БАРАБАНОВ1 Александр Владимирович МАРКОВ2 Алексей Сергеевич, кандидат технических наук ЦИРЛОВ3 Валентин Леонидович, кандидат технических наук,
МЕТОДИЧЕСКИЙ АППАРАТ ОЦЕНКИ СООТВЕТСТВИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В статье предложен подход к разработке формализованной методики испытаний автоматизированных систем по требованиям безопасности информации. Даны рекомендации по оптимизации процедуры испытаний автоматизированных систем. Ключевые слова: защита информации, объект информатизации, автоматизированная система, аттестация, сертификация.
The approach to the development of security test procedures for automated systems is presented. The recommendations for optimizing the test procedure are obtained.
Keywords: information security, information system, automated system, certification, conformity assessment
Формализованное описание методики проведения испытаний
Обязательная оценка соответствия автоматизированных систем (АС) требованиям безопасности информации проводится в форме аттестации объектов информатизации или сертификации средств защиты информации (СЗИ) [1]. Кроме того, процедура оценки соответствия может применяться на этапах приемо-сдаточных испытаний, внутреннего аудита и контроля эффективности защиты информации. Базовым документом, в котором определены требования к подсистемам безопасности АС, является руководящий документ Гостехкомиссии России [2]. Существующие типовые методики аттестационных или сертификационных испытаний носят описательный характер, что затрудняет автоматизацию и оптимизацию процессов оценки соответствия АС. При этом исследования показывают, что более половины средств, выделяемых на разработку АС в защищенном исполнении, тратится именно на этапы испытаний и внедрения системы.
В статье рассмотрен подход к формализации методики оценки соответствия АС, позволяющий определить факторы, связанные с временем, стоимостью и полнотой испытаний АС.
Под АС, согласно ГОСТ 34.003-90, будем понимать систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций. Таким образом, АС представляет собой совокупность следующих объектов: средства вычислительной техники, программное обеспечение, каналы связи, информация на различных носителях, персонал и пользователи системы, эксплуатационная и организационно-распорядительная документация. Пусть R = (г,, г2,..,гп} — множество требований, предъявляемых к АС Е, Т = ^1, ^,...^п} — множество тестовых процедур, проверяющих реализацию требований. Каждая тестовая процедура ti е Т характеризуется следующими элементами: цель выполнения, объекты проверки (факторы оценки соответствия), последовательность выполняемых действий, критерий принятия положительного решения.
Под методом, разработки тестовых процедур будем понимать отображение М: Е * R ^ Т [3]. Функция М на основе
1 - руководитель группы испытаний ЗАО «НПО «Эшелон»;
2 - доцент кафедры «Информационная безопасность» МГТУ им. Н.Э.Баумана, генеральный директор ЗАО «НПО «Эшелон»;
3 - исполнительный директор ЗАО «НПО «Эшелон».
требования г1 е R и информации о реализации АС Е, подлежащего процедуре оценки соответствия, выполняет генерацию тестовой процедуры ti е Т, выполняемой для проверки удовлетворения АС требованию г1 е R. Отметим, что функция М для данной АС Е является биективным отображением.
Введем операторы выполнения требования FR и корректности выполнения тестовой процедуры FC для данных Е, г, и.
Оператор выполнения требования. г1 для АС Е Рк : Е * R ^ (0,1}:
\1 .требование rt выполнено для АС X,
[О, в противном случае.
Оператор корректности выполнения тестовой процедуры t, для АС Е FC : Е х T ^ {0,1}:
II, тест ti выполнен успешно для АС Е Л
О, в противном случае.
Методикой оценки соответствия АС назовем набор из пяти объектов А = (Е, R, М, Рк, Рс}, где R - множество требований, предъявляемых к АС Е, М - метод разработки тестовых процедур, Рк и Рс —операторы выполнения требования и корректности выполнения тестовой процедуры соответственно, а также для е R справедливо Рк(Е,г) ^ Рс(Е, М(Е,г)). Методика предусматривает наличие трех стадий: планирование, тестирование и анализ результатов.
