ИТС БАНКА РОССИИ

Главная > Статьи >ИТС БАНКА РОССИИ
Статьи

Основное содержание доклада 1

- постановка проблемы создания доверительной среды ИТС и ее актуальности,
- связь проблемы с общими тенденциями развития архитектур и стратегий ИТС в России и за рубежом,
- описание необходимых компонент доверительной среды ИТС, детализация их свойств и функций,

Основное содержание доклада 2

- предложения по реализации доверительных компонент в конкретных технических решениях для ИТС Банка России,
- обоснованию целесообразности перехода к комплексным доверительным решениям,
- формулированию предложений по созданию компонент доверительной среды ИТС Банка России и совершенствованию нормативной базы обеспечения жизненного цикла ИТС Банка России.

Тенденции 1

Анализ интернет-публикаций и регистрируемых зарубежных патентов в области IT в рамках приблизительно 2-3 последних лет свидетельствует о том, что намечается некоторое отставание научного и методологического обеспечения теоретической и прикладной информатики от решаемых в этой области актуальных задач.

Тенденции 2

В научной и методической литературе последних лет все чаще встречается термин «надежность» и в последнее время – «доверие» и «доверенные (доверительные) системы». Этот процесс отражает объективные закономерности в развитии науки о компьютерных системах.

Тенденции 3

Поиск конструкций «Доверенная система» в Yandex дает около 3 млн. ответов (релевантных ответов порядка 20%), «Доверенная среда» – 9 млн., «Trusted system(s)» – 102 млн. При этом за 2011 год число ссылок и публикаций по данной проблеме увеличилось более, чем в 10 раз, а в зарубежных Интернет-ресурсах их примерно в 10-15 раз больше, чем в отечественных.

Тенденции

Отечественные источники, в частности ГОСТ Р ИСО/МЭК ТО 13335-5-2006 рекомендует использовать термин «доверительные отношения» и «доверительная среда». Рассмотрим категорию «доверие» в общем контексте иерархии информационно-телекоммуникационных систем.

«Пирамида» иерархий

Что происходит?

Переход к термину «доверие» в применении к ИТС означает эволюцию от узкого понимания надежности и безопасности компонент системы в сторону общеметодологических вопросов обеспечения выполнимости целевой функции ИТС, той функции, для которой она предназначена и создается с учетом реального жизненного цикла и архитектуры ИТС.

Понятия доверия (1)

Доверие – свойство системы или ее элемента, объективно, обоснованно и документально выраженное основание того, что элемент системы (в терминах стандартов - изделие ИТ, продукт ИТ, компонент ИТС, ИТС в целом) отвечает априорно заданной (регламентациями высшего уровня) целевой функции на всем протяжении своего жизненного цикла.

Понятия доверия (2)

Доверительный компонент – компонент ИТС (продукт ИТ), обладающий свойством доверия.

Доверительная среда - область существования и функционирования доверительных компонент, в пределах которой предусматривается обеспечение необходимых условий непрерывности их жизнедеятельности и поддержания требуемого уровня доверия (изделия ИТ) на всем протяжении его жизненного цикла.

Понятия доверия (3)

Доверенная (доверительная) система - система, состоящая из доверительных компонент, функционирующих в доверительной среде и реализующая доверенные процессы (услуги).

или эквивалентное определение

Доверенная система - совокупность доверенных компонентов, объединенных доверенной средой передачи данных, включающая доверенные средства хранения информации и данных и реализующая доверенные процессы (услуги).

Доверенная услуга (процесс) – процесс обработки, хранения и передачи информации в ИТС, обладающий свойством доверия.

Доверенный канал – средство взаимодействия между компонентами системы, обладающее свойство доверия.

Доверие позволяет…

- Обосновывать надежность, доступность и функциональность ИТС и ее компонент, а не только безопасность.

- Говорить о гарантиях выполнении ИТС своего назначения (целевой функции) на всех уровнях ее функционирования.

- Говорить о свойствах не только компонент, но и процессов (услуг) ИТС.

Что обеспечивает переход к доверительной среде ИТС? (1)

- существенно снижаются системные риски для систем национального масштаба, в первую очередь для платежной системы;

- плавно, поэтапно и эволюционно повышаются текущие уровни надежности и доступности системы, для которой усиливаются свойства доверия,

- создаются высокие потенциалы для собственной технической поддержки и развития, снижает технологические риски.

Что обеспечивает переход к доверительной среде ИТС? (2)

- снижается совокупная стоимость владения компонентами ИТС за счет уменьшения затрат на техническую поддержку и модернизацию,

- оптимизируется архитектура ИТС за счет консолидации инфраструктуры вокруг доверительных компонент среды,

- минимизируются затраты на реализацию подсистем обеспечения надежности и информационной безопасности за счет использования штатных средств доверительных компонент и снижения затрат на сертификацию, аттестацию и проверку корректности встраивания,

- минимизируются затраты на систему управления и повышается управляемость и мобильность ИТС.

