6.1.3. Міри інформації

Класифікація мір

Для вимірювання інформації вводяться два параметри: кіль­кість інформації і об'єм даних V_D.

226

Ці параметри мають різні вирази й інтерпретацію залежно від форми адекватності. Кожній формі адекватності відповідають своя міра кількості інформації і об'єм даних (рис. 6.2).

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

,■;

Синтаксична міра інформації

Ця міра кількості інформації оперує із знеособленою інформа­цією, яка не виражає смислового ставлення до об'єкта.

Об'єм даних V_D у повідомленні вимірюється кількістю сим­волів (розрядів) у цьому повідомленні. У різних системах чис­лення один розряд має різну вагу й відповідно міняється одини­ця вимірювання даних:

• у двійковій системі числення [binary notation, binary system] одиниця вимірювання — біт (bit — binary digit — двійковий розряд);

• у десятковій системі числення [decimal notation, decimal numeration system] одиниця вимірювання — діт [dit] (десят­ ковий розряд).

Кількість інформації [amount of information, information content] І на синтаксичному рівні неможливо визначити без роз­гляду поняття невизначеності стану системи (ентропії системи). Дійсно, одержання інформації про будь-яку систему завжди зв'язане зі зміною ступеня необізнаності одержувача про стан цієї системи. Розглянемо це поняття.

Нехай до одержання інформації одержувач має деякі поперед­ні (апріорні) відомості про систему а. Мірою його необізнаності є функція Н{а), яка в цей же час служить і мірою невизначеності стану системи.

Після одержання деякого повідомлення (3 одержувач здобув деяку додаткову інформацію Ір(а), що зменшила його апріорну необізнаність так, що апостеріорна (після одержання повідом­лення р⁴ невизначеність системи стала Нр(а).

Тоді кількість інформації Ір(а) про систему, одержаної в пові­домленні р\ визначається так:

Щ) = Н{а) - Щ{а),

тобто кількість інформації вимірюється зміною (зменшенням) невизначеності стану системи.

Якщо кінцева невизначеність Н${а) стане рівною нулю, то первинне неповне знання заміниться повним знанням і кількість

228

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

і нформації Ір(сх) = Н(а). Іншими словами, ентропія системи може розглядатися як міра відсутньої інформації.

Ентропія системи Нф), що має N можливих станів, відповід­но до формули Шенона, дорівнює

і=\

де Р, — ймовірність того, що система знаходиться в і-му стані. Для випадку, коли всі стани системи рівноймовірні, тобто їхні ймовірності рівні Pj = 1/N, її ентропія визначається співвід­ношенням

Часто інформація кодується числовими кодами в цій чи ін­шій системі числення, особливо це актуально при представлен­ні інформації в комп'ютері. Природно, що одна й та ж кількість розрядів у різних системах числення може передавати різне чис­ло станів відображуваного об'єкта, що можна представити у виг­ляді співвідношення

N=m",

де N — число можливих відображуваних станів;

m — основа системи числення (різноманіття символів, що застосовується в алфавіті;

и — число розрядів (символів) в повідомлення.

Найбільш часто використовуються двійкові й десяткові лога­рифми. Одиницями вимірювання будуть відповідно біт і діт.

Коефіцієнт (ступінь) інформативності (лаконічність) повідом­лення визначається відношенням кількості інформації до об'єму даних, тобто

Y =

1

причому 0<Х< 1.

Із збільшенням X зменшуються об'єми роботи з перетворен­ня інформації (даних) в системі. Тому прагнуть до підвищення

229

інформативності, для чого розробляються спеціальні методи оп­тимального кодування інформації.

Семантична міра інформації

Для вимірювання смислового змісту інформації, тобто її кіль­кості на семантичному рівні, найбільше визнання одержала те-заурусна міра, яка пов'язує семантичні властивості інформації зі здатністю користувача сприймати повідомлення, що надійшли. Для цього використовується поняття «тезаурус користувача».

Тезаурус [thesaurus] — це сукупність відомостей, якими во­лодіє користувач або система.

Залежно від співвідношення між смисловим змістом інформа­ції S і тезаурусом користувача S_p змінюється кількість семантич­ної інформації І_с, що сприймається користувачем і включається ним у подальшому в свій тезаурус.

Характер такої залежності показано на рис. 6.3 .

Розглянемо два граничних випадки, коли кількість семантич­ної інформації І_с дорівнює нулю:

• при Sp ~ 0 користувач не сприймає, не розуміє інформації, що надійшла;

• при Sp—*~°° користувач усе знає й інформація, що надійшла, йому не потрібна.

Максимальну кількість семантичної інформації І_с користувач здобуває при узгодженні її смислового змісту S зі своїм тезауру-

230

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

с ом S_p (S_p = Sp _op_t), коли інформація, що надходить, є зрозумілою користувачеві й несе йому раніше невідомі (відсутні у його тезау­русі) відомості.

Таким чином, кількість семантичної інформації в повідом­лення, кількість нових знань, одержаних користувачем, є величи­ною відносною. Одне й те ж повідомлення може мати смисловий зміст для компетентного користувача й бути безглуздими (семан­тичний шум) для користувача некомпетентного.

При оцінюванні семантичного (змістовного) аспекту інфор­мації необхідно прагнути до узгодження величин S і Sp.

Відносною мірою кількості семантичної інформації може бути коефіцієнт змістовності С, який визначається як відношення кіль­кості семантичної інформації до її об'єму:

_с-4.

Прагматична міра інформації

Ця міра визначає корисність інформації (цінність) для досяг­нення користувачем поставленої мети. Ця міра також відносна, зумовлена особливостями використання цієї інформації в цій чи іншій системі. Цінність інформації доцільно вимірювати в тих же самих одиницях (або близьких до них), в яких вимірюється цільова функція.

6.1.4. Якість інформації

Можливість та ефективність використання інформації зумов­лені такимиїї споживчими показниками якості,як репрезентатив­ність, змістовність, достатність, доступність, актуальність, своє­часність, точність, вірогідність, стійкість.

Репрезентативність інформації (див. репрезентація) пов'я­зана з правильністю її відбору й формування з метою адекватного відображення властивостей об'єкта. Найважливіше значення тут Мають:

231

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• п равильність концепції, на базі якої формулюється вихідне поняття;

• обґрунтованість відбору суттєвих ознак й зв'язків явища, що відображається.

Порушення репрезентативності нерідко приводить до суттє­вих її похибок.

Змістовність інформації [content-richness] відображає се­мантичну ємність, що дорівнює відношенню кількості семантич­ної інформації в повідомленні до об'єму оброблюваної інформа­ції, тобто С = —. Yd

Із збільшенням змістовності інформації зростає семантична

пропускна здатність інформаційної системи, бо для одержання одних і тих же відомостей потрібно перетворювати менший об'єм даних.

Поряд із коефіцієнтом змістовності, що відображає семан­тичний аспект, можна використати й коефіцієнт інформатив­ності, який характеризується відношенням кількості синтаксич­ної інформації (за Шеноном) до об'єму даних Y = — .

Достатність (повнота) інформації [adequacy of information] означає, що вона містить мінімальний, але достатній для прийнят­тя правильного рішення склад (набір показників). Поняття пов­ноти інформації пов'язане з її смисловим змістом (семантикою) і прагматикою. Як неповна, тобто недостатня для прийняття пра­вильного рішення,так і надлишкова інформація знижує ефектив­ність рішень, які приймаються користувачем.

Доступність інформації [availability of information] для сприй­няття користувачем забезпечується виконанням відповідних про­цедур її одержання й перетворення. Наприклад, у інформаційній системі інформація перетворюється на доступну та зручну для сприйняття користувачем форму. Це досягається, зокрема, і шля­хом узгодження її семантичної форми з тезаурусом користувача.

Актуальність інформації [actuality of information] визна­чається ступенем збереження цінності інформації для управлін­ня в момент її використання й залежить від динаміки змінюван-

232

Розділ 6. Інформаційні системи та технології' як об'єкти інформаційної безпеки

н я її характеристик і від інтервалу часу, що пройшов з моменту виникнення даної інформації.

Своєчасність інформації [timeliness of information] означає її надходження не пізніше заздалегідь призначеного моменту часу, узгодженого з часом вирішення поставленого завдання.

Точність інформації [adequacy of information] визначається ступенем близькості одержуваної інформації до реального стану об'єкта, процесу, явища і т.ін. Для інформації, що відображається цифровим кодом, відомі чотири класифікаційні поняття точності:

• формальна точність, що вимірюється значенням одиниці мо­ лодшого розряду числа;

• реальна точність, що визначається значенням одиниці остан­ нього розряду числа, вірність якого гарантується;

• максимальна точність, яку можна одержати в конкретних умовах функціонування системи;

• необхідна точність, яка визначається функціональним при­ значенням показника.

Вірогідність інформації [probability of information] визна­чається її властивість відображати реально існуючі об'єкти з необ­хідною точністю. Вимірюється вірогідність інформації довірчою ймовірністю необхідної точності, тобто ймовірністю того, що ві­дображуване інформацією значення параметра відрізняється від істинного значення цього параметра в межах необхідної точності.

Стійкість інформації [capability of information] відображає її здатність реагувати на зміни вихідних даних без порушення не­обхідної точності. Стійкість інформації, як і репрезентативність, зумовлена вибраною методикою її відбору й формування.

Слід також відзначити, що такі параметри якості інформації, як репрезентативність, змістовність, достатність, доступність, стійкість, цілком визначаються на методичному рівні розробки інформаційних систем. Параметри актуальності, своєчасності, точності й вірогідності обумовлюються в більшій мірі також на методичному рівні, проте на їхню величину суттєво впливає і характер функціонування системи, у першу чергу її надійність. При цьому параметри актуальності і точності жорстко пов'язані відповідно з параметрами своєчасності та вірогідності.

233

6.1.5. Основні властивості інформації як предмета захисту

Доступність інформації

Доступність інформації (даних) [availabilityof information] — це можливість використання інформації (даних), коли в цьому виникає необхідність (рис. 6.4). Доступність також характеризує працездатність інформаційної системи [77].

Інформація доступна, коли вона міститься на матеріально­му носії. До носіїв інформації (даних) [data medium] відносять матеріальні об'єкти, які забезпечують запис, зберігання і переда-

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

в ання інформації у просторі і часі. Носіями інформації можуть бути:

• люди;

• матеріальні тіла (макрочастки);

• поля (випромінювання);

• елементарні частки (мікрочастки).

Оскільки за допомогою матеріальних засобів можна захища­ти тільки матеріальний об'єкт, то об'єктами захисту є матеріаль­ні носії інформації. Розрізняють носії — джерела інформації, носії — переносники інформації та носії — одержувачі інфор­мації.

Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носій інформації. Фізична приро­да джерела та носія у цьому прикладі однакова — папір. Проте між ними існує різниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну ін­формацію, їй присвоюється інше ім'я: креслення, документ і т.ін. Креслення деталі або вузла входить до складу більш складного документа — креслення приладу, механізму або машини і т.ін. аж до конструкторської документації зразка продукції.

Таким чином, залежно від призначення джерелу можуть бути присвоєні різні імена. Але незалежно від найменування до­кумента захищати від викрадення, змінювання та знищення ін­формації необхідно листки паперу, які мають певні розміри, вагу, механічну міцність, стійкість фарби або чорнил до зовнішніх впливів. Параметри носія визначають умови та способи зберіган­ня інформації, інші носії, наприклад, фізичні поля не мають чіт­ких кордонів у просторі, але у будь-якому випадку їхні парамет­ри можна виміряти. Фізична природа носія-джерела інформації, носія-переносника та носія-одержувача може бути як однаковою, так і різною.

Передавання інформації шляхом переміщення її носіїв у про­сторі пов'язана із затратами енергії, причому величина затрат за­лежить від довжини, шляху, параметрів середовища та виду носія.

235

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Ц інність, цілісність і конфіденційність інформації

Цінність інформації [information value] — це властивість ін­формації, що визначається її придатністю до практичного вико­ристання в різних галузях цілеспрямованої діяльності людини.

Інформація може забезпечити її користувачеві певні перева­ги: приносити прибутки, зменшити ризик у його діяльності в ре­зультаті прийняття більш обґрунтованих рішень і т.ін.

Нейтральна інформація не впливає на стан справ її користу­вача, але носій з нейтральною для конкретного користувача ін­формацією може справляти вплив на інший носій з корисною ін­формацією, якщо є близькими за значеннями параметри носіїв, наприклад, частоти коливань електромагнітних полів різних дже­рел. Носії інформації, які справляють вплив на інший носій, ста­новлять собою завади. Те, що для одного одержувача є інформа­цією, для іншого може бути завадою.

Шкідливою є інформація, в результаті використання якої її одержувачу завдаються моральні або матеріальні збитки. Коли така інформація створюється умисно, то її називають дезінфор­мацією. Часто шкідлива інформація створюється в результаті цілеспрямованої або випадкової модифікації її при перенесенні її з одного носія на інший. З точки зору захисту інформації у цьому випадку говорять про її цілісність.

Цілісність інформації [integrity of information] — це захи­щеність інформації від несанкціонованої зміни, забезпечення її точності та повноти.

Корисність інформації завжди конкретна. Немає цінної ін­формації взагалі. Інформація корисна або шкідлива для конк­ретного її користувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.

Тому при організації захисту інформації визначають насам­перед, коло осіб (фірм, держав), які зацікавлені в даній інформації, оскільки імовірно, що серед них можуть бути зловмисники.

236

\ Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

5 інтересахзахистуцінної(корисної)інформацїшвласник(дер-жава» організація, фізична особа) наносить на носій умовний знак корисності інформації,яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі зако­ну «Про державну таємницю» та відомчих переліків інформації, що складає державну таємницю.

Відповідно з цим до інформації таємної, цілком таємної та особливої важливості належить інформація, викрадення або не­санкціоноване поширення якої може завдати шкоди відповідно державній організації (підприємству, закладу), галузі (відомству, міністерству), суб'єкту держави в цілому. Для нетаємної інформа­ції, яка містить службову таємницю, вводять гриф «для службово­го користування».

Для позначення ступеня конфіденційності комерційної ін-формаціїзастосовуютьрізноманітнішкалиранжирування.Поши­реною є шкала: «комерційна таємниця — суворо конфіденційно», «комерційна таємниця — конфіденційно», «комерційна таємни­ця». Відома також шкала «суворо конфіденційно — особливий контроль», «суворо конфіденційно», «конфіденційно». Застосо­вується також шкала з двох рівнів: «комерційна таємниця» та «для службового користування».

Критерієм для визначення грифу конфіденційності інформа­ції можуть бути результати прогнозу наслідків попадання інфор­мації до конкурента або зловмисника, у тому числі:

• величина економічних та моральних збитків, що заподіюють­ ся організації;

• реальність створення передумов для катастрофічних наслід­ ків удіяльності організації, наприклад, банкрутства.

Цінність і ціна інформації

Враховуючи те, що інформація може бути для одержувача ко­рисною або шкідливою, що вона купується та продається, то ін-

237

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ф ормацію можна розглядати як товар. Ціна інформації пов'язана з її цінністю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінан­сові ресурси, які завершилися негативним результатом, тобто не одержана інформація, на основі якої її власник може одержати прибуток. Проте негативні результати представляють цінність для спеціалістів, які займаються даною проблемою, бо одержана інформація скорочує шлях до істини.

Корисна інформація може бути створена її власником в ре­зультаті науково-дослідної діяльності.запозичена з різноманітних відкритих джерел, може попасти до зловмисника випадково, нап­риклад, в результаті неумисного підслухування і, нарешті, добута різноманітними нелегальними шляхами.

Ціна інформації [price of information] — це вартість інформа­ції, виражена у грошах. Вона складається із собівартості інформа­ції та прибутку від інформації.

Собівартість визначається витратами власника інформації на її одержання, наприклад:

• проведення досліджень в наукових лабораторіях, аналітичних центрах, групах і т.ін.;

• купівля інформації на ринку інформації;

• добування інформації за допомогою протиправних дій. Прибуток від інформації з огляду на її особливості може при­ ймати різноманітні форми, причому вираз його у грошах не є най­ більш поширеною формою. У загальному випадку прибуток від інформації може бути одержаний в результаті таких дій:

• продажу інформації на ринку;

• матеріалізації інформації в продукції з новими якостями або технології, що приносить прибуток;

• використання інформації для прийняття більш ефективних рі­ шень.

Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш поширена, тому що будь-яка діяльність лю­дини — це послідовність прийняття нею рішень.

238

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

] ,ля прийняття будь-якого рішення потрібна інформація, при­чому* чим більший ризик та ціна рішення, тим більшого об'єму по­винна бути інформація. Розмірковування перед прийняттям рішен­ня є не що інше, як перероблення людиною наявної у неї інформації.

Залежність цінності інформації від часу

Поширення інформаціїтаїївикористання призводять до зміню­вання її цінності та ціни. Характер зміни цінності у часі залежить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття навіть нових за­конів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики мали часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набула надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. У міру того, як вичерпуються на пев­ному етапі науково-технічного прогресу можливості практичної ре­алізації теоретичних результатів, цінність інформації зменшується. Нові технології або досягнення у суміжних галузях можуть збільши­ти цінність давно одержаних знань.

Цінність більшості видів інформації, яка циркулює у суспіль­стві, із часом зменшується — інформація старіє. Старіння інформа­ції С, у першому наближенні можна апроксимувати виразом виду

С,(т) = -С₀ехр(-2.3т/т,_с),

Де С_о — цінність інформації в момент її виникнення (ство­рення); т — час від моменту виникнення інформації до моменту її

використання; ^хк — тривалість життєвого циклу [life cycle] інформації (від

моменту виникнення до моменту застарівання). Відповідно до цього виразу за час життєвого циклу цінність інформації зменшується до 0,1 первісної величини.

239

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

З алежно від тривалості життєвого циклу комерційна інформа­ція звичайно класифікується таким чином:

• оперативно-тактична, яка втрачає цінність приблизно по 10% за день (наприклад, інформація видавання короткотривалого кредиту, пропозиції на придбання товару та строк до одного місяця і т.ін.);

• стратегічна інформація, яка втрачає цінність приблизно по 10% за місяць (відомості про партнерів, про довготривалі кре­ дити, розвиток підприємства і т.ін.

Інформація про закони природи має дуже великий час життє­вого циклу. її старіння проявляється в уточненні законів, напри­клад, в обмеженні законів Ньютона для мікросвіту.

Вплив копіювання на ціну інформації

При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після знімання копії з документа кількість інформації на ньому не змі­нюється. В результаті цього несанкціоноване копіювання (викра­дення) інформації може бути не заміченим для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джере­ла та факту викрадення.

Але якщо при копіюванні справляється вплив на інформацій­ні параметри носія, який призводить до зміни їхніх значень, або незначні зміни нагромаджуються, то кількість інформації змен­шується.

Погіршується якість звуку та зображення відповідно на аудіо-і відеоплівках із-за механічного руйнування магнітного шару, книга зачитується до дір, знебарвлюється із-за впливу яскравого ультрафіолетового світла колір зображення оригіналу при ксеро­копіюванні і т.ін.

Оскільки при кожному копіюванні збільшується кількість її законних та незаконних користувачів інформацією, до відповід­но до законів ринку ціна знижується. Наприклад, відеопіратство викликає занепокоєння у власників відеопродукції, бо широке поширення піратських копій значно збиває ціни на ринку.

240

\ Види інформації, що підлягають захисту

За змістом будь-яка інформація може бути віднесена до се­ мантичної або до інформації про ознаки матеріального об'єкта — ознакової (рис. 6.5). Суть семантичної інформації не залежить від характеристик носія. Зміст тексту, наприклад, не залежить від якості паперу, на якому він написаний, або фізичних параметрів іншого носія. Семантична інформація є продуктом абстрактного мислення людини і відображає об'єкти, явища як матеріального світу, так створювані нею образи і моделі за допомогою символів на мовах спілкування людей. -

Мови спілкування включають як природні мови національно­го спілкування, так і штучні професійні мови. Мови національ­ного спілкування формуються протягом тривалого часу розвит­ку нації. В природній мові застарілі слова поступово вимирають,

241

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

а ле з являються нові, викликані розвитком людства, в тому числі технічним прогресом.

Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-яко­му матеріальному носієві. У галузі реєстрації та консервації се­мантичної інформації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.

Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість професійних мов: математики, музики, радіоелектроніки, хімії і т.ін. Будь-яка предметна частина містить характерні для неї по­няття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спе­ціалістами галузей науки, техніки, мистецтва і т.ін., терміни та умовні позначення стандартизуються. У принципі все те, що опи­сано на професійній мові, можна представити на природній мові, але така форма запису громіздка та незручна для сприйняття ін­формації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє підключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т.ін.

Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зов­нішнього вигляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в пер­шу чергу відносяться люди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, при­міщення і навіть будівлі, в яких може знаходитися конфіденційна інформація. Залежно від виду опису об'єкта ознакова інформа­ція поділяється на інформацію про зовнішній вигляд (видові оз­наки), про його поля (ознаки сигналів), про структуру та склад його речовин (ознаки речовин).

Інформація, що підлягає захисту, неоднорідна за змістом, об­сягом та цінністю. Отже, захист буде раціональним у тому випад-

242

ку, коли рівень захисту, а отже, витрати, відповідають кількості і якості інформації. Якщо витрати на захист інформації вищий за її ціну, то рівень захисту не виправдано великий, якщо суттєво менший, то підвищується ймовірність знищення, викрадення або модифікації інформації. Для забезпечення раціонального захис­ту виникає необхідність структурування конфіденційної інфор­мації, тобто розділення її на так звані інформаційні елементи.

Інформаційний елемент являє собою інформацію на носієві з достатньо чіткими межами і задовольняє наступним вимогам:

• належить конкретному джерелу (документу, людині, зразку, продукції і т.ін.);

• міститься на окремому носієві;

• має конкретну ціну.

Структурування інформації здійснюється шляхом послідов­ної деталізації інформації, що підлягає захисту, починаючи з пе­реліку відомостей, що містить таємницю. Деталізація передбачає ієрархічну розбивку інформації відповідно до структури тема­тичних питань, які охоплюють усі аспекти організації і діяльності приватної фірми або державної структури (рис. 6.6).

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

U

Наприклад, загальний перелік відомостей, що складає ко­мерційну таємницю (конфіденційна інформація), належить до нульового (вихідного) рівня ієрархії структури. На першому рів­ня ця інформація розділяється на три групи, кожна з яких від­повідає темам: «про організацію», «про внутрішню діяльність організації», «про зовнішню діяльність організації». На другому рівні ці теми конкретизуються тематичними питаннями:

• структура, методи управління, фінанси, плани та програми, проблеми та шляхи їх вирішення, безпека;

• якість продукції, собівартість продукції, характеристики про­ дукції, можливості виробництва, технології, дослідні роботи;

• принципи, концепція і стратегія маркетингу, канали придбан­ ня та збуту, партнери, конкуренти, переговори та угоди. Захист структурованої інформації принципово відрізня­ ється від захисту інформації взагалі. Він є конкретним, бо ясно, що (який інформаційний елемент) необхідно захищати, насам­ перед виходячи з його цінності, хто або що є носіями цього еле­ мента. Для елемента інформації можна виявити можливі загрози його безпеці та визначити які способи та засоби доцільно засто­ сувати для забезпечення безпеки даного елемента інформації.

6.2. ІНФОРМАЦІЙНІ СИСТЕМИ ЯК ОБ'ЄКТИ ЗАХИСТУ 6.2.1. Загальні відомості про інформаційні системи

Визначення інформаційної системи

Інформаційна система [information system] — взаємопов'я­зана сукупність засобів, методів і персоналу, що використову­ються для зберігання, оброблення й видавання інформації в ін­тересах досягнення поставленої мети.

Сучасне розуміння інформаційної системи передбачає вико­ристання як основного технічного засобу перероблення інфор­мації комп'ютерної техніки. Крім того, технічне втілення інфор­маційної системи саме по собі нічого не буде означати, як що не врахована роль людини, для якої призначена вироблена інфор­мація і без якої неможливе її одержання й подання [34].

244

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Н еобхідно також розуміти різницю між комп'ютерами й ін­формаційними системами. Комп'ютери, оснащені спеціалізова­ними програмними засобами, є технічною базою й інструментом для інформаційних систем. Необхідними складовими інформа­ційної системи є також персонал, що взаємодіє з комп'ютерами й телекомунікаціями.

Виходячи з попередніх міркувань, можна дати наступне су­часне визначення інформаційної системи як системи інформа­ційного обслуговування, що являє собою організаційно-упоряд­ковану сукупність інформаційних ресурсів, технічних засобів і технологій, що реалізують інформаційні процеси в традиційно­му або автоматизованому режимі для задоволення інформацій­них потреб користувачів.

Робота інформаційної системи полягає в обслуговуванні двох зустрічних потоків інформації: уведення нової інформації і видавання поточної інформації на запит.

Оскільки головне завдання інформаційної системи — обслу­говування клієнтів, то вона побудована таким чином, щоб від­повідь на будь-яке питання видавалася швидко і була достатньо повною. Це забезпечується наявністю стандартних процедур по­шуку інформації і тим, що дані системи розташовані в певному порядку.

У галузі створення інформаційних систем вирішують декіль­ка основних завдань:

• аналіз і прогнозування потоків різноманітної інформації, що переміщуються в суспільстві;

• дослідження способів подання і зберігання інформації, ство­ рення спеціальних мов для формального опису інформації різної природи, розробка спеціальних прийомів стиснення і кодування інформації, анотування об'ємних документів та їхнє реферування;

• побудова різноманітних процедур і технічних засобів для їхньої реалізації, за допомогою яких можна автоматизувати процес добування інформації з документів, які не призначені для обчислювальних машин, а орієнтовані на сприйняття їх людиною;

245

• створення інформаційно-пошукових систем, які здатні спри­ ймати запити до інформаційних сховищ, сформульованих на природній (людській) мові, а також на спеціальних мовах за­ питів для систем такого типу;

• створення мереж зберігання, оброблення і передавання ін­ формації, до складу яких входять інформаційні банки даних, термінали, центри оброблення та засоби зв'язку.

Типові процеси в інформаційній системі

Процеси, що забезпечують роботу інформаційної системи будь-якого призначення, умовно можна представити у вигляді схеми (рис. 6.7), що складається з блоків:

• введення інформації із зовнішніх або внутрішніх джерел;

• оброблення вхідної інформації й подання її у зручному виг­ ляді;

• виведення інформації для представлення її у зручному виг­ ляді;

• зворотній зв'язок — інформація перероблена людьми даної організації для корекції вхідної інформації. Інформаційна система має наступні типові властивості:

• будь-яка інформаційна система може бути піддана аналізу, побудована й керована на основі загальних принципів побу­ дови систем;

Розділ 6. Інформаційні системи та технологи як об'єкта інформаційноїбезпеки

• і нформаційна система є динамічною і такою, що розвива­ ється;

• при побудові інформаційної системи необхідно використо­ вувати системний підхід;

• вихідною продукцією інформаційної системи є інформація, на основі якої приймаються рішення;

• інформаційну систему слід сприйматияклюдино-комп'ютерну систему оброблення інформації.

На теперішній час склалася думка про інформаційну систему як про систему, що реалізується за допомогою комп'ютерної тех­ніки. Хоча у загальному випадку інформаційну систему можна ро­зуміти і у некомп'ютерному варіанті.

Що.б розібратися в роботі інформаційної системи, необхідно зрозуміти суть проблем, які вона вирішує, а також організацій­ні процеси, в яких вона задіяна. Так, наприклад, для визначення можливостей можливості комп'ютерної інформаційної системи для підтримки прийняття рішень слід враховувати:

• структурованість вирішуваних завдань управління;

• рівень ієрархії управління організацією, на якому рішення по­ винне бути прийнятим;

• належність завдання до цієї чи іншої сфери діяльності;

• вид інформаційної технології, що використовується. Технологія роботи в комп'ютерній інформаційній системі є

доступною для розуміння спеціалістами некомп'ютерної галузі і може бути успішно використана для контролю процесів про­фесійної діяльності і управління ними.

6.2.2. Структура інформаційної системи

Підсистеми забезпечення інформаційної системи

Структуруінформаційноїсистеми складає сукупність окремих її частин, що називаються підсистемами.

Підсистема [subsystem] — це частина системи, виділена за будь-якою ознакою.

247

Загальну структуру інформаційної системи можна розгляда­ти як сукупність підсистем незалежно від сфери застосування. У цьому випадку говорять про структурну ознаку класифікації, а підсистеми називають забезпечуючими. Таким чином, структу­ра будь-якої інформаційної підсистеми може бути представлена сукупністю забезпечуючих підсистем (рис. 6.8).

Серед забезпечуючих підсистем звичайно виділяють інфор­маційне, технічне, математичне, програмне, організаційне й пра­вове забезпечення.

Інформаційне забезпечення

Призначення підсистеми інформаційного забезпечення по­лягає у своєчасному формуванні й видачі вірогідної інформації для прийняття управлінських рішень.

Інформаційне забезпечення [dataware] — сукупність єдиної системи класифікації й кодування інформації, уніфікованих сис­тем документації, схем інформаційних потоків, що циркулюють в організації, а також методологія побудови баз даних.

248

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

У ніфіковані системи документів створюються на державно­му, галузевому й регіональному рівнях. Головна мета — це за­безпечити відповідність різних сфер суспільного виробництва. Розроблені стандарти, де встановлюються вимоги:

• до уніфікованих систем документів;

• до уніфікованих форм документів різних рівнів управління;

• до складу й структури реквізитів й показників;

• до порядку впровадження, ведення й реєстрації уніфікованих форм документів.

Проте, незважаючи на існування уніфікованих форм доку­ментів, при обстеженні більшості організацій постійно вияв­ляється цілий комплекс типових недоліків:

• надзвичайно великий обсяг документів для ручного оброб­ лення;

• одні й ті ж показники часто дублюються в різних докумен­ тах;

• робота з великою кількістю документів відволікає спеціалістів виконання безпосередніх завдань;

• наявні показники, які створюються, але не використовують­ ся, і т.ін.

Тому усунення вказаних недоліків є одним із завдань, що сто­ять при створенні інформаційного забезпечення.

Схеми інформаційних потоків [data stream, data flow] відобра­жають маршрути руху інформації та її обсяги, місця виникнення первинної інформації й використання результатної інформації. За рахунок аналізу структури подібних схем можна виробити захо­ди з удосконалення всієї системи.

Побудова схем інформаційних потоків, які дозволяють вияви­ти обсяги інформації й провести її детальний аналіз, забезпечує:

• виключення інформації, що дублюється або не використо­ вується;

• класифікацію і раціональне подання інформації.

При цьому докладно повинні розглядатися питання взаємо-звязку руху інформації по рівнях управління. Слід також вия­вити, які показники необхідні для прийняття управлінських рі-

249

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ш ень, а які ні. До кожного виконавця повинна поступати тільки та інформація, яка використовується.

Методологія побудови баз даних базується на теоретичних основах їх проектування. Для розуміння концепції методології можна привести основні ідеї у вигляді двох етапів, що практиці реалізуються послідовно.

1-й етап — обстеження всіх функціональних підрозділів фір­ми з метою:

• зрозуміти специфіку й структуру її діяльності;

• побудувати схему інформаційних потоків;

• провести аналіз існуючої системи документообігу;

• визначити інформаційні об'єкти та відповідний склад рекві­ зитів (параметрів, характеристик), що описують їхні власти­ вості й призначення.

2-й етап — побудова концептуальної інформаційно-логічної моделі для обстеженої на 1-му етапі сфери діяльності. У цій мо­делі повинні бути встановлені та оптимізовані всі зв'язки між об'єктами та їхніми реквізитами. Інформаційно-логічна модель є фундаментом, на якому буде створена база даних.

Для створення інформаційного забезпечення необхідно:

• чітке розуміння мети, завдань, функцій всієї системи управ­ ління організацією;

• виявлення руху інформації від моменту виникнення і до її використання на різних рівнях керування, представленої для аналізу у вигляді схем інформаційних потоків;

• удосконалення системи документообігу;

• наявність і використання системи класифікації й кодування;

• володіння методологією створення концептуальних інфор­ маційно-логічних моделей, що відображають взаємозв'язок інформації;

• створення масивів інформації на машинних носіях, що пот­ ребує наявності сучасного технічного забезпечення.

Технічне забезпечення

Технічне забезпечення [hardware] — комплекс технічних за­собів, призначених для роботи інформаційної системи, а також відповідна документація на ці засоби й технологічні процеси.

250

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

К омплекс технічних засобів складають:

• комп'ютери будь-яких моделей;

• засоби збирання, нагромадження, оброблення, передавання й виведення інформації;

• засоби передавання даних і лінії з в 'язку;

• оргтехніка і пристрої автоматичного знімання інформації;

• експлуатаційні матеріали і т.ін.

Документацією оформляється попередній вибір технічних за­собів,організація їх експлуатації,технологічний процес оброблен­ня даних, технологічне оснащення. Документацію можна умовно розділити на три групи:

• загальносистемну, що включає державні .та галузеві стан­ дарти з технічного забезпечення;

• спеціалізовану, що містить комплекс методик із усіх етапів розробки технічного забезпечення;

• нормативно-довідкову, що використовується для виконання розрахунків із технічного забезпечення.

До теперішнього часу склалися дві основні форми технічно­го забезпечення (форми використання технічних засобів): цент­ралізована та частково або повністю децентралізована.

Централізоване технічне забезпечення базується на вико­ристання в інформаційній системі великих ЕОМ та обчислюваль­них центрів.

Децентралізоване технічне забезпечення передбачає реалі­зацію функціональних підсистем на персональних комп'ютерах безпосередньо на робочих місцях.

Перспективним підходом слід рахувати, очевидно, частково децентралізований підхід — організацію технічного забезпечення на основі розподіленим мереж, що складаються з персональних комп'ютерів і великої ЕОМ для зберігання баз дани, загальних для будь-яких функціональних підсистем.

Математичне і програмне забезпечення

Математичне і програмне забезпечення — сукупність мате­матичних методів, моделей, алгоритмів і програм для реалізації

251

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

_І

мети та завдань інформаційної системи, а також нормального функціонування комплексу технічних засобів.

До засобів математичного забезпечення [mathematical sup­port] належать:

• засоби моделювання процесів управління;

• типові завдання управління;

• методи математичного програмування, математичної статис­ тики, теорії масового обслуговування і т.ін.

До складу програмного забезпечення входять загальноси-стемні та спеціальні програмні продукти, а також технічна доку­ментація.

До загальносистемного програмного забезпечення [gene­ral-system software] належать комплекси програм, орієнтовані на користувачів і призначені для виконання типових завдань оброблення інформації. Вони служать для розширення функціо­нальних можливостей комп'ютерів, контролю й керування про­цесом оброблення даних.

Спеціальне (прикладне) програмне забезпечення [applica­tion (special) software] являє собою сукупність програм, розроб­лених при створенні конкретної інформаційної системи. До його складу входять пакети прикладних програм, що реалізують мо­делі різного ступеню адекватності, що відображають функціону­вання реального об'єкта.

Технічна документація [engineering data, paperwork] на розробку програмних засобів повинна містити опис завдань, за­вдання на алгоритмізацію, математичну модель завдання, конт­рольні приклади.

Організаційне забезпечення

Організаційне забезпечення [organization support] — сукуп­ність методів і засобів, які регламентують взаємодію персоналу з технічними засобами й між собою в процесі розробки та експлуа­тації інформаційної системи.

Організаційне забезпечення реалізує наступні функції:

252

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

• а наліз існуючої системи управління організацією, де буде ви­ користовуватися інформаційна система, і виявлення завдань, що підлягають автоматизації;

• підготовку завдань до виконання на комп'ютері, включаючи технічне завдання на проектування інформаційної системи й техніко-економічне обґрунтування її ефективності;

• розробку управлінських рішень відносно складу та структу­ ри організації, методології виконання завдань, спрямованих на підвищення ефективності системи управління. Організаційне забезпечення створюється за результатами пе-

ред-проектного обстеження на першому етапі побудови баз даних.

