Содержание к диссертации
Введение
Глава 1. Особенности систем с внешним информационным обменом 9
1.1 Варианты реализации внешнего информационного обмена 9
1.2 Специфика задачи защиты внешнего информационного обмена 14
1.3 Выводы 24
Глава 2. Модель количественного анализа рисков 25
2.1 Основные понятия анализа рисков 25
2.2 Классификация угроз для задачи ранжирования рисков 30
2.3 Формальная модель оценки рисков 33
2.4 Выводы 39
Глава 3. Верификация модели на основе баз данных уязвимостей 40
3.1 Уязвимости и их роль в оценке рисков 40
3.2 Применение базы уязвимостей для верификации модели рисков 43
3.3 Выводы 49
Глава 4. Практические следствия модели рисков 50
4.1 Оценка адекватности моделей угроз в профилях защиты 50
4.2 Оптимизация архитектуры подсистем защиты информации 71
4.3 Выводы 90
Заключение 91
Список литературы 93
Список сокращений 99
Приложение 1. Классификация модельного набора уязвимостей 101
- Специфика задачи защиты внешнего информационного обмена
- Классификация угроз для задачи ранжирования рисков
- Применение базы уязвимостей для верификации модели рисков
- Оптимизация архитектуры подсистем защиты информации
Введение к работе
Значимость информационных технологий в жизни любой крупной организации, вне зависимости от ее целей и задач, формы собственности и особенностей функционирования трудно переоценить. Системы управления производством, финансово-хозяйственной деятельностью, документооборота настолько тесно связаны с основными бизнес-процессами, что любые нарушения их функционирования автоматически приводят к остановке основных процессов деятельности организации. Это предопределяет, с одной стороны, повышенное внимание к вопросам защиты информации в корпоративных информационных системах (КИС), с другой стороны -определяющее влияние требований бизнес-процессов для сервисов, предоставляемых КИС. Эти два фактора часто вступают в противоречие между собой, заставляя проектировщиков КИС решать задачу оптимизации эффективности работы системы и степени ее защищенности. Одним из наиболее критичных случаев, где указанные противоречия наиболее остры, является внешний информационный обмен корпоративной информационной системы.
Еще несколько лет назад, рассматривая вопросы защиты информации можно было говорить о КИС как изолированной системе, в которой внешние воздействия могут быть локализованы, а в ряде случаев и ничтожно малы. Внешний информационный обмен рассматривался как вспомогательная операция, главным образом для получения общедоступной справочной информации. По сути дела, сведение к минимуму внешнего информационного обмена прямо ассоциировалось с серьезностью системы, что нашло отражение в нормативных документах Российской федерации, стандартов крупнейших ведомств и предприятий. Если вопросы информационного взаимодействия между различными подразделениями или организациями в рамках ведомства или отрасли предполагалось допустимым решать применением определенных средств защиты (межсетевые экраны, виртуальные частные сети) то контакт с глобальными информационными сервисами и сейчас считается недопустимым для многих информационных систем.
Однако, на сегодняшний день ситуация существенно изменилась. Практически любая организация должна участвовать во внешнем информационном обмене, причем не только получая информацию, но и предоставляя определенный набор информационных сервисов. В качестве типовых могут быть названы:
Для государственных структур - предоставление нормативной информации, ведение открытого документооборота с хозяйствующими субъектами проведение открытых конкурсов и торгов.
Для финансовых организаций - проведение платежей с внешними корреспондентами, сбор и предоставление услуг аналитического характера.
Для производственных предприятий - организация виртуальных торговых площадок, открытый документооборот с партнерами, как предоставляющими услуги, так и потребляющими продукцию предприятия.
Необходимо отметить, что задача внешнего информационного обмена сама по себе является достаточно сложной. В ее основе лежит необходимость работать с независимыми информационными ресурсами и сервисами, реализованными исторически при помощи различных технологий. При этом требуется выработка универсальных механизмов интеграции, для того чтобы, с одной стороны, обеспечить унифицированное решение по доступу к внешним информационным ресурсам, обеспечивающее экономическую эффективность при внедрении первой очереди системы, с другой стороны - сохранение уже сделанных инвестиций. В результате формируется сложный набор приложений, который необходимо инкапсулировать в набор простых сервисов, поддерживаемых средой информационно-телекоммуникационного взаимодействия.