На стадии планирования, выполняется анализ документации и особенностей работы АС. Перед началом проведения тестирования эксперты должны установить, что в документации на объект испытаний (например, в задании по безопасности на АС) декларируется соответствие АС требованиям R, то есть Рк(Е,г) = 1 для V г1 е R. На основании данных, полученных в ходе анализа документации, тестовых запусков АС и предъявляемых требований, формируется множество тестовых процедур Т = (^, Ъ,...,^, где ti = М(Е,г). Тестирование АС выполняется с использованием набора тестовых процедур Т = ^,...4п}. В результате тестирова-
ния для каждой тестовой процедуры определяются результаты выполнение тестовой процедуры ti е Т, подлежащие регистрации. При проведении оценки соответствия АС, как правило, применяются следующие методы: экспертнодокументальный метод, метод опроса и инструментальный метод.
На стадии анализа фактических и эталонных значений получают множество упорядоченных пар вида ^,, РС(Е,г)). Для АС Е декларируется соответствие требованиям R = (г,, г2,.., гп}, если:
І~1
то есть в ходе проведения испытании установлено соответствие реальных возможностей АС по декларируемым в документации или нормативном документе [1, 2].
Методика испытаний автоматизированной системы на соответствие требованиям безопасности информации
Руководящий документ Гостехкомиссии России [2] устанавливает классификацию АС, подлежащих защите от несанкционированного доступа (НСД) к информации, и задает требования по защите информации в АС различных классов. Рассмотрим формализованный порядок проверки для следующих наиболее ресурсоемких требований Ris = {ri, Г2, r}
♦ требование r1: должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условнопостоянного действия, длиной не менее шести буквенноцифровых символов;
♦ требование r2: должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
♦ требование r3: должна быть обеспечена целостность программных средств защиты информации (СЗИ) от НСД, а также неизменность программной среды.
Перед началом проведения тестирования эксперты должны установить, что в технической документации (например, в задании по безопасности на АС) на объект испытаний декларируется соответствие АС требованиям RIS, то есть FR(Z,r) = 1 для V ri е Дв.
Частная методика проверки механизмов идентификации и аутентификации субъектов доступа
Проверка выполняется в целях контроля организационных мероприятий, которые позволяют удовлетворить требования к парольной политике, анализа установленных параметров функционирования средств идентификации и аутентификации, контроля корректности функционирования механизмов идентификации и аутентификации, а также контроля процедуры смены паролей пользователями. Введем определения, используемые при описании тестовой процедуры. Пусть А - алфавит паролей и идентификаторов субъектов доступа (пользователей АС). Обозначим идентификатор пользователя Ш е Ю с А*, пароль — pwd е PWD с А*. Учетная запись субъекта доступа в, е Я характеризуется следующим кортежем в, = (Ш, pwdk). Введем оператор корректности учетных данных РАиТ: Я ^ (0, 1}:
Faut(sî)
Г1, выполнен вход в систему, [0, в противном случае.
При проверке корректности реализации механизмов идентификации и аутентификации может быть использована следующая тестовая процедура, включающая последовательность действий:
1) проверить наличие эксплуатационных документов на АС, в которых регламентирован порядок проведения парольной защиты АС; проверить наличие следующих положений:
♦ требования к сложности паролей (длина, сложность);
♦ обязанности администратора безопасности по реализации парольной политики АС (генерация паролей, распределение паролей);
♦ обязанности пользователей по реализации парольной политики АС (генерация паролей, смена паролей);
2) определить установленные СЗИ от НСД в АС значения для следующих параметров: минимальная длина пароля, сложность пароля (алфавит паролей), максимальный срок действия пароля, максимальное число неудачных попыток входа пользователей в АС, после которого осуществляется блокировка работы пользователя, реакция АС на превышение максимального числа неудачных попыток входа пользователя; произвольным образом выбрать несколько АРМ и выполнить запросы на идентификацию и проведение аутентификации с использованием различных сочетаний учетных данных: зарегистрированный/незарегистрированный идентификатор, верный/неверный пароль tryt = (id, pwdk);
3) под учетными записями пользователей произвести попытки установить пароль, не соответствующий нормативным требованиям [2], для этого осуществить:
♦ попытку установить пароль, длина которого менее 6 символов;
♦ попытку установить пароль, состоящий исключительно из цифр, либо только из букв.