Правове забезпечення

Правове забезпечення [legal support] — сукупність право­вих норм, що визначають створення, правовий статус і функціо­нування інформаційних систем, регламентують порядок одер­жання, перетворення та використання інформації.

Головною метою правового забезпечення є зміцнення закон­ності.

До складу правового забезпечення входять закони, укази, пос­танови державних органів влади, накази, інструкції й інші норма­тивні документи міністерств, відомств, організацій, місцевих ор­ганів влади. У правовому забезпеченні можна виділити загальну частину, що регулює функціонування будь-якої інформаційної системи, і локальну частину, що регулює функціонування конк­ретної системи.

Право забезпечення етапів розробки інформаційної системи включає нормативні акти, зв'язані з договірними відносинами розробника й замовника й правовим регулюванням відхилень від договору.

Правове забезпечення етапів функціонування інформаційної системи включає:

• статус інформаційної системи;

• права, обов'язки й відповідальність персоналу;

• правові положення окремих видів процесу керування;

• порядок створення й використання інформації і т.ін.

253

6.2.3. Класифікація інформаційних систем

Класифікація за ступенем автоматизації

Залежно від ступеня автоматизації інформаційних процесів у системі управління фірмою інформаційні системи визначаються як ручні, автоматичні й автоматизовані (рис. 6.9).

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Р учні інформаційні системи характеризуються відсутністю сучасних технічних засобів перероблення інформації й виконан­ня всіх операцій людиною. Наприклад, про діяльність менеджера у фірмі, де відсутні комп'ютери, можна говорити, що він працює з ручною інформаційною системою.

Автоматичні інформаційні системи [automatic system] вико­нують усі операції з перероблення інформації без участі людини.

Автоматизованіінформаційнісистеми [automated system] ne-редбачаютьучастьупроцесіоброблення інформації людини, ітех-нічних засобів, причому головна роль надається* комп'ютеру. У су­часному тлумаченні в термін «інформаційна система» вкладається обов'язково поняття системи, що піддається автоматизації.

Автоматизовані інформаційні системи, враховуючи їхнє широке застосування в організації процесів управління, мають різноманітні модифікації та можуть бути класифікованими, на­приклад, і за характером використання інформації і за сферою застосування.

Класифікація інформаційних систем за характером використання інформації

Інформаційно-пошукові системи [data retrieval system] здій­снюють введення, систематизацію, зберігання, видачу інформації за запитом користувача без складних перетворень даних. Напри­клад, інформаційно-пошукова система в бібліотеці, в залізнич­них і авіака-сах.

Інформаційно-обчислювальні системи [information calcu­lation system] здійснюють усі операції перероблення інформації за певним алгоритмом. Серед них можна також провести класи­фікацію за мірою впливу виробленої результативної інформації на процес прийняття рішень і виділити два класи: управляючі і Дорадчі.

Управляючі інформаційні системи виробляють інформацію, на основі якої людина приймає рішення. Для цих систем харак­терні тип завдань розрахункового характеру й оброблення вели-

255

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

к их обсягів даних. Прикладом можу бути система оперативного планування випуску продукції, система бухгалтерського обліку. Дорадчі інформаційні системи виробляють інформацію, яка приймається людиною до відома та не перетворюється не­гайно у серію конкретних дій. Ці системи мають більш високу ступінь інтелекту, так як для них характерне оброблення знань, а не даних.

Класифікація інформаційних систем за сферою застосування

Інформаційні системи організаційного управління при­значені для автоматизації функцій управлінського персоналу. Враховуючи найбільш широке застосування та різноманітність цього класу систем, часто будь-які інформаційні системи ро­зуміють саме у даному тлумаченні. До цього класу систем від­носяться інформаційні системи управління як промисловими підприємствами, так і непро-мисловими об'єктами: готелями, банками, торговими фірмами і т.ін.

Основними функціями подібних систем є: оперативний кон­троль і регулювання, оперативний облік і аналіз, перспективне й оперативне планування, бухгалтерський облік, керування збу­том і постачанням та інші економічні й організаційні завдання.

Інформаційні системи управління технологічними проце­сами служать для автоматизації функцій виробничого персоналу. Вони використовуються при організації потокових ліній.виготов-лення мікросхем, на складанні, для підтримки технологічного про­цесу в металургійній та машинобудівній промисловості.

Інформаційні системи автоматизованого проектування [computer-aided design (CAD)] (САПР) призначені для автомати­зації функцій інженерів-проектувальників, конструкторів, архітек­торів, дизайнерів при створенні нової техніки або технології. Ос­новними функціями таких систем є: інженерні розрахунки, ство­рення графічної документації (креслень, схем, планів), створення проектної документації, моделювання об'єктів, що проектуються.

Інтегровані (корпоративні) інформаційні системи вико­ристовуються для автоматизації всіх функцій фірми й охоплю­ють весь цикл робіт від проектування до збуту продукції. Ство-

256

рення таких систем дуже важке, оскільки потребує системного підходу з позицій головної мети, наприклад одержання прибут­ку, завоювання ринку збуту і т.ін.

6.2.4. Основні характеристики інформаційної системи як об'єкта захисту

Для інформаційних систем як об'єктів безпеки характер­ ні наступні такі характеристики як конфіденційність, доступ­ ність та цілісність інформації (даних) в інформаційній системі (рис. 6.10) [2]. і

Конфіденційність [confidentiality, privacy] (від лат. confi-dentia — довір'я) — це властивість не підлягати розголосові; Довірчість, секретність, суто приватність.

257

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

К онфіденційність інформації (даних) в інформаційній сис­темі — це властивість інформації, яка полягає в тому, що інфор­мація не може бути отримана неавторизованим користувачем і (або) процесом інформаційної системи. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила оз­найомлення з нею.

Доступність [availability] у загальному сенсі представляється як можливість проникнення куди-небудь.

Для інформаційної системи — це властивість ресурсу систе­ми, яка полягає в тому, що користувач і (або) процес, який во­лодіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, і в той час, коли він йому необхідний.

Доступність даних [data confidentiality] в інформаційній сис­темі — це властивість даних, що полягає у можливості їхнього читання користувачем або програмою. Визначається рядом фак­торів: можливістю працювати за терміналом, володінням паро­лем, знанням мови запитів і т.ін.

Цілісність [integrity] — це внутрішня єдність, зв'язаність усіх частин чого-небудь, єдине ціле. В інформаційній системі — це стан даних або інформаційної системи системи, в якій дані та про­грами використовуються встановленим чином, що забезпечує:

• стійку роботу системи;

• автоматичне відновлення у випадку виявлення системою по­ тенційної помилки;

• автоматичне використання альтернативних компонентів за­ мість тих, що вийшли з ладу.

Для інформаційної системи можна розглядати такі поняття як цілісність даних, цілісність інформації, цілісність бази даних цілісність інформаційної системи і т.ін.

Цілісність даних [data integrity] в інформаційній системі — це стан, при якому дані, що зберігаються в системі, в точності відпові­дають даним у вихідних документах; властивість, що має відно­шення до набору даних і означає, що дані не можуть бути змінені

258

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

а бо зруйновані без санкції на доступ. Цілісність даних вважається збереженою, якщо дані не спотворені і не зруйновані (стерті).

Семантична цілісність даних [semantic data integrity] — це стан даних, коли вони зберігають свій інформаційний зміст та однозначність інтерпретації в умовах випадкових впливів.

Цілісність інформації [information integrity] — це влас­тивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і (або) про­цесом. Інформація зберігає цілісність, якщо дотримуються вста­новлені правила її модифікації (видалення).

Цілісність бази даних [database integrity] — це стан бази даних, коли всі значення даних правильні в тому сенсі, що ві­дображають стан реального світу (в межах заданих обмежень по точності та часовій узгодженості) і підпорядковуються прави­лам взаємної несперечливості. Підтримка цілісності бази даних включає перевірку цілісності і відновлення з будь-якого непра­вильного стану, яке може бути виявлено; це входить у функції адміністратора бази даних.

Цілісність системи [system integrity] — це властивість систе­ми, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

До захищених інформаційних систем належать інформа­ційні системи, які для певних умов експлуатації забезпечують безпеку (конфіденційність, цілісність) інформації, що функціо­нує в системі, та підтримує свою працездатність в умовах впливу на неї заданої множини загроз.

Для інформаційної системи властиві наступні види загроз: загрози порушення конфіденційності, загрози порушення ціліс­ності, загрози порушення працездатності (доступності).

Загрози порушення конфіденційності спрямовані на розго­лошення інформації з обмеженим доступом.

Загрози порушення працездатності (доступності) спря­мовані на створення ситуацій, коли в результаті умисних дій по­нижується працездатність обчислювальної системи або її ресур­си стають недоступними.

259

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

З агрози порушення цілісності полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігаєть­ся або передається. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сто­рони середовища експлуатації системи.

6.3. ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ ТА ПРОБЛЕМИ ЇХНЬОЇ БЕЗПЕКИ

6.3.1. Визначення інформаційної технології

Створення та функціонування інформаційних систем тіс­но пов'язані з розвитком інформаційної технології — головної складової частини інформаційної системи [34].

У найбільш загальному випадку під поняттям технологія І І [technology] (від грец. texvn (техно...) — майстерність, мистец-

тво, уміння і ...логія) розуміють сукупність взаємопов'язаних способів обробки матеріалів, виготовлення виробів та процесів, що супроводжують ці види робіт. Власне сам процес представ­ляє певну сукупність дій, що спрямовані на досягнення постав­леної мети. Він повинен визначатися вибраною людиною страте­гією і реалізовуватися за допомогою сукупності різних засобів і методів.

Відповідно до визначення поняття технологія інформаційна технологія — це процес, що використовує сукупність засобів і методів збирання, оброблення і передачі даних (первинної інфор­мації) для одержання інформації нової якості про стан об'єкта, процесу або явища (інформаційного продукту).

Мета інформаційної технології — виробництво інформації для аналізу її людиною й прийняття на його основі рішення на виконання будь-якої дії.

Інформаційна технологія стала найбільш важливою складо­вою процесу використання інформаційних ресурсів суспільства. Вона пройшла декілька еволюційних етапів, зміна яких визнача-

260

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

л ася головним чином розвитком науково-технічного прогресу, появою нових технічних засобів перероблення інформації. У су­часному суспільстві, де основним технічним засобом технології перероблення інформації служить комп'ютер, відбувся суттєвий вплив як на концепцію побудови й використання технологічних процесів, так і на якість результативної інформації.

6.3.2. Співвідношення інформаційної технології та інформаційної системи

Інформаційна технологія тісно пов'язана з інформаційними системами, які є для неї основним середовищем. На перший пог­ляд може здаватися, визначення інформаційної технології та сис­теми дуже схожі між собою. Проте це не так.

Інформаційна технологія є процесом, що складається з чітко регламентованих правил виконання операції, дій, етапів різної міри складності над даними, що зберігаються в комп'ютерах. Ос­новна мета інформаційної технології — у результаті цілеспрямо­ваних дій з перероблення первинної інформації одержати необ­хідну для користувача інформацію.

Інформаційна система є середовищем, складовими елементами якої є комп'ютери, комп'ютерні мережі, програмні продукти, бази даних, люди, різного роду технічні та програмні засоби зв'язку і т.ін. Основна мета інформаційної системи — організація зберіган­ня та передавання інформації. Інформаційна система представляє собою людино-комп'ютерну систему оброблення інформації.

Реалізація функцій інформаційної системи неможлива без знання зорієнтованої на неї інформаційної технологій. Інфор­маційна технологія може існувати й поза сферою інформаційної системи.

Таким чином, інформаційна технологія є більш ємним понят­тям, що відображає сучасне уявлення про процеси перетворення ін­формації в інформаційному суспільстві. У майстерному сполучені Двох інформаційних технологій управлінської та комп'ютерної — запорука успішної роботи інформаційної системи.

261

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

б .З.З. Класифікація та види інформаційних технологій

На теперішній час інформаційні технології можна класифіку­вати за низкою ознак, зокрема:

• способом реалізації інформаційноїтехнологіїв інформаційній системі;

• обсягом охоплення інформаційною технологією завдання уп­ равління;

• класами реалізованих технологічних операцій;

• типом користувальницького інтерфейсу;

• варіантами використання мережі ЕОМ;

• предметною частиною, яка обслуговується інформаційною технологією.

Традиційна та нова інформаційна технологія

За способом реалізації інформаційної технології в інфор­маційні системі виділяють інформаційні технології, що склалися традиційно, та нові інформаційні технології. Якщо традиційні ін­формаційні технології насамперед існували в умовах централізо­ваного оброблення даних, до масового використання ПЕОМ були орієнтовані головним чином на зниження трудомісткості при формування регулярної звітності, то нові інформаційні технології зв'язані з інформаційним забезпеченням процесу управління в ре­альному масштабі часу.

Нова інформаційна технологія — це технологія, яка засно­вується на застосуванні комп'ютерів, активній участі користува­чів (непрофесіоналів в галузі програмування) в інформаційному процесі, високому рівні дружнього користувальницького інтер­фейсу, широкому застосуванні пакетів прикладних програм за­гального та проблемного призначення, доступі користувача до віддалених баз даних та програм завдяки обчислювальним ме­режам ЕОМ. У поняття нової інформаційної технології включені також комунікаційні технології, які забезпечують передавання інформації різними засобами, а саме — телефон, телеграф, теле­комунікації, факс і т.ін.

262

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Н ова (комп'ютерна) інформаційна технологія базується на трьох основних принципах:

• інтерактивний (діалоговий) режим роботи з комп'ютером;

• інтегрованість (стикування, взаємозв'язок) з іншими прог­ рамними продуктами;

• гнучкість процесу зміни як даних, так і постановок завдань.

Інформаційна технологія управління

За обсягом охоплення інформаційною технологією завдань управління виділяють електронне оброблення даних, коли з використанням ЕОМ без перегляду методології та організації процесів управління ведеться оброблення даних з вирішенням окремих завдань, та автоматизацію управлінської діяльності. В останньому випадку обчислювальні засоби використовуються для комплексного вирішення функціональних завдань, форму­вання регулярної звітності та роботи в інформаційно-довідко­вому режимі для підготовки управлінських рішень. До цієї гру­пи можуть бути віднесені інформаційні технології підтримки прийняття рішень, які передбачають широке застосування еко-номіко-математичних методів, моделей та пакетів прикладних програм для аналітичних роботи та формування прогнозів, скла­дання бізнес-планів, обґрунтування оцінок та висновків із про­цесів, що вивчаються, та явищ виробничо-господарської прак­тики. До названої групи відносяться інформаційні технології, які одержали назву електронного офісу та експертної підтримки рішень. Ці два варіанти інформаційних технологій орієнтовані на використання досягнень у галузі автоматизації роботи спе­ціалістів та керівників, створення для них найбільш сприятли­вих умов виконання професійних функцій, якісного та своєчас­ного інформаційного обслуговування за рахунок повного авто­матизованого набору управлінських процедур, які реалізуються в умовах конкретного робочого місця та офісу в цілому.

Електронний офіс передбачає наявність інтегрованих паке­тів прикладних програм, що включають спеціалізовані програми та інформаційні технології, які забезпечують комплексну реалі­зацію завдань предметної частини. На теперішній час все біль-

263

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ш е розповсюдження набувають електронні офіси, обладнання та співробітники яких можуть знаходитися в різних приміщеннях. Необхідність роботи з документами, матеріалами, базами даних конкретної організації або закладу в домашніх умовах, в готелі, транспортних засобах привела до появи інформаційних техно­логій віртуальних офісів. Такі інформаційні технології заснову­ються на роботі локальної мережі, з'єднаної з територіальною або глобальною мережею. Завдяки цьому абонентські системи співробітників закладу, незалежно від того, де вони знаходяться, виявляються включеними в загальну для них мережу.

Інформаційні технології експертної підтримки рішень складають основу автоматизації праці спеціалістів-аналітиків. Ці працівники крім аналітичних методів та моделей для досліджен­ня ситуацій, що склалися в ринкових умовах, із збуту продук­ції, послуг, фінансового стану підприємства, фірми, фінансово-кредитної організації змушені використовувати накопичений та збережений і системі досвід оцінки ситуацій, тобто відомості, що складають базу знань у конкретній предметній частині. Оброб­лені за певними правилами такі відомості дозволяють готувати обґрунтовані рішення для поведінки на фінансових та товарних ринках, виробляти стратегію в галузях менеджменту та марке­тингу.

Програмна інформаційна технологія

За класами реалізованих технологічних операцій інфор­маційні технології розглядають у програмному аспекті і вклю­чають: оброблення текстів, електронні таблиці, автоматизовані бази (банки) даних, оброблення графічної та звукової інформа­ції, мультимедійні та інші системи.

Перспективним напрямком розвитку комп'ютерної техноло­гії є створення програмних засобів для виведення якісного зву­ку та відео-зображення. Технологія одержання відеозображення одержала назву комп'ютерної графіки.

Комп'ютерна графіка — це створення, зберігання та оброб­лення моделей об'єктів та їхніх зображень за допомогою ЕОМ.

264

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Ц я технологія проникла в галузь економічного аналізу, моделю­вання різноманітних конструкцій, вона незамінна на виробниц­тві, проникає в рекламну діяльність, робить цікавим дозвілля.

Зображення, які формуються та обробляються за допомогою цифрового процесора, можуть бути демонстраційними та аніма-ційними. До першої групи, як правило, відносять комерційну (ді­лову) та илюстративну графіку, до другої — інженерну та наукову, а також зв'язану з рекламою, мистецтвом, іграми, коли виводяться не тільки поодинокі зображення, але й послідовність кадрів у виг­ляді фільму (інтерактивний варіант).

Інтерактивнамашиннаграфікаєоднією з найбільш прогресив­них напрямів серед нових інформаційних технологій. Цей напрям бурхливо розвивається з появою нових графічних станцій та спе­ціалізованого програмного забезпечення, яке дозволяє створю­вати реалістичні об'ємні рухомі зображення, що за якістю можна порівняти з кадрами відеофільму.

Програмно-технічна організація обміну з комп'ютером тек­стовою, графічною, аудіо- та відеоінформацією одержала назву мультимедіа-технології. Таку технологію реалізують спеціальні програмні засоби, що мають вбудовану підтримку мультимедії та дозволяють використовувати її в професійній діяльності, нав­чально-освітніх, науково-популярних та ігрових галузях. При застосуванні цієї технологи в професійній діяльності відкрива­ються реальні перспективи використати комп'ютер для озвучу­вання зображень, а також розуміння ним людської мови, ведення комп'ютером діалогу зі спеціалістом на його рідній мові. Здат­ність комп'ютера з голосу сприймати нескладні команди керу­вання програмами, відкриванням файлів, виведенням інформа­ції на друк та іншими операціями створює сприятливі умови для взаємодії з ними в процесі професійної діяльності.

Інформаційна технологія доступу до ресурсів

За типом користувальницького інтерфейсу можна розгля­дати інформаційні технології з точки зору можливостей доступу

265

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

к ористувача до інформаційних та обчислювальних ресурсів. Так, пакетна інформаційна технологія виключає можливість корис­тувача впливати на оброблення інформації, поки вона здійс­нюється в автоматичному режимі. Це пояснюється організацією оброблення, яка заснована на виконанні програмно-заданої по­слідовності операцій над заздалегідь накопиченими в системі та об'єднаними в пакет даними.

На відміну від пакетної діалогова інформаційна технологія надає користувачеві необмежену можливість взаємодіяти інфор­маційними ресурсами, які зберігаються в системі, в реальному масштабі часу, одержуючи при цьому всю необхідну інформацію для виконання функціональних завдань та прийняття рішення.

Інтерфейс мережної інформаційної технології надає ко­ристувачеві засоби теледоступу до територіально розподілених інформаційних та обчислювальних ресурсів завдяки розвине­ним засобам зв'язку, що робить такі інформаційні технології ба­гатофункціональними та передбачає їхнє широке застосування.

Основні тенденції розвитку інформаційних технологій

На теперішній час спостерігається тенденція до об'єднання різноманітних типів інформаційних технологій в єдиний комп'ютерно-технологічний комплекс, який носить назву інтег­рованого. Особливе місце в ньому належить засобам комунікації, які забезпечують не тільки надзвичайно широкі технологічні мож­ливості автоматизації управлінської діяльності, але й самі власне є основою створення найрізноманітніших мережних варіантів інформаційних технологій: локальних,багаторівневих,розподіле-них, глобальних обчислювальних мереж,електронної пошти, циф­рових мереж інтегрального обслуговування. Усі вони орієнтовані на технологічну взаємодію об'єктів, створених засобами переда­вання, оброблення, нагромадження та зберігання, захисту даних, представляють собою інтегровані комп'ютерні системи оброблен­ня інформації (даних) великої складності, практично необмеже­них експлуатаційних можливостей для реалізації управлінських процесів в будь-якій галузі діяльності.

266

і Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

І нтегровані комп'ютерні системи оброблення даних проек­туються як складний інформаційно-технологічний та програм­ний комплекс. Він підтримує єдиний спосіб подання даних та взаємодію користувачів з компонентами системи, забезпечує ін­формаційні та обчислювальні потреби спеціалістів в їхній про­фесійній роботі. Особливе значення в таких системах надається захисту інформації при її передаванні та обробленні. Найбіль­ше розповсюдження при захисті інформації одержали апарат­но-програмні способи. Зокрема, використання системи зв'язку, вибраної за захисними властивостями та якістю обслуговування, гарантує збереження інформації в процесі^передавання та до­ставки її адресату; зашифровування та розшифровування даних абонентами мережі мереж загального користування здійснюєть­ся при домовленості користувачів про загальні технічні засоби, алгоритми шифрування і т.ін.

Підвищення вимог до оперативності інформаційного обміну та управління, а отже, до терміновості оброблення інформації привело до створення не тільки локальних, але і до багаторівневих та розподілених систем організаційного управління об'єктами, яким є, наприклад, банківські, постачальницькі, статистичні та інші служби, їхнє інформаційне забезпечення реалізують мережі автоматизованих банків даних, які будуються з урахуванням ор­ганізаційно-функціональної структури відповідного багаторів­невого об'єкта, машинного ведення інформаційних масивів. Цю проблему в нових інформаційних технологіях вирішують роз­поділені системи оброблення даних з використанням каналів зв'язку для обміну інформацією між базами даних різних рівнів. За рахунок ускладнення програмних засобів керування базами даних підвищується швидкість, забезпечуються захист та до­стовірність інформації при виконанні розрахунків та вироблен­ня управлінських рішень.

В багаторівневих та розподілених комп'ютерних інформа­ційних системах організаційного управління однаково успішно можуть бути вирішені як проблеми оперативної роботи з інфор­мацією, так і проблема аналізу економічних ситуацій при вироб­ленні та прийнятті управлінських рішень. Зокрема, автоматизо­вані робочі місця спеціалістів надають можливість користувачам

267

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

п рацювати в діалоговому режимі, оперативно вирішувати поточ­ні завдання, зручно вводити дані з термінала, вести їхній візуаль­ний контроль, викликати необхідну інформацію для оброблення, визначати вірогідність результативної інформації та виводити її на екран, принтер або передавати її каналами зв'язку.

На теперішній час надзвичайно гостро стоїть потреба в ана­літичній роботі. Виникає необхідність у накопиченні фактів, до­свіду, знань у кожній конкретній галузі управлінської діяльності. Переважає зацікавленість у ретельному дослідженні конкретних економічних, комерційних, виробничих ситуацій з метою прий­няття в оперативному порядку обґрунтованих та найбільш при­йнятних рішень. Це завдання вирішується подальшим удоскона­ленням інтегрованого оброблення інформації, коли нова інфор­маційна технологія починає включати в роботу бази знань.

Під базою знань розуміють складну, детально змодельовану структуру інформаційних сукупностей, які описують усі особ­ливості предметної частини, включаючи факти (фактичні знан­ня), правила (знання умов для прийняття рішення) та метазна­ния (знання про знання), тобто знання, які стосуються способів використання знань та їхні властивості. База знань є найваж­ливішим елементом, який найчастіше створюється на робочому місці спеціаліста експертної системи, яка виступає в ролі нагро-маджувача знань у конкретній галузі професійної діяльності та порадника фахівцеві при аналізі ситуацій та вироблення управ­лінських впливів.

Виділяють п'ять основних тенденцій розвитку інформацій­них технологій.

Перша тенденція пов'язана із зміною характеристик інфор­маційного продукту, який все більше перетворюється на гібрид між результатом розрахунково-аналітичної роботи та специфіч­ною послугою, що надається індивідуальному користувачеві ПЕОМ.

Відзначається здатність до паралельної взаємодії логічних елементі інформаційних технологій, сполучення всіх видів ін­формації (тексту, образів, цифр, звуків) з орієнтацією на одно­часне сприйняття людиною через органи чуття.

268

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

П рогнозується ліквідація всіх проміжних ланок на шляху від джерела інформації до його споживача.

Провідною є тенденція до глобалізації інформаційних техно­логій в результаті використання супутникового зв'язку та всес­вітньої мережі Internet, завдяки чому люди зможуть спілкуватися між собою та із загальною базою даних, знаходячись у будь-якій точці планети.

Останньою межою сучасного процесу розвитку інформацій-; них технологій є конвергенція, яка полягає у стиранні відміннос­тей між сферами матеріального виробництва та інформаційного бізнесу, в максимальній диверсифікації видів діяльності фірм і корпорацій, взаємопроникнення різних галузей промисловості, фінансового сектору та сфери послуг.

6.3.4. Основні проблеми безпеки інформаційних технологій

Проблеми безпеки інформаційних технологій виникли на пе­ретині двох передовиху плані використання технічних досягнень напрямів — безпеки технологій та інформатизації. В умовах, коли об'єкт захисту представляє собою інформаційну систему, або коли {засоби нападу мають форму інформаційних впливів, необхідно ^застосовувати цілком нові технології та методи захисту. Можна %дідійти до систематизації ситуації із забезпеченням безпеки ін­формаційних технологій наступним чином (рис. 6.11) [33].

Насамперед слід відзначити, що сучасні комп'ютери набули великої обчислювальної потужності, але разом з тим стали на­багато простішими в експлуатації. Це означає, означає, що ко­ристуватися ними стало набагато легше, завдяки чому все біль­ша кількість нових, як правило, некваліфікованих людей одержа­ли доступ до комп'ютерів, що призводить до зниження середньої кваліфікації користувачів.

Ця тенденція суттєво полегшує завдання порушникам, так як в результаті «персоналізації» засобів обчислювальної техніки більшість користувачів мають особисті комп'ютери та здійсню-

269

ють їхнє адміністрування самостійно. Більшість з них не можуть постійно підтримувати безпеку цих систем на належному рівні із-за відсутності відповідних знань, навичок, а також часу и за­собів.

Широке поширення мережних технологій об'єднало окремі машини в локальні мережі, які спільно використовують загальні ресурси, а застосування технологій клієнт-сервер та кластериза-ції перетворило такі мережі в розподілені обчислювальні середо-

270

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

1_

вища. Безпека мережі визначається захищеністю всіх комп'ютерів та мережаного обладнання, що входить до її складу, і зловмисни­кові достатньо порушити роботу тільки однієї компоненти, щоб скомпрометувати всю мережу.

Сучасні телекомунікаційні технологій об'єднали локальні комп'ютерні мережі в глобальне інформаційне середовище. Це призвело до появи такого унікального явища як Internet. Саме розвиток Internet викликав хвилю інтересу до проблеми інфор­маційної безпеки та поставив питання про обов'язкову наяв­ність засобів захисту в систем та мереж, які приєднуються до Internet, незалежно до характеру інформації, яка оброблюється в них. Справа в тому, що Internet забезпечує широкі можливості зловмисникам для здійснення порушень безпеки в глобальному масштабі. Якщо комп'ютер, який є об'єктом впливу (атаки), при­єднаний до Internet, то для атакуючого не має значення де він знаходиться — у сусідній кімнаті чи на іншому континенті.

Інша проблема безпеки інформаційних технологій виклика­на бурхливим розвитком програмного забезпечення. Практика показує, що більшість поширених сучасних програмних засобів, в першу чергу операційних систем, не відповідає навіть міні­мальним вимогам безпеки, хоча їхні розробника останнім часом здійснюють певні зусилля у цьому напрямку.

У першу чергу це проявляється у наявності вад у роботі за­собів захисту та наявності великої кількості різноманітних «не-документо-ваних» можливостей. Після їхнього виявлення багато вад ліквідовуються за допомогою оновлення версій та додатко­вих засобів, проте та сталість, з якою виявляються все нові та нові вади, не може не викликати побоювань. На теперішній час можна стверджувати, що більшість систем надають зловмисни­кам широкі можливості для здійснення порушень.

Розвиток гнучких та мобільних технологій оброблення ін­формації привів до того, що практично зникає грань між дани­ми, які оброблюються, та програмами, за якими вони оброблю­ються, за рахунок широкого поширення віртуальних машин та інтерпретаторів.

271

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Т епер будь-який розвинений додаток від текстового процесо­ра до броузера Internet не просто обробляє дані, а інтерпретує ін­тегровані в них інструкції спеціальних мов програмування, тобто по суті є окремою машиною з традиційною фон-нейманівською архітектурою, для якої можна створювати засоби нападу, віруси і т.ін. Це збільшує можливості зловмисників із створення засобів впровадженніу чужі системи таутруднює завдання захисту подіб­них систем, так як наявність таких «вкладених» систем потребує і реалізації захисту для кожного рівня.

Невідповідність бурхливого розвитку засобів оброблення інформації та повільного відпрацювання теорії інформаційної безпеки привели до появи суттєвого розриву між теоретичними моделями безпеки, які оперують абстрактними поняттями типу об'єкт, суб'єкт і т.ін. та реальними категоріями сучасних інформа­ційних технологій. Крім того, багато засобів захисту, наприклад, засоби боротьби з комп'ютерними вірусами та системи захисту корпоративних мереж firewall на даний час взагалі не мають чіт­кої системної наукової бази.

Таке становище є наслідком відсутності загальної теорії за­хисту інформації, комплексних моделей безпеки оброблення інформація, які би описували механізми дій зловмисників в ре­альних системах, а також відсутність засобів, які дозволяли би ефективно моделювати адекватність тих чи інших рішень в га­лузі безпеки. Наслідком цього є те, що практично всі системи захисту засновані на «латанні дір», виявлених у процесі експлу­атації, що визначає їхнє відставання від загроз, які динамічно розвиваються.

На практиці відсутність системної та наукової бази інформа­ційної безпеки проявляється вже в тому, що нема навіть загаль­ноприйнятої термінології, яка би адекватно сприймалася всіма спеціалістами в галузі безпеки. Тома часто теорія і практика діють у різних площинах.

Необхідність створення глобального інформаційного про­стору та забезпечення безпеки процесів у ньому викликала не-

272

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

о бхідність розроблення міжнародних стандартів, відповідно до яких можна забезпечити необхідний рівень гаранти забезпечен­ня захисту. В сучасних умовах надзвичайно важливими є стан­дартизація не тільки вимог безпеки, а також методі підтверд­ження адекватності реалізованих засобів захисту та коректності самої реалізації.

Існуючі національні стандарти здійснювали спроби вирішити цю проблему, проте ці документи не можуть претендувати на те, щоб закласти фундамент безпечних інформаційних технологій. Діючі документи представляють лише скромне наслідування ко­лишнім зарубіжним стандартам. В умовах обвальної інформати­зації найважливіших сфер вітчизняної економіки та державного апарату країни вкрай необхідні нові рішення у цій галузі.

Внаслідок сукупної дії всіх перелічених факторів, що визна­чають проблеми безпеки інформаційних систем, призначених для оброблення особливо важливої інформації, стоїть цілий ряд завдань, які потребують негайного та ефективного вирішення.

Забезпечення безпеки нових типів інформаційних ре­сурсів. Оскільки комп'ютерні системи тепер безпосередньо інтег­ровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми подання інформації (гіпертекст, мультимедіа і т.ін.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів або повідомлень.

Організація довіреної взаємодії сторін (взаємної іденти-фікації/автентифікації) в інформаційному просторі. Розвиток мереж та Internet вимагає необхідності здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому необхід­но виконати це завдання в глобальному масштабі, незважаючи на те, що учасники цієї взаємодії можуть знаходитися в різних частинах планети, функціонувати на різних платформах і в різ­них операційних системах.

Захист від автоматичних засобів нападу. Досвід експлуата­ції існуючих систем показав, що сьогодні від захисту вимагають-

273

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

с я нові функції, а саме — механізми, які забезпечували б безпеку системи в умовах можливої взаємодії з нею, або появи всередині неї програм, які здійснюють деструктивні дії — комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів.

Інтеграція захисту інформації в процесі автоматизації її оброблення як обов'язкового елементу. Для того щоб бути за­требуваними сучасним ринком інформаційних систем засоби захисту не повинні вступати в конфлікт з існуючими додатками та з традиційними інформаційними технологіями оброблення інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.

Якщо ці завдання не будуть вирішені, то подальше поши­рення інформаційних технологій у сфері систем, які обробляють важливу інформацію, дуже скоро стане під загрозою. Держава, яка починає інформатизацію практично з «нуля», є полігоном для застосування останніх досягнень інформаційних технологій, тому для неї вирішення завдання створення захищених інфор­маційних систем є надзвичайно актуальним.

7Основи безпеки інформаційних ресурсів

7 .1. ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЇ ТА ІНФОРМАЦІЙНИХ РЕСУРСІВ

7.1.1. Загальні положення

На сьогодні вважають, що забезпечення безпеки інформації повинно мати комплексний характер. Усе більше фахівців про­понують свої рішення в галузі забезпечення безпеки інформа­ційних ресурсів як комплексні. Проте організація забезпечення безпеки інформації повинна мати не просто комплексний ха­рактер, але ще й засновуватися на всебічному аналізі можливих негативних наслідків, при якому важливо не упустити будь-які суттєві аспекти.

Насамперед заходи забезпечення інформаційної безпеки в організації спрямовуються тільки на те, щоб не допустити збит­ків від утрати конфіденційної інформації. Відповідно до цього уже передбачається наявність цінної інформації, із-за втрати якої організація може понести збитки. А якщо є цінна інформа­ція, то звичайно ж є можливість здійснення будь-яких дій, які можуть нанести шкоду цій інформації. Усі шкідливі дії можуть бути здійсненими тільки при наявності будь-яких слабких місць (уразливостей) (рис. 7.1). А якщо є дії, то є найвища загроза їх здійснення, а також наявні джерела, з яких ці загрози можуть виходити [6,10].

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

В иникає наступний ланцюжок: джерело загрози — фактор (уразливість) — загроза (дія) — наслідки (атака).

Джерело загрози — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.

Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяль­ності), спрямованого проти об'єкта захисту (інформаційних ре­сурсів), яке наносить збиток власнику або користувачу, що про­являється як небезпека спотворення або втрати інформації.

Фактор (уразливість) — це властиві об'єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу функціонуван­ня об'єкта інформатизації, властивостями архітектури інформа­ційно-телекомунікаційної системи, протоколами обміну та інтер-фейсами,що застосовуються програмним забезпеченням і апарат­ними засобами, умовами експлуатації.

Наслідки (атака) — це можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (уразливості) .

Атака — це завжди пара «джерело-фактор»,що реалізує загро­зу та приводить до збитків.

7.1.2. Збитки як категорія класифікації загроз

Прояви збитків можуть бути різноманітні: моральні й матеріальні збитки ділової репутації організації; моральні, фізичні або матеріальні збитки, зв'язані з розголо­шенням персональних даних окремих осіб; матеріальні (фінансові) збитки від розголошення конфіден­ційної інформації;

матеріальні (фінансові) збитки від необхідності відновлення порушених інформаційних ресурсів;

матеріальні збитки (втрати) від неможливості виконання взя­тих на себе зобов'язань перед третьою стороною;

276

Розділ 7. Основи безпеки інформаційних ресурсів

• м оральні та матеріальні збитки від дезорганізації діяльності організації;

• матеріальні та моральні збитки від порушення міжнародних відносин.

Слід відзначити, що збитки можуть бути спричинені як будь-яким суб'єктом (у цьому випадку відбувається правопорушення), так і бути наслідком незалежного від суб'єкта прояву (наприклад, стихійних випадків, або інших впливів, таких як прояви техноген­них властивостей цивілізації).

