Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях

Безопасность информации при аварийных ситуациях заключается в создании средств предупреждения, контроля и организационных мер по исключению несанкционированного доступа на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Практика показывает, что хотя аварийная ситуация — событие редкое (вероятность ее появления зависит от многих причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), защита от нее необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери — безвозвратными. Затраты на безопасность информации при аварийных ситуациях могут быть относительно малы, а эффект в случае аварии — большим.

Отказ функционирования комплекса средств автоматизации может повлечь за собой отказ системы обеспечения безопасности информации, может открыться доступ к ее носителям: магнитным лентам, дискам и т. д., что может привести к преднамеренному разрушению, хищению или подмене носителя. Несанкционированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы.

Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бедствия: пожар, наводнение, землетрясение, удары молнии и т. д. — могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно нарушителем. В последнем случае применяются организационные мероприятия.

На случай отказа функционирования комплекса средств автоматизации подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки информация должна храниться в закрытом криптографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы контроля и сигнализации.

Наиболее частой и типичной естественной угрозой является пожар. Он может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.

Более подробно и глубоко вопросы защиты от стихийных бедствий рассмотрены в специальной литературе, в том числе и учебной.

Глава 11. Организационные мероприятия по обеспечению безопасности информации

Организационные мероприятия по защите информации в информационных системах заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.

Организационные меры, по мнению специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть ( ~ 50%) системы обеспечения безопасности информации. Они используются тогда, когда компьютерная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно иногда технические меры продублировать организационными.

Оргмеры по обеспечению информационной безопасности систем в процессе их функционирования и подготовки к нему охватывают решения и процедуры, принимаемые руководством организации - потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.

Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Конкретное распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной и жизнеспособной системы защиты.

Организационные меры по обеспечению безопасности информации в информационных системах должны охватывать этапы:

• Проектирования;

• Разработки;

• Изготовления;

• Испытаний;

• Подготовки к эксплуатации;

• Непосредственно эксплуатации системы.

В соответствии с требованиями технического задания в организации-проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по обеспечению безопасности информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по обеспечению безопасности информации, проводимые организацией - проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия защиты информации в информационной системе.

К оргмероприятиям по обеспечению безопасности информации в процессе создания системы относятся:

• введение на необходимых участках проведения работ с режимом секретности;

• разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;

• при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;

• разграничение задач по исполнителям и выпуску документации;

• присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;

• постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;

• установление и распределение ответственных лиц за утечку информации;

• другие меры, устанавливаемые главным конструктором при создании конкретной системы.

Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.

Указанные мероприятия как метод обеспечения безопасности информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации. Поскольку организационные меры являются неотъемлемой частью системы обеспечения безопасности информации в информационных системах с комплексами автоматизации обработки информации, дальнейшее их описание приведено ниже в соответствующих разделах.

Раздел III. Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных

Глава 1. Концептуальные основы проектирования системы обеспечения безопасности информации в информационных системах.

Анализ развития концепций систем обеспечения безопасности информации в Информационных системах.

Решение проблемы обеспечения безопасности информации в информационных системах в настоящее время приняло регулярный характер и осуществляется на промышленной основе с вложением значительных средств. Тем не менее с течением времени острота проблемы безопасности информации не снижается. В последние года во всех странах предпринимаются большие усилия в области защиты информации. В некоторых странах даже созданы федерации по борьбе с хищениями математического обеспечения и информации в информационно-информационных системах и сетях. Большое число промышленных и иных фирм специализируется на производстве средств защиты, оказании консультационной помощи, проектировании и внедрении механизмов защиты, проведении ревизий и оценке эффективности защиты.

В развитии процессов и систем обеспечения безопасности информации можно выделить несколько этапов.

Центральной идеей первого этапа создания системы безопасности являлось намерение обеспечивать надежную защиту информации механизмами, содержащими в основном технические и программные средства.

Техническими были названы такие средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств было принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру информационных систем, или устройства, которые сопрягаются с аппаратурой данных систем по стандартному интерфейсу. Физическими средствами названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.).

Технические средства — понятие более широкое, к ним можно отнести аппаратные, физические и программные средства, а к физическим — и аппаратные.

Программные средства защиты — это программы, специально предназначенные для выполнения функций, связанных с защитой информации.