Результатами выполнения тестовой процедуры, подлежащей регистрации, являются:
1) положения документации на АС относительно реализации и сопровождения системы парольной защиты;
2) конфигурация СЗИ от НСД АС в части реализации парольной защиты;
3) полученные результаты тестовых запросов на идентификацию и аутентификации — множество {FAUT (try), ^rnVmh-}.
4) полученные результаты тестовых попыток изменения паролей.
В данном случае критериями принятия положительного решения являются следующие.
1. В нормативных документах организации, эксплуатирующей АС, установлены требования (сложность, минимальная длина) к паролям пользователей рассматриваемой АС соответствующие нормативным требованиям [2].
2. В нормативных документах организации, эксплуатирующей АС, описана процедура действий администратора безопасности по реализации парольной политики АС (процедуры генерация паролей, распределение паролей).
3. Настройки СЗИ от НСД выполнены таким образом, что длина пароля для пользователей АС не может быть менее 6 символов, а установленные ограничения сложности не позволяют использовать пароли, состоящие из однотипных символов.
4. После ввода зарегистрированного идентификатора и пароля пользователю предоставляется доступ к АС: Faut (try) = 1 О tlji е S.
5. После ввода незарегистрированного идентификатора и/ или неверного пароля пользователю отказывается в доступе к АС: FAUT (try) = 0 о tryt е S.
6. Все попытки установить пароль, не соответствующий нормативным требованиям, завершились неудачно.
Частная методика проверки средств управления доступом
Целью проверки является определение степени соответствия фактических настроек системы дискреционного разграничения доступа требуемым настройкам, определенным в матрице доступа. Исходными данными для формирования тестовой процедуры являются: множество возможных субъектов доступа Я = (Б1, Я2,...}, множество защищаемых объектов О = (О, 02,...}, конечное множество прав доступа Р = (Р1, Р2,.} и матрица доступа.
Последовательность выполняемых действий следующая.
1. Идентификация субъектов (например, пользователей) Я = (Б1, Я2,...}, и объектов доступа (например, объектов файловой системы) О = (О, О2,...}.
2. Идентификация матрицы доступа субъектов к защищаемым объектам.
3. Для каждой тройки (Я, О, Рк) е Я * О * Р выполнение тестирования фактического наличия права Рк у субъекта Я, по отношению к объекту О, (тестирование настроек СЗИ АС).
4. Сравнение фактических прав доступа с требуемыми правами, определенными в матрице доступа.
Результаты выполнения тестовой процедуры, подлежащие регистрации:
1) матрица доступа субъектов к защищаемым объектам;
2) фактические результаты тестирования системы дискреционного разграничения доступа.
В качестве критерия принятия положительного решения имеем полученное соответствие фактических и декларируемых прав доступа, определенных в матрице доступа.
Частная методика проверки механизмов контроля целостности
Целью выполнения процедуры является определение степени соответствия функциональных возможностей СЗИ от НСД АС по контролю целостности программных СЗИ от НСД.
Пусть FILE = (file,, file2, fileg} - множество файлов СЗИ от НСД (конфигурационные файлы, программные модули). Введем операторы нарушения целостности FMOD и контроля целостности файлов СЗИ от НСД FINT.
Оператор нарушения целостности FMOD: FILE ^ (0, 1}:
Fmod(№ =
целостность файла нарушена при проведении испытаний, . О, в противном случае.