Основные компоненты доверительной среды ИТС Банка России

- доверенное коммуникационное оборудование и доверенная среда передачи данных,

- доверенные вычислительные комплексы на основе доверенных операционных сред,

- доверенные системы хранения,

- доверенная система управления.

Доверенное коммуникационное оборудование и доверенная среда передачи данных

Проблемы роста и развития корпоративных систем (1)

1. Гибкая архитектура и необходимость использования новых бизнес-приложений требуют динамической переконфигурации и постоянной актуализации коммуникационной инфраструктуры.

2. Балансировка нагрузки отдельных компонентов корпоративной сети при жесткой логике маршрутизации и коммутации требует дооснащения оборудованием и ручной настройки.

Доверенное коммуникационное оборудование и доверенная среда передачи данных

Проблемы роста и развития корпоративных систем (2)

3. Оперативное внедрение появляющихся на рынке новых средств управления и обеспечения безопасности затруднено статичной архитектурой коммуникационного оборудования, а зачастую – совместной их неработоспособностью.

4. Ошибки и уязвимости коммуникационной платформы затруднительно оперативно исправлять.

Доверенное коммуникационное оборудование и доверенная среда передачи данных

Требования (1):

1. Высокий запас вычислительной мощности – аппаратный ресурс коммуникационной платформы должен обеспечивать такую скорость вычислений, которая бы позволила обрабатывать заданный объем трафика.

2. Масштабируемость вычислительной мощности – аппаратный ресурс должен быть дополняемым в рамках одного изделия, т.е. должна быть возможность поблочного наращивания в рамках одного корпуса или конструктива.

3. Универсальность операционной платформы – операционная платформа должна иметь распространенный и универсальный характер, должна обеспечивать работу и портацию большого числа коммуникационных и прикладных приложений и универсальный интерфейс взаимодействия компонентов между собой.

Доверенное коммуникационное оборудование и доверенная среда передачи данных

Требования (2):

4. Открытость операционной платформы – операционная платформа должна быть построена преимущественно на принципах открытого кода в целях снижения числа угроз, возможностью верификации и повышения доверия, а также для возможности собственной доработки и сопровождения.

5. Наличие средств балансировки нагрузки внутри платформы – в операционную платформу должны быть интегрированы модули, управляющие нагрузкой внутри компонент и дополняемых аппаратных ресурсов.

6. Высокая надежность и ремонтопригодность – в рамках коммуникационной платформа должны быть реализованы меры повышения надежности, взаимозаменяемости блоков и приложений.

7. Сертификация по требованиям национальных регуляторов.

Доверенные вычислительные комплексы на основе доверенных операционных сред

Рассмотрим опыт создания доверенных сертифицированных операционных сред семейства Windows для клиентских приложений и операционных сред семейства z/OS для серверных приложений.

Доверенные вычислительные комплексы на основе доверенных операционных сред

Программа GSP (Government Security Program) создания доверенных сертифицированных операционных сред семейства Windows была начата в 2004 г. в сотрудничестве с Центральным банком РФ, ФСБ РФ и другими заинтересованными государственными организациями и ведомствами РФ.

В результате операционные системы со специально разработанными дополнениями Secure Pack Rus получили разрешительные документы (сертификаты) в системе сертификации ФСБ и ФСТЭК, что позволило, в частности, использовать их для синтеза защищенных автоматизированных систем без дополнительных средств аппаратной аутентификации и доверенной загрузки (электронных замков), а также использовать в них сертифицированные российские криптографические механизмы.

Доверенные вычислительные комплексы на основе доверенных операционных сред

Для решения задачи доверенного функционирования z/OS создан TopCM (Top Control Manager) предназначен для осуществления контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения гарантированного выполнения любой априорно заданной в z/OS политики безопасности и полной изоляции процессов и подсистем, построенных на базе z/OS. Монитор TopCM способен контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связи, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений.

Доверенные вычислительные комплексы на основе доверенных операционных сред

Данная стратегия позволяет добиться нового качества доверия к операционной системе z/OS, отказаться от изучения большого объема исходных кодов (в данном случае необходимо изучить только процедуры начальной загрузки ОС и порождение процессов) и гарантировать выполнение заданной политики безопасности.

Доверенные системы хранения

При рассмотрении архитектуры современных доверенных ИТС также вполне очевидна тенденция централизации вычислений в центрах обработки данных, а также перемещение клиентских или пользовательских данных в области удаленного хранения. В бизнес-системах такая организация хранения данных не только позволяет снизить затраты на их хранение, но и обеспечить существенное повышение надежности хранения, а также снизить угрозы нарушения конфиденциальности.

Доверенные системы хранения

Целесообразно рассматривать следующие группы требований к системам хранения:

- требования к системе мер обеспечения ИБ,

- требования к надежности хранения,

- требования к предотвращению угроз конфиденциальности,

- требования к управляемости,

- требования к фиксации ответственности,

- требования к доступности,

- требования к возможности восстановления данных.