Указанные средства и составляли основу механизмов системы безопасности на первом этапе (60-е годы прошлого века). При этом господствовало убеждение, что основными средствами системы безопасности информации являются программные, причем считалось, что программы системы безопасности информации будут работать эффективнее, если будут включены в состав общесистемных компонентов программного обеспечения. Поэтому первоначально программные механизмы системы безопасности включались в состав операционных систем или систем управления базами данных. Практика показала, что надежность механизмов защиты такого типа является явно недостаточной.

Следующей попыткой расширения рамок и повышения эффективности обеспечения программной системы безопасности стала организация дифференцированного разграничения доступа пользователей к информации и данным, находящимся в информационной системе. Для этого идентифицировались все пользователи и все элементы защищаемой информации и данных, устанавливалось каким-либо образом соответствие между идентификаторами пользователей и идентификаторами элементов информации и данных и строилась алгоритмическая процедура проверки лояльности каждого запроса пользователя. Испытания и углубленные исследования подобных систем, проведенные в течение нескольких лет, установили несколько путей обхода ее механизмов разграничения доступа.

Уникальной по своему содержанию была система безопасности ресурса (СБР) в операционной системе, разработанной в фирме IВМ.

Перед разработчиками была поставлена задача реализовать три основные функции защиты:

• Изоляцию;

• Контроль доступа;

• Контроль уровня защиты.

Кроме того, предполагалось, что программная защита будет дополняться комплексом организационных мер под руководством специального должностного лица — офицера безопасности. Всесторонние испытания системы безопасности ресурса показали в ней ряд серьезных недостатков.

В итоге специалисты пришли к выводу, что концепция системы обеспечения безопасности информации, основывающаяся на концентрации механизмов защиты в рамках операционной системы, не отвечает требованиям надежной защиты информации, особенно в автоматизированных системах обработки информации и данных и информационный системах с повышенной секретностью.

Для преодоления указанных недостатков разрабатывались следующие решения:

1. создание в механизмах защиты специального организующего элемента — ядра безопасности;

2. децентрализация механизмов защиты, вплоть до создания элементов, находящихся под управлением пользователей информационной системы и систем автоматизации;

3. расширение арсенала используемых средств обеспечения безопасности информации.

Развитие концепции, основанной на перечисляемых решениях, и составило содержание второго этапа (70-е годы прошлого века). Интенсивно развивались на втором этапе средства защиты, особенно технические и криптографические.

Однако, несмотря на все принятые меры, надежная защита информации опять оказалась недостижимой, о чем красноречиво говорили реальные факты злоумышленного доступа к информации. К тому же именно в это время была доказана теория (ее иногда называют теоремой Харрисона) о невозможности решить для общего случая задачу о безопасности произвольной системы защиты при общем задании на доступ.

На этом основании в зарубежной печати все чаще стали появляться высказывания о том, что вообще нет предпосылок для надежного обеспечения безопасности информации.

Таким образом, второй период, начавшись с оптимистических надежд на реализацию надежного механизма обеспечения безопасности информации, закончился унылым пессимизмом о невозможности вообще обеспечить надежную защиту.

Поиски выхода из такого тупикового состояния и составляют основное содержание третьего этапа (с 80-х г. прошлого века) развития концепций обеспечения безопасности информации. При этом генеральным направлением поисков стало неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде всего в смысле не просто создания соответствующих механизмов защиты, но и в смысле регулярности процесса, осуществляемого на всех этапах жизненного цикла информационной системы при комплексном использовании всех имеющихся средств обеспечения безопасности информации.

При этом все средства, методы и мероприятия, используемые для системы обеспечения безопасности информации, непременно и наиболее рациональным образом объединяются в единый целостный механизм — систему защиты.

В этой системе должны быть по крайней мере четыре защитных пояса:

• внешний пояс (периметр), охватывающий всю территорию, на которой расположены сооружения информационной системы и автоматизированной системы обработки;

• пояс сооружений, помещений или устройств информационной системы;

• пояс компонентов системы (технических средств, программного обеспечения, элементов баз данных);

• пояс технологических процессов обработки информации и данных (ввод-вывод, внутренняя обработка и т. п.)

Как пример практической реализации системного подхода к обеспечению безопасности информации является проект системы защиты, разрабатывавшейся фирмой Honeywell Inc. по контракту с министерством обороны США.