Универсальной телекоммуникационной и транспортной средой для внешнего информационного обмена выступают сети связи общего пользования (ССОП), наиболее известным из которых является множество сетей Интернет. При очевидных преимуществах его использования, таких как всеобщность, доступность и финансовая эффективность, существуют также очевидные риски, связанные с невозможностью контроля пользователей, работающих за пределами корпоративной информационной системы. Как следствие, статистика попыток НСД из ССОП возрастает из года в год, причем ущерб от реализации таких попыток растет существенно быстрее их количества.
При изобилии средств защиты, позиционируемых производителем как средства защиты КИС при информационном обмене с Интернет, сегодня практически отсутствуют критерии их выбора, применимости и эффективности в конкретных информационных системах, особенно когда применяется набор средств различных производителей.
Объектом исследования являются информационные (автоматизированные) системы, внешний информационный обмен в которых значим с точки зрения обеспечения их деятельности, а также средства защиты информации, обеспечивающие защиту сервисов внешнего информационного обмена.
Целью работы является выработка критериев обоснования технических требований к средствам защиты информации в корпоративных информационных системах с внешним информационным обменом на основе применения модели рисков и статистики уязвимостей. Для достижения поставленной цели в работе решались следующие задачи:
Выявление специфики систем внешнего информационного обмена с точки зрения защиты информации;
Определение взаимосвязи угроз и уязвимостей, делающих возможной их реализацию;
Классификация угроз в зависимости от значимости наносимого ими ущерба;
Формализация задачи защиты систем внешнего информационного обмена с использованием модели рисков;
Анализ требований, предъявляемых к отдельным средствам защиты информации;
Реализация требований в конкретных разработках СЗИ и проектах защиты внешнего информационного обмена.
В диссертационной работе рассмотрен системный подход к задаче защиты КИС, осуществляющей внешний информационный обмен как часть своей основной деятельности, предложены методы ее решения и разработаны практические варианты защиты информационных ресурсов таких КИС.
Методы исследования. Для решения поставленных задач использовались методы количественного анализа и моделирования рисков, системного анализа.
Научная новизна диссертационной работы состоит в следующем:
Дана классификация рисков в системах внешнего информационного обмена, основанная на моделях угроз;
Предложена количественная модель рисков для задач внешнего информационного обмена;
Проведена интерпретация модели по отношению к основным классам средств защиты информации в системах внешнего информационного обмена;
Для формулирования требований к СЗ ВИО использованы соглашения и структура стандарта ГОСТ/ИСО МЭК15408-2002;
Предложен интеграционный подход к проектированию архитектуры СЗ ВИО.
Практическая ценность работы определяется возможностью использования предложенных в ней методов для оценки адекватности
7 требований к СЗИ и архитектур систем защиты внешнего информационного обмена. К таким результатам относятся:
Оценка эффективности различных средств межсетевого экранирования в зависимости от модели рисков;
Определение области применения в СЗ ВИО средств межсетевого экранирования, контекстного анализа информации, средств активного аудита;
Определение требований к среде функционирования СЗ ВИО;
Обоснование функциональных характеристик, реализованных в разработках компании «Инфосистемы Джет» - межсетевой экран Z-2, СМАП «Дозор»;
Реализация СЗ ВИО в проектах, выполненных специалистами компании «Инфосистемы Джет».
Апробация работы. Основные теоретические и практические результаты работы обсуждались на 4-й Всероссийской конференции «Информационная безопасность России в условиях глобального информационного общества» (Москва, 2002), на 6-й Международной научно-практической конференции «Защита информации в информационно-телекоммуникационных системах» (Киев, 2003), на 2-й и 3-й Ежегодных Всероссийских конференциях «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003-2004).
Публикации. По теме диссертации опубликовано 14 работ, в их числе 6 научных статей и 8 докладов, из них 1 на международной конференции.
Основные положения, выносимые на защиту:
Специфика систем внешнего информационного обмена;
Классификация угроз и формирование набора рисков;
Связь набора угроз и уязвимостей, при помощи которых они реализуются;
Формирование методик верификации моделей угроз и свидетельств анализа уязвимостей, используемых в профилях защиты стандарта ГОСТ/ИСО МЭК 15408-2002.