У першому випадку наявна вина суб'єкта, яка визначає спри­чинену шкоду як склад злочину, що здійснюється із злими на­мірами (умисно) або по необережності і спричинені збитки по­винні класифікуватися як склад злочину, відповідно до кримі­нального права.

У другому випадку збитки мають імовірнісний характер і по­винні бути зівставлені як мінімум із тим ризиком, який обгово­рюється цивільним, адміністративним або арбітражним правом, як предмет розгляду. І визначення цього, хто саме є причиною збитків, є другим за важливістю (після спроби цього не допусти­ти) питанням для потерпілого.

В теорії права під збитками розуміють невигідні для власни­ка майнові наслідки, що виникли через правопорушення. Збитки виражаються у зменшенні майна або недоодержанні прибутку, який був би одержаний при відсутності правопорушення (упу­щена вигода).

Якщо розглядати як суб'єкт, що спричинив збитки, будь-яку особистість, категорія «збитки» є справедливою тільки у тому випадку, коли можна довести, що вони спричинені, тобто діяння особистості необхідно кваліфікувати в термінах правових актів як склад злочину. Тому при класифікації загроз безпеці інфор­мації у цьому випадку доцільно враховувати вимоги чинного кримінального права, які визначають склад злочину.

Для прикладу можна розглянути склади злочину, які визна­чаються кримінальними кодексами в багатьох державах.

277

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

_І

Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь вин­ного або інших осіб, що спричинили збитки власникові майна.

Копіювання комп'ютерної інформації — повторювання та стійке збереження інформації на машинному або іншому носієві.

Знищення — зовнішній вплив на майно, у результаті яко­го воно припиняє своє існування або приходить у повну непри­датність для використання по цільовому призначенню. Знищене майно не може бути відновлене шляхом ремонту або реставрації та повністю виводиться з господарського обігу.

Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ.

Ушкодження — змінювання властивостей майна, при яко­му суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання.

Модифікація комп'ютерної інформації — внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних.

Блокування комп'ютерної інформації — штучне усклад­нення доступу користувачів до інформації, не пов'язане з її зни­щенням.

Несанкціоноване знищення, блокування, модифікація, копію­вання інформації — будь-які не дозволені законом, власником або компетентним користувачем вказаних дій з інформацією.

Обман (заперечення автентичності, нав'язування хибної ін­формації) — умисне спотворення або приховування істини з ме­тою введення в оману особу, у веденні якої знаходиться майно, і таким чином домагатися від неї добровільної передачі майна, а та­кож повідомлення з цією метою свідомо неправдивих відомостей.

Якщо розглядати як суб'єкт, що спричинив збитки, будь-яке природне або техногенне явище під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими яви­щами, і які можуть бути компенсовані за рахунок третьої сторо­ни (страхування ризиків настання події) або за рахунок власних засобів власника інформації.

278

Наприклад, страхування представляє собою відносини із захисту майнових інтересів фізичних і юридичних осіб при на­станні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків.

7.1.3. Класифікація загроз безпеці інформації

Виходячи з попередніх міркувань можна виділити три основ­ні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 7.2).

Загрози безпеці інформації при забезпеченні-конфіденцій-ності:

• крадіжка (копіювання) інформації та засобів її оброблення;

• втрата (неумисна втрата, витік) інформації та засобів її об­ роблення.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

З агрози безпеці інформації при забезпеченні доступності:

блокування інформації;

знищення інформації та засобів її оброблення.

Загрози безпеці інформації при забезпеченні цілісності:

модифікація (спотворення) інформації;

заперечення автентичності інформації;

нав'язування фальшивої інформації.

7.1.4. Класифікація джерел загроз

Носіями загроз безпеці інформації є джерела загроз. Джерела­ми загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. Причому джерела загроз можуть знаходитися як усере­дині організації — внутрішні джерела, так і ззовні її — зовнішні джерела. Поділ джерел на суб'єктивні та об'єктивні виправдане виходячи з попередніх міркувань стосовно вини або ризику збит­ку інформації. А поділ на внутрішні та зовнішні джерела виправ­даний тому, що для однієї й тієї ж загрози методи відбивання для внутрішніх і зовнішніх загроз можуть бути різними.

Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 7.3):

• обумовлені діями суб'єкта (антропогенні джерела загроз);

• обумовлені технічними засобами (техногенні джерела загроз);

• обумовлені стихійними джерелами. Антропогенними джерелами загроз виступають суб'єкти,

дії яких можуть бути кваліфіковані як умисні або випадкові зло­чини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представ­ляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Методи протидії у цьому випадку керовані й прямо залежать від волі організаторів захисту інформації.

Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до робо­ти зі штатними засобами об'єкта, що підлягає захисту. Суб'єкти

280

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

( джерела), дії яких можуть привести до порушення безпеки ін­формації, можуть бути як зовнішніми, так і внутрішніми. Зов­нішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації.

Внутрішні суб'єкти (джерела), як правило, становлять собою висококваліфікованих спеціалістів у галузі розробки та експлуа­тації програмного забезпечення та технічних засобів, знайомі зі специфікою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного обладнання та технічних засобів мережі.

Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою та спеціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але ме­тоди протидії загрозам для цієї групи джерел можуть мати свої відмінності.

Слід відзначити, що кваліфікація антропогенних джерел за­гроз безпеці інформації відіграє важливу роль для оцінки їхньо­го впливу та враховується при ранжируванні джерел загроз.

Друга група містить джерела загроз, що визначаються тех­нократичною діяльністю людини та розвитком цивілізації. Про­те наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше за­лежним від техніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Даний клас джерел загроз безпеці інформації є особливо актуальних у сучасних умовах, так як очікується різке зростання числа техногенних катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також від­сутністю коштів на його оновлення. Технічні засоби, що є джере­лами потенційних загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми.

282

Розділ 7. Основи безпеки інформаційних ресурсів

Т ретя група джерел загроз об'єднує обставини, що становлять непереборну силу, тобто такі обставини, які мають об'єктивний і абсолютний характер, що поширюється на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм за­побігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди.

Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.

7.1.5. Ранжирування джерел загроз

Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжирування. При цьому оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонуєть­ся, наприклад, вибрати:

• можливість виникнення джерела (Kj),-, що визначає міру до­ ступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (ураз­ ливості) (для техногенних джерел) або особливості обста­ новки (для випадкових джерел);

• готовність джерела (K₂)j, що визначає міру кваліфікації та привабливість вчинення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел).

• фатальність (К₃),, що визначає міру непереборності наслідків реалізації загрози.

Кожний показник оцінюється експертно-аналітичним мето-Дом за п'ятибальною системою. Причому 1 відповідає мінімаль­ній мірі впливу показника, який оцінюється на небезпеку вико­ристання джерела, а 5 — максимальній.

283

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

( K_dan)i Для окремого джерела можна визначити як відношен­ня добутку наведених вище показників до максимального зна­чення (125).

Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою:

• висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів оброб­ ки інформації, що підлягає захисту (характерно для внутріш­ ніх антропогенних джерел, що наділені максимальним пра­ вом доступу, наприклад, представник служб безпеки інфор­ мації, адміністратори);

• перша середня ступінь доступності — антропогенне джере­ ло загроз має можливість опосередкованого, не визначено­ го функціональними обов'язками (за рахунок побічних ка­ налів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно);

• друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість до програмних засобів у силу введених обмежень при використанні технічних засобів, фун­ кціональних обов'язків або за видом своєї діяльності (харак­ терно для внутрішніх антропогенних джерел із звичайними правами доступу, наприклад, користувачі, або зовнішніх ант­ ропогенних джерел, що мають право доступу до засобів об­ роблення та передачі інформації, що підлягає захисту, напри­ клад хакери, персонал постачальників телематичних послуг);

• низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел);

• відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту.

284

Розділ 7. Основи безпеки інформаційних ресурсів

М іру віддаленості від об'єкта захисту можна характеризу­вати наступними параметрами:

• об'єкти, що збігаються, — об'єкти захисту самі містять дже­ рела техногенних загроз і їхній територіальний поділ немож­ ливий;

• близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може справити суттєвий вплив на об'єкт;

• середньовіддалені об'єкти — об'єкти захисту розташовують­ ся на відстані від джерел техногенних загроз, на якому прояв впливу цих загроз може справити несуттєвий вплив на об'єкт захисту;

• віддалено розташовані об'єкти — об'єкт захисту розташо­ вується на відстані від джерела техногенних загроз, що ви­ ключає його прямий вплив;

• вельми віддалені об'єкти — об'єкт захисту розташовується на значній відстані від джерела техногенних загроз, що повніс­ тю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами.

Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейс­мологічних, гідрографічних та інших умовах. Особливості обста­новки можна оцінювати за наступною шкалою:

• дуже небезпечні умови — об'єкт захисту розташований у зо­ ні дії природних катаклізмів;

• небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість проя­ ву природних катаклізмів;

• помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом три­ валого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;

285

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• с лабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів і на об'єкті існують передумови виникнення стихійних джерел загроз;

• безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів і на об'єкті відсутні переду­ мови виникнення стихійних джерел загроз. Кваліфікація антропогенних джерел відіграє важливу роль у

визначенні їхніх можливостей зі здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взає­модії з мережею, що підлягає захисту:

• нульовий рівень — визначається відсутністю можливості будь-якого використання програм;

• перший рівень — обмежується можливістю запуску завдань/ програм із фіксованого набору, призначеного для оброблен­ ня інформації, яка підлягає захисту (рівень некваліфіковано- го користувача);

• другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з об­ роблення інформації (рівень кваліфікованого користувача, програміста);

• третій рівень — визначається можливістю управління функ­ ціонуванням мережі, тобто впливом на базове програмне забезпечення, його состав і конфігурацію (рівень системного адміністратора);

• четвертий рівень — визначається повним обсягом можли­ востей суб'єктів, що здійснюють проектування й ремонт тех­ нічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з оброблення інфор­ мації (рівень розробника та адміністратора).

Нульовий рівень є найнижчим рівнем можливостей з веден­ня діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може ско­ристатися правами відповідного рівня.

286

Розділ 7. Основи безпеки інформаційних ресурсів

П ривабливість здійснення діяння з боку джерела загроз уста­новлюється наступним чином:

• особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здій­ снює захист;

• привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб;

• помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особам;

• слабко привабливий рівень — інформаційні ресурси, що під­ лягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист;

• непривабливий рівень — інформація не представляє інтере­ су для джерела загрози.

Необхідні умови готовності джерела визначаються, виходячи з джерела загрози, можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передба­чається:

• загроза реалізована — умови сприятливі або можуть бути сприятливими для реалізації загрози;

• загроза помірно реалізована — умови сприятливі для реалі­ зації загрози, проте довгострокові спостереження не припус­ кають можливості її активізації у період існування й активної діяльності об'єкта захисту;

• загроза слабо реалізована — існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають ре­ алізації загрози;

• загроза нереалізована — відсутні передумови для реалізації передбачуваної подій.

Міра непереборності наслідків загрози (фатальність) визна­чається за наступною шкалою:

287

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• н епереборні наслідки — результати прояву загрози мо­ жуть призвести до повного руйнування (знищення, втрати) об'єкта захисту, як наслідок до непоправних втрат і виклю­ чення можливості доступу до інформаційних ресурсів, що підлягають захисту;

• практично непереборні наслідки — результати прояву за­ грози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т.ін.) на відновлення, які порівняні з витратами на створення нового об'єкта та суттєвого обмеження часу доступу до інформацій­ них ресурсів, що підлягають захисту;

• частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;

• переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його від­ новлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту;

• відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту.

Результати проведеного ранжирування відносно конкретно­го об'єкта захисту можна звести в таблицю, яка дозволяє виз­начити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.

При виборі припустимого рівня джерела загроз передба­чається, що джерела загроз, які мають коефіцієнт (K_dg_n)j менше (0,1...0,2), можуть у подальшому не враховуватися як малоймо­вірні.

Визначення актуальних (найбільш небезпечних) загроз здій­снюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.

288

Розділ 7. Основи безпеки інформаційних ресурсів

7 .1.6. Класифікація уразливостей безпеці

Загрози як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушен­ня безпеки інформації на конкретному об'єкті інформатизації.

Уразливості, властиві об'єкту інформатизації, невіддільні від нього та обумовлюються недоліками процесу функціонування, властивостями архітектури автоматизованих систем, протоко­лами обміну та інтерфейсами, програмним забезпеченням і апа­ратною платформою, умовами експлуатації та розташування.

Джерела загроз можуть використовувати уразливості для порушення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі незловмисні дії джерел загроз з активізації чи ін­ших уразливостей, що приносять шкоду.

Кожній загрозі можуть бути зіставлені різноманітні уразли­вості. Усунення або суттєве послаблення уразливостей впливає на можливість реалізації загроз безпеці інформації.

Для зручності аналізу уразливості поділені на класи (поз­начаються заголовними літерами), групи (позначаються римсь­кими цифрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, випадковими (рис. 7.4).

Об'єктивні уразливості залежать від особливостей побудо­ви та технічних характеристик обладнання, що застосовується на об'єкті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженер­но-технічними методами відбивання загроз безпеці інформації.

Суб'єктивні уразливості залежать від дій співробітників і в основному усуваються організаційними та програмно-апарат­ними методами.

Випадкові уразливості залежать від особливостей середови-Ща, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе

289

Розділ 7. Основи безпеки інформаційних ресурсів

т ільки при проведення комплексу організаційних та інженерно-технічних заходів із протидії загрозам інформаційній безпеці.

7.1.7. Ранжирування уразливостей

Усі уразливості мають різну міру небезпеки (K_dan)f, яку мож­на кількісно оцінити на основі ранжирування. При цьому кри­теріями порівняння (показниками) можна вибрати:

• фатальність (К_})р що визначає міру впливу уразливості на непереборність наслідків реалізації загрози. Для об'єктивних уразливостей — це інформативність, тобтЬ здатність уразли­ вості повністю (без спотворення) передати корисний інфор­ маційний сигнал;

• доступність (К₂)р що визначає зручність (можливість) вико­ ристання уразливості джерелом загроз (масогабаритні роз­ міри, складність, вартість необхідних засобів, можливість ви­ користання неспеціалізованої апаратури);

• кількість (К₃)й що визначає кількість елементів об'єкта, для яких характерна та чи інша уразливість.

O^dan)/ Д^ля окремої уразливості можна визначити як відно­шення добутку приведених вище показників до максимального значення (125):

(K_dan)_f=(K,K₂K,)/l25.

Кожний показник оцінюється експертно-аналітичним ме­тодом за п'ятибальною системою. Причому 1 відповідає міні­мальній мірі впливу оцінюваного показника на небезпеку вико­ристання уразливості, а 5 — максимальній.

Для підгрупи уразливостей m(K_dan)f визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі.

Для зручності аналізу i(K_dan)j для групи нормується віднос­но сукупності всіх коефіцієнтів підгруп у своєму класі, a K(K_dan)j Для класу визначається як сукупність коефіцієнтів підгруп класу нормованих відносно всієї сукупності коефіцієнтів підгруп.

Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводяться в таблицю.

291

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

7 .1.8. Класифікація актуальних загроз

При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу цієї чи іншої загрози, характерні джерела цих загроз і уразли­вості, що сприяють реалізації загроз.

Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі на­слідки реалізації загроз (атаки) та обчислюється коефіцієнт не­безпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому перед­бачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися із-за малої ймовірності їх здійснення на об'єкті захисту.

Така матриця складається окремо для кожної загрози. І вже після виявлення найбільш актуальних загроз вживаються заходи з вибору методів і засобів для відбивання.

7.2. ОСНОВНІ НАПРЯМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ ТА ІНФОРМАЦІЙНИХ РЕСУРСІВ

7.2.1. Основні визначення

Напрями забезпечення безпеки інформації — це норма­тивно-правові категорії, орієнтовані на забезпечення комплекс­ного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або організації, на рівні окремої особистості.

З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації [80]:

• правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;

• організаційний захист — це регламентація виробничої діяль­ ності та взаємовідносин виконавців на нормативно-правовій

292

Розділ 7. Основи безпеки інформаційних ресурсів

о снові, яка виключає або послаблює нанесення будь-яких збитків виконавцям;

• інженерно-технічний захист — це використання різноманіт­них технічних засобів, що перешкоджають нанесенню збит­ків.

Крім того, заходи захисту, орієнтовані на забезпечення безпе­ки інформації, можуть бути охарактеризовані цілим рядом пара­метрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоп­лення та масштабність.

Так, за характером загроз заходи захисту орієнтовані на за­хист інформації від розголошення, витоку та несанкціоновано­го доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як об'єктовий, груповий або індивідуальний захист.

7.2.2. Правовий захист

Поняття права визначається як сукупність загальнообов'яз­кових правил і норм поведінки, що встановлені або санкціоно­вані державою, відносно до певних сфер життя та діяльності де­ржавних органів, підприємств (організацій) та населення (окре­мої особистості).

Правовий захист інформації як ресурсу признаний на між­державному, державному рівні та визначається міждержавними Договорами, конвенціями, деклараціями та реалізується патента­ми, авторським правом та ліцензіями на їхній захист. На держав­ному рівні правовий захист регулюється державними та відом­чими актами (рис. 7.5).

У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, Кримінальне право, викладене у відповідних кодексах. Що сто­сується відомчих нормативних актів, то вони визначаються на-

293

Розділ 7. Основи безпеки інформаційних ресурсів

к азами, керівництвами, положеннями та інструкціями, які вида­ються відомствами, організаціями та підприємствами, що діють у межах певних структур.

Сучасні умови вимагають і визначають необхідність комплек­сного підходу до формування законодавства із захисту інформа­ції, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.

Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне зако­нодавство, основні загальні закони, закони з організації держав­ної системи управління, спеціальні закони, відвмчі правові акти і т.ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.

Конституційне законодавство. Норми, що стосуються пи­тань інформатизації та захисту інформації, входять до нього як складові елементи.

Загальні закони, кодекси (про власність, про надра, про пра­ва громадян, про громадянство, про податки, про антимонополь-ну діяльність і т.ін.), які включають норми з питань інформатиза­ції та інформаційної безпеки.

Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питан­нями інформаційного забезпечення та захисту інформації конк­ретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що становить загальнодержавний інтерес.

Спеціальні закони, які належать до конкретних сфер відно­син, галузей господарства, процесів. До їхнього числа входять Закони України «Про інформацію», «Про захист інформації в ав­томатизованих системах» і т.ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.

295

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Ш дзаконні нормативні акти із захисту інформації.

Правоохоронне законодавство України, яке містить нор­ми про відповідальність за правопорушення у сфері інформати­зації.

Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особли­ве місце посідають Закони «Про інформацію» та «Про захист ін­формації в автоматизованих системах», які закладають основи правового визначення всіх найважливіших компонентів інфор­маційної діяльності [31,32]:

• інформації та інформаційних систем;

• суб'єктів — учасників інформаційних процесів;

• правовідносин виробників та споживачів інформаційної продукції;

• власників (джерел) інформації — оброблювачів та спожива­ чів наоснові відносин власності при забезпеченні гарантій інтересів громадян та держави.

Ці закони також визначають основи захисту інформації у сис­темах оброблення і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з органі­зації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцен­зування, сертифікації, експертизи, а також загальні принципи за­хисту та гарантій прав учасників інформаційного процесу.

Питання правового режиму інформації з обмеженим досту­пом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.

Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем становить ієрархічну систему від Конституції України до функ­ціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягає охороні, і заходи відповідальності за їх розголошення.

Одним із нових напрямків правового захисту є страхове за­безпечення. Воно призначене для захисту власної інформації та засобів її оброблення як від традиційних загроз (крадіжки,

296

Розділ 7. Основи безпеки інформаційних ресурсів

с тихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несан­кціонований доступ до конфіденційної інформації.

Метою страхування є забезпечення страхового захисту фі­зичних та юридичних від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями зі сторони конкурентів та зло­вмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.

Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами [78,63]:

ТР ЕОТ-95 «Тимчасові рекомендації з технічного захисту ін­формації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромаг­нітних випромінювань і наводок»;

ПЕМВН-95 «Тимчасові рекомендації з технічного захисту ін­формації від витоку каналами побічних електромагнітних вип­ромінювань і наводок».

Дії із захисту інформації від несанкціонованого доступу рег­ламентують [32,49, 50, 51, 52, 53]:

Закон України «Про захист інформації в автоматизованих системах»;

нормативні документи системи технічного захисту інформа­ції в комп'ютерних (автоматизованих системах) від несанкціоно­ваного доступу і т.ін.

Правовими документами є й державні та міждержавні стан­дарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема [11,12, 13,26,27,28]:

• ДСТУ 3396.0-96. Захист інформації. Технічний захист інфор­ мації. Основні положення;

• ДСТУ 3396.1-96. Захист інформації. Технічний захист інфор­ мації. Порядок проведення робіт;

• ДСТУ 3396.2-97. Захист інформації. Технічний захист інфор­ мації. Терміни та визначення;

297

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• Г ОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преоб­ разования;

• ГОСТ 34.310-95. Информационная технология. Криптог- рафичеекая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асиммет­ рического криптографического алгоритма;

• ГОСТ 34.311-95 Информационная технология. Криптографическая защита информации. Функция хеши­ рования. Опираючись на державні правові акти та, враховуючи відомчі інтереси на рівні конкретного підприємства (фірми, ор­ ганізації), розроблюються власні нормативно-правові докумен­ ти, орієнтовані на забезпечення інформаційної безпеки. До таких документів відносяться [75,80]:

• Положення про збереження конфіденційної інформації;

• Перелік відомостей, які складають конфіденційну інформа­ цію;

• Інструкція про порядок допуску співробітників до відомос­ тей, які складають конфіденційну інформацію;

• Положення про спеціальне діловодство та документообіг;

• Перелік відомостей, які дозволені до опублікування у відкри­ тому друці;

• Положення про роботу з іноземними фірмами та їхніми представниками;

• Зобов'язання співробітника про збереження конфіденційної інформації;

• Пам'ятка співробітнику про збереження комерційної таєм­ ниці.

Указані нормативні акти спрямовані на попередження ви­падків неправомірного оголошення (розголошення) секретів на правовій основі — у разі їх порушення повинні вживатися від­повідні заходи впливу.

Залежно від характеру інформації, її доступності для зацікав­лених споживачів, а також економічної доцільності конкретних захисних заходів можуть бути вибрані наступні форми захисту інформації:

298

Розділ 7. Основи безпеки інформаційних ресурсів

• п атентування;

• авторське право;

• признання відомостей конфіденційними;

• товарні знаки;

• застосування норм зобов 'язувального права.

Існує певна різниця між авторським правом та комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця стосується безпосередньо змісту. Ав­торське право захищає від копіювання незалежно від конфіден­ційних відносин із власником. До авторського права вдаються при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що порівняно з патен­том та авторським правом комерційна та виробнича таємниці є найбільш зручними, надійними та гнучкими формами захисту інформації.

Окрім вищевикладених форм правового захисту та права на­лежності інформації, широко застосовується офіційна передача права на користування нею у вигляді ліцензії.

Ліцензія [license] (від лат. licentia — свобода, право) — це дозвіл, виданий державою на проведення деяких видів госпо­дарської діяльності, включаючи зовнішньоторговельні опера­ції (ввезення та вивезення) та надання права використовувати захищені патентами винаходи, технологи, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів.

Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, пов'язані з виробництвом, техноло­гією, управлінням, фінансами та іншою діяльністю, розголошен­ня, витік не несанкціонований доступ до якої може призвести до збитків їхнім власникам.

До комерційної таємниці не належать:

• відомості, що охороняються державою;

• відомості, які є загальновідомими на законній підставі;

• відомості про негативні сторони діяльності;

• установчі документи та відомості про господарську діяль­ ність.

299

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

С творюючи систему інформаційної безпеки, необхідно чіт­ко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієн­та, конкурента та посадової особи будуть просто безпідставними.

Якщо перелік відомостей конфіденційного характеру не до­ведений своєчасно до кожного співробітника (природно, якщо від допущений до виконання посадових обов'язків) у письмово­му вигляді, то співробітник, який викрав важливу інформацію при порушенні встановленого порядку роботи з нею, скоріше за все буде не покараним.

Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації) відображають­ся у сукупності установчих, організаційних та функціональних документів.

Вимоги забезпечення безпеки та захисту інформації відобра­жаються у Статуті (установчому договорі) у вигляді наступних положень:

• підприємство має право визначати склад, обсяги та порядок захисту конфіденційних відомостей, вимагати від своїх спів­ робітників забезпечення їх збереження та захисту від внут­ рішніх та зовнішніх загроз;

• підприємство зобов'язане забезпечувати збереження конфі­ денційної інформації.

Такі вимоги дають адміністрації підприємства наступні права:

• створювати організаційні структури із захисту конфіденцій­ ної інформації;

• видавати нормативні та розпорядчі документи, які визнача­ ють порядок виділення відомостей конфіденційного характе­ ру та механізми їхнього захисту;

• включати вимоги із захисту інформації в угоди з усіх видів господарської діяльності;

• вимагати захисту інтересів підприємства з боку державних та судових інстанцій;

• розпоряджатися інформацією, що є власністю підприємства, з метою вигоди та недопущення економічних збитків колек­ тиву підприємства та власникові засобів виробництва;

300

Розділ 7. Основи безпеки інформаційних ресурсів

• розробляти «Перелік відомостей конфіденційної інформа­ ції». \

Вимоги правового забезпечення захисту інформації передба­чаються у колективному договорі. Колективний договір повинен містити наступні вимоги.

Розділ «Предмет договору».

Адміністрація підприємства (у тому числі й адміністрація са­мостійних підрозділів) зобов'язується забезпечити розробку та здійснення заходів із визначення та захисту конфіденційної ін­формації.

Трудовий колектив приймає на себе зобов'язання з дотри­мання встановлених на підприємстві вимог із захисту конфіден­ційної інформації.

Адміністрація зобов'язана враховувати вимоги захисту кон­фіденційної інформації у правилах внутрішнього розпорядку.

Розділ «Кадри. Забезпечення дисципліни праці».

Адміністрація зобов'язується:

• порушників вимог із захисту комерційної таємниці притяга­ ти до адміністративної та кримінальної відповідальності від­ повідно до чинного законодавства.

Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити наступними вимогами

Розділ «Порядок приймання та звільнення робітників та службовців».

При прийманні робітника або службовця на роботу або пере­веденні його в установленому порядку на іншу роботу, зв'язану з конфіденційною інформацією підприємства, а також при звіль­ненні його з роботи адміністрація зобов'язана проінструктувати робітника або службовця з правил збереження комерційної таєм­ниці з оформленням письмового зобов'язання про її нерозголо-шення.

Адміністрація підприємства вправі приймати рішення про відсторонення від робіт осіб, які порушують встановлені вимоги із захисту конфіденційної інформації.

301

ЧастинаІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Р озділ «Основні обов'язки робітників та службовців».

Робітники та службовці зобов'язані дотримуватися вимог нормативних документів із захисту конфіденційної інформації на підприємстві.

Розділ «Основні обов'язки адміністрації».

Адміністрація підприємства, керівники підрозділів зобов'я­зані:

• забезпечувати збереження конфіденційної інформації, пос­ тійно здійснювати організаторську роботу та виховально- профілактичну роботу, спрямовану на захист секретів під­ приємства;

• включати в посадові інструкції та положення обов'язки із зберігання конфіденційної інформації;

• неухильно виконувати вимоги Статуту, колективного дого­ вору, трудових договорів, правил внутрішнього розпорядку та інших організаційних та господарських документів у час­ тині забезпечення економічної та інформаційної безпеки. Обов'язки конкретного співробітника, робітника або служ­ бовця стосовно захисту інформації обов'язково повинні бути обмовлені в трудовому договорі (контракті). Відповідно до КЗпП при укладанні трудового договору працівник зобов'язується ви­ конувати певні вимоги, які діють на даному підприємстві. Не­ залежно від форми укладання договору (усного чи письмового) підпис працівника на наказі про приймання на роботу підтверд­ жує його згоду з умовами договору.

Вимоги із захисту конфіденційної інформації можуть бути об­мовлені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги із захисту інформації, які випливають із нормативно-правових до­кументів підприємства. При укладанні трудового договору та офор­млення наказу про приймання на роботу нового співробітника ро­биться відмітка про поінформованість його з порядком захисту ін­формації підприємства. Це створює необхідний елемент залучення даної особи в механізм забезпечення інформаційної безпеки.

Не слід думати, що після підписання такої угоди з новим спів­робітником таємниця буде збережена. Це тільки попередження

302

Розділ 7. Основи безпеки інформаційних ресурсів

с півробітникові, що в справу вступають система заходів із за­хисту інформації, і правова основа до того, щоб припинити його невірні або протиправні дії. Подальше завдання — не допустити втрати комерційних секретів.

Реалізація правових норм і актів, орієнтованих на захист інформації на організаційному рівні, опирається на ті чи інші організаційно-правові норми, до числа яких відносяться дотри­мання конфіденційності робіт та дій, договори (угоди) та різно­манітні форми зобов'язувального права.

Конфіденційність [confidentiality, privacy] (від лат. confidentia — довір'я) у даному випадку — це форма поводжен­ня з відомостями, які складають комерційну таємницю, на основі організаційних заходів, які виключають неправомірне оволодін­ня такими відомостями.

Договір — це угода сторін (двох або більше осіб) про вста­новлення, зміну або припинення взаємних зобов'язань.

Зобов'язання — цивільні правовідносини, у силу яких одна сторона (боржник) зобов'язана здійснювати на користь іншої певні дії.

Правове регулювання необхідне для вдосконалення механіз­му попередження протиправних дій відносно до інформаційних ресурсів, для уточнення та закріплення завдань та правомочності окремих суб'єктів у сфері попереджувальної діяльності, охорони прав та законних інтересів громадян та організації. 'j Правові заходи забезпечення безпеки та захисту інформації є основою порядку діяльності та поведінки співробітників підпри­ємства та визначають міру їхньої відповідальності за порушення встановлених норм.

7.2.3. Організаційний захист

Загальні положення організаційного захисту

Організаційний захист — це регламентація виробничої ді­яльності та взаємовідносин виконавців на нормативній основі, Що виключає або суттєво ускладнює неправомірне оволодіння

303

конфіденційною інформацією та прояву внутрішніх та зовніш­ніх загроз (рис. 7.6)

Розділ 7. Основи безпеки інформаційних ресурсів

О рганізаційних захист забезпечує:

• організацію режиму, охорони, роботу з кадрами, докумен­ тами;

• використання технічних засобів безпеки та інформаційно- аналітичну діяльність із виявлення внутрішніх і зовнішніх загроз діяльності підприємства (організації). Організаційні заходи відіграють суттєву роль у створенні

надійного механізму захисту інформації, бо можливості несанк­ціонованого використання конфіденційних відомостей у значній мірі обумовлюються не те технічними аспектами, а зловмисними діями та недбалістю користувачів або персоналу. Впливу цих ас­пектів практично неможливо запобігти за допомогою технічних заходів. Для цього необхідна сукупність організаційно-правових і організаційно-технічних заходів, які вилключали б (або зводи­ли до мінімуму) можливість виникнення небезпеки конфіден­ційності інформації.

До основних організаційних заходів звичайно відносять на­ступні.

Організація режиму та охорони. їх мета:

• виключення можливості таємного проникнення на тери­ торію та у приміщення сторонніх осіб;

• забезпечення зручності проходу та переміщення співробіт­ ників і відвідувачів;

• створення окремих виробничих зон за типом конфіденцій­ них робіт із самостійними системами доступу;

,■• контроль та дотримання часового режиму праці і перебуван­ня на території персоналу підприємства;

• організація та підтримка надійного пропускного режиму та

контролю співробітників і відвідувачів і т.ін.

Організація роботи із співробітниками, яка передбачає під­бір і розстановку персоналу, включаючи ознайомлення із спів­робітниками, їх вивчення, навчання правилам роботи з конфі­денційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації.

305

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

О рганізація роботи з документами та документованою ін­формацією, включаючи організацію розробки та використання документів і носіїв конфіденційної інформації, їх облік, вико­ристання, повернення, зберігання та знищення.

Організація використання технічних засобів збирання, оброблення, нагромадження та зберігання конфіденційної інфор­мації.

Організація роботи з аналізу внутрішніх та зовнішніх за­гроз конфіденційній інформації та розробка заходів із забезпе­чення її захисту.

Організація роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.

У кожному конкретному випадку організаційні заходи мають специфічну для даної організації форму та зміст, які спрямовані на забезпечення безпеки інформації в конкретних умовах.

Особливості організаційного захисту комп'ютерних інформаційних систем та мереж

Організація захисту комп'ютерних інформаційних систем та мереж визначає порядок і схему функціонування основних їхніх підсистем, використання пристроїв та ресурсів, взаємовідноси­ни користувачів між собою відповідно з нормативно-правовими вимогами та правилами. Захист інформації на основі організа­ційних заходів відіграє значну роль у забезпеченні надійності та ефективності, бо несанкціонований доступ та витік інформації найчастіше зумовлені зловмисними діями, недбалістю користу­вачів або персоналу. Ці фактори практично неможливо виклю­чити або локалізувати за допомогою апаратних і програмних за­собів, криптографії та фізичних засобів захисту. Тому сукупність організаційних, організаційно-правових і організаційно-техніч-них заходів, які застосовуються разом із технічними методами, мають за мету виключити, зменшити або повністю усунути збит­ки при дії різноманітних деструктивних факторів.

306

Розділ 7. Основи безпеки інформаційних ресурсів

О рганізаційні засоби захисту комп'ютерних інформаційних систем та мереж найчастіше застосовуються у наступних ви­падках:

• при проектуванні, будівництві та обладнанні приміщень, вузлів мереж та інших об'єктів інформаційної системи для виключення впливу стихійного лиха, можливості недозволе- ного проникнення у приміщення і т.ін.;

• при підборі та підготовці персоналу. В цьому випадку перед­ бачаються перевірка осіб, які приймаються на роботу, ство­ рення умов, при яких персонал був би зацікавлений у збе­ реженні інформації, навчання правилам роботи із закритою інформацією, ознайомлення з мірою відповідальності за по­ рушення правил захисту і т.ін.;

• при зберіганні та використанні документів та інших носіїв (маркування, реєстрація, визначення правил видачі та повер­ нення, ведення документації і т.ін.);

• при дотриманні надійного пропускного режиму до технічних засобів комп'ютерних мереж та систем при роботі змінами (призначення відповідальних за захист інформації у змінах, контроль за роботою персоналу, ведення автоматизованих) журналів роботи, знищення встановленим порядком закри- тих"виробничих документів) ;

• при внесенні змін у програмне забезпечення (суворе санкціо­ нування, розгляд та затвердження проектів змін, перевірка їх на задоволення вимог захисту, документальне оформлення змін і т.ін.);

• при підготовці та контролі роботи користувачів.

Служба захисту інформації

Одним із найважливіших організаційних заходів є створення спеціальних штатних служб захисту інформації у закритих ін­формаційних системах у вигляді адміністратора безпеки мережі та адміністратора безпеки розподілених баз та банків даних, які Містять відомості конфіденційного характеру.

307

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

Ц ілком очевидно, що організаційні заходи повинні чітко пла­нуватися, спрямовуватися та здійснюватися певною організацій­ною структурою, певним спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фах­івцями з безпеки діяльності та захисту інформації.

