- •Введение
- •1.1. Понятийный аппарат в области обеспечения безопасности информации
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных процедур обработки защищаемой информации
- •Глава 4
- •4.1. Классификация информации по видам тайны и степеням конфиденциальности
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5.1. Значение носителей защищаемой информации как объектов защиты
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •Глава 8
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •10.1. Содержание концепции построения ксзи
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации
- •11.1. Общая характеристика задач моделирования ксзи
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации вАс
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •12.1. Общее содержание работ по организации ксзи
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •Глава 13
- •13.1. Специфика персонала предприятия как объекта защиты
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •14.2. Перечень вопросов зи, требующих документационного закрепления
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Глава 20
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность — эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
11.4.3. Модель безопасности: неформальное описание
Неформальное описание правил разграничений доступа
В политике безопасности должны быть описаны уровни полномочий, присваиваемые различным группам пользователей, уровни конфиденциальности обрабатываемой информации, порядок включения новых пользователей в те или иные группы и наделения их полномочиями (авторизация), изменение полномочий, удаление пользователей из системы. Можно выделить в политике безопасности организационную и техническую составляющие. К организационным аспектам отнесем, например, права и обязанности должностных лиц в отношении безопасности, порядок учета и обращения с отторгаемыми носителями информации и т.п. Далее рассмотрим только техническую сторону политики безопасности, которая может быть отображена на механизмы безопасности, реализованные в программном обеспечении АС.
Политика безопасности может быть выражена формальным и неформальным образом. Неформальное описание политики безопасности реализуется обычно в виде таблиц, наглядно представляющих ПРД. Преимущество подобного описания состоит в простоте его восприятия пользователями и контролирующими органами. Основной недостаток неформального описания политики безопасности — возможность допуска логических ошибок при ее формировании, что может привести к появлению уязвимостей в проектируемой системе.
Преимущество формального описания заключается в строгом обосновании политики безопасности и (иногда) возможности теоретического доказательства безопасности системы. Приведем вначале неформальные ПРД политики безопасности, а затем формализуем их для построения модели.
Рассмотрим возможные правила управления доступом к ресурсам в рассматриваемой АС. Предположим, что функции администраторов ограничены задачами управления защитой информации, а как обычные пользователи они не работают. Вначале допустим, что внутренних нарушителей нет.
Правило 1. Администратор сети может создать пользователя и наделить его атрибутами безопасности, а также удалить пользователя и изменить его атрибуты безопасности.
Правило 2. Каждый пользователь до предоставления ему доступа должен быть идентифицирован.
Правило 3. Пользователь не может создать пользователя.
Правило 4. Пользователь может создать субъект и наделить его атрибутами безопасности.
Правило 5. Пользователь порождает только те процессы, которые разрешены администратором (так как внутреннего нарушителя нет, то эта необходимость вызвана обеспечением целостности системы).
Правило 6. Пользователь имеет доступ только к тем ресурсам, которые ему разрешены администратором (дискреционный доступ).
Теперь предположим, что имеются внутренние нарушители, но не администраторы. Появляются новые правила управления доступом.
Правило 7. Каждый пользователь до предоставления ему доступа должен быть аутентифицирован. Доступ должен предоставляться только при успешном прохождении аутентификации.
Правило 8. Пользователь, находящийся на определенном уровне секретности, может создавать информационные ресурсы уровня секретности не меньше его собственного.
Правило 9. Пользователь, находящийся на определенном уровне секретности, может читать информационные ресурсы уровня секретности не выше его собственного.
Последние два правила задают политику мандатного доступа.
Если допустить, что нарушителями могут быть и администраторы, то добавляются, например, следующие правила.
Правило 10. Администраторы сети не могут изменить свои собственные права. Права администраторов сети может менять администратор системы. Права администратора системы по доступу к ресурсам настраиваются на этапе настройки системы и не изменяются.
Правило 11. Администраторы сети имеют доступ к информации аудита только по чтению.
Правило 12. Администраторы не имеют доступа к пользовательской информации (либо к какой-то части пользовательской информации).
Конечно, приведенный выше перечень правил далеко неполон. Необходимо указать конкретно, кто и каким образом допущен к выводу документов на печать и сменные носители информации, кто допущен и к каким сетевым сервисам, кто обладает правом подписи исходящей информации, какие рабочие группы организуются и каковы их права и т.д.
Идентификация активов и определение их ценности
Под активами автоматизированной системы понимаются «информация или ресурсы, подлежащие защите контрмерами объекта оценки», под ресурсами — «все, что может использоваться или потребоваться объекту оценки». Ресурсами могут быть как программные изделия, так и физические объекты, а также люди. Поскольку в работе рассматривается только программная среда, отнесем к ресурсам общее и специальное программное обеспечение, пользовательские данные, справочную информацию баз данных, конфигурационную информацию программных средств и т.п.