Архитектура подсистем безопасности критических систем с внешним информационным обменом.
Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения, одного приложения и списка литературы из 46 наименований.
В первой главе рассматривается проблема безопасности для систем внешнего информационного обмена, определяется специфика и основные типы указанных систем, проводится классификация угроз с точки зрения их значимости, исследуются существующие средства борьбы с ними, формулируется постановка задачи работы.
Во второй главе представлена разработанная автором формальная постановка задачи анализа безопасности систем внешнего информационного обмена на основе модели количественного анализа рисков.
В третьей главе модель конкретизируется при помощи реальных наборов угроз в системах внешнего информационного обмена, рассматривается влияние основных классов средств защиты на функцию рисков для систем внешнего информационного обмена, анализируется полнота моделей угроз, используемых в профилях защиты СЗ ВИО.
В четвертой главе на основе проведенного анализа даются рекомендации по наборам средств защиты и уровню требований, предъявляемых к таким средствам, и формулируются критерии выбора архитектуры подсистем защиты в автоматизированных системах.
Специфика задачи защиты внешнего информационного обмена
В соответствии с [7], под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Традиционная постановка задачи защиты информации в информационной (автоматизированной) системе состоит в обеспечении конфиденциальности, целостности и доступности информации [8], а также неотказуемости действий пользователей информационной системы [9]. Для достижения указанных целей на основе модели угроз и анализе действий потенциального нарушителя определяется, с одной стороны, набор правил, описывающих возможные действия легального пользователя системы, с другой стороны - набор механизмов безопасности, обеспечивающих выполнение указанных правил [10]. Специфика систем внешнего информационного обмена состоит в принципиальной невозможности формулировать правила и контролировать их выполнение за пределами информационной системы.
Сложность задачи защиты внешнего информационного обмена осознана достаточно давно. Традиционно обеспечение защиты информационного периметра считается наиболее важной задачей любой корпоративной системы, а внешние риски - наиболее значимыми. Приоритет защиты внешнего периметра в ущерб защищенности самой информационной системы, тем не менее, неоднократно оспаривался (например, в работе [11]). Несомненно, однако, что наличие сервисов, предоставляемых за пределы информационной системы, имеет определенную специфику, которую необходимо учитывать.
Анализ специфики задач внешнего информационного обмена (см. например [2]) показывает эффективность применения сервисного подхода к задачам внешнего информационного обмена. Он заключается в том, что анализируются не информационные ресурсы, где хранится информация, а информационные сервисы, которые ее предоставляют. Сервисный подход к описанию системы предполагает следующее: Информация может быть предоставлена при помощи одного или нескольких информационных сервисов; Условия получения информации определяются на уровне сервиса, который эту информацию предоставляет; Для получения информации сервис использует внутренние механизмы связи с информационными ресурсами; Информационная система однозначно описывается набором предоставляемых информационных сервисов. Следствия использования сервисного подхода для информационной безопасности, состоят в том, что: каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности); каждый сервис имеет свою трактовку понятий субъекта и объекта; каждый сервис имеет специфические угрозы; каждый сервис нужно по-своему администрировать; средства безопасности в каждый сервис нужно встраивать по-особому.
Важно, чтобы наличие многочисленных сервисов не противоречило простоте и удобству использования информационной системы. В противном случае, даже без попыток взлома извне или изнутри, будет трудно добиться устойчивой работы системы.
Фактором, существенно облегчающим организацию защитных сервисов является относительно небольшой, по сравнению с традиционной ситуацией в информационной системе набор прикладных сервисов. Если в классической корпоративной системе число сервисов может быть равно нескольким десяткам, то в системе внешнего информационного обмена это число составляет один-два прикладных сервиса (Web и почта) и один-два служебных (сервис маршрутизации и сервис имен).
На стыке клиентской и серверной частей системы с внешним информационным обменом как правило находится Web-сервер. Это позволяет иметь единый механизм регистрации пользователей и наделения их правами доступа с последующим централизованным администрированием. Взаимодействие с многочисленными разнородными сервисами оказывается скрытым не только от пользователей, но и в значительной степени от системного администратора. Web-сервис играет интегрирующую роль, делая архитектуру системы на более высоких уровнях простой и однородной.
