Белов Е.Б., Лось В.П и др. Основы информационной безопасности

Подождите немного. Документ загружается.

• при выдаче и приемке носителей должна осуществляться проверка

личности получающего (сдающего) и его санкции на получение (сда-

чу) этих носителей;

• должны быть предусмотрены возможности аварийного уничтожения

информации на носителях, находящихся в хранилищах.

7. В устройствах подготовки данных:

• защищаемая информация должна находиться только в течение вре-

мени ее подготовки;

• устройства подготовки должны быть размещены так, чтобы исклю-

чались возможности просмотра обрабатываемой информации со

стороны;

• а специальных регистрационных журналах должны фиксироваться

время обработки информации, исполнители, идентификаторы ис-

пользованных носителей, и возможно, другие необходимые данные;

• распределение работ между операторами должно быть таким, чтобы

минимизировать осведомленность их о содержании обрабатываемой

информации;

• должны быть предусмотрены возможности аварийного уничтожения

информации, находящейся в подразделениях подготовки данных.

8. Требования к защите информации, обусловливаемые территори-

альной распределенностью автоматизированной системы обработки дан-

ных, заключаются в следующем:

• в компактных автоматизированных системах обработки данных

(размещенных в одном помещении) достаточно организовать и обес-

печить требуемый уровень защиты в пределах того помещения, в ко-

тором размещены элементы автоматизированной системы обработки

данных;

• в слабораспределенных автоматизированных системах обработки

данных (размещенных в нескольких помещениях, но на одной и той

же территории) дополнительно к предыдущему должна быть обеспе-

чена требуемая защита информации в линиях связи, с помощью ко-

торых сопрягаются элементы автоматизированной системы обработ-

ки данных, расположенные в различных помещениях, для чего долж-

ны быть или постоянный контроль за этими линиями связи, или

исключена передача по ним защищаемой информации в явном виде;

• в сильнораспределенных автоматизированных системах обработки

данных (размещенных на нескольких территориях) дополнительно

к предыдущему должна быть обеспечена требуемая защита инфор-

мации в линиях связи большой протяженности, что может быть дос-

тигнуто предупреждением передачи по ним защищаемой информа-

ции в открытом виде.

Требования, обусловливаемые видом защищаемой информации, мо-

гут быть сформулированы в таком виде:

1. К защите документальной информации предъявляются следующие

требования:

• должна обеспечиваться защита как оригиналов документов, так

и сведений о них, накапливаемых и обрабатываемых в автоматизиро-

ванной системе обработки данных;

• применяемые средства и методы защиты должны выбираться с уче-

том необходимости обеспечения доступа пользователям различных

категорий:

■ персонала делопроизводства и библиотеки оригиналов;

■ специалистов подразделения первичной обработки документов;

■ специалистов функциональных подразделений автоматизируемых

органов.

2. При обработке фактографической быстроменяющейся информации

должны учитываться следующие требования:

• применяемые средства и методы защиты не должны существенно

влиять на оперативность обрабатываемой информации;

• применяемые средства и методы защиты должны выбираться с уче-

том обеспечения доступа к защищаемой информации строго ограни-

ченного круга лиц.

3. К защите фактографической исходной информации предъявляются

следующие требования:

• каждому пользователю должны быть обеспечены возможности фор-

мирования требований к защите создаваемых им массивов данных

в пределах предусмотренных в автоматизированной системе обра-

ботки данных возможностей защиты;

• в системе защиты должны быть предусмотрены средства, выбирае-

мые и используемые пользователями для защиты своих массивов по

своему усмотрению.

4. К защите фактографической регламентной информации предъяв-

ляются следующие требования:

• применяемые средства и методы защиты должны быть рассчитаны

на длительную и надежную защиту информации;

• должен обеспечиваться доступ (в пределах полномочий) широкого

круга пользователей;

• повышенное значение приобретают процедуры идентификации, опо-

знавания, проверки полномочий, регистрации обращений и контроля

выдачи.

Требования, обусловливаемые технологическими схемами автомати-

зированной обработки информации, сводятся к тому, что в активном со-

стоянии автоматизированной системы обработки данных должна обеспе-

чиваться защита на всех технологических участках автоматизированной

обработки информации и во всех режимах.

С точки зрения организации вычислительного процесса в автомати-

зированной системе обработки данных требуемая защита должна обеспе-

чиваться при любом уровне автоматизации обработки информации, при

всех способах взаимодействия пользователей со средствами автоматиза-

ции и при всех режимах работы комплексов средств автоматизации.

