Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

Согласно ФЗ «О банках и банковской деятельности» за разгла-

шение банковской тайны Банк России (организация, осуществ-

ляющая функции по обязательному страхованию вкладов), кре-

дитные, аудиторские и иные организации, уполномоченный орган,

осуществляющий меры по противодействию легализации (отмы-

ванию) доходов, полученных преступным путем, а также их дол-

жностные лица и работники несут ответственность, включая воз-

мещение нанесенного ущерба, в порядке, установленном феде-

ральным законом.

Организация, осуществляющая функции по обязательному стра-

хованию вкладов, не вправе раскрывать третьим лицам информа-

цию, полученную в соответствии с федеральным законом о стра-

ховании вкладов физических лиц в банках Российской Федера-

ции.

Специальные требования по криптографической защите ин-

формации устанавливаются уполномоченным органом. В соответ-

ствии с Указом Президента РФ «Вопросы Федеральной службы

безопасности Российской Федерации», таким органом в настоя-

щее время является ФСБ РФ. Основополагающим документом, в

котором изложены требования по криптографической защите

информации, является «Положение о разработке, производстве,

реализации и эксплуатации шифровальных (криптографических)

средств защиты информации (ПКЗ-2005)».

Требования по технической защите информации от утечки по

каналам ПЭМИН и технической защите речевой информации

задаются в СТР-К и закрытых документах.

Требования по защите информации от НСД в АС могут зада-

ваться перечнем механизмов защиты информации, которые необ-

ходимо иметь в АС, чтобы она соответствовала определенному

классу защиты. Используя такие документы, можно оценить эф-

фективность КСЗИ. В этом случае критерием эффективности

КСЗИ

является полнота выполнения всех требований.

Несомненным достоинством таких классификаторов (стандар-

тов) является простота использования. Основным недостатком

официального подхода к определению эффективности систем за-

щиты является то, что эффективность конкретного механизма за-

щиты не определяется, а констатируется лишь факт его наличия

или отсутствия. Этот недостаток в какой-то мере компенсируется

заданием в некоторых документах достаточно подробных требо-

ваний к указанным механизмам защиты.

В Российской Федерации в настоящее время имеются две не-

зависимые системы задания требований и оценки соответствия

информационных технологий требованиям безопасности инфор-

мации. Наиболее распространена оценка соответствия АС требо-

ваниям Руководящего документа РД АС, СВТ — требованиям РД

СВТ, межсетевых экранов — требованиям РД МСЭ, которые можно

370

скачать

сайта ФСТЭК России

www.fstec.ru.

Кроме того,

рамках

этого подхода

для

некоторых классов программного обеспечения

устанавливается необходимость соответствия уровням контроля,

задаваемым

в РД

НДВ,

который также можно скачать

указанно-

го сайта.

Так как мы

предполагаем,

что при

создании КСЗИ

ис-

пользуются готовые программные средства, требования данного

документа

книге

не

рассматриваются.

Вторая система задания требований безопасности информации

и оценки соответствия

им

основана

на

ГОСТ

15408

—

2002

доку-

ментах ФСТЭК, выпущенных

в его

развитие.

Как

правило,

все

эти документы «новой» нормативной базы являются аутентичны-

ми переводами зарубежных документов, отчасти

уже

устаревших.

19.3.

Требования

РД СВТ и РД АС

РД

СВТ устанавливается семь классов защищенности средств

вычислительной техники (СВТ)

от

НСД

информации (табл.

19.1).

Самый низкий класс

—

седьмой, самый высокий

—

первый.

Классы подразделяются

на

четыре группы, отличающиеся

ка-

чественным уровнем защиты:

• первая группа содержит только один седьмой класс;

• вторая группа характеризуется дискреционной защитой

и со-

держит шестой

пятый классы;

• третья группа характеризуется мандатной защитой

содер-

жит четвертый, третий

второй классы;

• четвертая группа характеризуется верифицированной защи-

той

содержит только первый класс.

