Кондаков Информационная безопасност систем физической засчиты 20. Информационная безопасность систем физической защиты, учета и контроля ядерных материалов
Скачать 0.69 Mb.
|
5.3. Влияние Федерального закона «О техническом регулировании» на обеспечение безопасности информационных технологий 1 июля 2003 года произошло еще одно событие, которое в пер- спективе окажет большое влияние на политику в области инфор- мационной безопасности. Вступил в действие Федеральный закон «О техническом регулировании». Этот закон регулирует отноше- ния, возникающие при разработке, принятии, применении и испол- нении обязательных требований к продукции, процессам производ- ства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуа- тации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг. К сфере регулирования этого закона от- носятся и вопросы создания продукции и оказания услуг в сфере информационной безопасности [16, 17]. Новый закон призван упростить процедуры поступления това- ров на рынок, создать предпосылки для гармонизации российской и международной систем стандартизации, ввести в рамки закона права контрольно-надзорных органов. Закон декларирует доступ- ность стандартов для пользователей, возможность участия произ- водителей и потребителей в выработке регламентов и стандартов. Закон предусматривает выработку технических регламентов, кото- рые гарантируют безопасность товаров и услуг и будут обязатель- ны для производителей. Стандарты же делаются необязательными к исполнению. Потребитель сам должен оценить качество продук- ции и отдать предпочтение более качественной, в частности, сер- тифицированной на соответствие тем или иным стандартам. Вместе с тем такие глубокие изменения в сфере стандартизации создают определенные опасности. Среди них: необязательность следования стандартам со стороны производителей, возможное снижение качества продукции и отсутствие ответственности за не- го. В день вступления в силу нового закона в Москве состоялась конференция «IT-SECURITY: новые требования к участникам рынка информационной безопасности». Отмечая положительные стороны принятия нового закона, уча- стники дискуссий сформулировали конкретные предложения госу- 41 дарственным органам, направленные на исключение возможных негативных последствий законодательных реформ в сфере инфор- мационной безопасности. Перечислим основные предложения: • сохранить на переходный период действующий в настоящее время порядок применения технических требований к средствам обеспечения информационной безопасности; • внести в Закон изменения, направленные на разработку и ввод технических регламентов по информационной безопасности; • назначить ответственный государственный орган за разработку технических регламентов в области информационной безопасно- сти; • исключить лицензирование использования любых средств за- щиты информации; • совместить испытательные лаборатории и сертификационные центры различных ведомств в «одно окно»; • определить право на защиту какого рода информации гаранти- рует государство, а когда заказчик и исполнитель вправе руково- дствоваться при определении качества услуг или продуктов любы- ми механизмами от корпоративных стандартов до экспертных оце- нок; При выполнении этих рекомендаций, считают участники кон- ференции, принятый закон послужит делу улучшения положения дел в сфере информационной безопасности. В любом случае, на протяжении переходного периода (в течение 7 лет) продолжают действовать все нормативные документы. 6. ВОПРОСЫ НАДЕЖНОСТИ АС И РЕЗЕРВИРОВАНИЕ ИНФОРМАЦИИ Вопросы надежности и отказоустойчивости информационных систем наряду с вопросами обеспечения защиты информации от несанкционированного доступа являются определяющими в деле обеспечения информационной безопасности. Российские критерии информационной безопасности, как видно из материала рассмот- ренного ранее, основной упор ставят на противодействие субъек- тивным угрозам безопасности. Тем не менее надежность систем 42 играет не меньшую роль в проблемах, с которыми сталкиваются при проектировании и эксплуатации АС в областях ФЗ и УиК ЯМ. Немецкая страховая компания GERLIG приводит следующие данные [18]. В 74% случаев причиной прекращения деятельности предприятий в Германии стала именно утеря информации. Стати- стика показывает, что в случае остановки информационной систе- мы существует критический срок восстановления работоспособно- сти системы. Если в указанный срок восстановления информации не произошло, то со 100% вероятностью организация прекратит свое существование. Для страховой компании этот срок 5,5 дней, у производственного предприятия – 5, у банка – 2, у предприятия не- прерывного производственного цикла – около суток. При оценках такого рода необходимо учитывать, что работоспо- собность многих критических приложений должна быть обеспече- на со стопроцентной гарантией, поскольку от их деятельность за- висит инфраструктура всего современного общества (правоохрани- тельные органы, органы государственной власти, энергогенери- рующие и транспортные компании и т.