Очевидно, что в случае (а) задача поддержания согласованности прав доступа к различным сервисам оказывается крайне сложной, а администрирование этих прав сопряжено с многочисленными ошибками и созданием слабостей. В случае (б) мы по существу имеем дело с централизованной системой, предоставляющей удаленный доступ к однородным объектам, поэтому администрирование прав доступа существенно упрощается.
В случае внешнего информационного обмена ключевыми являются сервис электронной почты и Web-сервис, поэтому вопрос защищенности именно этих сервисов принципиально важен. Эти сервисы должны поддерживаться традиционными механизмами безопасности, такими как аутентификация, разграничение доступа и подотчетность; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах.
Сегодня существует общепризнанный набор решений, применяемых как компоненты систем защиты внешнего информационного обмена, и типовые архитектуры, объединяющие указанные компоненты. Обычно для задач защиты внешнего информационного обмена используются такие средства защиты информации, как межсетевые экраны, системы строгой аутентификации, средства активного аудита. Типовые архитектуры при этом также известны и аналогичны приведенной на Рис. 4.
Кроме собственно вопросов выбора средств защиты необходимо отметить, что показанная на Рис. 4 архитектура системы защиты изначально ориентирована на систему, главным образом получающую информацию из внешней среды. Традиционно в этом случае внешние нарушители, хотя и могут нанести значимый ущерб, в целом дают относительно низкие риски по сравнению с нарушителями внутренними. При интенсивном развитии внешних сервисов, предоставляемых организацией ситуация начинает радикально меняться, поскольку размывается граница между внутренним и внешним пользователем - и тот и другой получают фактически одни и те же сервисы, хотя их работа существенно по-разному регламентируется. Как следствие, статистика показывает, с одной стороны тенденцию к выравниванию внутренних и внешних рисков в системах с критичным внешним информационным обменом, с другой стороны - возрастание средней величины ущерба от действий внешних нарушителей (см. например обзор [12], Рис. 5).
Указанная архитектура была выработана экспериментально, «методом проб и ошибок» и заведомо состоятельна для тех условий, где она вырабатывалась. Проблема заключается, с одной стороны, в большом разбросе свойств, которые подходят под наименование каждого из компонентов защиты (межсетевой экран, средства активного аудита, средства строгой аутентификации и т.д. имеют от десятков до сотен вариантов реализации, существенно различных между собой), с другой стороны - в существенном изменении условий, в которых данная архитектура вырабатывалась по сравнению с реальными условиями ее применения сегодня.
В самом деле, до последнего времени критерии выбора того или иного средства защиты информации редко были техническими. Как правило, использовалась и используется сейчас маркетинговая информация производителей средств защиты, которые в первую очередь заинтересованы в продаже продукта и в малой степени в реальной защищенности информационной системы (см. например, [13]). Наличие набора нормативных документов (см. [14], [15]) не способствовало развитию технических критериев в силу того, что сформулированные там требования не были явно обоснованы, В последние годы ситуация хотя бы теоретически начала меняться благодаря повсеместному распространению стандарта ISO 15408 (российский вариант обозначается как ГОСТ ИСО/МЭК 15408-2002 [16], [17], [18]).
Классификация угроз для задачи ранжирования рисков
Для проведения анализа рисков сегодня используются как качественные, так и количественные методы. Качественные методики управления рисками приняты на вооружение в технологически развитых странах при проведении работ по внутреннему и внешнему аудиту, в которых защита информации является лишь одним, не самым приоритетным вопросом. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799-2002. К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool (см. [25]).
Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации выбрать с учетом известных ограничений ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design [26]). На практике такие методики управления рисками позволяют: Создавать модели информационных активов компании с точки зрения безопасности; Классифицировать и оценивать ценности активов; Составлять списки наиболее значимых угроз и уязвимостей безопасности; Ранжировать угрозы и уязвимости безопасности; Обосновывать средства и меры контроля рисков; Оценивать эффективность/стоимость различных вариантов защиты; Формализовать и автоматизировать процедуры оценивания и управления рисками.
