1. Место информационной безопасности в системе национальной безопасности
 Скачать 453.88 Kb.
|
|
9.Виды уязвимости информации и формы ее проявления. Согласно определению, уязвимость информации – есть мера изменения информации под воздействием различных факторов. С таким определением можно не согласиться хотя бы потому, что информация не обязательно в этом случае будет изменена, она может быть просто скопирована или уничтожена. Уязвимость любой информации заключается в нарушении ее физической сохранности вообще либо у данного собственника (в полном или частичном объеме), структурной целостности, доступности для правомочных пользователей. Уязвимость конфиденциальной информации, в том числе составляющей государственную тайну, дополнительно включает в себя нарушение ее конфиденциальности (закрытости для посторонних лиц). Возможность изменения или нарушения действующего статуса информации обусловлено в первую очередь ее уязвимостью, которая означает неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, сохранять при таких воздействиях свой статус. Но уязвимость информации не существует как самостоятельное явление, а проявляется (выражается) в различных формах. Сегодня в научной литературе и нормативных документах не сформировался термин форма проявления уязвимости информации, но самих конкретных форм называется достаточно много. При этом значительное количество перечисляемых форм являются синонимами или разновидностями одних и тех же явлений, некоторые не могут быть отнесены к формам по своей сущности. Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, необходимо провести ее анализ. Требуется, во-первых, определить потенциальную ценность информационной собственности, во-вторых, оценить ее уязвимость (устойчивость к средствам разведки или поражения) и, в-третьих, спрогнозировать возможные угрозы. Определение потенциальной ценности информации обезопасит наиболее важные секреты, утечка которых способна нанести ущерб, значительно превышающий возможные затраты на их защиту. При этом важно установить : Ø какая информация нуждается в защите? Ø кого она может заинтересовать? Ø какие элементы информации наиболее ценны? Ø каков “срок жизни” этих средств? Ø во что обойдется их защита? Оценка уязвимости информации дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение противника к секретам компании. Главный результат такой работы — выявление возможных источников и каналов утечки информации. Одной из основных причин, обусловливающих сложность реше ния проблемы защиты конфиденциальной информации в ТКС, являет ся многообразие видов ее физического представления в этих системах, что предопределяет наличие различных возможных каналов ее утечки и тем самым необходимость создания многоплановой в физическом и функциональном отношении системы защиты. Так, в современных ав томатизированных ТКС ведомственного назначения информация может циркулировать в виде речи, текста или графических изображений на бумаге, фото- и кинопленке, проекционных экранах, в том числе мони торах ЭВМ, и т.д., в виде изменений состояния носителей информации, например, магнитных дисков и дискет, магнитных лент, перфокарт и т.д., а также в виде электрических сигналов в технических средствах, обра батывающих, хранящих или передающих конфиденциальную информа цию, и в соединяющих их линиях связи. Перехват информации, циркулирующей между объектами ТКС по каналам связи, возможен как при передаче ее по линиям, использу ющим излучающие средства радиосвязи, так и при передаче по про водным линиям. Возможность ведения технической разведки из-за пределов охраня емой территории объектов ТКС определяется наличием технических ка налов утечки информации. Все возможные каналы утечки информации на объектах ТКС могут быть сведены в три основных класса: акустиче ские каналы, оптические каналы и каналы утечки технических средств. По виду среды распространения опасных сигналов акустические каналы могут подразделяться на атмосферные и виброакустические, оптические каналы — на каналы видимого и инфракрасного диапазонов волн, а ка налы утечки технических средств — на полевые, к которым относятся электрические и магнитные поля указанных средств, и линейные, к ко торым относятся различного рода цепи и токопроводящие конструкции, выходящие за пределы охраняемой территории объектов ТКС. Основные каналы утечки информации на объектах ТКС рассматри ваются с учетом физических полей: • утечка по акустическому каналу; • утечка по виброакустическому каналу; • утечка по каналам проводной и радиосвязи, не имеющим шифру ющей и дешифрирующей аппаратуры; • утечка по электромагнитным каналам; • утечка через вторичные источники электропитания основных тех нических средств за счет неравномерности тока потребления; • утечка, возникающая при воздействии электрических, магнитных и акустических полей опасного сигнала на вспомогательных тех нических средствах; • утечка за счет тока опасного сигнала в цепях заземления; • утечка за счет взаимного влияния между цепями, по которым пере дается конфиденциальная информация, и цепями вспомогательных технических средств, имеющими выход за пределы зоны безопасности объекта (другими словами, использование эффекта индуктивности любых неэкранированных проводников); • утечка информации за счет побочных электромагнитных излучений наводок, образованных