Найчастіше таким структурним підрозділом є служба безпе­ки підприємства (фірми, організації), на яку покладаються на­ступні функції:

• організація та забезпечення охорони персоналу, матеріаль­ них та фінансових цінностей та захисту конфіденційної ін­ формації;

• забезпечення пропускного та внутрішньооб'єктового режи­ му на території, в будівлях та приміщеннях, контроль дотри­ мання вимог режиму співробітниками, суміжниками, парт­ нерами та відвідувачами;

• керівництво роботами з правового та організаційного регу­ лювання відносин із захисту інформації;

• участь у розробці основоположних документів із метою за­ кріплення в них вимог забезпечення безпеки та захисту ін­ формації, а також положень про підрозділи, трудові договори, угоди, підряди, посадові інструкції та обов'язки керівництва, спеціалістів, робітників та службовців;

• розробка та здійснення разом з іншими підрозділами заходів із забезпечення роботи з документами, що містять конфіден­ ційні відомості; при всіх видах робіт організація та контроль виконання вимог «Інструкції із захисту конфіденційної ін­ формації»;

• вивчення усіх сторін виробничої, комерційної, фінансової та іншої діяльності для виявлення та наступної протидії будь- яким спробам нанесення збитків, ведення обліку та аналіз порушень режиму безпеки, накопичення та аналіз даних про зловмисні устремління конкурентної та інших організа­ цій, про діяльність підприємства та його клієнтів, партнерів, суміжників;

• розробка, ведення, оновлення та поповнення «Переліку відо­ мостей, що мають конфіденційний характер» та інших нор-

308

Розділ 7. Основи безпеки інформаційних ресурсів

м ативних актів, які регламентують порядок забезпечення та захисту інформації;

• забезпечення суворого виконання вимог нормативних актів із забезпечення виробничих секретів підприємства;

• здійснення керівництва службами та підрозділами безпеки підвідомчих підприємств, організацій, закладів та іншими структурами в частині обговорених у договорах умовах із за­ хисту інформації;

• організація та регулярне проведення обліку співробітників підприємства та служби безпеки з усіх напрямів захисту ін­ формації та забезпечення безпеки виробничої діяльності;

• ведення обліку та суворого контролю виділених для конфі­ денційної роботи приміщень, технічних засобів у них, що ма­ ють потенційні канали витоку інформації та канали проник­ нення до джерел інформації, які знаходяться під охороною;

• забезпечення проведення всіх необхідних заходів із припи­ нення спроб нанесення моральних та матеріальних збитків із сторони внутрішніх та зовнішніх загроз;

• підтримка контактів із правоохоронними органами та служ­ бами безпеки сусідніх підприємств для вивчення криміноген­ ної обстановки в районі (зоні) та надання взаємної допомоги в кризових ситуаціях.

Служба безпеки є самостійною організаційною одиницею підприємства, що підпорядковується безпосередньо керівникові підприємства. Очолює службу безпеки начальник служби безпе­ки у посаді заступника керівника підприємства з безпеки.

Організаційно служба безпеки може складатися з наступних структурних одиниць:

• підрозділу режиму та охорони;

• спеціального підрозділу з оброблення документів конфіден­ ційного характеру;

• інженерно-технічних підрозділів;

• інформаційно-аналітичних підрозділів.

У такому складі служба безпеки здатна забезпечити захист конфіденційної інформації від будь-яких загроз.

309

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

Н а служби безпеки покладаються наступні завдання: визначення кола осіб, які відповідно до положення, яке вони займають на підприємстві, прямо чи непрямо мають доступ до відомостей конфіденційного характеру; визначення ділянок зосередження конфіденційних відомос­тей;

визначення кола сторонніх підприємств, зв'язаних із даним підприємством кооперативними зв'язками, на яких у силу виробничих відносин можливий вихід з-під контролю відо­мостей конфіденційного характеру;

виявлення кола осіб, які недопущені до конфіденційної ін­формації, але проявляють підвищений інтерес до таких відо­мостей;

виявлення кола підприємств, у тому числі іноземних, що за­цікавлені у доступі до відомостей, які охороняються, з метою нанесення економічних збитків даному підприємству, усу­нення економічного конкурента або його компрометації; розробка системи захисту документів, що містять відомості економічного характеру;

визначення на підприємстві ділянок, уразливих в аварійно­му відношенні, вихід із ладу яких може нанести матеріальні збитки підприємству та зірвати поставки готової продукції або комплектуючих підприємствам, пов'язаних із ним коопе­рацією;

визначення на підприємстві технологічного обладнання, вихід (або виведення) якого з ладу може призвести до вели­ких економічних утрат;

визначення уразливих місць у технології виробничого цик­лу, несанкціонована зміна, в якій може призвести до втрати якості продукції та нанести матеріальні або моральні збитки підприємству (втрата конкурентоздатності); визначення на підприємстві місць, несанкціоноване відвіду­вання яких може призвести до вилучення (викрадення) гото­вої продукції або півфабрикатів, заготівок і тощо та організа­ція їхнього фізичного захисту;

310

Розділ 7. Основи безпеки інформаційних ресурсів

• в изначення та обґрунтування заходів правового, організа­ ційного та інженєрно-фізичного захисту підприємства, пер­ соналу, продукції та інформації;

• розробка необхідних заходів, спрямованих на вдосконалення системи економічної, соціальної та інформаційної безпеки;

• впровадження в діяльність підприємства новітніх досягнень науки та техніки, передового досвіду в галузі забезпечення економічної та інформаційної безпеки;

• організація навчання співробітників служби безпеки від­ повідно до їх функціональних обов'язків;

• вивчення, аналіз та оцінка стану забезпечення економічної та інформаційної безпеки підприємства та розробка пропози­ цій та рекомендацій для його вдосконалення;

• розробка техніко-економічних обґрунтувань, спрямованих на придбання технічних засобів, одержання консультації у спеціалістів, розробку необхідної документації з метою удосконалення системи заходів із забезпечення економічної та інформаційної безпеки.

Організаційні заходи є вирішальною ланкою формування й реалізації комплексного захисту інформації та створення систе­ми безпеки підприємства.

7.2.4. Інженерно-технічний захист

І Загальні положення інженерно-технічного захисту

'; Інженерно-технічний захист — це сукупність спеціальних Ьрганів, технічних засобів та заходів для їхнього використання в інтересах захисту конфіденційної інформації (рис. 7.7). Основ­не завдання інженерно-технічного захисту — це попереджен­ня розголошення, витоку, несанкціонованого доступу та інших форм незаконного втручання в інформаційні ресурси.

Різноманітність цілей, завдань, об'єктів захисту та заходів, що Проводяться, передбачають розгляд деякої системи класифікації засобів інженерно-технічного захисту за видом, орієнтацією та іншими характеристиками.

311

Розділ 7. Основи безпеки інформаційних ресурсів

Н априклад, засоби інженерно-технічного захисту можна кла­сифікувати за об'єктами впливу, характером заходів, способами реалізації, масштабом охоплення, класом засобів зловмисників, яким здійснюється протидія зі сторони служби безпеки.

За функціональним призначенням засоби інженерно-техніч­ного захисту поділяються на наступні групи: фізичні засоби за­хисту, апаратні засоби захисту, програмні засоби захисту, крип­тографічні засоби захисту.

Фізичні засоби включають різноманітні пристрої та споруди, які перешкоджають фізичному проникненню (або доступу) зло­вмисників на об'єкти захисту та матеріальних носіїв конфіден­ційної інформації та здійснюють захист персоналу, матеріальних носіїв, фінансів та інформації від протиправних дій.

До апаратних засобів належать прилади, пристрої та інші технічні рішення, які використовуються в інтересах захисту ін­формації. Основне завдання апаратних засобів — забезпечення стійкого захисту від розголошення, витоку і несанкціонованого доступу через технічні засоби забезпечення діяльності організа­ції (підприємства).

Програмні засоби охоплюють спеціальні програми, програмні комплекси та системи захисту інформації в інформаційних сис­темах різноманітного призначення та засобах обробки (збиран­ня, нагромадження, зберігання, оброблення та передачі) даних.

Криптографічні засоби — це спеціальні математичні та алго­ритмічні засоби захисту інформації, що передається системами та мережами зв'язку, зберігається та обробляється на ЕОМ із ви­користанням різноманітних методів шифрування.

Апаратні методи та засоби захисту достатньо поширені. Про­те із-за того, що вони не мають достатньої гнучкості, часто втра­чають свої захисні властивості при розкритті принципу їхньої дії і в подальшому не можуть бути використані.

Програмні методи та засоби більш надійні, період їхнього га­рантованого використання значно більший, ніж апаратних ме­тодів та засобів.

313

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

К риптографічні методи та засоби посідають важливе місце і є надійним засобом забезпечення захисту інформації на тривалі періоди.

Очевидно, що такий поділ засобів захисту інформації достат­ньо умовний, бо на практиці дуже часто вони взаємодіють і ре­алізуються у вигляді програмно-апаратних засобів із широким використанням алгоритмів закриття інформації.

Фізичні засоби захисту

Фізичні засоби захисту — це різноманітні пристрої, конс­трукції, апарати, вироби, призначені для створення перепон на шляху руху зловмисників.

До фізичних засобів належать механічні, електромеханічні, електронні, електронно-оптичні, радіо- і радіотехнічні та інші пристрої для заборони несанкціонованого доступу (входу, вихо­ду), пронесення (винесення) засобів і матеріалів та інших мож­ливих видів злочинних дій.

Ці засоби застосовуються для вирішення наступних завдань:

• охорона території підприємства на спостереження за нею;

• охорона будівель, внутрішніх приміщень та контроль за ними;

• охорона обладнання, продукції, фінансів та інформації;

• здійснення контрольованого доступу до будівель та при­ міщень.

Усі фізичні засоби захисту об'єктів можна розділити на три категорії: засоби попередження, засоби виявлення та системи ліквідації загроз. Охоронна сигналізація та охоронне телебачен­ня, наприклад, відносяться до засобів виявлення загроз; загорожі навколо об'єктів — це засоби попередження несанкціонованого проникнення на територію, а підсилені двері, стіни, стелі, грати на вікнах та інші заходи служать захистом також і від проник­нення, і від інших злочинних дій (підслуховування, обстрілу, ки­дання гранат і т.ін.). Засоби пожежегасіння належать до систем ліквідації загроз.

У загальному випадку за фізичною природою та функціо­нальним призначенням усі засоби цієї категорії можна поділити на наступні групи:

314

Розділ 7. Основи безпеки інформаційних ресурсів

• о хоронні та охоронно-пожежні системи;

• охоронне телебачення;

• охоронне освітлення;

• засоби фізичного захисту.

Охороні системи та засоби охоронної сигналізації призна­чені для виявлення різноманітних видів загроз: спроб проник­нення на об'єкт захисту, в зони та приміщення, які охороняють­ся, спроб пронесення (винесення) зброї, засобів промислового шпіонажу, викрадення матеріальних та фінансових цінностей та інших дій; оповіщення співробітників охорони або персоналу об'єкта про появу загроз та необхідність підсилення контролю доступу на об'єкт, територію, в будівлі та приміщення.

Найважливішими елементами охоронних систем є датчики, які виявляють появу загрози. Характеристики та принципи ро­боти датчиків визначають основні параметри та практичні мож­ливості охоронних систем.

Уже розроблена та широко використовується значна кіль­кість різноманітних датчиків як за принципами виявлення різ­номанітних фізичних полів, так і за тактичним призначенням.

Ефективність роботи системи охорони та охоронної сиг­налізації в основному визначається параметрами та принципом роботи датчиків. На сьогодні відомі датчики наступних типів: механічні вимикачі, дріт із вимикачем, килимки тиску, метале­ва фольга, дротова сітка, мікрохвильові датчики, ультрахвильові датчики, інфрачервоні датчики, фотоелектричні датчики, акус­тичні датчики, вібраційні датчики, індуктивні датчики, ємнісні датчики іт.ін.

Кожний тип датчика реалізує певний вид захисту: точковий захист, захист по лінії, захист по площі або захист по обсягу. На­приклад, механічні датчики орієнтовані на захист лінії, килим­ки — на точкове виявлення, а інфрачервоні знаходять широке застосування на площі і в обсязі.

Датчики через ці чи інші канали зв'язку з'єднані з контроль­но-приймальним пристроєм пункту (або поста) охорони і за­собів тривожного сповіщення.

Каналами зв'язку в системах охоронної сигналізації можуть бути спеціально прокладені проводові або кабельні лінії, телефон-

315

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

н і лінії об'єкта, лінії зв'язку трансляції, системи оповіщення або радіоканали. Вибір каналів визначається можливостями об'єкта.

Важливим об'єктом охоронної системи є засоби тривожного сповіщення: дзвінки, лампочки, сирени, які подають постійні або перервні сигнали про появу загрози.

За тактичним призначенням охоронні системи поділяються на системи охорони:

• периметрів об'єктів;

• приміщень та проходів до службових та складських буді­ вель;

• сейфів, обладнання, основних та допоміжних технічних за­ собів;

• автотранспорту;

• персоналу, у тому числі й особового складу охорони, і т.ін. До засобів фізичного захисту належать:

• природні та штучні перепони (бар'єри);

• особливі конструкції периметрів, проходів, віконних та двер­ них плетінь, приміщень, сейфів, сховищ і т.ін.;

• зони безпеки.

Природні та штучні бар'єри призначені для протидії не­законному проникненню на територію об'єкта. Проте основне захисне навантаження лягає все-таки на штучні бар'єри — такі як паркани та інші види огорож. Практика показує, що огорожі складної конфігурації здатні затримати зловмисника на достатньо тривалий час. На сьогодні нараховується значний арсенал таких засобів: від простих сітчастих до складних комбінованих огорож, які справляють певний відлякуючий вплив на порушника.

Особливі конструкції периметрів, проходів, віконних сплетінь, приміщень, сейфів, сховищ є обов'язковими з точки зору без­пеки для будь-яких організацій та підприємств. Ці конструкції повинні протистояти будь-яким способам фізичного впливу зі сторони кримінальних елементів:

• механічним деформаціям, руйнуванню свердлінням, терміч­ ному та механічному різанню, і т.ін.;

• несанкціонованому доступу шляхом підробки ключів, відга­ дування коду і т.ін.

316

Розділ 7. Основи безпеки інформаційних ресурсів

О дним із головних технічних засобів захисту проходів, при­міщень, сейфів та сховищ є замки. Вони бувають простими (з ключами) кодовими (у тому числі з часовою затримкою на від­кривання) і з програмним пристроями, що відкривають двері та сейфи в певний час.

Важливим засобом фізичного захисту є планування об'єкта, його будівель та приміщень за зонами безпеки, які враховують міру важливості різних частин об'єкта з точки зору нанесення збитків від різного виду загроз. Оптимальне розташування зон безпеки та розташування в них ефективних технічних засобів виявлення, відбиття та ліквідації наслідків протиправних дій складає основу концепції інженерно-технічного Захисту об'єкта.

Зони безпеки повинні розташовуватися на об'єкті послідов-, но, від огорожі навкруг території об'єкта до сховищ цінностей, створюючи ланцюг перешкод (рубежів), які доведеться долати зловмисникові. Від складності та надійності перепони на його шляху залежить відрізок часу, необхідного на подолання кожної зони, та ймовірність того, що розташовані в кожній зоні засоби виявлення (охороні пости, охоронна сигналізація та охоронне телебачення) виявлять наявність порушника та подадуть сигнал тривоги.

Основу планування та обладнання зон безпеки об'єкта ста­новить принцип рівноміцності границь зон безпеки. Сумарна міцність зон безпеки буде оцінюватися найменшою з них.

Охоронне телебачення є одним із поширених засобів охоро­ни. Особливістю охоронного телебачення є можливість не тільки відзначити порушення режиму охорони об'єкта, але й контро­лювати обстановку навкруги нього в динаміці її розвитку, визна­чати небезпеку дій, вести приховане спостереження та здійсню­вати відеозапис для наступного аналізу правопорушення як із метою вивчення, так і з метою притягнення до відповідальності порушника.

Джерелами зображення (датчиками) в системах охоронного телебачення є відеокамери. Через об'єктив зображення зловмис­ника попадає на світлочутливий елемент камери, в якому воно перетворюється в електричний сигнал, який подається спеціаль-

317

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

н им коаксіальним кабелем на монітор і при необхідності — на відеомагнітофон.

Відеокамера є центральним елементом системи охоронного телебачення, так як від її характеристик залежить ефективність та результативність всієї системи контролю та спостереження. На сьогоднішній день розроблені та випускаються найрізно­манітніші моделі, які відрізняються як за конструкцією та габа­ритами, так і за можливостями.

Другим за значення елементом системи охоронного телеба­чення є монітор. Він повинен підходити за параметрами з віде-окамерою. Часто використовують один монітор із декількома камерами, які приєднуються до нього почергово засобами авто­матичного переключання за певним регламентом.

У деяких системах телевізійного спостереження перед­бачається автоматичне приєднання камери, в зоні огляду якої виникло порушення. Використовується й більш складне облад­нання, яке включає засоби автоматизації, пристрої одночасного виведення декількох зображень, детектори руху для подавання сигналу тривоги при виявленні будь-яких змін у зображенні.

Обов'язковою складовою частиною системи захисту будь-якого об'єкта є охоронне освітлення. Розрізняють два види охо­ронного освітлення — чергове та тривожне.

Чергове освітлення призначається для постійного вико­ристання у неробочий час, у вечірній та нічний час як на тери­торії об'єкта, так і всередині будівлі.

Тривожне освітлення вмикається при надходженні сигналу тривоги від засобів охоронної сигналізації. Окрім того, за сиг­налом тривоги на додаток до освітлення можуть включатися і звукові прилади (дзвінки, сирени і т.ін.).

Сигналізація та чергове освітлення повинні мати резервне електроживлення на випадок аварії або вимкненні електроме­режі.

В останні роки велика увага приділяється створенню систем фізичного захисту, сполучених із системами сигналізації. Так, відома електронна система сигналізації для використання з дро­товим загородженням. Система складається з електронних дат-

318

Розділ 7. Основи безпеки інформаційних ресурсів

ч иків та мікропроцесора, який керує блоком оброблення даних. Загородження довжиною до 100 м може встановлюватися на від­критій місцевості або розташовуватися на стінах, горищах та на наявних огорожах.

Стійкі до впливу навколишнього середовища датчики мон­туються на стійках, кронштейнах. Дротове загородження скла­дається з 32 горизонтально натягнутих стальних ниток, у серед­ній частині коленої з яких кріпиться електромеханічний датчик, який перетворює зміну натягу ниток в електричний сигнал.

Перевищення граничної величини напруги, яке програмуєть­ся за амплітудою для коленного датчика окремо.» викликає сигнал тривоги. Зв'язок системи з центральним пунктом управління та контролю здійснюється за допомогою мультиплексора. Мікро­процесор автоматично через певні інтервали часу перевіряє ро­боту компонентів апаратури та програмних засобів і — у випад­ку встановлення відхилень — подає відповідний сигнал.

Подібні і ряд інших аналогічних систем фізичного захисту можуть використовуватися для захисту об'єктів по периметру з метою виявлення вторгнення на територію об'єкта.

Використовуються системи з двох волоконно-оптичних ка­белів, по яких передаються кодовані сигнали інфрачервоного діа­пазону. Якщо в сітці нема пошкоджень, то сигнали поступають на приймальний пристрій без спотворень. Спроби пошкодження сітки призводить до обривів або деформації кабелів, що викли­кає сигнал тривоги. Оптичні системи відрізняються низьким рівнем помилкових тривог, викликаних впливом на неї дрібних тварин, птахів, зміною погодних умов та високою ймовірністю виявлення спроб вторгнення.

Наступним видом фізичного захисту є захист елементів буді­вель та приміщень. Прийнятний фізичний захист віконних про­різів приміщень забезпечують традиційні металеві решітки, а та­кож спеціальне оскляніння на основі пластичних мас, армованих стальним дротом. Двері та вікна приміщення, що охороняється, обладнують датчиками, що спрацьовують при руйнуванні скла, дверей, але не реагують на їхні коливання, викликані іншими причинами. Спрацьовування датчиків викликає сигнал тривоги.

319

Частина 11. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

С еред засобів фізичного захисту особливо слід відзначити засоби захисту ПЕОМ від викрадення та проникнення до їхніх внутрішніх компонентів. Для цього використовуються металеві конструкції з клейкою підставкою, яка забезпечує зчеплення з поверхнею столу з силою 250-2700 кг/см. Це виключає вилучення або переміщення ПЕОМ без порушення цілісності поверхні сто­лу. Переміщення ПЕОМ можливе тільки з використанням спе­ціальних ключів та інструментів.

Замикаючі пристрої та спеціальні шафи посідають особливе місце в системах обмеження доступу, оскільки вони несуть у собі ознаки як системи фізичного захисту, так і пристроїв контролю доступу. Вони надзвичайно різноманітні та призначені для за­хисту документів, матеріалів, магнітних носіїв, фотоноспв і на­віть технічних засобів: ПЕОМ, принтерів, ксероксів і т.ін.

Випускаються спеціальні металеві шафи для зберігання ПЕОМ та іншої техніки. Такі шафи забезпечуються надійною подвійною системою замикання: замком ключового типу та ком­бінованим на 3-5 комбінацій. Можуть застосовуватися також за­мки з програмованим часом відкривання за допомогою механіч­ного або електронного годинника.

Системи контролю доступу. Регулювання доступу в при­міщення здійснюється насамперед через упізнавання (автен-тифікацію) службою охорони або технічними засобами.

Контрольований доступ передбачає обмеження кола осіб, які допускаються в певні захищені зони, будівлі, приміщення, і кон­троль за переміщенням цих осіб у середині них.

Основою для допуску служить певний метод для впізнаван­ня і порівняння з еталонними параметрами системи. Існує вель­ми широкий спектр методів упізнавання уповноважених осіб на право їхнього доступу в приміщення, будівлі, зони.

На основі впізнавання приймається рішення про допуск осіб, які мають на це право, або заборону — для тих, хто не має цьо­го права. Найбільш поширені атрибутні та персональні методи впізнавання.

До атрибутних засобів належать засоби підтвердження пов­новажень, такі, зокрема, як документи (паспорт, посвідчення

320

Розділ 7. Основи безпеки інформаційних ресурсів

і т.ін.). картки (фотокартки, картки з магнітними, електричними, механічними ідентифікаторами і т.ін.) та інші засоби (ключі, сиг­нальні елементи і т.ін.). Слід відзначити, що ці засоби в значній мірі піддаються різного виду підробкам та шахрайству.

Персональні методи — це методи визначення особи за її не­залежними показниками: відбитками пальців, геометрією рук, особливостями очей і т.ін. Персональні характеристики бувають статичні та динамічні. До останніх належать пульс, тиск, кар­діограми, мова, почерк і т.ін.

Персональні способи є найбільш привабливими. По-перше, вони повно описують кожну окрему людину. По-друге, неможли­во або вкрай важко підробити індивідуальні характеристики.

Статичні способи включають аналіз фізичних характерис­тик — таких, як відбитки пальців, особливості геометри рук і т.ін. Вони достатньо достовірні та мають малу ймовірність помилок.

Динамічні ж способи використовують характеристики, що змінюються у часі.

Характеристики, які залежать від звичок та навичок, є не тіль­ки найбільш простими для підробки, але й найбільш дешевими з точки зору практичної реалізації.

Способи впізнавання, засновані на будь-чому, що запам'я­товується (код, пароль і т.ін.), можуть застосовуватися у випад­ках найбільш низьких вимог до безпеки, бо часто ця інформація записується користувачами на різноманітних папірцях, в запис­них книжках та інших носіях, що при їх доступності іншим може звести нанівець усі зусилля з безпеки. Крім того, існує реальна можливість підглянути, підслухати або одержати цю інформацію іншим шляхом (насильство, викрадення і т.ін.).

Спосіб упізнавання людиною (вахтер, вартовий) не завжди надійний із-за так званого «людського фактору», який полягає в тому, що людина піддається впливові багатьох зовнішніх умов (утома, погане самопочуття, емоційний стрес, підкуп і т.ін.). На противагу цьому знаходять широке застосування технічні засо­би упізнавання, наприклад, ідентифікаційні картки, впізнавання за голосом, почерком, відбитками пальців і т.ін.

Найпростіший та найбільш поширений метод ідентифікації використовує різноманітні картки, на яких розташовується ко-

321

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЩЙНШЕХНОЛОПЙ

д ована або відкрита інформація про власника, його повноважен­ня і т.ін.

Звичайно це пластикові картки типу перепусток або жетонів. Картки вводяться з читаючий пристрій кожний раз, коли необ­хідно увійти або вийти з приміщення, що охороняється, або одер­жати доступ до чого-небудь (сейфа, камери, терміналу і т.ін.).

Існує багато різновидів пристроїв упізнавання та ідентифі­кації особи, які використовують подібні картки. Одні з них зві­ряють фотографії та інші ідентифікаційні елементи, інші — маг­нітні поля і т.ін.

Системи впізнавання за відбитками пальців. В основі іден­тифікації лежить порівняння відносного положення закінчень та розгалужень ліній відбитка. Пошукова система шукає на поточ­ному зображенні контрольні елементи, визначені при досліджен­ні еталонного зразка. Для ідентифікації однієї людини вважаєть­ся достатнім визначити координати 12 точок.

Такі системи достатньо складні. Вони рекомендуються до ви­користання на об'єктах, які потребують надійного захисту.

Системи впізнавання за голосом. Існує декілька способів виділення характерних ознак мови людини: аналіз короткочас­них сегментів, контрольний аналіз, виділення статистичних ха­рактеристик. Слід відзначити, що теоретичні питання ідентифі­кації за голосом розроблені достатньо повно, але промислове виробництво таких систем поки відстає.

Системи впізнавання за почерком вважаються найбільш зручними для користувача. Основним принципом ідентифікації за почерком є постійність підпису кожної особи, хоча абсолют­ного збігу не буває.

Система впізнавання за геометрією рук. Для ідентифікації застосовують аналіз комбінацій ліній згинів пальців та долоні, ліній складок, довжина та товщина пальців.

Технічно це реалізується шляхом накладення руки на мат­рицю фотокомірок. Рука освітлюється потужною лампою, здій­снюється реєстрація сигналів із комірок, які несуть інформацію про геометрію.

322

Розділ 7. Основи безпеки інформаційних ресурсів

У сі пристрої ідентифікації людини можуть працювати як ок­ремо, так і в комплексі. Комплекс може бути вузькоспеціальним або багатоцільовим, при якому система виконує функції охоро­ни, контролю, реєстрації та сигналізації. Такі системи є вже ком­плексними. Комплексні системи забезпечують:

• допуск на територію підприємства за карткою (перепусткою), яка містить індивідуальний машинний код;

• блокування проходу при спробах несанкціонованого прохо­ ду (прохід без перепустки, прохід до спеціальних підрозділів співробітників, які не мають перепустки);

• можливість блокування проходу для порушників графіку ро­ боти (запізнення на роботу, передчасне залишення робочого місця і т.ін.);

• відкриття зони проходу для вільного виходу за командою вахтера;

• перевірку кодів перепусток та затримання їх пред'явників на КПП за вказівкою оператора системи;

• реєстрацію часу перетинання прохідної та збереження його в базі даних ПЕОМ;

• оброблення одержаних даних та формування різноманітних документів (табель робочого часу, рапорт за добу, відомість порушників трудової дисципліни і т.ін.), що дозволяє мати оперативну інформацію про порушників трудової дисциплі­ ни, відпрацьованих кожним час і т.ін.;

• оперативне коригування бази даних із доступом за паролем;

• роздруківку табелів робочого часу за довільною групою спів­ робітників (підприємство в цілому, структурний підрозділ, окремо вибрані співробітники);

• роздруківку списків порушників графіка робочого часу з конкретними даними про порушення;

• поточний та ретроспективний аналіз відвідування співробіт­ никами підрозділів, пересування співробітників через КПП, видача списку присутніх або відсутніх у підрозділах або на підприємстві для довільно вибраного моменту часу (при умові збереження баз даних за минулі періоди);

323

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• одержання оперативної інформації абонентами локальної мережі на випадок мережної реалізації системи.

Фізичні засоби є першою перешкодою (бар'єром) для зло­вмисника при реалізації ним заходових методів доступу.

Апаратні засоби захисту

До апаратних засобів захисту інформації відносять найріз­номанітніші за принципом дії, побудовою та можливостями тех­нічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступові до джерел конфіденційної інформації.

Апаратні засоби захисту інформації застосовуються для ви­конання наступних завдань:

• проведення спеціальних досліджень технічних засобів забез­ печення виробничої діяльності на наявність можливих ка­ налів витоку інформації;

• виявлення каналів витоку інформації на різних об'єктах та в приміщеннях;

• локалізація каналів витоку інформації;

• пошук та виявлення засобів промислового шпіонажу;

• протидія несанкціонованому доступові до джерел конфіден­ ційної інформації та іншим діям.

За функціональним призначенням апаратні засоби можуть поділятися на засоби виявлення, засоби пошуку та детальних вимірювань, засоби активної та пасивної протидії. При цьо­му за своїми характеристиками засоби можуть бути загального застосування, розраховані на використання непрофесіоналами з метою одержання попередніх (загальних) оцінок, і професійні комплекси, які дозволяють здійснювати ретельний пошук, ви­явлення та прецизійне вимірювання всіх характеристик засобів промислового шпіонажу.

До першої групи можна віднести індикатори електромагніт­них випромінювань, які можуть приймати широкий спектр сиг­налів із достатньо низькою чутливістю.

324

Розділ 7. Основи безпеки інформаційних ресурсів

Д о другої групи можна віднести комплекси для виявлення та пеленгування радіозакладок, призначені для автоматичного виявлення та виявлення місцезнаходження радіопередавачів, радіомікрофонів, телефонних закладок та мережних радіопере­давачів.

Пошукову апаратуру можна розділити на апаратуру пошуку засобів знімання інформації та дослідження каналів її витоку.

Апаратура першого типу спрямована на пошук та локаліза­цію вже впроваджених зловмисниками засобів несанкціонова­ного доступу. Апаратура другого типу призначена для виявлення каналів витоку інформації.

Як і в будь-якій галузі техніки, універсальність будь-якої апа­ратури призводить до зниження її параметрів із кожної окремої характеристики.

З іншого боку, існує велика кількість різних за природою ка­налів витоку інформації, а також фізичних принципів, на основі яких працюють системи несанкціонованого доступу. Ці фактори зумовлюють різноманіття пошукової апаратури, а її складність визначає високу вартість кожного приладу. В зв'язку з цим до­статній комплекс пошукового обладнання можуть дозволити собі мати структури, які постійно проводять відповідні обсте­ження. Це або великі служби безпеки, або спеціалізовані фірми, які надають послуги стороннім організаціям.

До особливої групи можна віднести апаратні засоби захисту ЕОМ та комунікаційних систем на їхній основі.

Апаратні засоби захисту застосовуються як в окремих ПЕОМ, так і на різних рівнях та ділянках мережі: в центральних процесорах ЕОМ, в їхніх оперативних запам'ятовуючих пристро­ях (ОЗУ), контролерах вводу-виводу, зовнішніх запам'ятовуючих пристроях, терміналах і т.ін.

Для захисту центральних процесорів (ЦП) застосовується кодове резервування — створення додаткових бітів у форматах машинних команд (розрядів секретності) і резервних регістрів (у пристроях ЦП), одночасно передбачаються два можливих ре­жими роботи процесора, які відділяють допоміжні операції від операцій безпосереднього вирішення задач користувача. Для

325

ЧастинаІІ. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ц ього служить спеціальна програма переривань, яка реалізуєть­ся апаратними засобами.

Одним із заходів апаратного захисту ЕОМ та інформаційних мереж є обмеження доступу до оперативної пам'яті за допомо­гою встановлення границь або полів. Для цього створюються регістри контролю та регістри захисту даних. Застосовуються також додаткові бити парності — різновид методі кодового ре­зервування.

Для позначення степеня конфіденційності програм і даних, категорій користувачів використовуються біти, які називають­ся бітами конфіденційності (це два-три додаткових розряди, за допомогою яких кодуються категорії секретності користувачів, програм, даних).

Програми та дані, які завантажуються в ОЗУ, потребують захисту, який гарантує їх від несанкціонованого доступу. Час­то використовуються біти парності, ключі, постійна спеціаль­на пам'ять. При зчитуванні з ОЗУ необхідно, щоб програми не могли бути знищені несанкціонованими діями користувачів або внаслідок виходу з ладу апаратури. Відмови повинні своєчасно виявлятися та усуватися, щоб запобігти виконанню спотвореної команди ЦП та втрати інформації.

Для попередження зчитування даних в ОЗУ, які залишилися після оброблення, застосовується спеціальна програма стиран­ня. У цьому випадку формується команда на стирання ОЗУ та вказується адреса блоку пам'яті, який повинен бути звільнений від інформації. Ця схема записує нулі або будь-яку іншу послі­довність символів у всі комірки даного блоку пам'яті, забезпечу­ючи надійне стирання раніше завантажених даних.

Апаратні засоби захисту застосовуються й у терміналах ко­ристувачів. Для попередження витоку інформації при приєд­нанні незареєстрованого терміналу необхідно перед видачею запитуваних даних здійснити ідентифікацію (автоматичне виз­начення коду або номера) терміналу, із якого поступив запит. У багатокористувальницькому режимі цього терміналу його ідентифікації недостатньо. Необхідно здійснити автентифікацію

326

Розділ 7. Основи безпеки інформаційних ресурсів

к ористувача, тобто встановити його дійсність та повноваження. Це необхідно і тому що різні користувачі, зареєстровані в сис­темі, можуть мати доступ тільки до окремих файлів і суворо об­межені повноваження їхнього використання.

Для ідентифікації терміналу найчастіше застосовується гене­ратор коду, включений до апаратури терміналу, а для автентифі-кації користувача — такі апаратні засоби, як ключі, персональні кодові картки, персональний ідентифікатор, пристрої розпізна­вання голосу користувача або форми його пальців. Проте най­більш розповсюдженими засобами автентифікації є паролі, пере­вірені не апаратними, а програмними засобами впізнавання.

Апаратні засоби захисту інформації — це різноманітні техніч­ні пристрої, системи та споруди, призначені для захисту інфор­мації від розголошення, витоку і несанкціонованого доступу.

Програмні засоби захисту

Програмний захист інформації — це система спеціальних програм, які входять до складу програмного забезпечення та ре­алізують функції захисту інформації.

Виділяють наступні напрями використання програм для за­безпечення безпеки конфіденційної інформації:

• захист інформації від несанкціонованого доступу;

• захист інформації від копіювання;

• захист програм від вірусів;

• захист інформації від вірусів;

• програмний захист каналів зв'язку.

За кожним із вказаних напрямів існує достатня кількість якіс­них розроблених професіональними організаціями програмних продуктів, представлених на інформаційному ринку.

Програмні засоби захисту мають наступні різновиди спе­ціальних програм:

• ідентифікації технічних засобів, файлів та автентифікації ко­ ристувачів;

• реєстрації і контролю роботи технічних засобів та користу­ вачів;

327

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• о бслуговування режимів обробки інформації з обмеженим доступом;

• захисту операційних систем ЕОМ та прикладних програм ко­ ристувачів;

• знищення інформації у запам'ятовуючих пристроях після ви­ користання;

• сигналізації порушень використання ресурсів;

• допоміжні програми захисту різноманітного призначення. Ідентифікація технічних засобів і файлів, яка здійснюється

програмно, реалізується на основі аналізу реєстраційних но­мерів різних компонентів та об'єктів інформаційної системи та зівставлення їх із значеннями адресів і паролів, що зберігаються в запам'ятовуючому пристрої системи управління.

Для забезпечення надійності захисту за допомогою паролів робота системи захисту організується таким чином, щоб імовір­ність розкриття секретного пароля та встановлення відповід­ності тому чи іншому ідентифікатору файла або терміналу була як можна меншою. Для цього потрібно періодично змінювати пароль, а число символів у ньому встановлювати достатньо ве­ликим.

Ефективним способом ідентифікації елементів з адресами та автентифікації користувачів є алгоритм «запит-відповідь», від­повідно до якого система захисту видає користувачеві запит на пароль, після чого він повинен дати на нього певну відповідь. Так як моменти введення запиту та відповіді на нього непередбачені, це утруднює процес відгадування пароля, що забезпечує більш високу надійність захисту.

Одержання дозволу на доступ до тих чи інших ресурсів мож­на здійснити не тільки на основі використання секретного па­роля та наступних процедур автентифікації та ідентифікації. Це можна зробити більш детальним способом, яки враховує різні особливості режимів роботи користувачів, їхні повноваження, категорії даних і ресурсів, що запитуються, цей спосіб реалі­зується спеціальними програмами, які аналізують відповідні ха­рактеристики користувачів, зміст завдань, параметри технічних і програмних засобів, пристроїв пам'яті і т.ін.