В качестве исходных были приняты следующие три положения:

1. система защиты информации разрабатывается и внедряется одновременно с разработкой самой информационной системы и ее автоматизированной системой обработки;

2. реализация функции защиты — преимущественно аппаратная;

3. должно быть строго доказано обеспечение задаваемого уровня защиты.

Специалисты центра системных исследований фирмы Honeywell Inc. заявили, что ими разработан специальный математический аппарат, позволяющий определять степень защищенности информации и имеющий не меньшее значение, чем создание компьютера с высоким уровнем защиты. Этот математический аппарат разработан на основе дальнейшего развития результатов, полученных в процессе разработки средств защиты информации для систем Multics и Scomp, а также при создании фирмой SRI International операционной системы с доказуемой защищенностью данных.

Большое внимание при разработке систем защиты уделяется проблемам защиты программного обеспечения информационной системы и ее системы автоматизации, что обусловлено рядом обстоятельств.

Во-первых, программное обеспечение играет решающую роль в качественной обработке информации.

Во-вторых, программы все больше и больше становятся предметом коммерческой тайны.

В-третьих, программные средства являются одним из наиболее уязвимых компонентов информационных систем.

Особую тревогу вызывает все, что связано с компьютерными вирусами.

Анализ видов автоматизированных систем обработки информации и выбор общего подхода к построению системы ее безопасности.

Проблема безопасности информации охватывает широкий спектр информационных и автоматизированных систем ее обработки: от персонального компьютера и больших информационных комплексов до глобальных информационных сетей и автоматизированных систем управления различного назначения.

Наряду с известными и необходимыми для выполнения своих задач по прямому назначению характеристиками, такими, как надежность функционирования, устойчивость к внешним воздействиям и скорость обработки информации и данных, каждая из этих систем должна обеспечивать гарантированную безопасность обрабатываемой информации. Данная характеристика, или свойство системы, по своему значению не уступает приведенным характеристикам и часто даже превосходит их. Это видно хотя бы из того, что при отказе функционирования системы ценная информация в ней должна быть сохранена, то есть не должна претерпеть никаких изменений, не быть разрушенной или похищенной и не быть доступной посторонним лицам.

Рис. 1а. Обобщенная функциональная схема информационной системы с централизованной обработкой информации и данных

В целях выработки общего подхода к решению этой задачи для всех видов информационных систем и систем автоматизации обработки информации и данных рассмотрим их классификацию по принципам построения, приведенную на рис. 1, гл. 2, разд.1

Анализ этой классификации (основанной на видах обращения к информации и данным) позволяет разделить информационные системы и системы автоматизации обработки информации и данных на два вида: с централизованной и децентрализованной обработкой данных.

К информационным системам с централизованной обработкой информации и данных относятся:

• компьютеры;

• информационные и вычислительные комплексы и системы.

К информационным системам с децентрализованной обработкой информации и данных относятся:

• системы телеобработки данных;

• распределенные системы обработки информации и данных;

• информационные и вычислительные сети (сети передачи информации и данных);

• автоматизированные системы управления.

При рассмотрении структуры и принципов построения информационных систем и автоматизированных систем обработки информации и данных следует обратить внимание на следующую закономерность, вытекающую из последовательного их развития в сторону усложнения состава технических средств и умножения выполняемых задач: каждый последующий вид подобных систем может включать все предыдущие.

Информационные и вычислительные системы могут содержать в своем составе информационные и вычислительные комплексы и компьютеры.

Автоматизированные системы управления — информационные и вычислительные системы, соединенные через информационную и распределенную вычислительную сеть каналами связи.

Информационная и распределенная вычислительная сеть состоят также из информационных и информационных систем, соединенных между собой каналами связи.

Только часть этих систем выполняет задачи узлов коммутации сообщений, а остальные — задачи абонентских комплексов. Таким образом, информационную или информационную систему с позиций безопасности информации можно рассматривать как некий базовый элемент информационной или информационной сети и автоматизированной системы управления.

Обобщенная функциональная схема такой системы представлена на рис. 1б.

Общий подход к разработке концепции безопасности информации для указанных информационных систем заключается в анализе этого элемента, разработке концептуальных основ защиты информации на его уровне и затем на уровне информационной сети и автоматизированной системы управления.

Такой подход удобен переходом от простого к сложному, а также и тем, что позволит получить возможность распространения полученных результатов на персональный компьютер и локальную компьютерную сеть, рассматривая первую как информационную систему с централизованной, а вторую — с децентрализованной обработкой информации и данных.