Седьмой класс присваивают

СВТ, к

которым предъявлялись

требования

по

защите

от НСД к

информации,

но при

оценке

защищенность

СВТ

оказалась ниже уровня требований шестого

класса.

В руководящем документе

РД АС

приведены требования

к за-

щищенности автоматизированных систем.

отличие

от СВТ ав-

томатизированные системы функционально ориентированы.

При

создании

АС

учитываются особенности пользовательской инфор-

мации, технология обработки, хранения

передачи информации,

конкретные модели нарушителя.

Устанавливается девять классов защищенности

АС от НСД к

информации. Классы подразделяются

на три

группы, отличаю-

щиеся особенностями обработки информации

АС.

третью груп-

пу входят АС,

которых имеется один пользователь, допущенный

ко всей информации АС, размещенной

на

носителях одного уровня

конфиденциальности. Группа содержит

два

класса

— ЗБ и ЗА. Во

вторую группу сведены многопользовательские

АС,

пользователи

которых имеют одинаковые права доступа

ко

всей информации

Таблица 19.1. Показатели защищенности по классам СВТ

Показатель

1. Дискреционный принцип

контроля доступа

2. Мандатный принцип контроля

доступа

3. Очистка памяти

4. Изоляция модулей

5. Маркировка документов

6. Защита ввода и вывода

на

отчуяадаемый

физический

носитель информации

7. Сопоставление пользователя

с устройством

8. Идентификация и аутентификация

9. Гарантия проектирования

10. Регистрация

11.

Взаимодействие пользователя

КСЗ

12. Надежное восстановление

13.

Целостность КСЗ

14. Контроль модификации

15. Контроль дистрибуции

16. Гарантии архитектуры

17. Тестирование

18. Руководство пользователя

19. Руководство по КСЗ

20. Текстовая документация

21.

Конструкторская (проектная)

документация

Класс защищенности

6-й

—

5-й

—

4-й

3-й

2-й

1-й

•

Обозначения. «-» — нет требований к данному классу; «+» — новые или

дополнительные требования; «=» — требования, совпадающие с требованиями к

СВТ предыдущего класса; КСЗ — комплекс средств защиты.

372

АС.

Группа содержит два класса — 2Б и 2А. Первую группу со-

ставляют многопользовательские АС, в которых пользователи

имеют разные права доступа к информации. Группа включает пять

классов — 1Д,

1Г,

1В.

1Б,

1А.

Для обработки конфиденциальной информации в последнем

случае разрешается использовать АС классов 1Д, 1Г.

Требования к классам защищенности АС сведены в табл.

19.2.

Для примера целесообразно рассмотреть подробно требования

к одному из классов защищенности, позволяющих обрабатывать

конфиденциальную информацию, а именно к классу 1Д.

•

Подсистема управления доступом должна обеспечивать иден-

тификацию и проверку подлинности субъектов доступа при входе

в систему по паролю условно-постоянного действия длиной не

менее шести буквенно-цифровых символов.

• Подсистема регистрации и учета должна осуществлять

регистрацию входа (выхода) субъектов доступа в систему (из си-

стемы) либо регистрацию загрузки и инициализации операци-

онной системы и ее программного останова. Регистрация выхо-

да из системы или останова не проводится в моменты аппара-

турного отключения АС. В параметрах регистрации указывают-

ся: дата и время входа (выхода) субъекта доступа в систему (из

системы) или загрузки (останова) системы; результат попытки

входа: успешная или неуспешная

—

несанкционированная; иден-

тификатор (код или фамилия) субъекта, предъявленный при по-

пытке доступа.

Учет всех защищаемых носителей информации должен прово-

диться с помощью их маркировки и занесением учетных данных в

журнал (учетную карточку), учет защищаемых носителей

—

в жур-

нале (картотеке) с регистрацией их выдачи (приема).

•

Подсистема обеспечения целостности должна обеспечивать

целостность программных средств СЗИ НСД, обрабатываемой

информации, а также неизменность программной среды. Целост-

ность СЗИ НСД проверяется при загрузке системы по контрольным

суммам компонент СЗИ. Целостность программной среды обес-

печивается использованием трансляторов

языков высокого уровня

и отсутствием средств модификации объектного кода программ в

процессе обработки и (или) хранения защищаемой информации.

