16. Основные понятия защиты информации (субъекты, объекты, доступ, граф.Доступов, информационные потоки). Постановка задачи построения защищённой автоматизированной системы (ас). Ценность информации.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

ЗИ – деятельность, направленная на предотвращение утечки защ-ой И., несанкционированных и непреднамеренных воздействий на защ-ую И.

Объект – пассивный компонент системы, хранящий, принимающий или передающий И. (компьютерная или автоматизированная система обработки данных).

Субъект – активный компонент системы, кот.м. стать причиной потока И. от объекта к субъекту или изменения состояния системы.

Доступ – ознакомление сИ., ее обработка, в частности: копирование, модификация, уничтожение.

Потоком информации между объектом Оm и объек­том Оj наз. произвольная операция над объектом Оj реализуемая в субъекте Si, и зависящая от Оm.

Граф доступов – граф, который определяет доступ субъектов к объектам.

Две аксиомы защищенных АС.

Аксиома 1. В защищенной АС всегда присутствует активный компо­нент (субъект), выполняющий контроль операций субъектов над объектами. Этот компонент фактически отвечает за реализацию некоторой поли­тики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объек­тами необходима дополнительная И. (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объ­ектами.

Фундаментальная аксиома для всей теории ИБ.

Аксиома 3. Все вопросы БИ в АС описыва­ются доступами субъектов к объектам.

ИБ АС - состояние АС, при кот.она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних инф. угроз, а с другой - ее наличие и функционирование не создает инф. угроз для элементов самой системы и внешней среды.

Постановка задачи построения защищенной автоматизированной системы.

Защищенные АС – АС, в кот.обеспечивается безопасность информации.

Защищенные АС должны обеспечивать безопасность (конфиденциальность и целостность) обработки И. и поддерживать свою работоспособность в условиях воздействия на систему заданного множества угроз. Соответствовать требованиям и критериям стандартов ИБ.

Для того, чтобы построить защищенную систему необходимо: провести комплекс правовых норм, орг. мер, тех., программных и криптографических средств, обеспечивающий защищенность И. в АС в соответствии с принятой политикой безопасности, т.е. создать систему защиты.

Ценность информации.

Ценность И. оп­ределяется степенью ее полезности для владельца. Обладание достоверной И. дает ее владельцу определен­ные преимущества. Достоверной яв­ляется И., кот.с достаточной для владельца (поль­зователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

И., искаженно представляющая действительность (недостоверная информация), может нанести владельцу значи­тельный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Если доступ к И. ограничивается, то такая И. является конфиденциальной. Конф. И. мо­жет содержать гос. (сведения, принадлежащие государству (гос. учреждению)) или КТ (сведения, принадлежащие ча­стному лицу, фирме, корпорации и т. п.).

В соответствии с законом «О ГТ» сведениям, представляющим ценность для го­сударства, м.б. присвоена одна из трех возможных степе­ней секретности («секретно», «совершенно секретно» или «особой важности»). В гос. учреждениях менее важной И. может присваи­ваться гриф «ДСП».

Для обозначения ценности конф. комм. И. используются три категории:

«КТ - строго конф.»; «КТ- конф.»; «КТ».

Используется и другой подход к градации ценности комм. И.:

«строго конф. - строгий учет»; «строго конф.»; «конф.».

Ценность информации изменяется во времени.

Распространение И. и ее использование приводят к изменению ее ценности и цены. Характер изменения ценности во времени зависит от вида И. В большинстве случаев ценность со временем уменьшается – И. стареет.

Старение информации С_и можно представить выражением вида:

где - ценность И. в момент ее возникновения (создания);

- время от момента возникновения И. до момента ее использования;

_жц - продолжительность ЖЦ И. (от момента возникновения до момента устаревания).

Следовательно, за время ЖЦ ценность И. уменьшается до 0.1 первоначальной величины.

В зависимости от продолжительности ЖЦ комм. И. классифицируется след.образом:

• оперативно-тактическая, теряющая ценность примерно по 10% в день;

• стратегическая информация, ценность которой убывает примерно 10% в месяц.

Информация покупается и продается.

И. правомочно рассматривать как товар, имеющий определен­ную цену. Цена, как и ценность И., связаны с полезно­стью И. для конкретных людей, организаций, госу­дарств. И. м.б. ценной для ее владельца, но бес­полезной для других. В этом случае И. не м.б. товаром, а, следовательно, она не имеет и цены.

Информация м.б. получена тремя путями:

• проведением НИР.; покупкой И.; противоправным добыванием И.

Как любой товар, И. имеет себестоимость, кот.определяется затратами на ее получение.

При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

Но если при копировании происходят воздействия на инф. параметры носителя, приводящие к изменению их значений, или незначительные изменения накапливаются, то количество И. уменьшается. Ухудшается ее качество.

17. Угрозы безопасности информации. Угрозы конфиденциальности, целостности доступности АС. Понятие политики безопасности. Дискреционная политика безопасности. Мандатная политика безопасности. Мандатная политика целостности.

Угрозы БИ. Угрозы конф., целостности доступности АС.

Угроза - потенциально возможное событие, действие, процесс или явление, кот.может привести к нанесению ущерба чьим-либо интересам.