п.). Предприятия, имеющие в обращении ядерные материалы, относятся к этим критическим системам. Полная потеря информации об ядерных материалах должна быть исключена со 100% гарантией. Стандарт отрасли [1] устанавливает некоторые требования и нормативы, связанные с обеспечением надежности СУиК ЯМ. Система физической защиты ядерного объекта относится к сис- темам класса 24.7.365 – должна работать 24 часа в сутки, семь дней в неделю, 365 дней в году. Исходя из этого к надежности про- граммных и аппаратных комплексов для АС ФЗ предъявляются же- сткие требования. Базы данных, используемые в компьютеризиро- ванных системах ФЗ, содержат, как правило, сведения о персонале (например, для системы контроля доступа), обширные архивы со- бытий, видеоданных и конфигурацию системы. В силу требований режима секретности и учета кадров, большинство персональной информации дублировано на бумажных носителях, однако ее утеря в компьютеризированной системе приведет к существенному сбою в деятельности предприятия и резко снизит эффективность служб безопасности. Вся накопленная информация по событиям также будет утеряна. Современные подсистемы охранной сигнализации и контроля доступа максимально защищаются от физических воздей- 43 ствий, и сбоев в электрических сетях путем резервирования линий электропитания, использования внутренних аккумуляторов и нако- пителей. Управляющие контроллеры снабжаются собственной па- мятью, в которой, при временной потере связи с серверами, может долгое время накапливаться и храниться информация о событиях, зафиксированных подключенными датчиками или считывателями. Практически все производители закладывают возможность автома- тической пересылки накопленных данных на центральный сервер при восстановлении связи. Для исключения возможности полной потери информации в ус- ловиях нормальной эксплуатации и при проектных авариях необ- ходимо предусматривать систему хранения и восстановления дан- ных. Эта система включает в себя следующие элементы: • дублирование сервера или использование дублирования на же- стких магнитных дисках (RAID – технология); • хранение на предприятии дистрибутивных копий как базового, так и прикладного программного обеспечения; • хранение резервных копий баз данных. Необходимо иметь не менее двух наборов, поочередно используемых внешних носителей резервных копий, которые необходимо хранить отдельно либо в хранилище файлов, либо (и) по соответствующему соглашению в другом компьютерном центре. Перечисленные пункты относятся к выбору стратегии резерви- рования функций и информации. Дадим некоторый комментарий указанным положениям. Как правило, в локальных сетях, предна- значенных для обработки важной информации, необходимо преду- сматривать резервный сервер (резервный контроллер домена в се- тях под управлением Windows NT). В процессе работы периодиче- ски осуществляется синхронизация данных главного и резервного серверов. В случае выхода из строя главного сервера обработка информации автоматически переводится на резервный. Современ- ные решения предлагают различного рода кластерные системы с распределенной нагрузкой, когда выход из строя сервера не пре- кращает эксплуатации всей системы. Для систем управления физи- ческой защитой наиболее актуальна схема «горячего» резервирова- ния, когда отказавший сервер автоматически заменяется резервным без участия оператора. Если система работает с несколькими база- ми данных, а компьютеры объединены в локальную сеть и проис- 44 ходит обрыв связи между данными компьютерами, то система рас- падается на независимые сегменты. Работу каждого из сегментов обеспечивает свой программный сервер со своей базой данных. Очевидно, что изначально базы данных содержат эквивалентную информацию. С течением времени в каждой из баз она будет изме- няться произвольным образом. В итоге, когда связь между компь- ютерами будет восстановлена, в системе образуются разные базы данных, содержащие несовпадающую информацию. Эти базы не- обходимо синхронизировать. И в момент синхронизации данных возможны коллизии: если в обеих базах была изменена разным об- разом информация об одном и том же объекте, тогда, как правило, решение о