Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

171

тификацию продуктов, а также более обоснованно формулировать и реализо-

вывать требования по безопасности информации информационных систем

различного уровня и назначения. При этом Россия (как и другие страны, при-

соединившиеся к соглашению о взаимном признании сертификатов) сохраня-

ет возможность учитывать свои национальные требования при сертификации

продуктов и ИТ-систем, прежде всего предназначенных для защиты инфор-

мации, составляющей государственную тайну.

Таким образом, профиль защиты является чрезвычайно важным и от-

ветственным документом для любого собственника КИС, так как определяет

все последующие шаги по разработке, оценке и эксплуатации защищенной

КИС в соответствии с лучшей мировой практикой (best practice), зафиксиро-

ванной в международном стандарте ISO 15408.

Особую значимость приобретает технология профилирования требова-

ний безопасности в масштабных и сложных системах, где технические аспек-

ты решения задачи обеспечения информационной безопасности часто стал-

киваются с организационными, нормативными, правовыми ограничениями.

Подобные ограничения могу выражаться, в том числе и в «недопонимании»

той или иной организационной структурой ее назначения и ответственности в

управлении данной защищенной корпоративной КИС.

Разработка ПЗ является органической частью процессов проектирова-

ния, разработки и сопровождения СОБИ. Он характеризует СОБИ на всех

стадиях ее жизненного цикла, задавая гармонизированный набор базовых

стандартов, которым должна соответствовать система и ее компоненты.

Профиль защиты включает в себя:

− формулировку необходимости информационной безопасности;

− описание среды, в которой находится КИС и порождаемые ею угро-

зы, которым нужно противостоять;

− описание предположений о существующем состоянии безопасности

(начальные условия);

− описание политики безопасности, которая должна выполняться;

− описание целей безопасности;

− функциональные требования безопасности и требования доверия к

безопасности, которые направлены на решение проблемы ИБ;

172

− обоснование достаточности функциональных требований и требова-

ний доверия к безопасности.

Профиль защиты состоит из следующих разделов:

− «Введение ПЗ», В котором идентифицируется ПЗ и дается его анно-

тация;

− «Описание Объекта Оценки (ОО), содержащем информацию об

КИС, поясняющую ее назначение и требования безопасности;

− «Среда безопасности ОО», содержащий описание аспектов среды

безопасности КИС, которые необходимо учитывать, в том числе: де-

тальное описание границы среды безопасности, угроз информацион-

ным ресурсам (активам), политики (правил) безопасности.

− «Цели безопасности», содержащий изложение предполагаемой реак-

ции на аспекты среды безопасности, которые должны быть реализо-

ваны в КИС программно-аппаратными средствами и иными мерами в

пределах среды безопасности;

− «Требования безопасности ИТ», содержащий функциональные тре-

бования безопасности, которые должны быть реализованы в КИС,

требования доверия к безопасности, а также требования безопасно-

сти программного, программно-аппаратного и аппаратного обеспе-

чения ИТ-среды КИС;

− «Обоснование», в котором демонстрируется, что ПЗ определяет пол-

ную и взаимосвязанную совокупность требований безопасности и

учитывает все идентифицированные атаки.

11.4.1. Раздел «Описание Объекта Оценки»

В данном разделе описываются:

− Корпоративная информационная система;

− Основные функциональные возможности КИС;

− Границы КИС − это описание того, что включает и что не включает в

себя КИС. Границы КИС определяются, как в части аппаратных и

программных компонентов (физические границы), так и в части

функциональных характеристик безопасности КИС.

173

− Среда функционирования КИС − это описание того, где функциони-

рует КИС, включая важные предположения, ограничения, наклады-

ваемые процессами деятельности, и другие ключевые пара метры,

важные с точки зрения безопасности.

11.4.2. Раздел «Среда безопасности ОО»

Цель раздела − определение аспектов безопасности среды КИС, поэто-

му в данном разделе предметом рассмотрения являются следующие аспекты:

− предположения относительно среды безопасности КИС;

− информационные ресурсы (активы), требующие защиты;

− идентифицированные источники угроз, уязвимости и сами угрозы

ИБ;

− политика (правила) безопасности, которая действует в КИС или в

КИС вышестоящей материнской организации.

