Анализ стандартов в области оценки защищенности информационных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

Е.А. Васильева, А.М. Ивахненко, А.П. Баринов

АНАЛИЗ СТАНДАРТОВ В ОБЛАСТИ ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Лроблема тестирования и оценки средств обеспечения информационной безопасности (ИБ), оценки защищенности автоматизированных систем (АС) является на сегодняшний день актуальной, что подтверждается анализом отечественных и зарубежных стандартов в этой области.

Важным элементом оценки состояния безопасности является тестирование как подтверждение того, что средства защиты отвечают стандартам и функционируют корректно. Стандарты ИБ являются основным критериальным средством, которое используется для решения прикладных задач обеспечения безопасности АС.

В качестве основных стандартов в области формирования требований к средствам защиты, их оценки и тестирования можно выделить следующие документы:

1. Руководящие документы ФСТЭК РФ, в том числе: «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

2. The Common Criteria for Information Technology Security Evaluation (ISO 15408) -общие критерии безопасности информационных технологий - и аутентичный ему ГОСТ Р ИСО/МЭК 154082002;

3. Open-Source Security Testing Methodology Manual (OSSTMM), ISECOM- методология тестирования безопасности;

4. Guideline on Network Security Testing, NIST Special Publication 800-42 - практическое руководство по тестированию сетевой безопасности.

Далее данные стандарты и положения рассматриваются с точки зрения их применимости к процессу тестирования межсетевых экранов.

Руководящие документы ФСТЭК РФ

В РФ основным подходом к формированию требований к МЭ для проведения сертификационных тестирований является подход, описанный в Руководящем документе ФСТЭК РФ [1]. В документе установлено пять классов защищенности МЭ, классифицированных по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:

при обработке информации с грифом “секретно” - не ниже 3 класса;

при обработке информации с грифом “совершенно секретно” -не ниже 2 класса;

при обработке информации с грифом “особой важности” - не ниже 1 класса.

К показателям защищенности отнесены:

- Управление доступом

- Администрирование: идентификация и аутентификация

- Регистрация

- Администрирование: регистрация

- Целостность

- Восстановление

- Тестирование

- Руководство администратора защиты

- Тестовая документация

- Конструкторская (проектная) документация

К минусам руководства можно отнести жесткость и статичность показателей защищенности, отсутствие гибкости в подходе к оценке (основной акцент при формировании требований делается на обеспечение конфиденциальности и целостности информации).

Многие межсетевые экраны имеют сертификаты на соответствие РД Гостехкомиссии РФ (ФСТЭК РФ). Однако чтобы сертификаты были применимы, необходимо внимательное сопоставление сертификата и условий предполагаемого использования экрана [2]. Так, если класс экрана третий и выше, необходимо убедиться, что он работает на уровне приложений для всех приложений, используемых в процессе внешнего информационного обмена. Кроме то-

го, классификация АС и СВТ, разрабатывалась без учета распределенной архитектуры современных АС, а практически все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1 -го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).

«Общие критерии»

Данный стандарт [3] предлагает подходы, методы и функции обеспечения защиты информации. Также как и РД Гостехкомиссии «Общие критерии» используются для проведения сертификационных испытаний.

«Общие критерии» представляют собой методологию формирования требований оценки безопасности. Оценка информационной безопасности базируется на моделях (профилях) безопасности, состоящих из перечисленных в стандарте функ-ций. Функции системы информационной безопасности обес-печивают выполнение требований конфиденциальности, цело-стности, достоверности и доступности информации. Все функции представлены в виде четырех уровневой иерархиче-ской структуры: класс -семейство - компонент - элемент. По аналогии представлены требования качества.

В стандарте выделено 11 классов функций: аудит, идеен-тификация и аутентификация, криптографическая защита, конфиденциальность, передача данных, защита пользователь-ских данных, управление безопасностью системы, использова-ние ресурсов, доступ к системе, надежность средств.

В КО 15408 содержится ряд предопределенных профи-лей, описывающих стандартные модули системы безопасности (например, профиль межсетевого экрана).

Таким образом, «Общие критерии»:

- позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показа-тели защищенности информации);

- позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации.

Методология тестирования безопасности (OSSTMM)

Данный документ [4] содержит общую методологию и предлагает практические рекомендации по организации процесса тестирования безопасности: формирует базовые определения, выделяет объекты тестирования, предлагает шаблоны документов для проведения тестов.