том, какую версию данных использовать, принимается администратором системы. Существуют автоматические варианты разрешения подобных конфликтов: по приоритетам (принимается изменение того программного сервера, чей приоритет выше), по времени (чье изменение произошло позднее, то и принимается). Для повышения устойчивости АС к сбоям и обрывам связи может использоваться кольцевая топология локальной сети. В этом случае всегда существует возможность связи в обход нерабочего участка. RAID-технология (Redundancy Array of Independent Disks) пред- ставляет собой использование вместо одного магнитного накопи- теля массива из многих, относительно недорогих, дисков с высокой надежностью и скоростью работы. Этот дисковый массив органи- зуется с помощью контроллера таким образом, чтобы полученная система обладала большей надежностью, чем надежность состав- ляющих его дисков. Используются различные режимы записи ин- формации на диски, позволяющие зеркально дублировать инфор- мацию или восстанавливать ее после сбоев. Очень часто такие вы- соконадежные дисковые массивы объединяются для работы с кла- стерными системами. Однако следует понимать, что катастрофиче- ский отказ RAID-массивов приведет к полной остановке таких сис- тем. При выборе стратегии резервирования необходимо оценивать требования к системе в области поддержки ее работоспособности. Надо помнить, что резервирование функций удорожает всю систе- му. Стремление многократно и надежно резервировать функции системы вступает в противоречие двум важнейшим инженерным принципам: во-первых, надежность системы обратно пропорцио- 45 нальна количеству составляющих ее компонент, во-вторых, надеж- ность системы не может быть выше, чем у наименее надежного компонента. В реальности СУиК ЯМ не требуют столь жестких нормативов, как АС ФЗ. Отраслевой стандарт устанавливает мак- симальное время восстановления работоспособности СУиК ЯМ – не более 10 часов. Подчеркивается, что этот норматив устанавлива- ется для каждой конкретной подсистемы на стадии разработки компьютеризированной СУиК ЯМ. Для аварийного восстановления работоспособности системы в случае потери всей информации необходимо восстановить базовое и прикладное программное обеспечение и содержимое баз данных. Этим целям служат хранение дистрибутивов программного обес- печения и резервных копий баз данных. Стандарт выделяет два требования к хранению резервных копий информации: наличие бо- лее чем одной копии и хранение резервных копий отдельно от ори- гинала, желательно в территориально удаленном месте. В работе [19] приводятся основополагающие принципы, нацеленные на со- хранение данных: 1) резервные копии данных делаются не в единственном экзем- пляре, а в нескольких, как минимум по принципу «дед-отец-сын»; 2) выбираются надежные носители информации для выполнения резервных копий; 3) создаются полноценные резервные копии; 4) обеспечивается надежное хранение резервных копий в от- дельном помещении – территориально удаленном от первичного носителя информации; 5) обеспечивается регулярный контроль качества резервных ко- пий и пригодность к восстановлению. Данные принципы обеспечивают восстановление данных ценой некоторых временных затрат. Однако следовать им надо неукосни- тельно. Так, если резервные копии хранятся в серверном помеще- нии, то с точки зрения восстановления информации их ценность практически нулевая. В случае пожара они погибнут вместе с ори- гиналом. Стандарт определяет максимальное значение среднего времени наработки на сбой СУиК ЯМ в 250 часов. Определяется, что ис- пользуемая вычислительная техника должна быть отнесена к пято- му классу и соответствовать требованиям надежности по ГОСТ 46 27201. Помещения, в которых размещаются элементы автоматизи- рованной системы, должны соответствовать требованиям пожар- ной и общепромышленной безопасности по ГОСТ 12.4.009. Нельзя сбрасывать со счетов и человеческий фактор. Низкий уровень подготовки персонала и безответственное отношение к своим обязанностям часто приводит к отсутствию стратегии резер- вирования и восстановления данных или их разработке на фор- мальном уровне, с нарушением принципов и правил. По оценкам специалистов до 75% всех резервных копий являются непригодны- ми к восстановлению. Эта оценка сделана в отношении западных компаний. Для учета человеческого фактора стандарт отрасли выделяет в отдельный параграф вопросы организационного обеспечения. Стандарт требует разработки на каждом предприятии комплекта документов, устанавливающих организационную структуру, права и обязанности персонала, эксплуатирующего СУиК ЯМ. Докумен- ты должны