Заметка Дэвида Розенталя (David Rosenthal – на фото) была опубликована на его блоге (DSHR's Blog) 4 сентября 2012 года.
Известный американский специалист, сотрудник Библиотеки Стенфордского университета д-р Розенталь был одним из инициаторов проекта LOCKSS (от Lots of Copies Keep Stuff Safe - «Множество копий гарантирует сохранность»), осуществляемого Стенфордским университетов с целью создания системы с открытым кодом, позволяющей библиотекам собирать, сохранять и предоставлять читателям доступ к материалам, опубликованным в Интернете. В настоящее время он занимается в рамках проекта экономическими моделями обеспечения долговременной сохранности электронных материалов.
На этой неделе мне пришлось заниматься анализом предлагаемой технической архитектуры электронного архива. Похоже, что в такого рода предложения никогда не включаются модели угроз, от которых данные должны быть защищены. Данный проект не стал исключением.
Остается загадкой, как люди могут проектировать системы, не указав точно, что система должна делать. В 2005 году комитет американского Национального совета по науке (National Science Board) подготовил отчет об усилиях Национальных Архивов США (National Archives and Records Administration, NARA) по проектированию «Архива электронных документов» (Electronic Records Archive, ERA) (см. «Создание Архива электронных документов в Национальных Архивах: Рекомендации относительно долгосрочной стратегии» (Building an Electronic Records Archive at the National Archives and Records Administration: Recommendations for a Long-Term Strategy), http://www.nap.edu/catalog.php?record_id=11332 ), в котором отмечалось:
«Крайне важно, чтобы предложения по архитектуре системы ERA были проанализированы с учетом модели угроз, - для того, чтобы получить представление о степени уязвимости для атак различных вариантов архитектуры».В том же году группа LOCKSS опубликовала модель угроз, используемую ею при проектировании системы LOCKSS (см. «Требования к системам обеспечения долговременной сохранности электронных материалов. Подход «снизу-вверх»» (Requirements for Digital Preservation Systems. A Bottom-Up Approach), http://www.dlib.org/dlib/november05/rosenthal/11rosenthal.html ). Несмотря на эти примеры семилетней давности, складывается такое впечатление, что все вокруг уверены в том, что угрозы для хранимых данных так хорошо поняты и общеизвестны, что нет необходимости указывать их, они могут просто подразумеваться.
Вот четырехлетней давности история, служащая примером угрозы, которой должны остерегаться бумажные архивы (статья в британской газете «Гардиан» (Guardian) от 45 мая 2008 года «29 подделок, на основе которых пытались переписать историю», http://www.guardian.co.uk/uk/2008/may/05/nationalarchives.secondworldwar ). Историк Мартин Аллен (Martin Allen) опубликовал книгу, содержавшую сенсационные обвинения герцога Виндзорского в поддержке нацистов. Она была основана на «неизвестных ранее документах» из британских Национальных Архивов, но:
«... проведенное Национальными Архивами расследование того, каким образом поддельные документам оказались в делах … раскрыло в полной мере масштабы мошенничества. Было выявлено 29 поддельных документов, подложенных в период между 2000 и 2005 годами в 12 различных дел, и позднее использованных для обоснования выдвинутых Алленом обвинений».Способна ли Ваша система обеспечения электронной сохранности предотвратить или хотя бы обнаружить такого рода угрозу? Сможет ли Ваша система заметить угрозу, если злоумышленник будет обладать правами администратора? Проект системы, который я анализировал, определенно не проходит второй их этих двух тестов, поскольку злоупотребление со стороны инсайдера не являлось частью используемой авторами по умолчанию модели угроз. Если бы проектировщики нашли время на то, чтобы записать свою модель угроз (возможно, используя нашу публикацию в качестве прототипа), они бы либо исправили этот пробел, либо дали бы объяснения, каким образом они могут гарантировать одновременно непогрешимость и неподкупность системных администраторов.
Мой комментарий: Я перевела эту заметку, поскольку всё ближе подходит тот момент, когда какой-либо из высших руководителей страны, наконец, скажет «Электронным архивам быть!». Для государственных электронных архивов вопросы информационной безопасности встанут куда острее, чем для «обычных» информационных систем: ведь при удачной атаке на архивную систему может быть искажена история страны…
Дэвид Розенталь (David Rosenthal)
Источник: DSHR's Blog
http://blog.dshr.org/2012/09/threat-models-for-archives.html
Комментариев нет:
Отправить комментарий