- •Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тульский государственный университет»
- •Конспект лекций
- •Комплексная система защиты информации на предприятии
- •090900 «Информационная безопасность»
- •Содержание
- •Тема 1. Сущность и задачи комплексной защиты информации
- •Тема 2. Принципы организации и этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации
- •Тема 5. Определение объектов защиты
- •Тема 10. Определение условий функционирования ксзи
- •Тема 11. Разработка модели ксзи
- •Тема 12. Технологическое и организационное построение ксзи
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации
- •Введение
- •Тема 1 Сущность и задачи комплексной защиты информации План
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •Тема 2. Принципы организации и этапы разработки ксзи План
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи План
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации План
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •6.1. Составление предварительного Перечня.
- •6.2. Определение возможного ущерба, наступающего в результате несанкционированного распространения кт.
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •Тема 5. Определение объектов защиты План
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •Основные принципы оборудования сигнализацией.
- •Сейфы и хранилища ценностей
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •Тема 6. Дестабилизирующие воздействия на информацию и их нейтрализация План
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •Тема 7. Определение потенциальных каналов и методов несанкционированного доступа к информации План
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •7.4. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •Тема 8. Определение возможностей несанкционированного доступа к защищаемой информации План
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •Тема 9. Определение компонентов ксзи План
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы f защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •Тема 10. Определение условий функционирования ксзи План
- •10.1. Содержание концепции построения ксзй
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •Тема 11. Разработка модели ксзи План
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации в ac
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект—объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •Тема 12. Технологическое и организационное построение ксзи План
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект.
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации План
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими* информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •Тема 14. Материально-техническое и нормативно-методологическое обеспечение комплексной системы защиты информации План
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •Тема15. Назначение, структура и содержание управления ксзи План
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •Тема 16. Принципы и методы планирования функционирования ксзи План
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •Тема 17. Сущность и содержание контроля функционирования План
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •Тема 18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций План
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •Перечень
- •Тема 19. Общая характеристика подходов к оценке эффективности ксзи План
- •19.1. Вероятностный подход
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Тема 20.
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •Экспертного опроса
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •(Ущербов)
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Библиографический список
11.2. Формальные модели безопасности и их анализ
11.2.1. Классификация формальных моделей безопасности
Формальные модели широко используются при построении систем защиты, так как с их помощью можно доказать безопасность системы, опираясь на объективные доказуемые математические постулаты. Целью построения модели является получение формального доказательства безопасности системы при соблюдении определенных условий, а также определение достаточного критерия безопасности. Формальные модели позволяют решить целый ряд задач, возникающих в ходе проектирования, разработки и сертификации АС в защищенном исполнении.
Формальная модель отображает политику безопасности. Политика безопасности (ПБ) — совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы. Политика безопасности описывает множество условий, при соблюдении которых пользователи системы могут получить доступ к ресурсам вычислительной системы без потери ее информационной безопасности. Политика безопасности АС может состоять из множества частных политик, соответствующих конкретным механизмам безопасности. Основу политики безопасности составляет способ управления доступом субъектов системы к объектам.
При функционировании АС происходит взаимодействие между ее компонентами, порождаются информационные потоки. Основная цель создания политики безопасности и, описания ее в виде формальной модели — это определение условий, которым
должны подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при установленных ограничениях? Свойство безопасности системы является, как правило, качественным и может быть булевой переменной: АС «безопасна-небезопасна».
Известно множество теоретических моделей, описывающих различные аспекты безопасности. Данные модели можно разделить по предназначению на классы: модели обеспечения конфиденциальности, контроля целостности, контроля информационных потоков и ролевого доступа. Кроме того, важное значение имеет субъектно-ориентированная модель изолированной программной среды.
