Кондаков Информационная безопасност систем физической засчиты 20. Информационная безопасность систем физической защиты, учета и контроля ядерных материалов
 Скачать 0.69 Mb.
|
|
3. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СФЕРЕ УЧЕТА И КОНТРОЛЯ ЯДЕРНЫХ МАТЕРИАЛОВ Прогресс в сфере вычислительной техники сопровождается бурным развитием программного обеспечения. Зачастую вновь созданные и распространяемые программные средства не отвечают современным требованиям безопасности. Примером может являть- ся программное обеспечение, создаваемое наиболее мощной кор- 15 порацией в этой сфере деятельности – Microsoft. Выпускаемые операционные системы (ОС), системы управления базами данных (СУБД) содержат изъяны в обеспечении информационной безопас- ности и большое число «недокументированных возможностей». Их наличие позволяет злоумышленникам через глобальные сети вне- дряться в информационные системы, определять пароли пользова- телей, произвольно назначать себе уровни доступа и, в конечном итоге, свободно манипулировать конфиденциальной информацией. Отставание теоретической проработки информационной безо- пасности от технологического прогресса и постоянно обновляю- щихся угроз безопасности приводит к тому, что большинство сис- тем защиты занимается «латанием дыр», обнаруженных в процессе эксплуатации. На ситуацию с обеспечением компьютерной безопасности су- щественное влияние оказывает тот факт, что существующие на- циональные стандарты в сфере информационной безопасности также отстают от требований, предъявляемых к безопасности со- временных информационных технологий. Глобализация информа- ционного пространства привела к необходимости выработки меж- дународных критериев безопасности, которые должны стандарти- зировать требования к безопасности, обоснования применения тех или иных средств обеспечения информационной безопасности и корректность реализации средств защиты. Надо отметить, что перечисленные проблемы осознаются и ор- ганами государственного управления и разработчиками систем вы- числительной техники и программного обеспечения. В последнее время усилия по обеспечению защиты информации ставятся на первый план и при продвижении нового программного обеспече- ния. Созданы международные критерии обеспечения компьютер- ной безопасности, которые утверждены Международной организа- цией по стандартизации (ISO) в 1999 г. [6]. С 1 января 2004 г. этот стандарт действует и в Российской Федерации. Разработчики про- граммного обеспечения стремятся сертифицировать свои продукты согласно этим критериям, что в целом должно поднять уровень обеспечения информационной безопасности. Так в 2002 году на соответствие этим критериям была сертифицирована операционная система Windows 2000, в 2003 году были сертифицированы неко- торые дистрибутивы операционной системы Linux. 16 В Российской Федерации в целом тенденции развития информа- ционных технологий в области обеспечения безопасности соответ- ствуют общемировым. Тем не менее существуют и определенные особенности. Распространение информационных технологий в Рос- сии несколько отстает от экономически развитых стран мира. С од- ной стороны это объясняется тем, что наша страна позднее разви- тых стран получила возможность развивать общедоступные ин- формационные системы, с другой стороны экономическая ситуация в стране не позволяет сделать информационные технологии дос- тупными большинству населения. Это отставание сказывается, на- пример, в динамике развития нормативных документов в сфере информационной безопасности. Так, первые руководящие доку- менты Гостехкомиссии России (ФСТЭК) [9–12] в сфере защиты информации от несанкционированного доступа были приняты в 1992 г. Идеология, отраженная в этих документах, соответствовала образцам критериев Министерства обороны США, так называемой «Оранжевой книги», принятых в 1983 г. Близок к этим документам и руководящий документ, регулирующий защиту информации в автоматизированных системах учета и контроля ядерных материа- лов [11], принятый в 1997 г. И только в 2004 г. в России стали стандартом Международные критерии. На отечественном рынке практически отсутствуют специализи- рованные средства работы с секретной информацией, такие, как операционные системы и СУБД. То, что используется в качестве базового программного обеспечения (ПО), не выдерживает крити- ки с точки зрения обеспечения безопасности. Зачастую использу- ются коммерческие системы, предназначенные для обеспечения работы малых предприятий и офисов и не ориентированные в принципе на работу с секретной информацией. Существующие средства защиты решают отдельные задачи, например задачу крип- тографии, но не в состоянии решить проблему в целом. Если говорить о положении защиты информации в сфере учета и контроля ядерных материалов, то следует отметить, что исполь- зование коммерческого базового