Специфические требования к защите для различных уровней автома-

тизации обработки информации состоят в следующем:

• при автономном решении отдельных задач или их комплексов ос-

новными макропроцессами автоматизированной обработки, в ходе

которых должен обеспечиваться необходимый уровень защиты, яв-

ляются:

■ сбор, подготовка и ввод исходных данных, необходимых для ре-

шения задач;

■ машинное решение задач в автономном режиме;

■ выдача результатов решения;

• в случае полусистемной обработки дополнительно к предыдущему

на участках комплексной автоматизации должна быть обеспечена

защита в ходе осуществления следующих макропроцессов:

■ автоматизированного сбора информации от датчиков и источни-

ков информации;

■ диалогового режима работы пользователей ЭВМ;

• в случае системной обработки дополнительно к предыдущему долж-

на быть обеспечена защита в ходе таких макропроцессов:

■ приема потока запросов и входной информации;

■ формирования пакетов и очередей запросов;

■ диспетчеризации в ходе выполнения запросов;

■ регулирования входного потока информации.

В зависимости от способа взаимодействия пользователя с комплек-

сом средств автоматизации предъявляются следующие специфические

требования:

• при автоматизированном вводе информации должны быть обеспече-

ны условия, исключающие несанкционированное попадание инфор-

мации одного пользователя (абонента) в массив другого, причем

должны быть обеспечены возможности фиксирования и докумен-

тального закрепления момента передачи информации пользователя

банку данных автоматизированной системы обработки данных и со-

держания этой информации;

• при неавтоматизированном вводе должна быть обеспечена защита на

неавтоматизированных коммуникациях «пользователь - автоматизи-

рованная система обработки данных», на участках подготовки дан-

ных и при вводе с местных устройствах группового ввода-вывода;

• при пакетном выполнении запросов пользователей должно исклю-

чаться размещение в одном и том же пакете запросов на обработку

информации различных ограничительных грифов;

• при обработке запросов пользователей в реальном масштабе времени

данные, поступившие от пользователей, и данные, подготовленные

для выдачи пользователям, в ЗУ автоматизированной системы обра-

ботки данных должны группироваться с ограничительным грифом,

при этом в каждой группе должен быть обеспечен уровень защиты,

соответствующий ограничительному грифу данной группы.

В зависимости от режимов функционирования комплексов средств

автоматизации предъявляются следующие специфические требования:

• в однопрограммном режиме работы в процессе выполнения про-

граммы должны предупреждаться:

■ несанкционированное обращение к программам;

■ несанкционированный ввод данных для решаемой задачи;

■ несанкционированное прерывание выполняемой программы;

■ несанкционированная выдача результатов решения;

• в мультипрограммном режиме сформулированные раньше требова-

ния относятся к каждой из выполняемых программ и дополнительно

должно быть исключено несанкционированное использование дан-

ных одной программы другой программой;

• в мультипроцессорном режиме сформулированные выше требования

должны обеспечиваться одновременно во всех участвующих в реше-

нии задачи процессорах, кроме того, должно быть исключено не-

санкционированное вклинивание в вычислительный процесс при

распараллеливании и при диспетчеризации мультипроцессорного

выполнения программ.

Требования, обусловливаемые этапом жизненного цикла автоматизи-

рованной системы обработки данных, формулируются так:

• на этапе создания автоматизированной системы обработки данных

должно быть обеспечено соответствие возможностей защиты требо-

ваниям к защите информации, сформулированным в задании на про-

ектирование, кроме того, должно быть исключено несанкциониро-

ванное включение элементов (блоков) в компоненты автоматизиро-

ванной системы обработки данных (особенно системы защиты);

• на этапе функционирования автоматизированной системы обработки

данных в пассивном ее состоянии должна быть обеспечена надежная

защита хранящейся информации и исключены возможности несанк-

ционированных изменений компонентов системы;

• на этапе функционирования автоматизированной системы обработки

данных в активном ее состоянии дополнительно к сформулирован-

ным раньше требованиям должна быть обеспечена надежная защита

информации во всех режимах автоматизированной ее обработки.

Так могут быть представлены общие рекомендации по формирова-

нию требований к защите информации. Нетрудно видеть, что приведен-

ные раньше требования хотя и содержат полезную информацию, но не-

достаточны для выбора методов и средств защиты информации в кон-

кретной автоматизированной системе обработки данных.

Последовательность решения задачи должна быть следующей.

1. Разработка методов оценки параметров защищаемой информации.

2. Формирование перечня и классификация факторов, влияющих на

требуемый уровень защиты информации.

3. Структуризация возможных значений факторов.

4. Структуризация поля потенциально возможных вариантов сочетаний

значений факторов (вариантов условий защиты).

5. Оптимальное деление поля возможных вариантов на типовые классы.

