§7.2 Официальный подход
Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищённости информации различных категорий конфиденциальности и важности.
Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в АС, чтобы она соответствовала определённому классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является её класс защищённости.
Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем зашиты, является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.
Во всех развитых странах разработаны свои стандарты защищённости компьютерных систем критического применения. Так, министерстве обороны США используется стандарт ТСSЕС (Department of Defence Trusted Computer System Evaluation Criteria), который известен как Оранжевая книга.
Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D. В некоторых случаях группы безопасности делятся дополнительно на классы безопасности.
Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены формальными методами. В этой группе имеется только один класс - А1.
Группа В (полномочная или полная защита) представляет полную защиту АС. В этой группе - классы безопасности В1, В2 и В3.
Класс В1 (защита через грифы или метки) обеспечивается использованием в АС грифов секретности, определяющих доступ пользователей к частям системы.
Класс В2 (структурированная защита) достигается разделением информации на защищённые и незащищённые блоки и контролем доступа к ним пользователей.
Класс В3 (области или домены безопасности) предусматривает разделение АС на подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.
Группа С (избирательная защита) представляет избирательную защиту подсистем с контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2.
Класс С1 (избирательная защита информации) предусматривает разделение в АС пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты АС.
Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается раздельным доступом пользователей к данным.
Группу D (минимальной безопасности) составляют АС, проверенные на безопасность, но которые не могут быть отнесены к классам А, В или С.
Организация защиты информации в вычислительных сетях министерства обороны США осуществляется в соответствии с требованиями руководства «The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines». Этот документ получил название Красная книга (как и предыдущий - по цвету обложки).
Подобные стандарты защищенности АС приняты и в других развитых странах. Так, в 1991 году Франция, Германия, Нидерланды и Великобритания приняли согласованные «Европейские критерии», в которых рассмотрено 7 классов безопасности от Е0 до Е6.
В Российской Федерации аналогичный стандарт разработан в 1992 году Государственной технической комиссией при Президенте РФ. Этим стандартом является руководящий документ ГТК «Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации».
Устанавливается семь классов защищённости средств вычислительной техники (СВТ) от НСД к информации (табл. 2). Самый низкий класс - седьмой, самый высокий - первый.
Таблица 2. Показатели защищенности по классам СВТ
| Наименование показателя | Класс защищенности | |||||
| 6 | 5 | 4 | 3 | 2 | 1 | |
| 1. Дискреционный принцип контроля доступа | + | + | + | = | + | = |
| 2. Мандатный принцип контроля доступа | - | - | + | = | = | = |
| 3. Очистка памяти | - | + | + | + | = | = |
| 4. Изоляция модулей | - | - | + | = | + | = |
| 5. Маркировка документов | - | - | + | = | = | = |
| 6. Защита ввода и вывода на отчуждаемый физический носитель информации | - | - | + | = | = | = |
| 7. Сопоставление пользователя с устройством | - | - | + | = | = | = |
| 8. Идентификация и аутентификация | + | = | + | = | = | = |
| 9. Гарантия проектирования | - | + | + | + | + | + |
| 10. Регистрация | - | + | + | + | = | = |
| 11. Взаимодействие пользователя с АСЗ | - | - | - | + | = | = |
| 12. Надежное восстановление | - | - | - | + | = | = |
| 13. Целостность АСЗ | - | + | + | + | = | = |
| 14. Контроль модификации | - | - | - | - | + | = |
| 15. Контроль дистрибуции | - | - | - | - | + | = |
| 16. Гарантии архитектуры | - | - | - | - | - | + |
| 17. Тестирование | + | + | + | + | + | = |
| 18. Руководство пользователя | + | = | = | = | = | = |
| 19. Руководство по АСЗ | + | + | = | + | + | = |
| 20. Текстовая документация | + | + | + | + | + | = |
| 21. Конструкторская (проектная) документация | + | + | + | + | + | + |
Обозначения: «-» - нет требований к данному классу; «+» - новые или дополнительные требования; «=» - требования совпадают с требованиями к СВТ предыдущего класса; АСЗ – комплекс средств защиты.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвёртый, третий и второй классы; четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищённость СВТ оказалась ниже уровня требований шестого класса.
Кроме требований к защищённости отдельных элементов СВТ, в Руководящем документе приведены требования к защищённости автоматизированных систем (АС). В отличие от СВТ автоматизированные системы являются функционально ориентированными. При создании АС учитываются особенности пользовательской информации, технология обработки, хранения и передачи информации, конкретные модели угроз.
