Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 02.02.2024

Просмотров: 677

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

§- 5 и § £ * S | - Sа-S о. эсЕ— „ к ЛО Й И S н s О S “S Sи ЩW & о. 3si!і 5 I с> . О ° ^н >> = S О й S ч О S о ,* *е* со * иICQСО 3* а. о. исо О, Ш с О о &*^ <и с? SS 31 ^ ssЛ CQн о л юЕ-*е=! оС Xо <и* 3 n а* 8 5 8>**§ из « Ss со х юиз5 IXЧS| 8 1ш оS О.л н о оXСОX 5<и нД- Wо ОS СЗ ^а. £09 WО S £І5 15 °о I о S S >» EJ о s5 о, s5 s SO s со § о 3>4 ЭС a s*О*<иIсн к<и ЕГЯ Й .S - ss J3 SI § з1 X S2 s 5 О О. s >» с асоаэо§аэО>»О- X № к s s5 =J 5 ^SS мm sО х н 2а. мзю SлЁСОXрокСОх§&х>>5SнооXо .03 [По Sгоию s5 g аікСОа о I м I X § гс о >; ш ѳ05шоSSсоfflноп(Uо.оVD >>СОн о ю со О . • ГО СО СОС о. &■« О I * 5J3 нс?Rv&£ І о схсLOSs S соЯ I< S «и И s хX Ss ss 5S. wR 03.¾ л ^ о О .О сS >>(DSСО« IО о о я X Ь<и S X5 S.S ѵВ ОоS Ооо.С05s 2= SСО *03 хоЮ О ,(D >=1О . ^f— хн “<у -СО Ом £х иі а