328

Розділ 7. Основи безпеки інформаційних ресурсів

К онкретні дані запиту, які поступають у систему, порівню­ються в процесі роботи програми захисту з даними, які занесені в реєстраційні секретні таблиці (матриці). Ці таблиці, а також програми для їхнього формування та оброблення зберігаються в зашифрованому вигляді та знаходяться під особливим контро­лем адміністратора безпеки інформаційної мережі.

Для розмежування доступу окремих користувачів до певної інформації застосовуються індивідуальні заходи секретності цих файлів та особливий контроль доступу до них користувачів. Гриф секретності може формуватися у вигляді трирозрядних кодових слів, які зберігаються у файлі або в спеціальній таблиці. У цій таблиці записується ідентифікатор користувача, який створив цей файл, ідентифікатори терміналів, із яких може здійснюватися доступ до даного файла, а також їхні права на користування фай­лом (зчитування, редагування, стирання, оновлення, виконання і т.ін.). Важливо не допустити взаємовплив користувачів у процесі звернення до файлів. Якщо, наприклад, один запис має право ре­дагувати декілька користувачів, то кожному з них необхідно збе­регти саме його варіант редакції (робиться декілька копій запису з метою можливого аналізу та встановлення повноважень).

Захист від несанкціонованого доступу. Основні функції від чужого вторгнення обов'язково передбачають певні заходи безпеки. Основними функціями, які повинні здійснюватися про­грамними засобами, у цьому випадку є:

• ідентифікація суб'єктів та об'єктів;

• розмежування (іноді й повна ізоляція) доступу до обчислю­ вальних ресурсів та інформації;

• контроль та реєстрація дій з інформацією та програмами. Процедура ідентифікації та підтвердження автентичності пе­ редбачає перевірку, чи є суб'єкт, якій здійснює доступ (або об'єкт, до якого здійснюється доступ), тим, за кого себе видає. Подібні перевірки можуть бути одноразовими або періодичними (особ­ ливо у випадках тривалих сеансів роботи). У процесі ідентифіка­ ції використовуються різноманітні методи:

• прості, складні або одноразові паролі;

• обмін питаннями та відповідями з адміністратором;

329

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• к лючі, магнітні картки, значки, жетони;

• засоби аналізу індивідуальних геометричних характеристик (голосу, відбитків пальців, геометричних параметрів рук, об­ личчя);

• спеціальні ідентифікатори або контрольні суми для апарату­ ри, програм, даних і т.ін.

Найбільш поширеним методом ідентифікації є парольна ідентифікація.

Практика показує, що парольний захист даних є слабкою лан­кою, бо пароль можна підслухати або підглянути, перехопити, а то і просто розгадати.

Для захисту власне пароля напрацьовані певні рекомендації, як зробити пароль надійним:

• пароль повинен містити, як правило, вісім символів. Чим менше символів має пароль, тим легше його розгадати;

• не рекомендується використовувати як пароль очевидний на­ бір символів, наприклад, ім'я, дату народження, імена близь­ ких або найменування програм користувача. Краще для та­ ких цілей використовувати невідому формулу або цитату;

• якщо криптографічна програма дозволяє, необхідно ввести в пароль хоча би одну прогалину, небуквений символ або про­ писну букву;

• не рекомендується називати нікому пароль, не записувати його;

• частіше міняти пароль;

• не потрібно вводити пароль у процедуру встановлення діало­ гу або макрокоманди.

Необхідно пам'ятати, що набраний на клавіатурі пароль час­то зберігається в послідовності команд автоматичного входу в систему.

Для ідентифікації програм і даних часто вдаються до підра­хунку контрольних сум, проте, як і у випадку парольної іден­тифікації, важливо виключити можливість підробки при збе­реженні правильної контрольної суми. Це досягається шляхом використання складних методів контрольного підсумовування

330

Розділ 7. Основи безпеки інформаційних ресурсів

н а основі криптографічних алгоритмів. Забезпечити захист да­них від підробки (імітостійкість) можна, якщо застосувати різ­номанітні методи шифрування та методи цифрового підпису на основі криптографічних систем із відкритим ключем.

Після виконання процедур ідентифікації та встановлення ав­тентичності користувач одержує доступ до обчислювальної сис­теми, і захист інформації здійснюється на трьох рівнях:

• апаратури;

• програмного забезпечення;

• даних.

Захист на рівні апаратури та програмного- забезпечення пе­редбачає управління доступом до обчислювальних ресурсів: окремих пристроїв, оперативної пам'яті, операційної системи, спеціальним службовим та особистим програмам користувача.

Захист інформації на рівні даних спрямований:

• на захист інформації при звертанні до неї у процесі роботи на ПЕОМ та виконання тільки дозволених операцій над ними;

• на захист інформації при її передаванні каналами зв'язку між різними ЕОМ.

Управління доступом до інформації дозволяє дати відповідь на питання:

• хто може виконувати і які операції;

• над якими даними дозволяється виконувати операції. Об'єктом, доступ до якого контролюється, може бути файл,

запис у файлі, а фактором, що визначає порядок доступу, — пев­на подія, значення даних, стан системи, повноваження користу­вача, передісторія звернення та інші дані.

Доступ, що керується подією, передбачає блокування звер­нення користувача. Наприклад, у певні інтервали часу або при звертанні з певного терміналу. Доступ, що залежить від стану, здійснюється залежно від поточного стану обчислювальної сис­теми, керуючих програм та системи захисту.

Що стосується доступу, залежного від повноважень, то він передбачає звернення користувача до програм, даних, обладнан­ня залежно від режиму, що надається. Таким режимами можуть

331

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

б ути «тільки читати», «читати та писати», «тільки виконувати» і т.ін.

В основі більшості засобів контролю доступу лежить те або інше представлення матриці доступу.

Інший підхід до побудови засобів контролю доступу заснова­ний на контролі інформаційних потоків та розподілі суб'єктів і об'єктів доступу на класи конфіденційності.

Засоби реєстрації, як засоби контролю доступу, належать до ефективних заходів захисту від несанкціонованих дій. проте, якщо засоби контролю доступу призначені для відвернення та­ких дій, то завдання реєстрації — виявити вже здійснених дій або спроби дій.

У загальному випадку комплекс програмно-технічних засобів та організаційних (процедурних) рішень із захисту інформації від несанкціонованого доступу (НСД) реалізується наступними діями:

• управління доступом;

• реєстрація та облік;

• застосування криптографічних засобів;

• забезпечення цілісності інформації.

Можна відзначити наступні форми контролю та розмежу­вання доступу, що знайшли широке застосування на практиці. Попередження доступу:

• до жорсткого диска;

• до окремих розділів;

• до окремих файлів;

• до каталогів;

• до гнучких дисків;

• до змінних носіїв інформації.

Установлення привілеїв доступу до групи файлів. Захист від модифікації:

• файлів;

• каталогів.

Захист від знищення:

• файлів;

• каталогів.

332

Розділ 7. Основи безпеки інформаційних ресурсів

П опередження копіювання:

• файлів;

• каталогів;

• прикладних програм.

Затемнення екрана через певний час, встановлений користу­вачем.

Захист від копіювання. Засоби захисту від копіювання за­побігають використання викрадених копій програмного забез­печення і на даний час є єдиним надійним засобом, який захи­щає авторське право розробників-програмістів та стимулює розвиток ринку програмного забезпечення.

Під засобами захисту від копіювання звичайно розуміють засоби, які забезпечують виконання програмою своїх функцій тільки при упізнанні деякого унікального елемента, що не під­дається копіюванню. Таким елементом (ключовим елементом) може бути дискета, певна частина комп'ютера або спеціальний пристрій, який приєднується до ПЕОМ. Захист від копіювання реалізується виконанням ряду функцій, які є спільними для всіх систем захисту:

• ідентифікація середовища, із якого буде запускатися прог­ рама;

• автентифікація середовища, із якого запущена програма;

• реакція на запуск із несанкціонованого середовища;

• реєстрація несанкціонованого копіювання;

• протидія вивченню алгоритмів роботи системи.

Під середовищем, із якого буде запускатися програма, ро­зуміють або дискету, або ПЕОМ (якщо установка здійснюється на нагромаджувач на жорсткому магнітному дискові). Ідентифікація середовища полягає в тому, щоб деяким чином поіменувати сере­довище з метою подальшої її автентифікації. Ідентифікувати се­редовище — значить закріпити за ним деякі спеціально створені або виміряні характеристики, які рідко повторюються та важко підроблюються. Такі характеристики називаються ідентифікатора­ми. Ідентифікація дискет може бути проведена двома способами.

Перший заснований на нанесенні пошкоджень на деяку час­тину дискети, поширений спосіб такої ідентифікації — «лазерна

333

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

д іра». При такому способі дискета пропалюється в деякому місці лазерним променем. Очевидно, що зробити точно таку ж дірку в дискеті копії і в тому ж місці, як і на дискеті-оригіналі, достатньо важко.

Інший спосіб ідентифікації заснований на нестандартному форматуванні дискети.

Реакція на запуск із несанкціонованого середовища зводить­ся до видачі відповідного повідомлення.

Захист інформації від руйнування. Руйнування може відбу­тися при підготовці й здісненні різних відновлювальних заходів (резервування, створення та оновлення страхувального фонду, ведення архівів інформації і т.ін.). Оскільки причини руйнування вельми різноманітні (несанкціоновані дії, помилки програм та об­ладнання, комп'ютерні віруси і т.ін.), то проведення страхуваль­них заходів є обов'язковим для всіх, хто користується ПЕОМ.

Необхідно спеціально відзначити небезпеку комп'ютерних вірусів. Комп'ютерний вірус [computer viruses] (від лат. virus — отрута)— це невелика, достатньо складна, ретельно складена та небезпечна програма, яка може самостійно розмножуватися, переносити себе на диски, прикріплюватися до чужих програм та передаватися інформаційними мережами. Вірус, звичайно, створюється для порушення роботи комп'ютера різноманітними способами — від «безвинного» видавання будь-якого повідом­лення до стирання, руйнування файлів.

Основну масу вірусів створюють так звані хакери [hacker] — програмісти-хулігани, щоб утішити свої амбіції або заробити гроші на продажі антивірусних програм (антивірусів).

Антивірус — це програма, яка виявляє або видаляє віруси. Такі програми бувають спеціалізованими або універсальними. Спеціалізовані здатні боротися з уже написаними, працюючими вірусами, а універсальні — із ще не написаними.

До спеціалізованих належить більшість антивірусних прог­рам, кожна з них розпізнає один або декілька конкретних вірусів, ніяк не реагуючи на присутність інших.

Універсальні антивіруси призначені для боротьби з цілими класами вірусів. За призначенням антивіруси універсальної дії

334

Розділ 7. Основи безпеки інформаційних ресурсів

б увають різноманітними. Широке застосування знаходять рези-дентні антивіруси та програми ревізори.

І ці, і інші антивірусні програми мають певні можливості, позитивні й негативні (недоліки) характеристики. Спеціалізовані при своїй простоті надто вузько спеціалізовані. При значній різ­номанітності вірусів потрібна така ж різноманітність антивірусів.

Окрім використання в інтересах захисту від вірусів анти-вірусних програм, широке застосування знаходять організаційні заходи безпеки. Для зменшення небезпеки вірусних атак можли­вим є прийняття певних дій, які для кожного конкретного випад­ку можуть бути скорочені або розширені:

• інформувати всіх співробітників про небезпеку на можливі збитки на випадок вірусних атак;

• заборонити співробітниками приносити програми зі сторо­ ни для установки їх у системи оброблення інформації — по­ винні використовуватися тільки програми, які розповсюджу­ ються офіційно;

• заборонити співробітникам використовувати комп'ютерні ігри на ПЕОМ, що обробляють інформація, яка підлягає за­ хисту;

• для виходу на стороні інформаційні мережі виділяти окреме спеціальне місце;

• створити архів копій програм і даних;

• періодично проводити перевірку контрольним підсумову­ вання або порівнянням з «чистими» програмами;

• установити системи захисту інформації на особливо важливих ПЕОМ із застосуванням спеціальних антивірусних засобів.

Криптографічні засоби захисту

Криптографія [cryptography] (від грец. критстос. — секретний, прихований і ураф —пишу, креслю, малюю)) —спосіб тайнопису, заснований на використанні шифру, де під шифром [cipher, code, pressmark] (франц. chiffre, букв. — цифра, від араб, сіфр — нуль) звичайно розуміють сукупність обернених перетворень тексту

335

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

п овідомлень, які виконуються з метою схову від зловмисника (противника) інформації, яка знаходиться у повідомленні.

Криптографія включає декілька розділів сучасної математи­ки, а також спеціальні галузі фізики, теорії інформації та зв'язку і деяких інших суміжних дисциплін.

Як наука про шифри, криптографія тривалий час була засек­речена, бо застосовувалася в основному, для захисту державних і воєнних секретів. Проте на теперішній час методи та засоби криптографії використовуються для забезпечення інформацій­ної безпеки не тільки держави, але й приватних осіб та органі­зацій. Справа тут зовсім не обов'язково в секретах. Дуже багато різноманітних відомостей циркулює по всьому світу в цифрово­му вигляді. І над цими відомостями буквально «висять» загро­зи несанкціонованого ознайомлення, нагромадження, підміни, фальсифікації і т.ін. Найбільш надійні методи захисту від таких загроз дає саме криптографія.

Для криптографічного перетворення інформації використо­вуються різноманітні шифрувальні засоби — засоби шифруван­ня документів, засоби шифрування мови, засоби шифрування телеграфних повідомлень та передачі даних.

Загальна технологія шифрування. Вихідна інформація, яка передається каналами зв'язку, може представляти собою мову, дані, відеосигнали, називається незашифрованим повідомлен­ням С (рис. 7.8).

У пристрої шифрування повідомлення шифрується (перетво­рюється у повідомлення С) і передається незахищеним каналом зв'язку. На приймальній стороні повідомлення С дешифрується для відновлення вихідного повідомлення Р.

Параметр, який може застосовуватися для добування окре­мого повідомлення, називається ключем.

У сучасній криптографії розглядаються два типи криптогра­фічних алгоритмів (ключів). Це класичні криптографічні алго­ритми, засновані на використанні секретних ключів та нові крип­тографічні алгоритми з відкритими ключами, засновані на вико­ристанні двох типів ключів: секретного (закритого) та відкритого.

336

У криптографії з відкритими ключами є, як правило, два ключі, один з яких неможливо визначити з іншого. Якщо ключ розшифровування обчислювальними методами неможливо одержати з ключа зашифровування то секретність інформації, зашифрованої за допомогою несекретного (відкритого) ключа, буде забезпечена. Проте цей ключ повинен бути захищеним від підміни або модифікації. Ключ розшифровування також пови­нен бути секретним і захищеним від підміни або модифікації.

Якщо, навпаки, обчислювальними методами неможливо одержати ключ зашифровування з ключа розшифровування, то ключ розшифровування може бути не секретним.

Розділення функцій зашифровування та розшифровування на основі розділення на дві частини додаткової інформації, необ­хідної для виконання операцій, є тією цінною ідеєю, яка лежить в основі криптографії з відкритим ключем.

Технологія шифрування мови. Найбільш поширеним спо­собом шифрування мовного сигналу є аналогове скремблюван-ня та цифрове шифрування.

337

Аналогове скремблювання — це перетворення аналогового сигналу з будь-якими статистичними властивостями в сигнал, що змінюється за випадковим або псевдовипадковим законом. При аналоговому скремблюванні характеристики вхідного мовного повідомлення змінюються таким чином, що перетворене пові­домлення стає неприйнятим для слухової системи людини, але займає таку саму смугу частот. Це дозволяє передавати скремб-льовані сигнали звичайними телефонними каналами зв'язку.

За видом перетворення аналогове скремблювання поділяєть­ся на частотне і часове, за режимом закриття — на статичне і ди­намічне. У відповідності до способів скремблювання розрізняють скремблери з інверсією спектра, з частотними перестановками, з інверсією кадру, з часовими перестановками, а також комбіновані скремблери.

Скремблер з інверсією спектра реалізує перетворення спек­тра мовного сигналу шляхом обернення частотної смуги сигналу навкруги деякої середньої точки спектра/₀ (рис. 7.9). В цьому ви­падку досягається ефект перетворення низьких частот у більш високі і навпаки. Такий скремблер забезпечує невисокий рівень закриття, так як при перехопленні достатньо легко визначається значення частоти/о інверсії спектра мовного сигналу.

У скремблері з частотними перестановками спектр вхідно­го сигналу розділяється на декілька частотних смуг (до 10—15), які перемішуються (переставляються) відповідно до деякого

алгоритму (ключа) (рис. 7.10). При прийомі спектр сигналу від­новлюється в результаті зворотних процедур. Зміна ключа в ході сеансу зв'язку в скремблерах (динамічне закриття) дозволяє підвищити ступінь закриття, але при цьому потрібна передача на приймальну сторону сигналів синхронізації, що відповідають моментам зміни ключа.

Скремблер з інверсією кадру реалізує спосіб часового за­криття. Інверсія кадру забезпечується шляхом попереднього запам'ятовування в пам'яті передавального скремблера відрізка мовного повідомлення (кадру) тривалістю Т_к і зчитування його (з передаванням у телефонну лінію) з кінця кадру (інверсно). При прийманні кадр мовного повідомлення запам'ятовується і зчи­тується з пристрою пам'яті у зворотному порядку, що забезпе­чує відновлення повідомлення. Для досягнення нерозбірливості мови необхідно, щоб тривалість кадру була не менше 250 мс. В цьому випадку сумарна тривалість запам'ятовування і інвер­сного передавання кадру складає приблизно 500 мс, що може створити значні затримки сигналу при телефонній розмові.

У скремблері з часовими перестановками кадр мовно­го повідомлення ділиться на відрізки (сегменти) тривалістю т_с кожний (рис. 7.11). Послідовність передавання в лінію сегментів визначається ключем, який повинен бути відомий приймальній стороні. Змінюванням ключа в ході сеансу зв'язку в скрембле-

pax (динамічним закриттям) можна суттєво підвищити рівень захисту мовної інформації. Залишкова розбірливість залежить від тривалості кадру і із збільшенням останньої зменшується. Унаслідок накопичення інформації у блоці часового перетворен­ня з'являється затримка між вхідним мовним сигналом і віднов­леним сигналом. Ця затримка неприємно сприймається на слух, якщо перевищує 1—2 с Тому Т_к вибирають рівною (4—16) с

У комбінованому скремблері для підвищення ступеня за­криття мови використовують комбінацію часового і частотного скремблювання. Вхідне повідомлення розділяється на кадри і сегменти, які запам'ятовуються в пам'яті скремблера. При фор­муванні повідомлення, що передається, здійснюються переста­новки сегментів кадру і перестановки смуг спектра мовного сиг­налу кожного сегмента. Якщо при цьому забезпечити динамічну зміну ключа часової і частотної перестановки, то рівень захисту такого комбінованого технічного закриття може наближатися до рівня захисту при шифруванні мовної інформації. Проте склад­ність реалізації такого скремблера і вимоги до якості передаван­ня синхроімпульсів між скремблерами телефонних абонентів також високі.

Аналогові скремблери [analog scrambler] прості в технічній реалізації, мають низьку вартість і малі габарити. Можуть екс-

340

Розділ 7. Основи безпеки інформаційних ресурсів

п луатувати ся практично на будь-яких каналах зв'язку, призна­чених для передавання мовних повідомлень. Основний недолік аналогових скрем-блерів — відносно низька стійкість закриття інформації. Крім того, вони вносять спотворення у відновлений мовний сигнал.

Останнім часом знайшли значне поширення системи шиф­рування, в яких застосовується цифрове шифрування мовної інформації [voice encryption], котра представлена у цифровій формі.

При аналого-цифровому перетворенні амплітуда сигналу вимірюється через рівні проміжки часу, що називаються кроком дискретизації. Для того щоб цифровий мовний сигнал мав якість не гіршу телефонного, крок дискретизації не повинен перевищу­вати 160 мкс, а кількість рівнів квантування амплітуди мовного сигналу — не менше 128. В цьому випадку відлік амплітуди ко­дується 7 бітами, швидкість передавання перевищує 43 кбіт/с, а ширина спектра дискретного двійкового сигналу дорівнює сумі смуг 14 стандартних телефонних каналів.

Для передавання мови в цифровій формі стандартними теле­фонними каналами різко скорочують смугу мовного сигналу за допомогою пристроїв, які називають вокодерами.

Шифрування мовної інформації у цифровій формі здійс­нюється відомими методами (заміною, перестановками, аналі­тичними перетвореннями, гамуванням і т.ін.) або за допомогою «Стандартних алгоритмів криптографічного перетворення. Пере­вагою цифрового шифрування є висока надійність закриття мов­ної інформації, бо перехоплений сигнал являє собою випадкову Цифрову послідовність. Недоліками є необхідність використан­ня модемів, нестійка робота пристроїв шифрування в каналах із великим загасанням сигналу та з високим рівнем завад.

Апаратні, програмні, апаратно-програмні та криптографічні засоби реалізують ті чи інші послуги інформаційної безпеки різ­номанітними механізмами захисту, які забезпечують дотримання конфіденційності, цілісності, доступності та повноти інформації.

341

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

7 .3. АРХІТЕКТУРА ЗАХИСТУ ІНФОРМАЦІЇ В МЕРЕЖАХ ТЕЛ ЕКОМУНІКАЦІЙ

7.3.1. Архітектура відкритих систем

Архітектура відкритих систем [open system architecture] — це концепція обчислювальної мережі, яка розроблена і розвиваєть­ся Міжнародною організацією зі стандартизації (ISO) у вигляді моделі взаємодії відкритих систем. Вона відіграє важливу роль як методологічна, концептуальна і термінологічна основа побудови обчислювальних мереж. Описана в стандарті ISO 7498-2 [85].

Модель взаємодії відкритих систем (МВВС) [Open Systems Interconnection (OSI) model] — це запропонована Міжнародною організацією зі стандартизації (ISO) модель мережі (рис. 7.12) із семи рівнів — фізичного, канального, мережаного, сеансового, представницького та прикладного, для кожного з яких створені свої стандарти і загальні моделі [34,48].

Фізичний рівень [physical level] описує сполучення системи з фізичним каналом (середовищем). Він виконує функції вста­новлення, підтримки та роз'єднання фізичного каналу.

Канальний рівень [link level] забезпечує передавання даних інформаційним каналом. Він виконує функції керування пере­даванням кадрів, контролю даних, забезпечення прозорості та перевірки стану інформаційного каналу, а також забезпечення масивів символами управління каналом.

Мережний рівень [network level] здійснює керування мар­шрутизацією інформації (пакетів). Він виконує функції управ­ління комунікаційними ресурсами, маршрутизації, забезпечення службовими символами керування мережею.

Транспортний рівень [transport level] забезпечує передачу масивів інформації від одного порту до іншого (керування логіч­ним каналом). Він виконує функції управління інформаційними потоками, організації логічних каналів між процесами, забезпе­чення службовими символами запиту та відповіді.

Сеансовий рівень [session level] забезпечує сеанси зв'язку (взаємодії між прикладними процесами). Він виконує функції організації підтримки та закінчення сеансів зв'язку, інтерфейс із транспортним рівнем.

342

Представницький рівень [presentation level] призначений Для подання та оброблення форматних і синтаксичних атрибутів даних, які приймаються й передаються (параметричного відоб­раження даних) . Він виконує функції генерації та інтерпретації команд взаємодії процесів, а також подання даних програмі ко­ристувачів.

Прикладний рівень [application level] — це рівень, на якому виконуються прикладні процеси.

Три верхніх рівні разом із прикладними процесами утворю­ють ділянку оброблення даних, в якій виконуються інформацій­ні процеси системи. Процеси цієї області використовують сервіс ¹³ транспортування даних транспортного рівня, який здійснює

343

• прикладний рівень реалізує вирішення інформаційно-обчис­ лювальних завдань прикладних процесів користувачів;

• представницький рівень інтерпретує інформаційний обмін між прикладними процесами у форматах даних користувачів;

• сеансовий рівень реалізує діалог або монолог між приклад­ ними процесами в режимі сеансів зв'язку, що організуються;

• транспортний рівень здійснює управління передаванням ін­ формаційних потоків між сеансовими об'єктами користувачів.

344

Розділ 7. Основи безпеки інформаційних ресурсів

Т ри нижніх рівні утворюють ділянку передавання даних між множиною взаємодіючих систем, виконують комунікаційні про­цеси при транспортуванні даних:

• мережний рівень забезпечує маршрутизацію і мультиплексу- вання потоків даних у транспортному середовищі користувачів;

• канальний рівень керує передаванням даних через фізичні засоби з'єднання, що встановлюються;

• фізичний рівень сполучає фізичні канали передавання даних у синхронному або асинхронному режимі.

Ділянка взаємодії відкритих систем характеризується також семирівневою ієрархією протоколів, що забезпечують взаємодію абонентських систем, шляхом передавання даних між ними. Кожний з блоків даних складається із заголовка, інформаційного поля та кінцівки.

Заголовок містить інформацію, пов'язану з управлінням пе­редачею інформаційних потоків. Дані центральної частини блока являють собою інформаційне поле, що передається між приклад­ними процесами взаємодіючих абонентських систем. Основне завдання кінцівки — перевірка інформаційного поля шляхом формування перевірочного блока даних.

7.3.2. Загрози в архітектурі відкритих мереж

В архітектурі відкритих мереж використовується поняття «категорія загрози».

Категорія загрози пов'язана із загрозою безпеці інформації (даних) в телекомунікаційних мережах. Для МВВС виділяють п'ять категорій загроз:

• розкриття змісту повідомлень, що передаються;

• аналіз трафіка, що дозволяє визначити належність відправни­ ка і одержувача даних до однієї з груп користувачів мережі;

• зміна потоку повідомлень, що може привести до порушення режиму роботи будь-якого об'єкта, що керується з віддаленої ЕОМ;

• неправомірна відмова в наданні послуг;

• несанкціоноване встановлення з'єднання.

345

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

З гідно з визначенням терміну «безпека інформації» першу і другу загрозу можна віднести до витоку інформації, третю і п'яту — до її модифікації, а четверту — до порушення процесу обміну інформацією, тобто до її втрати.

На фізичному та канальному рівнях імовірні наступні загрози:

• несанкціоноване підключення;

• помилкова комутація; прослуховування;

• перехоплення;

• фальсифікація інформації;

• імітоатаки;

• фізичне знищення каналу зв'язку.

Для мережаного рівня характерні наступні загрози:

• аналіз службової інформації, тобто адресної інформації та то­ пології мережі;

• атаки на систему маршрутизації. Можлива модифікація марш- рутизаційних таблиць через протоколи динамічної маршрути­ зації та міжмережний протокол керуючих повідомлень (ІСМР);

• фальсифікація ІР-адрес;

• атаки на систему управління;

• прослуховування;

• перехоплення та фальсифікація інформації;

• імітоатаки.

На транспортному рівні ймовірні загрози:

• несанкціоновані з'єднання;

• розвідка додатків;

• атаки на систему управління;

• прослуховування;

• перехоплення та фальсифікації інформації;

• імітоатаки.

На прикладному рівні ймовірні загрози:

• несанкціонований доступ до даних;

• розвідка імен і паролів користувачів;

• маскування під санкціонованого користувача;

• атаки на систему управління;

• атаки через стандартні прикладні протоколи;

• фальсифікація інформації;

• імітоатаки.

346

Розділ 7. Основи безпеки інформаційних ресурсів

7 .3.3. Процедури захисту

Архітектура захисту інформації в мережах телекомуніка­ції — концепція захисту інформації в мережах телекомунікації, що використовують міжнародні стандарти, яка розроблена і розвивається Міжнародною організацією зі стандартизації (ISO) (див. рекомендації МСЕ) у відповідності до ідеології моделі взає­модії відкритих систем.

Рекомендації МСЕ для захисту інформації у телекомунікаціях [ITU-T Recommendations] — це процедури, рекомендовані Між­народною організацією зі стандартизації (ISO) для створення сер­вісних служб захисту інформації у мережах телекомунікації [84].

Процедура шифрування даних у телекомунікаційних систе­мах призначена для «закриття» всіх даних абонента або декількох полів повідомлення. Може мати два рівні: шифрування в каналі зв'язку (лінійне) і міжкінцеве (абонентське) шифрування.

Процедура цифрового підпису в телекомунікаційних систе­мах служить для підтвердження правильності змісту повідомлен­ня. Вона засвідчує факт його відправлення власне тим абонентом, який вказаний у заголовкові як джерело даних. Цифровий підпис є функцією від змісту таємної інформації, відомої тільки абоненту-джерелу, і загальної інформації, відомої всім абонентам системи.

Процедура управління доступом до ресурсів телекомуніка­ційної системи виконується на основі множини правил і фор­мальних моделей, що застосовуються як аргумент доступу до інформації про ресурси (класифікацію) та ідентифікатори або­нентів. Службова інформація для управління доступом (паролі абонентів, списки дозволених операцій, персональні ідентифіка­тори, часові обмежувачі і т. ін.) міститься в локальних базах да­них забезпечення безпеки мережі.

Процедура забезпечення цілісності даних у телекомуні­каційних системах передбачає введення в кожне повідомлення деякої додаткової інформації, яка є функцією від змісту пові­домлення. В рекомендаціях МОС ірозглядаються методи забез­печення цілісності двох типів: перші забезпечують цілісність поодинокого блока даних, інші — цілісність потоку блоків даних або окремих полів цих блоків. При цьому забезпечення цілісності потоку блоків даних не має сенсу без забезпечення цілісності ок-

347

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

р емих блоків. Ці методи застосовуються у двох режимах — при передаванні даних по віртуальному з'єднанню і при використан­ні дейтаграмного передавання. В першому випадку виявляються невпорядкованість, утрати, повтори, вставки даних за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтаг-рамному режимі мітки часу можуть забезпечити тільки обмеже­ний захист цілісності послідовності блоків даних і запобігти пе-реадресації окремих блоків.

Процедура автентифікації у телекомунікаційних системах призначена для захисту при передаванні в мережі паролів, ав-тен-тифікаторів логічних об'єктів і т. ін. Для цього використову­ються криптографічні методи і протоколи, засновані, наприклад, на процедурі «трикратного рукостискання». Метою таких про­токолів є захист від установлення з'єднання з логічним об'єктом, утвореним порушником або діючим під його управлінням із ме­тою імітації роботи справжнього об'єкта.

Процедура заповнення потоку в телекомунікаційних систе­мах призначена для запобігання аналізу трафіка. Ефективність застосування цієї процедури підвищується, якщо одночасно з нею передбачене лінійне шифрування всього потоку даних, тоб­то потоки інформації й заповнення стають нерозбірливими.

Процедура управління маршрутом у телекомунікаційній системі призначена для організації передавання тільки маршру­тами, утвореними за допомогою надійних і безпечних технічних засобів і систем. При цьому може бути організований контроль із боку одержувача, який у випадку виникнення підозри про комп­рометацію використовуваної системи захисту може вимагати змі­ну маршруту.

Процедура підтвердження характеристик даних у телеко­мунікаційних системах передбачає наявність арбітра, який є довіре­ною особою взаємодіючих абонентів і може підтвердити цілісність, час передавання документів, а також запобігти можливості відмо­ви джерела від видавання будь-якого повідомлення, а спожива­ча — від його приймання, тобто підтвердження причетності.

Спільне використання процедур захисту дозволяє організу­вати 14 сервісних служб захисту інформації у мережах телеко­мунікації (див. рис. 7.14).

348

ЧастинаII.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

7 .3.4. Сервісні служби захисту

Сервісні служби захисту інформації у мережах телекомуні­кації — це сукупність заходів захисту інформації у мережах те-лекомунікацій, які у відповідності до рекомендацій МСЕ реалізу­ються за допомогою процедур захисту.

Сервісна служба автентифікації однорівневих об'єктів ре­алізує свої функції за допомогою процедур автентифікації (на мережаному, транспортному та прикладному рівнях моделі взає­модії відкритих систем) та (або) шифрування даних і цифрового підпису (на мережаному та транспортному рівнях МВВС).

Сервісна служба автентифікації джерела даних реалізує свої функції за допомогою процедур шифрування даних (на ме­режаному й транспортному рівнях МВВС) та цифрового підпису (на мережаному, транспортному та прикладному рівнях МВВС).

Сервісна служба контролю доступу реалізує свої функції за допомогою процедури управління доступом до ресурсів телеко­мунікаційної системи на мережаному, транспортному і приклад­ному рівнях МВВС.

Сервісна служба засекречування з'єднання реалізує свої функції за допомогою процедур шифрування даних (на фізично­му, канальному, мережаному, транспортному, представницькому та прикладному рівнях МВВС) та управління маршрутом (на ме­режаному рівні МВВС).

Сервісна служба засекречування в режимі без з'єднання реалізує свої функції за допомогою процедур шифрування даних (на канальному, мережаному, транспортному, представницькому і прикладному рівнях МВВС) та управління маршрутом (на ме­режаному рівні МВВС).

Сервісна служба засекречування вибіркових полів реалі­зує свої функції за допомогою процедури шифрування даних на представницькому та прикладному рівнях моделі взаємодії від­критих систем.

Сервісна служба засекречування потоку даних реалізує свої функції за допомогою процедур шифрування даних (на фі­зичному і представницькому рівнях МВВС), заповнення потоку

350

Розділ 7. Основи безпеки інформаційних ресурсів

( на мережаному і прикладному рівні МВВС) та керування марш­рутом (на мережаному рівні МВВС).

Сервісна служба забезпечення цілісності з'єднання реалі­зує свої функції за допомогою процедур забезпечення цілісності даних та шифрування даних на транспортному і прикладному рівнях МВВС.

Сервісна служба забезпечення цілісності з'єднання без відновлення реалізує свої функції за допомогою процедур за­безпечення цілісності даних та шифрування даних на мережано­му, транспортному і прикладному рівнях МВВС.

Сервісна служба забезпечення цілісності вибіркових полів даних реалізує свої функції за допомогою процедур забезпечен­ня цілісності даних та шифрування даних на прикладному рівні моделі взаємодії відкритих систем.

Сервісна служба забезпечення цілісності даних без уста­новлення з'єднання реалізує свої функції за допомогою проце­дур забезпечення цілісності даних, шифрування даних (на мере­жаному, транспортному і прикладному рівнях МВВС) та цифро­вого підпису (на транспортному рівні МВВС).

Сервісна служба забезпечення цілісності вибіркових полів без з'єднання реалізує свої функції за допомогою процедур за­безпечення цілісності даних, шифрування даних (на прикладно­му рівні моделі взаємодії відкритих систем) та цифрового підпису (на мережаному, транспортному та прикладному рівнях МВВС).

Сервісна служба інформування про відправлення реалізує свої функції за допомогою процедур підтвердження характерис­тик даних, забезпечення цілісності даних та цифрового підпису на прикладному рівні МВВС.

Сервісна служба інформування про доставку реалізує свої функції за допомогою процедур підтвердження характеристик даних, забезпечення цілісності даних та цифрового підпису на прикладному рівні моделі взаємодії відкритих систем.

Кожна із сервісних служб може самостійно вирішувати від­повідне завдання із забезпечення інформаційної безпеки за до­помогою тих чи інших механізмів захисту. При цьому один і той Же механізм захисту може бути використаний в інтересах різних служб інформаційної безпеки.

351

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

7 .3.5. Реалізація захисту

На фізичному та канальному рівнях основний механізм за­хисту — шифрування з'єднання або трафіка (зашифровуватися може як весь трафік, так і його частина), що забезпечує конфі­денційність інформації, яка передається. Для захисту інформації на фізичному рівні застосовують скремблювання, шифрувальні модеми, спеціалізовані адаптери.

Достоїнство реалізації засобів захисту:

• апаратна реалізація;

• простота застосування;

• повний захист трафіка;

• прозорість виконання засобами захисту своїх функцій. Недоліки застосування засобів захисту:

• негнучкість рішень (фіксований тип каналу, складність адап­ тації до мережної топології, фіксована продуктивність);

• низька сумісність;

• висока вартість.

