Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

ное пресечение посягательств на информационные ресурсы, тех-

нические средства и информационные технологии; своевремен-

ное выявление негативных тенденций и совершенствование уп-

равления в области защиты информации.

Управление системой обеспечения безопасности информации

реализуется специализированной подсистемой, представляющей

собой совокупность органов управления, технических, программ-

ных и криптографических средств, а также организационных ме-

роприятий и взаимодействующих друг с другом пунктов управле-

ния различных уровней.

Органами управления являются подразделения безопасности

информации, а пунктами управления — центр управления без-

опасностью (ЦУБ) и автоматизированные рабочие места админи-

страторов (операторов) безопасности, расположенные на объек-

тах АС организации.

Подсистемы управления выполняют информационную, управ-

ляющую и вспомогательную функции.

Информационная функция заключается в непрерывном конт-

роле состояния системы защиты, проверке соответствия показа-

телей защищенности допустимым значениям и немедленном ин-

формировании операторов безопасности о возникающих в АС

ситуациях, способных привести к нарушению безопасности ин-

формации.

К контролю состояния системы защиты предъявляются два

требования: полнота и достоверность. Полнота характеризует

степень охвата всех средств защиты и параметров их функцио-

нирования. Достоверность контроля характеризует степень адек-

ватности значений контролируемых параметров их истинному

значению. В результате обработки данных контроля формирует-

ся информация состояния системы защиты, которая обобщается

(агрегируется) и передается на вышестоящие пункты управле-

ния.

Управляющая функция заключается в формировании планов

реализации технологических операций АС с учетом требований

безопасности информации в условиях, сложившихся для данного

момента времени, а также в определении места возникновения

ситуации уязвимости информации и предотвращении ее утечки

за счет оперативного блокирования участков АС, на которых воз-

никают угрозы безопасности информации. К управляющим функ-

циям службы безопасности относятся учет, хранение и выдача

документов и информационных носителей, паролей и ключей. При

этом генерация паролей, ключей, сопровождение средств разгра-

ничения доступа, приемка включаемых в программную среду АС

новых программных средств, контроль соответствия программной

среды эталону, а также контроль за ходом технологического про-

цесса обработки секретной (конфиденциальной) информации воз-

230

лагаются на администратора автоматизированной системы (базы

данных) и администратора службы безопасности, которые распо-

ложены в

ЦУБ.

К вспомогательным функциям подсистемы управления отно-

сятся учет всех операций, выполняемых в АС с защищаемой ин-

формацией, формирование отчетных документов и сбор статис-

тических данных с целью анализа и выявления потенциальных

каналов утечки информации.

Контроль эффективности защиты информации. Контроль осу-

ществляется в целях своевременного выявления и предотвраще-

ния утечки информации по техническим каналам за счет несанк-

ционированного доступа к ней, а также предупреждения возмож-

ных специальных воздействий, направленных на уничтожение

информации, разрушение средств информатизации.

Контроль может проводиться как службой безопасности (опе-

ративный контроль в процессе информационного взаимодействия

в АС), так и привлекаемыми для этой цели компетентными орга-

низациями, имеющими лицензию на этот вид деятельности, а так-

же Инспекцией ФСТЭК России или ФСБ России в пределах их

компетенции.

Оценка эффективности мер защиты информации проводится с

использованием технических и программных средств контроля на

предмет соответствия установленным требованиям.

Контроль может осуществляться администратором безопасно-

сти как с помощью штатных средств системы защиты информа-

ции от НСД, так и с помощью специальных программных средств

контроля.

10.8.

Первоочередные мероприятия

по обеспечению безопасности информации

АС организации

В данном разделе Концепции описаны мероприятия по реали-

зации ее положений. Необходимо:

• создать во всех территориальных подразделениях организа-

ции подразделений технической защиты информации в АС орга-

низации и ввести ответственных (можно внештатных, из числа

сотрудников подразделения) за безопасность информации в струк-

турных подразделениях организации, определить их задачи и функ-

ции на различных стадиях создания, развития и эксплуатации АС

и системы защиты информации;

• рассмотреть возможность внесения изменений в конфигура-

цию сетей и СВТ, технологии обработки, передачи и хранения

(архивирования) информации (с целью максимального разделе-

231

ния подсистем

АС

организации, в которых обрабатывается ин-

формация различных категорий конфиденциальности), для сни-

жения затрат на создание системы защиты и упрощения катего-

рирования и аттестации подсистем АС организации;