Гл а в а 8Определение возможностей несанкционированного доступа к защищаемой информации8 .1 . Методы и способы защиты информацииСредства защиты информации могут быть программными, про­граммно-аппаратными, аппаратно-программными и аппаратны­ми. В каждом случае СЗИ выбираются исходя из множества кри­териев, и каждому типу находится свое место. Классификация методов и средств защиты данных представлена на рис. 8.1 [28].Рассмотрим кратко основные методы защиты данных. Управле­ние представляет собой целенаправленное воздействие на систему защиты информации с целью обеспечения выполнения ею своих функций. В настоящее время практически все средства защиты информации имеют канал управления. Это позволяет организовать централизованное управление, когда настройки множества средств выполняет из одной точки доступа администратор безопасности.Препятствия преграждают нарушителю путь к защищаемой информации. Физическими препятствиями являются дверные зам­ки, решетки на окнах и т. п. Логическими препятствиями служат подсистемы разграничения доступа в компьютерных системах, шифрование данных.Маскировка данных представляет собой метод их защиты пу­тем стеганографического преобразования. При этом важная ин­формация встраивается в непривлекающий внимания контейнер. Например, в обычное фотоизображение можно незаметно встро­ить порядка 10 Кбайт информации.Регламентация как метод защиты заключается в разработке порядка и правил поведения пользователей, эксплуатации средств вычислительной техники, технологий обработки данных, при ко­торых минимизируется риск НСД.Побуждение состоит в создании у законных пользователей ло­яльности к целям и задачам фирмы, создании на предприятии атмосферы нетерпимости к фактам небрежности и расхлябанно­сти, которые могут повлечь за собой утерю данных.Принуждение включает создание системы различных наказа­ний за нарушения ИБ вплоть до уголовной ответственности. Рис. 8.1. Классификация методов и средств защиты данныхТехнические средства защиты строятся на основе методов уп­равления, препятствия и маскировки. Их можно разделить, как уже отмечалось, на физические и логические.Физические средства защиты создают препятствия для наруши­телей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты АС, в помещение с аппарату­рой и носителями данных и т.д. Они выполняют следующие ос­новные функции: охрана территории и зданий, охрана внутренних помещений, охрана оборудования и наблюдение за ним, контроль доступа в защищаемые зоны, нейтрализация излучений и наводок, создание препятствий визуальному наблюдению и подслушиванию, противопожарная защита, блокировка действий нарушителя и т.п.Для предотвращения проникновения нарушителей на охраняе­мые объекты применяются следующие основные технические ус­тройства [28]:• сверхвысокочастотные, ультразвуковые и инфракрасные си­стемы, основанные на изменении частоты отражения от движу­щегося объекта сигнала и предназначенные для обнаружения дви­жущихся объектов, определения их размеров, скорости и направ­ления перемещения, применяются главным образом внутри по­мещений, СВЧ системы могут применяться и для охраны зданий и территорий;• лазерные и оптические системы реагируют на пересечение нарушителями светового луча и применяются, в основном, внут­ри помещений; • телевизионные системы широко применяются для наблюде­ния как за территорией охраняемого объекта, так и за обстанов­кой внутри помещений;• кабельные системы используются для охраны небольших объектов и оборудования внутри помещений и состоят из заглуб­ленного кабеля, окружающего защищаемый объект и излучающе­го радиоволны; приемник излучения реагирует на изменение поля, создаваемое нарушителем;• системы защиты окон и дверей предназначены не только для препятствия механическому проникновению, а, главным образом, для защиты от наблюдения и подслушивания.Регулирование доступа на территорию и в помещения может осуществляться и с помощью специальных замков и датчиков, а также идентифицирующих устройств. Для защиты от перехвата электромагнитного излучения применяются экранирование и за­шумляющие генераторы излучений.8.2. Классификация СЗИ НСДВ этой главе рассматриваются только логические средства — средства защиты информации от НСД в АС. В настоящее время на рынке представлено большое количество разнообразных про­граммных, программно-аппаратных, аппаратно-программных СЗИ НСД. Приведем их возможную классификацию.СЗИ от НСД в общем случае можно разделить на универсаль­ные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные в системные средства и добавочные (по способу реа­лизации). Подобная классификация крайне важна ввиду того, что при построении СЗИ от НСД каждого типа разработчиками фор­мулируются и решаются совершенно различные задачи, что в боль­шой мере определяет область эффективного использования СЗИ от НСД. Например, большинство современных ОС можно отнес­ти к универсальным, используемым и в личных целях, и в корпо­ративных приложениях, а эти области приложений выдвигают совершенно различные (и во многом противоречащие друг другу) требования к механизмам защиты. Естественно, что при построе­нии защиты универсального системного средства должно учиты­ваться, какая область его практического использования домини­рует. Как следствие, во многом зашита в современных универ­сальных ОС реализуется исходя из концепции полного доверия к пользователю и становится во многом бесполезной в корпоратив­ных приложениях, например при решении задач противодействия внутренним ИТ-угрозам (хищение конфиденциальных данных санкционированными пользователями — инсайдерами). По месту применения СЗИ НСД делятся:• на СЗИ защиты отдельного компьютера (КПК, сотового те­лефона);• СЗИ защиты информации в локальных сетях;• СЗИ защиты информации в глобальных сетях.По объектам защиты отдельного компьютера СЗИ НСД де­лятся:• на СЗИ защиты доступа к компьютеру (аппаратно-программ­ные модули доверенной загрузки);• СЗИ для операционной системы;. СЗИ для СУБД;• СЗИ для отдельных приложений.По функциональному назначению СЗИ делятся:• на аппаратно-программные комплексы СЗИ от НСД на АРМ пользователей и в ЛВС;• средства управления обновлениями программных компонент АС;• межсетевые экраны;• средства построения VPN;• средства контроля доступа;• средства обнаружения вторжений и аномалий;• средства резервного копирования и архивирования;• средства централизованного управления безопасностью;• средства предотвращения вторжений на уровне серверов;• средства аудита и мониторинга средств безопасности;• средства контроля деятельности сотрудников в сети Интернет;• средства анализа содержимого почтовых сообщений;• средства анализа защищенности информационных систем;• антивирусные программные средства;• средства защиты от спама;• средства защиты от атак класса «Отказ в обслуживании»;• средства контроля целостности;• удостоверяющие центры и средства электронной цифровой подписи;• средства криптографической защиты информации;• средства усиленной аутентификации и пр.8.3. Механизмы обеспечения безопасности информации8.3.1. Идентификация и аутентификацияРассмотрим основные механизмы зашиты информации и обо­значим некоторые средства их реализации.Основой любых систем ЗИ являются идентификация и аутен­тификация, так как все механизмы зашиты информации рассчи­ таны на работу с поименованными субъектами и объектами АС [28]. Напомним, что в качестве субъектов АС могут выступать как пользователи, так и процессы, а в качестве объектов АС — ин­формация и другие информационные ресурсы системы.С древних времен люди использовали различные средства, чтобы доказать другим, что они те, за кого себя выдают. Для этих целей использовались устные пароли («то, что знаю»), различные удо­стоверения личности с трудно подделываемыми элементами («то, что имею»), в удостоверениях личности могли быть описаны осо­бые приметы человека («то, чем являюсь»). Характерной чертой этих, докомпьютерных, методов установления подлинности лич­ности было то, что в качестве проверяющего лица обычно высту­пал человек, а также то, что такая проверка происходила при не­посредственном контакте.В современных вычислительных сетях решение о подлинности предъявленного удостоверения выносит компьютер, а непосред­ственный контакт предъявителя и проверяющего становится все большей редкостью. Рассмотрим и еще одно существенное отли­чие сегодняшней ситуации от исторических времен. Если в ту эпоху лицу, не прошедшему проверку подлинности, грозило усек­новение головы, то сейчас любой может попробовать себя в каче­стве «взломщика» информационной системы практически без вся­ких для себя последствий.Согласно ГОСТ Р ИСО 7498-2—99 [14], процедура проверки подлинности предъявленного субъектом доступа идентификатора называется аутентификацией. Как указано в этом стандарте, раз­личается аутентификация отправителя данных — «подтверждение того, что отправитель полученных данных соответствует заявлен­ному», и аутентификация равноправного логического объекта — «подтверждение того, что равноправный логический объект в ка­кой-либо ассоциации является заявленным логическим объектом».Задача аутентификации отправителя данных успешно решает­ся при помощи технологии ЭЦП. Далее речь пойдет об аутенти­фикации во втором смысле этого слова, при этом в качестве субъек­та доступа может выступать как человек, так и программа.Системы электронной торговли, Интернет-банкинга, платеж­ные системы, в том числе мобильные, сайты с платным контен­том — вот далеко неполный перечень областей, где от надежной аутентификации субъектов зависит судьба финансов. А что уж говорить об информационных системах, в которых обрабатывает­ся информация, составляющая государственную тайну, и о воен­ных системах!Без всякого преувеличения можно сказать, что аутентифика­ция является самым важным механизмом безопасности. И надеж­ная аутентификация невозможна без привлечения криптографи­ческих методов. Рассмотрим элементы системы аутентификации. В любой та­кой системе, во-первых, присутствует субъект доступа — человек или программный процесс. Во-вторых, должен быть идентифика­тор, т.е. какая-то характеристика, отличающая этого субъекта от других. В-третьих, есть владелец информационной системы, не­сущий ответственность за ее эксплуатацию и полагающийся в раз­граничении пользователей на механизм аутентификации. От его имени обычно действует администратор. Следовательно, в-чет- вертых, необходимо наличие механизма аутентификации для про­верки предъявленного идентификатора. И наконец, при успеш­ном прохождении аутентификации субъект доступа наделяется определенными правами и полномочиями, т.е. происходит про­цесс его авторизации.В табл. 8.1 приведены элементы аутентификации для различ­ных информационных систем.В компьютерных системах механизмы аутентификации и авто­ризации обычно реализуются раздельно.Механизмы аутентификации в современных информационных системах основаны на тех же факторах, что и в далеком прошлом:• «то, что знаю» — пароли;• «то, что имею» — смарт-карты, токены и т.п.;• «то, чем являюсь» — биометрические технологии аутентифи­кации.