Согласно п. Б.2.4 части 1 ГОСТ ИСО/МЭК 15408, в ПЗ необходимо

включать описание всех угроз активам, подлежащим защите. Важным этапом

обеспечения безопасности КИС является анализ рисков, так как если он не

выполнен должным образом, СОБИ будет не в состоянии обеспечить адек-

ватную защиту, в результате чего информационные ресурсы могут остаться

подверженными риску. Угрозы характеризуются следующими аспектами: ис-

точник угрозы, предполагаемый метод реализации, уязвимости, которые мо-

гут быть использованы для реализации угрозы.

Под политикой безопасности понимается совокупность правил, проце-

дур, практических приемов или руководящих принципов в области безопас-

ности. При необходимости политика безопасности может реализовываться

либо КИС, либо средой функционирования КИС, либо некоторой их комби-

нацией.

11.4.3. Раздел «Цели безопасности»

Данный раздел представляет собой краткую формулировку предпола-

гаемой реакции на проблему безопасности. При этом цели безопасности яв-

ляются промежуточным звеном, помогающим отследить взаимосвязь между

174

аспектами среды безопасности КИС и соответствующими требованиями

безопасности.

Деление целей безопасности на два типа (для КИС и среды функцио-

нирования КИС) позволяет изложить, решение каких аспектов проблемы

безопасности возлагается на СОБИ КИС Разделение ответственности за ре-

шение отдельных аспектов проблемы безопасности между СОБИ КИС и сре-

дой функционирования КИС позволяет в некоторой степени снизить риск

компрометации информационных ресурсов, требующих защиты. Более того,

такое разделение ответственности при формулировании целей безопасности

позволяет определить границы оценки безопасности КИС, что влияет как на

выбор необходимых функциональных требований к СОБИ КИС, так и на оп-

ределение уровня доверия к обеспечению безопасности КИС. С точки зрения

парирования идентифицированным угрозам, можно выделить три типа целей

безопасности для КИС:

− предупредительного характера, направленные либо на предотвраще-

ние реализации угроз, либо на перекрытие возможных путей реали-

зации данных угроз;

− обнаружения, определяющие способы обнаружения и постоянного

мониторинга событий, оказывающих влияние на безопасное функ-

ционирование КИС;

− реагирования, определяющие необходимость каких-либо действий

КИС в ответ на потенциальные нарушения безопасности или другие

нежелательные события, для сохранения или возврата КИС в безо-

пасное состояние и/или ограничения размера причиненного ущерба.

Цели безопасности для среды функционирования формулируются па-

раллельно с целями безопасности для КИС. Процесс определения целей

безопасности в целом является важным этапом в разделении ответственности

за обеспечение безопасности. При этом цели безопасности для КИС не долж-

ны требовать чрезмерно больших затрат на оценку их выполнения, а цели

безопасности для среды функционирования КИС должны быть такими, чтобы

соответствующие им требования к организационным мерам были практиче-

ски реализуемы и не накладывались чрезмерные ограничения на действия

пользователей КИС.

175

11.4.4. Раздел «Требования безопасности ИТ»

Определив цели безопасности, необходимо уяснить, как эти цели безо-

пасности будут достигаться. Для этого осуществляется спецификация функ-

циональных требований безопасности (ФТБ) в разделе «Требования безопас-

ности ИТ». В этом разделе, по возможности на основе каталога функцио-

нальных компонентов, определенных в части 2 ГОСТ ИСО/МЭК 15408, и ка-

талога компонентов доверия к безопасности, определенных в части 3 ГОСТ

ИСО/МЭК 15408, формулируются требования, которые должна реализовы-

вать СОБИ. Использование каталогов требований, определенных в ГОСТ

ИСО/МЭК 15408, позволяет достичь определенного уровня стандартизации и

значительно облегчает процедуру аттестации ПЗ и его регистрации в Госу-

дарственном реестре профилей. При этом, функциональные требования де-

лятся на:

− основные − непосредственно удовлетворяющие конкретные цели

безопасности;

− поддерживающие − не предназначенные для непосредственного

удовлетворения целей безопасности, но способствующие выполне-

нию основных функциональных требований и, тем самым, косвен-

ным образом способствующие удовлетворению целей безопасности.

