Белов Е.Б., Лось В.П и др. Основы информационной безопасности

Подождите немного. Документ загружается.

механизмом, который регулирует такой доступ. Требования к этому ме-

ханизму на содержательном уровне состоят в том, что, с одной стороны,

не должен быть разрешен доступ пользователям (или их процессам),

не имеющим на это полномочий, а с другой - не должно быть отказано

в доступе пользователям (или их процессам), имеющим соответствующие

полномочия.

5.3. Практическая реализация модели «угроза - защита»

В качестве примера практической реализации модели «угроза - за-

щита» рассмотрим табл. 2.12, где представлена информация ООО «Тех-

ИнформКонсалтинг», г. Москва, для случая широкомасштабного внедре-

ния в России акцизных марок с объемной криптоголографической защитой.

В ней отчетливо выделяются как технические, так и организационные

методы защиты информации.

Таблица 2.12. Перечень возможных вариантов угроз и защиты от них

Угроза

Защита

Подделка

информации

в марках

1. Информация в марках защищается путем применения

электронной цифровой подписи (ЭЦП), что не позволяет

производить марки с произвольной информацией, а так-

же вносить в нее исправления.

2. Используемое в системе средство криптографической

защиты информации (СКЗИ) «ВЕРБА-OW» имеет сер-

тификат ФАПСИ № СФ/114-0174 от 10.04.1997 г., что

гарантирует его надежность и обеспечивает юридиче-

скую значимость защищенной информации

Копирование ин-

формации

в марках

1. Так как система ведет учет продукции с точностью до

одной единицы и каждая марка подписывается ЭЦП, то

информация на каждой марке является уникальной и не

подлежит массовому копированию. Так, например, для

копирования партии марок в количестве 10 тыс. шт. тру-

дозатраты составляют примерно 2 рабочих человеком

месяца при условии автоматизации этого процесса и ра-

боты без остановки в течение всего рабочего дня. Без ав-

томатизации процесса время копирования марок увели-

чивается на несколько порядков.

2. Так как в системе вся информация по проведенным

проверкам экспортируется в центральную базу данных,

то дублирование марок легко выявляется на этапе анали-

за результатов их проверок

Окончание табл. 2.12

Угроза

Защита

Кража готовых

марок

В случае кражи партии готовых марок информация о

них заносится в центральную базу данных. При прове-

дении проверок продукция, маркированная этими мар-

ками, легко выявляется

Перепродажа

готовых марок

При печати марок на них наносится информация,

полностью описывающая данную конкретную единицу

продукции, включая наименование, производителя, да-

ту производства, тару, маркирующую организацию,

сопроводительные документы и т. д., защищенную от

подделки и модификации ЭЦП. На основании этой ин-

формации при проведении проверки легко выявляется

несоответствие между марками, маркированной про-

дукцией и сопроводительными документами

Сговор

с разработчиками

1. Проверка подлинности и авторства информации в

защитных марках осуществляется с помощью элек-

тронной цифровой подписи. Так как разработчики не

имеют доступа к используемым закрытым ключам

ЭЦП, то сговор по подделке марок невозможен.

2. Отсутствие закладок в используемых программах

может гарантироваться путем их сертификации в Госу-

дарственной технической комиссией при Президенте

РФ (ФСТЭК России)

Сговор

с инспектором

Для исключения фактов искажения или несообщения

инспектором результатов проверки марок в системе

предусмотрена специальная «фискальная» память, в

которую заносится вся информация о проведенных

проверках. Далее эта информация экспортируется в

центральную базу данных для анализа

Сговор с персона-

лом инспекции для

модификации цен-

тральной базы дан-

ных системы

Для защиты информации от несанкционированного

доступа центральная база данных разработана на СУБД

Oracle 8, что обеспечивает высокую надежность хране-

ния и защиты информации, а также масштабируемость

системы. СУБД Oracle 8 имеет сертификат Государст-

венной технической комиссией при Президенте РФ

№ 168 по классу защищенности 1В

Мудрец ищет всего в себе,

безумец - всего в другом.

Конфуций

6. Рекомендации по использованию моделей

оценки уязвимости информации

Как правило, модели позволяют определять текущие и прогнозиро-

вать будущие значения всех показателей уязвимости информации для

любых компонентов автоматизированной системы обработки данных,

любой их комбинации и для любых условий жизнедеятельности автома-

тизированной системы обработки данных. Некоторые замечания по ис-

пользованию.

1. Практически все модели строятся в предположении независимости

тех случайных событий, совокупности которых образуют сложные

процессы защиты информации в современных автоматизированных

системах обработки данных.

2. Для обеспечения работы моделей необходимы большие объемы та-

ких исходных данных, подавляющее большинство которых в на-

стоящее время отсутствует, а формирование сопряжено с большими

трудностями.