Рис. 1б. Обобщенная структура автоматизированной системы обработки информации и управления: КСА – комплекс средств автоматизации; КСА (УК) – комплекс средств автоматизации (управляющий комплекс); АПИД – аппаратура передачи информации и данных, СПИД – сеть передачи информации и данных.

Напомним еще раз, что понятие "информационная система" используется и в более широком смысле, а также и то, что в последнее время в качестве такого элемента могут выступать локальные компьютерные сети. Поэтому для представления информационной системы с децентрализованной обработкой информации и данных используем известное понятие "комплекс средств автоматизации обработки информации» (КСА), которое может включать либо упомянутую информационную систему, либо локальную вычислительную сеть, либо их сочетание, либо несколько таких систем. Принадлежность их к одному комплексу средств автоматизации обработки информации будет отличать выполнение общей задачи, линии связи между собой и общий выход в каналы связи сети передачи данных, а также расположение на одной контролируемой владельцем комплекса средств автоматизации обработки информации территории.

Изложенное позволяет в качестве объекта проектирования и эксплуатации выбрать обобщенную структуру автоматизированной системы управления, представленную на рис. 1б. В данном варианте изображена автоматизированная система управления, в состав которой могут входить все перечисленные виды информационных систем и где:

Комплекс средств автоматизации обработки информации и управления КСА (УК), аппаратура передачи данных (АПД) остальных комплексов средств автоматизации обработки информации с каналами связи образуют сеть передачи данных (СПД), комплекс средств автоматизации обработки информации является управляющим звеном автоматизированной системы управления, остальные комплексы средств автоматизации обработки информации — управляемые звенья автоматизированной системы управления.

Основы теории обеспечения безопасности информации от несанкционированного доступа.

Для постановки задачи рассмотрим некоторые первоначальные условия. Такие условия для нас будет создавать модель ожидаемого поведения потенциального нарушителя.

Модель поведения потенциального нарушителя. Нарушением считается попытка несанкционированного доступа к любой части подлежащей защите информации, хранимой, обрабатываемой и передаваемой в информационной системе.

Поскольку время и место проявления преднамеренного несанкционированного доступа предсказать невозможно, целесообразно воссоздать некоторую модель поведения потенциального нарушителя, предполагая наиболее опасную ситуацию:

1. нарушитель может появиться в любое время и в любом месте периметра информационной системы;

2. квалификация и осведомленность нарушителя может быть на уровне разработчика данной системы;

3. постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна;

4. для достижения своей цели нарушитель выберет наиболее слабое звено в защите;

5. нарушителем может быть не только постороннее лицо, но и законный пользователь системы;

6. нарушитель действует один.

Данная модель позволяет определиться с исходными данными для построения защиты и наметить основные принципы ее построения.

Согласно п. "а" необходимо строить вокруг предмета защиты постоянно действующий замкнутый контур (или оболочку) защиты (периметр).

Согласно п. "б" свойства преграды, составляющие защиту, должны по возможности соответствовать ожидаемой квалификации и осведомленности нарушителя.

Согласно п. "в" для входа в систему законного пользователя необходима переменная секретная информация, известная только ему.

Согласно п. "г" итоговая прочность защитного контура определяется его слабейшим звеном.

Согласно п. "д" при наличии нескольких законных пользователей полезно обеспечить разграничение их доступа к информации в соответствии с полномочиями и выполняемыми функциями, реализуя таким образом принцип наименьшей осведомленности каждого пользователя с целью сокращения ущерба в случае, если имеет место безответственность одного из них. Отсюда также следует, что расчет прочности защиты должен производиться для двух возможных исходных позиций нарушителя: за пределами контролируемой территории (периметра) и внутри её.

Согласно п. "е" в качестве исходной предпосылки также считаем, что нарушитель один, так как защита от группы нарушителей — задача следующего этапа исследований. Однако это не исключает возможности защиты предлагаемыми методами и средствами и от такого рода ситуаций, хотя подобная задача значительно сложнее. При этом под группой нарушителей понимается группа людей, выполняющих одну задачу под общим руководством.

Однако для различных по назначению и принципам построения информационных систем, виду и ценности обрабатываемой в них информации наиболее "опасная" модель поведения потенциального нарушителя также может быть различной. Для военных систем это уровень разведчика-профессионала, для коммерческих систем — уровень квалифицированного пользователя и т. д. Для медицинских систем, например, скорее всего не потребуется защита от побочного электромагнитного излучения и наводок, но защита от безответственности пользователей просто необходима. Очевидно, что для защиты информации от более квалифицированного и осведомленного нарушителя потребуется рассмотреть большее количество возможных каналов несанкционированного доступа и применить большее количество средств защиты с более высокими показателями прочности.