11.2.2. Модели обеспечения конфиденциальности
Наиболее изучены математические модели, формализующие политики безопасности для обеспечения конфиденциальности, основанные на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы к информации не получили доступа неавторизованные субъекты. Среди этих моделей можно выделить три группы:
а) дискреционные модели (матрицы доступа Харрисона, Руззо и Ульмана, модели Take-Grant, Белла—Л а папула и др.);
б) мандатные модели (Белла—Лападула, Биба, систем военных сообщений);
в) модели ролевого разграничения доступа, которые нельзя отнести ни к дискреционным, ни к мандатным.
Модели данного типа широко используются в большинстве реальных систем. Так, в наиболее ответственных АС требуется обязательное сочетание дискреционного и мандатного доступа,! поэтому рассмотрим их подробнее.
Дискреционное управление доступом есть разграничение доступа между поименованными субъектами и поименованными объектами. Права доступа субъектов к объектам определяются на основе некоторого внешнего (по отношению к системе) правила.5 Политика безопасности либо разрешает некоторое действие над' объектом защиты, либо запрещает его.
Для описания дискреционной модели используется матрица доступа — таблица, отображающая правила доступа. Например в столбцах матрицы могут быть размещены S-субъекты, в строках, объекты, а на пересечении столбцов и строк размещаются права доступа. Права доступа могут быть типа: чтение, запись, запуск процесса, управление доступом к файлу для других пользователей и т.п. Матрицу доступа можно задавать по-разному: отталкиваясь либо от субъектов, либо от объектов.
Примером дискреционной модели является модель Харрисона, Руззо и Ульмана. Элементы этой модели — субъекты, объекты j права доступа и матрица доступов. Рассматриваются следующие права доступа: чтение, запись, владение. Функционирование системы рассматривается только с точки зрения изменений в матрице доступов. Изменения происходят за счет выполнения команд, которые составляются из 6 примитивных операторов: внести/удалить право, создать/уничтожить субъект/объект.
Авторы модели доказали, что в самом общем случае вопрос определения безопасности компьютерной системы неразрешим, т.е. не существует алгоритм, позволяющий определить, безопасна система или нет. Вместе с тем если в системе отсутствуют команды вида Create object, Create subject, то ее безопасность может быть оценена полиномиальным алгоритмом. Конечно, такая система является нереалистичной, поэтому было выполнено множество исследований на тему «Какие самые слабые ограничения можно наложить на систему, чтобы вопрос безопасности оставался разрешимым?». Эти исследования привели, в частности, к разработке системы Take Grant, в которой вопрос безопасности разрешим, причем за полиномиальное время.
К достоинствам моделей дискреционного доступа можно отнести их гибкость.
Основным фундаментальным недостатком данных моделей является так называемая проблема троянских программ, заключающаяся в том, что нарушитель может навязать пользователю выполнение программы, которая бы считывала данные из недоступного для нарушителя объекта и записывала их в разделяемый между пользователем и нарушителем объект.
Другой недостаток — огромный размер матриц, необходимый для использования в реальных системах. При дискреционном доступе необходимо описать правила доступа для каждого объекта и субъекта, что для больших систем практически нереализуемо. На практике применяется автоматическое присвоение прав каждой новой сущности, внедряемой в систему, что может приводить к появлению ситуаций наличия некоторых прав по умолчанию, которые могут быть использованы нарушителем (заводские пароли на BIOS, бюджеты по умолчанию в устанавливаемых ОС).
Мандатное управление доступом есть разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и допуска субъектов к информации соответствующего уровня конфиденциальности. В отличие от моделей дискреционного доступа модели мандатного доступа накладывают ограничение на передачу информации от одного пользователя другому, контролируют информационные потоки. Именно поэтому в подобных системах проблемы троянских программ не существует.
Классическим примером модели, мандатного доступа является модель Белла—Лападула. В ней анализируются условия, при которых невозможно возникновение информационных потоков от объектов с большим уровнем конфиденциальности к объектам меньшим уровнем конфиденциальности. Типы доступа, используемые в модели: чтение, запись, добавление в конец объекта; выполнение.
