поиск по сайту
ФОРМАЛЬНОЕ МОДЕЛИРОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ: К ВОПРОСУ О СТАНДАРТИЗАЦИИ ПРОЦЕССА

ФОРМАЛЬНОЕ МОДЕЛИРОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ: К ВОПРОСУ О СТАНДАРТИЗАЦИИ ПРОЦЕССА

Н.В. МОЗОЛИНА

МФТИ (ГУ), Москва, 117303, Россия

ЗАО «ОКБ САПР», Москва, 115114, Россия

В каждой области знаний есть такие понятия, законы, принципы и постулаты, которые известны всем, чья деятельность связана с этой областью. Вряд ли можно найти физика, не знакомого  с принципом корпускулярно-волнового дуализма или математика, никогда не применявшего интегрально-дифференциального исчисления. В сфере защиты информации также есть свои основы: конфиденциальность, целостность, доступность; идентификация, аутентификация, авторизация; модели управления доступом; цифровая подпись и так далее.

Модели управления доступом и политики безопасности изучают студенты специальностей группы «Информационная безопасность», эти понятия входят в программу вступительного экзамена в аспирантуру, их применяют на практике разработчики при создании средств защиты информации, используют аналитики и инженеры при построении систем защиты. Несмотря на столь широкое распространение, в теме моделей управления доступом и политик безопасности до сих пор есть пробелы: нет окончательно сформулированных и принятых всем научным сообществом определений, например, термин «формальная модель политики безопасности» в полной мере не определён [1].

Разрабатываемая в настоящее время серия стандартов «Формальное моделирование политики безопасности» призвана  восполнить этот пробел: ввести термины и определения в указанной области, установить требования к построению моделей управления доступом, стандартизировать сам процесс моделирования политики безопасности. Мне посчастливилось ознакомиться с текстом проекта ГОСТ «Формальное моделирование политики безопасности. Часть 1. Формальная модуль управления доступом» и даже поучаствовать в конце февраля 2019 года в его обсуждении. В рамках этого выступления хотелось бы продолжить начатое ранее обсуждение стандарта, ведь возможность живого обсуждения с коллегами – пожалуй, самое ценное, что нам дают конференции.

В первую очередь хотела бы остановиться на вводимых стандартом терминах.

Работа с политиками управления доступом невозможна без определения, что есть сам доступ, кто или что является его субъектом и объектом.

Конечно, такие понятия, как «доступ», «правило разграничения доступа», «право доступа» и «политика безопасности управления доступом», полностью вошли в обиход специалистов в сфере защиты информации и давно стали общеупотребимыми. Казалось бы – нужно взять и записать, что понимают под известными всем терминами. Вместе с тем определения несколько отличаются в различных источниках. Даже между действующими РД и стандартами нет полной согласованности. Так в [2] правила разграничения доступа – «Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа», а [3] определяет правило доступа (заметьте, доступа, не разграничения доступа) как «совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям». Казалось бы, определения можно свести одно к другому, если под «правом доступа» понимать «порядок и условия доступа». Но если [2] вовсе не даёт определения «права доступа», то в [3] право доступа  - это «совокупность правил доступа к защищаемой информации, установленных правовыми документами или собственником, владельцем информации». И это только сравнение только 2 документов. И чем больше неточностей такого рода мы можем найти в действующих стандартах и руководящих документах, тем ценнее становится та работа, которую проделали разработчики проекта серии ГОСТов по формальному моделированию политики безопасности.

В разрабатываемом ГОСТе доступ определён как «способ обращения или выполнения операции над объектом доступа или другим субъектом». Такое определение позволяет назвать доступом совершенно любой способ выполнения действия субъекта над объектом, что отличается от общепринятого понимания этого термина. Явно не хватает определяющей части.