6. Структурированное описание требований к защите в пределах выде-

ленных классов.

Безопасность информации - это состояние

защищенности информации, обрабатываемой

средствами вычислительной техники

или автоматизированной системы,

от внутренних и внешних угроз.

Руководящие документы ФСТЭК

8. Анализ существующих методик определения

требований к защите информации

Проблема определения требований к защите информации в автомати-

зированных системах ее обработки возникла практически одновременно

с самой проблемой защиты, т. е. когда средства электронно-вычисли-

тельной техники (ЭВТ) стали применяться для обработки конфиденци-

альной информации. При этом оказалось, что для ее решения нет сколь-

ко-нибудь адекватного аналога, поскольку в условиях бумажной инфор-

матики вопросы защиты информации решались преимущественно орга-

низационными средствами. Система защиты строилась таким образом,

чтобы возможности несанкционированного получения защищаемой ин-

формации практически были исключены. В условиях же автоматизиро-

ванной обработки существует большое количество таких каналов не-

санкционированного получения информации, которые не могут быть пе-

рекрыты без применения специфических технических и программно-

аппаратных средств. Соответственно возникла необходимость определе-

ния требований к системам защиты, содержащим указанные средства.

Задача оказалась достаточно сложной, в силу чего регулярная методика

ее решения до настоящего времени не разработана.

В сложившейся ситуации наиболее подходящим оказался подход, ос-

нованный на выделении некоторого количества типовых систем защиты

с четким обозначением тех механизмов защиты, которые должна содер-

жать каждая из типовых систем, и разработке рекомендаций по их ис-

пользованию.

Для оценки реального состояния безопасности информационной сис-

темы применяются различные критерии. Анализ отечественного и зару-

бежного опыта показал определенную общность подхода к определению

состояния безопасности в разных странах. Ее сущность состоит в сле-

дующем. Для предоставления пользователю возможности оценки вводит-

ся некоторая система показателей и задается иерархия классов безопас-

ности. Каждому классу соответствует определенная совокупность обяза-

тельных функций. Степень реализации выбранных критериев показывает

текущее состояние безопасности. Последующие действия сводятся к

сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система

безопасности считается надежной и не требует дополнительных мер. Та-

кую систему можно отнести к классу систем с полным перекрытием уг-

роз и каналов утечки информации. В противном случае система безопас-

ности нуждается в дополнительных мерах защиты.

Показатель защищенности ИС - характеристика средств системы,

влияющая на защищенность и описываемая определенной группой тре-

бований, варьируемых по уровню и глубине в зависимости от класса за-

щищенности.

Рассмотрим некоторые подходы к оценке безопасности ИС.

8.1. Требования к безопасности информационных

систем в США

Вопросами стандартизации и разработки нормативных требований

на защиту информации в США занимается Национальный центр компь-

ютерной безопасности Министерства обороны США (NCSC - National

Computer Security Center).

Этот центр в 1983 г. издал «Критерии оценки безопасности компью-

терных систем» (Trasted Computer Systems Evaluation Criteria - TCSEC).

Этот документ часто называют «Оранжевой книгой». Данная разработка

широко использовалась вплоть до принятия международного стандарта

по безопасности информационных технологий ISO 15408. «Оранжевая

книга» была утверждена в 1985 г. в качестве правительственного стан-

дарта. Она содержит основные требования и специфицирует классы для

оценки уровня безопасности компьютерных систем. Используя эти кри-

терии, NCSC тестирует эффективность механизмов контроля безопасно-

сти. Следует подчеркнуть, что критерии делают безопасность величиной,

допускающей ее измерение, и позволяют оценить уровень безопасности

той или иной системы. Подобная возможность эмпирического анализа

степени безопасности систем привела к международному признанию фе-

дерального стандарта США. NCSC считает безопасной систему, которая

«посредством специальных механизмов защиты контролирует доступ

к информации таким образом, что только имеющие соответствующие

полномочия лица или процессы, выполняющиеся от их имени, могут по-

лучить доступ на чтение, запись, создание или удаление информации».

Стандарт США «Критерии оценки гарантированно защищенных

вычислительных систем в интересах Министерства обороны США».

Наиболее известным документом, четко определяющим критерии,

по которым должна оцениваться защищенность вычислительных систем,

и те механизмы защиты, которые должны использоваться в системах об-

работки секретной конфиденциальной - в более общей постановке ин-

формации, является так называемая «Оранжевая книга», представляющая

собой стандарт США «Критерии оценки гарантированно защищенных

вычислительных систем в интересах Министерства обороны США»

(Trusted Computer Systems Evaluation Criteria - TCSEC), принятый в 1983

г. Его принятию предшествовали 15-летние исследования, проводившие-

ся специально созданной рабочей группой и Национальным бюро стан-

дартов США.