основными техническими средствами Необходимо отметить, что выявление всех возможных каналов утеч ки конфиденциальной информации из ТКС является необходимым усло вием для определения путей и способов решения проблемы ее защиты, а также конкретных мер по их реализации. Канал побочных электромагнитных излучений и наводок (ПЭМ1/1Н) является одним из основных каналов, через который вероятные наруши тели стараются получить сведения закрытого характера. Это присталь ное внимание он завоевал в силу своей стабильности, достоверности, неявной формы получения информации и возможности последующего анализа полученной информации. Охота ведется как за государствен ной, военной, так и за коммерческой информацией. Ее анализ произ водится по многим параметрам, что позволяет получать достаточно до стоверную информацию. Работа компьютера и других радиотехнических средств ТКС сопровождается побочными электромагнитными излучени ями, модулированными информативными сигналами. Так, ПЭМИН от персональных компьютеров типа IBM наблюдаются в диапазоне частот от десятков кГц до сотен МГц с уровнями в ближайшей зоне от 40 до 80 дБ. Существующие методы радиоперехвата информации позволя ют фиксировать информативные массивы работающих компьютеров на расстоянии до сотен метров. Аналогичный перехват информации может осуществляться через незащищенные цепи питания и заземления. Известно, что при работе ключом при передаче сообщений просле живается индивидуальный почерк радиста. Можно классифицировать перехваченные сигналы также по индивидуальным признакам пользова теля при нажатии клавиши ввода информации. Необходимо помнить о том, что многие подсистемы демаскируют себя применением только им присущих устройств и режимов работы. В некоторых случаях данное обстоятельство приобретает важное значе ние. Даже при приеме на бытовой приемник обычно легко различаются дежурный и рабочий режимы работы, особенности структуры сигнала в каналах связи, адресные сигналы и тому подобные характеристики информации, которые при совокупном анализе ситуации вносят свой определенный вклад в «копилку» нарушителя. Однако иногда перехват ПЭМИН оказывается возможным и без применения сложной приемной аппаратуры, длительного накопления и анализа информации. Во-первых, это перехват высвечиваемой ин формации компьютера с помощью объектного телевизионного приемни ка. При этом можно существенно улучшить возможности приема путем проведения незначительных изменений в телевизионном приемнике. Во-вторых, это перехват излучений от низкочастотных электромеханических устройств с последовательным кодом передачи информации. Многими специалистами, осознающими реальную опасность утечки коммерческих секретов, предпринимаются действия, направленные на ослабление (закрытие) естественных каналов утечки информации раз личными методами. В связи с этим попытки нарушителей создавать и использовать искусственные каналы утечки будут усиливаться. Известны следующие источники утечки информации. Для каждо го конкретного помещения существует свой набор технических средств, которые могут создавать опасные сигналы и способствовать их распро странению, т.е. служить источниками утечки. Эту технику можно раз делить на две основные группы: 1. Основные технические средства: • телефонные аппараты городской АТС; • телефонные аппараты внутренней связи; • факс; • компьютеры (возможно укомплектованные модемами); • средства размножения документов типа ксерокс. 2. Вспомогательные средства: • телевизор; • магнитофон, видеоаппаратура; • радиоприемник; • радиотрансляционный громкоговоритель, селекторная связь; • датчики охранной и пожарной сигнализации; • кондиционер; • телетайп; • объектовая сеть электрификации; • табельное электрооборудование помещения. 10.Каналы и методы несанкционированного доступа к конфиденциальной информации. Для того чтобы осуществить дестабилизирующее воздействие на защищаемую (конфиденциальную) информацию, людям, не имеющим разрешенного доступа к ней, необходимо его получить. Такой доступ называется несанкционированным(НСД). Как правило, несанкционированный доступ бывает преднамеренным и имеет целью оказать сознательное дестабилизирующее воздействие на защищенную информацию. Несанкционированный доступ, даже преднамеренный, не всегда является противоправным. Чаще всего он, конеч но, бывает незаконным, но нередко не носит криминального характера. Несанкционированный доступ, осуществляется через существующий или специально создаваемый канал доступа, который определяется как путь, используя который, можно получить неразрешенный доступ к защищаемойинформации. Каналы НСД классифицируются по компонентам автоматизированных информационных систем: Через человека: · хищение носителей информации; · чтение информации с экрана или клавиатуры; · чтение информации из распечатки. Через программу: · перехват паролей; · расшифровка зашифрованной информации; · копирование информации с носителя. Через аппаратуру: · подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации; · перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т. д. К методам несанкционированного доступа к защищаемой информации относятся: 1. Установление контакта с лицами, имеющими или имевшими доступ к защищаемой информации; 2. Вербовка и (или) внедрение агентов; 3. Организация физического проникновения к носителям защищаемой информации; 4. Подключение к средствам отображение, хране ния, обработки, воспроизведения и передачи информации, средствам связи; 5. Прослушивание речевой конфиденциальной инфор мации; 6. Визуальный съем конфиденциальной информации; 7. Перехват электромагнитных излучений; 8. Исследование выпускаемой продукции, производс твенных отходов и отходов процессов обработки информации; 9. Изучение доступных источников информации; 10. Подключение к системам обеспечения производс твенной деятельности предприятия; 11. Замеры и взятие проб окружающей объект среды; 12. Анализ архитектурных особенностей некоторых категорий объектов. 