программного обеспечения, раз- работанного в третьих странах, для обработки информации, со- ставляющей государственную тайну, едва ли может считаться нор- мальным. В аналогичных ситуациях правительства многих стран отказываются от импортного программного обеспечения и разраба- 17 тывают собственное ПО. Один из последних примеров такого ро- да – отказ ряда стран от использования программного обеспечения корпорации Microsoft для задач государственного и регионального управления. Существуют два пути решения этой проблемы [12]. Первый путь – это создание собственного программного обеспече- ния на отечественной платформе. Второй путь – доработка сущест- вующего ПО, заключается в создании собственных систем защиты информации (СЗИ) и внедрении их в существующие системы на основании лицензионных соглашений. Первый путь является очень затратным, и в настоящее время Росатом двигается по второму пу- ти. В 2003 г. в рамках программы GSP (Government Security Program) корпорацией Microsoft предоставлена возможность озна- комления с исходными текстами своих операционных систем для уполномоченных организаций ряда стран. В России такое соглаше- ние было подписано между корпорацией и ФАПСИ (позднее ФАПСИ было упраздено, а функции агенства переданы ФСБ). За- явлено также, что корпорация Microsoft будет предоставлять в ус- тановленном порядке для проведения оценки необходимую про- ектную документацию, а также возможность разработки про- граммных модулей в тех случаях, когда предъявляемые функцио- нальные требования не реализованы в продуктах корпорации Microsoft. 4. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СФЕРЕ СИСТЕМ ФИЗИЧЕСКОЙ ЗАЩИТЫ В отличие от систем учета и контроля, где обработка информа- ции является одной из основных функций, в системах физической защиты это не совсем так. Физическая защита как составная часть системы по обеспечению сохранности ЯМ представляет собой це- лый комплекс организационных мероприятий, инженерно-техни- ческих средств и действий подразделений охраны в целях предот- вращений диверсий или хищений. На практике он включает в себя несколько подсистем, каждая из которых должна обеспечивать эф- фективную защиту от угроз в ограниченной области. Согласно «Правилам физической защиты ядерных материалов, ядерных ус- тановок и пунктов хранения ядерных материалов» [3] подсистема 18 защиты информации должна входить в состав технических средств СФЗ наравне с другими подсистемами, такими как, СКУД, ОС. При автономном функционировании (то есть при отсутствии единого компьютеризированного центра сбора и обработки информации) каждая из этих подсистем может иметь собственные коммуника- ции, центры управления, причем информация может не представ- ляться в цифровом виде. Например, состояние датчиков охраны отображается световой индикацией на сигнальных панелях, изо- бражение с видеокамер выводится прямо на мониторы и т.п. Ос- новные проблемы для информации такого типа лежат в области внешних физических воздействий: это повреждения коммуника- ций, взаимные электромагнитные наводки или внешние помехи. Они рассматриваются с точки зрения надежности функционирова- ния инженерно-технического комплекса и должны быть учтены при проектировании СФЗ. Развитие информатики и микропроцессорных средств в 1980– 90-е годы стимулировало внедрение компьютерных технологий практически во все подсистемы безопасности. Однако следует от- метить, что аппаратура уровня датчиков и исполнительных уст- ройств обычно реализуется на специализированных контроллерах или микропроцессорах. Эти устройства не связаны непосредствен- но с управляющими компьютерами и для них нет необходимости использовать относительно медленную среду операционной систе- мы Windows. Программное обеспечение для них создается произ- водителем и их программирование («прошивка») осуществляется с помощью специализированных приборов. Поэтому угрозы ИБ на этом уровне, в их традиционном понимании, практически отсутст- вуют. Переход к компьютерной обработке информации с использо- ванием общепринятой архитектуры и протоколов происходит на уровне автоматизированных рабочих мест (АРМ) персонала пред- приятия и служб безопасности. Растущие требования к эффектив- ности служб безопасности и охраны приводят к широкому внедре- нию автоматизированного контроля и управления СФЗ. Например, широкое распространение электронных пропусков и современных средств аутентификации (особенно, биометрической) требует от подсистемы управления и контроля доступом высокой степени ав- томатизации. Расширение использования оптико-электронного (видео, телевизионного) наблюдения приводит к разрыву возмож- 19 ностей этой подсистемы и оператора – человек не способен долгое время внимательно наблюдать за множеством картинок или мони- торов. На уровне взаимодействия персонала с системой необходим постоянный и «дружественный» контакт компьютера с человеком, так как работа с системой на этом уровне необходима для сотруд- ников самых различных служб объекта. Поэтому данный уровень чаще всего реализуется на базе привычной для человека графиче- ской среды Windows или подобной. Рабочие места операторов и персонала должны быть организованы в удобном для восприятия информации виде с использованием графических планов объекта, пиктограмм, с постоянным интерактивным отображением их со- стояния цветом, текстовыми комментариями и инструкциями опе- ратору. Современные тенденции развития СФЗ для важных объек- тов лежат в области объединения различных подсистем в единый комплекс. Как правило, это происходит на основе общей компью- теризированной системы и специального программного обеспече- ния. Такой подход позволяет строить СФЗ с организацией автома- тизированных алгоритмов реакции на события, синхронизацией баз данных и автоматизацией поиска нужных событий в одной подсис- теме при известных входных событиях в другой. В таких системах возможна организация удобных рабочих мест, с привязкой состоя- ния и управления работой к графическим планам объекта, что об- легчает деятельность операторов, уменьшает время реакции и при- нятия решений. Комплексная компьютеризированная система управления физи- ческой защитой объекта обычно создается на базе локальной сети, объединяющей серверы управления подсистемами, автоматизиро- ванные рабочие места и серверы баз данных. При этом такая АС является многопользовательской и содержит информацию различ- ной степени конфиденциальности. Например, рабочее место со- трудника бюро пропусков должно обеспечивать доступ только к персональным данным сотрудников. А рабочее место оператора или дежурного охраны – к графическим планам объекта, с данными о расположении средств охранной сигнализации. В первом случае, информация может являться конфиденциальной, во втором – сек- ретной. Персонал, работающий с данными, относится к разным подразделениям и имеет разные уровни допуска. Эти обстоятельст- 20 ва предъявляют повышенные требования к разграничению доступа использующих систему сотрудников. Например, в одной из российских интегрированных систем фи- зической защиты доступ регулируется на трех уровнях программ- ного обеспечения: • уровень 1 – средства разграничения доступа и управления при- вилегиями пользователей, встроенные в операционную систему (например, Windows NT или Unix); • уровень 2 – средства ограничения доступа к информации и управления привилегиями с использованием возможностей систе- мы управления базами данных (СУБД); • уровень 3 – средства, встроенные в само программное обеспе- чение управляющее доступом и охранными средствами, позво- ляющие пользователям предоставлять различные привилегии, что даёт возможность гибко разграничить доступ между различными операторами и администраторами системы. Например, существует возможность установки разной видимости информации на специа- лизированных рабочих местах, например с рабочего места админи- стратора доступна вся информация о работнике, а с рабочего места оператора будут видны только фамилии, инициалы и фотографии владельцев карт доступа без указания их категорий, мест работы домашних адресов и т.п. В соответствии с введенным в действие с июня 2008 г. докумен- том Ростехнадзора РФ «Требования к системам физической защи- ты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов» [4] как технические, так и программные средства систем ФЗ, используемые при обработке секретной ин- формации, подлежат обязательной сертификации, которая прово- дится на соответствие требованиям безопасности информации. Созданные и реконструированные системы физической защиты подлежат аттестации по требованиям безопасности информации. Требования к подобным АС формируются на базе руководящего документа Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Класси- фикация автоматизированных систем и требования по защите ин- формации» [8], выпущенного в 1992 г. Этот документ позже по- служил основой и для формирования требований к компьютеризи- рованным СУиК ЯМ. Следует отметить, что данный документ тре- 21 бует использовать для обработки и хранения секретной информа- ции только сертифицированные средства вычислительной техники. Таким образом, используемые компьютеры и серверы должны быть аттестованы на соответствие требованиям защищенности от несанкционированного доступа (НСД). 