Завдання захисту інформації на мережаному рівні:

• захист інформації безпосередньо в пакетах, що передаються по мережі;

• захист трафіка мережі, тобто шифрування всієї інформації у каналі;

• контроль доступу до ресурсів мережі, тобто захист від несан­ кціонованих користувачів і від доступу санкціонованих ко­ ристувачів до інформації, що їм не призначена.

Для вирішення завдань захисту на мережаному можуть ви­користовуватись:

• пакетні фільтри;

• адміністративний захист на маршрутизаторах (у тому числі таих, що шифрують);

• протоколи захисту інформації мережного рівня (захист і ав- тентифікація трафіка);

• тунелювання;

• векторизація;

• динамічний розподіл мережних адрес;

• захист топології.

352

Розділ 7. Основи безпеки інформаційних ресурсів

Д остоїнство засобів захисту.

• повнота контролю трафіка;

• універсальність;

• прозорість;

• сумісність;

• адаптація до топології мережі.

Недолік — неповнота контрольованих подій (непідконтроль-ність транспортних та прикладних протоколів).

Для усунення загроз на транспортному рівні можуть вико­ристовуватись наступні рішення:

• захист у складі міжмережних екранів (контроль доступу до додатків, управління доступом до серверів);*

• proxy-системи;

• протоколи захисту транспортного рівня (захист і автентифі- кація даних).

Достоїнства захисту:

• розвинена функціональність;

• висока гнучкість захисту. Недоліки засобів захисту:

• неповнота захисту;

• непідконтрольність подій у рамках прикладних і мережних протоколів.

Засоби захисту на представницькому рівні:

• вбудований захист додатків;

• міжмережні екрани з фільтрацією прикладних протоколів;

• proxy-системи і т.ін.

Достоїнства захисту: повнота і висока функціональність у рамках конкретного додатку та контроль на рівні дій конкретно­го користувача (процесу).

Недоліки розташування засобів захисту на прикладному рівні:

• відсутність універсальності;

• обмеженість рамками заданого набору додатків;

• непідконтрольність подій на нижчих рівнях керування.

₈

Критерії безпеки інформаційних технологій

8.1. ЗАГАЛЬНІ ВІДОМОСТІ ПРО ВИМОГИ ТА КРИТЕРІЇ ОЦІНКИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

8.1.1. Основні поняття про стандарти інформаційної безпеки

Одними з найбільш важливих нормативно-технічних доку­ментів, які стимулюють розвиток захищених інформаційних сис­тем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.

Стандарти інформаційної безпеки — це стандарти забезпе­чення захисту, призначені для взаємодії між виробниками, спо­живачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.

Стандарти забезпечення захисту звичайно містять опис по­слідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забез­печити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або відповід­но до загальної стратегії захисту.

Найбільш значними стандартами інформаційної безпеки є (у хронологічному порядку): Критерії безпеки комп'ютерних сис­тем, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки інформаційних технологій, Канад­ські критерії безпеки комп'ютерних систем, Загальні критерії безпеки інформаційних технологій.

354

Розділ 8. Критерії безпеки інформаційних технологій

8 .1.2. Критерії безпеки комп'ютерних систем

Критерії безпеки комп'ютерних систем [Trusted Computer

System Criteria (TCSC)] — стандарт інформаційної безпеки, роз­роблений міністерством оборони США у 1983 р. з метою визна­чення вимог безпеки, що ставляться до апаратного, програмного і спеціального забезпечення комп'ютерних систем і вироблен­ня відповідної методології аналізу політики безпеки, що реалі­зується в комп'ютерних системах воєнного призначення. Інша назва — «Жовтогаряча книга». У критеріях пропонуються три категорії вимог безпеки — політика безпеки, аудит і коректність, в рамках яких сформульовані шість базових вимог безпеки:

• політика безпеки, мітки — в рамках політики безпеки;

• ідентифікація та автентифікація, реєстрація та облік — в рам­ ках аудиту;

• контроль коректності функціонування засобів захисту, безпе­ рервність захисту — в рамках коректності.

Перші чотири вимоги спрямовані безпосередньо на забезпе­чення безпеки інформації, а дві останні — на якість самих засобів захисту.

«Жовтогаряча книга» передбачає чотири групи критеріїв, які відповідають різним ступеням захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна група включає один або декілька класів.

Групи D (мінімальний захист) і А (верифікований захист) містять по одному класу [класи D1 (мінімальний захист) і А1 (формальна верифікація) відповідно], група С (дискреційний за­хист) — класи СІ (дискреційний захист) С2 (керування доступом), а група В (мандатний захист) — В1 (захист із застосуванням міток безпеки), В2 (структурований захист), ВЗ (домени безпеки), який характеризуються різними наборами вимог безпеки. Рівень безпе­ки збільшується при русі від групи D до групи А, а всередині групи — із збільшенням номера класу.

Критерії безпеки комп'ютерних систем зробили великий вплив на розробку керівних документів інших країн, зокрема на

355

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

р озробку керівних документів Державної технічної комісії при Президенті Російської федерації [14,15,16,17,18]. Цей вплив в основному відображається в орієнтованості цих документів на системи воєнного призначення та у використанні єдиної універ­сальної шкали оцінки ступеню захищеності.

8.1.3. Європейські критерії безпеки інформаційних технологій

Європейські критерії безпеки інформаційних технологій

[Information Technology Security Evaluation Criteria (ITSEC)] — стандарт інформаційної безпеки, розроблений у країнах Європи (Франція, Німеччина, Нідерланди та Великобританія) у 1991 р. «Європейські критерії» розглядають наступні завдання засобів інформаційної безпеки:

• захист інформації від несанкціонованого доступу з метою за­ безпечення конфіденційності;

• забезпечення цілісності інформації за допомогою захисту її від несанкціонованої модифікації або знищення;

• забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.

Для вирішення проблеми визнання засобів захисту ефек­тивними в критеріях уведене поняття гарантій засобів захисту. Гарантій включають у себе два аспекти: ефективність, що відоб­ражає відповідність засобів безпеки задачам, що вирішуються, і коректність, що характеризує процес їх розроблення й функ­ціонування. Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня гарантій їхньої реалізації.

Рівні гарантій в «Європейських критеріях» — сім рівнів га­рантій від ЕО до Е6 (у порядку зростання). Рівень ЕО означає міні­мальні гарантії (аналог рівня D «Жовтогарячої книги»). При пе­ревірці гарантій аналізується весь життєвий цикл системи — від початкової фази проектування до експлуатації і супроводження. Рівні гарантій від Е1 до Е6 вишикувані з наростанням вимог ре­тельності контролю. Так, на рівні Е1 аналізується тільки загальна

356

Розділв. КритерГі безпеки інформаційних технологій

а рхітектура системи, а гарантії засобів захисту підтверджується функціональним тестуванням. На рівні ЕЗ до аналізу залучають­ся вихідні тексти програм і схеми апаратного забезпечення. На рівні Е6 потрібний формальний опис функцій безпеки, загальної архітектури, а також політики безпеки.

Рівні безпеки в «Європейських критеріях» — рівні для виз­начення ступеню безпеки системи. В «Європейських критеріях» визначені три рівні безпеки — базовий, середній і високий.

Безпека вважається базовою, якщо засоби захисту здатні протистояти окремим випадковим атакам.

Безпека вважається середньою, якщо засоби захисту здат­ні протистояти зловмисникам, що мають обмежені ресурси та можливості. ■

Безпеку можна вважати високою, якщо є впевненість, що засоби захисту можуть бути подолані тільки зловмисниками з високою кваліфікацією, набір можливостей і ресурсів якого ви­ходить за межі розумного.

«Європейські критерії» покладено в основу багатьох стандар­тів безпеки комп'ютерних систем. На основі цих критеріїв Де­партаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України розроблені нормативні до­кументи системи технічного захисту інформації України стосов­но технічного захисту інформації на програмно керованих АТС Загального користування [55,56, 57, 58, 59].

8.1.4. Федеральні критерії безпеки інформаційних технологій

Федеральні критерії безпеки інформаційних технологій

[Federal Criteria for Information Technology Security (FCITS)] — стандарт інформаційної безпеки, розроблений Національним інститутом стандартів і технологій США (NIST) і Агентством національної безпеки США (NSA) у 90-х роках XX ст. для вико­ристання в Американському федеральному стандарті з оброб­лення інформації (Federal Information Processing Standard), який повинен був замінити «Жовтогарячу книгу».

357

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

« Федеральні критерії» охоплюють практично весь спектр про­блем, зв'язаних із захистом та забезпеченням безпеки, так як вклю­чають усі аспекти конфіденційності, цілісності та працездатності. Основними об'єктами застосування вимог безпеки критеріїв є продукти інформаційних технологій (ІТ-продукти) і системи об­роблення інформації. Ключовим поняттям концепції інформацій­ної безпеки «Федеральних критеріїв» є поняття профілю захисту.

Відповідно до «Федеральних критеріїв» процес розробки сис­тем оброблення інформації здійснюється у вигляді послідовності наступних основних етапів:

• розроблення та аналіз профілю захисту;

• розроблення і кваліфікаційний аналіз ІТ-продуктів;

• компонування й сертифікація системи оброблення інформації. «Федеральні критерії» регламентують тільки перший етап

цієї схеми — розробку та аналіз профілю захисту. Процес ство­рення ІТ-продуктів і компонування систем оброблення інфор­мації залишаються за межами цього стандарту.

8.1.5. Канадські критерії безпеки комп'ютерних систем

Канадські критерії безпеки комп'ютерних систем [Canadian Trusted Computer Product Evaluation Criteria (CTCPEC)] — націо­нальний стандарт інформаційної безпеки, розроблений Цент­ром безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) в 90 роках XX ст.

«Канадські критерії» використовуються для розроблення вимог безпеки, специфікацій засобів захисту та сертифікації програмно­го забезпечення робочих станцій, багатопроцесорних обчислю­вальних систем, персональних і багатокористувальницьких опе­раційних систем, систем управління базами даних, розподілених, мережних, вбудованих, проблемно-орієнтованих та інших систем.

В «Канадських критеріях» пропонується оригінальний підхід до опису взаємодії користувачів із комп'ютерною системою, ін­варіантний по відношенню до політики безпеки. Усі компоненти системи, які знаходяться під куправлінням ядра безпеки, назива­ються об'єктами.

358

Розділ 8. Критерії безпеки інформаційних технологій

О б'єкти можуть знаходитися в одному з наступних трьох станів: об'єкт-користувач, об'єкт-процес, пасивний об'єкт, і в за­лежності від стану, позначають користувачів, процеси та об'єкти відповідно.

При описі критеріїв конфіденційності та цілісності (довіль­ного та нормативного керування доступом і цілісністю) в «Ка­надських критеріях» використовується поняття тег.

Тега — сукупність атрибутів асоційованих із користувачем, процесом або проектом. Тегою може бути унікальний ідентифі­катор, мітка безпеки або цілісності, криптографічний ключ, таб­лиця прав доступу або інші атрибути у відповідності з реалізова­ною в комп'ютерній системі політикою безпеки.

У критеріях застосований дуальний принцип подання вимог безпеки у вигляді функціональних вимог до засобів захисту та вимог до гарантій 'їхньої реалізації. «Канадські критерії» є добре збалансованим конгломератом «Жовтогарячої книги» і «Феде­ральних критеріїв», посилених вимогами гарантій реалізації полі­тики безпеки, і поряд з іншими стандартами послужили основою для розроблення Загальних критеріїв безпеки інформаційних технологій.

Канадські критерії безпеки комп'ютерних систем були пок­ладені в основу Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу [49, 50, 51,52, 53], розроблених Департаментом спеціальних телекомуні­каційних систем та захисту інформації Служби безпеки України для системи технічного захисту інформації України.

8.2. ОСНОВНІ ПОЛОЖЕННЯ ЗАГАЛЬНИХ КРИТЕРІЇВ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

8.2.1. Мета розробки, основні положення та склад Загальних критеріїв

Загальні критерії безпеки інформаційних технологій

ICommon Criteria for Information Technology Security Evaluation (лЛЛ-TSE)] — стандарт інформаційної безпеки [81], що узагаль-^{Ює З}міст і досвід використання «Помаранчевої книги».

359

В ньому розвинені «Європейські критерії», втілена в реальні структури концепція типових профілів захисту «Федеральних критеріїв» США і відповідно до «Канадських критеріїв» пред­ставлена однакова основа для формулювання розробниками, ко­ристувачами та оцінювачами інформаційних технологій (експер­тами з кваліфікації) вимог, метрик і гарантій безпеки.

Версія 2.1 цього стандарту затверджена Міжнародною органі­зацією із стандартизації (ISO) в 1999 р. як міжнародний стандарт інформаційної безпеки ISO/IES 15408.

Матеріали стандарту являють собою енциклопедію вимог і гарантій з інформаційної безпеки, які можуть відбиратися та ре алізовуватися у функціональні стандарти (профілі захисту) забез­печення інформаційної безпеки для конкретних систем, мереж і засобів як користувачами (по відношенню до того, що вони хочуть одержати в продукті, який пропонується), так і розробниками й операторами мереж (по відношенню до того, що вони гарантують у продукті, який реалізується).

До складу Загальних критеріїв входять три основні частини (рис. 8.1):

• частина 1 —«Уявлення та загальна модель» [Part I: Introduction and general model];

• частина 2 — «Вимоги до функцій безпеки» [Part I: Security functional requirements];

• частина 3 — «Вимоги гарантій безпеки» [Part I: Security assurance requirements].

За межі стандарту винесена частина 4 — «Напередвизначені профілі захисту», із-за необхідності постійного поповнення ката­логу профілів захисту.

Основними компонентами безпеки Загальних критеріїв є:

• потенційні загрози безпеці та завдання захисту;

• політика безпеки;

• продукт інформаційних технологій;

• профіль захисту;

• проект захисту;

• функціональні вимоги безпеки;

360

• вимоги гарантій безпеки;

• рівні гарантій.

Стандарт Загальних критеріїв описує тільки загальну схе­му проведення кваліфікаційного аналізу та сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу та сертифікації присвячений окре­мий документ авторів Загальних критеріїв — Загальна мето­дологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є додатком до стандарту.

Кваліфікаційний аналіз [evaluation] — це аналіз обчис­лювальної системи з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту ін­формаційної безпеки. Інша назва кваліфікування рівня безпеки (Рис. 8.2).

Розділ 8. Критерії безпеки інформаційних технологій

З гідно з Загальними критеріями кваліфікаційний аналіз може здійснюватися як паралельно з розробленням ІТ-продукту, так і після її завершення.

Для проведення кваліфікаційного аналізу розробникпродукту повинен надати наступні матеріали:

• профіль захисту;

• проект захисту;

• різноманітні обґрунтування і підтвердження властивостей та можливостей ІТ-продукту, одержані розробником;

• сам ІТ-продукт;

• додаткові відомості, одержані шляхом проведення різнома­ нітних незалежних експертиз.

Процес кваліфікаційного аналізу включає три стадії:

• аналіз профілю захисту на предмет його повноти, несу- перечності, реалізованості та можливості використання у виг­ ляді набору вимог для продукту, що аналізується;

• аналіз проекту захисту на предмет його відповідності вимогам профілю захисту, а також повноти, несуперечності, реалізова­ ності і можливості використання у вигляді еталона при аналізі ІТ-продукту;

• аналіз ІТ-продукту на предмет відповідності проекту захисту. Результатом кваліфікаційного аналізу є висновок про те, що

підданий аналізу ІТ-продукт відповідає представленому проекту захисту.

8.2.2. Потенційні загрози безпеці та типові завдання захисту

Загрози безпеці обчислювальної системи — впливи на об­числювальну систему, які прямо або побічно можуть нанести шкоду її безпеці. Розробники вимог безпеки та засобів захисту виділяють три види загроз:

• загрози порушення конфіденційності інформації;

• загрози порушення цілісності інформації;

• загрози порушення працездатності системи (відмови в об­ слуговуванні).

363

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

З агрози порушення конфіденційності — загрози безпеці обчислювальної системи, спрямовані на розголошення інформа­ції з обмеженим доступом.

Загрози порушення цілісності — загрози безпеці обчислю­вальної системи, що полягають у спотворенні або зміні неавтори-зованим користувачем інформації, що зберігається або передаєть­ся. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи. Найбільш актуальна ця загроза для систем передавання інформації — комп'ютерних мереж і систем телеко­мунікації.

Загрози порушення працездатності — загрози безпеці об­числювальної системи, спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність обчислю­вальної системи, або її ресурси стають недоступними.

Завдання захисту в Загальних критеріях декларуються на­ступним чином:

• захист від загроз порушення конфіденційності (несанкціоно­ ваного одержання) інформації з усіх каналів її витоку, особ­ ливо за рахунок каналів ПЕМВН і прихованих (таємних) ка­ налів зв'язку;

• захист від загроз порушення цілісності (несанкціонованого змінювання інформації);

• захист від загроз порушення доступності інформації (не­ санкціонованого або випадкового обмеження інформації та ресурсів самої системи);

• захист від загроз аудитові системи (наприклад, загрози не­ санкціонованих вторгнень у систему, маніпуляцій з прото­ колами обміну та аудиту, і загальносистемним програмним забезпеченням).

8.2.3. Політика безпеки

Політика безпеки [security policy] — сукупність законів, норм і правил, що регламентують порядок оброблення, захисту і поширення інформації комп'ютерної системи.

364

Розділ 8. Критерії безпеки інформаційних технологій

В системах зв'язку політика безпеки є частиною загальної політики безпеки оператора зв'язку і може включати, зокрема, положення державної політики у галузі захисту інформації.

Для кожної системи (підсистеми) зв'язку політика безпеки може бути індивідуальною і може залежати від технології пере­давання, оброблення та зберігання інформації, що реалізуєть­ся, особливостей системи зв'язку, середовища експлуатації і від багатьох інших факторів. Політика повинна визначати ресурси системи зв'язку, які потребують захисту, зокрема встановлюва­ти категорії інформації, яка передається, оброблюється та збері­гається в системі. Мають бути сформульовані основні загрози для системи зв'язку, персоналу, інформації різних категорій і ви­моги до захисту від цих загроз.

Складовими частинами загальної політики безпеки в системі зв'язку мають бути політики забезпечення конфіденційності, цілісності і доступності інформації, що передається, оброб­люється і зберігається. Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.

Частина політики безпеки, яка регламентує правила доступу користувачів і процесів системи зв'язку, складає правила розме­жування доступу.

8.2.4. Продукт інформаційних технологій

Продукт інформаційних технологій (ІТ-продукт) — сукуп­ність апаратних і (або) програмних засобів, яка поставляється кінцевому споживачеві як готовий до використання засіб оброб­лення інформації. Сукупність ІТ-продуктів об'єднується в функ­ціонально закінчений комплекс (продукт) для вирішення конк­ретного прикладного завдання в системі оброблення інформації.

Принциповою відмінністю між ІТ-продуктом і системою об­роблення інформації є наступне. ІТ-продукт звичайно розроб­ляється для використання в багатьох системах оброблення ін­формації, тому його розробник орієнтується тільки на найза-гальніші вимоги до середовища його експлуатації (умови його застосування і потенційні загрози інформації).

365

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Н авпаки, система оброблення інформації розроблюється вузь­ко спеціалізованою для вирішення конкретних прикладних зав­дань і під конкретні вимоги споживачів, що дозволяє у повній мірі враховувати специфіку впливу зі сторони конкретного середови­ща експлуатації. Саме тому ІТ-продукт, а не система оброблення інформації, декларується в стандарті як універсальний компонент безпеки.

8.2.5. Профіль захисту

Профіль захисту [Protection Profile (PP)] — спеціальний нор­мативний документ, що регламентує сукупність завдань захисту, функціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрунтування. Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, додаткові ві­домості, обґрунтування (рис. 8.3).

Профіль захисту: вступ [PP introduction] — розділ профілю захисту, який містить всю інформацію для пошуку профілю за­хисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю захисту та огляду змісту. Ідентифікатор профілю захис­ту являє собою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.

Огляд змісту профілю захисту містить коротку анотацію профілю захисту, на основі якої споживач може зробити висно­вок про придатність даного профілю захисту.

Профіль захисту: опис ІТ-продукту [TOE description] — роз­діл профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояс­нення вимог безпеки і визначення їхньої відповідності до за­вдань, що вирішуються за допомогою ІТ-продукту.

366

Профіль захисту: середовище експлуатації [TOE security ^;nvironment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою.

367

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

В середовищі експлуатації описуються умови експлуатації, за­грози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерп­ну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати та регла­ментувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не від­носяться до сфери інформаційних технологій.

Профіль захисту: вимоги безпеки [IT security requirements] — розділ профілю захисту, що містить вимоги, яким повинен задо­вольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні ви­моги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.

Функціональні вимоги повинні містити тільки типові вимо­ги, передбачені тільки відповідними розділами Загальних кри­теріїв. Необхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань за­хисту. Функціональні вимоги можуть дозволяти або забороняти використання конкретних методів і засобів захисту.

368

Розділ 8. Критерії безпеки інформаційних технологій

В имоги гарантій містять посилання на типові вимоги рівнів гарантій Загальних критеріїв, проте допускають і визначення до­даткових вимог гарантій.

Вимоги до середовища експлуатації є необов'язковими і мо­жуть містити функціональні вимоги та вимоги гарантій, яким повинні задовольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх розділів, використання типових вимог «Загаль­них критеріїв» є бажаними, але не обов'язковими.

Профіль захисту: додаткові відомості [РР application notes] — необов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.

Профіль захисту: обґрунтування [rationale] — розділ профі­лю захисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Розділ складається з обґрунтування завдань захис­ту та обґрунтування вимог безпеки.

Обґрунтування завдань захисту повинно демонструвати, що завдання, які пропонуються у профілі, відповідають параметрам середовища експлуатації, а їх вирішення дозволить ефективно протистояти загрозам безпеці і реалізувати політику безпеки.

Обґрунтування вимог безпеки показує, що вимоги безпеки дозволяють ефективно вирішувати завдання захисту, оскільки:

• сукупність цілей окремих функціональних вимог безпеки відповідають встановленим завданням захисту;

• вимоги безпеки є пов'язаними, тобто не суперечать, а взаєм­ но підсилюються; вибір вимог є виправданим (особливо це стосується додаткових вимог);

• вибраний набір функціональних вимог і рівень гарантій від­ повідають завданням захисту.

Профіль захисту служить керівництвом для виробника та розробника ІТ-продукту, які повинні на його основі і технічних рекомендацій, що запропоновані ним, розробити проект захис-

369

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

т у, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.

8.2.6. Проект захисту

Проект захисту [Security Target (ST)] — нормативний доку­мент, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізова­них у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з однієї сторони є від­правною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, загальні спе­цифікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 8.4). Багато розділів проекту захисту збіга­ються із однойменними розділами профілю захисту.

Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам Загальних критеріїв.

Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.

Огляд змісту проекту захисту — достатньо докладна анота­ція проекту захисту, що дозволяє споживачам визначати придат­ність ІТ-продукту для вирішення завдань.

Заявка на відповідність Загальним критеріям — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі Загальних критеріїв.

Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-про­дукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сер­тифікації, але подається розробникам і експертам для пояснення

370

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

в имог безпеки і визначення їхньої відповідності завданням, що вирішуються за допомогою ІТ-продукту.

Проект захисту: середовище експлуатації [TOE security environment] — розділ проекту захисту, що містить опис усіх ас­пектів функціонування ІТ-продукту, зв'язаних з безпекою. В се­редовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичер­пну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, в разі необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Проект захисту: завдання захисту [security objectives] — роз­діл проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати і регламен­тувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не на­лежить до сфери інформаційних технологій.

Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-про­дукту, якими керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю за­хисту.

Розділ функціональних вимог безпеки до ІТ-продукту на від­міну від відповідного розділу профілю захисту допускає вико­ристання крім типових вимог Загальних критеріїв і інших, спе-

372

Розділ 8. Критерії безпеки інформаційних технологій

ц ифічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль Загальних критеріїв і забезпечувати властиву їм ступінь деталі­зації.

Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в Загальних критеріях. В даному випадку опис рів­ня гарантій повинен бути чітким, несуперечливим і мати ступінь деталізації, що допускає його використання в ході кваліфікацій­ного аналізу. При цьому бажано використати стиль і деталізації опису рівнів гарантій, прийняті в Загальних критеріях.

Проект захисту: загальні специфікації.-ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.

Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, від­повідність профілю захисту, вдосконалення профілю захисту.

Посилання на профіль захисту однозначно ідентифікує про­філь захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і ви­моги, що містяться в профілі захисту.

Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, вста­новлених у профілі захисту.

Проект захисту: обґрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх,

373

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

е фективно протистоятиме загрозам безпеці. Крім того, обґрун­тування містить підтвердження заявленої відповідності профі­лю захисту. Розділ деталізується у наступному.

Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають влас­тивостям середовища експлуатації, тобто їх вирішення дозво­лить ефективно протидіяти загрозам безпеці і реалізувати виб­рану під них політику безпеки.

Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту, оскільки:

• сукупність функціональних вимог безпеки та вимог гарантій безпеки, а також умов експлуатації ІТ-продукту відповідають завданням захисту;

• усі вимоги безпеки є несуперечливими і взаємно підсилюють одна одну;

• вибір вимог є оправданим;

• рівень функціональних можливостей засобів захисту від­ повідає завданням захисту.

Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:

• сукупність засобів захисту задовольняє функціональним ви­ могам;

• необхідний рівень безпеки та надійності захисту забезпе­ чується засобами, що запропоновані;

• заходи, спрямовані на забезпечення гарантій реалізації фун­ кціональних вимог, відповідають вимогам гарантій. Обґрунтування відповідності профілю захисту показує, що

вимоги проекту захисту підтримують всі вимоги профілю захис­ту. Для цього повинно бути показано, що:

• усі вдосконалення завдань захисту порівняно з профілем за­ хисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;

• усі вдосконалення вимог безпеки порівняно з профілем за­ хисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;

374

Розділ 8. Критерії безпеки інформаційних технологій

в сі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;

ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.

8.3. ФУНКЦІОНАЛЬНІ ВИМОГИ ДО ЗАСОБІВ ЗАХИСТУ 8.3.1. Загальна характеристика ФВБ

Функціональні вимоги безпеки (ФВБ) [security functional requirements] — вимоги безпеки, які в Загальних критеріях рег­ламентують функціонування компонентів ІТ-продукту, що за­безпечують безпеку, і визначають можливості засобів захисту. ФВБ декларуються у вигляді добре розробленої формальної структури. Набір ФВБ узагальнює усі існуючі раніше стандарти інформаційної безпеки і відрізняється всеосяжною повнотою і найдокладнішою деталізацією. ФВБ розділені на 11 класів функ­ціональних вимог безпеки і 67 розділів функціональних вимог.

Опис кожної вимоги будується за наступною схемою (рис. 8.5):

• назва [component identification], що містить унікальну назву вимоги, яка використовується для посилань на неї із профілю і проекту захисту;

• зміст вимоги [functional elements], де проводиться основна думка про те, що функціональний склад вимоги Загальні критерії дозволяють використовувати тільки без змін, що за­ безпечує їх стандартизацію;

• сполучені вимоги [dependencies], що є необов'язковим пунк­ том, який містить список вимог різних розділів і класів, вико­ нання яких розглядається як необхідна попередня умова для реалізації даної вимоги.

Клас ФВБ [functional class] в Загальних критеріях — верхній рівень формальної структури функціональних вимог безпеки. Містить наступні елементи:

• назву класу [class name];

• опис класу [class introduction];

• розділи ФВБ [functional families].

375

Функціональні вимоги розподілені на 11 класів ФВБ (рис. 8.6):

• аудит;

• причетність до приймання/передавання;

• криптографія;

• захист інформації;

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

• і дентифікація та автентифікація;

• управління безпекою;

• конфіденційність роботи в системі;

• надійність засобів захисту;

• контроль за використанням ресурсів;

• контроль доступу до системи;

• пряма взаємодія.

Зміст класів ФВБ відрізняється своєю всеохоплюючою повно­тою і багаторівневим підходом до забезпечення безпеки. Окремі класи вимог спрямовані на забезпечення безпеки самих засобів захисту, контролю за експлуатацією системи, забезпечення кон­фіденційності сеансів доступу до системи та організації обміну інформацією.

Вимоги конфіденційності, цілісності та управління доступом об'єднані в один клас захисту інформації, що виглядає цілком логічно і повністю відповідає їх призначенню. Слід відзначити наявність, крім політики управління доступом, також політики керування інформаційними потоками, а також відділення вимог до політики безпеки від вимог до засобів реалізації.

Клас вимог до безпеки самих засобів захисту є найбільш об'ємним, що визначається високим ступенем деталізації вклю­чених до нього вимог до методів і засобів забезпечення нормаль­ного функціонування засобів захисту.

Особлива увага приділяється контролю за доступом до сис­теми і конфіденційності сеансів роботи з нею. Вимоги до органі­зації інформаційного обміну обмежуються неможливістю учас­ників взаємодії ухилятися від відповідальності.

Розділ ФВБ [assurance family] — складова частина класу ФВБ. Структура розділу містить наступні елементи:

• назва та позначення розділу [family name];

• опис розділу [family behaviour];

• ранжирування вимог [component levelling];

• керовані параметри [management];

• об'єкти реєстрації та обліку [audit];

• вимоги [components].

378

Розділ 8. Критерїї безпеки інформаційних технологій

К ожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу.

Набір вимог представляє собою ієрархічну структуру, в якій підсилення вимог здійснюється монотонно, але при цьому не є лінійним упорядкованим списком.

Вимоги, які стоять в ієрархії вище інших включають у себе ниж-честоящі вимоги. Це означає, що у профілі захисту необхід­но використати тільки одну з таких вимог.

Вимоги, не пов'язані відносинами ієрархічності, є незалежни­ми і можуть використовуватися одночасно.

Ранжирування функціональних вимог здійснюється не за єди­ною універсальною шкалою безпеки, як в інших критеріях, а за множиною часткових критеріїв (більше 280). Набір цих критеріїв являє собою ієрархічну структуру у вигляді невпорядкованого списку порівнянних і непорівнянних вимог, в якому підсилення вимог здійснюється монотонно від нижчих рівнів до вищих. Ця структура має вигляд спрямованого графа — підсилення вимог безпеки здійснюється при рухові по його ребрах.

8.3.2. Класи функціональних вимог безпеки

Аудит

Клас ФВБ: аудит [с. FAU: security AUdit] включає наступні розділи ФВБ:

• автоматичне реагування на спроби порушення безпеки;

• реєстрація та облік подій;

• аналіз протоколу аудита;

• доступ до протоколу аудита;

• відбір подій для реєстрації й обліку;

• протокол аудита.

Розділ ФВБ: [security audit Automatic ResPonse (FAU_ARP)] включає вимогу — засоби захисту повинні реагувати на спроби порушення безпеки [security alarms (FAU_ARP.l)].

379

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Р озділ ФВБ: реєстрація й облік подій [security audit data GENeration (FAU_GEN)| включає незалежні функціональні ви­моги безпеки:

• реєстрація заданої множини подій і задавання облікової інфор­ мації для подій кожного типу [audit data generation (FAU_GENJ)];

• реєстрація, облік подій та реєстрація користувачів, які ініцію­ вали події [user identity association (FAU_GEN.2)].

Розділ ФВБ: аналіз протоколу аудита [Security Audit Analysis (FAU_SAA)] включає функціональну вимогу безпеки — виявлен­ня потенційно небезпечних подій на основі контролю за діапазо­нами параметрів обліку на основі фіксованої множини правил [potential violation analysis (FAU_SAA.l)], яка підсилюється двома незалежними вимогами:

• статистичне розпізнавання вторгнень на основі аналізу про­ філів роботи користувачів [profile based anomaly detection (FAU_SAA.2)];

• динамічне розпізнавання сигнатур елементарних атак на ос­ нові простих евристик [simple attack heuristics (FAU_SAA.3)]. Вимога FAU_SAA.3 підсилюється вимогою — розпізнавання

комплексних атак на основі складних евристик [complex attack heuristics (FAU_SAA.4)].'

Розділ ФВБ: доступ до протоколу аудита [Security Audit Review (FAU_SAR)] включає незалежні функціональні вимоги безпеки:

• надання доступу до протоколу аудита для обмеженого набо­ ру авторизованих користувачів [audit review (FAU_SAR.l)];

• захист протоколу аудита від неавторизованих користувачів [restricted audit review (FAU_SAR.2)];

• вибіркове керування доступом до протоколу аудита [selectable audit review (FAU_SAR.3)].

Розділ ФВБ: відбір подій для реєстрації та обліку [security audit event SELection (FAU_SEL)] включає вимогу безпеки — виз­начення множини властивих аудитові подій на основі заданого набору атрибутів [selective audit (FAU_SEL.l)].

Розділ ФВБ: протокол аудита [security audit event SToraGe (FAU_STG)] включає дві незалежні функціональні вимоги безпеки:

380

Розділ 8. Критерії безпеки інформаційних технологій

• в иділення ресурсів під протокол аудита, захист протоколів від неавторизованої модифікації або видалення [protected audit trail storage (FAU_STG.l)];

• попередження втрати записів протоколу аудита у випадку зменшення об'єму ресурсів, які відведені під протокол аудита до певної межі [action in case of possible audit data loss (FAU_ STG.3)]. Кожна з незалежних вимог підсилюється відповідно вимогами:

• гарантована доступність протоколу аудита [guarantees of audit data availability (FAU_STG.2)];

• попередження втрат записів аудита у випадку вичерпання ре­ сурсів, які відведені під протокол аудита [prevention of audit dataloss(FAU_STG.4)].

Захист інформації

Клас ФВБ: захист інформації [с. FDP: user Data Protection] включає наступні розділи ФВБ:

• політики управління доступом;

• засоби управління доступом;

• автентифікація інформації;

• експорт інформації із системи;

• політики управління інформаційними потоками;

• засоби управління інформаційними потоками;

• імпорт інформації;

• захист інформації при передаванні внутрішніми каналами;

• знищення залишкової інформації;

• відкіт;

• контроль цілісності інформації у процесі зберігання;

• захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів;

• цілісність внутрішньосистемного передавання інформації при використанні зовнішніх каналів.

Розділ ФВБ: політики управління доступом [ACcess Control policy (FDP_ACC) включає ієрархічно залежні вимоги безпеки:

381

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• у правління доступом для обмеженої множини операцій і об'єктів [subset access control (FDP_ACC.l)];

• управління доступом для повної множини об'єктів, суб'єктів і операцій. Будь-яка операція, яка здійснюється будь-яким об'єктом, повинна контролюватися принаймні одною полі­ тикою управління доступом [complete access control (FDP_ ACC2)].

Розділ ФВБ: засоби управління доступом [Access Control Functions (FDP_ACF)] включає вимогу безпеки — управління доступом на основі атрибутів безпеки або іменованих груп атри­бутів із явним дозволом або відмовою в доступі [security attribute based access control (FDP_ACF.l)].

Розділ ФВБ: автентифікація інформації [Data AUtentificati-on (FDP_DAU)] включає ієрархічно залежні функціональні ви­моги безпеки:

• автентифікація інформації, що міститься в об'єкті доступу [basic data authentication (FDP_DAU.l)];

• автентифікація інформації, що міститься в об'єкті доступу з ідентифікацією суб'єкта, який здійснює автентифікацію [data authentication with identity of guarantor (FDP_DAU.2)]. Розділ ФВБ: експорт інформації із системи [Export to outside

TSF Control (FDP_ETC)] включає незалежні функціональні ви­моги безпеки:

• експорт інформації без атрибутів безпеки [export of user data without security attributes (FDP_ETC.l)];

• експорт інформації разом з атрибутами безпеки [export of user data with security attributes (FDP_ETC2)].