Физическая охрана СВТ (устройств и носителей информации)

предусматривает контроль доступа в помещения АС посторонних

лиц, наличие надежных препятствий для несанкционированного

проникновения в помещения АС и хранилище носителей инфор-

мации, особенно в нерабочее время. Тестирование функций СЗИ

НСД при изменении программной среды и персонала АС с помо-

щью тест-программ, имитирующих попытки НСД, проводят пе-

риодически. Следят за наличием средств восстановления СЗИ

НСД, предусматривающих ведение двух копий программных

373

Таблица 19.2. Требования к классам защищенности

Подсистемы

требования

1. Подсистема управления

доступом

1.1. Идентификация, про-

верка подлинности и кон-

троль доступа субъектов:

в систему

к терминалам, ЭВМ, узлам

сети ЭВМ, каналам связи,

внешним устройствам

ЭВМ

к программам

к томам, каталогам, фай-

лам, записям, полям

записей

1.2. Управление потоками

информации

2. Подсистема регистрации

и учета

2.1.

Регистрация и учет:

входа/выхода субъектов

доступа в/из системы

(узла сети)

выдачи печатных (графи-

ческих) выходных доку-

ментов

запуска/завершения про-

грамм и процессов

(заданий, задач)

доступа программ субъек-

тов к защищаемым фай-

лам, включая их создание

и удаление, передачу по

линиям и каналам связи

доступа программ субъек-

тов, доступа к терминалам,

ЭВМ, узлам сети ЭВМ,

каналам связи, внешним

устройствам ЭВМ, про-

граммам, томам, катало-

гам, файлам, записям,

полям записей

Класс

ЗБ

ЗА

2Б

2А

1Д

1Г

1В

1Б

1А

374

Подсистемы и требования

изменения полномочий

субъектов доступа

создаваемых защищаемых

объектов доступа

2.2. Учет носителей инфор-

мации

2.3. Очистка освобождаемых

областей оперативной памя-

ти ЭВМ и внешних накопи-

телей

2.4. Сигнализация попыток

нарушения защиты

3. Криптографическая под-

система

3.1. Шифрование конфиден-

циальной информации

3.2. Шифрование информа-

ции, принадлежащей различ-

ным субъектам доступа

(группам субъектов) на раз-

ных ключах

3.3. Использование аттесто-

ванных

(сертифицированных)

криптографических средств

4. Подсистема обеспечения

целостности

4.1.

Обеспечение целостно-

сти программных средств и

обрабатываемой информации

4.2. Физическая охрана

средств вычислительной тех-

ники и носителей информа-

ции

4.3. Наличие администратора

(службы) защиты информа-

ции в АС

4.4. Периодическое тестиро-

вание

СЗИ НСД

4.5. Наличие средств восста-

новления

СЗИ НСД

4.6. Использование сертифи-

цированных средств защиты

Окончание табл 19.2

Класс

ЗБ

ЗА 2Б

2А

1Д

1Г

1В

1Б

1А

Обозначения. «+» — требования к данному классу.

375

средств СЗИ НСД, их периодическое обновление и контроль ра-

ботоспособности.

Представленный перечень является тем минимумом требова-

ний, которым необходимо следовать, чтобы обеспечить конфи-

денциальность защищаемой информации.

19.4.

Задание требований безопасности

информации и оценка соответствия им

согласно ГОСТ

15408—2002

В результате многолетней деятельности ряд развитых стран

выработал «Общие критерии оценки безопасности компьютерных

систем». Документ получил статус Международного стандарта

ISO/IEC

в 1999 г. Гостехкомиссия приняла решение выполнить

аутентичный перевод этого стандарта и принять его в качестве

государственного, что и было сделано в

2002

г. С января

2004

г.

данный стандарт вступил в действие. (В дальнейшем изложении

мы используем для его обозначения аббревиатуру ОК.)

