Кондаков Информационная безопасност систем физической засчиты 20. Информационная безопасность систем физической защиты, учета и контроля ядерных материалов

27 уровень секретности. В этом случае выполнение требований Гос- техкомиссии должно сопровождаться либо созданием не менее двух не связанных между собой локальных компьютерных сетей для учета материалов с различной степенью секретности, либо ав- томатическим повышением уровня секретности всех материалов до максимального. В первом случае затраты на создание сети резко увеличиваются, во втором – серьезно затрудняется работа персона- ла с материалами, изначально обладающими низким уровнем сек- ретности. Наконец, последнее требование предполагает, что все предприятие размещено на одной площадке. Для крупных пред- приятий топливного цикла это требование не выполняется. Единст- венный выход в этом случае – создание фрагментов компьютери- зированной системы на отдельных площадках и организация связи между ними посредством пересылки информации на носителях со специальными курьерами.
Таким образом, актуальной задачей является сертификации ба- зового ПО по второму классу защиты информации от НСД. СУиК первого класса защищенности потребуются в том случае, когда возникнет потребность в передаче информации по открытым ин- формационным каналам.
Требования к СЗИ от НСД к информации по классам СУиК
Требования Гостехкомиссии выделяют четыре подсистемы Сис- темы защиты информации от несанкционированного доступа (СЗИ
НСД). Это подсистемы:
• управления доступом к информации;
• регистрации и учета;
• криптографическая;
• обеспечения целостности.
К каждой подсистеме, в зависимости от класса СУиК, устанав- ливаются сертификационные и аттестационные требования.
Под сертификацией СЗИ понимается установление соответствия средств защиты информации набору требований, обеспечивающих защиту сведений соответствующей степени секретности. Порядок проведения обязательной сертификации СЗИ и организации, упол- номоченные проводить сертификацию, подробно описаны в разде- ле «Разработка и ввод в эксплуатацию компьютеризированных

28
СУиК ЯМ». В настоящем разделе приводятся сертификационные требования к различным подсистемам СУиК в зависимости от ее класса. Требования к более высокому классу автоматически вклю- чают в себя требования к более низкому классу.
Далее приводятся требования к СУиК третьего класса. К ком- понентам подсистемы управления доступом предъявляются требо- вания, в соответствии с которыми должны осуществляться:
• идентификация и аутентификация пользователей при входе в операционную систему;
• идентификация и аутентификация пользователей при доступе к системе управления базами данных (СУБД);
• идентификация серверов, рабочих станций, внешних и сетевых устройств по физическим адресам;
• идентификация субъектов и объектов по именам;
• идентификация объектов баз данных по именам.
К компонентам подсистемы регистрации и учета предъявляют- ся следующие требования. Должна осуществляться регистрация следующих событий:
• входа/выхода пользователей в операционную систему/из сис- темы, а также регистрация загрузки операционной системы и ее программного останова;
• запуска/завершения всех программ;
• попыток доступа программных средств к защищаемым файлам и каталогам;
• доступа к объектам базы данных.
Средства регистрации должны быть доступны только админист- ратору и включать для него средства для просмотра и анализа на- капливаемых событий по указанным параметрам и их архивирова- ния.
При регистрации должны указываться:
• время и дата процесса входа/выхода пользователя в систему/из системы, загрузки/останова системы;
• идентификатор пользователя, инициализирующего процесс;
• результат действия (успешное или неуспешное – несанкциони- рованное).