• определить порядок приобретения и использования серти-

фицированных серийно выпускаемых в защищенном исполнении

технических средств обработки, передачи и хранения информа-

ции; образцов технических средств, прошедших специальные ис-

следования, в соответствии с требованиями предписания на экс-

плуатацию, а также сертифицированных средств защиты инфор-

мации;

•

уточнить (в том числе на основе апробации) конкретные тре-

бования к СЗИ, включаемые в ТЗ на разработку СЗИ АС органи-

зации;

• определить возможность использования в АС организации

имеющихся сертифицированных средств защиты информации;

• произвести закупку сертифицированных образцов и серийно

выпускаемых технических и программных средств защиты инфор-

мации

(«Secret

Net» и т.п.) и их внедрение на рабочих станциях и

файловых серверах сети с целью контроля за изменением конфи-

гурации аппаратных и программных средств и действиями пользо-

вателей;

• осуществить разработку и последующую сертификацию про-

граммных средств защиты информации в случае, когда на рынке

отсутствуют требуемые программные средства;

• для обеспечения режима удаленного доступа пользователей

по сети организации к информации конфиденциальных баз дан-

ных рассмотреть возможность разработки, сертификации и аттес-

тации специальных криптографических средств; в их состав дол-

жны входить: сетевой криптошлюз, защищенные абонентские

пункты доступа через криптошлюз, центр генерации и распро-

странения ключей; на уровне прикладных программ необходимо

разработать средства, обеспечивающие возможность доступа к

конфиденциальным данным только с защищенных абонентских

пунктов;

• определить степень участия персонала в обработке (передаче,

хранении, обсуждении) информации, характер его взаимодействия

между собой и с подразделениями по защите информации;

• произвести разработку и реализацию разрешительной систе-

мы доступа пользователей и эксплуатационного персонала АС

организации или иного объекта информатизации к обрабатывае-

мой информации, оформляемой в виде раздела «Положения о

разрешительной системе допуска исполнителей к документам и

сведениям»;

• осуществить разработку организационно-распорядительной

и рабочей документации по эксплуатации объекта информатиза-

232

ции в защищенном исполнении, а также средств и мер защиты

информации в АС организации (план защиты, инструкции, обя-

занности и т.п.), регламентирующих процессы допуска пользова-

телей к работе с АС организации, разработки, приобретения и

использования программного обеспечения на рабочих станциях и

серверах, порядок внесения изменений в конфигурацию аппарат-

ных и программных средств при ремонте, развитии и обслужива-

нии

ВТ, порядок применения и администрирования средств за-

щиты информации и т.п.;

• для снижения риска перехвата в сети с других рабочих стан-

ций имен и паролей привилегированных пользователей (в осо-

бенности администраторов средств защиты и баз данных) органи-

зовать их работу в отдельных сегментах сети, шире применять

сетевые устройства типа

switch,

не использовать удаленные режи-

мы конфигурирования сетевых устройств (маршрутизаторов, кон-

центраторов и т.п.);

• исключить доступ программистов в эксплуатируемые под-

системы АС организации (к реальной информации и базам дан-

ных), организовать опытный участок АС для разработки и от-

ладки программ; передачу разработанных программ в эксплуата-

цию производить через архив эталонов программ (фонд алго-

ритмов и программ) подразделения, ответственного за эксплуата-

цию ПО;

• для защиты компонентов ЛВС органов организации от не-

правомерных воздействий из других ЛВС организации и внешних

сетей по IP-протоколу целесообразно использовать на узлах кор-

поративной сети организации сертифицированные установленным

порядком межсетевые экраны;

• осуществить опытную эксплуатацию средств защиты инфор-

мации в комплексе с другими техническими и программными

средствами в целях проверки их работоспособности в составе объек-

тов информатизации и отработки технологических процессов об-

работки (передачи) информации;

• произвести специальную проверку импортных технических

средств на предмет обнаружения возможно внедренных в них элек-

тронных устройств перехвата информации («закладок»);

• произвести специальную проверку выделенных помещений

на предмет обнаружения возможно внедренных в них или в пред-

меты интерьера электронных устройств перехвата информации

(«закладок»);