Оператор контроля целостности файлов СЗИ от НСД FINT: FILE ^ (0, 1}:
F (file) =
INT '
1, зафиксировано нарушение целостности файла,
О, в противном случае.
Обозначим
РИЕк = }}Ие}, /г1е$,.. . , А1е* } -
множество файлов СЗИ от НСД, модифицированных в
25.07.2011 12:00:32
ходе проведения испытания. При этом выполняется модификация файла filei в файлfilef. При проверке корректности реализации механизма контроля целостности может быть использована следующая последовательность выполняемых действий.
1. Идентификация множества файлов СЗИ от НСД FILE = (file,, file2, ...}.
2. Внесение изменений в файлы (изменение конфигурации, подмена (модификация) исполняемых файлов и т. п.) — получение множества измененных файлов FILEa = (file,A, file2A,...}.
3. Инициализация проверки целостности файлов СЗИ от НСД (создание условий, при которых СЗИ от НСД осуществляет контроль целостности).
4. Анализ реакции СЗИ от НСД на нарушение целостности своей программной или информационной части.
Результаты выполнения тестовой процедуры, подлежащие регистрации:
1) множество файлов FILE =(file„ file2, ...};
2) множество модифицированных файлов FILEA = =(file,A, file2A, ...};
3) реакции СЗИ от НСД на нарушение целостности: Flm(fileiA), Flm(file2A),
■■■, FINTfilegA).
Критерием принятия положительного решения является то, что СЗИ от НСД обнаружены все факты нарушения целостности:
FINT(filei) = FMOD(fileiA).
Способы оптимизации процедуры оценки соответствия
Из представленных частных методик следует, что основной проблемой, с которой сталкиваются организации при проведении оценки соответствия, является рост временных и материальных затрат. Например, при проведении проверки механизма дискреционного разграничения доступа необходимо выполнить |5'| |О| |Р| типовых операций. В общем случае можно показать, что время тЕ, затрачиваемое на проведение испытаний, носит экспоненциальный характер роста:
тЕ ~п ■ УШ,
где п — число проверяемых требований, w - число факторов тестирования (например, «учетная запись пользователя»), V — число возможных значений фактора тестирования.
Задача оптимизации процедуры проведения оценки соответствия АС может быть сформулирована следующим образом. Пусть тЕ: Т * Е ^ М0 — время, затрачиваемое экспертами на выполнение оценки соответствия АС Е с использованием тестовой процедуры ^-. Пусть отображение вида С: R * Е ^ N0 — затраты на проведение оценки соответствия АС Е требованиям R. Задача оптимизации может выглядеть следующим образом (минимизация времени тестирования при ограничениях на затраты):
i
I,C(r„Z)SCu,
где См — ограничения, накладываемые на затраты.
В качестве методов, позволяющих решить задачу оптимизации, могут быть предложены следующие.
1. Совмещение отдельных видов испытаний. При проведении оценки соответствия рекомендуется выполнять совмещение некоторых видов испытаний. Например, процедура тестирования подсистемы регистрации событий может быть совмещена с процедурой тестирования подсистемы разграничения доступа и идентификации/аутентификации. Совмещение отдельных видов испытаний позволит существенно сократить временные затраты на процедуру оценки соответствия.
2. Применение методов выборочного контроля при проведении испытаний. Выборочный контроль предполагает применение процедуры проверки менее чем к 100% совокупности проверяемых элементов (выборка) при использовании экспертно-документального метода, метода опроса или инструментального метода. Например, при тестировании подсистемы дискреционного разграничения доступа проверка может быть выполнена только для некоторой совокупности ячеек матрицы доступа, выбранной случайным образом, а вывод о соответствии АС требованию нормативного документа [2] сделан в том случае, если проверка была выполнена успешно для всей выборки. Размеры тестируемых выборок могут быть определены исходя из гипергео-метрического распределения, описывающего вероятность того, что в выборке из N различных объектов, отобранных из генеральной совокупности, ровно К объектов являются несоответствующими установленному требованию. Отметим, что при использовании методов выборочного контроля необходимо выполнять определение приоритетов проверяемых требований в целях дальнейшего определения необходимого количества тестируемых объектов.