Определим замечание первое - допущение независимости случайных

событий, происходящих в системах защиты информации. Основными со-

бытиями, имитируемыми в моделях определения показателей уязвимо-

сти, являются: проявление дестабилизирующих факторов, воздействие

проявившихся дестабилизирующих факторов на защищаемую информа-

цию и воздействие используемых средств защиты на дестабилизирующие

факторы. При этом обычно делаются следующие допущения.

1. Потенциальные возможности проявления каждого дестабилизирую-

щего фактора не зависят от проявления других.

2. Каждый из злоумышленников действует независимо от других, т. е.

не учитываются возможности формирования коалиции злоумыш-

ленников.

3. Негативное воздействие на информацию каждого из проявившихся

дестабилизирующих факторов не зависит от такого же воздействия

других проявившихся факторов.

4. Негативное воздействие дестабилизирующих факторов на информа-

цию в одном каком-либо компоненте автоматизированной системы

обработки данных может привести лишь к поступлению на входы

связанных с ним компонентов информации с нарушенной защищен-

ностью и не оказывает влияния на такое же воздействие на инфор-

мацию в самих этих компонентах.

5. Каждое из используемых средств защиты оказывает нейтрализую-

щее воздействие на дестабилизирующие факторы и восстанавли-

вающее воздействие на информацию независимо от такого же воз-

действия других.

6. Благоприятное воздействие средств защиты в одном компоненте ав-

томатизированной системы обработки данных лишь снижает веро-

ятность поступления на входы связанных с ним компонентов ин-

формации с нарушенной защищенностью и не влияет на уровень за-

щищенности информации в самих этих компонентах.

В действительности же события, перечисленные выше являются за-

висимыми, хотя степень зависимости различна: от незначительной, кото-

рой вполне можно пренебречь, до существенной, которую следует учи-

тывать. Однако для решения данной задачи в настоящее время нет необ-

ходимых предпосылок, поэтому остаются лишь методы экспертных

оценок.

Второе замечание касается обеспечения моделей необходимыми ис-

ходными данными. Ранее уже неоднократно отмечалось, что для практи-

ческого использования моделей определения показателей уязвимости не-

обходимы большие объемы разнообразных данных, причем подавляющее

большинство из них в настоящее время отсутствует.

Сформулируем теперь рекомендации по использованию моделей,

разработанных в рамках рассмотренных ранее допущений, имея в виду,

что это использование, обеспечивая решение задач анализа, синтеза и

управления в системах защиты информации, не должно приводить к су-

щественным погрешностям.

Первая и основная рекомендация сводится к тому, что моделями

должны пользоваться квалифицированные специалисты-профессионалы

в области защиты информации, которые могли бы в каждой конкретной

ситуации выбрать наиболее эффективную модель и критически оценить

степень адекватности получаемых решении.

Вторая рекомендация заключается в том, что модели надо использо-

вать не просто для получения конкретных значений показателей уязви-

мости, а для оценки поведения этих значений при варьировании сущест-

венно значимыми исходными данными в возможных диапазонах их из-

менений. В этом плане модели определения значений показателей

уязвимости могут служить весьма ценным инструментом при проведении

деловых игр по защите информации.

Легче зажечь одну маленькую

свечу, чем клясть темноту.

Конфуций

7. Методы определения требований

к защите информации

В самом общем виде и на чисто прагматическом уровне требования

к защите могут быть определены как предотвращение угроз информации,

по крайней мере тех из них, проявление которых может привести к суще-

ственно значимым последствиям. Но поскольку, как рассматривалось

раньше, защита информации есть случайный процесс (показатели уязви-

мости носят вероятностный характер), то и требования к защите должны

выражаться терминами и понятиями теории вероятностей.

По аналогии с требованиями к надежности технических систем,

обоснованными в классической теории систем, требования к защите мо-

гут быть сформулированы в виде условия

где Р

- вероятность защищенности информации; Р

ЗТ

- требуемый уро-

вень защищенности. С требованиями, выраженными в таком виде, можно

оперировать с использованием методов классической теории систем при

решении задач защиты всех классов: анализа, синтеза и управления.

Однако из предыдущих разделов известно, что решение проблем за-

щиты информации сопряжено с исследованиями и разработкой таких

систем и процессов, в которых и конкретные методы, и общая идеология

классической теории могут быть применены лишь с большими оговорка-

ми. Для повышения степени адекватности применяемых моделей реаль-

ным процессам необходим переход от концепции создания инструмен-

Третья рекомендация сводится к тому, что для оценки адекватности

моделей, исходных данных и получаемых решений надо возможно шире

привлекать квалифицированных и опытных экспертов.