В краткой форме данная модель может быть описана следующими тремя правилами:
1) допускается чтение и запись информации между объектами одного уровня конфиденциальности;
2) не допускается запись информации «вниз», т.е. от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем;
3) не допускается чтение «вверх», т.е. от объектов с меньшим уровнем конфиденциальности к объектам с большим уровнем.
Второе правило разрешает проблему троянских коней, так как запись информации на более низкий уровень запрещена.
Система состоит из множеств субъектов, объектов, видов и прав доступа, возможных текущих доступов в системе, решетки уровней безопасности, матрицы доступов и тройки функций, определяющих уровень доступа субъекта, уровень конфиденциальности объекта и текущий уровень доступа субъекта.
Ясно, что в «чистом» виде модель Белла—Лападула нереалистична. В самом деле, у субъекта, находящегося на высоком уровне конфиденциальности, может возникнуть потребность создания несекретного документа, однако он вынужден будет присвоить ему высокий гриф.
Другим недостатком является то, что субъект, выполнивший запись в объект более высокого уровня, не может проверить результат этой операции.
В реальных АС всегда есть администраторы, управляющие состоянием системы: они добавляют и удаляют субъекты, объекты, изменяют права доступа. Подобные действия администраторов не могут контролироваться правилами модели Белла—Лападула. Администраторами могут быть не только физические лица, но и процессы и драйверы, обеспечивающие критические функций. Модель Белла—Лападула не устанавливает никаких специальных правил поведения доверенных субъектов.
Фундаментальным недостатком мандатных систем является проблема существования в них скрытых каналов утечки информации. Особенно это актуально для распределенных систем. НаС пример, субъект высокого уровня конфиденциальности одного сегмента АС посылает запрос на чтение объекта с меньшим уровнем конфиденциальности другого сегмента. Этот запрос есть не^ желательный информационный поток «сверху, вниз», нарушающий правила модели Белла—Лападула. Можно привести примеры и других скрытых каналов, образуемых как по памяти, так и по времени.
Для преодоления ограничений в модели Белла—Лападулы были разработаны специализированные, модели. Рассмотрим, например, модель системы военных сообщений (СВС). Она построена на основе модели Белла—Лападулы и ориентирована прежде всего на системы приема, передачи и обработки почтовых сообщений, реализующих мандатную политику безопасности. В данной модели делается различие между одноуровневым объектом и многоуровневым контейнером, содержащим в себе объекты. Контейнер и объекты называют сущностями, которые имеют идентификаторы. У контейнера есть атрибут, определяющий порядок обращения к его содержимому. На объект можно ссылаться либо непосредственно, либо косвенно — через контейнеры, в которых он содержится.
В модели С ВС рассматриваются операции над входящими и исходящими сообщениями, а также операции хранения и получения сообщений. Сообщение, как правило, является контейнером, состоящим из сущностей, описывающих его параметры: кому, от кого и т.п.
В модели СВС описываются четыре постулата безопасности, обязательных для выполнения:
1. Администратор корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества прав.
2. Пользователь верно назначает уровни конфиденциальности модифицируемых им сущностей.
3. Пользователь корректно направляет сообщения по адресам и определяет множества доступа к созданным им сущностям.
4. Пользователь правильно определяет атрибут контейнера.
В модели СВС описываются такие свойства, как авторизация, иерархия уровней конфиденциальности, безопасный перенос информации, безопасный просмотр, доступ к сущностям, безопасное понижение уровня конфиденциальности, отправление сообщений и др.
Недостатком модели СВС является то, что в ней отсутствует описание механизмов администрирования. Предполагается, что создание сущностей, присвоение им уровней конфиденциальности, задание множества доступов происходят корректно.
Так же, как и во всех моделях мандатного доступа, в СВС есть угроза утечки информации по скрытым каналам.
Попытки распространить мандатную модель на низкоуровневые механизмы, реализующие управляемые взаимодействия, приводят к нарушению политики безопасности. Например, ее нельзя применить для сетевых взаимодействий: нельзя построить распределенную систему, в которой информация передавалась бы только в одном направлении, всегда будет существовать обратный поток информации, содержащий ответы на запросы, подтверждения получения и т. п.