При определении требований к уровню доверия СОБИ, учитывается, что чем

выше ценность информационных ресурсов, подлежащих защите, и чем боль-

ше риск их компрометации, тем выше требуется уровень доверия для функ-

ций безопасности, используемых для защиты. Это, в свою очередь, определя-

ет требуемый уровень доверия к безопасности программных и программно-

аппаратных продуктов, которые предполагается использовать в КИС. При

этом, такие категории как «стоимость» и «затраты времени», ограничивают

уровень доверия к безопасности.

11.4.4.5. Раздел «Обоснование»

Данный раздел предназначен для демонстрации того, что набор мер

парирования угрозам, изложенный в ПЗ, обеспечивает требуемую эффектив-

ность в пределах среды безопасности, а требования безопасности удовлетво-

176

ряют определенным целям безопасности, и учитывают все аспекты среды

безопасности КИС.

В общем случае, процесс разработки ПЗ носит итеративный характер.

Например, формирование требований безопасности может способствовать

корректировке целей безопасности или даже потребностей в безопасности. В

целом, может потребоваться целый ряд итераций для наиболее полного учета

взаимосвязей между угрозами, политикой (правилами) безопасности, дейст-

вующими в организации, целями и требованиями безопасности, а также

функциями безопасности, в частности, при формировании «Обоснования»

ПЗ. Процесс разработки ПЗ может потребовать уточнений, отражающих из-

менения условий применения, например:

− идентификацию новых угроз;

− изменение политики безопасности;

− введения стоимостных и временных ограничений;

− изменения в разграничении ответственности по безопасности между

КИС и средой ее функционирования;

− изменения в технологии и затратах на разработку КИС.

Контрольные вопросы

1. Что такое политика информационной безопасности?

2. Что формулирует Концепция ИБ?

3. Что выражает Регламент обеспечения безопасности информации?

4. Что выражает Профиль защиты информации?

5. Какие разделы содержит Профиль защиты информации?

6. Что является целями каждого раздела Профиля защиты информации?

7. На основании чего разрабатывается Регламент обеспечения безопас-

ности информации и Профиль защиты?

177

ГЛАВА 12. СИСТЕМА ФИЗИЧЕСКОЙ ЗАЩИТЫ

12.1. Система физической защиты − типовые задачи и способы

ее реализации. Основные характеристики системы физической защиты

Система физической защиты (СФЗ) – совокупность людей, процедур и

оборудования защищающих имущество (объекты) от хищений, диверсий и

иных неправомерных действий.

Конечная цель СФЗ – предотвращение успешного выполнения квали-

фицированным нарушителем открытых либо тайных злонамеренных акций.

Типовые задачи СФЗ:

1. предотвращение диверсий, направленных на вывод из строя оборудо-

вания;

2. предотвращение хищений материальных средств, имущества либо

информации;

3. защита сотрудников объекта.

Существует два способа организации СФЗ:

− сдерживание;

− обнаружение, задержка, реагирование (ОЗР) – триединая задача эф-

фективной СФЗ.

12.1.1. Сдерживание

Сдерживание – реализация мер, воспринимаемых потенциальным на-

рушителем как труднопреодолимые, устрашающие (предупреждающие) и

превращающие объект в непривлекательную цель.

Результат сдерживания – нарушитель прекращает нападение, лучше

если не предпринимает вовсе.

Пример:

1. Охрана на показ (форма).

2. Достаточное освещение.

3. Предупреждающие знаки.

4. Решетки на окнах.

5. Бетонный забор, колючая проволока.

178

6. Демонстрация наличия сигнализации, систем видеонаблюдения.

7. Опечатывание.

Сдерживание бессильно, если нарушитель решается на нападение, не-

взирая на препятствия. Полагаться на сдерживание как безальтернативную

защиту крайне рискованно.

