logo
1111

Захист інформації в комп’ютерних системах від несанкціонованого доступу.

В Україні існує 3 класи автоматизованої системи:

  1. АС-1 - ізольований, окремий комп’ютер.

  2. АС-2 - сукупність АС-1 не об’єднаних в мережу або локальна мережа, яка не має виходу за межі контрольованої зони;

  3. АС-3 - локальна мережа, яка має вихід за межі контрольованої зони.

В Україні розроблені критерії оцінки захисту інформації в комп’ютерній системі від несанкціонованого доступу (НДТЗІ 2.5-004-99)

Розглянемо критерії оцінки

  1. Критерії конфіденційності.

  2. Критерії цілісності.

  3. Критерії доступності.

  4. Критерії спостережності.

  5. Критерії гарантій.

Довірча конфіденційність (цілісність): використання ресурсів означає що система ґрунтується дискреційній моделі доступу.

Адміністративна конфіденційність (цілісність)- передбачає використання мандатної моделі доступу.

Розглянемо приклад роботи з нормативним документом НДТЗІ 2.5-005-99 В цих документах (класифіковані автоматизовані системи)

Проведено класифікацію комп’ютерних систем та розраховані так звані стандартні функціоналі профілі захищеності. Ці профілі треба використовувати, як довідковий матеріал, який дозволяє швидко і просту сформувати потрібні вимоги до захисту інформації. Однак в більшості випадків не треба сприймати ці профілі, як абсолютний стандарт для побудови системи захисту.

1.КЦД.1 (тип АС. позначення сервісів (конфід.,цілісн.,доступн.).номер профіля)

Приклад:

1.К.1={НР-1,НИ-1,НК-1,НО-1,НЦ-1,НТ-1}

1.КЦ.1={НР-1,НИ-1,НК-1,НО-1,НЦ-1,НТ-1}

1.КД.4={КА-1,КО-1,ДР-2,ДС-3,ДЗ-3,ДБ-3,НР-3,НИ-2,НК-1,НО-1,НЦ-2,НТ-2}

Розглянемо в якості прикладу вимоги стандартного профіля 1.КЦ.1 НР1: Спостереження->реєстрація->НР-1

Вимоги:

  1. Політика реєстрації, що реалізується в системах захисту повинна визн. пер. подій, що потребують реєстрації

  2. Система захисту повинна здійснювати реєстрацію подій, що мають безпосереднє відношення до подій

  3. Журнал реєстрацій ї повинен містити інформації про дату, час, місце, успішність чи неуспішність кожної зареєстрованої події. Крім того журнал реєстрації повинен містити інформацію доступу для встановленого користувача, процесу, об’єкту, що мали відношення до події

  4. Система захисту повинна бути здатною передавати журнал реєстрації в інші системи з використанням певних механізмів захисту.

НИ-1: зовнішня ідентифікація і аутентифікація

  1. а) Політика безпеки повинна визначати атрибути і послуги для аутентифікації користувача.

  2. б) Перш ніж надати сервіс користувачу необхідно отримати від нього ідентифікатор цього користувача.

  3. аут.->сервіс.

НК-1: одн. достовірний канал

  1. а) Політика безпеки повинна визначати механізм встановлення зв’язку між користувачем і системою.

  2. б) Достовірний канал повинен використовуватися для початку ідентифікації та аутентифікації причому зв'язок повинен ініціалізуватися виключно користувачем.

НО-1: Виділення адміністратора

  1. а) Політика розподілу обов’язків повинна визначати ролі адміністратора та звичайних користувачів та їх функції.

  2. б) Користувач може виступати в певній ролі тільки після виконання аутентифікації.

НЦ-1: КЗЗ з контролем цілісності

  1. Політика цілісності повинна визначати склад і механізми контролю цілісності комп’ютера, що входять до її складу.

  2. В разі виявлення порушень цілісності системи повинно повідомити адміністратора або автоматично відновити компоненти відповідно до еталону або перевести систему до такого стану з якого повернути його до нормального стану може тільки адміністратор.

  3. Повинні бути описані обмеження, які гарантують що послуги безпеки доступні тільки через її інтерфейс і всі запити до захисту об’єктів контрольованої системи.

Додаток до цієї лекції: НДТЗІ 2.5-005-99