На основании изложенного для выбора исходной модели поведения потенциального нарушителя целесообразен дифференцированный подход. Поскольку квалификация нарушителя — понятие весьма относительное и приближенное, возможно принять за основу четыре класса безопасности:

1-й класс рекомендуется для защиты жизненно важной информации, утечка, разрушение или модификация которой могут привести к большим потерям для пользователя. Прочность защиты должна быть рассчитана на нарушителя-профессионала;

2-й класс рекомендуется использовать для защиты важной информации при работе нескольких пользователей, имеющих доступ к разным массивам данных или формирующих свои файлы, недоступные другим пользователям. Прочность защиты должна быть рассчитана на нарушителя высокой квалификации, но не на взломщика-профессионала;

3-й класс рекомендуется для защиты относительно ценной информации, постоянный несанкционированного доступа к которой путем ее накопления может привести к утечке и более ценной информации. Прочность защиты при этом должна быть рассчитана на относительно квалифицированного нарушителя-непрофессионала;

4-й класс рекомендуется для защиты прочей информации, не представляющей интереса для серьезных нарушителей. Однако его необходимость диктуется соблюдением технологической дисциплины учета и обработки информации служебного пользования в целях защиты от случайных нарушений в результате безответственности пользователей и некоторой подстраховки от случаев преднамеренного несанкционированного доступа.

Реализация перечисленных уровней безопасности должна обеспечиваться набором соответствующих средств защиты, перекрывающих определенное количество возможных каналов несанкционированного доступа в соответствии с ожидаемым классом потенциальных нарушителей. Уровень безопасности защиты внутри класса обеспечивается количественной оценкой прочности отдельных средств защиты и оценкой прочности контура защиты от преднамеренного несанкционированного доступа по расчетным формулам, вывод которых приведен ниже.

Модель элементарной защиты. В общем случае простейшая модель элементарной защиты любого предмета может быть в виде, представленном на рис. 2.

Рис. 2. Модель элементарной защиты: 1 – предмет защиты; 2 – преграда; 3 – прочность преграды.

Предмет защиты помещен в замкнутую и однородную защитную оболочку, называемую преградой. Прочность защиты зависит от свойств преграды. Принципиальную роль играет способность преграды противостоять попыткам преодоления ее нарушителем. Свойство предмета защиты — способность привлекать его владельца и потенциального нарушителя. Привлекательность предмета защиты заключается в его цене. Это свойство предмета защиты широко используется при оценке защищенности информации в информационных системах. При этом считается, что прочность созданной преграды достаточна, если стоимость ожидаемых затрат на ее преодоление потенциальным нарушителем превышает стоимость защищаемой информации. Однако возможен и другой подход.

Известно, что информация со временем теряет свою привлекательность и начинает устаревать, а в отдельных случаях ее цена может упасть до нуля. Тогда за условие достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Если обозначить вероятность непреодоления преграды нарушителем через Р_СЗИ, время жизни информации через t_ж, ожидаемое время преодоления преграды нарушителем через t_н, вероятность обхода преграды нарушителем через P_ОБХ, то для случая старения информации условие достаточности защиты получим в виде следующих отношений:

P_СЗИ=1, если t_Ж<t_Н и P_обх=0 

Р_ОБХ равное нулю, отражает необходимость замыкания преграды вокруг предмета защиты. Если t_ж > t_н, а Р_ОБХ = 0, то

Р_СЗИ=(1-Р_НР)                           (1)

где Р_нр — вероятность преодоления преграды нарушителем за время, меньшее t_ж.

Для реального случая, когда t_ж > t_н и P_обх > 0, прочность защиты можно представить в виде:

Р_СЗИ=(1-Р_НР)(1-Р_обх) 

где Р_НР=0, если t_Ж<t_Н; Р_НР>0, если t_Ж>=t_Н 

Однако эта формула справедлива для случая, когда нарушителей двое, т. е. когда один преодолевает преграду, а второй ее обходит. Но в исходной модели поведения потенциального нарушителя мы условились, что нарушитель будет в единственном числе и ему известны прочность преграды и сложность пути ее обхода. Поскольку одновременно по двум путям он идти не сможет, он выберет один из них — наиболее простой, т. е. по формуле "или". Тогда формальное выражение прочности защиты в целом для данного случая будет соответствовать формуле:

Р_СЗИ=(1-Р_НР)U(1-Р_обх)                               (2)

где U — знак "ИЛИ".