Качество защиты по способу сдерживания трудно измерить и оценить.

Ведь если не было нападений, это не означает, что система физической

защиты способом сдерживания эффективна.

12.1.2. Обнаружение

Обнаружение – выявление скрытой или открытой акции нарушителя по

проникновению в пространство объекта.

Показатели эффективности обнаружения:

1. вероятность выявления акции

2. время оценивания акции

3. время передачи сообщения об акции

4. частота ложных тревог

В обнаружении особо выделяются точки санкционированного доступа,

иначе обнаружение при контроле входа и выхода. То есть разрешение прохо-

да лиц, которым это разрешено, проноса материальных ценностей и инфор-

мации.

Показателями эффективности контроля на входе являются:

− пропускная способность − количество персонала в единицу времени

имеющего право прохода;

− частота ошибочных проходов – частота, с которой разрешается про-

ход по подложным документам либо неверно опознанным;

− частота ложных отказов – частота отказов в доступе лицам, которым

проход разрешен.

Обнаружение заканчивается только при условии проведения оценки

вторжения.

Целями оценки являются:

1. Тревога истинная либо ложная

2. Причины тревоги − четыре ответа на вопросы:

179

− Что? Кто? Где? Какое количество?

12.1.3. Задержка

Задержка – замедление продвижения нарушителя к цели. Путями (спо-

собами) задержки являются:

1. Физические барьеры, препятствия;

2. Замки;

3. Персонал охраны (постоянной готовности, ждущий режим)

Показатель эффективности задержки – общее время преодоления

каждого элемента задержки после обнаружения.

Задержка до обнаружения при определении эффективности не учиты-

вается. Это является сдерживанием. Причина состоит, в том, что время поте-

ряно для реакции на действия нарушителя.

12.1.4. Реагирование

Реагирование – действия сил защиты по воспрепятствованию успеху

нарушителя, прерывание действий нарушителя.

Для успешного прерывания необходим численный перевес в точке ос-

тановки нарушителя, время на полное развертывание и точная информация о

нарушителе.

Показатели эффективности реагирования:

1. Время между получением информации об обнаружении и прерывани-

ем действий нарушителя;

2. Вероятность своевременного развертывания сил реагирования.

В эффективной СФЗ:

− Обнаружение происходит на МАКСИМАЛЬНОМ удалении от цели.

− Обнаружение завершается ПОСЛЕ оценки.

− Связь между Обнаружением и Реагированием МАКСИМАЛЬНО ус-

тойчивая.

− Задержка обеспечивается на МИНИМАЛЬНОМ удалении от цели.

180

Задачи Обнаружения и Задержки решаются, как правило, инженерно-

техническими средствами и (или) силами охраны. В настоящее время ведутся

разработки и по средствам автоматического реагирования.

Характеристики СФЗ:

1. Надежность (эшелонирование, уровни защиты);

2. Минимизация последствий отказов (отказоустойчивость);

3. Сбалансированность.

12.1.5. Эшелонирование

Эшелонирование – для достижения цели нападения нарушитель обязан

последовательно пройти (преодолеть) НЕСКОЛЬКО инженерно-технических

средств охраны. Время преодоления, способы преодоления рекомендуется

делать различными. Главное:

1. повышается неопределенность ожидания нарушителя относительно

свойств системы;

2. требуется более тщательная подготовка к нападению;

3. создаются дополнительные этапы, где нарушитель может потерпеть

неудачу либо отказаться от замыслов.

12.1.6. Минимизация последствий отказов

Безотказную систему создать сложно. Зависит от окружающей среды и

действий нарушителя.

Восстановление (устранение) важно, но главное иметь планы действий

в чрезвычайных обстоятельствах, обеспечивающих работу СФЗ. Желательно

иметь автоматический ввод резерва (резервное электроснабжение, привлече-

ние местных сил правопорядка и т.д.).

Пример: В аэропорту тревога → местные силы реагирования привлече-

ны к отражению угрозы → тревожной кнопкой вызывается милиция.