Т а б л и ц а 8.1. Элементы системы аутентификацииЭлемент аутентификацииПроцедура регистрации в системеБанкоматWeb-cepeep по отношению к клиентуСубъект доступаАвторизованный пользовательВладелец банков­ского счетаВладелецWeb-cepeepaИдентификаторСекретный парольБанковская карточка и PINОткрытый ключ в сертификатеВладелец системы,администраторПредприятие,фирмаБанкУдостоверяю­щий центр, выдающий сертификатыМеханизм аутентификацииПрограммное обеспечение,проверяющее парольПрограммное обеспечение,проверяющее карточкуПрограммное обеспечение,проверяющее сертификатМеханизм авторизацииПроцесс регистрации,управление доступомРазрешение на выполнение банковской транзакцииМетки браузе­ра, говорящие о «защищен­ном» статусе страницы Аутентификация может быть однофакторной (как правило, основанной на паролях) и многофакторной (сочетание вышепри­веденных факторов).В настоящее время считается, что парольная зашита не обеспе­чивает безопасности распределенных систем, поэтому применя­ются многофакторные механизмы аутентификации. Кроме того, реализуются усиленные (криптографические) протоколы аутен­тификации, используемые в распределенных системах.Рассмотрим основные типы механизмов аутентификации. К ним относятся: локальная аутентификация; прямая аутентификация; непрямая аутентификация; автономная аутентификация.Локальная аутентификация характерна для автономных ком­пьютеров. Здесь вся система, включая механизмы аутентифика­ции и авторизации, находится в пределах защищаемого организа­ционными и техническими мерами периметра безопасности. Пользователь находится вне этого периметра. Если к надежности периметра безопасности имеется высокое доверие, то в качестве паролей могут использоваться запоминающиеся слова, PIN-коды. Пароли могут храниться в системе в открытом виде. Ведь все, что может сделать нарушитель — это подбирать пароль в интерактив­ном режиме. Конечно, если периметр безопасности «взломан», то нарушитель сможет внедрить закладку, например записывающую последовательность нажатий клавиш.Общим недостатком локальных механизмов аутентификации являются трудности администрирования систем, где они реализо­ваны, которые возрастают при увеличении рабочих мест.При прямой аутентификации имеется сервер, на котором раз­мещены и механизмы аутентификации, и объекты доступа, т.е. данные. К этому серверу имеют удаленный доступ несколько пользователей. Как и при локальной аутентификации, механиз­мы аутентификации и управления доступом находятся внутри одного физического периметра безопасности.Аутентификация называется прямой, так как решение о досту­пе принимается в той же точке, к которой и осуществляется до­ступ. Такая система хорошо работает при небольшом количестве пользователей: администратор знает своих пользователей, поддер­живает базу данных аутентификации. В случае надобности вопро­сы исключения/добавления в эту базу пользователей решаются максимально оперативно и просто.Как и обычно, за преимущества и удобства централизации надо платить, так как при этом снижается устойчивость к сбоям: до­статочно нарушить работу одного сервера. Ввиду того, что пользо­вательские станции находятся вне пределов периметра безопас­ности, к каналу связи между ними и сервером безопасности воз­можен несанкционированный доступ. Поэтому становится невоз­можным использование «обычных», многоразовых паролей, а также биометрических средств аутентификации: противник всегда мо­жет перехватить информацию и использовать ее впоследствии. В системах прямой аутентификации используются зашифрованные пароли либо одноразовые пароли, а также схемы «запрос-ответ».В современных протоколах аутентификации типа RADIUS, Kerberos, а также протоколов, реализованных в домене Windows, используется непрямая аутентификация, при которой имеется несколько точек обслуживания, требующих управления доступом. База данных аутентификации — единая, что облегчает админист­рирование. В системе непрямой аутентификации имеется отдель­ный сервер аутентификации, услугами которого пользуются все точки управления доступом. Отсюда и название «непрямая», так как точки доступа не принимают решения самостоятельно, но целиком полагаются на сервер аутентификации. В системах с не­прямой аутентификацией не обойтись без применения протоко­лов аутентификации.Опишем наиболее общий протокол непрямой аутентифика­ции.1. Субъект доступа обращается к точке доступа, передавая ей свой идентификатор и пароль.2. Точка доступа передает эти данные серверу аутентифика­ции.3. Сервер аутентификации принимает решение о разрешении/ запрете доступа и сообщает его точке доступа.4. Точка доступа доводит решение до субъекта доступа.У нарушителя в данном протоколе имеется возможность не только повторно использовать перехваченный пароль пользовате­ля, но и подделать ответ сервера аутентификации, вследствие чего в этом канале связи также должно применяться шифрование.Системы непрямой аутентификации хорошо масштабируемы, кроме того, могут обладать высокой устойчивостью к сбоям. Для достижения этого свойства применяются механизмы репликации баз данных аутентификации на различные территориально разне­сенные серверы.В системах с открытым ключом применяется автономная аутентификация. В подобных системах аутентификация выпол­няется максимально распределенным образом, так как считается, что субъекты доступа не имеют связи в реальном времени с серве­ром аутентификации. Этот тип аутентификации объединяет осо­бенности первых трех типов. Как и в случае локальной аутенти­фикации, автономная аутентификация может выполняться на не подключенном к сети устройстве. Как и в случае локальной и прямой аутентификации механизм аутентификации расположен там же, где и механизм управления доступом. Как и при непря­мой аутентификации, владелец поддерживает централизованный список авторизованных пользователей. Такие системы характерны для электронной коммерции, когда клиенты (точки обслуживания) пытаются аутентифицировать сер­вер, а не наоборот. Владелец представляет собой независимую сторону (Удостоверяющий центр), который обеспечивает единую среду доверия для серверов и клиентов. Аутентификация осуще­ствляется в два этапа. На первом этапе Удостоверяющий центр передает клиенту подписанный им сертификат открытого ключа сервера. Клиент проверяет подлинность подписи и далее исполь­зует этот ключ в криптопротоколах типа SSL для безопасного со­единения с сервером.Особенностью аутентификации автономного типа является то, что формирование и подпись сертификатов для участников ин­формационного обмена владелец осуществляет в изолированной системе, поэтому нарушитель не имеет доступа к механизму реги­страции пользователей.Автономный тип аутентификации является отказоустойчивым, так как устройство может аутентифицировать любой объект, осу­ществляя поиск нужных сертификатов в своей базе данных или извлекая из того объекта, который аутентифицируется (именно так сделано в SSL). Каталоги открытых ключей могут также быть реплицированы на многие устройства системы.Основным недостатком автономного типа аутентификации яв­ляется сложность лишения полномочий ранее авторизованного пользователя.Как указано в ГОСТ Р ИСО 7498-2 — 99 [14], под паролем по­нимается «конфиденциальная информация аутентификации, обыч­но состоящая из строки знаков».Пароли бывают одноразовые и многоразовые. Вначале будем считать (по умолчанию), что все пароли — многоразовые.На безопасность применения паролей для аутентификации важ­ное влияние оказывают следующие моменты:• генерация паролей;• выдача паролей пользователям и их хранение ими;• хранение паролей в системе;• ввод пароля пользователем и его проверка;• периодичность смены паролей;• вывод паролей из действия.Еще лет 20 назад вопросам генерации паролей не уделялось особого внимания. Так, в Руководстве Министерства обороны США, изданном в 1985 г., единственными требованиями была хорошая запоминаемость и отличие текущего выбранного пароля от предыдущего. Кроме того, рекомендовалось проектировать си­стемы так, чтобы свести вероятность подбора пароля за 1 год его применения до величины 106. Для этого длина пароля должна была составлять 9 буквенных или 8 буквенно-цифровых симво­лов. Кстати, именно последнее требование к паролям встречается в РД Гостехкомиссии для автоматизированных систем высоких классов защищенности.Однако разрешать пользователям выбирать себе пароль само­стоятельно было не очень хорошей идеей, так как чаще всего они выбирали в качестве них какие-нибудь значимые слова. Посколь­ку средний размер активного словаря человека — порядка 5 тыс. слов, вероятность угадывания составляет всего лишь 5 • 10_3 с пер­вой попытки. Если же учесть возможность автоматизированных словарных атак с заранее подготовленными словарями, то подбор пароля может быть осуществлен моментально. Поэтому в руко­водствах по безопасности обычно указывается на необходимость выбора буквенно-цифрового пароля из символов верхнего и ниж­него регистров, что существенно увеличивает пространство атаки.Как запомнить такой пароль? Ведь требование хорошей запо­минаемости паролей возникло не от хорошей жизни: оно необхо­димо для того, чтобы пользователи не записывали пароли, где попало. Хрестоматийным нарицательным примером является за­писанный на хранящейся под ковриком мышки или приклеенной с обратной стороны клавиатуры бумажке пароль. Это лишний раз показывает, что технические меры следует дополнять организа­ционными. В соответствии с современными воззрениями, гриф секретности паролей должен быть не ниже грифа секретности за­щищаемых данных. Значит, он должен быть либо записанным на учтенный лист бумаги (в рабочую тетрадь), либо на носитель со­ответствующего уровня конфиденциальности. В настоящее время на рынке имеются достаточно удобные (и, что немаловажно, сер­тифицированные для обработки информации с самыми высоки­ми грифами) устройства памяти для хранения паролей.Итак, проблему надежного хранения паролей можно решить, затратив небольшие деньги, а то и вообще бесплатно. Но как осу­ществлять их автоматическую генерацию? Казалось бы, какая раз­ница? Используем вызовы функции rand(), приведем получивши­еся числа по нужному модулю — пароль готов. Однако во многих языках программирования встроенная функция генерации слу­чайных чисел порождает вполне детерминированную последова­тельность.Кроме всего прочего, для встроенной функции типа rand() очень мало пространство атаки. Под пространством атаки понимает­ся среднее количество бит, которые должен «угадать» противник для подбора пароля. Например, чтобы подобрать пароль, состоя­щий из одного шестнадцатиричного символа, противнику нужно угадать 4 бита, значит, пространство атаки составляет 4 бита, т.е., по сути, пространство атаки есть не что иное, как энтропия паро­ля. В случае использования встроенной функции пространство атаки будет определяться не длиной и алфавитом сгенерирован­ных паролей, а энтропией начального заполнения линейного кон­ груэнтного генератора, используемого для генерации. В качестве такового используются показания системного таймера, который имеет дискретность 1/12 с. Если противнику известно время ге­нерации пароля с точностью, например, до минуты, то неопреде­ленность составляет всего лишь log2(60 • 12) = 9,5 бит, что пример­но эквивалентно паролю из трех цифр. Таким образом, стойкость «случайного» пароля, порожденного встроенной функцией гене­рации случайных чисел, не зависит от алфавита и размера пароля.Для создания паролей в идеале следует использовать крипто­графически безопасные генераторы случайных чисел (ГСЧ) — ге­нераторы гаммы. Инициализация этих генераторов должна про­изводиться от различных источников случайности, а не только от системного времени.1   ...   13   14   15   16   17   18   19   20   ...   41