Доверенные системы хранения

В рамках распределенной клиент-серверной архитектуры обработки данных за последнее десятилетие выработан универсальный подход к построению хранилищ данных, представляющий собой объединение множества специальным образом сконструированных систем хранения - так называемых NAS-серверов и серверов обработки данных - в рамках единой распределенной сетевой инфраструктуры посредством открытой архитектуры SAN.

Доверенная система управления

Требования:

- детерминированность и доверенность элементов системы;

- динамичность системы;

- наличие в системе управляющего параметра;

- наличие в системе контролирующего параметра;

- наличие в системе доверенных (доверительных) каналов обратной связи.

Доверенная система управления

В настоящее время на рынке представлено значительное количество программного обеспечения для реализации процессов автоматизации служб поддержки и управления в сфере телекоммуникаций, которые часто позиционируют как системы управления производственной деятельностью (СУПД). Из них наиболее известны Avalon, Zodiak, Remedy ITSM Suite, HP Service Desk, Unicenter, значительное количество этих решений апробировано в крупных организациях, министерствах и ведомствах РФ (Минатом РФ, РАО ЕС, Газпром, Роснефть). Рассмотрим приоритеты для подсистем СУПД, которые позволяют выбрать оптимальную СУПД по заданным критериям.

Доверенная система управления

Предлагается выбрать три категории приоритетов (цели, проблемы и процессы) и придать им оценку (в рассматриваемом случае от 1 до 4 по шкале «минимальное», «удовлетворительное», «хорошее» и «отличное» («максимальное»)). Весьма значительным параметром является доверительность, так система Zodiak с исходным кодом может претендовать на максимальные оценки по категориям.

Доверенная система управления

По результатам сравнения предполагается остановиться на системе управления Zodiak, как современной интегрированной доверенной системе управления широким спектром оборудования и приложений.

На примере организации работ с Zodiak по приемке системы с исходным кодом целесообразно перейти к рассмотрению жизненного цикла доверенной среды ИТС.

Жизненный цикл доверительной среды и его особенности

Кроме типовых угроз, характерных для всех автоматизированных систем, включающих нарушения свойств доступности, конфиденциальности и целостности, для доверенных систем возникает ряд специфических угроз, предопределяемых тем, что потенциально нарушаются свойства доверия на некоторых этапах жизненного цикла (ЖЦ) доверительных систем.

Жизненный цикл доверительной среды и его особенности (1)

Доверенное проектирование – процесс создания проектной документации и макетов доверенной системы с соблюдением свойств доверия.

Доверенная разработка – создание не существующих к окончанию доверенного проектирования элементов доверенной системы с соблюдением свойств доверия этих элементов.

Доверенная реализация – процесс объединение (интеграции) доверенных элементов в доверенную систему, обеспечивающий реализацию ее целевой функции и соблюдения свойств доверия.

Доверенная эксплуатация – эксплуатация доверенной системы с точным соблюдением ее целевой функции, включающая доверенное администрирование и аудит доверенной системы.

Жизненный цикл доверительной среды и его особенности (2)

Доверенное развитие – наращивание (изменение) функций доверенной системы в соответствии с доверенным проектированием, доверенной разработкой и доверенной реализацией этапа (цикла) развития доверенной системы.

Доверенная модификация – процесс изменение функций доверенной системы в соответствии с доверенным проектированием, доверенной разработкой и доверенной реализацией этапа (цикла) развития доверенной системы, в том числе для устранения выявленных недоверенных элементов, нарушений выполнения целевой функции и ошибок предыдущих этапов жизненного цикла.

Уровни доверия

Требования к доверенным системам включают семь позиций требований к ЖЦ и четыре позиции архитектурных требований - к компонентам, услугам, каналу и интерфейсу.

Структура и логика требований

Для минимального уровня доверия не предъявляются требования к доверенному проектированию и доверенной разработке, в данном случае система минимального уровня доверия может быть реализована по типовым проектам из готовых компонент, это позволит удешевить процесс проектирования. Далее, не предъявлены требования к доверенному развитию и доверенному выводу из эксплуатации. Кроме того, к системам минимального уровня доверия не предъявляются требования по реализации доверенных услуг.

Уровни доверия

Требования к доверенным системам включают семь позиций требований к ЖЦ и четыре позиции архитектурных требований - к компонентам, услугам, каналу и интерфейсу.

Структура и логика требований

Для систем оптимального уровня доверия не предъявлено требований по доверенному выводу из эксплуатации, остальные требования предъявляются, по всем позициям предъявлены более высокие требования, чем для систем минимального уровня доверия.

Для систем высокого уровня доверия предъявлены дополнительные требования по всем позициям, кроме доверенной эксплуатации и доверенного интерфейса.

Предложения

Разработать и утвердить Стратегию повышения доверия ИТС Банка России на 2012-2017 гг.

Запланировать на 2013 и последующие годы проведение научно-исследовательских, опытно конструкторских и внедренческих работ по повышению доверия к компонентам ИТС Банка России.