Как следует из предыдущего раздела, существует взаимно однозначное соответствие между набором угроз и рисков. При этом практическое применение моделей рисков испытывает значительные трудности, связанный с оценкой, как вероятности реализации угроз, так и с оценкой ущерба.
Необходимо заметить, что сложность оценки вероятности реализации угроз и ущерба от их реализации представляется различной. Дело в том, что оценки стоимости информационных ресурсов и соответственно стоимости ущерба, который может быть нанесен могут быть получены по аналогии из классических схем анализа рисков для неинформационных ресурсов. Более того, сегодня существует целый ряд работ, использующих такие оценки (см. например, [281 или [29]).
Ситуация с оценкой вероятности реализации угроз принципиально иная. Сегодня приходится констатировать, что оценки вероятности реализации угроз практически отсутствуют. Это очевидно связано с невозможностью прямых измерений и получения статистических оценок. Вероятность реализации угроз традиционно считалась независимой от величины ущерба, который данная угроза наносит. В рамках настоящей работы данное положение было подвергнуто сомнению. Проводя анализ угроз различных типов, оказалось возможным классифицировать их в соответствии с величиной стоимости информационного ресурса или сервиса, на атаку которого нацелена та или иная угроза. При этом предполагается, что величина ущерба определенно прямо пропорциональная стоимости атакуемого ресурса.
В качестве первого шага представляется интересным провести грубую эмпирическую классификацию угроз в соответствии с описанным выше критерием. Вышесказанное не отменяет необходимости верифицировать эту классификацию, как с точки зрения фактического материала, так и с формальных позиций статистической значимости проведенной классификации, к примеру, методами кластерного анализа (используя, например методы, приведенные в работе [30]). Первому вопросу посвящена следующая глава настоящей работы, второй вопрос в данной работе не представлен и является перспективой дальнейших исследований.
Прямым следствием такого вида функции риска является критерий разделения сервисов администрирования и пользовательских сервисов. Если система обладает относительно малой критичностью, там преобладают риски, связанные с угрозами третьего рода. В этом случае целесообразно использовать единые сервисы для работы пользователей и администрирования системы, поскольку это обеспечивает более простое управление безопасностью и снижает общий уровень рисков, связанных с угрозами этого типа. Если же критичность системы велика, то целесообразно реализовывать пользовательские сервисы и сервисы администрирования по-разному, чтобы возрастающий для пользовательских сервисов уровень рисков не ставил под угрозу потенциально более критичные сервисы администрирования.
Эта модель в известной степени коррелирует с известной моделью анализа организации с позиций зрелости [25J, разработанной в Университете Меллона им. Карнеги (Carnegie Mellon University). Модель выделяет пять уровней развития организации в соответствии с реализуемым в ней подходом к организации защиты информации (см. Рис. 9).
Применение базы уязвимостей для верификации модели рисков
Построенная таблица достаточно интересна с точки зрения статистических свойств угроз и уязвимостей, поскольку данная статистика дает по сути уникальную объективную информацию об угрозах информационным ресурсам. При этом можно показать, что не всегда угрозы, на которых сосредотачивается внимание производителей средств защиты и аналитиков в области информационной безопасности, действительно являются самыми значимыми.
При статистическом анализе интерес представляют общие статистические свойства уязвимостей, статистика угроз, ассоциированных с ними и статистика типов угроз, описанная в предыдущем разделе.
Анализ общей статистики уязвимостей показывает, что в базах данных количество уязвимостей значимо растет с увеличением размера ущерба, наносимого при их реализации (Рис. 10). Это, вероятно, представляет собой эффект селекции, а не свойство компонент информационной системы. Объяснение данному эффекту селекции лежит в повышенном внимании именно к тем уязвимостям, использование которых может нанести наиболее серьезный ущерб информационным ресурсам.
Распределение уязвимостей по степени ущерба Рассмотрим теперь распределение уязвимостей, ассоциированных с угрозами различных классов. Анализ распределения угроз на основе той же базы уязвимостей показывает значимое преобладание угроз первого типа.
Существенно иным представляется распределение уязвимостей, ассоциированных с угрозами второго типа (Рис. 13). Распределение показывает значимое преобладание уязвимостей с высокой степенью ущерба. При этом отличие в количестве уязвимостей с малой степенью ущерба от количества уязвимостей со средним уровнем ущерба также является статистически значимым.