Qk^Qs = 0,(9.10)(9.11) ны: «область Парето», «переговорное множество», «область эф­фективных планов». Оптимальный вариант проекта системы мо­жет принадлежать только области компромиссов. Это следует из того, что любой вариант из области согласия может быть улуч­шен, и оба подмножества не пересекаются.Выделение области компромиссов — важный шаг при выборе варианта проекта системы. Область Парето инвариантна к масшта­бу и шкале измерений локальных параметров и к их приоритету — это характеризует корректность разработанного проекта. Область компромиссов существенно сужает область поиска оптимального варианта.Часто выделение данной области недостаточно для полного решения задачи, так как область Парето может содержать доволь­но большое число вариантов. Практически все варианты из этой области равнозначны (и равноправны), выбор сделать крайне слож­но. Выделение варианта внутри области компромиссов может осу­ществляться на основе принятой схемы компромиссов (некото­рая аксиоматика). В ряде случаев целесообразно предоставить выбор варианта проекта системы внутри области компромиссов заказчику или пользователю системы, который может учесть ха­рактеристики вариантов проекта, не нашедших свое отражение в векторном критерии. Каждое решение будет различаться в неко­тором или в некоторых параметрах, в этом случае заказчик может сформулировать, какие из параметров наиболее важны для него (произвести коррекцию критериев) и исходя из этого принимать решение о выборе.Приведем наиболее распространенные методы поиска реше­ний внутри области компромиссов.1. Принцип равномерности. Пусть критерии нормализованы и имеют одинаковую важность. Считается целесообразным выбор такого варианта решения, при котором достигается некоторая равномерность показателей по всем критериям. Выделим три прин­ципа реализации принципа равномерности: принцип равенства, принцип квазиравенства и принцип максимина.Формально принцип равенства описывается следующим обра­зом:^opt = \Я\ = Яі Ъ = Ят\^ Qk• (9.12)Не всегда существует такой вариант решения, при котором все критерии равны (или он не принадлежит области компромиссов). Тогда применяется метод квазиравенства.2. Метод квазиравенства. При этом методе требуется достичь приближенного равенства; приближенность задается диапазоном, характеризующимся некоторым значением 5.3. Принцип максимина. Из области Парето выбираются вари­анты проекта с минимальными значениями локальных парамет­ ров и среди них ищется вариант, имеющий максимальное значе­ние. В этом случае постепенно увеличивается критерий с наи­меньшим уровнем, пока все значения не окажутся приблизитель­но равны.4. Принцип справедливой уступки. Проектировщик должен проверить, не дает ли небольшое отклонение от равномерных критериев значительное улучшение по одному или нескольким критериям. В этом случае целесообразно применять данный прин­цип. На рис. 9.3 приведен пример области Парето. Кружочками изображены возможные варианты решения задачи оптимизации в плоскости «стоимость—уровень защищенности». Цифрами обо­значены варианты, принадлежащие области компромиссов. Пря­мые линии показывают ограничения на возможность достижения определенных значений рассматриваемых параметров многокри­териальной задачи оптимизации.При совместном анализе трех параметров, например врем я- стоимость—защищенность, на графике появляется дополнитель­ная ось. В общем случае мы имеем дело с я-мерным графиком, где п — число параметров многокритериальной задачи оптимиза­ции.Если небольшой проигрыш по одному из факторов ведет к зна­чительному выигрышу другого параметра, то это и называется точкой справедливой уступки. Приведенный рисунок демонстри­рует, что при очень высоком диапазоне весов третья точка всегда попадает в лучшую точку уступки. Если множество Парето не со­держит в себе характерных точек, то найти точку справедливой уступки крайне затруднительно.Переход от одного варианта из области компромиссов к друго­му из этой же области всегда сопровождается улучшением по од­ному из критериев и ухудшением по другому (другим) критерию. Принцип справедливой уступки основан на оценке и сопоставле­нии прироста и убыли локальных факторов. Оценка может про­изводиться по абсолютному значению прироста или убыли кри-СРис. 9.3. Пример области Парето (пояснения см. в тексте) териев, либо по относительному (абсолютная и относительная уступка).5. Метод главной компоненты. Один из критериев объявляется оптимизируемым и выбирается тот вариант решения, при кото­ром значение данного критерия достигает экстремума. На осталь­ные критерии накладываются ограничения.Поскольку во многих практических случаях шкалы измерения критериев различны, для поиска решения в области компромис­сов осуществляется нормализация пространства критериев. Пос­ле нормализации можно проводить ранжирование критериев по их важности. Численно это формализуется приписыванием весов каждому из рассматриваемых критериев. Далее в качестве целе­вой функции выбирается линейная или степенная модель важно­сти и производится поиск оптимального решения подобного вы­бора наилучшего объекта из списка предложенных.6. Случайное и неопределенное свертывание показателей. Це­левой функцией системы объявляется тот или иной показатель функционирования (внешний параметр). В общем случае част­ные показатели могут зависеть от случайных или неопределенных факторов. Допустимый вариант проекта системы также может за­висеть от случайных или неопределенных факторов. Неопреде­ленность требований к системе, некомпетентность или неуверен­ность разработчика и заказчика приводят к тому, что выбранная целевая функция (в частности, весовые коэффициенты) случай­на. Приведенные методы позволяют производить свертку много­критериальной задачи.При составлении целевой функции используется математи­ческая модель, где в качестве независимых переменных будут выступать внутренние параметры системы, а значению функции будут соответствовать внешние (искомые) параметры системы. Решение задачи оптимального проектирования СЗИ АС заклю­чается в выборе такого варианта проекта, который при удовле­творении заданных ограничений определяет экстремальное зна­чение некоторой величины, характеризующей безопасность си­стемы. Целевая функция безопасности зависит от каждого из выбранных методов реализации по каждому из требований мо­дели. Выбор оптимального варианта системы осуществляется сле­дующим образом: экспертная комиссия обрабатывает требова­ния заказчика и определяет возможные варианты декомпозиции системы защиты, а также составляет технические задания на ва­рианты реализации подсистем. Далее для каждого варианта де­композиции отдельно решается задача оптимизации для подси­стем.Оценка и анализ предложенного варианта осуществляются за­казчиком системы. Результатом работы приведенного сценария будет оптимальный вариант системы защиты информации АС. 9.4. Выбор структуры СЗИ АСНа практике чаще всего системы защиты проектируются не с нуля, а на основе уже существующих систем. Возможны два под­хода к построению систем защиты или, иными словами, внедре­нию в проектируемую вычислительную систему механизмов и средств защиты, обеспечивающих заданный уровень безопасного функционирования системы [49].Первый из них заключается во включении в рассмотрение кри­териев надежности, защищенности (целостности, достоверности, конфиденциальности и доступности) информации, обрабатывае­мой в АС, на этапе проектирования всей системы в целом. Тогда средства обеспечения безопасности выбираются и внедряются наравне с основными вычислительными ресурсами системы.Если нужно спроектировать систему защиты уже существую­щей АС, первый подход использовать невозможно. В этом случае ставится задача оптимального проектирования системы защиты, выступающей в качестве надстройки основной — вычислитель­ной — сети. Тогда в качестве дополнительных критериев при ре­шении подобной задачи могут выступать время и стоимость раз­работки, время и стоимость внедрения системы защиты, время и стоимость эксплуатации, уровень сочетания с существующей си­стемой, степень влияния на протекающие в ней процессы обра­ботки информации, степень ухудшения показателей основной автоматизированной системы (время обработки транзакций, удоб­ство пользователей, стоимость эксплуатации и т.п.).У существующей системы уже зафиксированы ее основные показатели: состав рабочих мест, требуемые вычислительные ре­сурсы, стоимость эксплуатации и др. Внедрение системы защиты, безусловно, скажется на этих показателях в виде изменения в сто­рону увеличения времени обработки и стоимости.Типовыми структурами систем являются линейная, кольцевая, сотовая, многосвязная, звездная, иерархическая [43].Линейная структура характеризуется тем, что каждая вершина связана с двумя соседними. При выходе из строя хотя бы одного элемента структура разрушается, поэтому такая структура непри­менима для описания системы защиты информации.Кольцевая структура отличается замкнутостью, любые два на­правления обладают двумя направлениями связи. Это повышает живучесть.Сотовая структура характеризуется наличием резервных свя­зей, что еще больше повышает живучесть, но приводит к повы­шению ее стоимости.Многосвязная структура имеет вид полного графа. Надежность функционирования максимальная, эффективность функциониро­вания высокая, стоимость максимальная. Звездная структура имеет центральный узел, остальные эле­менты системы подчинены ему.Наиболее широкое применение при синтезе систем зашиты информации от НСД в АС получила иерархическая структура. В ней все элементы, кроме верхнего и нижнего уровней, облада­ют как командными, так и подчиненными функциями управле­ния.9 .5 . Проектирование системы защиты информации для существующей АСОбозначим через Р уровень защищенности, достигаемый в си­стеме. Тогда целевая функция может быть записана следующим образом:/»-> max, Т< Т*, С< С*, (9.13)где Т*, С* — допустимые возможные значения затрат времени и денег на создание системы защиты.Пусть исходная существующая АС характеризуется показате­лем защищенности Р0, а также множеством иных показателей, например: С0 — ее стоимость; Гоп — среднее время на операцию; Ѵоп — средний объем оперативной памяти, требуемый для осуще­ствления операции; Соп — стоимость выполнения одной опера­ции и т.п.