29
При доступе к файлам или объектам базы данных регистрирует- ся также спецификация объекта доступа и код запрашиваемой опе- рации.
Подсистема обеспечения целостности должна обеспечивать:
• целостность программных средств и информационной базы
СЗИ НСД.
• целостность информационной базы СЗИ НСД в СУБД посред- ством ее изолирования от пользователей и оперативного восста- новления со стороны администратора.
Криптографическая система у СУиК третьего класса отсутствует.
Далее приводятся требования к СУиК второго класса. Подсис- тема управления доступом должна осуществлять:
• идентификацию каналов связи по физическим адресам;
• контроль доступа субъектов к защищаемым ресурсам ОС в со- ответствии с матрицей доступа на основе дискреционного принципа;
• контроль доступа субъектов к объектам СУБД в соответствии с матрицей доступа по операциям выборки, модификации, вставки, удаления и т.п.;
• ограничение доступа пользователей к защищаемым объектам только с помощью строго установленных процессов;
• мандатный принцип управления доступом;
• управление потоками информации с помощью атрибута сек- ретности субъектов и объектов;
• передача данных по сети должна осуществляться вместе с ат- рибутами секретности, которые должны быть защищены.
Несанкционированные действия над передаваемыми по сети данными и несанкционированное дублирование данных должны надежно идентифицироваться как ошибка с соответствующей ре- гистрацией.
Принципы управления доступом к объектам будут излагаться в главе 3.
При передаче данных по сети требования Гостехкомиссии уста- навливают, что должны использоваться средства, предотвращаю- щие передачу данных объекту, имеющему степень секретности ниже, чем передаваемые данные.
Подсистема регистрации и учета должна осуществлять:
• регистрацию выдачи секретных печатных документов на
«твердую» копию;

30
• регистрацию попыток доступа программных средств к сле- дующим защищаемым объектам доступа: узлам и фрагментам сети, портам, внешним устройствам, процессам;
• регистрацию всех выявленных ошибок при обмене данных по сети;
• автоматический учет создаваемых защищаемых объектов с помощью их дополнительной маркировки, используемой в подсис- теме управления доступом;
• очистку (обнуление, инициализация, обезличивание) освобож- даемых областей ОЗУ ЭВМ и разделяемых внешних накопителей.
Очистка осуществляется двукратной произвольной записью в лю- бую освобождаемую область памяти, использованную для хране- ния защищаемой информации.
При выдаче на печать секретных документов необходимо осу- ществлять автоматическую маркировку листов номерами и учет- ными реквизитами. Одновременно должна оформляться учетная карточка документа с определенными параметрами регистрации.
Требования к подсистемам обеспечения целостности и крипто- графии полностью совпадают с требованиями к аналогичным под- системам СУиК третьего класса.
Требования к СУиК первого класса полностью включают в себя требования к СУиК третьего и второго класса.
Требования к подсистеме управления доступом включают в се- бя аутентификацию пользователей при удаленном доступе к серве- ру, рабочей станции с помощью методов, устойчивых к прослуши- ванию каналов и активному воздействию на передаваемые в сети данные. Также должна проводиться аутентификация субъекта-ис- точника данных, т.е. должны использоваться средства, подтвер- ждающие подлинность источника блока данных с помощью мето- дов, устойчивых к прослушиванию каналов и активному воздейст- вию на передаваемые данные в сети.
Подсистема регистрации и учета должна осуществлять регист- рацию изменения полномочий субъектов доступа и статуса объек- тов доступа. Должна так же осуществляться регистрация установ- ления соединения между удаленными процессами и сигнализация попыток нарушения защиты на дисплей рабочей станции админи- стратора и нарушителя.

