Фундаментальные принципы информационной безопасности: принцип минимальных привилегий по умолчанию

Команда Алана Тюринга работает над дешифровкой Энигмы.
Среди них есть шпион с неучтенным доступом.

На выходных просмотрел фильм «Игра в имитацию» с великолепным Бенедиктом Камбербатчем в роли британского гения-математика Алана Тюринга, возглавлявшего команду дешифровщиков фашистского кода Энигма. Этот фильм можно использовать как художественную иллюстрацию многих фундаментальных принципов безопасности информационных систем. Например, Тюринг там рассуждает о том, как он не хочет знать никаких секретов британской разведки, потому что он «всего лишь математик» и не хочет проблем в своей жизни. Это хорошая иллюстрация принципа сообщения минимальной информации, который я обсуждал в деталях в статье «Фундаментальные принципы информационной безопасности: Принцип сообщения минимальной информации» (http://pomyslivden.blogspot.ca/2015/06/blog-post_30.html).

В этом фильме есть также примеры принципа минимальных привилегий по умолчанию. Имеются в виду, конечно, привилегии доступа к информации. Суть его состоит в том, что доступ к конфиденциальной информации должен быть по умолчанию нулевым. Иначе говоря, людям, которым нет дела до тайны, не должны ее знать. Права доступа предоставляются в зависимости от обязанностей работников, и обеспечиваются в информационных системах как бы от полного запрета в направлении к их ослаблению, нежели наоборот (то есть от полного доступа в сторону его ограничения).

Команда Тюринга работала на «радио-фабрике» Блечли-парк в Лондоне, эту работу поддерживало множество других позиций: радисты, полицейские и т.д. У каждой из этих групп был свой доступ к тайне, каковой был смысл работы Блечли-парка: дешифровка немецкого кода Энигма. Однако полностью об этой тайне знали только Тюринг и его сотрудники. У полицейских была задача охранять подступы к Блечли-парку от неавторизованного доступа. У радистов была задача записывать немецкие закодированные сообщения и передавать их по назначению. В конце концов эти сообщения попадали к команде Тюринга, которая и работала над их дешифровкой. Ни полицейским, ни радистам не было нужды знать, что конкретно делает эта команда, они должны лишь были четко выполнять свои обязанности. По отношению к людям с улицы они знали немного больше о том, что происходит в Блечли-парке, но по отношению к команде Тюринга – гораздо меньше. Таким образом, доступ к тайне в Блечли-парке осуществлялся в направлении от полного запрета к ослаблению.

Предоставление всем полного доступа к информации, а затем его ограничение в зависимости от ролей, было бы полной катастрофой. Это все равно, как если бы всем сотрудникам Блечли-парка сообщили все детали проекта по дешифровке Энигмы, а затем потребовали бы подписать документ о неразглашении военной тайны. Зачем всем сообщать детали военной операции? Кто-то вообще ничего не поймет, кто-то поймет, но будет молчать о военной тайне, но кто-то обязательно проговорится – случайно или намеренно. Тайна стала бы достоянием гласности, и проект по дешифровке Энигмы бы провалился.

Поэтому доступ к любой конфиденциальной информации должен начинаться с нуля, то есть с полного отказа в доступе. В зависимости от сути выполняемых задач сотрудникам должен быть предоставлен доступ к конфиденциальной информации, им должна быть приоткрыта тайна – но только в той ее части, которая имеет непосредственное отношение к выполняемой ими задаче. В Блечли-парке работал, кстати, советский шпион. Его доступ, согласно принципу минимальных привилегий, должен был быть нулевым. Однако благодаря обману он смог получить позицию в команде Тюринга и передавать тайно информацию о работе по дешифровке Энигмы в СССР. Принцип минимальных привилегий был нарушен и возник неучтенный доступ.

Дома мы настраиваем свои компьютеры так, чтобы у хозяина, то есть у администратора был полный доступ к ресурсам, у гостей – другой, а у детей – третий (о детских настройках я подробно писал в статье «Как обеспечить безопасность детям в Интернете», http://pomyslivden.blogspot.ca/2014/11/blog-post_18.html). На рабочем месте, одним из самых распространенных нарушений является нарушение в доступе, когда из-за ошибки администратора сотрудники начинают «видеть» слишком много в информационной системе. Наличие хорошей программы по информационной безопасности поможет сотрудникам распознать чрезмерный доступ, а затем быстро и правильно сообщить о нем администратору. Для того, чтобы сотрудники смогли распознавать подобного рода вещь не как «прикол», а как риск, конечно же, нужно много образовательных усилий.

При этом, слишком мало доступа не является проблемой информационной безопасности, хотя это проблема операционная. Здесь имеется риск, скажем, недовыполнения сотрудником части работы или невысокое качество произведенного им результата. Риск информационной безопасности возникает, когда этого доступа становится слишком много, и сотрудники узнают больше, чем они должны знать. Возникает неучтенность доступа. Если такой «неучтенный» человек пойдет и продаст конфиденциальную информацию конкурентам, его будет гораздо сложнее вычислить, чем в кругу тех, кто имеет право на доступ.

Под этот принцип также подпадает необходимость лишать доступа к системе тех, кто покидает организацию. Большой риск создают ситуации, когда сотрудник уже уволился, но из-за административного недосмотра продолжает иметь доступ к ресурсам организации. Теперь этот бывший сотрудник абсолютно неподконтролен начальству, и может делать все, что ему вздумается без особых для себя неприятных последствий.