После внедрения в исходную систему механизмов защиты при­ращение значений показателей вычисляется по значениям пара­метров механизмов защиты. Очевидно, что приращение защищен­ности будет сопровождаться приращением стоимости, ухудшени­ем других параметров системы. Существует подход, при котором сумма затрат и необходимый уровень обеспечения безопасности определяются точкой экономического равновесия, после которой затраты на защиту информации превышают возможный ущерб при нарушении ее безопасности.Таким образом, проектировщиком системы защиты должны быть определены предельно допустимые значения параметров АС, и внедрение подсистемы защиты должно вестись с учетом этих значений.Список функций, которые должны быть удовлетворены при реализации системы защиты, состоит из п элементов. Каждую из функций выполняет некоторое средство безопасности, в свою очередь выбираемое из списка подобных компонентов. Таким образом, решением оптимального проектирования системы явля­ется набор выбранных компонентов Мь М2, М3, ..., М„, при кото­ром соблюдаются все установленные ограничения. Выделяется область компромиссов при многокритериальной оптимизации по вектору параметров подсистемы. Далее решается задача однокри­териальной оптимизации внутри области компромиссов.Иногда одно средство может обеспечить сразу две или более функции защиты, в таком случае оно будет встречаться в несколь­ких списках с разными показателями уровня обеспечиваемой за­щищенности. Но дополнительно нужно учитывать, что стоимость внедрения и эксплуатации подобного устройства (программы или механизма) будет уменьшаться кратно числу реализуемых им функ­ций. Поэтому при подготовке входных данных для методики сто­имость компонента должна задаваться проектировщиком вруч­ную уже скорректированной по числу функций, реализуемых рас­сматриваемым объектом. Например, значения стоимости внедре­ния и эксплуатации устройства, реализующего криптографиче­ский алгоритм, который применяется для реализации сразу двух функций (шифрование и электронная цифровая подпись), могут быть сокращены вдвое. Объект присутствует во множестве средств реализации дважды, и его полная стоимость остается прежней.Использование методики позволяет проинтерпретировать за­висимость достигаемого уровня защищенности относительно за­трат на систему защиты, предоставляет возможность учесть раз­личные ограничения, вводимые разработчиком или заказчиком системы. Существует разновидность задачи поиска оптимального варианта системы, основанная на поиске экстремума относитель­ного приращения Ар,-/Дс,- или относительного приращения по дру­гим параметрам. Г л а в а 10Определение условий функционирования КСЗИ10.1. Содержание концепции построения КСЗИПри построении КСЗИ важно обеспечить полноту составляю­щих защиты, учесть все факторы и обстоятельства, оказывающие влияние на качество защиты. Необходимо обеспечить безопас­ность всей совокупности подлежащей защите информации во всех компонентах ее сбора, хранения, передачи и использования, а также во время и при всех режимах функционирования систем обработки информации.Понятно, что выполнение вышеприведенных требований в первую очередь требует создания замысла (концепции) построе­ния КСЗИ. Рассмотрим содержательную составляющую написа­ния такой концепции на примере «Концепции обеспечения без­опасности информации в автоматизированной системе организа­ции» [50] (далее — Концепция). Конечно, этот документ не охва­тывает всех вопросов, связанных с защитой информации пред­приятия, но обработка информации в электронном виде приоб­ретает все больший вес, что объясняет важность изучения данной концепции.Рассматриваемая Концепция состоит из введения, восьми раз­делов и приложений.Основные разделы Концепции следующие:1. Общие положения.2. Объекты защиты.3. Цели и задачи обеспечения безопасности информации.4. Основные угрозы безопасности информации АС организации.5. Основные положения технической политики в области обес­печения безопасности информации АС организации.6. Основные принципы построения системы комплексной за­щиты информации (КСЗИ).7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов.8. Первоочередные мероприятия по обеспечению безопасно­сти информации АС организации. Во введении кратко описаны причины создания Концепции, ее роль в создании КСЗИ предприятия. В приложениях даны ссыл­ки на нормативные и правовые акты, приведены используемые терминология и сокращения.В разделе «Общие положения» детализируются вопросы, за­тронутые во введении. Здесь же отмечается, что Концепция — методологическая основа:• для формирования и проведения единой политики в области обеспечения безопасности информации в АС организации;• принятия управленческих решений и разработки практиче­ских мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правово­го, технологического и организационно-технического характе­ра, направленных на выявление, отражение и ликвидацию по­следствий реализации различных видов угроз безопасности ин­формации;• координации деятельности структурных подразделений орга­низации при проведении работ по созданию, развитию и эксплу­атации АС организации с соблюдением требований обеспечения безопасности информации;• разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС организации.В этом разделе приведены ограничения по рассматриваемым в Концепции вопросам. В частности, указано, что вне пределов описания остались вопросы физической защиты объектов пред­приятия. Кроме того, указано, что «основные положения Кон­цепции базируются на качественном осмыслении вопросов без­опасности информации и не концентрируют внимание на эконо­мическом (количественном) анализе рисков и обосновании необ­ходимых затрат на защиту информации».Рассмотрим подробнее содержание других разделов Концеп­ции.10.2. Объекты защитыВ данном разделе Концепции приведены сведения:• о назначении, целях создания и эксплуатации АС организа­ции как объекта информатизации;• о структуре, составе и размещении основных элементов АС организации, информационных связях с другими объектами;• о категориях информационных ресурсов, подлежащих защите;• о категориях пользователей АС организации, режимах ис­пользования и уровнях доступа к информации;• об уязвимости основных компонентов АС. В качестве основных объектов защиты выделены:• информационные ресурсы, причем не только с ограничен­ным доступом, но и иные, чувствительные по отношению к нару­шению их безопасности;• процессы обработки информации в АС;• информационная инфраструктура, включающая системы об­работки и анализа информации, технические и программные сред­ства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и сред­ства защиты информации, объекты и помещения, в которых раз­мещены чувствительные компоненты АС.Общие сведения об АС приводятся в силу того, что КСЗИ яв­ляется подсистемой АС и должна способствовать достижению сто­ящих перед АС целей.Сведения о размещении компонентов АС позволяют глубже понять задачи КСЗИ. В частности, современные АС предприятия территориально распределены, что накладывает требования защиты каналов связи, проходящих вне контролируемой территории. Если в АС циркулирует информация разных категорий, следовательно, необходимо применение средств разграничения доступа. В случае объединения локальных сетей, обрабатывающих информацию с различным грифом конфиденциальности, необходимо примене­ние межсетевого экранирования и т.д.Приводимые сведения о комплексе технических средств АС позволяют в дальнейшем определить уязвимые места, нуждающе­еся в обновлении оборудование и определяют во многом выбор СЗИ.В этом разделе достаточно подробно перечисляются объекты информатизации:• технологическое оборудование (средства вычислительной тех­ники, сетевое и кабельное оборудование);• информационные ресурсы, содержащие сведения ограничен­ного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информа­ционных физических полях, массивах и базах данных;• программные средства (операционные системы, системы уп­равления базами данных, другое общесистемное и прикладное про­граммное обеспечение);• автоматизированные системы связи и передачи данных (сред­ства телекоммуникации);• каналы связи, по которым передается информация (в том числе ограниченного распространения);• служебные помещения, в которых циркулирует информация ограниченного распространения;• технические средства (звукозаписи, звукоусиления, звуковос­произведения, изготовления, тиражирования документов, пере­ говорные и телевизионные устройства и другие технические сред­ства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;• технические средства и системы, не обрабатывающие инфор­мацию (вспомогательные технические средства и системы — ВТСС), размещенные в помещениях, где обрабатывается (цирку­лирует) информация, содержащая сведения ограниченного рас­пространения.Категории информационных ресурсов, подлежащих защите, определяют требования по их обязательной защите в соответ­ствии с законодательством, выбор средств защиты того или ино­го класса.Например, в рассматриваемой АС имеются сведения:• составляющие коммерческую тайну, доступ к которым огра­ничен собственником информации в соответствии с Федераль­ным законом «О коммерческой тайне»;• составляющие банковскую тайну, доступ к которым ограни­чен в соответствии с Федеральным законом «О банках и банков­ской деятельности»;• персональные данные, доступ к которым ограничен в соот­ветствии с Федеральным законом «О персональных данных».Описание категорий пользователей помогает, с одной сторо­ны, определить необходимые права доступа, выделить нештатных ответственных за ОБИ, а с другой стороны, выявить потенциаль­ных нарушителей. Например:• пользователи баз данных;• ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);• администраторы серверов (файловых серверов, серверов при­ложений, серверов баз данных) и ЛВС;• системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих стан­циях пользователей;• разработчики прикладного программного обеспечения;• специалисты по обслуживанию технических средств вычис­лительной техники;• администраторы информационной безопасности (специаль­ных средств защиты) и др.Описание уязвимостей АС позволяет определить направления, на которых нужно сосредоточить первоочередные усилия. Надо отметить, что ряд уязвимостей можно закрыть организационно­техническими мерами, тогда как для других это невозможно в рамках принятой на предприятии технологии обработки инфор­мации.В рассматриваемой Концепции оцениваются уязвимости пер­вого и второго типов. 1   ...   17   18   19   20   21   22   23   24   ...   41