Право доступа определено как «совокупность установленных политиками управления доступом правил, задающих порядок и условия доступа субъекта к объекту доступа или другому субъекту». Политика управления доступом – «совокупность правил, регламентирующих порядок управления доступом (правил доступа, правил управления доступом), подлежащая реализации в средствах защиты от НСД» [4]. И хотя связь между правом и политикой управления доступа определена (политика устанавливает право), совершенно не ясным остаётся, как между собой соотносятся правила доступа, из которых состоит политика, и правила, «задающие порядок и условия доступа», составляющие право. Являются ли правила одними и теми же? Или это разные сущности? Ответ на этот вопрос проект ГОСТа не даёт. Вместе с тем, описание множеств прав, политик, правил доступа и их отношений между собой необходимо для построения формальной модели.

Заметим, что в этих определениях политика управления доступом не может быть рассмотрена в отрыве от средств защиты: в её определении уже учтено, что она должна быть реализована в СЗИ от НСД.

Вообще весь проект стандарта пронизан связью со средствами защиты информации. Оно, конечно, понятно – ГОСТ предназначается разработчикам, органам по сертификации и испытательным лабораториям. В то же время мы все знаем, что обеспечение безопасности возможно лишь в совокупности технических, организационных, физических и других мер. И политика управления доступом не перестанет ею быть, если некоторые из её правил будут реализованы не посредством СЗИ от НСД, а например, организационными мерами.

Разрабатываемый стандарт даёт определения также объекту и субъекту доступа. Так объектом называют «единицу информационного ресурса, доступ к которой регламентируется политиками управления доступом», а субъектом – «активный компонент среды функционирования средства защиты от НСД, доступы которого регламентируются политиками управления доступом» [4]. В этих определениях опять же прослеживается связь со средствами защиты информации, без использования которых бессмысленно становится говорить о субъектах и объектах доступа. Но ведь от того, что некоторое СЗИ от НСД не будет рассматривать что-то как субъект или объект, это «что-то» не перестанет им быть. Более того, существуют вычислительные системы, в которых нет средств защиты. Значит ли это, что в их отношении бессмысленным становится само понятие «доступ»? Ведь его определение строится на понятиях объект и субъект, которые в свою очередь зависят от СЗИ от НСД.

Так мы приходим к некоторому противоречию. С одной стороны, ГОСТ устанавливает требования к формальным моделям управления доступом, которые должны разрабатываться в целях повышения довериях к положенным в основу СЗИ от НСД принципам и подходам к управлению доступом. То есть построение формальной модель должно предшествовать созданию средства защиты. С другой – объекты, субъекты и сами политики управления доступом, которые должны входить в описание формальной модели, рассматриваются уже относительно СЗИ, которого на момент построения формальной модели ещё нет.

Аналогичная ситуация и со скрытыми каналами, которые в проекте ГОСТа рассматриваются относительно СЗИ от НСД, хотя должны учитываться при разработке формальной модели, которая в свою очередь должна предшествовать созданию тех самых средств защиты информации.

Другая трудность, которая может возникнуть при использовании стандарта в его настоящей редакции – определение, от имени чего или кого действует субъект. Согласно [4], учётная запись пользователя – это некоторая информация о пользователе среды, в субъект, привилегированный или непривилегированный, - активный компонент среды, функционирующий от имени учётной записи, привилегированной или нет соответственно. Получается, что субъект функционирует от имени некоторой информации, что само по себе необычно. Также стоит отметить, что не обязательно субъект должен действовать от чьего-то имени: существуют процессы, взаимодействующие между собой и с объектами автоматически, для таких процессов нельзя сказать, от имени чего или кого они действуют.

Может показаться, что все приведённые выше замечания – это придирки. Термины-то общеупотребимые, все понимают, в целом, что они значат. Но достаточно ли понимания «в целом» для текста ГОСТа? Пожалуй, нет. И первый шаг, который стоит сделать на пути к стандартизации процесса моделирования политик безопасности, – определить основные термины, ведь без общего языка не может быть и общего стандарта.

Список литературы

  1. Девянин П.Н. О проблеме представления формальной модели политики безопасности операционных систем // Труды ИСП РАН. 2017. №3. С.7–16.
  2. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.
  3. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения
  4. ГОСТ Р (проект, вторая редакция). Защита информации. Формальное моделирование политики безопасности. Часть 1. Формальная модель управления доступом.