "І".
В результаті отримуємо наступне комплексне рішення, що дозволяє вирішувати
розглянуту сукупність завдань захисту, що виконує вимогу до функціональної
несуперечності. У механізмі захисту повинні бути реалізовані наступні схеми завдання
розмежувальної політики доступу до ресурсів:
• Розмежування прав доступу до об'єктів процесів поза розмежувань користувачів
(ексклюзивний режим обробки запитів процесів - доступ до об'єкта дозволяється, якщо він
дозволений процесу);
• Розмежування прав доступу до об'єктів користувачів, поза розмежувань процесів
(ексклюзивний режим обробки запитів користувачів - доступ до об'єкта дозволяється,
якщо він дозволений користувачеві);
• Комбіноване розмежування прав доступу - розмежування прав доступу до об'єктів
процесів в рамках розмежувань користувачів (доступ до об'єкта дозволяється, якщо він
дозволений і користувачеві, і процесу).
Режим обробки запиту доступу для будь-якого суб'єкта "процес" (ексклюзивний, або
з урахуванням прав доступу до ресурсів користувача) задається установкою відповідної
галки "Разом з правами користувача". З урахуванням того, що при вирішенні практичних
функціональних завданнь захисту, захищати потрібно як інформаційні, так і системні
ресурси (зокрема, атака на інформаційні ресурси може бути здійснена із засобом атаки на
системні ресурси), то аналогічний механізм контролю доступу повинен бути реалізований
і до об'єктів реєстру (які розглядаються в якості об'єктів доступу).
При розгляді проблем протидії внутрішнім ІТ-загрозам, коли на одному і тому ж
комп'ютері необхідно обробляти як відкриту, так і конфіденційну інформацію (тобто
інформація може бути категорійною за рівнем конфіденційності), причому одним і тим
користувачем, необхідно реалізувати різні режими обробки та зберігання даний різних
категорій, з метою запобігання можливості розкрадання і спотворення конфіденційної
інформації. Зауважимо, що поняття "режим обробки даних" тут має розглядатися в 
широкому сенсі - це можливість розмежування доступу до всіх ресурсів обробки,
зберігання та передачі (видачі) інформації, куди підпадають: використовувані додатки для
обробки даних різних категорій конфіденційності, використання мережевих ресурсів,
зовнішніх, в тому числі, мобільних накопичувачів, принтерів і т.д. Для запобігання
можливості заниження категорії документа (що дозволить обробляти категоровані дані в
більш "м'якому" режимі) реалізується принцип мандатного контролю доступу до
файлових об'єктів.
У більшості випадків, це завдання вирішується таким чином. Якщо користувач
прочитав відкриті дані, то він може здійснювати запис в тільки в об'єкти, що містять
відкриті дані, якщо прочитав конфіденційні дані, то може далі читати як відкриті, так і
конфіденційні дані, а запис здійснювати тільки в об'єкти, що містять конфіденційні дані.
Вирішуючи завдання комплексування на більш високому рівні, ми неодмінно
усвідомлюємо необхідність будь-якої модифікації базових технічних рішень. Однак, саму
необхідність, а вже тим більше задачу подібної модифікації технічних рішень, можна
усвідомити лише в тому випадку, коли при побудові моделі захисту, як комплексу засобів
захисту, використовується системний підхід, тобто будується комплексна система захисту
інформації.
Висновок же, який ми можемо зробити - це недоцільність застосування в
корпоративних додатках принципу мандатного контролю доступу до ресурсів, тобто саме
того принципу, який і був свого часу запропонований саме для використання в даних
додатках (правда, заради справедливості, відзначимо, що даний підхід, що є за своєю
суттю лише інтерфейсним рішенням, розроблявся виключно з метою спрощення завдання
адміністрування засобів захисту).
Відзначимо, завдання, безпосередньо ніяк не пов'язане з питаннями захисту
інформації - завдання резервного копіювання (резервування) даних. Як правило, дане
завдання розглядається з точки зору надійності зберігання даних. Розглянемо її з точки
зору питань безпеки. Нам це відразу дозволить зробити висновок про те, що найбільш
поширений спосіб резервування - "відзеркалювання", вже не такий гарний, коли мова
заходить про потенційну можливість несанкціонованого знищення даних користувачем,
який з якихось причин зганяє таким способом своє негативне ставлення до компанії або
до її керівництва (що називається саботажем). Але це ж теж питання захисту інформації,
якому керівнику захочеться втратити дані, створені співробітником за досить тривалий
час!
Основна ж теза, яку ми намагалися сформулювати і обгрунтувати в даній статті,
зводиться до наступного - ефективний захист інформації може бути забезпечений тільки
комплексною системою захисту, або комплексною моделлю захисту, в основу побудови
якої покладено системний підхід, що дозволяє забезпечити виконання вимоги до
несуперечності при комплексуванні рішень!