Устанавливается девять классов защищённости АС от НСД к информации. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
Третья группа классифицирует АС, с которыми работает один пользователь, допущенный ко всей информации АС, размещённой на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Во вторую группу сведены АС, пользователи которых имеют одинаковые права доступа ко всей информации АС. Группа содержит два класса - 2Б и 2А. Первую группу составляют многопользовательские АС, в которых пользователи имеют разные права доступа к информации. Группа включает пять классов - 1Д, 1Г, 1В, 1Б, 1А.
Требования ко всем девяти классам защищённости АС сведены в табл. 3.
Таблица 3. Требования к защищённости автоматизированных систем
| Подсистемы и требования | Классы | ||||||||
| 3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
| 1. Подсистема управления доступом | |||||||||
| 1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему | + | + | + | + | + | + | + | + | + |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ |
|
|
| + |
| + | + | + | + |
| к программам |
|
|
| + |
| + | + | + | + |
| к томам, каталогам, файлам, записям, полям записей |
|
|
| + |
| + | + | + | + |
| 1.2. Управление потоками информации |
|
|
| + |
|
| + | + | + |
| 2. Подсистема регистрации и учёта | |||||||||
| 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети) |
|
| + | + | + | + | + | + | + |
| выдачи печатных (графических) выходных документов |
|
|
| + |
| + | + | + | + |
| запуска/завершения программ и процессов (заданий, задач) |
|
|
| + |
| + | + | + | + |
| доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи |
|
|
| + |
| + | + | + | + |
| доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей |
|
|
| + |
| + | + | + | + |
| изменения полномочий субъектов доступа |
|
|
|
|
|
| + | + | + |
| создаваемых защищаемых объектов доступа |
|
|
| + |
|
| + | + | + |
| 2.2. Учет носителей информации |
|
| + | + | + | + | + | + | + |
| 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей |
|
|
| + |
| + | + | + | + |
| 2.4. Сигнализация попыток нарушения защиты |
|
|
|
|
|
| + | + | + |
| 3. Криптографическая подсистема | |||||||||
| 3.1. Шифрование конфиденциальной информации |
|
|
| + |
|
|
| + | + |
| 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах |
|
|
|
|
|
|
|
| + |
| 3.3. Использование аттестованных (сертифицированных) криптографических средств |
|
|
| + |
|
|
| + | + |
| 4. Подсистема обеспечения целостности | |||||||||
| 4.1. Обеспечение целостности программных средств и обрабатываемой информации |
|
| + | + | + | + | + | + | + |
| 4.2. Физическая охрана средств вычислительной техники и носителей информации |
|
| + | + | + | + | + | + | + |
| 4.3. Наличие администратора (службы) защиты информации в АС |
|
|
| + |
|
| + | + | + |
| 4.4. Периодическое тестирование СЗИ НСД |
|
| + | + | + | + | + | + | + |
| 4.5. Наличие средств восстановления СЗИ НСД |
|
| + | + | + | + | + | + | + |
| 4.6. Использование сертифицированных средств защиты |
|
|
| + |
|
| + | + | + |
Обозначения: «+» - есть требования к данному классу; СЗИ НСД - система зашиты информации от несанкционированного доступа.
Для примера рассмотрим подробно требования к одному из представительных классов защищённости, а именно - к классу 1В.
1) В подсистеме управления доступом автоматизированной системы должны осуществляться:
идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;
идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.
2) Подсистема регистрации и учёта должна обеспечивать:
регистрацию входа/выхода субъектов доступа в систему из системы, либо регистрацию загрузки и инициализации операционной системы и её программного останова;
регистрацию выдачи печатных (графических) документов на «твёрдую» копию;
регистрацию запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
регистрацию изменений полномочий субъектов доступа и статуса объектов доступа;
автоматический учёт создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
учёт всех защищаемых носителей информации с помощью их любой маркировки;
очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется путём записи последовательности 1 и 0 в любую освобождаемую область памяти, использованную для хранения защищаемой информации;
сигнализацию попыток нарушения защиты.
3) Подсистема обеспечения целостности предусматривает:
обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды. Целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
охрану СВТ (устройств и носителей информации), что предполагает охрану территории и здания, где размещается АС, с помощью технических средств и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;
наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
периодическое тестирование всех функций СЗИ НСД с помощью специальных программ не реже одного раза в год;
наличие средств восстановления СЗИ НСД (ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности);
использование сертифицированных средств защиты.
Представленный перечень является тем минимумом требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.
Стандарт требований ТСSЕС соответствует информационным системам с применением ЭВМ общего пользования (main frame) и мини ЭВМ. Для персональных ЭВМ (ПЭВМ) и локальных сетей ПЭВМ требования безопасности должны быть несколько иными. Такие требования изложены в стандарте The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines, получившем название Красная книга. Неофициальные названия стандартов США Оранжевая книга и Красная книга связаны с соответствующим цветом обложек этих документов.