§
- 5
и
§ £
*
S | - S
а-S о. эс
Е—
„ к Л
О Й
И
S н s О
S

S S
и
Щ
W &
о. 3
si!
і 5 I с
> . О ° ^
н >> = S
О й S ч
О S о ,* *
е* со * и
I
CQ
СО
3
* а.
о. и
со О,
Ш с
О о
&*
^ <и
с? S
S 31
^ ss
Л CQ
н о
л ю
Е-*
е=! о
С
X
о <и
* 3 n а
* 8
5 8
>*
*
§ из
« S
s со
х ю
из
5 I
X
Ч
S|
8 1
ш о
S О.
л
н
о
о
X
СО
X 5
<и н
Д- W
о О
S
СЗ ^
а. £
09 W
О S
£І
5
1
5 °
о I о
S S >»
EJ о s
5 о, s
5 s S
O s
со §
о 3
>4 ЭС
a s
*
О*

I
с
н к
<
и ЕГ
Я Й
.
S - s
s J3
S
I § з
1 X S
2 s 5
О О. s
>» с
а
со
аэ
о
§
аэ
О

О- X
№ к s s
5 =J
5 ^
SS м
m s
О х
н 2
а. мз

ю S
л
Ё
С
О
X
р
о
к
СО
х
§
&
х
>>

5
S
н
о
о
X
о
.
03 [П
о S
го
и
ю s
5 g аі
к
СО
а
о
I м
I X
§ г
с о >; ш ѳ
05
ш
о
S
S
со
ffl
н
о
п
(U
о.
о

VD >>
СО
н
о
ю
со
О .
• ГО
СО СО
С о.
&■«
О I
* 5
J3 н
с?
Rv&
£ І
о сх
с
LO
S
s
S
со
Я I
< S
«и И
s х
X S
s s
s 5
S. w
R 03
.¾ л
^ о О .
О с
S >>
(D
S
СО
«
I
О о о я
X Ь

S
X
5
S.
S ѵВ О
о
S О
о
о.
С
05
s 2
= S
СО
*
03 х
о
Ю О ,
(D
>=1
О . ^
f—
х
н “

-
СО
О
м £
х и
і
а



S s
* I
СО С
СО
>> п
5 S
^ X
<Т) СО
СО
н
о
э
Q .
О
с£
о
5 из
2 S
х -
О , х
CJ <и
0 5 1
S
OQ r t о С с >>
а
со
*
S
■Ѳ
S
н
Q .

О
05
СО
X
§
сх
со
X
>.
из
X
>>
U
к 2
S S
S х
Й СО
оз cd-
О со
ю о
о о
Н «
=J
2
2*
ч
с
о
(Г)
2
из s
> > 03
^ S
^ 5
S X
X
со
>>
ю
СО о
н s
S 5
о s
03
СО
о О
^ о.

о
О
^
(D
S О.
2
S
X
о . -
Q.U3
g s
СО ( J
X
S ^
0 * .
1 &«Ь
X §
s
о § >
S с и
>> го
^
05
О ю
О
из
S

и
ь
S
Й
СО
S
S
X
X

сх
со
ч Э
(D М
^
S
И 3
О
из Q*
мире стандартов по организационным основам ИБ серии 270хх.
Технический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандар­
тов, в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 и 27001 (табл. 1.1).
При внедрении организационных стандартов появляется воз­
можность добровольной сертификации не только систем качества
(как это сейчас происходит, на соответствие стандартам серии
9000), но и СУИБ. Зачастую такие требования уже выдвигают за­
падные партнеры наших предприятий.
Кроме того, проведение сертификации СУИБ компании по­
зволяет: обосновать затраты на эту систему; оценить ее эффек­
тивность; определить приоритеты КСЗИ.
Например, в ряде случаев уровень безопасности можно значи­
тельно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.
Особую актуальность внедрению организационных стандартов
И Б придает развитие нового вида услуг в данной области — стра­
хование рисков ИБ. Имеются данные, что организации, обладаю­
щие международными сертификатами соответствия стандартам
СУИБ, получают скидки, сопоставимые с затратами на проведе­
ние сертификации [5].
В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова­
лось разработать следующие стандарты (сведения на лето 2007 г.):
• IS027000 — определения и основные принципы СУИБ;
• IS027001: 2005 — этот стандарт уже внедряется фирмами в
РФ, которые не дожидаются его перевода;
• IS027002 — в апреле 2007 г. заменяет ISO 17799:2005;
• IS027003 — руководство по внедрению СУИБ (2007 г.);
• IS027004 — оценка эффективности СУИБ (2007 г.);
• IS027005 — управление рисками ИБ (в его основе лежит
BS 7799-3: 2006, планируемый выпуск — в 2007 г.).
Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799 —
2005, являющийся переводом стандарта ISO 17799: 2000 (к сожа­
лению, его, а не более современного 17799:2005). По мнению аналитиков известного Интернет-ресурса CNews, качество рус­
ского текста оставляет желать лучшего, так что рекомендуется читать ISO 17799 : 2005, причем в оригинале.
Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:
• ISO/IEC 18045 : 2005 — методология оценки безопасности ИТ;
• ISO/IEC TR 18044:2004 — управление инцидентами ИБ;
. ISO/PRF TR 13569.2, ISO/TR 13569:1997 - рекомендации по И Б при предоставлении финансовых услуг.

