Шаблон предназначен для одновременного контроля состояния безопасности системы, и состояний, связанных с бизнес-логикой выполняемой системой функции, с принудительным переводом системы в гарантированно безопасное состояние при необходимости.
Типовые цели безопасности при применении шаблона включают сохранение гарантированно безопасного состояния системы (состояния по умолчанию) при выполнении функции системы.
Пример поддержания гарантированно безопасного состояния при выполнении бизнес-функции: при выполнении функции обновления ПО системы применение шаблона должно гарантировать безопасность (целостность и аутентичность) образов обновления либо отказ в выполнении обновления. Гарантированно безопасным состоянием в этом случае является отказ (невыполнение) обновления и сохранение текущего состояния системы в противовес некорректному или зловредному обновлению.
Другим примером поддержания гарантированно безопасного состояния является отключение небезопасных функций работы с файлами, полученными из внешних источников, до явного указания пользователем факта доверия каждому из этих файлов. Если ПО, в которое загружен недоверенный файл сложного формата (документ, таблица, изображение), инициирует потенциально вредоносные действия (запуск скрипта, исполняемого файла, обращение к ресурсам), то эти действия будут заблокированы.
Предположения безопасности включают:
Предположения и условия, при которых шаблон не может быть применен: невозможность останова выполнения бизнес-функции внешним механизмом или вмешательства в выполнение функции для обеспечения гарантированно безопасного состояния.
Шаблон описывает способ защиты, аналогичный реализации противоаварийной защиты промышленных установок при помощи отдельно стоящих приборных систем безопасности. Обязательным условием построения такой системы является вывод контролируемого установкой процесса в результате её срабатывания в безопасное состояние «по умолчанию». Как правило, устройства, составляющие противоаварийную защиту, создают такие управляющие воздействия, которые должны остановить нежелательное развитие событий с точки зрения функциональной безопасности. Схожим образом, выделенный элемент системы должен обеспечивать поддержание состояния информационной безопасности согласно значениям контролируемых параметров бизнес-функции и при необходимости останавливать выполнение бизнес-функции либо не давать сигнал на ее выполнение/продолжение.
Элементы системы, реализующей шаблон:
Взаимодействие элементов шаблона представлено на рисунке 1.
Допускается вариант реализации шаблона, в котором перевод в безопасное состояние системы заменяется на разрешение выполнения бизнес-функции. В этом случае элемент системы, реализующий бизнес-функцию, остается в состоянии «по умолчанию» до получения такого разрешения.
Пример конкретного применения шаблона к функции обновления системы показан на рисунке 2.
Элементы системы, реализующей шаблон:
При выполнении обновления элемент системы, реализующий контроль целостности, применяет к полученным данным правила проверки целостности и аутентичности полученных образов для обновления. При успешной проверке элемент, выполняющий обновление, получает сигнал на выполнение, в противном случае (в том числе в случае сбоя при проверке) система остается в безопасном состоянии.
Выделение компонента, осуществляющего проверку, позволяет снизить возможность компрометации бизнес-функции через атаку отказа в обслуживании на функцию проверки безопасности.
Необходимо обеспечить аутентичность, целостность и доступность канала, используемого для перевода в безопасное состояние, для исключения подделки данных и атаки «человек посередине». Гарантии аутентичности, целостности и доступности канала передачи данных могут быть предоставлены на низком уровне относительно реализации шаблона.
Необходимо реализовать подходы к обеспечению корректности контроля состояния безопасности, в первую очередь методические и кооперационные подходы, обеспечивающие безопасность и корректность работы программного кода компонента, реализующего контроль состояния безопасности.
Применение шаблона может быть ограничено в системах с требованиями к выполнению в реальном времени, а также в системах с повышенными требованиями к функциональной безопасности и надежности вследствие необходимости обработки данных и возможного изменения данных, что потенциально может повлиять на выполнение упомянутых требований.
Допустимо реализовать несколько элементов системы, реализующих контроль состояния безопасности по различным параметрам, обеспечив запрет выполнения бизнес-функции по каждому каналу перевода в безопасное состояние и усилив тем самым контроль;
Допустимо реализовать несколько элементов системы, реализующих контроль состояния безопасности по различным параметрам, обеспечив выполнение бизнес-функции по одновременному разрешению от двух или более компонентов (реализация принципа разделения обязанностей).
Допустимость модификаций, не входящих в указанный перечень, должна быть обоснована при проектировании архитектуры и формировании требований, предъявляемых к системе на основе целей и предположений безопасности для этой системы.
