Объектов информатизации

4.1.
ПС и обрабатываемой информации
+ + + + + + +
+
+
4.2. Физическая охрана СВТ и носителей информации
+ + + + + + +
+
+
4.3. Наличие администратора (службы) защиты инфор- мации в АС
- - - + - - +
+
+
4.4. Периодическое тестирование СЗИ НСД
+ + + + + + +
+
+
4.5. Наличие средств восстановления СЗИ НСД
+ + + + + + +
+
+
4.6. Использование сертифицированных средств защиты
- + - + - - +
+
+
Структура КСЗИ состоит из комплекса подсистем, защищающих ИС ор- ганизации на разных уровнях. Вне зависимости от вида деятельности и размера организации, базовыми подсистемами ИБ являются 4 подсистемы: управления доступом, регистрации и учета, обеспечения целостности и криптографическая.
Создание КСЗИ для конкретной организации в зависимости от класса за- щищенности, может потребовать разработки ряда дополнительных подсистем.
Ниже приведено описание требований к некоторым подсистемам
КСЗИ достаточно представительного класса защищенности - 1В. Этому классу соответствует минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации. Реальные АС ча- сто не соответствуют данному классу.
№
п/п Наименование подсистемы
Назначение
1
Управления доступом
Управление доступом к информацион- ным ресурсам
2
Регистрации и учета
Регистрация и учет действий пользовате- лей и процессов
3
Обеспечения целостности
Сохранение целостности и доступности информационных ресурсов
4
Криптографическая
Обеспечение конфиденциальности и аутентичности информации
5
Антивирусной защиты
Защита программ и данных от вирусов и вредоносных программ
6
Межсетевого экранирования
Контроль и фильтрации сетевых пакетов, защита сетей от НСД
7
Резервного копирования
Резервное копирование и восстановление информации
8
Обнаружения ипредотвраще- нияатак
Выявление и блокирование сетевых атак и подозрительных действий
60

9
Обеспечение отказоустойчи- вости
Обеспечение бесперебойной работы си- стемы
10
Централизованного управле- ния ИБ
Централизованный мониторинг и аудит событий
16.2.
Подсистема управления доступом
(
идентификации и аутентификации пользователей)
Аутентификация - это процесс, в ходе которого на основании пароля, ключа или какой-либо иной информации, пользователь подтверждает, что явля- ется именно тем, за кого себя выдает.
Идентификация - это процесс, в ходе которого выясняются права досту- па, привилегии, свойства и характеристики пользователя на основании его име- ни, логина или какой-либо другой информации о нем.
При входе пользователя в систему первым делом происходит его аутен- тификация. Если введенные пользователем логин и пароль совпадают с храни- мыми в системе на сервере, то он успешно входит в систему, иначе ему отказы- вается в доступе. При этом желательно контролировать количество попыток, чтобы избежать подбора паролей.
Требования к функциям подсистемы управления доступом [ 25 ]:
– должны осуществляться идентификация и проверка подлинности субъ- ектов доступа при входе в систему по идентификатору (коду) и паролю услов- но-постоянного действия длиной не менее 6 буквенно-цифровых символов;
– должна осуществляться идентификация терминалов, ЭВМ, узлов сети
ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (но- мерам);
– должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
– должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопите- лей должен быть не ниже уровня конфиденциальности записываемой на них информации.
16.3.
Подсистема регистрации и учета
Основные требования к подсистеме:
61

– должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операци- онной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
В пара- метрах регистрации указываются:
• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
• результат попытки входа: успешная или неуспешная (при НСД);
• идентификатор (код или фамилия) субъекта, предъявленный при по- пытке доступа;
– должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматиче- ской маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц);
– должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
– должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
– должна осуществляться регистрация попыток доступа ПС к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам се- ти ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, то- мам, каталогам, файлам, записям, полям записей;
– должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсисте- ме управления доступом. Маркировка должна отражать уровень конфиденци- альности объекта;
– должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
– учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);
– должно проводиться несколько видов учета (дублирующих) защищае- мых носителей информации;
– должна осуществляться очистка (обнуление, обезличивание) освобож- даемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка
62

осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
16.4.
Подсистема обеспечения целостности
Основные требования к подсистеме:
– должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом:
• целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
• целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;
– должны осуществляться физическая охрана СВТ (устройств и носите- лей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью видеонаблюдения, использование строгого пропускного режима, специальное оборудование помещений АС;
– должен быть предусмотрен администратор (служба) ЗИ, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД;
– должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - про- грамм, имитирующих попытки НСД;
– должны быть в наличии средства восстановления СЗИ НСД, предусмат- ривающие ведение двух копий программных средств СЗИ НСД, их периодиче- ское обновление и контроль работоспособности;
– должны использоваться сертифицированные средства защиты. Их сертифика- цию проводят специальные сертификационные центры или специализирован- ные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
16.5.
Криптографическая подсистема
Криптографическая подсистема предназначена для обеспечения конфи-
денциальности (невозможности прочтения информации посторонним) и
аутентичности (целостности и подлинности авторства, а также невозможно- сти отказа от авторства) информации.
Основные требования к подсистеме:
63

– должно осуществляться шифрование всей конфиденциальной информа- ции, записываемой на совместно используемые различными субъектами досту- па (разделяемые) носители данных, в каналах связи, а также на съемные носи- тели данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов до- ступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию;
– доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом;
– должны использоваться сертифицированные средства криптографиче- ской защиты. Их сертификацию проводят специальные сертификационные цен- тры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.
При обмене электронными документами по сети возникает проблема аутентификации автора документа и самого документа, т.е. установления под- линности автора и отсутствия изменений в полученном документе. Для реше- ния этой проблемы используется электронная цифровая подпись.
Электронная цифровая подпись (ЭЦП) – реквизит электронного докумен- та, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подпи- си владельцу сертификата ключа ЭЦП.
Электронная цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование электрон- ной цифровой подписи позволяет осуществить:
– доказательное подтверждение авторства документа;
– контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа изменится подпись, следовательно, она станет недействительной;
– защиту от изменений (подделки) документа;
– невозможность отказа от авторства.
ЭЦП формируется на основе самого документа и представляет собой от- носительно небольшое количество дополнительной информации, передаваемой вместе с подписываемым текстом.
Существует несколько схем построения цифровой подписи, например, на основе алгоритмов симметричного и асимметричного шифрования.
64

При формировании ЭЦП используются две процедуры: 1) процедуру по- становки подписи; 2) процедуру проверки подписи.
Прежде всего, отправитель вычисляет хэш-функцию h(М) подписываемо- го текста М. Вычисленное значение хэш-функции h(М) представляет собой один короткий блок информации m, характеризующий весь текст М в целом.
Затем число m шифруется секретным ключом отправителя. Получаемая при этом пара чисел представляет собой ЭЦП для данного текста М.
Хэш-функция (англ. hash – мелко измельчать и перемешивать) предназна- чена для сжатия подписываемого документа до нескольких десятков или сотен бит. Значение хэш-функции h(М) сложным образом зависит от документа М и не позволяет восстановить сам документ М.
При проверке ЭЦП получатель сообщения снова вычисляет хэш-функцию m = h(М) принятого по каналу текста М, после чего при помощи открытого ключа отправителя проверяет, соответствует ли полученная подпись вычислен- ному значению m хэш-функции.
16.6.
Подсистема антивирусной защиты
В соответствии с ГОСТ Р 51188–98 – Защита информации. Испытание программных средств на наличие компьютерных вирусов эта подсистема должна отвечать следующим требованиям:
– организация мониторинга антивирусной активности;
– создание двухуровневой антивирусной защиты с применением антиви- русного ПО различных производителей;
– обеспечение антивирусной защиты серверного оборудования.
Компьютерный вирус – специально написанная небольшая программа, которая может сама присоединяться к другим программам для выполнения ка- ких-либо вредоносных действий. Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения.
Самые распространённые каналы заражения: дискеты, флеш-накопители, электронная почта, системы обмена мгновенными сообщениями, веб-страницы,
Интернет и локальные сети.
Вирусы принято разделять: а) по среде обитания – загрузочные, файловые, файлово-загрузочные, се- тевые; б) по степени воздействия – безвредные, неопасные, опасные, разруши- тельные;
65