3. Использование программных средств тестирования. Для сокращения временных затрат при проведении испытаний необходимо использовать программные средства, позволяющие автоматизировать процедуру тестирования. Могут использоваться как инструментальные средства, широко представленные на современном рынке программного обеспечения, так и программы собственной разработки, написанные на языках сценариев [4 - 8].
Заключение
Рассмотренное в работе решение задачи формализации процессов оценки соответствия АС позволяет упростить автоматизацию аттестационных и сертификационных испытаний АС в защищенном исполнении.
Основной проблемой, с которой сталкиваются организации при проведении оценки соответствия, является рост временных и материальных затрат, связанный, в первую очередь, с большим количеством проверяемых объектов. Предложенные методические приемы позволяют сократить затраты на проведение оценки соответствия АС и решить задачу минимизации времени оценки соответствия при заданных ограничениях на затраты.
Концептуальный подход к формализации процедуры оценки соответствия может быть рекомендован для проведения разного рода испытаний средств защиты инфор-
1. Правовое обеспечение информационной безопасности./ С.В. Дворянкин, В.А. Минаев, М.М. Никитин, С.В. Скрыль, Н.С. Хохлов, А.П. Фисун. - М.: Маросейка, 2008. — 368 с.
2. Руководящий документ. Автоматизированные системы защита от. несанкционированного доступа к информации классификация, автоматизированных систем, и требования. по защите информации./ Сборник руководящих документов по защите информации от. несанкционированного доступа. - М.: Гостехкомиссия России, 1998. - С. 16 - 32.
3. Gourlay J.S. A Mathematical Framework for the Investigation of Testing./ IEEE Transactions on Software Engineering, 1983. - Vol. SE-9. - №. 6. - P. 686 - 709.
4. Ермолаев С.А., Марков А.С. Инструментальные средства аттестации программных ресурсов объектов информатизации: Часть 1./ Information Security/Информационная безопасность, 2004. - № 4. - С. 58 - 59.
5. Ермолаев С.А., Марков А.С. Инструментальные средства аттестации программных ресурсов объектов информатизации: Часть 2./ Information Security/Информационная безопасность, 2004. - № 5. - С.58 - 61.
6. Марков А.С., Цирлов В.Л., Миронов С.В. Аттестация, без проблем.: об использовании сетевых сканеров безопасности при аттестации АС./ Information Security/Информационная безопасность, 2005. -№ 3. - С. 44 - 45.
7. Марков А.С., Миронов С.В., Цирлов В.Л. Опыт, тестирования. сетевых сканеров уязвимостей./ Информационное противодействие угрозам терроризма, 2005. - № 5. - С. 109 - 122.
8. Барабанов А.А. Инструментальные средства проведения испытаний систем, по требованиям безопасности информации./ Защита информации. Инсайд, 2011. -№ 1. - C. 2 - 4.
9. Марков А.С., Цирлов В.Л., Маслов В.Г., Олексенко И.А. Тестирование и. испытания программного обеспечения, по требованиям, безопасности, информации./ Известия. Института инженерной, физики, 2009. - Т. 2. - № 12. - С. 2 - 6.
10. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения, в процессе сертификации./ Известия. Таганрогского государственного радиотехнического университета, 2006. - Т. 62. - № 7. - С. 82 - 87.
11. Колесников Д.В., Петров А.Ю., Храмов В.Ю. Методика оценки защищенности специального программного обеспечения при проведении испытаний автоматизированных систем../ Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии, 2010. -№ 1. - С. 74 - 79.
12. Дорофеев А.В. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности?/ Защита информации. Инсайд, 2010. -№ 6. - С. 2 - 3.
25.07.2011 12:00:32