Четвертая рекомендация заключается в том, что для эффективного

использования моделей надо непрерывно проявлять заботу об исходных

данных, необходимых для обеспечения моделей при решении задач за-

щиты. Существенно важным при этом является то обстоятельство, что

подавляющее количество исходных данных обладает высокой степенью

неопределенности. Поэтому надо не просто формировать необходимые

данные, а перманентно их оценивать и уточнять.

тальных средств получения необходимых решений на инженерной осно-

ве к концепции создания методологического базиса и инструментальных

средств для динамического оптимального управления соответствующими

процессами.

С учетом данного подхода в самом общем виде и на содержательном

уровне требования к защите информации могут быть сформулированы

в следующем виде.

Конкретные требования к защите, обусловленные спецификой авто-

матизированной обработки информации, определяются совокупностью

следующих факторов:

• характером обрабатываемой информации;

• объемом обрабатываемой информации;

• продолжительностью пребывания информации в АСОИ;

• структурой автоматизированной системы обработки данных;

• видом защищаемой информации;

• технологией обработки информации;

• организацией информационно-вычислительного процесса в автома-

тизированной системе обработки данных;

• этапом жизненного цикла автоматизированной системы обработки

данных.

По характеру (с точки зрения требуемой защиты) информацию мож-

но разделить на общедоступную, конфиденциальную, служебную, сек-

ретную и совершенно секретную.

Соответствующие рекомендации по предъявлению требований к за-

щите могут быть следующими.

1. При обработке общедоступной информации никаких специальных

мер защиты от НДС не требуется.

2. Требования к защите конфиденциальной информации определяет

пользователь, устанавливающий статус конфиденциальности.

3. При обработке служебной информации к ней должен быть обеспе-

чен свободный доступ пользователям учреждения-владельца этой ин-

формации (по общему списку); доступ же пользователей, не включенных

в общий список, должен осуществляться по разовым санкциям, выдавае-

мым пользователям, включенным в список.

4. При обработке секретной информации в зависимости от ее объема

и характера может быть предъявлен один из следующих вариантов тре-

бований:

5. При обработке совершенно секретной информации список лиц,

имеющих право доступа, должен составляться для каждого самостоя-

тельного элемента информации с указанием дней и времени доступа,

а также перечня разрешенных процедур.

Требования, связанные с размещением защищаемой информации, мо-

гут заключаться в следующем.

При обработке информации, размещенной только в оперативном за-

поминающем устройстве (ОЗУ), должны обеспечиваться требуемые уро-

вень защиты и надежность в центральном вычислителе и на коммуника-

циях ввода-вывода данных. При обработке информации, размещенной на

одном внешнем носителе, дополнительно к предыдущему должна обес-

печиваться защита в соответствующем внешнем запоминающем устрой-

стве (ВЗУ) и коммуникациях, связывающих это устройство с процессо-

ром.

При обработке информации, размещенной на нескольких внешних

носителях, дополнительно к предыдущему должна обеспечиваться необ-

ходимая изоляция друг от друга данных, размещенных на различных но-

сителях при одновременной их обработке.

При обработке информации, размещенной на очень большом количе-

стве носителей, дополнительно к предыдущему должна обеспечиваться

защита в хранилищах носителей и на коммуникациях, связывающих хра-

нилища с помещениями, в которых установлены ВЗУ.

С точки зрения продолжительности пребывания защищаемой инфор-

мации в автоматизированной системе обработки данных требования

к защите формулируются следующим образом:

• персональное разграничение - для каждого элемента информации

составляется список пользователей, имеющих к нему право доступа;

• коллективное разграничение - структура баз защищаемых данных

организуется в соответствии со структурой подразделений, участ-

вующих в обработке защищаемой информации; пользователи каждо-

го подразделения имеют право доступа к только к «своим» данным.

• Информация разового использования подлежит защите в процессе

подготовки, ввода, решения задач и выдачи результатов решения.

После этого защищаемая информация должна быть уничтожена во

всех устройствах автоматизированной системы обработки данных.

• Информация временного хранения дополнительно к предыдущему

подлежит защите в течение объявленного времени хранения, после

чего должна быть уничтожена во всех устройствах автоматизирован-

ной системы обработки данных и на всех носителях, используемых

• защищаемая информация может находиться только во время сеанса

решения задач, после чего подлежит уничтожению;

• устройства отображения и фиксации информации должны распола-

гаться так, чтобы исключить возможность просмотра отображаемой

(выдаваемой) информации со стороны;

• информация, имеющая ограничительный гриф, должна выдаваться

(отображаться) совместно с этим грифом;

• должны быть предусмотрены возможности быстрого (аварийного)

уничтожения информации, находящейся в терминале (в том числе

и на устройствах отображения).

для ее хранения. Продолжительность хранения задается или длиной

промежутка времени, или числом сеансов решения соответствующих

функциональных задач.