11. Модель нарушителя. Попытка получить несанкционированный доступ к компьютерным сетям с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похи тить программу или иную информацию квалифицируется как компьютерное пират ство. Удивительно мало фирм, где руководство верит в то, что их фирма может постра дать от хакеров, и еще меньше таких, где анализировались возможные угрозы и обес печивалась защита компьютерных систем. Они не осознают серьезной опасности, исходящей от профессиональных программис тов или обиженных руководителей, поскольку не понимают мотивов, которыми руко водствуются эти люди при совершении компьютерных пиратств. Для предотвращения возможных угроз фир мы должны не только обеспечить защиту опе рационных систем, программного обеспечения и контроль доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют. В зависимости от мотивов, целей и методов, действия нарушителей безопасности информа ции можно разделить на четыре категории: – искатели приключений; – идейные хакеры; – хакеры-профессионалы; – ненадежные (неблагополучные) сотруд ники. Искатель приключений, как правило, молод: очень часто это студент или стар шеклассник, и у него редко имеется продуманный план атаки. Он выбирает цель слу чайным образом и обычно отступает, столкнувшись с трудностями. Найдя дыру в сис теме безопасности, он старается собрать закрытую информацию, но практически никогда не пытается ее тайно изменить. Своими победами такой искатель приключе ний делится только со своими близкими друзьями-коллегами. Идейный хакер — это тот же искатель приключений, но более искусный. Он уже выбирает себе конкретные цели на основании своих убеждений. Его излюбленным видом атаки является изменение информационного наполнения Web-сервера или, в более редких случаях, блокирование работы атакуемого ресурса. По сравнению с искателем приключений, идейный хакер рассказывает об успешных; атаках гораздо более широкой аудитории. Хакер-профессионал имеет четкий план действий и нацеливается на определен ные ресурсы. Его атаки хорошо продуманы и обычно осуществляются в несколько этапов. Сначала он собирает предварительную информацию (тип ОС, предоставляе мые сервисы и применяемые меры защиты). Затем он составляет план атаки с учетом собранных данных и подбирает (или даже разрабатывает) соответствующие инстру менты. Далее, проведя атаку, он получает закрытую информацию, и, наконец, уничто жает все следы своих действий. Такой атакующий профессионал обычно хорошо фи нансируется и может работать в одиночку или в составе команды профессионалов. Ненадежный (неблагополучный) сотрудник своими действиями может доставить столько же проблем (или даже больше), сколько промышленный шпион, к тому же его присутствие обычно сложнее обнаружить. Кроме того, ему приходится преодоле вать не внешнюю защиту сети, а только, как правило, менее жесткую внутреннюю. Он не так изощрен в способах атаки, как промышленный шпион, и поэтому чаще до пускает ошибки и тем самым может выдать свое присутствие. Однако в этом случае опасность его несанкционированного доступа к корпоративным данным много выше, чем любого другого злоумышленника. Перечисленные категории нарушителей безопасности информации можно сгруп пировать по их квалификации: начинающий (искатель приключений), специалист (идейный хакер, ненадежный сотрудник), профессионал (хакер-профессионал). А ес ли с этими группами сопоставить мотивы нарушения безопасности и техническую ос нащенность каждой группы, то можно получить обобщенную модель нарушителя бе зопасности информации, как это показано на рис. 1.5. Нарушитель безопасности информации, как правило, являясь специалистом опре деленной квалификации, пытается узнать все о компьютерных системах и сетях и, в ча стности, о средствах их защиты. Поэтому модель нарушителя определяет: – категории лиц, в числе которых может оказаться нарушитель; – возможные цели нарушителя и их градации по степени важности и опасности; – предположения о его квалификации; – оценка его технической вооруженности; – ограничения и предположения о характере его действий. До недавнего времени вызывали беспокойство случаи, когда недовольные руково дителем служащие, злоупотребляя своим положением, портили системы, допуская к ним посторонних или оставляя системы без присмотра в рабочем состоянии. Побу дительными мотивами таких действий являются: – реакция на выговор или замечание со стороны руководителя; – недовольство тем, что фирма не оплатила сверхурочные часы работы; – злой умысел в качестве, например, реванша с целью ослабить фирму как конку рента какой-либо вновь создаваемой фирмы. Недовольный руководителем служащий создает одну из самых больших угроз вы числительным