определять: • функции, права и обязанности персонала по обеспечению функционирования СУиК, в том числе по профилактике; • действия персонала при отказах и сбоях технических и про- граммных средств; • действия персонала в специфических случаях; • действия персонала по восстановлению работоспособности системы; • ответственность должностных лиц, персонала и пользователей. Каждому предприятию предлагается разработать требования к уровню подготовки, квалификации и количеству специалистов, требующихся для обслуживания СУиК ЯМ. Требуется разработать программы обучения и переподготовки специалистов. В мире существуют различные системы критериев оценки на- дежности информационных систем. В качестве примера можно ре- комендовать критерии, разработанные некоммерческими организа- циями Американского института сертифицирования государствен- ных служб бухгалтерского учета AICPA и Канадского института присяжных бухгалтеров CICA. Обзор этих критериев приведен в работе [20]. Однако рассмотрение этих критериев выходит за рамки рассматриваемых в данном пособии проблем. 47 СПИСОК ЛИТЕРАТУРЫ 1. Стандарт отрасли. Оснащение программно-аппаратных сис- тем учета и контроля ядерных материалов. Общие требования. ОСТ 95 10537-97. 2. Зегжда Д.П., Ивашко А.М. Основы безопасности информаци- онных систем. М.: Горячая линия – Телеком, 2000. 3. Правила физической защиты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов. Утверждены Постановлением Правительства Российской Федерации от 19 июля 2007 г. N 456. 4. Требования к системам физической защиты ядерных мате- риалов, ядерных установок и пунктов хранения ядерных материа- лов. НП-083-07. Федеральная служба по экологическому, техноло- гическому и атомному надзору. 5. Пискарев А.С., Шеин А.В. О состоянии и перспективах ис- пользования Общих критериев оценки безопасности информаци- онных технологий в России для оценки применяемых в СУиК про- граммных средств // Материалы 5 международного рабочего семи- нара «Разработка Федеральной автоматизированной информацион- ной системы учета и контроля ядерных материалов России», г. Но- воуральск, Свердловской обл., 26-30 мая 2003 г. 6. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированно- го доступа к информации. М., 1992. 7. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного досту- па к информации. Показатели защищенности от несанкциониро- ванного доступа к информации. М., 1992. 8. Гостехкомиссия России. Руководящий документ. Автомати- зированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требо- вания по защите информации. М., 1992. 9. Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуата- ции программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. М., 1992. 48 10. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и опреде- ления. М., 1992. 11. Гостехкомиссия России. Министерство Российской Федерации по атомной энергии. Руководящий документ. Требования по защите от несанкционированного доступа к информации в автоматизирован- ных системах учета и контроля ядерных материалов. М., 1997. 12. Международное исследование в области компьютерной безо- пасности (обзор) – www.crime-research.ru/news/2003/07/2403.html 13. Государственный стандарт Российской Федерации. ГОСТ Р ИСО/МЭК 15408-1-2001. Информационная технология. Методы и средства обеспечения безопасности критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. 14. Государственный стандарт Российской Федерации. ГОСТ Р ИСО/МЭК 15408-2-2001. Информационная технология. Часть 2. 15. Государственный стандарт Российской Федерации. ГОСТ Р ИСО/МЭК 15408-2-2001. Информационная технология. Часть 3. 16. Федеральный Закон РФ от 27.12.2002 № 184-ФЗ «О техниче- ском регулировании». 17. Вихорев С.ГОСТ на европейский лад, или Меняем не глядя? // Сети, 2003, №2. М.: Открытые системы. Постоянный адрес ста- тьи http://www.osp.ru/nets/2003/02/032.htm 18. Короткин Д. Обеспечение физической безопаснос- ти устранит 39% угроз. Аналитическое приложение. – www.cnews.ru/newcom/index.html?2003/10/15/150071 19. Воинов Ю. Новоиндийская защита или катастрофоустойчи- вые решения по защите данных.– www.softdeco.com/index.php 20. Решение проблемы доверия к Интернет и информационным технологиям в электронных правительствах и электронном бизне- се. – Центр компетенции по электронному правительству при Аме- риканской Торговой Палате в России. № 0045/R 25.02.03. 21. Гостехкомиссия России. Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности, 2003. 22. Гостехкомиссия России. Руководящий документ. Безопас- ность информационных технологий. Руководство по регистрации профилей защиты, 2003. |