31
Криптографическая подсистема должна осуществлять шифро- вание всей секретной информации, записываемой на совместно ис- пользуемые различными субъектами доступа носители данных, в каналах связи сети, а также на съемные носители данных. Доступ субъектов к операциям шифрования и к соответствующим крипто- графическим ключам должен дополнительно контролироваться по- средством подсистемы управления доступом.
Подсистема обеспечения целостности должна обеспечивать:
• целостность соединения для защиты передаваемых по сети данных пользователя от несанкционированной модификации, под- становки или изъятия любых данных с помощью методов, устой- чивых к прослушиванию каналов и воздействию на передаваемые данные в сети;
• доказательство источника данных с целью предотвращения любой попытки отправителя данных отрицать впоследствии факт передачи;
• доказательство доставки данных для предотвращения любой попытки получателя данных отрицать впоследствии факт получе- ния данных.
Требования по аттестации СЗИ от НСД по классам СУиК ЯМ
Аттестации подлежит вся компьютеризированная СУиК ЯМ.
Под аттестацией понимается документированное подтверждение соответствия применяемого при эксплуатации комплекса органи- зационно-технических мероприятий требованиям стандартов и иных нормативных документов по безопасности информации.
Предусматривает аттестационные испытания защищаемой АС в условиях эксплуатации для оценки соответствия используемых мер и СЗИ требуемому уровню безопасности информации. Далее информация располагается в том же порядке, что и требования по сертификации.
Далее приводятся требования к СУиК третьего класса. К ком- понентам подсистемы управления доступом предъявляются сле- дующее аттестационное требование. Доступ персонала к информа- ции СУиК должен осуществляться в соответствии с действующей разрешительной системой допуска исполнителей к секретным до- кументам и сведениям.

32
Подсистема регистрации и учета должна:
• проводить учет всех защищаемых носителей информации с по- мощью их любой маркировки;
• регистрировать и учитывать выходные печатные документы руч- ным способом в соответствии с требованиями делопроизводства соответствующей степени секретности. Выдача печатных докумен- тов должна осуществляться только в соответствии с установлен- ным перечнем выходных документов с указанием их степени сек- ретности.
Подсистема обеспечения целостности должна обеспечивать следующий набор функций:
• должна быть обеспечена неизменность программной среды, при этом целостность программной среды обеспечивается отсутст- вием в СУиК средств разработки и отладки программ;
• должно проводиться периодическое тестирование функций
СЗИ НСД при изменении программной среды и персонала СУиК с помощью тестов, имитирующих попытки НСД;
• должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств
СЗИ НСД и их периодическое обновление и контроль работоспо- собности, а также оперативное восстановление функций СЗИ НСД при сбоях аппаратуры;
• помещения с техническими средствами СУиК, на носителях которых содержится секретная информация, должны быть обору- дованы техническими средствами охраны, обеспечивающими уро- вень защиты, соответствующий степени секретности хранимой ин- формации;
• должны использоваться средства защиты информации от НСД, сертифицированные для данного класса СУиК.
Аттестационные требования к СУиК второго класса отличают- ся от требований к СУиК третьего класса только в отношении под-
системы обеспечения целостности. Должен быть предусмотрен администратор защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Ад- министратор должен иметь свою рабочую станцию и необходимые средства оперативного контроля и воздействия на безопасность
СУиК. Кроме того, должны использоваться защищенные линии связи, выходящие за пределы контролируемых зон.

33
Аттестационные требования к СУиК первого класса отличаются от требований к СУиК второго класса наличием криптографиче-
ской подсистемы. Должны использоваться криптографические средства, сертифицированные для СУиК первого класса. Кроме то- го, подсистема обеспечения целостности должна использовать межсетевые экраны, сертифицированные для СУиК первого класса
5.2. Общие критерии безопасности информационных
технологий
«Общие критерии» (Common Criteria for Technology Security
Evaluation) представляют собой результат последовательных уси- лий по разработке критериев оценки безопасности информацион- ных технологий, которые были бы приняты в качестве Междуна- родных критериев.
В начале 1980-х годов в США были разработаны «Критерии оценки доверенных компьютерных систем». В следующем десяти- летии различные страны проявили инициативу по разработке кри- териев оценки, которые строились на концепциях этого документа, но были бы более гибки и адаптируемы к развитию информацион- ных технологий.
Так в 1991г. Европейской комиссией были опубликованы «Кри- терии оценки безопасности информационных технологий», разра- ботанные совместно Францией, Германией, Нидерландами и Вели- кобританией. В Канаде в начале 1993 г. были созданы «Канадские критерии оценки доверенных компьютерных продуктов». В США в это же время был издан проект стандарта «Федеральные критерии безопасности информационных технологий».
В 1990 г. Международной организацией по стандартизации
(ISO) была начата разработка международного стандарта критериев оценки для общего использования. Новые критерии были призваны удовлетворить потребность взаимного признания результатов стандартизированной оценки безопасности на мировом рынке ин- формационных технологий. В июне 1993 г. организации, разработ- чики национальных критериев, объединили свои усилия и начали действовать совместно, чтобы согласовать различающиеся между собой критерии и создать единую совокупность критериев безо- пасности.