системам коллективного пользования. Это обусловлено еще и тем, что агентства по борьбе с хакерами с большей охотой обслуживают владельцев индивидуальных компьютеров. Профессиональные хакеры — это компьютерные фанаты, прекрасно знающие вы числительную технику и системы связи. Они затратили массу времени на обдумыва ние способов проникновения в системы и еще больше, экспериментируя с самими си стемами. Для вхождения в систему профессионалы чаще всего используют некоторую систематику и эксперименты, а не рассчитывают на удачу или догадку. Их цель — вы явить и преодолеть защиту, изучить возможности вычислительной установки и затем удалиться, утвердившись в возможности достижения своей цели. Благодаря высокой квалификации эти люди понимают, что степень риска мала, так как отсутствуют мотивы разрушения или хищения. К категории хакеров-профессионалов обычно относят следующих лиц: – входящих в преступные группировки, преследующие политические цели; – стремящихся получить информацию в целях промышленного шпионажа; – хакер или группировки хакеров, стремящихся к наживе. Компьютерные махинации обычно тщательно спланированы и совершаются со знанием дела. Мотивом нарушений, как правило, служат большие деньги, кото рые можно было получить, практически не рискуя. Вообще профессиональные пи раты стремятся свести риск к минимуму. Для этого они привлекают к соучастию работающих или недавно уволившихся с фирмы служащих, поскольку для посто роннего риск быть обнаруженным при проникновении в банковские системы весьма велик. 12.Модель угроз. Частная модель угроз (если ИСПД несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается порезультатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
Разработанная модель угроз утверждается руководителем. Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным: с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения; с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн. Модель угроз является методическим документом и предназначена для государственных и муниципальных органов, юридических и (или) физических лиц (далее – операторов), организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем. С применением Модели угроз решаются следующие задачи: разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования; анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; контроль обеспечения уровня защищенности персональных данных. В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации. Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке. 13.Критерии оценки безопасности информационных технологий. Мы возвращаемся к теме оценочных стандартов, приступая к рассмотрению самого полного и современного среди них - "Критериевоценки безопасности информационных технологий" (издан 1 декабря 1999 года). Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран, он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК). Мы также будем использовать это сокращение. "Общие критерии" на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы. С программистской точки зрения ОК можно считать набором библиотек, помогающих писать содержательные "программы" -задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, "с нуля", программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и "Общие критерии" предоставили соответствующий инструментарий. Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным функциям. Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности:
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы. Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами. В свою очередь, угрозы характеризуются следующими параметрами:
Уязвимые места могут возникать из-за недостатка в:
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации. С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент. Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требованияподотчетности ). Семейства в пределах класса различаются по строгости и другим нюансам требований. Компонент - минимальный набор требований, фигурирующий как целое. Элемент - неделимое требование. Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все комбинации компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы. Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности. Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях). Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности. Выше мы отмечали, что в ОК нет готовых классов защиты. Сформировать классификацию в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности. Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно, на наш взгляд, сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты. Функциональный пакет - это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности. "Общие критерии" не регламентируют структуру пакетов, процедуры верификации, регистрации и т.п., отводя им роль технологического средства формирования ПЗ. Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования. Функциональные требования Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в "Оранжевой книге". Перечислим классы функциональных требований ОК:
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ. Класс "Приватность" содержит 4 семейства функциональных требований. Анонимность. Позволяет выполнять действия без раскрытия идентификатора пользователя другим пользователям, субъектам и/или объектам. Анонимность может быть полной или выборочной. В последнем случае она может относиться не ко всем операциям и/или не ко всем пользователям (например, у уполномоченного пользователя может оставаться возможность выяснения идентификаторов пользователей). Псевдонимность. Напоминает анонимность, но при применении псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей. Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования информационных сервисов, но не позволяет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения профилей поведения пользователей (и, следовательно, от получения информации на основе подобных профилей). Скрытность. Требования данного семейства направлены на то, чтобы можно было использовать информационный сервис с сокрытием факта использования. Для реализации скрытности может применяться, например, широковещательное распространение информации, без указания конкретного адресата. Годятся для реализации скрытности и методы стеганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки. Еще один показательный (с нашей точки зрения) класс функциональных требований - "Использование ресурсов", содержащий требования доступности. Он включает три семейства. Отказоустойчивость. Требования этого семейства направлены на сохранение доступности информационных сервисов даже в случае сбоя или отказа. В ОК различаются активная и пассивная отказоустойчивость. Активный механизм содержит специальные функции, которые активизируются в случае сбоя. Пассивная отказоустойчивость подразумевает наличие избыточности с возможностью нейтрализации ошибок. Обслуживание по приоритетам. Выполнение этих требований позволяет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным. Распределение ресурсов. Требования направлены на защиту (путем применения механизма квот) от несанкционированной монополизации ресурсов. Мы видим, что "Общие критерии" - очень продуманный и полный документ с точки зрения функциональных требований. В то же время, хотелось бы обратить внимание и на некоторые недостатки. Первый мы уже отмечали - это отсутствие объектного подхода. Функциональные требования не сгруппированы в осмысленные наборы (объектные интерфейсы), к которым могло бы применяться наследование. Подобное положение, как известно из технологии программирования, чревато появлением слишком большого числа комбинаций функциональных компонентов, несопоставимых между собой. В современном программировании ключевым является вопрос накопления и многократного использования знаний. Стандарты - одна из форм накопления знаний. Следование в ОК "библиотечному", а не объектному подходу сужает круг фиксируемых знаний, усложняет их корректное использование. К сожалению, в "Общих критериях" отсутствуют архитектурные требования, что является естественным следствием избранного старомодного программистского подхода "снизу вверх". На наш взгляд, это серьезное упущение. Технологичность средств безопасности, следование общепризнанным рекомендациям по протоколам и программным интерфейсам, а также апробированным архитектурным решениям, таким как менеджер/агент, - необходимые качества изделий информационных технологий, предназначенных для поддержки критически важных функций, к числу которых, безусловно, относятся функции безопасности. Без рассмотрения интерфейсных аспектов системы оказываются нерасширяемыми и изолированными. Очевидно, с практической точки зрения это недопустимо. В то же время, обеспечение безопасности интерфейсов - важная задача, которую желательно решать единообразно. Требования доверия безопасности Установление доверия безопасности, согласно "Общим критериям", основывается на активном исследовании объекта оценки. Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
Применительно к требованиям доверия в "Общих критериях" сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов. Оценочный уровень доверия 1 (начальный) предусматривает анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимое тестирование. Уровень применим, когда угрозы не рассматриваются как серьезные. Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта оценки, выборочное независимое тестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест. На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки. На уровне 4 добавляются полная спецификация интерфейсов, проекты нижнего уровня, анализ подмножества реализации, применение неформальной модели политики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого можно достичь при существующей технологии программирования и приемлемых затратах. Уровень 5, в дополнение к предыдущим, предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификации и проекта верхнего уровня с демонстрацией соответствия между ними. Необходимо проведение анализа скрытых каналов разработчиками и оценщиками. На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня. Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска. 14.