Разработчики стремились достичь универсальности в предъяв-

лении критериев оценки безопасности информационных техно-

логий, отсюда и название — «общие». Эта универсальность про-

является в том, что объектом оценки (ОО) может быть изделие

информационных технологий ИТ, в качестве которого могут вы-

ступать продукт ИТ и система ИТ, а также автоматизированная

система (АС). На рис. 19.2 приведены разновидности ОО соглас-

но ОК.

Продукт ИТ — совокупность средств ИТ, предоставляющая

определенные функциональные возможности и предназначенная

для непосредственного использования или включения в различ-

ные системы.

Возможны два сценария проведения оценки: оценка уже суще-

ствующего ОО и создаваемого.

первом случае считается, что ОО

может быть доработан по результатам оценки (правда, при этом

Продукт

ИТ

Система

ИТ

Назначение,

условия

Персонал

Система

ИТ

АС

Рис. 19.2. Разновидности ОО согласно ОК

376

опускаются важные моменты: кем и каким образом доработан).

На имеющийся 00 создается профиль защиты (ПЗ), содержащий

общие положения по безопасности, либо ПЗ выбирается из мно-

жества существующих. Далее на основе ПЗ создается задание по

безопасности (ЗБ), в котором специфицируются эти положения.

Предназначение указанных документов двояко: помочь в оценке

00 и оказать помощь потребителю в выборе продукта ИТ.

Во втором случае к 00 предъявляются требования, на соответ-

ствие которым он будет в дальнейшем проверяться. Как и в пер-

вом случае, требования предъявляются в ПЗ и ЗБ. ЗБ должно раз-

рабатываться перед проведением оценки 00.

Для оценки 00 очень важно определить его границы. Все, что

окружает 00, называется средой безопасности, и напрямую вли-

яет на его безопасность. Выделяют программно-техническую сре-

ду, а также законодательную, административную и процедур-

ные среды. Среда не оценивается, но относительно ее свойств

делаются предположения. Отсюда следует, что, если она не удов-

летворяет этим предположениям, оценка 00 теряет свое значе-

ние и тогда объект небезопасен.

Можно выделить такие предположения о среде 00:

•

предположения безопасности, выделяющие объект оценки из

общего контекста, задающие границы рассмотрения; истинность

этих предположений принимается без доказательства, а из мно-

жества возможных отбирается только то, что заведомо необходи-

мо для обеспечения безопасности 00;

. угрозы безопасности 00, наличие которых в рассматривае-

мой среде установлено или предполагается; они характеризуются

несколькими параметрами: источником, методом воздействия,

опасными с точки зрения злонамеренного использования уязви-

мостями, ресурсами (активами), потенциально подверженными

повреждению; при анализе рисков принимаются во внимание ве-

роятность активизации угрозы и ее успешного осуществления, а

также размер возможного ущерба; по результатам анализа из мно-

жества допустимых угроз отбираются только те, ущерб от которых

нуждается в уменьшении;

• положения политики безопасности, предназначенные для

применения к объекту оценки; для системы ИТ такие положения

могут быть описаны точно, для продукта — в общих чертах.

В настоящее время ФСТЭК планирует создать каталог угроз,

из которого разработчики могли бы выбирать актуальные для них

угрозы. В тексте стандарта приведены лишь отдельные угрозы.

На основании предположений о среде формулируются цели

безопасности для 00, направленные на обеспечение противосто-

яния угрозам и выполнение политики безопасности. В зависимо-

сти от непосредственного отношения к 00 или к среде они под-

разделяются на две группы. Часть целей для среды может дости-

377

гаться нетехническими (процедурными) мерами. Все остальные

(для объекта и среды) носят программно-технический характер.

Для их достижения к объекту и среде предъявляются требования

безопасности.

«Общие критерии» в главной своей части (Часть 2) как раз и

являются каталогом требований безопасности. Всего перечислено

135 функциональных требований. Требования достаточно детали-

зированы, что делает их конкретными и допускающими одно-

значную проверку. Большинство требований параметризовано,

т.

е.