Единственным различием является значительное преобладание угроз, реализация которых приводит к большому ущербу для информационных ресурсов. Это, видимо, является проявлением описанного выше эффекта селекции.
Таким образом, существенное отличие механизмов реализации угроз первого типа подтверждается также распределением угроз по степени ущерба. Если угрозы второго и третьего типа в целом соответствуют интегральной статистике, угрозы первого типа дают «плоское» распределение .
На основании проведенного анализа могут быть сделаны выводы, что выявленные на сегодняшний день уязвимости могут быть однозначно сопоставлены с угрозами, причем статистика подтверждает реальную разницу в механизмах реализации угроз различных типов.
С точки зрения стратегии организации систем защиты, необходимо обеспечить выбранный заранее уровень рисков для угроз первого типа и определить механизмы защиты, подавляющие угрозы второго и третьего типа до заданного уровня. При этом в критических системах основной объем усилий будет направлен на дискриминацию угроз с большой долей уязвимостей второго типа, как наиболее сложных и значимых в критичных информационных системах. 3 Выводы
1) Анализ угроз, как компонента анализа рисков существенно затрудняется неизмеримостью угроз и трудностью их формализации. На практике каждую угрозу можно описывать как набор уязвимостей, однозначно ассоциированных с ней.
2) Различные механизмы реализации угроз могут определяться анализом статистики уязвимостей, с помощью которых реализуются данные угрозы.
3) В критических системах основной объем усилий будет направлен на дискриминацию угроз с большой долей уязвимостей второго типа, как наиболее сложных и значимых в критичных информационных системах.
Оптимизация архитектуры подсистем защиты информации
С точки зрения архитектуры средств защиты важным является соотношение угроз различного типа с уровнями семиуровневой модели ISO/OSI. Анализ той же базы уязвимостей показывает увеличение удельного веса угроз второго и третьего типов на верхних уровнях указанной модели. С точки зрения архитектуры систем информационной безопасности это значит, что при проектировании систем высокой критичности должны использоваться средства защиты, работающие на высоких уровнях модели OSI/ISO, причем все информационные потоки должны направляться таким образом, чтобы обеспечить невозможность обхода средств защиты.
Указанный принцип был успешно использован при проектировании и построении подсистемы информационной безопасности Автоматизированной системы управления бюджетными процессами (АИС УБП ДФ) города Москвы, принятой в промышленную эксплуатацию и прошедшей аттестацию в системе Гостехкомиссии России (ФСТЭК РФ).
Назначением АИС УБП ДФ [45] является комплексная автоматизация Департамента финансов г. Москвы (ДФ г. Москвы) по управлению бюджетным процессом на основе единого правового, методологического и информационного пространства. АИС УБП ДФ [46] обеспечивает процесс исполнения бюджета по казначейскому принципу и эффективность управления бюджетным процессом за счет автоматизации следующих задач: Поддержка централизованного управления финансовыми ресурсами г. Москвы с возможностью избирательного анализа движения финансовых средств на любых уровнях детализации; Формирование оперативной информации о состоянии бюджета; Повышение достоверности бюджетных показателей и прогнозов; Обеспечение предварительного контроля целевого расходования бюджетных средств и соответствия расходов бюджетным назначениям; Повышение оперативности обработки информации о доходах бюджета, классификации и учета поступающих доходов в режиме реального времени; Обеспечение оперативного формирования бюджетной росписи по доходам и расходам и предоставление актуальной информации об ее изменениях в разрезе ведомственной классификации и кодов бюджетной классификации; Обеспечение оперативного формирования документов установленных форм отчетности и других документов. Целями создания подсистемы информационной безопасности (ПИБ АИС УБП ДФ) [46] являются: предотвращение или существенное затруднение хищения, утраты, искажения, подделки информации в АИС УБП ДФ; предотвращение или существенное затруднение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение или существенное затруднение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; сохранение конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и применении информационных систем, технологий и средств их обеспечения. При построении использовалась стратегия, описанная в главе 3, то есть последовательно выбирались механизмы, минимизирующие угрозы первого, третьего и второго типов. Для первых двух типов угроз задача решается непосредственно в рамках ПИБ АИС УБП, которая обеспечивает безопасность АИС УБП ДФ, реализуя следующие механизмы безопасности: Шифрование и контроль целостности IP-трафика при передаче информации по открытым сетям, проходящим вне контролируемой зоны (КЗ) между территориально удаленными узлами АИС УБП ДФ; Разграничение доступа к ресурсам АИС УБП ДФ при межсетевом и межузловом взаимодействии; Предоставление механизмов создания и регистрации ключей шифрования и управления сертификатами пользователей; Механизмы контроля НСД (включая контроль целостности и антивирусный контроль) как на уровне доступа к АРМам АИС УБП ДФ, так и на уровне функционирования сетевой среды АИС УБП ДФ, ОС АРМов и серверов с возможностью централизованного сбора и анализа регистрационной информации и реагирования на попытки НСД в реальном режиме времени.