• Информация длительного хранения подлежит постоянной защите,

уничтожение ее должно выполнятся по определенным командам.

Требования, определяемые структурой автоматизированной системы

обработки данных, могут быть сформулированы в следующем виде.

Информация должна защищаться во всех структурных элементах ав-

томатизированной системы обработки данных, причем специфические

требования к защите информации в структурных элементах различного

типа сводятся к следующему.

1. В терминалах пользователей:

2. В устройствах группового ввода-вывода (УГВВ):

• в простых УГВВ и в сложных с малым объемом запоминающего уст-

ройства (ЗУ) защищаемая информация может находиться только во

время решения задач, после чего подлежит уничтожению; в сложных

с большим объемом ЗУ информация может храниться в ВЗУ, однако

продолжительность хранения должна быть ограниченной;

• устройства отображения и фиксации информации должны распола-

гаться так, чтобы исключить возможность просмотра отображаемой

(выдаваемой) информации со стороны;

• информация, имеющая ограничительный гриф, должна выдаваться

(отображаться) совместно с этим грифом;

• в УГВВ с возможностями универсального процессора при каждом

обращении к защищаемой информации должны осуществляться про-

цедуры:

■ установления подлинности (опознавания) вступающих в работу

терминалов и пользователей;

■ проверки законности каждого запроса на соответствие предостав-

ленным пользователю полномочиям;

■ проверки адреса выдачи информации, имеющей ограничительный

гриф, и наличия этого грифа;

■ контроля обработки защищаемой информации;

■ регистрации запросов и всех нарушений правил защиты;

• при выдаче информации в линии связи должны осуществляться:

■ проверка адреса выдачи информации;

■ маскировка (закрытие) содержания защищаемой информации, вы-

даваемой в линии связи, проходящей по неконтролируемой терри-

тории;

• должны быть предусмотрены возможности аварийного уничтожения

информации как в ОЗУ, так и в ВЗУ, а также подачи команды на ава-

рийное уничтожение информации в сопряженных с УГВВ термина-

лах.

3. В аппаратуре и линиях связи:

• защищаемая информация должна находиться только в течение сеан-

са; в ЗУ аппаратуры связи могут храниться только служебные части

передаваемых сообщений;

• линии связи, по которым защищаемая информация передается в яв-

ном виде, должны находиться под непрерывным контролем во время

передачи информации;

• перед началом каждого сеанса передачи защищаемой информации

должна осуществляться проверка адреса выдачи данных;

• при передаче большого объема защищаемой информации проверка

адреса передачи должна периодически производиться в процессе пе-

редачи (через заданный промежуток времени или после передачи за-

данного числа знаков сообщения);

• при наличии в составе аппаратуры связи процессоров и ЗУ должна

вестись регистрация данных о всех сеансах передачи защищаемой

информации;

• должны быть предусмотрены возможности аварийного уничтожения

информации, находящейся в аппаратуре связи.

4. В центральном вычислителе:

• защищаемая информация в ОЗУ может находиться только во время

сеансов решения соответствующих задач, в ВЗУ - минимальное вре-

мя, определяемое технологией решения соответствующей приклад-

ной задачи в автоматизированной системе обработки данных;

• устройства отображения и фиксации информации должны распола-

гаться так, чтобы исключить возможность просмотра отображаемой

(выдаваемой) информации со стороны;

• информация, имеющая ограничительный гриф, должна выдаваться

(отображаться) совместно с этим грифом;

• при обработке защищаемой информации должно осуществляться ус-

тановление подлинности всех участвующих в обработке устройств

и пользователей и ведение протоколов их работы;

• всякое обращение к защищаемой информации должно проверяться

на санкционированность;

• при обмене защищаемой информации, осуществляемом с использо-

ванием линий связи, должна осуществляться проверка адреса кор-

респондента;

• должны быть предусмотрены возможности аварийного уничтожения

всей информации, находящейся в центральном вычислителе, и пода-

чи команды на аварийное уничтожение информации в сопряженных

устройствах.

5. В ВЗУ:

• сменные носители информации должны находиться на устройствах

управления в течение минимального времени, определяемого техно-

логией автоматизированной обработки информации;

• устройства управления ВЗУ, на которых установлены носители с за-

щищаемой информацией, должны иметь замки, предупреждающие

несанкционированное изъятие или замену носителя;

• должны быть предусмотрены возможности автономного аварийного

уничтожения информации на носителях, находящихся на ВЗУ.

6. В хранилище носителей:

• все носители, содержащие защищаемую информацию, должны иметь

четкую и однозначную маркировку, которая, однако, не должна рас-

крывать содержания записанной на них информации;

• носители, содержащие защищаемую информацию, должны хранить-

ся таким образом, чтобы исключались возможности несанкциониро-

ванного доступа к ним;