34
Первая версия Общих критериев была завершена в январе
1996 г. и одобрена ISO в апреле 1996 г. для распространения в ка- честве проекта комитета. Был проведен ряд экспериментальных оценок, а также организовано широкое публичное обсуждение до- кумента. Затем в рамках проекта Общих критериев была предпри- нята значительная переработка документа на основе замечаний, полученных при его экспериментальном использовании. Вторая версия вышла в мае 1998 года. Версия 2.1 этого стандарта утвер- ждена ISO в 1999 году в качестве международного стандарта ин- формационной безопасности ISO/IEC 15408. Сейчас в ряде стран наличие сертификата СС обязательно для информационных систем, важных с точки зрения национальной безопасности.
27 марта 2003 года ФСТЭК России представил план работ по внедрению международного стандарта в области информационной безопасности. Россия стала внедрять международный стандарт практически без изменений, разделив его на три ГОСТа под одним номером ИСО/МЭК 15408-2002. Серия новых ГОСТов вступила в действие в России с 1 января 2004 года.
Кратко ознакомимся с новым стандартом. Сам стандарт доста- точно сложен и объемен. Он состоит из трех частей общим объе- мом около 600 страниц.
Часть 1 стандарта содержит методологию оценки безопасности
ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объ- екта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основыва- ются на анализе защищаемых информационных ресурсов, назначе- ния ОО и условий среды его использования (угроз, предположе- ний, политики безопасности).
Часть 2 стандарта содержит универсальный систематизирован- ный каталог функциональных требований безопасности и преду- сматривает возможность их детализации и расширения по опреде- ленным правилам.
Часть 3 стандарта содержит систематизированный каталог тре- бований доверия, определяющих меры, которые должны быть при-

35 няты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъ- явленным к ним функциональным требованиям безопасности. В этой же части содержатся оценочные уровни доверия, представ- ляющие собой стандартизованные наборы требований, которые по- зволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы ИТ, стойкости меха- низмов защиты.
Как следует из содержания, Общие критерии представляют со- бой методический документ, содержащий хорошо систематизиро- ванный и структурированный набор требований, формы их пред- ставления и методологию задания. С использованием этих крите- риев оценка безопасности проводится не по жесткой схеме и еди- ному штампу для различных продуктов информационных техноло- гий (ИТ), как это предусмотрено в действующих документах
ФСТЭК России, а исходя из назначения, видов и условий примене- ния продуктов и систем ИТ с возможностью гибкого подхода к формированию соответствующих требований безопасности в про- филях защиты. Причем профили защиты, разрабатываемые на ос- нове ОК, могут включать и любые другие обоснованные требова- ния, необходимые для обеспечения безопасности конкретного типа изделий ИТ.
Как показывают оценки специалистов в области информацион- ной безопасности, по уровню систематизации, полноте и возмож- ностям детализации требований, универсальности и гибкости в применении Общие критерии представляют наиболее совершенный из существующих в настоящее время стандартов.
Следует отметить, что Международное соглашение распростра- няется только на признание результатов оценки продуктов и систем информационных технологий, предназначенных для обработки конфиденциальной информации (до уровня доверия EAL 4 вклю- чительно), и не затрагивает вопросов оценки продуктов и систем, предназначенных для обработки информации, составляющей госу- дарственную тайну стран-участниц Международного соглашения.
В то же время, методология Общих критериев может быть исполь- зована заинтересованными сторонами и в этих интересах.