1.6. Цели и задачи защиты информации
в автоматизированных системах
Современный бизнес немыслим без широкого использования автоматизированной обработки информации, средств вычислитель­
ной техники, связи. Создаваемые на основе этих информацион­
ных технологий системы и сети носят глобальный, территориаль­
но распределенный характер. В компьютерах на носителях дан­
ных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей боль­
шую ценность для ее владельца. Однако компьютерная обработка информации, при всех ее положительных сторонах, порождает целый ряд сложных и крупномасштабных проблем. Одной из та­
ких проблем является надежное обеспечение сохранности и уста­
новленного статуса использования информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, автоматизированных системах. Для решения этой пробле­
мы разрабатывается система защиты информации (СЗИ) в АС.
СЗИ включает меры по защите процессов создания данных, их ввода, хранения, обработки и вывода. СЗИ должна обезопасить ценности системы, защитить и гарантировать точность и целост­
ность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разру­
шена. Зашита информации требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспе­
чивается доступ или она распространяется.
Защита информации направлена на достижение следующих целей:
• конфиденциальность критической информации;
• целостность информации и связанных с ней процессов (со­
здания, ввода, обработки и вывода);
• доступность информации, когда она нужна;
• учет всех процессов, связанных с информацией (например, неотказуемость авторства).
Работы по защите информации у нас в стране ведутся доста­
точно интенсивно и уже продолжительное время. Накоплен опре­
деленный опыт. Его анализ показал, что весь период работ по защите информации в АС достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в прин­
ципиальных подходах к защите информации.
Первый этап характеризуется упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представ­
ления информации в ЭВМ в закодированном виде и обработки ее по специфическим алгоритмам является серьезным защитным средством. Поэтому для обеспечения защиты информации впол­
не достаточно включить в состав АС некоторые технические и программные средства и осуществить ряд организационных ме­
роприятий. Надежды эти не оправдались, специалисты пришли к выводу о том, что для зашиты информации требуется некоторая вполне организованная система со своим управляющим элемен­
том. Такой элемент получил название ядра защиты, или ядра без­
опасности. Тем не менее, все еще сохранялась надежда, что си­
стема защиты с ядром в дальнейшем будет обеспечивать надеж­
ную защиту во все время функционирования АС, хотя существен­
но повысилось внимание к организационным мероприятиям.
Изложенный подход был характерен и для второго этапа. Од­
нако нарушения в организации безопасности информации неу­
клонно росли, что вызывало серьезную озабоченность, поскольку могло стать серьезным препятствием на пути внедрения вычисли­
тельной техники. Усиленные поиски выхода из такой почти кри­
зисной ситуации привели к выводу, что зашита информации в современных АС есть не одноразовая акция, а непрерывный про­
цесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Сделанный вывод знаменовал начало третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время. Так в самых общих чертах может быть охарактеризовано существо за­
рубежного и отечественного опыта защиты информации в АС.
На основе сказанного, теоретических исследований и практи­
ческих работ в области защиты информации сформулирован так называемый системно-концептуальный подход к защите инфор­
мации в АС.
Под системностью как составной частью системно-концепту- ального подхода понимается [6]:
• во-первых, системность целевая, т.е. защищенность инфор­
мации рассматривается как составная часть общего понятия каче­
ства информации;
• во-вторых, системность пространственная, предполагающая взаимоувязанное решение всех вопросов защиты во всех компо­
нентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;
• в-третьих, системность временная, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязан­
ным планам;
• в-четвертых, системность организационная, означающая един­
ство организации всех работ по защите информации и управле­
ния их осуществлением. Она предопределяет объективную необ­
ходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную
организацию надежной защиты во всех АС, обладающих необхо­
димыми полномочиями. Главной целью указанной системы орга­
нов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите инфор­
мации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взгля­
дов, положений и решений, необходимых и достаточных для оп­
тимальной организации и обеспечения надежности защиты ин­
формации, а также для целенаправленной организации всех ра­
бот по ее защите. Разработка такой концепции в настоящее время находится в стадии завершения, и ее содержание охватывает все направления обеспечения надежной защиты информации.
Комплексность системы защиты информации достигается охва­
том всех возможных угроз и согласованием между собой разно­
родных методов и средств, обеспечивающих защиту всех элемен­
тов АС.
Основные требования к комплексной системе защиты инфор­
мации в АС:
• должна обеспечивать выполнение АС своих основных функ­
ций без существенного ухудшения характеристик последней;
• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены воз­
можности ее совершенствования и развития в соответствии с усло­
виями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными пра­
вилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разгра­
ничения доступа;
• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую об­
становку, быть сложной для пользователя, вызывать психологи­
ческое противодействие и желание обойтись без нее.
Перечень основных задач, которые должны решаться систе­
мой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вме­
шательства в работу системы и несанкционированного (с превы­
шением предоставленных полномочий) доступа к ее информаци­
онным, программным и аппаратным ресурсам со стороны посто­
ронних лиц, а также лиц из числа персонала организации и пользо­
вателей;
• защита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отноше­
ние к ее безопасности;
• контроль работы пользователей системы со стороны админис­
трации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного обеспечения с целью зашиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут со­
держаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распро­
странения компьютерных вирусов;
• управление средствами защиты информации.
Поскольку субъектам информационных отношений ущерб мо­
жет быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы об­
работки и передачи данной информации от несанкционирован­
ного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается за­
щищенность всех ее компонентов (технических средств, програм­
много обеспечения, данных и персонала) от подобного рода не­
желательных для соответствующих субъектов информационных от­
ношений воздействий.
1.7. Современное понимание методологии
защиты информации
1.7.1. Особенности национального технического
регулирования
Под методологией защиты информации понимается использо­
вание совокупности необходимых и достаточных моделей, мето­
дов, методик. Подходы к моделированию КСЗИ, применяемые в
ней методы и методики будут рассмотрены в следующих главах.
Здесь мы остановимся на проектах двух документов в этой облас­
ти, которые отражают современную систему взглядов на пробле­
му защиты информации, — проектах технических регламентов.
В случае их принятия они будут иметь силу закона.
С принятием в 2002 г. Федерального закона «О техническом регулировании» началась новая эра в области задания требований к продукции и оценке ее соответствия. Целью данного закона было снятие излишних, искусственно воздвигнутых барьеров на пути изделий отечественных (и не только) производителей, лик­
видация разнородных и иногда противоречивых требований, за­
ложенных в отечественных стандартах. Отныне все обязательные требования разрешается излагать только в технических регламен­
тах (ТР), а следование стандартам — дело добровольное. При этом и в ТР можно предъявлять не произвольные требования, а лишь касающиеся «защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муни­
ципального имущества; охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вво­
дящих в заблуждение приобретателей».
В ст. 7 упомянутого закона приведены различные виды без­
опасности, которые обеспечиваются выполнением минимальных требований регламентов: механическая, пожарная, промышлен­
ная, ...Обращает на себя внимание отсутствие такого важного вида, как информационная безопасность.
Существуют мнения о необходимости внесения в закон соот­
ветствующих поправок, но в настоящее время решили идти «околь­
ным» путем. Влияет информационная безопасность на жизнь лю­
дей, на сохранность имущества? В какой-то степени, да. Поэтому было решено разработать и принять два специальных техничес­
ких регламента (СТР-45 и СТР-46) в этой области, а в преамбуле написать, что принимаются данные регламенты в целях, указан­
ных в ФЗ «О техническом регулировании», которые приведены выше.
Надо сказать, что СТР-45 («О безопасности информационных технологий») и СТР-46 («О требованиях к средствам обеспечения безопасности информационных технологий») должны были быть приняты еще в 2005 г. На момент написания книги (2008 г.) их судьба все еще неясна, тем не менее целесообразно изучить мето­
дологический подход, заложенный в проектах этих регламентов.
1   2   3   4   5   6   7   8   9   ...   41
1.7.2. Что понимается под безопасностью ИТ?
Несмотря на свое довольно широкое название, проект СТР-45 рассматривает в основном только одну сторону обеспечения без­
опасности ИТ — защиту от НСД в АС. Кроме того, изложены
требования к физической защите и защите среды ИТ (пожарная, электробезопасность и т.д.). При этом, чтобы хоть как-то соот­
ветствовать своему названию, вместо термина АС по тексту ис­
пользуется термин «ИТ» — упорядоченная совокупность аппарат­
ных, программных, аппаратно-программных средств, систем и ин­
формационных процессов. На наш взгляд, определение не очень удачное, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к
ИТ. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информаци­
онных процессов, нарушение безопасности которых вполне мо­
жет повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требо­
ваниям к безопасности при эксплуатации ИТ. В проекте указаны стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каж­
дой стадии приведен перечень необходимых мероприятий.
Первое, что необходимо выполнить при подготовке к эксплуа­
тации, — это категорирование по безопасности ИТ. СТР-45 вво­
дит 6 категорий ИТ, в зависимости от того, какой ущерб возмо­
жен при нарушении безопасности (табл. 1.2). К данным, приве­
денным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться после выполнения анализа и оценки рисков, правила выполне­
ния которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выпол-
Т а б л и ц а 1.2. Категорирование по безопасности ИТ
Категория
ИТ
(уровень ущерба)
Материальный ущерб,
МРОТ
Нарушены условия жизнедеятель­
ности, человек
Постра­
дало,
человек
Размер зоны чрезвычайной ситуации
1-я
4 0 1 -5 0 0 2 - 1 0