Угрозы, основанные на уязвимостях второго типа, более сложны с точки зрения противодействия им. Для борьбы с ними необходимо применение механизмов безопасности, встроенных непосредственно в прикладное ПО. Поэтому в самой АИС УБП ДФ на прикладном уровне должны быть реализованы следующие механизмы ИБ:
Надежная аутентификация пользователей АИС УБП ДФ на основе криптографических методов (для обеспечения конфиденциальности и реализации механизмов неотказуемости и подконтрольности) в функциональных подсистемах, наиболее критичных по отношению к угрозам информационной безопасности, которые могут привести к значительным финансовым потерям или финансовым злоупотреблениям со стороны пользователей АИС УБП ДФ;
Разграничение доступа пользователей АИС УБП ДФ в ППО к сервисам и информационным ресурсам АИС УБП ДФ во всех подсистемах АИС УБП ДФ (для обеспечения конфиденциальности обрабатываемой информации); Регистрация в ППО всех функциональных подсистем АИС УБП ДФ действий пользователей на основе выделенных, логически и функционально замкнутых бизнес-транзакций (для обеспечения неотказуемости и подконтрольности); Формирование и проверка ЭЦП в электронных платежных документах РИЛ как на уровне клиентского ППО, так и в ППО серверов в модели клиент/сервер (для обеспечения целостности и подлинности документов, неотказуемости и подконтрольности действий пользователей). Комплексный подход к ИБ должен также предусматривать противодействие глобальным угрозам, возникающим в современных условиях и обусловленных факторами проявления терроризма, саботажа, техногенных катастроф и технических аварий. При анализе вероятности и последствий проявления таких угроз должна учитываться социально-экономическая значимость объектов информатизации. Департамент финансов (ДФ) г. Москвы представляет собой объект, имеющий привлекательность для проявления противоправных действий со стороны отдельных лиц и/или групп населения, а АИС УБП ДФ имеет большое значении для функционирования и управления таким крупным мегаполисом и центром федерального значения, каким является г. Москва. Это увеличивает значимость угроз, реализуемых при помощи уязвимостей второго типа, направленные, в том числе и на нарушения функционирования системы. В связи с этим, в АИС УБП ДФ должны быть предусмотрены меры архитектурного характера, позволяющие обеспечить надежность системы в целом, сохранность хранимой и обрабатываемой информации, восстановление информационной инфраструктуры АИС УБП ДФ для обеспечения оперативного управления бюджетным процессом в г. Москве. Эти меры должны обеспечить устойчивость АИС УБП ДФ по отношению к глобальным угрозам за счет следующих мероприятий: Резервирования критически важных для функционирования АИС УБП ДФ сервисов и данных; Резервного копирования данных; Резервирования телекоммуникационной инфраструктуры АИС УБП ДФ и организации резервного вычислительного центра. Сохранность информации и обеспечение должной оперативности по предоставлению информационных сервисов при функционировании АИС УБП ДФ должны предусматривать: Применение систем высокой надежности в вычислительных центрах АИС УБП ДФ для противодействия угрозам технического характера; Дополнительное территориальное разнесение критичных узлов АИС УБП ДФ при построении систем высокой надежности и при обеспечении минимального времени недоступности АИС УБП ДФ для ее пользователей для противодействия угрозам глобального и технического характера.