36
США с января 2001 г. полностью перешли на оценку безопасно- сти ИТ по Общим критериям, в передовых странах Европы (ФРГ,
Франции и др.) около 40% разработанных в последние годы про- дуктов ИТ оценивалось по Общим критериям, причем тенденция оценки вновь разрабатываемых продуктов – по Общим критериям.
Агентство национальной безопасности США выпустило в мае
2000 г. директиву №140-23 об использовании с июля 2002 г. Мини- стерством обороны США, а также его контракторами, представ- ляющими государственные организации или коммерческими ком- паниями, для обработки чувствительной информации только про- дуктов и систем информационных технологий, сертифицирован- ных по Общим критериям.
Одновременно действие этой директивы распространяется на атомные станции, находящиеся в частном пользовании, поскольку в США придается особое внимание роли Общих критериев при оценке безопасности информационных технологий, используемых в критически важных системах.
Все это свидетельствует о внимании, уделяемым мировым со- обществом проблемам информационной безопасности, и об инте- ресе к решению этих проблем на основе подходов и методологии
Общих критериев.
В рамках подготовки к введению в России нового стандарта спе- циалисты Центра «Атомзащитаинформ», ЦНИИАТОМИНФОРМ и
ЦБИ разработали Комментарии к российскому стандарту, предна- значенные для лучшего понимания российскими специалистами назначения, основных концептуальных положений, методологии и терминологии Общих критериев, а также для пояснения расхожде- ний в терминологии стандарта с принятой в России терминологией и действующими нормативными документами.
Основным сопутствующим документом, выпущенным в под- держку Общих критериев и являющимся обязательным для исполь- зования в рамках упомянутого Международного соглашения, явля- ется «Общая методологии оценки безопасности информационных технологий», перерабатываемая в настоящее время специалистами ряда стран-участников Международного соглашения. В настоящее время на основе аутентичного перевода актуальной версии Общей методологии коллективом специалистов ЦБИ, Центра «Атомзащи- таинформ» и ЦНИИАТОМИНФОРМ при участии экспертов меж-

37 дународной рабочей группы по Общим критериям осуществляется разработка методологии оценки продуктов и систем ИТ.
По плану ввода в действие Стандарта разработаны:
Руководящий документ «Руководство по разработке профилей защиты и заданий по безопасности» [21];
Руководящий документ «Безопасность информационных техно- логий. Руководство по регистрации профилей защиты» [22] на ос- нове Стандарта.
Помимо этого предусмотрено проведение ряда дополнительных мероприятий:
• создание инструментального комплекса автоматизации разра- ботки профилей защиты и заданий по безопасности (находится в разработке ЦБИ);
• разработка профилей защиты основных типов продуктов и систем ИТ: операционных систем, систем управления базами дан- ных, межсетевых экранов, виртуальных частных сетей и др. (в ряде организаций, среди них: ЦБИ, ЦНИИАТОМИНФОРМ, МИФИ, ве- дется разработка профилей защиты для продуктов и систем ин- формационных технологий различного назначения, в частности,
ЦНИИАТОМИНФОРМ разрабатывает профиль защиты по II клас- су защищенности для автоматизированных СУиК ЯМ);
• разработка типовых методик проведения сертификационных испытаний продуктов и систем ИТ на основе Общей методологии оценки;
• проведение сертификационных испытаний ряда продуктов и систем ИТ, в том числе операционных систем (в частности, семей- ства Windows).
Указанные мероприятия были направлены не только на внедре- ние ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасно- сти информационных технологий», но и на последующее присое- динение России к Международному соглашению в качестве участ- ника, выдающего сертификаты по Общим критериям.
В Минатоме России, как упоминалось ранее, также рассматри- ваются вопросы оценки и сертификации по требованиям Общих критериев программных продуктов, используемых в СУиК ЯМ.
Следует констатировать, что для этого необходимо разработать профиль защиты для систем III класса защищенности, а также за- дания по безопасности, на соответствие которым провести серти- фикацию выбранных для этих целей программных продуктов. От