• обследовать объект информатизации и провести специаль-

ные исследования технических средств;

• выполнить конструктивные доработки технических средств и

помещений, где они расположены, в целях локализации возмож-

ных технических каналов утечки информации (в случае необхо-

димости);

233

• произвести развязку цепей электропитания объектов защиты

с помощью защитных фильтров, блокирующих (подавляющих)

информативный сигнал;

•

произвести развязку линий связи и других цепей между выхо-

дящими за пределы контролируемой зоны и находящимися внут-

ри нее;

• осуществить необходимую звуко- и виброизоляцию выделен-

ных помещений;

• произвести категорирование помещений, в которых прово-

дятся обсуждения или ведутся переговоры по секретным вопро-

сам (выделенные помещения);

• произвести категорирование ОТСС, предназначенных для

обработки, передачи и хранения конфиденциальной информации;

•

классифицировать защищенность автоматизированных систем

от несанкционированного доступа (НСД) к информации, пред-

назначенных для обработки конфиденциальной информации;

•

оформить технический паспорт объекта информатизации (АС

организации);

• аттестовать объект информатизации по требованиям защиты

информации;

•

организовать охрану и физическую защиту объекта информа-

тизации и отдельных технических средств, исключающих НСД к

техническим средствам, их хищение и нарушение работоспособ-

ности;

• организовать контроль состояния и эффективности защиты

информации с оценкой выполнения требований нормативных

документов организационно-технического характера, обоснован-

ности принятых мер, проверки выполнения норм эффективности

защиты информации по действующим методикам с применением

поверенной контрольно-измерительной аппаратуры и сертифи-

цированных программных средств контроля;

•

для контроля за состоянием защиты, выявлением слабых мест

(уязвимостей) в системе защиты серверов и рабочих станций и

принятия своевременных мер по их устранению (перекрытию воз-

можности их использования злоумышленниками) необходимо

использовать специальные программы оценки защищенности (ска-

неры, например Internet Security Scanner фирмы

ISS).

Глава

Разработка модели КСЗИ

•

11.1.

Общая характеристика задач

моделирования КСЗИ

КСЗИ в целом и отдельные средства защиты представляют со-

бой сложные системы, для которых характерны:

•

стохастичность потока входных событий (несанкционирован-

ного доступа к информации);

• многоуровневая иерархическая структура;

• сложность информационно-логического взаимодействия си-

стем и средств защиты информации предприятия.

При проектировании, создании и эксплуатации КСЗИ суще-

ствует много задач, которые требуют моделирования для исследо-

вания качественных и количественных закономерностей ее функ-

ционирования. Так, на этапе проектирования модель КСЗИ ис-

пользуется для исследования функционирования организации,

определения информационных потоков, критически важных то-

чек, документирования каждого выполняемого процесса. При даль-

нейшей разработке КСЗИ на основе различных классов моделей

идентифицируются внутренние и внешние угрозы, оцениваются

риски.

В целом процесс моделирования функционирования КСЗИ

может быть разбит на следующие этапы:

•

осуществление целеполагания для КСЗИ и ее подсистем; выбор

частных и обобщенных показателей защищенности информации,

критериев эффективности КСЗИ;

• формальное описание процессов функционирования КСЗИ

и ее взаимодействия с другими подсистемами предприятия;

• определение угроз безопасности информации;

•

построение математической модели функционирования КСЗИ;

• определение на основе математической модели параметров

КСЗИ их влияния на показатели защищенности информации;

• интерпретация полученных результатов для разработки про-

ектных решений по созданию КСЗИ.

Важное значение имеет также создание адекватной модели на-

рушителя, определяющей:

235

• мотивы и цели нарушителя, которые он преследует при со-

вершении НСД к информации;

• степень его воздействия на информационную среду;

• возможные места проникновения нарушителя;

• информационные ресурсы, доступные нарушителю;

• оценку последствий действий нарушителя.