Угроза ИБ АС - возможность реализации воздействия на И., обрабатываемую вАС, приводящего к искажению, уничтожению, копированию, блокировании доступа к И., а также возможность воздействия на компоненты АС. В наст.вр. рассматривается обширный перечень угроз ИБ АС. Наиболее характерные и часто реализуемые:

• несанкционированное копирование носителей И.;

• неосторожные действия, приводящие к разглашению конф. И.;

• игнорирование организационных ограничений при определении ранга системы.

Задание возможных угроз ИБ проводится с целью опред. полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска и формулирования требований к системе защиты АС. Кроме выяв­ления возможных угроз д.б. проведен анализ этих угроз на основе их классификации по ряду признаков.

Необходимость классификации обусловлена тем, что условия автоматизированной обработки И. такие, что накапливаемая, хранимая и обрабатываемая И. подверже­на случайным влияниям большого числа факторов, в силу чего становится невозможным описать полное множество угроз. Как следствие, для защ-ой системы опред. не полный перечень угроз, а перечень классов угроз.

• Конф-ть И. - свойство И., указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной И..

• Целостность И. - существование И. в неиска­женном виде (неизменном по отношению к некоторому фиксированно­му ее состоянию).

• Доступность И. - свойство системы, в кот.циркулирует И., характери­зующееся способностью обеспечивать своевременный беспрепятст­венный доступ субъектов к интересующей их И.

Т.о., приня­то считать, что ИБ АС обеспечена в случае, если для любых инф. ресурсов в системе поддерживается определенный уровень конф., целостности и доступно­сти. Соответственно дляАС было предложено рас­сматривать три основных вида угроз.

• Угроза нарушения конф. закл. в том, что И. становится известной тому, кто не располагает полномо­чиями доступа к ней. Происходит «утечка» И..

• Угрозанарушения целостности вкл. в себя любое умышленное изменение И., хранящейся в выч. системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к не­санкц. изменению приводит случ. ошибка про­гр. или апп. обеспечения. Санкц. изме­нениями являются те, которые сделаны уполномоченными лицами с обоснованной целью.

• Угроза отказа служб возникает, когда в результате преднамеренных действий, блокируется доступ к некоторому ресурсу выч. системы. Блокирование м.б. постоянным - запрашиваемый ресурс никогда не будет получен, или временным - вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.

Понятие политики безопасности

ПБ – совокупность норм и правил, регламентирующих процесс обработки И., обеспечивающих эффективную защиту системы обработки И. от заданного множества угроз. ПБ составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности

– политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Основой дискреционной ПБ яв­ляется дискреционное управление доступом, кот.определяется двумя свойствами:

• все S и O должны быть идентифицированы;

• права доступа S к O определяются на основа­нии некоторого внешнего по отношению к системе правила (заранее не закладывается в систему).

Достоинства: относительно простая реализация механизмов за­щиты. (Большинство распространенных в наст.вр. АС обеспечивают выполнение положений именно дан­ной ПБ).

Пример реализации дискреционной ПБ вАС - матрица доступов, строки которой соответствуют S системы, а столбцы - O; элементы матрицы характеризуют права доступа. Недостаток - статичность модели - не учитывает динамику из­менений состояния АС, не накладывает ограничений на состояния системы.

При исп. данной ПБ перед МБО, который при санкциони­ровании доступа S к O руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную ПБ (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, кото­рый бы позволил реализовать ясную и четкую систему защиты И. в АС.

Мандатная политика безопасности

– ПБ основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности S и O.

Основу мандатной ПБ состав­ляет мандатное управление доступом, кот.подразумевает, что:

• все S и O системы д.б. однозначно идентифи­цированы;

• задан линейно упорядоченный набор меток секретности;

• каждому O присвоена метка секретности, определяю­щая ценность содержащейся в нем И. - его уровень секрет­ности в АС;

• каждому S присвоена метка секретности, определяю­щая уровень доверия к нему вАС - максимальное значение метки сек­ретности объектов, к которым субъект имеет доступ.

Основная цель мандатной ПБ - предотвращение утечки И. от O с высоким уровнем доступа к O с низким уровнем доступа, т.е. противодействие возникновению в АС ин­ф. потоков сверху вниз.

Достоинство – более высокая степень надежности, правила ясны и понятны.

Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа S системы к O, но и состояния самой АС. Т.о., каналы утечки в системах данного типа не заложены в нее непосредст­венно (что мы наблюдаем в положениях предыдущей ПБ), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандат­ной политики более ясны и просты для понимания разра­ботчиками и пользователями АС, что также является фактором, положи­тельно влияющим на уровень безопасности системы.

Недостатки– реализация систем с ПБ данного типа довольно сложна и требует значительных ресурсов выч. системы.

В качестве примера модели АС, реализующих мандатную ПБ можно привести модель Белла-Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реали­зующих мандатную защиту, от систем с дискреционной защитой: если на­чальное состояние системы безопасно, и все переходы системы из со­стояния в состояние не нарушают ограничений, сформулированных ПБ, то любое состояние системы безопасно.

Мандатная политика целостности (Абстрактная модель ЗИ)

Одной из первых моделей была опубликована в 1977 модель Биба. Согласно ей все S и O предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) S не может вызывать на исполнение S-ы с более низким уровнем доступа;

2) S не может модифицировать O-ы с более высоким уровнем доступа.