Стандартом предусмотрено 6 фундаментальных требований, которым

должны удовлетворять те вычислительные системы, которые использу-

ются для обработки конфиденциальной информации. Требования разде-

лены на три группы: стратегия, подотчетность, гарантии - в каждой

группе по два требования следующего содержания:

1. Стратегия

Требование 1 - стратегия обеспечения безопасности: необходимо иметь

явную и хорошо определенную стратегию обеспечения безопасности.

Требование 2 - маркировка: управляющие доступом метки должны

быть связаны с объектами.

2. Подотчетность

■

Требование 3 - идентификация: индивидуальные субъекты должны

идентифицироваться.

Требование 4 - подотчетность: контрольная информация должна

храниться отдельно и защищаться так, чтобы со стороны ответственной

за это группы имелась возможность отслеживать действия, влияющие

на безопасность.

3. Гарантии

Требование 5 - гарантии: вычислительная система в своем составе

должна иметь аппаратные/программные механизмы, допускающие неза-

висимую оценку на предмет достаточного уровня гарантий того, что сис-

тема обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.

Требование 6 - постоянная защита: гарантированно защищенные

механизмы, реализующие перечисленные требования, должны быть по-

стоянно защищены от «взламывания» и/или несанкционированного вне-

сения изменений.

В зависимости от конкретных значений, которым отвечают автомати-

зированные системы, они разделены на 4 группы - D, С, В, А, которые

названы так:

• D - минимальная защита;

• С - индивидуальная защита;

• В - мандатная защита;

• А - верифицированная защита.

Группы систем делятся на классы, причем все системы, относимые

к группе D, образуют один класс D, к группе С - два класса С1 и С2,

к группе В - три класса В1, В2 и В3, к группе А - один класс А1 с выде-

лением части систем вне класса.

Ниже рассмотрим названия и краткую характеристику перечислен-

ных классов.

• D - минимальная защита - системы, подвергнутые оцениванию,

но не отвечающие требованиям более высоких классов.

• С1 - защита, основанная на индивидуальных мерах, - системы, обес-

печивающие разделение пользователей и данных. Они содержат

внушающие доверие средства, способные реализовать ограничения

по доступу, накладываемые на индивидуальной основе, т. е. позво-

ляющие пользователям иметь надежную защиту их информации

и не дающие другим пользователям считывать или разрушать их

данные. Допускается кооперирование пользователей по уровням сек-

ретности.

• С2 - защита, основанная на управляемом доступе, - системы, осуще-

ствляющие не только разделение пользователей, как в системах С1,

но и разделение их по осуществляемым действиям.

• В1 - защита, основанная на присваивании имен отдельным средствам

безопасности, - системы, располагающие всеми возможностями сис-

тем класса С, и дополнительно должны быть формальные модели

механизмов обеспечения безопасности, присваивания имен защи-

щаемым данным, включая и выдаваемые за пределы системы, и сред-

ства мандатного управления доступом ко всем поименованным субъ-

ектам и объектам.

• В2 - структурированная защита - системы, построенные на основе

ясно определенной и формально задокументированной модели,

с мандатным управлением доступом ко всем субъектам и объектам,

располагающие усиленными средствами тестирования и средствами

управления со стороны администратора системы.

• В3 - домены безопасности - системы, монитор обращений которых

контролирует все запросы на доступ субъектов к объектам, не допус-

кающие несанкционированных изменений. Объем монитора должен

быть небольшим вместе с тем, чтобы его состояние и работу можно

было сравнительно легко контролировать и тестировать. Кроме того,

должны быть предусмотрены сигнализация о всех попытках несанк-

ционированных действий и восстановление работоспособности сис-

темы.

• А1 - верификационный проект - системы, функционально эквива-

лентные системам класса В3, но верификация которых осуществлена

строго формальными методами. Управление системой осуществляет-

ся по строго определенным процедурам. Обязательно введение ад-

министратора безопасности.

Эти основные требования конкретизируются в показателях защи-

щенности, которые приведены в табл. 2.13.

Таблица 2.13. Показатели защищенности ИС на основе технологии IBM

Показатель защищенности

А1

ВЗ В2 В1

С2 С1

Наименование

подгруппы

показателей

Избирательная политика

безопасности

+ +

Полномочная политика

безопасности

Повторное использование

объектов

Изоляция модулей

Маркировка документов

Защита ввода и вывода на

отчуждаемый физический

носитель информации

Политика

безопасности

Сопоставление пользователя

с устройством

Избирательный контроль

доступа

Мандатный контроль доступа

Указатели метки

Указатели целостности