Розділ ФВБ: політики управління інформаційними пото­ками [Information Flow Control policy (FDP_IFC)] включає ієрар­хічно залежні функціональні вимоги безпеки:

• управління інформаційними потоками для обмеженої мно­ жини операцій і потоків [subset information flow control (FDP_ IFC.1)];

• управління доступом до повної множини потоків, суб'єктів і операцій. Будь-яка політика керування потоками повин-

382

Розділ 8. Критерії безпеки інформаційних технологій

н а контролювати всі операції у системі. Усі потоки інфор­мації в системі повинні контролюватися принаймні однією політикою управління інформаційними потоками [complete information flow control (FDP_IFC2)].

Розділ ФВБ: засоби управління інформаційними потока­ми [Information Flow control Functions (FDP_IFF)] включає неза­лежні функціональні вимоги безпеки:

• управління інформаційними потоками на основі атрибутів безпеки інформації й суб'єктів, між якими здійснюється об­ мін інформацією [simple security attributes (FDP_IFF.l)];

• контроль схованих інформаційних потоків [limited illicit information flows (FDPJFF.3)];

моніторинг схованих інформаційних потоків і обмеження їхньої пропускної здатності [illicit information flow monitoring (FDPJFF.6)].

Вимога FDP_IFF.l підсилюється вимогою — управління ін­формаційними потоками на основі ієрархічно впорядкованих атрибутів безпеки, що присвоєні усім інформаційним потокам і утворюють грати [hierarchical security attributes (FDP_IFF.2)].

Вимога FDP_IFF.3 підсилюється ієрархічно залежними вимо­гами:

часткова заборона схованих інформаційних потоків [partial elimination of illicit information flows (FDP_IFF.4)];

повна заборона схованих інформаційних потоків [no illicit information flows (FDPJFF.5)].

Розділ ФВБ: імпорт інформації [Import from outside TSF Control (FDP_ITC)] включає незалежні функціональні вимоги безпеки:

імпорт інформації без атрибутів безпеки [import of user data without security attributes (FDPJTC.l)];

імпорт інформації разом з атрибутами безпеки [import of user data with security attributes (FDPJTC2)].

Розділ ФВБ: захист інформації при передаванні внутріш­німи каналами [Internal TOE Transfer (FDPJTT)] включає неза­лежні функціональні вимоги безпеки:

383

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

• б азові засоби захисту інформації, що передається [basic internal transfer protection (FDP_ITT.l)];

• контроль цілісності інформації, що передається [integrity monitoring (FDPJTT.3)].

Ці вимоги відповідно підсилюються вимогами:

• передавання даних із різними атрибутами безпеки окремими каналами [transmission separation by attribute (FDP_ITT.2)];

• застосування різноманітних методів контролю цілісності в залежності від атрибутів безпеки [attribute-based integrity monitoring(FDP_ITT.4)].

Розділ ФВБ: знищення залишкової інформації [Residual Information Protection (FDP_RIP)] включає ієрархічно залежні вимоги безпеки функціональні:

• знищення залишкової інформації для певної підмножини об'єктів при їхньому створенні й вилученні [subset residual information protection (FDP_RIP.l)];

• знищення залишкової інформації для всіх об'єктів при їх створенні або вилученні [full residual information protection (FDP_RIR2)].

Розділ ФВБ: відкіт [ROLlback (FDP_ROL)] включає незалеж­ні функціональні вимоги безпеки:

• обмеження можливості здійснення відкоту для певної підмно­ жини операцій на задане число кроків [basic rollback (FDP_ROL.

1)];

• розширення можливостей здійснення відкоту для всіх опера­ цій на задане число кроків [advanced rollback (FDPJRO1.2)]. Розділ ФВБ: контроль цілісності інформації у процесі збе­ рігання [Stored Data Integrity (FDP_SDI)] включає ієрархічно за­ лежні функціональні вимоги безпеки:

• виявлення порушень цілісності інформації у процесі збері­ гання [stored data integrity monitoring (FDP_SDI.l)];

• виявлення порушень цілісності інформації у процесі збері­ гання і визначення реакції на виявлені помилки [stored data integrity monitoring and action (FDP_SDL2)].

Розділ ФВБ: захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів [inter-TSF User data Confidentiality Transfer protection (FDP_UCT)] включає

384

Розділ 8. Критерії безпеки інформаційнихтехнологій

' функціональну вимогу безпеки — захист інформації при спря­муванні її у зовнішній канал [basic data exchange confidentiality (FDPJJCT.1)].

Розділ ФВБ: цілісність внутрішньосистемного передаван­ня інформації при використанні зовнішніх каналів [inter-TSF User data integrity Transfer protection (FDP_UIT)] включає неза­лежні функціональні вимоги безпеки — виявлення порушень цілісності при передаванні інформації [data exchange integrity (FDP_UIT.l)] і відновлення інформації одержувачем [source data exchange recovery (FDP_UIT.2)], яка підсилюється вимогою — повторне передавання інформації [destination data exchange recovery (FDP_UIT.3)].

Ідентифікація та автентифікація

Клас ФВБ: ідентифікація та автентифікація включає на­ступні розділи ФВБ:

• реакція на невдалі спроби автентифікації;

• атрибути безпеки користувачів;

• автентифікаційні параметри;

• автентифікація користувачів;

• ідентифікація користувачів;

• відповідність користувачів і суб'єктів.

Розділ ФВБ: реакція на невдалі спроби автентифікації [Authentication FaiLures (FIA_AFL)] включає вимогу безпеки — засоби ідентифікації й автентифікації повинні припиняти спро­би встановлення сеансів роботи із системою після встановленого числа невдалих спроб автентифікації і призупиняти обслугову­вання засобів, що задіяні в ході цих спроб [authentication failure handling (FIA_AFL.l)].

Розділ ФВБ: атрибути безпеки користувачів [user ATtri-bute Definition (FIA_ ATD)] включає вимогу безпеки — індивідуаль­не призначення атрибутів безпеки користувачів [user attribute definition (FIA_ATD.l)].

Розділ ФВБ: автентифікаційні параметри [Specification Of Secrets (FIA_SOS)] включає незалежні функціональні вимоги безпеки:

385

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНШЕХНОЛОГІЙ

• п еревірка якості автентифікаційних параметрів відповідно до заданих критеріїв [verification of secrets (FIA_SOS.l)];

• автоматична генерація автентифікаційних параметрів і пе­ ревірка їхньої якості відповідно до заданих критеріїв [TSF generation of secrets (FIA_SOS.2)].

Розділ ФВБ: автентифікація користувачів [User Authentication (FIA_UAU)] включає незалежні функціональні вимоги безпеки:

• обов'язковість автентифікації користувачів [timing of authentication (FIAJUAU.l)];

• механізм автентифікації повинен розпізнавати та поперед­ жувати використання підроблених автентифікаційних пара­ метрів або їхніх дублікатів [unforgeable authentication (FIA_ UAU.3)];

• використання одноразових автентифікаційних параметрів [single-use authentication mechanisms (FIAJLJAU.4)];

• використання множини механізмів автентифікації, що ви­ користовується залежно від ситуації [multiple authentication mechanisms (FIA_UAU.5)];

• застосування механізмів повторної автентифікації для ви­ конання встановленої множини операцій [re-authenticating (FIAJJAU.6)];

• мінімізація інформації, що надається користувачеві в про­ цесі проходження процедури автентифікації [protected authentication feedback (FIA_UAU.7)].

Вимога FIA_UAU.l підсилюється вимогою — неможливість здійснення дій, що контролюються засобами захисту, без успіш­ного проходження процедури автентифікації [user authentication before any action (FIA_UAU.2)].

Розділ ФВБ: ідентифікація користувачів [User IDentificati-on (FIA_UID)] включає ієрархічно залежні функціональні вимо­ги безпеки:

• обов'язковість ідентифікації користувачів [timing of identification (FIA\_UID.l)];

• неможливість здійсненні дій, що контролюються засобами захисту, без успішного проходження процедури ідентифіка­ ції [user identification before any action (FIA_UID.2)].

386

Розділв. Критерії безпеки інформаційних технологій

Р озділ ФВБ: відповідність користувачів і суб'єктів [User-Subject Binding (FIA_USB)] включає вимогу безпеки — присвоєн­ня суб'єктам, що діють від імені користувача, його атрибутів без­пеки [user-subject binding (FIA_USB.l)].

Управління безпекою

Клас ФВБ: управління безпекою [с. FMT: security Manege-men T] включає наступні розділи ФВБ:

• управління засобами захисту;

• управління атрибутами безпеки;

• управління параметрами та конфігурацією засобів захисту;

• відкликання атрибутів безпеки;

• обмеження строку дії атрибутів безпеки;

• адміністративні ролі.

Розділ ФВБ: управління засобами захисту [Management Of Functions in TSF (FMT_MOF)] включає вимогу безпеки — уп­равління авторизованими користувачами засобами захисту [management of security functions behaviour (FMT_MOF.l)].

Розділ ФВБ: управління атрибутами безпеки [Management of Security Attributes (FMT_MSA)] включає незалежні функціо­нальні вимоги безпеки:

• управління авторизованими користувачами атрибутами без­ пеки [management of security attributes (FMT_MSA.l)];

• контроль коректності значень атрибутів безпеки [secure security attributes (FMT_MSF2)];

• коректна ініціалізація атрибутів безпеки визначеними зна­ ченнями [static attribute initialization (FMT_MSA.3)]. Розділ ФВБ: управління параметрами та конфігурацією

засобів захисту [Management of TSF Data (FMT_MTD)j включає незалежні функціональні вимоги безпеки:

• управління параметрами та конфігурацією засобів захис­ ту авторизованими користувачами [management of TSF data (FMT_MTD.l)];

387

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• в иконання заданих дій у разі виходу параметрів функціону­ вання засобів захисту за встановлені межі [management of limits on TSF data (FMT_MTD.2)];

• автоматичний контроль коректності конфігурації й парамет­ рів засобів захисту [secure TSF data (FMT_MTD.3)].

Розділ ФВБ: відкликання атрибутів безпеки [REVolocation (FMT_REV)] включає вимогу безпеки — відкликання атрибутів безпеки відповідно до встановлених правил [revocation (FMT_ REV.1)].

Розділ ФВБ: обмеження строку дії атрибутів безпеки [Security Attribute Expiration (FMT_SAE)] включає вимогу безпе­ки — визначення строку дії атрибутів безпеки авторизованими користувачами [time-limited authorization (FMT_SAE.l)].

Розділ ФВБ: адміністративні ролі [Security Management Roles (FMT_SMR)] включає наступні функціональні вимоги безпеки:

• використання адміністративних ролей для управління безпе­ кою [security roles (FMT_SMR.l)];

• надання ролевих повноважень за запитом користувача [assuming roles (FMT_SMR.3)].

Вимога FMT_SMR.l підсилюється вимогою — використання впорядкованого набору адміністративних ролей для управління безпекою [restrictions on security roles (FMT_SMR.2)];.

Контроль доступу до системи

Клас ФВБ: контроль доступу до системи [с. FTA: TOE Access] включає наступні розділи ФВБ:

• обмеження на використання атрибутів безпеки;

• обмеження числа одночасних сеансів;

• блокування сеансу роботи із системою;

• об'яви, попередження, запрошення та підказки;

• протокол сеансів роботи із системою;

• управління сеансами роботи із системою.

Розділ ФВБ: обмеження на використання атрибутів безпе­ки [Limitation on scope of Selectable Attributes (FTA_LSA)] включає

388

Розділ 8. Критерії безпеки інформаційних технологій

в имогу безпеки — обмеження множини атрибутів безпеки, які використовуються користувачем у межах однієї сесії [limitation on scope of selectable attributes (FTA_LSA.l)].

Розділ ФВБ: обмеження числа одночасних сеансів [limitation on Multiple Concurrent Sessions (FTAJVtCS)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження числа одночасних сеансів [basic limitation on multiple concurrent sessions (FTA_MCS.l)];

• обмеження числа одночасних сеансів у залежності від атри­ бутів безпеки користувачів [per user attribute limitation on multiple concurrent sessions (FTA_MCS.2)].

Розділ ФВБ: блокування сеансу роботи із системою [SeSsi-on Locking (FTA_SSL)] включає незалежні функціональні вимоги безпеки:

• автоматичне блокування сеансу роботи після вказаного пе­ ріоду неактивності [TSF-initiated session locking (FTA_SSL.l)];

• блокування сеансу користувачем [user-initiated locking (FTA_ SSL.2)];

• автоматичне завершення сеансу роботи після закінчення за­ дано го періоду неактивності [TSF-initiated termination (FTA_ SSL.3)].

Розділ ФВБ: об'яви, попередження, запрошення та підказ­ки [TOE Assess Banners (FTA_TAB)] включає вимогу безпеки — демонстрація об'яв, попереджень, запрошень і підказок перед початком сеансу роботи із системою [default TOE access banners (FTA_TAB.l)].

Розділ ФВБ: протокол сеансів роботи із системою [TOE Assess History (FTA_TAH)] включає вимогу безпеки — реєстра­ція й демонстрація користувачам протоколу сеансів їхньої робо­ти й спроб входу в систему [TOE access history (FTAJTAH.l)].

Розділ ФВБ: управління сеансами роботи із системою [TOE Session Establishment (FTA_TSE)] включає вимогу безпеки — за­борона встановлення сеансу роботи із системою на основі зада­ної множини правил [TOE session establishment (FTAJTSE.l)].

389

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

К онтроль за використанням ресурсів

Клас ФВБ: контроль за використанням ресурсів [с. FRU: Resource Utilisation] включає наступні розділи ФВБ:

• стійкість до відмов;

• розподіл ресурсів на основі пріоритетів;

• квотування ресурсів.

Розділ ФВБ: стійкість до відмов [FauLt Tolerance (FRU _ FLT)] включає ієрархічно залежні функціональні вимоги безпеки:

• забезпечення працездатності системи на заданому рів­ ні у випадку виникнення вказаних збоїв [degraded fault tolerance(FRU_FLT.l)];

• забезпечення нормальної роботи системи у випадку виник­ нення вказаних збоїв [limited fault tolerance (FRU_FLT.2)]. Розділ ФВБ: розподіл ресурсів на основі пріоритетів [PRi-

ority of Service(FRU_PRS)] включає ієрархічно залежні функціо­нальні вимоги безпеки:

• розподіл обмеженої підмножини ресурсів системи на основі пріоритетів [limited priority of service (FRU_PRS.l)];

• розподіл усіх ресурсів на основі пріоритетів [full priority of service (FRU_PRS.2)].

Розділ ФВБ: квотування ресурсів [ReSource Allocation (FRU_RSA)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження на споживання користувачами ресурсів системи за допомогою квот [maximum quotas (FRU_RSA.l)];

• обмеження на споживання користувачами ресурсів системи за допомогою квот і резервування для споживача гарантова­ ної множини ресурсів [minimum and maximum quotas (FRU_ RSA.2)].

Конфіденційність роботи в системі

Клас ФВБ: конфіденційність роботи в системі [с. FPR: PRivacy] включає наступні розділи ФВБ:

• анонімність користувачів;

• використання псевдонімів;

390

Розділ 8. Критерії безпеки інформаційних технологій

• а нонімність сеансів роботи із системою;

• захист від моніторингу сеансів роботи із системою.

Розділ ФВБ: анонімність користувачів [ANOnymity (FPR_ ANO)] включає ієрархічно залежні функціональні вимоги без­пеки:

• анонімність суб'єктів, які представляють інтереси користува­ чів [anonymity (FPR_ANO.l)];

• анонімність ідентифікаторів користувачів для середовища за­ хисту [anonymity without soliciting information (FPR_AN0.2)]. Розділ ФВБ: використання псевдонімів [PSEudonymity (FPR_PSE)] включає вимогу безпеки — контроль дій анонім­ них користувачів за допомогою псевдонімів [pseudonymity (FPR_ Р5Е.1)],яка підсилюється незалежними вимогами:

• встановлення особистості користувача за псевдонімом [reversible pseudonymity (FPR_PSE.2)];

• призначення псевдонімів відповідно до заданих правил [alias pseudonymity (FPR_PSE.3)].

Розділ ФВБ: анонімність сеансів роботи із системою [UNLinkability (FPR_UNL)] включає вимогу безпеки — немож­ливість встановлення ініціатора операцій, що здійснюються в системі [unlinkability (FPRJJNL.l)j.

Розділ ФВБ: захист від моніторингу сеансів роботи із сис­темою [UNObservability (FPR_UNO)] включає незалежні функ­ціональні вимоги безпеки:

• захист операцій, що відбуваються в системі, від моніторингу [unobservability (FPRJJNO.1)];

• заборона засобам захисту запитувати у користувача кон­ фіденційну інформацію [unobservability without soliciting information (FPRJUN0.3)];

• моніторинг роботи системи та використання ресурсів тільки авторизованими користувачами [authorised user observability (FPR_UN0.4)].

Вимога FPR_UNO.l підсилюється вимогою — розосереджен­ня критичної інформації між різними компонентами засобів захисту [allocation of information impacting unobservability (FPR_ UN0.2)].

391

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

К риптографія

Клас ФВБ: криптографія [с. FCS: Cryptographic Support] включає наступні розділи ФВБ:

• управління ключами;

• криптографічні засоби.

Розділ ФВБ: управління ключами [Cryptographic Key Management (FCO_CKM)] включає незалежні функціональні ви­моги безпеки:

• генерація ключів заданого розміру за певними алгоритма­ ми у відповідності до певних стандартів [cryptographic key generation (FCO_CKM.l)];

• розподіл ключів способами, визначеними в спеціальних стан­ дартах [cryptographic key distribution (FCO_CKM.2)];

• здійснення доступу до ключів із використанням методів, ви­ значених у спеціальних стандартах [(FCO_CKM.3)];

• знищення ключів із використанням методів, визначених у спеціальних стандартах [cryptographic key destruction (FCO_ CKM.4)].

Розділ ФВБ: криптографічні засоби [Cryptographic OPeration (FCO_COP)] включає вимогу безпеки — виконання криптогра­фічних операцій з використанням ключів заданого розміру і ви­значених алгоритмів у відповідності до спеціальних стандартів [cryptographic operation (FCO_COP.l)].

Надійність засобів захисту

Клас ФВБ: надійність засобів захисту [с. FPT: Protection of the TSF] включає наступні розділи ФВБ:

• тестування апаратно-програмної платформи;

• захист від збоїв;

• готовність засобів захисту до обслуговування віддалених клієнтів;

• конфіденційність інформації, що передається, при роботі з віддаленими клієнтами;

• цілісність інформації, що передається, при роботі з віддале­ ними клієнтами;

392

Розділ 8. Критерії безпеки інформаційних технологій

• з ахист внутрішніх каналів інформаційного обміну між засо­ бами захисту;

• фізичний захист;

• безпечне відновлення після збоїв;

• розпізнавання повторного передавання інформації та іміта­ ція подій;

• моніторинг взаємодій;

• розподіл доменів;

• синхронізація;

• час;

• погодженість обміну інформацією між засобами захисту;

• реплікація інформації, що використовується засобами за­ хисту;

• самотестування засобів захисту.

Розділ ФВБ: безпечне відновлення після збоїв [trusted ReCoVery (FPT_RCV)] включає незалежні функціональні вимоги безпеки:

• ручне відновлення після збоїв [manual recovery (FPT_RCV.l)];

• відновлення після збоїв шляхом здійсненні відкоту в безпеч­ ний стан [function recovery (FPT_RCV.4)].

Вимога FPT_RCV.l підсилюється ієрархічно залежними вимо­гами:

• автоматичне відновлення після збоїв [automated recovery(FPT_ "'^:1 RCV.2)];

• автоматичне відновлення після збоїв із мінімізацією втрат інформації [automated recovery without undue loss (FPT_

•^;; RCV.3)].

_u Розділ ФВБ: готовність засобів захисту до обслуговування віддалених клієнтів [availability of exported TSF data (FPTJTA)] включає вимогу безпеки — забезпечення готовності засобів за­хисту до обслуговування віддалених клієнтів із заданою ймовір­ністю [inter-TSF availability within a defined availability metric (FPT_ ITA.1)].

Розділ ФВБ: захист від збоїв [FaiL Secure (FPTFLS)] включає вимогу безпеки — збереження безпечного стану у разі виникнен­ня збоїв [failure with preservation of secure state (FPT_FLS.l)].

393

ЧастинаII.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Р озділ ФВБ: захист внутрішніх каналів інформаційного обміну між засобами захисту [Internal TOE TSF data transfer (ГРТ_ІТТ)]включає вимогу безпеки — базові засоби захисту ін­формаційного обміну між засобами захисту [basic internal TSF data transfer protection (FPT_ITT.l)], яка підсилюється незалеж­ними вимогами:

• розподіл трафіка інформаційного обміну між засобами захисту і трафіка прикладних засобів [TSF data transfer separation(FPT_ITT.2)];

• контроль цілісності інформації при взаємодії засобів захисту [TSF data integrity monitoring (FPT_ITT.3)].

Розділ ФВБ: конфіденційність інформації, що передаєть­ся, при роботі з віддаленими клієнтами [confidentiality of exported TSF data (FPT_ITC)] включає вимогу безпеки функціо­нальну — забезпечення конфіденційності інформації, що пере­дається між засобами захисту і віддаленими клієнтами [inter-TSF confidentiality during transmission (FPT_ITC.l)].

Розділ ФВБ: моніторинг взаємодій [Reference Mediation (FPT_RVM)] включає вимогу безпеки — моніторинг усіх взає­модій у системі [non-bypassability of the TSP (FPT_RVM.l)].

Розділ ФВБ: погодженість обміну інформацією між засо­бами захисту [inter-TSF TSF Data Consistency (FPT_TDC)] вклю­чає вимогу безпеки — коректність перетворення інформації при передаванні між засобами захисту [inter-TSF basic TSF data consistency (FPTJTDC.l)].

Розділ ФВБ: реплікація інформації, що використовується засобами захисту [internal TOE TSF data Replication Consistency (FPT_TRC)] включає вимогу безпеки функціональну — контроль узгодженості копій інформації, що використовується засобами захисту [internal TSF consistency (FPT_TRC.l)].

Розділ ФВБ: розпізнавання повторного передавання ін­формації та імітація подій [RePLay detection (FPT_RPL)] вклю­чає вимогу безпеки — забезпечення конфіденційності інформа­ції, яка передається між засобами захисту і віддаленими клієнта­ми [replay detection (FPT_RPL.l)].

Розділ ФВБ: розподіл доменів [domain SEParation (FPT_SEP)] включає ієрархічно залежні функціональні вимоги безпеки:

394

Розділ 8. Критерії безпеки інформаційних технологій

• в иділення спеціального домену для засобів захисту [TSF domain separation (FPT_SEP.l)];

• виділення окремих доменів для процедур, що здійснюють моніторинг взаємодії і реалізують вказані політики безпеки [SFP domain separation (FPT_SEP.2)];

• виділення окремих доменів для процедур, що здійснюють моніторинг взаємодій і реалізують будь-які політики безпеки [complete reference monitor (FPT_SEP.3)j.

Розділ ФВБ: самотестування засобів захисту [TSF Self Test (FPT_TST)] включає вимогу безпеки — самотестування засобів захисту за запитом, у процесі завантаження та функціонуван­ня. Перевірка цілісності коду і даних засобів захисту [TSF testing (FPTJTST.1)].

Розділ ФВБ: синхронізація [State Synchrony Protocol (FPT_ SSP)] включає ієрархічно залежні функціональні вимоги безпеки:

• підтвердження приймання інформації [simple trusted acknowledgement (FPT_SSP.l)];

• синхронізація стану учасників взаємодії у ході обміну інфор­ мацією [mutual trusted acknowledgement (FPT_SSP.2)]. Розділ ФВБ: тестування апаратно-програмної платформи

[underlying Abstract Machine Test (FPT_AMT)] включає вимогу безпеки — перевірка коректності функціонування апаратно-програмної платформи [abstract machine testing (FPT_AMT.l)].

Розділ ФВБ: фізичний захист [TSF PHysical Protection (FPT_ PHP)] включає незалежні функціональні вимоги безпеки — па­сивне виявлення атак на фізичному рівні [passive detection of physical attack (FPT_PHP.l)] і активна протидія атакам на фізич­ному рівні [resistance to physical attack (FPT_PHP.3)], кожна з яких підсилюється вимогою — оповіщення адміністратора при виявленні атак на фізичному рівні [notification of physical attack (FPTJPHP.2)].

Розділ ФВБ: цілісність інформації, що передається, при роботі з віддаленими клієнтами [integrity of exported TSF data (FPT_ITI)] включає ієрархічно залежні функціональні вимоги безпеки:

• виявлення спотворень інформації, яка передається між засо­ бами захисту і віддаленими клієнтами [inter-TSF detection of modification (FPTJTI.1)];

395

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• виявлення спотворень інформації, яка передається між засо­ бами захисту і віддаленими клієнтами, та їхнє виправлення [inter-TSF detection and correction of modification (FPTJTL2)]. Розділ ФВБ: час [time STaMps (FPT_STM)] включає вимог)⁷

безпеки — використання засобами захисту надійного таймера [reliable time stamps (FPT_STM.l)].

Причетність до приймання/передавання

Клас ФВБ: причетність до приймання/передавання [с. FCO: Communication] включає наступні розділи ФВБ:

• попередження відмови від факту передавання інформації;

• попередження відмови від факту приймання інформації. Розділ ФВБ: попередження відмови від факту передаван­ ня інформації [Non-Repudiation of Origin (FCO_NRO)] включає ієрархічно залежні функціональні вимоги безпеки:

• підтвердження факту передавання інформації за вимогою [selective proof of origin (FCO_NRO.l)];

• автоматичне підтвердження факту передавання інформації [enforced proof of origin (FCO_NRO.2)].

Розділ ФВБ: попередження відмови від факту приймання інформації [Non-Repudiation of Receipt (FCO_NRR)] включає ієрархічно залежні функціональні вимоги безпеки:

• підтвердження факту одержання інформації за вимогою [selective proof of receipt (FCO_NRR.l)];

• автоматичне підтвердження факту одержання інформації [enforced proof of receipt (FCO_NRR.2)].

Пряма взаємодія

Клас ФВБ: пряма взаємодія [с. FTP: Trusted Path/channels] включає наступні розділи ФВБ:

• пряма взаємодія між засобами захисту;

• пряма взаємодія між користувачами.

Розділ ФВБ: пряма взаємодія між засобами захисту [Inter-TSF Trusted Channel (FTP_ITS)] включає вимогу безпеки — пря-

396

Розділ 8. Критерії безпеки інформаційних технологій

м а взаємодія між компонентами між засобами захисту різних продуктів [inter-TSF trusted channel (FTPJTS.l)].

Розділ ФВБ: пряма взаємодія між користувачами [TRusted Path (FTP_TRP)] включає вимогу безпеки — пряма взаємодія з користувачами для вказаного набору ситуацій або за бажанням користувача [trusted path (FTP_TRP.l)].

8.4. ВИМОГИ ГАРАНТІЙ ЗАСОБІВ ЗАХИСТУ 8.4.1. Загальна характеристика вимог гарантій безпеки

Вимоги гарантій безпеки (ВГБ) [security assurance require­ments] — вимоги безпеки, які в Загальних критеріях являють собою характеристику ІТ-продукту, що показує, наскільки ефек­тивно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Як і функціональні ви­моги безпеки, ВГБ детально структурирован! та регламентують усі етапи проектування, створення та експлуатації ІТ-продукту дуже детально. Структура вимог гарантій аналогічна функціо­нальним вимогам.

Клас ВГБ [assurance class] — верхній рівень формальної структури вимог гарантій безпеки. Містить наступні елементи:

• назву класу [class name];

• опис класу [class introduction];

• розділи вимог гарантій безпеки [assurance family]. Вимоги розподілені на 7 класів ВГБ (рис. 8.7):

• управління проектом;

• дистрибуція;

• розробка;

• документація;

• процес розробки;

• тестування;

• аналіз захисту.

Розділ ВГБ [assurance family] — складова частина класу ВГБ. Структура розділу містить наступні елементи:

397

Розділ 8. Критерії безпеки інформаційних технологій

• н азва та позначення розділу [family name];

• мета [objectives];

. ранжирування вимог [component levelling];

• опис застосування [application notes];

• вимоги [assurance component].

Кожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу. Ранжирування стандартних вимог представлене у вигляді впо­рядкованих списків.

Структура ВГБ складається з наступних елементів:

• назва вимоги [component identification];

• мета [objectives];

• опис застосування [application notes];

• сполучені вимоги [dependencies];

• елементи вимоги [assurance element].

Вимоги гарантій використовуються в ході кваліфікаційного аналізу ІТ-продукту відповідного рівня гарантій.

8.4.2. Класи вимог гарантій безпеки

Управління проектом

Клас ВГБ: управління проектом [class ACM: Configuration Management] включає наступні розділи ВГБ:

• засоби управління проектом;

• управління версіями;

• конфігурація проекту.

Розділ ВГБ: засоби управління проектом [Configuration Management AUTomation (ACM_AUT)] включає наступні вимоги гарантій безпеки:

• застосування автоматизованих засобів управління проектом [partial configuration management automation (ACM_AUT.l)];

• повна автоматизації управління проектом і контролю версій [complete configuration management automation (ACM_AUT.2)].

399

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Р озділ ВГБ: керування версіями [Configuration Management CAPabilities (ACM_CAP)] включає наступні вимоги гарантій без­пеки:

• нумерація версій [version numbers (ACM_CAP.l)];

• ідентифікація компонентів [configuration items (ACM_ САР.2)];

• контроль цілісності версій [authorisation controls (ACM_ САР.З)];

• авторизація розробників при поновленні версій [generation support and acceptance procedures (ACM_CAP.4)];

• контроль цілісності й автентичності дистрибутива системи [advanced support (ACM_CAP.5)].

Розділ ВГБ: конфігурація проекту [Configuration Management SCoPe (ACM_SCP)] включає наступні вимоги гарантій безпеки:

• основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація) [TOE management automation coverage

' (ASM_SCP.l)];

• включення до складу конфігурації об'єкта виявлених поми­ лок і уразливостей [problem tracking management automation coverage (ASM_SCP.2)];

• включення до складу конфігурації проекту інструментальних засобів розробки [development tools management automation coverage! ASM_SCP.3)].

Дистрибуція

Клас ВГБ: дистрибуція [class ADO: Delivery and Operation] включає наступні розділи ВГБ:

• постачання;

• установка, настройка, запуск.

Розділ ВГБ: поставка [DELivery (ADO_DEL)] включає на­ступні вимоги гарантій безпеки:

• регламентована процедура поставки [delivery procedures (ADO_DEL.l)];

• виявлення спотворень у процесі поставки [detection of modification (ADO_DEL.2)];

400

Розділ 8. Критерії безпеки інформаційних технологій

• захист від спотворень у процесі поставки [prevention of modi­ fication (ADO_DEL.3)].

Розділ ВГБ: установка, настройка, запуск [Installation, Generation, and Start-up (ADO_IGS)] включає наступні вимоги гарантій безпеки:

• регламентовані процедури установки, настройки, запуску [installation, generation, and start-up procedures (ADO_IGS.l)];

• протоколювання процесу установки, настройки, запуску [generation log (ADOJGS.2)].

Розробка

Клас ВГБ: розробка [class ADV: Development] включає на­ступні розділи ВГБ:

• загальні функціональні специфікації;

• архітектура захисту;

• форма подання продукту на сертифікацію;

• структура засобів захисту;

• часткові специфікації засобів захисту;

• відповідність описів різного рівня;

• політика безпеки.

Розділ ВГБ:загальніфункціональніспецифікації[Рипсіюпа1 Specification (ADV_FSP)] включає наступні вимоги гарантій без­пеки:

• неформальні специфікації для засобів захисту [informal functional specification (ADV_FSP.l)j;

• неформальні специфікації для усіх інтерфейсів засобів захис­ ту [fully defined external interfaces (ADV_FSP.2)];

• напівформальні специфікації для засобів захисту [semiformal functional specification (ADV_FSP.3)];

• формальні специфікації для засобів захисту [formal functional specification (ADVJFSP.4)].

Розділ ВГБ: архітектура захисту [High-Level Design (ADV_ HLD)] включає наступні вимоги гарантій безпеки:

401

Частинам.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

• о пис архітектури захисту [descriptive high-level design (ADV_ HLD.l)];

• відповідність архітектури захисту політиці безпеки [security enforcing high-level design (ADV_HLD).2];

• напівформальний опис архітектури захисту [semiformal high- level design (ADV_HLD.3)];

• відповідність напівформального опису архітектури захисту політиці безпеки [semiformal high-level explanation (ADV__ HLD.4)];

• формальний опис архітектури захисту й доказ її відповідності політиці безпеки [formal high-level design (ADV_HLD.5)]. Розділ ВГБ: форма надання продукту на сертифікацію

[IMPlementation representation (ADVJMP)] включає наступні вимоги гарантій безпеки:

• опис реалізації обмеженої підмножини засобів захисту [subset of the implementation of the TSF (ADVJMP.l)];

• повний опис реалізації усіх засобів захисту [implementation of the TSF (ADVJMP2)];

• структурований опис реалізації усіх засобів захисту [structured implementation of the TSF (ADV_IMP3)].

Розділ ВГБ: структура засобів захисту [TSF INTernals (ADV_ INT)] включає наступні вимоги гарантій безпеки:

• модульність [modularity (ADV_INT.l)];

• ієрархічність [reduction of complexity (ADV_INT.2)];

• мінімізація складності [minimization of complexity (ADV__ INT.3)].

Розділ ВГБ: часткові специфікації засобів захисту [Low-Level Design (ADV_LLD)] включає наступні вимоги гарантій без­пеки:

• неформальні часткові специфікації засобів захисту [descriptive low-level design (ADV_LLD.l)];

• напівформальні часткові специфікації засобів захисту [semiformal low-level design (ADV_LLD.2)];

• формальні часткові специфікації засобів захисту [formal low- level design (ADV_LLD.3)].

402

Розділ 8. Критерії безпеки інформаційних технологій

Р озділ ВГБ: відповідність описів різного рівня [Repre­sentation CorRespondente (ADV_RCR)] включає наступні вимоги гарантій безпеки:

• неформальне підтвердження відповідності [informal corres­ pondence demonstration (ADV_RCR.l)];

• напівформальне підтвердження відповідності [semiformal correspondence demonstration (ADV_RCR.2)];

• формальний доказ відповідності [formal correspondence demonstration (ADV_RCR.3)].

Розділ ВГБ: політика безпеки [Security Policy Modeling (ADV_SPM)] включає наступні вимоги гарантій безпеки:

• неформальний опис політики безпеки [informal TOE security policy model (ADV_SPM.l)];

• напівформальний опис політики безпеки [semiformal TOE security policy model (ADV_SPM.2)];

• формальна модель політики безпеки [formal TOE security policy model (ADV_SPM.3)].

Документація

Клас ВГБ: документація [class AGD: Guidance Documents] включає наступні розділи ВГБ:

• керівництво адміністратора;

• керівництво користувача.

Розділ ВГБ: керівництво адміністратора [ADMinistrator gui­dance (AGD_ADM)] включає вимогу гарантій безпеки — адмініст­рування засобів захисту [administrator guidance (AGD_ADM.l)].

Розділ ВГБ: керівництво користувача [USeR guidance (AGD_ USR)] включає вимогу гарантій безпеки — використання засобів захисту [user guidance (AGD_USR.l)].

Процес розробки

Клас ВГБ: процес розробки [class ALC: Life Cycle support] включає наступні розділи ВГБ:

403

Частина 11. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• б езпека середовища розробки;

• виправлення помилок і ліквідація уразливостей;

• технологія розробки;

• засоби розробки.

Розділ ВГБ: безпека середовища розробки [Development Security (ALCJDVS)] включає наступні вимоги гарантій безпеки:

• застосування заходів безпеки в ході розробки [identification of security measures (ALC_DVS.l)];

• підтвердження заходів безпеки в ході розробки [sufficiency of security measures (ALC_DVS.2)J.