в) по способам заражения: резидентные, нерезидентные; г) по алгоритмическим особенностям – репликаторы (черви), троянский конь, логическая бомба, мутанты, стелс-вирусы (невидимки), макровирусы.
В настоящее время существует большое разнообразие антивирусных про- грамм:
-
программы-детекторы могут находить только известные им вирусы
(AidsTest
Д.Н. Лозинского, Dr. Web А.И. Данилова);
-
программы-доктора или фаги, а также программы-вакцины не только находят зараженные файлы, но и удаляют из файла тело программы-вируса.
Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов (AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web);
-
программы-ревизоры. Самое надежное средство защиты от вирусов. Ре- визоры запоминают исходное состояние программ, каталогов и системных об- ластей диска, а затем периодически сравнивают текущее состояние с исходным.
Обнаруженные изменения выводятся на видеомонитор (ADinf, ADinf32);
-
программы-фильтры или «сторожа» – небольшие резидентные про- граммы, предназначенные для обнаружения подозрительных действий при ра- боте компьютера (AVP, Norton Antivirus, McAfee Virus Scan 95);
-
антивирусные комплексы, выполняющие обнаружение, лечение, блоки- рование, восстановление, регистрацию, обеспечение целостности, обновление базы данных компьютерных вирусов ( Norton Antivirus, пакет AVR (Anti Viral
Toolkit Pro) –
лаборатории Е. Касперского).
Выделяют также следующие разновидности антивирусных программ:
-
антивирусные сканеры – пионеры антивирусного движения, которые ищут в файлах, памяти, и загрузочных секторах вирусные маски (описания) из- вестных вирусов, хранящиеся в специальной базе данных. Проверка файлов производится только по инициативе пользователя после запуска программ;
-
антивирусные мониторы (файловые, для почтовых программ, для спе- циальных приложений) – осуществляют автоматическую проверку всех исполь- зуемых файлов в масштабе реального времени. В случае обнаружения вредо- носной программы, монитор, в зависимости от настроек, вылечит файл, забло- кирует его выполнение или изолирует, переместив в специальную карантинную директорию для дальнейшего исследования;
-
программа-брандмауэр, предназначенная для защиты компьютера от злоумышленников и вредоносного сетевого трафика.
Рекомендации по профилактике заражения:
66

- проверять на наличие вирусов все поступающие извне данные;
- периодически проверять все жесткие диски ПК на наличие вирусов;
- использовать лицензионные программные продукты;
- ограничить доступ к ПК других пользователей;
- защищать свои гибкие диски от записи при работе на других ПК;
- не оставлять в кармане дисковода дискету при включении или переза- грузке ПК, чтобы исключить заражение ПК загрузочными вирусами;
- регулярно обновлять антивирусные программы.
16.7
. Подсистема межсетевого экранирования
Межсетевой экран(МЭ)илисетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Кроме того, МЭ позволяют разделить сеть на две или более частей и реализовать набор правил, определя- ющих условия прохождения сетевых пакетов из одной части в другую.
Некоторые сетевые экраны позволяют осуществлять трансляцию адресов
– динамическую замену внутрисетевых адресов или портов на внешние, ис- пользуемые за пределами ЛВС.
Сетевые экраны часто называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Фильтрация может осуществляться на любом уровне модели
OSI . В качестве критериев может выступать информация с разных уровней: адреса отправителя/получателя, номера портов, содержимое поля данных.
Эквивалентными термину межсетевой экран являются названия:
– брандмауэр (нем. Brandmauer) – стена из огнеупорного материала, воз- водимая на пути распространения пожара;
– файерволл (англ. Firewall) – горящая стена (fire - огонь, wall - стена).
Модель OSI (Open System Interconnection reference model) или модель вза- имодействия открытых систем – это многоуровневая система, отражающая вза- имодействие программного и аппаратного обеспечения при осуществлении се- анса связи в сети.
В модели OSI сетевые функции распределены между 7 уровнями.
67

Каждому уровню соответствуют различные сетевые операции, оборудо- вание и протоколы. Каждый уровень поддерживает интерфейсы с выше- и ни- жележащими уровнями.
Различают следующие уровни
(сверху вниз): 1) прикладной; 2) представления; 3) сеансовый; 4) транспортный; 5) сетевой; 6) ка- нальный; 7) физический.
Безопасное межсетевое взаи- модействие для информационных систем достигается путем примене- ния средств межсетевого экраниро- вания (межсетевых экранов), кото- рые обеспечивают в соответствии с приказом 58 ФСТЭК:
– фильтрацию на сетевом уровне для каждого сетевого пакета независимо
(решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
– идентификацию и аутентификацию администратора МЭ при его ло- кальных запросах на доступ по идентификатору (коду) и паролю условно- постоянного действия;
– регистрацию входа (выхода) администратора МЭ в систему (из систе- мы) либо загрузки и инициализации системы и ее программного останова (ре- гистрация выхода из системы не проводится в моменты аппаратурного отклю- чения МЭ);
– контроль целостности своей программной и информационной части;
– фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
– восстановление свойств МЭ после сбоев и отказов оборудования;
– регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программ- ной и информационной части, процедуры восстановления.