Выделяют следующие задачи моделирования КСЗИ:

• оптимальное (или рациональное) распределение механизмов

безопасности между организационными мерами, инженерно-тех-

ническими средствами и программным обеспечением;

• проектирование структуры КСЗИ с различной степенью аб-

стракции (проекты высокого/низкого уровней) с целью обеспече-

ния полноты охвата процедурами безопасности всех потоков ин-

формации, подлежащей защите;

• оптимизация процессов управления безопасностью;

• оценка технико-экономических показателей КСЗИ на раз-

личных этапах жизненного цикла по мере уточнения требований

к организационным, инженерно-техническим и программным

мерам защиты, а также условий применения КСЗИ;

• оценка эффективности КСЗИ по результатам проведенных

испытаний;

• моделирование КСЗИ на этапе эксплуатации с целью учета

влияния новых угроз безопасности, изменения структуры пред-

приятия.

Итак, моделирование КСЗИ заключается в решении задач ана-

лиза функционирования, синтеза структуры и оптимизации про-

цессов управления безопасностью в КСЗИ на всех этапах жиз-

ненного цикла.

При моделировании задачи оптимального управления безопас-

ностью исследуются следующие вопросы [43]:

• обоснование рациональных решений в критических ситуаци-

ях нарушения безопасности информации:

а) необходимости (целесообразности) прекращения обработки

информации;

б) необходимости включения дополнительных (резервных)

средств защиты информации;

в) необходимости блокирования участка, на котором возникла

угрожаемая ситуация;

г) необходимости изменения режимов обработки информа-

ции;

• обоснование оптимальных решений в процессе планирова-

ния мероприятий по обеспечению безопасности информации:

а) обоснование множества дестабилизирующих факторов, про-

явление которых возможно в планируемый период;

б) выбор задач обеспечения безопасности информации, подле-

жащих решению в планируемый период;

236

в) выбор совокупности средств защиты, необходимых и доста-

точных для эффективного решения задач обеспечения безопасно-

сти информации;

г) распределение ресурсов КСЗИ между задачами;

д) обоснование графика использования средств защиты в про-

цессе обработки информации в планируемый период;

•

оценка степени текущего выполнения плана обеспечения без-

опасности информации.

Важной частью КСЗИ является система защиты информации в

автоматизированных системах (СЗИ АС). Для ее анализа разрабо-

тано большое количество формальных моделей безопасности, ко-

торые рассмотрены ниже.

11.2.

Формальные модели безопасности

и их анализ

11.2.1.

Классификация формальных моделей

безопасности

Формальные модели широко используются при построении

систем защиты, так как с их помощью можно доказать безопас-

ность системы, опираясь на объективные доказуемые математи-

ческие постулаты. Целью построения модели является получение

формального доказательства безопасности системы при соблюде-

нии определенных условий, а также определение достаточного

критерия безопасности. Формальные модели позволяют решить

целый ряд задач, возникающих в ходе проектирования, разработ-

ки и сертификации АС в защищенном исполнении.

Формальная модель отображает политику безопасности. По-

литика безопасности (ПБ) — совокупность норм и правил, регла-

ментирующих процесс обработки информации, выполнение ко-

торых обеспечивает защиту от определенного множества угроз и

составляет необходимое условие безопасности системы. Полити-

ка безопасности описывает множество условий, при соблюдении

которых пользователи системы могут получить доступ к ресурсам

вычислительной системы без потери ее информационной без-

опасности. Политика безопасности АС может состоять из множе-

ства частных политик, соответствующих конкретным механизмам

безопасности. Основу политики безопасности составляет способ

управления доступом субъектов системы к объектам.

При функционировании АС происходит взаимодействие меж-

ду ее компонентами, порождаются информационные потоки. Ос-

новная цель создания политики безопасности и описания ее в

виде формальной модели — это определение условий, которым

237

должны подчиняться поведение системы, выработка критерия

безопасности и проведение формального доказательства соответ-

ствия системы этому критерию при установленных ограничениях.

Свойство безопасности системы является, как правило, качествен-

ным и может быть булевой переменной: АС «безопасна-небез-

опасна».

Известно множество теоретических моделей, описывающих

различные аспекты безопасности. Данные модели можно разде-

лить по предназначению на классы: модели обеспечения конфи-

денциальности, контроля целостности, контроля информацион-

ных потоков и ролевого доступа. Кроме того, важное значение

имеет субъектно-ориентированная модель изолированной про-

граммной среды.

11.2.2.