к ним применимы такие операции, как уточнение какого-либо

значения (например, требуемого количества символов в пароле),

выбор одной возможности из нескольких.

Кроме того, к 00 могут предъявляться и нестандартные, не

входящие в каталог требования, что тоже предусмотрено стандар-

том.

Для структуризации пространства требований в «Общих кри-

териях...» введена иерархия

класс—семейство—компонент—эле-

мент. Классы определяют наиболее общую (как правило, пред-

метную) группировку требований. Семейства в пределах класса

различаются по строгости и другим характеристикам требований.

Компонент — минимальный набор требований, фигурирующий

как целое. Элемент — неделимое требование.

Между компонентами могут существовать зависимости. Они

возникают, когда компонент сам по себе недостаточен для дос-

тижения цели безопасности. Соответственно при включении та-

кого компонента необходимо добавить всю «гроздь» его зависи-

мостей.

Как вспомогательный элемент, упрощающий создание ПЗ и

ЗБ, могут применяться функциональные пакеты (ФП) — неодно-

кратно используемые совокупности компонентов, объединенных

для достижения установленных целей безопасности.

«Общие критерии...» содержат два основных вида требований

безопасности: функциональные и требования доверия. Требова-

ния доверия предъявляются к технологии и процессу разработки

и эксплуатации 00 и представлены в Части 3 ОК. Сформулиро-

вав функциональные требования, требования доверия и требова-

ния к среде, можно приступать к оценке безопасности готового

изделия ИТ.

К предусматривают наличие нескольких уровней представле-

ния проекта с его декомпозицией и детализацией. За требования-

ми безопасности следует функциональная спецификация, затем

проект верхнего уровня, необходимое число промежуточных уров-

ней, проект нижнего уровня, после этого, в зависимости от типа

изделия, исходный код или схемы аппаратуры и, наконец, реали-

зация в виде исполняемых файлов, аппаратных продуктов и т.п.

Между уровнями представления должно демонстрироваться соот-

378

ветствие, т.

е.

все сущности более высоких уровней обязаны фигу-

рировать и «ниже, а «внизу» нет места лишним сущностям, не

обусловленным потребностями более высоких уровней.

При проведении оценки изделия ИТ проверяется соответствие

функций безопасности 00 функциональным требованиям и кор-

ректность их реализации.

Для изделия ИТ составляется формализованный документ —

задание по безопасности. В этом многостраничном документе

подробно описывается не только функциональность изделия ИТ,

но и его среда функционирования, угрозы, предположения

безопасности, цели и требования безопасности, реализованные

в изделии механизмы безопасности. В документе выполняется

строгое обоснование необходимости всех реализованных меха-

низмов. Также приводятся сведения о принятых мерах поддерж-

ки доверия.

В зависимости от принятых мер поддержки доверия (но не от

набора механизмов безопасности) все изделия ИТ группируются

в семь оценочных уровней доверия (ОУД). Сертификация вы-

полняется как раз на соответствие тому или иному уровню дове-

рия.

Сертификация изделия ИТ двухступенчатая. Вначале оценива-

ется задание по безопасности, затем само изделие — на соответ-

ствие этому заданию. За последние три года в России сертифици-

ровано несколько изделий на соответствие ГОСТ

15408

—

2002.

В основном это изделия иностранного производства.

19.5.

Экспериментальный подход

Под экспериментальным подходом понимается организация

процесса определения эффективности существующих

КСЗИ

пу-

тем попыток преодоления защитных механизмов системы специ-

алистами, выступающими в роли злоумышленников — активный

аудит КСЗИ. Активный аудит может выполняться как своими

силами (при наличии специалистов), так и за счет привлечения

сторонней организации.

В настоящее время ФСТЭК разработан проект «Концепции

аудита информационной безопасности систем информационных

технологий и организаций». Данный проект документа содержит

следующие разделы:

Общая характеристика состояния аудиторской деятельности

в области информационной безопасности.

2. Основные виды и способы аудита информационной без-

опасности.

3. Основные принципы аудита информационной безопасности.

379