В модели ролевого разграничения доступа (РРД) права доступа субъектов к объектам группируются с учетом специфики их применения, образуя роли. Модель РРД является развитием политики дискреционного разграничения доступа, но ее фундаментальное отличие состоит в том, что пользователи не могут передавать права на доступ к информации, как это было в моделях дискреционного доступа. Некоторые авторы полагают, что модель РРД нельзя отнести ни к дискреционным, ни к мандатным, так как управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.
РРД активно применяется в существующих АС. В данной модели субъект замещается понятиями «пользователь» и «роль», пользователь — человек, работающий с системой, выполняющий определенные служебные обязанности. Роль — активно действующая в системе абстрактная сущность, с которой связана совокупность прав доступа. Количество ролей в системе может не соответствовать количеству пользователей. Один пользователь может выполнять несколько ролей, а несколько пользователей могут выполнять одну и ту же роль.
Основными элементами модели РРД являются множества пользователей, ролей, прав доступа на объекты АС, сессий пользователей, а также функции, определяющие для каждой роли множества прав доступа, для каждого пользователя — множество ролей, на которые он может быть авторизован, для каждой сессии пользователя, от имени которого она активизирована, для каждо-1 го пользователя — множество ролей, на которые он авторизован в данной сессии.
Система считается безопасной, если любой ее пользователь, работающий в некотором сеансе, может осуществлять действия, требующие определенные полномочия, лишь в том случае, если эти полномочия доступны для его роли (назначается только одна из всей совокупности доступных ролей для сеанса) в данном сеансе.
Для обеспечения соответствия реальным компьютерным системам на множестве ролей строится иерархическая структура. Это позволяет пользователю, авторизованному на некоторую роль, быт автоматически авторизованным на все роли, меньшие ее в иерархии.
Ролевая политика обеспечивает удобное администрирование! безопасности АС, так как пользователям даются не индивидуальные права, а предоставляются права, связанные с конкретной ролью. Понятие роли используется в ГОСТ Р ИСО МЭК 15408 — 2002, а также в стандарте SQL3.
Несмотря на то что в рамках модели РРД формально доказать безопасность системы невозможно, она позволяет получить простые и понятные правила контроля доступа, которые легко могут быть применимы на практике. Кроме того, возможно объединение модели РРД мандатной и дискреционными моделями. Например, полномочия ролей могут контролироваться правилами этих политик, что позволяет строить иерархические схемы контроля доступа.
В автоматной модели безопасности информационных потоков система защиты представляется детерминированным автоматом, на вход которого поступает последовательность команд пользователей. Элементами данной системы являются множества состояний системы, пользователей, матриц доступов, команд пользователей, изменяющих матрицу доступа, команд пользователей, изменяющих состояние, выходных значений, а также функция перехода системы.
Существуют два типа команд пользователей: изменяющие состояние системы либо модифицирующие матрицу доступа. Для каждого пользователя в матрице доступа определены команды., которые он может выполнять (дискреционное разграничение доступа).
Для каждого пользователя задается функция выходов, определяющая, что каждый из них видит при данном состоянии системы.
Политика безопасности в автоматной модели безопасности — это набор требований информационного невмешательства. Невмешательство — ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя. Модель невмешательства рассматривает систему, состоящую из четырех объектов: высокий ввод (high-in), низкий ввод (low-in), высокий вывод (high-out), низкий вывод (low-out).
Главное достоинство данной модели по сравнению с моделью Белла—Лападула — отсутствие в ней скрытых каналов. Недостаток заключается в высокой сложности верификации модели.
Модель не выводимости также основана на рассмотрении информационных потоков в системе. Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности.
Требования информационной невыводимости более строгие, чем требования безопасности модели Белла—Лападула, и предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы, что практически нереализуемо на практике.