38 решения этих вопросов будут зависеть совершенствование дейст- вующих и разработка новых СУиК ЯМ, равно как и функциониро- вание Федеральной информационной системы учета и контроля ядерных материалов.
По мнению российских специалистов, участвующих в освоении методологии Общих критериев, ввод в действие Российского стан- дарта, Общей методологии оценки, иных нормативных и методиче- ских документов в их поддержку, а также практическая работа по использованию методологии Общих критериев позволяет:
• выйти на современный уровень критериальной и методической базы оценки безопасности информационных технологий;
• создать новое поколение межведомственных и ведомственных нормативных и методических документов по оценке безопасности
ИТ на единой основе;
• заказчикам и разработчикам изделий информационных техно- логий иметь мощный инструмент определения требований к безо- пасности ИТ и создания систем защиты информации;
• потребителям объективно оценивать возможности ИТ-продук- тов по защите информации;
• заказчикам и разработчикам автоматизированных систем раз- личного уровня и назначения иметь возможность соответственно более обоснованно формулировать и реализовывать требования по безопасности информации этих систем;
• сделать реальной перспективу вхождения России в Междуна- родное соглашение, что в свою очередь даст возможность:
– заказчикам и разработчикам ИТ-систем сократить свои за- траты на сертификацию продуктов;
– для потребителей расширить рынок сертифицированных продуктов;
– испытательным лабораториям привлечь дополнительный поток заказов на сертификацию из-за рубежа;
– производителям российских высокотехнологичных продук- тов получить международные сертификаты в России, что позво- лит им выйти на закрытые ранее зарубежные рынки.
При этом Россия (как и другие страны, присоединившиеся к со- глашению о взаимном признании сертификатов) сохраняет воз- можность учета своих национальных требований при сертифика- ции продуктов и систем ИТ и, прежде всего, предназначенных для защиты информации, составляющей государственную тайну.

39
Вместе с тем на этом пути предстоит большой объем работ, свя- занных с освоением Общих критериев и Общей методологии оцен- ки в практической деятельности по заданию требований и оценке безопасности информационных технологий, по приведению в соот- ветствие с международными стандартами, в частности, со стандар- том ИСО/МЭК 15408-99 российской терминологии и российских стандартов в области безопасности информационных технологий, с выходом российских испытательных лабораторий (центров) и ор- ганов по сертификации, а также российской продукции, сертифи- цированной в соответствии с методологией Общих критериев, на международный рынок продукции и услуг.
Для этого необходимо преодолеть ряд трудностей технического, организационного и финансового характера, связанных:
• для разработчиков ИТ-продуктов – с четким соблюдением предусмотренных процедур подготовки и представления для оцен- ки свидетельств, сопровождением жизненного цикла изделий;
• для заказчиков и разработчиков автоматизированных систем – с разработкой или обоснованным выбором профилей защиты, зада- ний по безопасности и, соответственно, ИТ-продуктов, отвечаю- щих реальным потребностям безопасности создаваемых автомати- зированных систем;
• для испытательных центров и органов по сертификации – с подготовкой и приведением в соответствие международным стан- дартам их деятельности по оценке безопасности ИТ, а также их ак- кредитацией в рамках Международного соглашения.
Однако пройти этот путь необходимо. Это позволит использо- вать богатый опыт, накопленный до настоящего времени мировым сообществом не только в области стандартизации, но и в области развития ИТ в целом, даст возможность российским специалистам активно участвовать в создании новых и совершенствовании дей- ствующих международных стандартов, и таким образом влиять на ход развития ИТ и их безопасности.
Следует учитывать, что введение новых стандартов не отме- няет требований, представленных в руководящих документах
ФСТЭК РФ.

40