- Оглавление
- Тема: «основные понятия и положения защиты информации в информационных системах»
- 3. Ценность информации изменяется во времени.
- 4. Информация покупается и продается.
- Лекция 02 (2 часа) «понятие сложной системы: элементы и подсистемы, управление и информация, самоорганизация»
- Лекция 03(2 часа) «информационные системы и их классификации» Основные понятия
- Автоматизированные системы управления
- Системы поддержки принятия решений
- Автоматизированные информационно-вычислительные системы
- Проблемно-ориентированные имитационные системы
- Моделирующее центры
- Автоматизированные системы обучения
- Автоматизированные информационно-справочные
- Лекция 04(2 часа) Тема: «угрозы безопасности информации в компьютерных системах»
- Случайные угрозы
- Преднамеренные угрозы
- 1) Традиционный шпионаж и диверсии
- 2) Несанкционированный доступ к информации
- 3) Электромагнитные излучения и наводки
- 4) Несанкционированная модификация структур
- 5) Вредительские программы
- 6) Классификация злоумышленников
- Лекция 05(2 часа)
- 1 Дублирование информации
- 2. Повышение надежности кс
- 3. Создание отказоустойчивых кс
- 4. Блокировка ошибочных операций
- 5. Оптимизация взаимодействия пользователей и обслуживающего персонала с кс
- 6. Минимизация ущерба от аварий и стихийных бедствий
- Лекция 06(4 часа)
- §1. Система охраны объекта кс
- 1.1. Инженерные конструкции
- 1.2. Охранная сигнализация
- 1.3. Средства наблюдения
- 1.4. Подсистема доступа на объект
- 1.5. Дежурная смена охраны
- §2. Организация работ с конфиденциальными информационными ресурсами на объектах кс
- §3. Противодействие наблюдению в оптическом диапазоне
- §4. Противодействие подслушиванию
- §5. Средства борьбы с закладными подслушивающими устройствами
- 5.1. Средства радиоконтроля помещений
- 5.2. Средства поиска неизлучающих закладок
- 5.3. Средства подавления закладных устройств
- §6. Защита от злоумышленных действий обслуживающего персонала и пользователей
- Лекция 07(2 часа) Тема: «методы защиты от несанкционированного изменения структур ас»
- §1. Общие требования к защищённости ас от несанкционированного изменения структур
- §2. Защита от закладок при разработке программ
- 2.1. Современные технологии программирования
- 2.2 Автоматизированная система разработки программных средств
- 2.3. Контрольно-испытательный стенд
- 2.4 Представление готовых программ на языках высокого уровня
- 2.5 Наличие трансляторов для обнаружения закладок
- §3 Защита от внедрения аппаратных закладок на этапе разработки и производства
- §4 Защита от несанкционированного изменения структур ас в процессе эксплуатации
- 4.1 Разграничение доступа к оборудованию
- 4.2 Противодействие несанкционированному подключению устройств
- 4.3 Защита внутреннего монтажа, средств управления и коммутации от несанкционированного вмешательства
- 4.4 Контроль целостности программной структуры в процессе эксплуатации
- Лекция 08(2 часа) Тема: «защита информации в ас от несанкционированного доступа»
- §1. Система разграничения доступа к информации в ас
- 1.1. Управление доступом
- 1.2. Состав системы разграничения доступа
- 1.3. Концепция построения систем разграничения доступа
- 1.4. Современные системы защиты пэвм от несанкционированного доступа к информации
- §2. Система защиты программных средств от копирования и исследования
- 2.1. Методы, затрудняющие считывание скопированной информации
- 2.2. Методы, препятствующие использованию скопированной информации
- 2.3. Защита программных средств от исследования
- Лекция 09(2 часа) Тема: «защита компьютерных систем от силовых деструктивных воздействий «
- 1. Каналы силового деструктивного воздействия на компьютерные системы
- Классификация средств силового деструктивного воздействия Технические средства сдв по сетям питания
- Технические средства сдв по проводным каналам
- Технические средства сдв по эфиру
- Рекомендации по защите компьютерных систем от силового деструктивного воздействия
- Заключение
- Лекция 10(4 часа) Тема: «защита информации в распределённых компьютерных системах»
- §1. Архитектура распределённых кс
- §2. Особенности защиты информации в ркс
- §3. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных кс
- §4. Защита информации на уровне подсистемы управления ркс
- Семиуровневая модель osi
- §5. Защита информации в каналах связи
- 5.1. Межсетевое экранирование
- 5.2. Подтверждение подлинности взаимодействующих процессов
- А. Проверка подлинности процессов при распределении ключей с использованием црк
- Б. Проверка подлинности взаимодействующих процессов при прямом обмене сеансовыми ключами