Активы можно классифицировать по различным признакам. Обычно применяется классификация по уровню конфиденциальности, что иногда бывает недостаточно, так как за рамками рассмотрения остается вопрос стоимости информации. Причем надо раздельно рассматривать стоимость информации для внешних злоумышленников и для своей организации.
Кроме того, существуют несекретные активы, для которых исключительно важно обеспечить целостность и доступность данных. Это — конфигурационные, настроечные данные программ, да и сами программы.
Таким образом, можно оценивать активы в плане важности обеспечения их свойств безопасности «по отдельности»: конфиденциальности, целостности, доступности. В некоторых случаях можно также ввести кумулятивный показатель важности, присвоив отдельным свойствам безопасности веса и выполнив свертку.
Некоторые особенности определения правил разграничения доступа
В определении ПРД к ресурсам имеются определенные нюансы, которые, как правило, остаются за рамками рассмотрения в известной литературе. Рассмотрим эти нюансы.
1. В отношении пользовательских данных предлагается следующий подход: наделить пользователя (пользователей) правами по управлению ими, т.е. пользователь имеет возможность при создании файла ограничить доступ к нему для всех других пользователей, включая администратора. Это может быть сделано путем шифрования файла либо установкой на него определенного пароля. Пользователь должен иметь возможность гибкой настройки соответствующих ПРД: кому-то (пользователям, группе) разрешить доступ только по чтению, кому-то — разрешить полный доступ, кому-то вообще его запретить. Таким образом, пользователь выступает в качестве администратора по отношению к создаваемой им информации.
2. Достаточно часто возникает необходимость в коллективной работе над документами. В настоящее время существует ряд программных средств, позволяющих выполнять такую деятельность. Предлагаются следующие ПРД для коллективных документов: доступ по чтению имеют все члены группы; корректировка пользователями осуществляется путем создания каждым из них временной копии файла и работе над ним; запись окончательных изменений должна осуществляться при получении согласия от всех пользователей группы (или, например, большинства). Таким образом, в качестве администратора для коллективных документов выступает множество (или подмножество) пользователей группы.
3 Информация справочных баз данных доступна по чтению в соответствии с уровнем полномочий пользователей. По записи она доступна только уполномоченным пользователям, которые выступают в качестве администраторов баз данных. Вносимые этими пользователями изменения должны обязательно заверяться, например ЭЦП.
4. Для назначения ПРД на конфигурационную информацию программных средств целесообразно разбить ее на три категории:
• недоступная для настройки;
• доступная для настройки только соответствующим администраторам;
• доступная для свободной настройки (например, вид рабочего окна той или иной программы).
В каждом программном средстве имеются, как правило, все три категории конфигурационной информации.
5. Целесообразно назначать ПРД не только на программные средства (возможность/невозможность их запуска пользователями), но и на опции, с которыми они запускаются. Например, кому-то может быть разрешен запуск редактора языка Visual Basic В MS Word, а кому-то запрещен.
Таким образом, субъекты и объекты рассматриваемой АС и назначенные ПРД могут быть представлены в виде, показанном на рис. 11.3. Необходимо формализовать подобные правила для построения системы защиты и полного определения политики безопасности. Использование такого подхода позволяет создать описание взаимодействия субъектов и объектов в соответствии с прохождением информационных потоков, а также выработать требования, необходимые для контроля доступа.
За счет абстрагирования от особенностей архитектуры АС появляется возможность применения унифицированных методов защиты: средства управления доступом, не зависящие от политики безопасности; средства авторизации, идентификации и аутентификации, не зависяшие от особенностей функционирования прикладных средств, и т.п.
Субъекты
Назначающие правила разграничения доступа
АС АР АУ АП Пользователи Процессы
|
|
|
|
Ппаяиня пя"»гпяииирниа ппгтт/пя |
|
|
|||||||||
|
|
|
|
||||||||||||
|
|
|
|
||||||||||||
|
|
1 |
1 |
|
|
|
1 |
|
1 |
||||||
|
Чтение |
Дозапись |
Модификация |
|
Удаление |
|
Запуск |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Создание субъектов |
|
Удаление субъектов |
|
Наделение атрибутами безопасности, их модификация |
||||||||||
Объекты
ОПО, СПО в разных режимах запуска
Конфигурационная информация
Пользовательские данные
Справочная информация
Данные групп пользователей
Рис. 11.3. Детализация понятий субъектов и объектов
Разрабатываемая модель должна учитывать особенности построения АС и характер протекающих в ней процессов. Большое значение следует придавать критичности информационных потоков, связанных с командами на изменение полномочий пользователей и субъектов, на доступ к объектам вывода информации, к сетевым ресурсам, а также строгой аутентификации и фиксированию всех производящихся операций.