Модели обеспечения конфиденциальности

Наиболее изучены математические модели, формализующие

политики безопасности для обеспечения конфиденциальности,

основанные на разграничении доступа. Политика безопасности

подобных систем направлена на то, чтобы к информации не по-

лучили доступа неавторизованные субъекты. Среди этих моделей

можно выделить три группы:

а) дискреционные модели (матрицы доступа Харрисона, Руззо

и Ульмана, модели Take-Grant,

Белла—Лападула

и др.);

б) мандатные модели

(Белла—Лападула,

Биба, систем воен-

ных сообщений);

в) модели ролевого разграничения доступа, которые нельзя

отнести ни к дискреционным, ни к мандатным.

Модели данного типа широко используются в большинстве

реальных систем. Так, в наиболее ответственных АС требуется

обязательное сочетание дискреционного и мандатного доступа,

поэтому рассмотрим их подробнее.

, Дискреционное управление доступом есть разграничение дос-

тупа между поименованными субъектами и поименованными

объектами. Права доступа субъектов к объектам определяются на

основе некоторого внешнего (по отношению к системе) правила.

Политика безопасности либо разрешает некоторое действие над

объектом защиты, либо запрещает его.

Для описания дискреционной модели используется матрица

доступа — таблица, отображающая правила доступа. Например, в

столбцах матрицы могут быть размещены

S-субъекты,

в строках —

О-объекты, а на пересечении столбцов и строк размещаются R-

права доступа. Права доступа могут быть типа: чтение, запись,

запуск процесса, управление доступом к файлу для других пользо-

вателей и т.п. Матрицу доступа можно задавать по-разному: от-

талкиваясь либо от субъектов, либо от объектов.

238

Примером дискреционной модели является модель Харрисо-

на, Руззо и Ульмана. Элементы этой модели — субъекты, объек-

ты, права доступа и матрица доступов. Рассматриваются следую-

щие права доступа: чтение, запись, владение. Функционирование

системы рассматривается только с точки зрения изменений в мат-

рице доступов. Изменения происходят за счет выполнения ко-

манд, которые составляются из 6 примитивных операторов: вне-

сти/удалить право, создать/уничтожить субъект/объект.

Авторы модели доказали, что в самом общем случае вопрос

определения безопасности компьютерной системы неразрешим,

т.

е.

не существует алгоритм, позволяющий определить, безопасна

система или нет. Вместе с тем если в системе отсутствуют коман-

ды вида Create

object,

Create

subject,

то ее безопасность может

быть оценена полиномиальным алгоритмом. Конечно, такая си-

стема является нереалистичной, поэтому было выполнено мно-

жество исследований на тему «Какие самые слабые ограничения

можно наложить на систему, чтобы вопрос безопасности оставал-

ся разрешимым?». Эти исследования привели, в частности, к раз-

работке системы Take-Grant, в которой вопрос безопасности раз-

решим, причем за полиномиальное время.

К достоинствам моделей дискреционного доступа можно от-

нести их гибкость.

Основным фундаментальным недостатком данных моделей яв-

ляется так называемая проблема троянских программ, заключаю-

щаяся в том, что нарушитель может навязать пользователю вы-

полнение программы, которая бы считывала данные из недоступ-

ного для нарушителя объекта и записывала их в разделяемый между

пользователем и нарушителем объект.

Другой недостаток — огромный размер матриц, необходимый

для использования в реальных системах. При дискреционном до-

ступе необходимо описать правила доступа для каждого объекта и

субъекта, что для больших систем практически нереализуемо. На

практике применяется автоматическое присвоение прав каждой

новой сущности, внедряемой в систему, что может приводить к

появлению ситуаций наличия некоторых прав по умолчанию, ко-

торые могут быть использованы нарушителем (заводские пароли

на BIOS, бюджеты по умолчанию в устанавливаемых ОС).

Мандатное управление доступом есть разграничение доступа

субъектов к объектам, основанное на характеризуемой меткой

конфиденциальности информации, содержащейся в объектах, и

допуска субъектов к информации соответствующего уровня кон-

фиденциальности. В отличие от моделей дискреционного доступа

модели мандатного доступа накладывают ограничение на переда-

чу информации от одного пользователя другому, контролируют

информационные потоки. Именно поэтому в подобных системах

проблемы троянских программ не существует.

239