Розділ ВГБ: виправлення помилок і ліквідація уразливос­тей [FLaw Remediation (ALC_FLR)] включає наступні вимоги га­рантій безпеки:

• виправлення виявлених помилок і ліквідація уразливостей [basic flaw remediation (ALC_FLR.l)];

• регулярне виправлення помилок і ліквідація уразливостей [flaw reporting procedures (ALC_FLR.2)],-

• гарантоване виправлення виявлених помилок і ліквідація виявлених уразливостей [systematic flaw remediation (ALC_ FLR.2)].

Розділ ВГБ: технологія розробки [Life Cycle Definition (ALC_ LCD)] включає наступні вимоги гарантій безпеки:

• визначена розробником технологія розробки [developer defined life-cycle model (ALC_LCD.l)];

• стандартизована технологія розробки [standardised life-cycle model (ALC_LCD.2)];

• технологія розробки, яка дозволяє оцінювати продукт, що розроблюється [measurable life-cycle model (ALC_LCD.3)]. Розділ ВГБ: засоби розробки [Tools And Techniques (ALC_

TAT)] включає наступні вимоги гарантій безпеки:

• використання певного набору засобів розробки [well-defined development tools (ALCJTAT.l)];

• використання основних засобів розробки, що відповідають певним стандартам [compliance with implementation standards (ALC_TAT2)];

404

Розділ 8. Критерії безпеки інформаційних технологій

• використання тільки засобів розробки, що відповідають пев­ ним стандартам [compliance with implementation standards — all parts (ALC_TAT.3)].

Тестування

Клас ВГБ: тестування [class ATE: TEsts] включає наступні роз­діли ВГБ:

• повнота тестування;

• глибина тестування;

• методика тестування;

• незалежне тестування.

Розділ ВГБ: повнота тестування [COVerage (ATECOV)] включає наступні вимоги гарантій безпеки:

• обґрунтування повноти тестування [evidence of coverage (ATE_ COV.l)];

• аналіз повноти тестування [analysis of coverage (ATE_COV.2)];

• строгий аналіз повноти тестування [rigorous analysis of coverage (ATE_COV.3)].

Розділ ВГБ: глибина тестування [DePTh (ATEDPT)] включає наступні вимоги гарантій безпеки:

• архітектура [testing: high-level design (ALC_DPT.1)J;

• функціональні специфікації [testing: low-level design(ALC_ DPT.2)];

• реалізація [testing:implementationrepresentation(ALC_DPT.3)]. Розділ ВГБ: методика тестування [FUNctional tests (ATE_

FUN)] включає наступні вимоги гарантій безпеки:

• функціональне тестування й протоколювання результатів тес­ тів [functional testing (ALC_FUN.l)];

• тестування у відповідності з певною методикою [ordered functional testing (ALC_FUN.2)].

Розділ ВГБ: незалежне тестування [INDependent testing (ATE_IND)] включає наступні вимоги гарантій безпеки:

• готовність продукту до незалежного тестування [independent testing — conformance (ALC_IND.l)];

405

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

в ибіркове незалежне тестування [independent testing — sample

(ALCJND.2)];

повне незалежне тестування [independent testing — complete

(ALCJND.3)].

Аналіз захисту

Клас ВГБ: аналіз захисту [class AVA: Vulnerability Assessment] включає наступні розділи ВГБ:

• аналіз прихованих каналів;

• аналіз можливостей неправильного використання засобів за­ хисту;

• аналіз стійкості засобів захисту;

• аналіз продукту на наявність уразливостей.

Розділ ВГБ: аналіз прихованих каналів [Covert Channel Analysis (AVA_CCA)] включає наступні вимоги гарантій без­пеки:

• пошук і документування прихованих каналів [covert channel analysis (AVA_CCA.l)];

• пошук прихованих каналів на основі певних методик [systematic covert channel analysis (AVA_CCA.2)];

• вичерпний пошук прихованих каналів [exhaustive covert channel analysis (AVA_CCA.3)].

Розділ ВГБ: аналіз можливостей неправильного вико­ристання засобів захисту [MiSUse (AVA_MSU)] включає на­ступні вимоги гарантій безпеки:

• аналіз керівництв з адміністрування [examination of guidance (AVA_MSU.l)];

• підтвердження повноти керівництв з адміністрування та безпеки їхнього застосування [validation of analysis (AVA_ MSU.2)];

• незалежний аналіз можливостей неправильного використан­ ня засобів захисту [analysis and testing for insecure states (AVA_ MSU.3)].

Розділ ВГБ: аналіз стійкості засобів захисту [Strength Of TOE security Functions (AVA_SOF)] включає вимогу гарантій без-

406

Розділ 8. Критерії безпеки інформаційних технологій

п еки — оцінка стійкості засобів захисту [strength of TOE security function evaluation (AVA_SOF.l)].

Розділ ВГБ: аналіз продукту на наявність уразливостей

[VuLnerability Analysis (AVA_VLA)] включає наступні вимоги га­рантій безпеки:

• виявлення уразливостей розробником продукту [developer vulnerability analysis (AVAJVLA.l)];

• незалежний аналіз уразливостей [independent vulnerability analysis (AVA_VLA.2)];

• систематичний незалежний аналіз уразливостей на основі заданих методик [(AVA_VLA.3)];

• вичерпний аналіз уразливостей [moderately resistant (AVA_ VLA.4)].

8.4.3. Рівні гарантій безпеки

Визначення рівнів гарантій

Рівні гарантій [Evaluation Assurance Level (EAL)] — в «За­гальних критеріях» — це сім стандартизованих наборів вимог га­рантій безпеки, що регламентують застосування різноманітних методів і технологій розробки, тестування, контролю та верифі­кації ІТ-продукту:

• функціональне тестування;

• структурне тестування;

• методичне тестування та перевірка;

• методична розробка, тестування та аналіз;

• напівформальні методи розробки та тестування;

• напівформальні методи верифікації розробки та тестування;

• формальні методи верифікації розробки та тестування. Колений з рівнів визначає ступінь відповідності ІТ-продукту

коленій вимозі гарантій (гарантії зростають від першого рівня до сьомого. Назви рівнів відображають можливості засобів контро­лю і верифікації, що застосовуються в ході розробки та аналізу ІТ-продукту (рис. 8.8).

407

Розділ 8. Критерії безпеки інформаційних технологій

4j

Функціональне тестування

Рівень функціонального тестування [EAL1 — functionally tested] — перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується вико­ристати його в тих ситуаціях, коли все, що необхідно — це не­залежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — нумерація версій.

У класі ВГБ: дистрибуція в розділі ВГБ: установка, настрой­ка, запуск — регламентовані процедури установки, настройки, за­пуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­ мальні специфікації для засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — нефор­ мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­ собів захисту.

У класі ВГБ: тестування в розділі ВГБ: незалежне тестуван­ня — готовність продукту до незалежного тестування.

Аналіз ІТ-продукту на відповідність даному рівню гарантій забезпечується дослідженням функцій захисту та перевіркою функціональних специфікацій, інтерфейсів та документації.

Результати аналізу підтверджуються незалежним тестуван­ням засобів захисту ІТ-продукту на відповідність специфікаціям і документації.

Сертифікація ІТ-продукту на даний рівень гарантій є під­твердженням відповідності властивостей ІТ-продукту його до­кументації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.

409

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОПОГІЙ

С труктурне тестування

Рівень структурного тестування [EAL2 — structurally tested] — другий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі згодні задо­вольнитися низьким або помірним ступенем незалежного під­твердження гарантій рівня безпеки, який необхідно забезпечити. Особливо рекомендують застосування даного рівня для успад­кованих систем, які вже знаходяться в експлуатації.

Другий рівень гарантій відповідає наступним вимогам гаран­тій безпеки.

У класі ВГБ: управління проектом у розділі ВГБ: керування версіями — ідентифікація компонентів.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — регламентована процедура постав­ ки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­ мальні специфікації засобів захисту;

• у розділі ВГБ: архітектура захисту — опис архітектури захис­ ту;

• у розділі ВГБ: відповідність описів різного рівня — нефор­ мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­ собів захисту.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;

• у розділі ВГБ: методика тестування — функціональне тесту­ вання й протоколювання результатів тестів;

410

Розділ 8. Критерії безпеки інформаційних технологій

• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.

У класу ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­ кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту. Розробка продукту відповідно до вимог даного рівня не

вимагає від виробника ніяких додаткових витрат, порівняно з розробкою звичайних комерційних або промислових продуктів, окрім надання результатів тестування.

Для другого рівня аналіз повинен проводитися не тільки по відношенню функціональних специфікацій, інтерфейсів та доку­ментації, але й для архітектури захисту ІТ-продукту.

Крім незалежного тестування засобів захисту ІТ-продукту результати аналізу підтверджуються протоколами тестування функціональних специфікацій, наданих розробником, а також незалежним вибірковим контролем результатів цих випробу­вань та глибини проведеного тестування, і незалежним підтвер­дженням пошуку розробником явних уразливостей. Крім того, для цього рівня необхідна наявність документованого складу конфігурації продукту та доказ безпеки процедури поставки.

Даний рівень розширює вимоги попереднього за рахунок включення в матеріали, що підтверджують аналіз результатів тестів, проведених розробником ІТ-продукту, необхідністю здій­снення аналізу уразливостей та незалежного тестування з вико­ристанням більш детальних специфікацій.

Методичне тестування та перевірка

Рівень методичного тестування та перевірки [EAL3 — methodically tested and checked] — третій рівень гарантій, при­значений для використання при обставинах, коли розробникам або користувачам потрібна помірна ступінь незалежного під­твердження властивостей ІТ-продукту, а також повне і послі-

411

ЧастинаіІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

д овне дослідження властивостей продукту і контроль в процесі створення, але без проведення дорогого зворотного проектуван­ня [reengineering].

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: управління версіями — контроль цілісності версій;

• у розділі ВГБ: конфігурація проекту — основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація).

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — регламентована процедура по­ ставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­ мальні специфікації засобів захисту;

• у розділі ВГБ: архітектура захисту — відповідність архітекту­ ри захисту політиці безпеки;

• у розділі ВГБ: відповідність описів різного рівня — нефор­ мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­ собів захисту.

У класі ВГБ: процес розробки в розділі ВГБ: безпека середови­ща розробки — застосування заходів безпеки в ході розробки. У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — аналіз повноти тесту­ вання;

• у розділі ВГБ: глибина тестування — архітектура;

• у розділі ВГБ: методика тестування — функціональне тесту­ вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.

412

Розділ 8. Критерії безпеки інформаційнихтехнологій

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз можливостей неправильного вико­ ристання засобів захисту — аналіз керівництв з адміністру­ вання;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­ кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту.

Цей рівень дозволяє одержати максимальну ступінь гаран­тій, яка не потребує ніяких змін у звичайну процедуру розробки, оскільки всі регламентовані ним заходи, спрямовані на забезпе­чення гарантій, застосовуються на етапі проектування.

Для цього рівня проводяться ті ж види аналізу, що і для дру­гого рівня, але на доповнення до матеріалів тестування специфі­кацій функцій захисту від розробника вимагається надання ре­зультатів архітектури захисту ІТ-продукту. Вимоги до процесу створення продукту доповнюються використанням засобів уп­равління конфігурацією проекту.

Рівень розширює вимоги попереднього за рахунок більш повного тестування функцій захисту та засобів їхньої реалізації, а також застосуванням заходів, які дають упевненість у тому, що ІТ-продукт не був підмінений в процесі розробки.

Методична розробка, тестування та аналіз

Рівень методичної розробки, тестування та аналізу

[EAL4 — methodically designed, tested and reviewed] — четвертий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі вимагають помірного або ви­сокого ступеню незалежного підтвердження гарантій захисту ІТ-продукту і готові нести певні додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом: • у розділі ВГБ: засоби управління проектом — застосування

автоматизованих засобів управління проектом;

413

ЧастинаІІ.ОСНОВИ БЕЗПЕКИ ШФОРМАЦІЙНИХТЕХНОЛОГІЙ

■ у розділі ВГБ: управління версіями — авторизація розробни­ ків при поновленні версій;

¹ у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту виявлених помилок і уразливостей. У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;

■ у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­ мальні специфікації для усіх інтерфейсів засобів захисту;

у розділі ВГБ: архітектура захисту — відповідність архітекту­ри захисту політиці безпеки;

у розділі ВГБ: форма надання продукту на сертифікацію — опис реалізації обмеженої підмножини засобів захисту; у розділі ВГБ: часткові специфікації засобів захисту — не­формальні часткові специфікації засобів захисту; у розділі ВГБ: відповідність описів різного рівня — нефор­мальне підтвердження відповідності;

у розділі ВГБ: політика безпеки —• неформальний опис полі­тики безпеки. У класі ВГБ: документація:

у розділі ВГБ: керівництво адміністратора — адмініструван­ня засобів захисту;

у розділі ВГБ: керівництво користувача — використання за­собів захисту.

У класі ВГБ: процес розробки:

у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки у ході розробки;

у розділі ВГБ: технологія розробки — визначена розробни­ком технологія розробки;

у розділі ВГБ: засоби розробки — використання певного на­бору засобів розробки. У класі ВГБ: тестування:

414

Розділ 8. Критерії безпеки інформаційних технологій

• у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;

• у розділі ВГБ: глибина тестування — архітектура;

• у розділі ВГБ: методика тестування — функціональне тесту­ вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз можливостей неправильного вико­ ристання засобів захисту — підтвердження повноти керів­ ництв із адміністрування й безпеки їхнього застосування;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­ кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — незалежний аналіз уразливостей.

Цей рівень, незважаючи на достатньо сильні вимоги, не пот­ребує від розробника спеціальних знань у галузі розробки захи­щених систем та застосування спеціальних методів і технологій, які відрізняються від загальноприйнятих. Це найвищий рівень гарантій, на який можна розраховувати без значних додаткових економічних витрат.

На відміну від попередніх рівнів для сертифікації продукції на четвертий рівень гарантій аналізу піддаються всі інтерфейси без виключення, усі часткові специфікації, а також деталі реалі­зації засобів захисту. Крім того повинна бути представлена не­формальна політика безпеки.

Додатково до попереднього рівня результати аналізу підда­ються незалежним дослідженням уразливостей засобів захисту, які демонструють стійкість системи проти слабких атак. Вимоги до процесу створення продукту розширюються додатковими ви­могами застосування автоматизованих засобів керування конфі­гурацією.

Даний рівень відрізняється від попереднього посиленням ви­мог до процесу проектування та розробки, а також підсиленням заходів, які гарантують, що ІТ-продукт не був підміненим у про­цесі створення.

415

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Н апівформальні методи розробки та тестування

Рівень напівформальних методів розробки та тестування

[EAL5 — semiformally verified design and tested] — п'ятий рівень гарантій, призначений для використання в тих випадках, коли розробники або користувачі вимагають високого ступеню неза­лежного підтвердження гарантій засобів захисту, а також стро­гого застосування певних технологій розробки ІТ-продукту, але без надмірних витрат.

Відповідає наступним вимогам гарантій безпеки.

У класі БГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — застосування автоматизованих засобів управління проектом;

• у розділі ВГБ: управління версіями — авторизація розробни­ ків при поновленні версій;

• у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — напів­ формальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — напівформальний опис архітектури захисту;

• у розділі ВГБ: форма надання продукту на сертифікацію — повний опис реалізації усіх засобів захисту;

• у розділі ВГБ: структура засобів захисту — модульність;

• у розділі ВГБ: часткові специфікації засобів захисту — не­ формальні часткові специфікації засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — напівфор- мальне підтвердження відповідності;

• у розділі ВГБ: політика безпеки — формальна модель політи­ ки безпеки.

416

Розділ 8. Критерії безпеки інформаційних технологій

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­ собів захисту.

У класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки;

• у розділі ВГБ технологія розробки — стандартизована техно­ логія розробки;

• у розділі ВГБ: засоби розробки — використання основних за­ собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;

• у розділі ВГБ: глибина тестування — функціональні специфі­ кації;

• у розділі ВГБ: методика тестування — функціональне тесту­ вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук і документу­ вання схованих каналів;

• у розділі ВГБ: аналіз можливостей неправильного вико­ ристання засобів захисту — підтвердження повноти керів­ ництв із адміністрування й безпеки їхнього застосування;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­ кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — систематичний аналіз уразливостей на основі заданих ме­ тодик.

Цей рівень вимагає від розробника застосування певних тех­нологій та методів розробки, проте, їхнє використання може об­межуватися проектуванням та реалізацією засобів захисту.

417

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Н а відміну від попередніх рівнів аналізу піддаються всі за­соби захисту без виключення. Крім того, необхідна наявність формальної моделі політики безпеки та напівформальне пред­ставлення функціональних специфікацій та архітектури захисту, а також напів-формальна демонстрація їхньої взаємної відповід­ності. Архітектура ІТ-продукту повинна відповідати вимогам модульності.

Додатково до попередніх рівнів для підтвердження резуль­татів аналізу необхідне тестування розробником часткових спе­цифікацій, а аналіз уразливостей повинен демонструвати стій­кість проти атак помірної сили, крім того, необхідна незалежна перевірка проведеного розробником аналізу схованих каналів.

Вимоги до процесу розробки доповнюються необхідністю розширення складу конфігурації продукту, керованої за допомо­гою автоматичних засобів.

Таким чином, цей рівень посилює вимоги попереднього в частині напівформального опису процесу проектування та ре­алізації, більш структурованої архітектури захисту, більш ре­тельного аналізу схованих каналів, більш повного контролю в процесі розробки.

Напівформольні методи верифікації розробки та тестування

Рівень напівформальних методів верифікації розробки та тестування [EAL6 — semiformally verified design andtested] — шостий рівень гарантій, призначений для використання в ситу­аціях із високим ступенем ризику, де цінність інформації, що за­хищається, виправдовує високі додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — повна автома­ тизація управління проектом і контролю версій;

• у розділі ВГБ: управління версіями — контроль цілісності й автентичності дистрибутиву системи;

• у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.

418

Розділ 8. Критерії безпеки інформаційних технологій

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;

. у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску. У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — напів- формальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — відповідність напівфор- мального опису архітектури захисту політиці безпеки;

• у розділі ВГБ: форма надання продукту на сертифікацію — стру-ктурований опис реалізації усіх засобів захисту;

• у розділі структура засобів захисту — ієрархічність;

• у розділі ВГБ: часткові специфікації засобів захисту — напів- фор-мальні часткові специфікації засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — напівфор- мальний доказ відповідності;

• у розділі ВГБ: політика безпеки —формальна модель політики безпеки.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­ собів захисту.

У класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки —підтвердження заходів безпеки в ході розробки;

• у розділі ВГБ: технологія розробки — стандартизована техно­ логія розробки;

• у розділі ВГБ: засоби розробки — використання тільки за­ собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — строгий аналіз повноти тестування;

• у розділі ВГБ: глибина тестування — функціональні специфі­ кації;

419

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• у розділі ВГБ: методика тестування — тестування у відповід­ ності з певною методикою;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук схованих ка­ налів на основі певних методів;

• у розділі ВГБ: аналіз можливостей неправильного вико­ ристання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­ кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.

Даний рівень вимагає строгого та послідовного застосування певних методів проектування та розробки, які дозволяють забез­печувати гарантії захисту при експлуатації в умовах підвищено­го ризику.

Вимоги цього рівня доповнюють попередні необхідністю структурного опису реалізації продукту та напівформального подання часткових специфікацій, а також вимогою багаторівне­вої архітектури.

Для підтвердження результатів аналізу крім заході, передба­чених п'ятим рівнем, аналіз уразливостей повинен демонструва­ти стійкість системи проти сильних атак, а повинні бути одер­жані незалежні підтвердження проведення розробником систе­матичного пошуку схованих каналів.

Вимоги до процесу розробки розширюються необхідністю стру-ктурування цього процесу та повної автоматизації керу­вання конфігурацією проекту.

Рівень розширює вимоги попереднього застосуванням більш глибокого аналізу, структуризацією представлення ІТ-продукту, багаторівневою архітектурою, посиленням аналізу уразливос­тей, застосуванням систематичного пошуку схованих каналів, а також удосконаленням керування конфігурацією та середовища розробки.

420

Розділе. Критерії безпеки інформаційних технологій

ф ормальні методи верифікації розробки та тестування

Рівень формальних методів верифікації розробки та тес­тування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із виключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витра­ти. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби за­хисту, і які легко піддаються формальному аналізу.

Сьомий рівень гарантій відповідає наступним вимогам га­рантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — повна автома­ тизація управління проектом і контролю версій;

• у розділі ВГБ: управління версіями — контроль цілісності й автентичності дистрибутива системи;

• у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — захист від спотворень у процесі поставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — фор­ мальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — формальний опис архі­ тектури захисту й доказ її відповідності політиці безпеки;

• у розділі ВГБ: форма надання продукту на сертифікацію — структурований опис реалізації усіх засобів захисту;

• у розділі ВГБ: структура засобів захисту — мінімізація склад­ ності;

• у розділі ВГБ: часткові специфікації засобів захисту — напів- фор-мальні часткові специфікації засобів захисту;

421

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• у розділі ВГБ: відповідність описів різного рівня — формаль­ ний доказ відповідності;

¹ у розділі ВГБ: політика безпеки — формальна модель політи­ки безпеки. У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­ ня засобів захисту;

¹ у розділі ВГБ: керівництво користувача — використання за­собів захисту. У класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки — підтверджен­ ня заходів безпеки в ході розробки;

• у розділі ВГБ: технологія розробки — технологія розробки, яка дозволяє оцінювати продукт, що розроблюється;

• у розділі ВГБ: засоби розробки — використання тільки за­ собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

¹ у розділі повнота тестування — строгий аналіз повноти тес­тування;

■ у розділі ВГБ: глибина тестування — реалізація;

• у розділі ВГБ: методика тестування — тестування у відповід­ ності з певною методикою;

у розділі ВГБ: незалежне тестування — повне незалежне тес­тування.

У класі ВГБ: оцінка захисту:

у розділі ВГБ: аналіз схованих каналів — пошук схованих ка­налів на основі певних методів;

у розділі ВГБ: аналіз можливостей неправильного вико­ристання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту; у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­кості засобів захисту;

у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.

422

Розділ 8. Критерії безпеки інформаційних технологій

Н а відміну від попередніх рівнів необхідне формальне подан­ня функціональних специфікацій та архітектури захисту, а також формальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й простою та зрозумілою.

Додатково до попередніх рівнів результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунто­ваним незалежним підтвердженням усіх результатів проведених розробником випробувань.

Таким чином, цей рівень підсилює вимоги попереднього за ра­хунок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тес­тування.

8.5. ШЛЯХИ І ПЕРСПЕКТИВИ ЗАСТОСУВАННЯ ЗАГАЛЬНИХ КРИТЕРІЇВ

Загальні критерії розроблені в розрахунку на три групи спе­ціалістів: виробників і розробників, рядових споживачів (масо­вих користувачів), а також експертів кваліфікаційного аналізу захищених систем.

Споживачі можуть розглядати декларування рівня безпеки ІТ-продукту як метод визначення відповідності ІТ-продукту до своїх запитів. Ці запити складаються на основі результаті про­ведення аналізу ризику і вибраної політики безпеки. Загальні критерії відіграють суттєву роль в процесі формування запитів споживачів, так як містять механізми, що дозволяють сформу­вати ці запити у вигляді набору стандартизованих вимог (функ­ціональності і адекватності). Це дозволяє споживачам прийняти обґрунтоване рішення про варіанти використання тих чи інших ІТ-продуктів. Крім того, Загальні критерії представляють спожи­вачам механізм профілів і проектів захисту, за допомогою яких вони можуть сформулювати специфічні для них вимоги, не тур­буючись про механізми їх реалізації.

423

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

В иробники (розробники) можуть використовувати рекомен­дації Загальних критеріїв в ході проектування ІТ-продуктів, а також при підготовці до кваліфікаційного аналізу і сертифікації Цей документ надає їм можливість на основі запитів споживачів визначити набір вимог, яким повинен задовольняти ІТ-продукт, що розроблюється. Загальні критерії пропонують виробникам спеціальний механізм проекту захисту. Він доповнює профіль захисту і дозволяє з'єднати опис механізмів реалізації засобів за­хисту і вимог, на які орієнтувався розробник.

Експерти кваліфікаційного аналізу можуть використати поло­ження цього документу як критерії для визначення відповідності між ІТ-продуктом і пред'явленими до нього вимогами. Стандарт «Загальних критеріїв» описує тільки загальну схему проведення кваліфікаційного аналізу і сертифікації, але не регламентує про­цедуру їх здійснення. Питаннями методології кваліфікаційного аналізу і сертифікації присвячений окремий документ авторів Загальних критеріїв — Загальна методологія оцінки безпеки ін­формаційних технологій [82], який є додатком до стандарту.

Враховуючи перспективність та міжнародний характер За­гальних критеріїв, доцільно використати їхні основні положення та конструкції при розробці нормативних документів, методич­ного та інструментального забезпечення оцінки безпеки продук­тів та систем інформаційних технологій. Зокрема, пропонується розробка комплексу нормативних документів системи технічно­го захисту:

• Безпека інформаційних технологій. Терміни та визначення;

• Концепція оцінки безпеки інформаційних технологій;

• Загальні критерії безпеки інформаційних. Функціональні ви­ моги та вимоги гарантій безпеки;

• Профіль захисту. Керівництво з розробки та реєстрації;

• Завдання з безпеки. Керівництво з розробки та оформлення;

• Керівництво з проектування та експлуатації автоматизованих систем, які відповідають вимогам інформаційної безпеки;

• Керівництво з сертифікації продуктів і систем інформаційних технологій з вимог безпеки і т.ін.

424

Розділ 8. Критерії безпеки інформаційних технологій

Д о прийняття Загальних критеріїв як міжнародних стандар­тів та прийняття відповідних державних стандартів доцільно при формуванні вимог та оцінки безпеки продуктів і систем ін­формаційних технологій керуватися не тільки вимогами діючих нормативних документів, але й додаткових вимог, сформованих на основі Загальних критеріїв з урахуванням специфіки конк­ретного об'єкта оцінки.

Доцільно також на основі матеріалів Загальних критеріїв вес­ти розробку профілів захисту і вимог технічного завдання із за­безпечення безпеки для нових типів продуктів (систем) і нових інформаційних технологій.

■ЯІМІІІН

₉

Основи управління інформаційною безпекою

9.1. СТАНДАРТИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЇХ ОСНОВНІ ПОЛОЖЕННЯ

Інформаційна безпека представляє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комп­лексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною без­пекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку [44, 29, 54].

Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 р. цей стандарт був признаний міжнародним під назвою «International Standard ISO/IEC 17799. Information technology — Code of practice for information security management».

Стандарт ISO/IEC 17799 [84] — це модель системи менедж­менту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність спів­робітників, використання оцінки ризику тощо в контексті ін­формаційної безпеки. У процесі впровадження стандарту ство­рюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушен­ням інформаційної безпеки. Основна ідея стандарту — допо­могти комерційним та державним господарським організаціям

426

Розділ 9. Основи управління інформаційною безпекою

в ирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.

Структура стандарту дозволяє вибрати ті засоби управлін­ня, які стосуються конкретної організації або сфери відповідаль­ності усередині організації. Зміст стандарту включає наступні розділи (рис. 9.1):

• політика безпеки [security policy];

• організація захисту [organizational security];

• класифікація ресурсів та контроль [asset classification and control];

• безпека персоналу [personnel security];

• фізична безпека та безпека навколишнього середовища [physical and environmental security];

• адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];

• керування доступом до системи [system access control];

• розробка та супроводження інформаційних систем [system development and maintenance];

• планування безперервної роботи організації [business continuing planning];

; • виконання вимог (відповідність законодавству) [compliance]. У зв'язку з цим виділяється ряд ключових елементів управ­ління, що подаються як фундаментальні:

• політика з інформаційної безпеки;

• розподіл відповідальності за інформаційну безпеку;

• освіта та тренінг з інформаційної безпеки;

• звітність за інциденти з безпеки;

• захист від вірусів;

• забезпечення безперервності роботи;

• контроль копіювання ліцензованого програмного забезпе­ чення;

• захист архівної документації організації;

• захист персональних даних;

• реалізація політики з інформаційної безпеки.

427

Розділ 9. Основи управління інформаційною безпекою

Я к^идно, поряд з елементами управління для комп'ютерів та компртерних мереж стандарт велику увагу приділяє питан­ням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безпере­рвності виробничого процесу, юридичним вимогам.

Безумовно, що не всі 109 пунктів стандарту можна застосо­вувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використо­вується як деяке «меню», з якого слід вибрати елементи, які мож­на застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.

Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами ро­зуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:

• конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;

• цілісність [integrity] — захищеність інформації від несанк­ ціонованої зміни, забезпечення її точності та повноти;

• доступності [availability] — можливість використання інфор­ мації, коли в цьому виникає необхідність, працездатність сис­ теми.

Стандарт не зосереджується тільки на забезпеченні конфі­денційності. У комерційних організаціях з точки зору матеріаль­них втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до від­повідей на наступні питання:

Що може загрожувати інформаційним ресурсам?

Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?

Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?

Наскільки часто слід очікувати подібні випадки?

Для одержання сертифіката система менеджменту інформа­ційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менедж-

429

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

м енту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика від­повідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті сер­тифікаційні товариства, які пройшли акредитацію ISO. Сертифі­кат, виданий такою організацією, визнається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей належать: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні ком­панії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.

9.2. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ

9.2.1. Визначення політики інформаційної безпеки організації

Необхідність у політиці безпеки на сьогоднішній день є оче­видним фактом для будь-якого навіть достатньо невеликого під­приємства. Політика безпеки в цілому — це сукупність програм­них, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інфор­мації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину од­ного з найбільш складних об'єктів — інформаційної системи, що

430

Розділ 9. Основи управління інформаційною безпекою

п озитивно впливає на якість керування бізнесом у цілому, і, як наслідок покращує його прибутковість і ефективність.

Політику з інформаційної безпеки організації можна ви­значити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки організації, вироб­лених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформа­ційної безпеки.

Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформацій­ній безпеці організації. Управління об'єктом відповідно до зада­ної політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністра­тором) системи забезпечення інформаційної безпеки організації.

Система забезпечення інформаційної безпеки організації (СЗІБ) являє собою сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на про­тидію завданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або опе­ратору зв'язку організації. Адміністратором (керівним органом системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалі­зацію політики забезпечення інформаційної безпеки організації.

Під час розробки політики безпеки повинні бути враховані технологія зберігання, оброблення та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних за­собів, фізичного середовища та інші чинники. В організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.

Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, ціліс­ності, доступності оброблюваної інформації. Політика безпеки

431

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

п овинна стосуватись: інформації (рівня критичності ресурсів ор­ганізації), взаємодії об'єктів (правил, відповідальності за захист ін­формації, гарантій заїхисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні).

Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої Модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доціль­но вказувати конкретну назву чи версію програмного продукту).

Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та мораль­но-етичні норми, організаційні (адміністративні), фізичні, тех­нічні (апаратні і програмні) заходи і визначати правила та поря­док застосування у організації кожного з цих видів.

Політика безпеки повинна базуватися на наступних основ­них принципах:

• системності;

• комплексності;

• неперервності захисту;

• достатності механізмів і заходів захисту та їхньої адекват­ ності загрозам;

• гнучкості керування системою захисту, простоти і зручності її використання;

• відкритості алгоритмів і механізмів захисту, якщо інше не пе­ редбачено окремо.

Політика безпеки повинна доказово давати гарантії того, що:

• в організації (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекват­ ність рівня захисту інформації рівню її критичності;

• реалізація заходів захисту інформації є рентабельною;

• в будь-якому середовищі функціонування організації забез­ печується оцінюваність і перевіряємість захищеності інфор­ мації;

• забезпечується персоніфікація положень політики безпеки (стосовно суб'єктів організації), звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких

432

Розділ 9. Основи управління інформаційною безпекою

здійснюється доступ в процесі функціонування інформацій-ноі\системи;

• персрнал і користувачі забезпечені достатньо повним комп­ лектом документації стосовно порядку забезпечення захисту інформації;

• всі критичні з точки зору безпеки інформації технології (функції) організації мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непе­ редбачених ситуацій;

• враховані вимоги всіх документів, які регламентують поря­ док захисту інформації у організації, та забезпечується їхнє суворе дотримання.

Політика безпеки розробляється на підготовчому етапі ство­рення СЗІБ організації.

Методологія розроблення політики безпеки організації включає в себе наступні роботи:

• розробка концепції безпеки інформації у організації;

• аналіз ризиків;

• визначення вимог до заходів, методів та засобів захисту;

• вибір основних рішень з забезпечення безпеки інформації;

• організація виконання відновлювальних робіт і забезпечен­ ня неперервного функціонування організації;

• документальне оформлення політики безпеки.

9.2.2. Концепція інформаційної безпеки в організації

Концепція інформаційної безпеки в організації викладає систему поглядів, основних принципів, розкриває основні на­прями забезпечення безпеки інформації. Розроблення концепції здійснюється після розгляду повної структури організації і вико­нується на підставі аналізу наступних чинників:

• правових і (або) договірних засад;

• вимог до забезпечення безпеки інформації згідно з завдання­ ми і функціями організації;

• загроз, які впливають на ресурси організації, що підлягають захисту.

433

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

З а результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію зберігання, оброблення та передавання інформації у організації:

• мета та пріоритети, яких необхідно дотримуватись у організа­ ції під час забезпечення інформаційної безпеки;

• загальні напрями діяльності, необхідні для досягнення цієї мети;

• аспекти діяльності у галузі безпеки інформації.які повинні ви­ рішуватися на рівні організації в цілому;

• відповідальність посадових осіб та інших суб'єктів взаємовід­ носин у організації, їхні права і обов'язки щодо реалізації за­ вдань інформаційної безпеки.

9.2.3. Аналіз та оцінка ризиків

Аналіз ризиків передбачає вивчення моделі загроз для інфор­маційної сфери організації та моделі порушників, можливих на­слідків від реалізації потенційних загроз (рівня можливої заподія­ної ними шкоди) і формування на його підставі моделі захисту інформаціїу організації. Під час проведення аналізу ризиків необ­хідним є виконання наступних робіт.

Визначення компонентів і ресурсів організації, які необхідно враховувати при аналізі. Повинні бути визначені критичні з точки зору безпеки компоненти і ресурси організації, які можуть бути об'єктами атаки або самі є потенційним джерелом порушення без­пеки інформації (об'єкти захисту). Для цього використовуються відомості, одержані в результаті обстеження середовищ функціо­нування організації.

Ідентифікація загроз з об'єктами захисту. Встановлюється відповідність моделі загроз і об'єктів захисту, тобто складається матриця загрози/компоненти (ресурси) організації. Кожному еле­менту матриці повинен бути зіставлений опис можливого впливу загрози на відповідний компонент або ресурс організації. У про­цесі упорядкування матриці може уточнюватися список загроз і об'єктів захисту, внаслідок чого коригуватись модель загроз.

434

Розділ 9. Основи управління інформаційною безпекою

О цінка ризиків. Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кож­ної загрози впродовж певного проміжку часу, тобто ймовірності її здійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрози рекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити за припущення, що кож­на подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз не­можливо одержати достатньо об'єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визна­чається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подіб­них систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо.

Оцінка може мати числове або смислове значення (напри­клад, ймовірність реалізації загрози — незначна, низька, висока, неприпустимо висока).

У будь-якому випадку існуючий ризик не повинен перевищу­вати гранично допустимий для кожної загрози. Перевищення свід­чить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків.

Оцінювання величини можливих збитків, пов'язаних з ре­алізацією загроз. Виконується кількісна або якісна оцінка збит­ків, що можуть бути нанесені організації (організації) внаслідок реалізації загроз. Доцільно, щоб ця оцінка складалась з величин очікуваних збитків від втрати інформацією кожної з власти­востей (конфіденційності, цілісності або доступності) або від втрати керованості організації внаслідок реалізації загрози. Для одержання оцінки можуть бути використані такі ж методи, як і при аналізі ризиків. Величина можливих збитків визначається розміром фінансових втрат або, у разі неможливості визначення Цього, за якісною шкалою (наприклад, величина збитків — від­сутня, низька, середня, висока, неприпустимо висока).

435

Частина И. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