5. СТАНДАРТЫ И НОРМАТИВЫ В СФЕРЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УИК И ФЗ ЯМ Существует достаточно большой перечень документов Росато- ма, касающихся обеспечения информационной безопасности в ав- томатизированных системах предприятий и организаций мини- стерства. Их перечень приводится в отраслевом стандарте по ос- нащению систем учета и контроля ядерных материалов [1]. Сам от- раслевой стандарт содержит разделы, посвященные обеспечению информационной безопасности как с точки зрения защиты от НСД, так и с точки зрения надежности хранения информации. В данном разделе мы рассмотрим отечественные нормативные акты и доку- менты в сфере защиты от НСД, которыми разработчики АС долж- ны руководствоваться при создании средств защиты информации. Основным документом, устанавливающим классификацию СУиК ЯМ и регламентирующим требования по защите от НСД к инфор- мации в СУиК, является руководящий документ Гостехкомиссии РФ и Минатома «Требования по защите от несанкционированного доступа к информации в автоматизированных системах учета и контроля ядерных материалов», утвержденный в январе 1997 г. [11]. Этот документ содержит также требования по сертификации средств защиты информации в таких системах и аттестационные требования к АСУиК ЯМ. Данный документ при разработке учи- тывал руководящие документы Гостехкомиссии России в сфере информационной безопасности, выпущенные в 1992 г., и которые будут рассмотрены ниже. Существуют прецеденты, когда компью- теризированные СУиК ЯМ аттестовывались на основании именно этих критериев, а не на основании требований 1997 г. Документом, в котором явно упомянуты требования по защите информации при разработке и эксплуатации компьютеризирован- 22 ных систем для управления ФЗ объекта, на котором используются или хранятся ЯМ, являются «Требования к системам физической защиты…» [4]. Фактически, в нем требуются сертификация и атте- стация программных средств и аппаратной части, что приводит к необходимости применения действующих руководящих докумен- тов ФСТЭК. 5.1. Руководящие документы ФСТЭК России В 1992 г. ФСТЭК России (тогда Гостехкомиссия РФ) опублико- вала пять Руководящих документов, посвященных вопросам защи- ты от несанкционированного доступа к информации [6 - 10]. Эти документы послужили основой тех требований к СУиК ЯМ, кото- рые мы рассмотрели выше. Поэтому кратко рассмотрим важней- шие их них. Идейной основой этих документов является «Концепция защи- ты средств вычислительной техники от несанкционированного доступа к информации (НСД)» [6], содержащая систему взглядов ФСТЭК на проблему информационной безопасности и основные принципы защиты компьютерных систем. С точки зрения разра- ботчиков данных документов основная задача средств безопасно- сти заключается в обеспечении защиты от несанкционированного доступа к информации. Практически не рассматриваются вопросы поддержки работоспособности систем обработки информации. Этот уклон в сторону поддержания секретности объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах министерства обороны и спецслужб РФ, а также невысоким уровнем информационных технологий на- чала 1990-х годов, по сравнению с современными. Эти руководящие документы предлагают две группы критериев безопасности: показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизиро- ванных систем обработки данных. Первая группа позволяет оце- нить степень защищенности отдельно поставляемых потребителю компонентов вычислительных систем, а вторая рассчитана на пол- нофункциональные системы обработки данных. Рассмотрим поло- жения документа «Автоматизированные системы. Защита от не- 23 санкционированного доступа к информации. Классификация авто- матизированных систем и требования по защите информации». Этот документ устанавливает классификацию автоматизированных систем по отношению к защищенности от НСД к информации. Имеет смысл сравнить эту классификацию с классификацией авто- матизированных СУиК ЯМ. Документы ФСТЭК устанавливают девять классов защищенно- сти автоматизированных систем от НСД. Каждый из классов ха- рактеризуется определенной совокупностью требований к средст- вам защиты. В свою очередь классы подразделяются на три груп- пы, отличающиеся спецификой обработки информации. Группа ав- томатизированной системы определяется на основании следующих признаков: • наличие в АС информации различного уровня конфиденци- альности; • уровень полномочий пользователей АС на доступ к конфиден- циальной информации; • режим обработки данных в АС (коллективный или индивиду- альный). В пределах каждой группы устанавливается иерархия классов защищенности АС. Класс, соответствующий высшей степени за- щищенности для данной группы, обозначается буквойА, следую- щий класс обозначается Б и т.д. Третья группа включает АС, в которых работает один пользова- тель, допущенный ко всей информации АС, размещенной на носи- телях одного уровня конфиденциальности. Группа содержит два класса – ЗБ и ЗА. Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабаты- ваемой и/или хранимой в АС на носителях различного уровня кон- фиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов - lД, 1Г, lВ, lБ и lА. Анализ требований показывает, что второй класс защищенности от НСД к информации в компьютеризированных СУиК ЯМ в це- лом соответствует классу 1Б автоматизированных систем. Сущест- 24 вуют прецеденты, когда автоматизированная СУиК ЯМ, аттесто- ванная по классу 1Б защищенности автоматизированных систем от НСД к информации используется для учета и контроля ЯМ в усло- виях, соответствующих второму классу СУиК ЯМ. Разработка перечисленных документов в начале 90-х годов за- полнила правовой вакуум в области стандартов информационной безопасности. Являясь, по сути, первым опытом стандартизации в столь деликатной сфере эти документы не лишены недостатков. Кроме того, за прошедшее с момента принятия этих критериев время получили развитие как теория информационной безопасно- сти, так и подходы к формированию стандартов в сфере информа- ционной безопасности. Главные недостатки реализованных в до- кументах подходов заключается в том, что ранжирование требова- ний по классу защищенности сводится к определению наличия оп- ределенного набора механизмов защиты, что существенно снижает гибкость и применимость данных требований на практике. Понятие политики безопасности в данных документов трактуется как под- держание режима секретности и отсутствия НСД. Из-за такого подхода средства защиты ориентируются исключительно на проти- водействие внешним угрозам, а к функционированию системы и ее структуре требований практически не предъявляется. Следует за- метить, что требования к компьютеризированным СУиК ЯМ, при- нятые в 1997 году, созданы на основании перечисленных докумен- тов и сохраняют те же недостатки. Требования по защите от НСД к информации в автоматизированных СУиК ЯМ При разработке и эксплуатации компьютеризированных СУиК ЯМ необходимо руководствоваться документом «Требования по защите от несанкционированного доступа к информации в автома- тизированных системах учета и контроля ядерных материа- лов»[11], выпущенным в 1997 г. совместно Минатомом и Гостех- комиссией РФ. Данный документ разработан Российским феде- ральным ядерным центром – ВНИИ экспериментальной физики (РФЯЦ ВНИИЭФ) и Тихоокеанской северо-западной национальной лабораторией (PNNL) США в рамках соглашения по модернизации 25 физической защиты, учета и контроля ядерных материалов в Рос- сийской Федерации. Основной целью данного документа являлась создание нормативной основы для сертификации по требованиям безопасности информации программного обеспечения автоматизи- рованных СУиК ЯМ, разрабатываемого на базе коммерческих про- граммных продуктов корпорации Microsoft. Документ вводит клас- сификацию автоматизированных СУиК ЯМ, определяет требова- ния с СЗИ от НСД к информации в зависимости от класса АСУиК и, наконец, определяет сертификационные и аттестационные тре- бования средств защиты информации. Классификация СУиК ЯМ Классификация СУиК ЯМ вводится в целях разработки и при- менения обоснованных мер по достижению требуемого уровня за- щиты информации. Выбор класса защищенности производят заказ- чик и разработчик СУиК с привлечением специалистов в сфере за- щиты информации. В качестве критериев при установлении класса защищенности используются следующие свойства системы: • наличие в СУиК информации различной степени секретности; • уровень полномочий пользователей на доступ к секретной ин- формации; • порядок и условия размещения и функционирования, физиче- ская защищенность средств вычислительной техники СУиК. Исходя из оценки этих факторов, требования устанавливают три класса защищенности автоматизированных СУиК ЯМ. Самым вы- соким является первый класс. К третьему классу относятся СУиК, если в них: • имеется информация строго одной степени секретности; • все субъекты доступа (кроме администраторов) имеют равные права доступа (полномочия) ко всей информации СУиК; • все средства вычислительной техники СУиК размещаются в контролируемой зоне и не имеют внешних (выходящих за пределы контролируемой зоны) физических информационных связей. Ко второму классу относятся СУиК, если в них: • имеется информация нескольких степеней секретности; • субъекты доступа имеют разные права доступа к информации СУиК; 26 • все средства вычислительной техники СУиК размещаются в пределах одной или нескольких контролируемых зон и не имеют незащищенных внешних физических информационных связей. К первому классу относятся СУиК, если в них: • имеется информация нескольких степеней секретности; • субъекты доступа имеют разные права доступа к информации СУиК; • средства вычислительной техники СУиК размещаются в кон- тролируемой зоне и имеют внешние физические информационные связи со средствами вычислительной техники, не относящимися к СУиК. В настоящее время все сертифицированное базовое программ- ное обеспечение относится только к третьему классу. В табл. 5.1 приведены программные продукты, сертифицированные для ис- пользования в компьютеризированных СУиК ЯМ. Сертификаты на эти продукты продлены до 2009 г. Таблица 5.1 |