Методы защиты информации от несанкционированного доступа. Несанкционированный доступ к информации — это незапланированное ознакомление, обработка, копирова ние, применение различных вирусов, в том числе разру шающих программные продукты, а также модификация или уничтожение информации в нарушение установлен ных правил разграничения доступа. Поэтому, в свою очередь, защита информации от не санкционированного доступа призвана не допустить зло умышленника к носителю информации. В защите инфор мации компьютеров и сетей от НСД можно выделить три основных направления: – ориентируется на недопущение нарушителя к вычис лительной среде и основывается на специальных технических средствах опоз навания пользователя; – связано с защитой вычислительной среды и основывается на создании специаль ного программного обеспечения; – связано с использованием специальных средств защиты информации компьюте ров от несанкционированного доступа. Следует иметь в виду, что для решения каждой из задач применяются как различ ные технологии, так и различные средства. Требования к средствам защиты, их харак теристики, функции ими выполняемые и их классификация, а также термины и опре деления по защите от несанкционированного доступа приведены в руководящих документах Государственной технической комиссии: – «Автоматизированные системы. Защита от несанкционированного доступа к ин формации. Классификация АС и требования по защите информации»; – «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»; – «Защита от несанкционированного доступа к информации. Термины и определения». Технические средства, реализующие функции защиты можно разделить на: o встроенные; o внешние. К встроенным средствам защиты персонального компьютера и программного обес печения (рис. 3.12) относятся средства парольной защиты BIOS, операционной систе мы, СУБД. Данные средства могут быть откровенно слабыми — BIOS с паролем су первизора, парольная защита Win95/98, но могут быть и значительно более стойкими — BIOS без паролей супервизора, парольная защита Windows NT, СУБД ORACLE. Ис пользование сильных сторон этих средств позволяет значительно усилить систему защиты информации от НСД. Внешние средства призваны подменить встроенные средства с целью усиления за щиты, либо дополнить их недостающими функциями. К ним можно отнести: – аппаратные средства доверенной загрузки; – аппаратно-программные комплексы разделения полномочий пользователей на доступ; – средства усиленной аутентификации сетевых соединений. Аппаратные средства доверенной загрузки представляют собой изделия, иногда называ емые «электронным замком», чьи функции заключаются в надежной идентификации пользо вателя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспече нием, записанным либо во Flash-память платы, либо на жесткий диск компьютера. Принцип их действия простой. В процессе загрузки стартует BIOS и платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера (чаще всего это ва риант MS-DOS), после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загру зочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осу ществляется либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хэширования алгоритма ГОСТ Р 34.11-34 или иного алгоритма. Результат про верки сравнивается с хранимым во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на эк ран. Если проверки дали положительный результат, то плата передает управление пер сональному компьютеру для дальнейшей загрузки операционной системы. Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса — их высокая надежность, простота и невысо кая цена. При отсутствии многопользовательской работы на компьютере функций за щиты данного средства обычно достаточно. Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделе ния их полномочий на доступ к данным друг друга. Решение данной задачи основано на: 01 запрете пользователям запусков определенных приложений и процессов; Q разрешении пользователям и запускаемым ими приложениям лишь определен ного типа действия с данными. Реализация запретов и разрешений достигается различными способами. Как пра вило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резиден тный модуль и контролирует действия пользователей на запуск приложений и обра щения к данным. Все действия пользователей фиксируются в журнале, который досту пен только администратору безопасности. Под средствами этого класса обычно и понимают средства защиты от несанкционированного доступа. Они представляют со бой аппаратно-программные комплексы, состоящие из аппаратной части — платы до веренной загрузки компьютера, которая проверяет теперь дополнительно и целост ность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части — программы администратора, резидентного модуля. Эти про граммы располагаются в специальном каталоге и доступны лишь администратору. Дан ные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе. Средства усиленной аутентификации сетевых соединений применяются в том слу чае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабо чую станцию со стороны сети и изменения либо информации, либо программного обес печения, а также запуска несанкционированного процесса. Защита от НСД со сторо ны сети достигается средствами усиленной аутентификации сетевых соединений. Эта технология получила название технологии виртуальных частных сетей. Одна из основных задач защиты от несанкционированного доступа — обеспечение на дежной идентификации пользователя (рис. 3.13) и возможности проверки подлинности лю бого пользователя сети, которого можно однозначно идентифицировать по тому, что он: – знает; – имеет; – из себя представляет. Что знает пользователь? Свое имя и пароль. На этих знаниях основаны схемы па рольной идентификации. Недостаток