- §6. Подтверждение подлинности информации, получаемой по коммуникационной подсети
- §7. Особенности защиты информации в базах данных
- Лекция 11(2 часа) Тема: «эффективность защищенной ас. Управление рисками»
- §1. Методики оценки рисков
- 1.1 Модель качественной оценки
- 1.2. Количественная модель рисков
- 1.3. Наиболее вероятные атаки
- I Методологические ошибки:
- II Windows – системы:
- III Unix – системы:
- Лекция 12(3 часа) Тема: «основы построения комплексных систем защиты информации автоматизированых систем»
- §1 Концепция создания защищённых ас
- §2 Этапы создания комплексной системы защиты информации
- §3 Научно-исследовательская разработка ксзи
- §4 Моделирование ксзи
- §4.1. Специальные методы неформального моделирования
- §4.2 Декомпозиция общей задачи оценки эффективности функционирования ксзи
- §4.3 Макромоделирование
- §5 Выбор показателей эффективности и критериев оптимальности ксзи
- §6. Математическая постановка задачи разработки комплексной системы защиты информации
- §7 Подходы к оценке эффективности ксзи
- §7.1 Классический подход
- §7.2 Официальный подход
- §7.3 Экспериментальный подход
- §8 Создание организационной структуры ксзи
- Лекция 13(2 часа) Тема «средства контроля эффективности защиты информации в автоматизированных системах»
- 1. Классификация методов и средств контроля эффективности зи в ас
- 2. Сканеры безопасности ас
- 3. Система контроля защищённости и соответствия стандартам maxpatrol
- 3.1. Контроль защищённости и соответствия стандартам
- 3.2. Сетевой сканер xSpider
- 4. Решения компании Internet Security Systems (iss)
- Лекция 14(2 часа)
- 1.2. Обеспечение целостности и доступности информации в ас
- 2. Техническая эксплуатация ксзи
- Лекция 15(2 часа) «принципы системного проектирования автоматизированных систем»
- 1. Понятие информационного конфликта
- 2. Принцип целостности
- 3. Принцип рациональной декомпозиции
- 4. Принцип автономности
- 5. Принципы дополнительности и действия
- 6. Принципы консервативности и базовой точки
- 7. Принципы ограниченности целенаправленности поведения и неопределённости
- Лекция 16(2 часа) «общая характеристика процесса проектирования автоматизированных систем»
- 1. Основные стадии проектирования систем защиты информации
- I вариант: проектирование сзи для новой ас
- 1) Предпроектная стадия
- 2) Разработка проекта сзи
- 3) Ввод в действие сзи
- 2. Типовое содержание работ по этапам создания ас в защищённом исполнении по гост 34.601
- 2.1. Предпроектная стадия
- «Обследование объекта и обоснование необходимости создания сзи»
- «Формирование требований пользователя к сзи»
- 2.2 Разработка проекта сзи
- 4. Задачи по защите информации
- Определение стратегии осуществляется на основе выбранной цели защиты.
- II варинт: проектирование сзи для функционирующей системы в ходе её модернизации.
- Заключение
- Лекция 17 (2 часа) «разработка технического задания»
- 1. Общие положения
- 2. Состав технического задания
- 3. Содержание технического задания
- 3.1 Раздел «Общие положения»
- 3.2 Раздел «Назначение и цели создания системы»
- 5.2. Подраздел «Требования к структуре и функционированию системы»
- 5.3. Подраздел «Требования к численности и квалификации персонала системы»
- 5.5. Подраздел «Требования к надёжности»
- 5.6. Подраздел «Требования к безопасности»
- 5.7. Подраздел «Требования к эргономике и технической эстетике»
- 5.8. Подраздел «Требования к транспортабельности для подвижных ас»
- 5.9. Подраздел «Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы»
- 5.10. Подраздел «Требования к защите информации от несанкционированного доступа»
- 5.15. Подраздел «Дополнительные требования»
- 5.16. Подраздел «Требования к функциям (задачам), выполняемым системой»
- 5.17. Подраздел «Требования к видам обеспечения»
- 5.18. Подраздел «Требования к математическому обеспечению системы»
- 5.19. Подраздел «Требования информационному обеспечению системы»
- 5.20. Подраздел «Требования к лингвистическому обеспечению системы»
- 5.21. Подраздел «Требования к программному обеспечению системы»
- 5.22. Подраздел «Требования к техническому обеспечению»
- 5.23. Подраздел «Требования к метрологическому обеспечению»
- 5.24. Подраздел «Требования к организационному обеспечению»
- 5.25. Подраздел «Требования к методическому обеспечению»
- 6. Раздел «Состав и содержание работ по созданию (развитию) системы»
- 7. Раздел «Порядок контроля и приёмки системы»
- 8. Раздел «Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие»
- 9. Раздел «Требования к документированию»
- 10. Раздел «Источники разработки»