2-я
5 0 1 -1 0 0 0 1 1 -1 0 0 1 - 1 0
Территория объекта
3-я
1 0 0 1 -5 0 0 0 10 1 -3 0 0 1 1 - 5 0
Населенный пункт, район
4-я
5001—0,5 млн
3 0 1 -5 0 0 5 1 -5 0 0
Субъект РФ
5-я
0,5 млн — 5 млн
5 0 1 - 1000 5 1 - 5 0 0 2 субъекта РФ
6-я
> 5 млн
> 1000
>500
> 2 субъектов
РФ
няется, разработчики написать «забыли». Требования к ИТ предъявляются лишь исходя из категории безопасности ИТ.
В соответствии с духом ГОСТ 15408, все требования подразделя­
ются на функциональные и требования доверия к безопасности.
Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техниче­
ским мерам и средствам обеспечения безопасности ИТ.
Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO
17799, BSI, COBIT и др., в том числе корпоративные стандарты.
Оргмеры включают не только традиционные мероприятия по за­
щите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ве­
дения бизнеса), оценку рисков, информирование и обучение пользователей.
Функциональные требования помимо прочего включают срав­
нительно новые для наших пользователей детализированные тре­
бования к аудиту безопасности ИТ, требования к защите комму­
никаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.
Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопро­
вождению ИТ, внесению изменений в ее конфигурацию, требова­
ния к персоналу и к документации.
По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в слу­
чае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: атте­
стация ИТ и государственный контроль (надзор). При этом для
ИТ 3 —6-й категорий аттестация осуществляется аккредитован­
ными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его про­
ведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обна­
ружения нарушений СТР-45 может быть остановлен.
1.7.3. Документы пользователя
Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необхо­
димо разработать большое количество документов. Часть из них будут новыми для отечественных потребителей. К таким доку­
ментам относятся следующие:

планы, обеспечения безопасности ИТ; действий в непредви­
денных ситуациях;
политики: безопасности информационных технологий; реа­
гирования на инциденты нарушения безопасности; оценки рис­
ков; защиты носителей информации; обеспечения целостности
ИТ и информации; физической защиты и защиты среды ИТ; обес­
печения безопасности эксплуатирующего персонала; обучения
(тренинга) безопасности (для ИТ 2 категории и выше); иденти­
фикации и аутентификации; управления доступом; аудита и обес­
печения подотчетности (политика регистрации и учета); зашиты
ИТ и коммуникаций; сопровождения ИТ; управления конфигу­
рацией;
руководства: по использованию беспроводных технологий
(для ИТ 3-й и последующих категорий); по использованию пор­
тативных и мобильных устройств (для ИТ 3-й и последующих категорий); по использованию технологий мобильного кода (для
ИТ 2-й и следующих категорий); по использованию технологии передачи речи по IP-сетям (ІР-телефонии);
списки: персонала, уполномоченного на выполнение действий по сопровождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и следующих категорий); доступа эксплуатирующего персонала на объекты ИТ;
журналы, доступа посетителей; регистрации действий по со­
провождению ИТ (для ИТ 3-й и следующих категорий);
правила поведения эксплуатирующего персонала в отно­
шении обеспечения безопасности ИТ\
соглашения о доступе',
базовая конфигурация ИТ\
реестр компонентов ИТ.
В тексте СТР-45 очень кратко упоминается о том, что должен содержать каждый из перечисленных документов. Учитывая от­
сутствие необходимой методической базы, можно полагать, что разработка документации по ИТ будет непростым делом для по­
требителей.
Организационно-распорядительная документация по примене­
нию мер и средств обеспечения безопасности ИТ должна отно­
ситься к информации ограниченного доступа.
1.7.4. Требования к средствам обеспечения
безопасности
Проект СТР-46 использует в основном ту же терминологию, что и СТР-45. Под средствами обеспечения безопасности инфор­
мационных технологий (СОБИТ) авторы проекта понимают сред­
ства, реализующие совокупность функций, обеспечивающих БИТ.

Нам это определение представляется довольно расплывчатым. На­
пример, система пожаротушения тоже реализует указанные функ­
ции (и в СТР-45 приведены требования к ней), но она не являет­
ся предметом рассмотрения данного проекта регламента. Дума­
ется, что будет правильным ставить знак равенства между исполь­
зующимся сейчас термином «средства защиты информации» и
СОБИТ. Разработчики обещают в следующих версиях проекта СТР привести исчерпывающий список средств, относящихся к СОБИТ.
Категория СОБИТ устанавливается исходя из того, в ИТ какой максимальной категории его можно использовать. В зависимости от категории к СОБИТ предъявляется определенный набор тре­
бований доверия к безопасности. Сравнение с ГОСТ 15408 пока­
зывает, что эти наборы требований для различных категорий не совпадают с требованиями оценочных уровней доверия ОК. Та­
ким образом, СОБИТ наивысшей категории не сможет быть авто­
матически сертифицирован на соответствие ОК даже по самому низкому уровню доверия. Верно и обратное: выполнение требо­
ваний ОК недостаточно для того, чтобы СОБИТ соответствовали
СТР-46.
Функциональные требования безопасности к СОБИТ не уста­
навливаются в связи с их многообразием. Состав этих требований будет определять разработчик, исходя из парируемых средством угроз, условий применения и его категории. В приложении к проек­
ту СТР-46 приведен перечень основных функциональных требо­
ваний с пояснениями, что можно рассматривать в качестве мето­
дического пособия по данной теме. Между тем, непонятно, для чего эти материалы предлагается включить в текст закона.
Подтвердить соответствие СОБИТ требованиям безопасности предполагается двумя формами: декларированием соответствия и обязательной сертификацией (для СОБИТ трех старших катего­
рий).
Интересным, но до конца непродуманным предложением ав­
торов является открытое опубликование результатов сертифика­
ционных испытаний. Очевидно, что для СОБИТ высших катего­
рий такое опубликование не только нецелесообразно, но и может привести к разглашению государственной тайны.
По аналогии с ИТ, в отношении СОБИТ предлагается прово­
дить государственный контроль и надзор. При этом контролю подвергаются не только разработчики и продавцы СОБИТ, но и пользователи, что, по нашему мнению, неверно. Дело в том, что защищаемые активы появляются только в ИТ, и именно ИТ целе­
сообразно подвергать контролю (надзору), как это и предусмот­
рено СТР-45.
Разработка технических регламентов по информационной без­
опасности является, скорее всего, первым опытом открытой раз­
работки документов по защите информации. Нельзя сказать, что

«первый блин вышел комом», но существующие варианты проек­
тов пока еще очень далеки от совершенства, в связи с чем не­
однократно происходит перенос сроков представления регламен­
тов в правительственные органы.
Остается неясным вопрос, насколько оправданно создание тех­
нических регламентов по информационной безопасности? На наш взгляд, вместо этого было бы правильным внести в ст. 1 ФЗ
«О техническом регулировании» абзац, где бы говорилось об от­
дельном регулировании такой чувствительной области, по анало­
гии с тем, как это сделано в этом законе для единой сети связи.

Г л а в а 2
Принципы организации и этапы
разработки КСЗИ
2.1. Методологические основы
организации КСЗИ
При создании КСЗИ необходимо учитывать, что информа­
цию следует защищать во всех видах ее существования — доку­
ментальном (бумажные документы, микрофильмы и т.п.), элек­
тронном, содержащемся и обрабатываемом в автоматизирован­
ных системах (АС) и отдельных средствах вычислительной тех­
ники (СВТ); это относится к персоналу, который обрабатывает информацию. Необходимо также принимать меры по защите информации от утечки по техническим каналам. При этом тре­
буется защищать информацию не только от несанкционирован­
ного доступа (НСД) к ней, но и от неправомерного вмешатель­
ства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на пер­
сонал и т.п. Должны быть обеспечены конфиденциальность, целостность и доступность информации. Таким образом, защи­
щать необходимо все компоненты информационной структуры предприятия — помещения, аппаратуру, информационные си­
стемы, документы на бумажных и электронных носителях, сети связи, персонал и т.д.
Целью проводимых работ должно являться построение комп­
лексной системы зашиты информации. Это предполагает необхо­
димость использования, создания и разработки совокупности ме­
тодологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на исполь­
зовании методологии построения комплексной системы защиты информации.
Можно выделить три направления работ по созданию КСЗИ:
методическое, в рамках которого создаются методологиче­
ские компоненты КСЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;
организационное, в ходе которого разрабатываются распоря­
дительные документы, проводится обучение и инструктаж персо­
нала и т.п.;

Смотрите также файлы