этих схем — ему необходимо запоминать слож ные пароли, чего очень часто не происходит: либо пароль выбирают слабым, либо его просто записывают в записную книжку, на листок бумаги и т. п. В случае использова ния только парольной защиты принимают надлежащие меры для обеспечения управ лением создания паролей, их хранением, для слежения за истечением срока их ис пользования и своевременного удаления. С помощью криптографического закрытия паролей можно в значительной степени решить эту проблему и затруднить злоумыш леннику преодоление механизма аутентификации. Что может иметь пользователь? Конечно же, специальный ключ — уникальный идентификатор, такой, например, как таблетка touch memory (I-button), e-token, смарт-карта, или криптографический ключ, на котором зашифрована его запись в базе дан ных пользователей. Такая система наиболее стойкая, однако, требует, чтобы у пользо вателя постоянно был при себе идентификатор, который чаще всего присоединяют к брелку с ключами и либо часто забывают дома, либо теряют. Будет правильно, если утром администратор выдаст идентификаторы и запишет об этом в журнале и примет их обратно на хранение вечером, опять же сделав запись в журнале. Что же представляет собой пользователь? Это те признаки, которые присущи толь ко этому пользователю, только ему, обеспечивающие биометрическую идентификацию. Идентификатором может быть отпечаток пальца, рисунок радужной оболочки глаз, от печаток ладони и т. п. В настоящее время — это наиболее перспективное направление развития средств идентификации. Они надежны и в то же время не требуют от пользова теля дополнительного знания чего-либо или постоянного владения чем-либо. С развити ем технологи и стоимость этих средств становится доступной каждой организации. Гарантированная проверка личности пользователя является задачей различных механизмов идентификации и аутентификации. Каждому пользователю (группе пользователей) сети назначается определенный отличительный признак — идентификатор и он сравнивается с утвержденным переч нем. Однако только заявленный идентификатор в сети не может обеспечить защиту от несанкционированного подключения без проверки личности пользователя. Процесс проверки личности пользователя получил название — аутентификации. Он происходит с помощью предъявляемого пользователем особого отличительного при знака — аутентификатора, присущего именно ему. Эффективность аутентификации оп ределяется, прежде всего, отличительными особенностями каждого пользователя. Конкретные механизмы идентификации и аутентификации в сети могут быть реа лизованы на основе следующих средств и процедур защиты информации: – пароли; – технические средства; – средства биометрии; – криптография с уникальными ключами для каждого пользователя. Вопрос о применимости того или иного средства решается в зависимости от выяв ленных угроз, технических характеристик защищаемого объекта. Нельзя однозначно утверждать, что применение аппаратного средства, использующего криптографию, придаст системе большую надежность, чем использование программного. Анализ защищенности информационного объекта и выявление угроз его безопас ности — крайне сложная процедура. Не менее сложная процедура — выбор техноло гий и средств защиты для ликвидации выявленных угроз. Решение данных задач луч ше поручить специалистам, имеющим богатый опыт. 15.Риски информационной безопасности. В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом: 1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса. 2) Оценивание возможных угроз. 3) Оценивание существующих уязвимостей. 4) Оценивание эффективности средств обеспечения информационной безопасности. Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от: - показателей ценности информационных ресурсов; - вероятности реализации угроз для ресурсов; - эффективности существующих или планируемых средств обеспечения информационной безопасности. Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами: - привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека); - возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека); - техническими возможностями реализации угрозы при умышленном воздействии со стороны человека; - степенью легкости, с которой уязвимость может быть использована. В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800 30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во первых, определение основных целей и задач защиты информационных активов компании. Во вторых, создание эффективной системы оценки и управления информационными рисками. В третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В четвертых, применение специального инструментария оценивания и управления рисками. Качественные методики управления рисками Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799 2002. Стандарт ISO 17799 содержит две части. В Части 1: Практические рекомендации по управлению информационной безо пасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: • Политика безопасности. • Организация защиты. • Классификация и управление информационными ресурсами. • Управление персоналом. • Физическая безопасность. • Администрирование компьютерных систем и сетей. • Управление доступом к системам. • Разработка и сопровождение систем. • Планирование бесперебойной работы организации. • Проверка системы на соответствие требованиям ИБ. |