В OSSTMM выделены следующие категории безопасности, которые взаимосвязаны друг с другом:

- информационная безопасность (information security)

- безопасность процесса (process security)

- безопасность Интернет-технологий (internet technology security)

- безопасность коммуникации (communications security)

- беспроводная безопасность (wireless security)

- физическая безопасность (physical security)

Перечисленные выше категории разбиты на модули. Процесс

тестирование является непрерывным и проходит через все модули и категории. В рамках тестирования одного модуля выделяют сбор данных «data» (делается предположение о неком свойстве системы) и проверку сделанного предположения «verification».

Данные, полученные в результате тестирования, одного модуля могут являться как конечным результатом, так и исходными данными для тестирования следующего модуля (рис. 1).

Тестирование межсетевых экранов отнесено в категорию безопасности Интернет-технологий. Кроме того, в рамках мо-дуля безопасности Интернет-технологий можно выделить мо-дули, результаты тестирования которых будут использоваться для проведения тестирования межсетевых экранов:

- сканирование портов;

- идентификация систем и сервисов;

- поиск уязвимостей;

- тестирование маршрутизации;

- взлом паролей;

- анализ устойчивости к атакам (в том числе атаки типа «отказа в обслуживании»).

verification

-in-

-out-

Рис. 1. Методология тестирования безопасности OSSTM: результаты одного теста являются исходными данными для следующего

К очевидным недостаткам данной методологии можно отнести: отсутствие рекомендаций по формированию системы требований к средствам защиты информации, а также отсутствие рекомендаций по выбору и использованию инструментов для тестирования. Кроме того, перечисленных выше подходов недостаточно для оценки эффективности функционировании средств защиты и оценки защищенности АС.

Руководство по тестированию сетевой безопасности (NIST) Данный стандарт [5] дает практические рекомендации по организации процесса тестирования сетевой безопасности; определяет роли, инструменты и стадии жизненного цикла, на которых необходимо выполнять тестирование. Объектами сете-вой безопасности, согласно документу, являются межсетевые экраны, маршрутизаторы и коммутаторы, серверы различного назначения (Web, Email, DNS, FTP и другие).

Жизненный цикл этих объектов представляет собой классическую схему: формирование требований, разработка (приобретение), внедрение, эксплуатация, вывод из действия (рис. 2). Тестирование свойств безопасности необходимо выполнять на стадиях внедрения (при выборе устройства) и эксплуатации (для оценки защищенности и корректности работы).

В документе рассматриваются различные подходы для проведения оценки сетевой безопасности, в том числе:

- сканирование сети (network mapping)

- сканирование уязвимости (vulnerability scanning)

- взлом пароля (password cracking)

- анализ лог-журналов (log review)

- проверка целостности файлов (file integrity checkers)

- тестирование на проникновение (penetration testing)

Данные методы могут применяться для тестирования межсетевых экранов, как по отдельности, так и комплексно. Так сканирование уязвимостей всегда включает в себя сканирова-ние сети (определение открытых портов, идентификация сис-тем), а тестированию на проникновение предшествует поиск (сканирование) уязвимостей.

Стандарт «Guideline on Network Security Testing» является хорошим практическим руководством для организации про -цесса оценки состояния сетевой безопасности, однако доку-мент не содержит требования к средствам сетевой безопас-ности, на соответствие которых необходимо проводить тес-тирование.

Выводы

Стандарты по оценке безопасности практически не содер-жат конкретных методик, в результате чего величина разрыва между общими декларациями и конкретным инструментарием по реализации и контролю их положений является недопусти-мой.

Анализ зарубежных и современных отечественных стандартов в области ИБ показывает, что их успешное применение требует разработки дополнительных специальных методов, алгоритмов и методик оценивания защищенности и проведение процесса тестирования.

------------------------------------------- СПИСОК ЛИТЕРАТУРЫ

1. Руководящий документ средства вычислительной техники Меж-сетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", Гостехкомиссия России, Москва, 1997.

2. Сидак АА. Формирование требований безопасности современных сетевых информационных технологий. Серия «Безопасность информационных технологий» - М.: МГУЛ, 2001.

3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1, 2, 3. М.: ИПК «Изд-во стандартов», 2002.

4. ISECOM. Open-Source Security Testing Methodology Manual by Pete Herzog, 2005

5. Wack J. and Tracey M. DRAFT Guideline on Network Security Testing: Recommendations of the National Institute of Standards and Technology. NIST Special Publication 800-42, 2001.

6. Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls; NIST Special Publication 800-10.ЕШ

— Коротко об авторах ------------------------

Васильева Е.А. - аспирант МГТУ им Н.Э.Баумана; Ивахненко А.М. - доцент МАДИ (ГТУ);

Баринов А.П. - инженер МАДИ (ГТУ).