Следовательно, прочность преграды после определения и сравнения величин (1 – Р_НР) и (1 – Р_обх) будет равна наименьшему значению одной из них.

В качестве примера элементарной защиты, рассчитываемого по формуле (2), может быть названа криптографическая защита информации, где величина Р_НР может определяться путем оценки вероятности подбора кода ключа, с помощью которого можно дешифровать закрытую данным способом информацию.

Эту величину можно определить по формуле

                               (3)

где:

п — количество попыток подбора кода;

А — число символов в выбранном алфавите кода ключа;

S — длина кода ключа в количестве символов.

Величина Р_обх будет зависеть от выбранного метода шифрования, способа применения, полноты перекрытия текста информации, существующих методов криптоанализа, а также способа хранения действительного значения кода ключа и периодичности его замены на новое значение, если информация, закрытая данным способом, постоянно хранится у ее владельца. Возможны и другие обстоятельства, влияющие на вероятность обхода криптографической защиты.

Выбор и определение конкретной величины Р_обх сначала можно проводить экспертным путем на основе опыта специалистов. Величина Р_обх должна принимать значения от 0 до 1. При Р_обх = 1 защита теряет всякий смысл.

Возможно также, что у одной преграды может быть несколько путей обхода. Тогда формула (2) примет вид:

Р_СЗИ=(1-Р_НР)U(1-Р_обх1)U(1-Р_обх2)U…U(1-Р_обхk)                   (4)

где k — число путей обхода преграды, т.е. прочность преграды равна наименьшему значению, полученному после определения и сравнения величин:

(1-Р_НР), (1-Р_обх1), (1-Р_обх2), …,(1-Р_обхk) 

В том случае, когда информация, подлежащая защите, не устаревает или периодически обновляется, т. е. когда неравенство t_Ж > t_Н постоянно или же когда обеспечить t_Н > t_Ж по каким-либо причинам невозможно, обычно применяется постоянно действующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты. В качестве такой защиты могут быть применены человек или специальная автоматизированная система обнаружения под управлением человека.

Очевидно, что параметры этой преграды будут влиять на ее прочность. Способность преграды обнаруживать и блокировать несанкционированного доступа должна учитываться при оценке ее прочности путем введения в расчетную формулу (4) вместо (1 — Р_НР) величины Р_ОБЛ — вероятности обнаружения и блокировки несанкционированного доступа.

Принцип работы автоматизированной преграды основан на том, что в ней блоком управления производится периодический контроль датчиков обнаружения нарушителя. Результаты контроля наблюдаются человеком. Периодичность опроса датчиков автоматом может достигать тысячные доли секунды и менее. В этом случае ожидаемое время преодоления преграды нарушителем значительно превышает период опроса датчиков. Поэтому такой контроль часто считают постоянным. Но для обнаружения нарушителя человеком, управляющим автоматом контроля, только малого периода опроса датчиков недостаточно.

Необходимо еще и время на выработку сигнала тревожной сигнализации, т. е. время срабатывания автомата, так как оно часто значительно превышает период опроса датчиков и тем самым увеличивает время обнаружения нарушителя. Практика показывает, что обычно сигнала тревожной сигнализации достаточно для приостановки действий нарушителя, если этот сигнал до него дошел. Но поскольку физический доступ к объекту защиты пока еще открыт, дальнейшие действия охраны сводятся к определению места и организации блокировки доступа нарушителя, на что также потребуется время.

Таким образом, условие прочности преграды с обнаружением и блокировкой несанкционированного доступа можно представить в виде соотношения:

          (5)

где Т_Д - период опроса датчиков;

t_ср - время срабатывания тревожной сигнализации;

t_ом - время определения места доступа;

t_бл - время блокировки доступа.

Если обозначим сумму (Т_Д + t_ср + t_ом + t_бл) через T_обл, получим соотношение:

                                              (6)

где T_обл - время обнаружения и блокировки несанкционированного доступа.

Рис. 3. Временная диаграмма контроля несанкционированного доступа

Процесс контроля несанкционированного доступа и несанкционированных действий нарушителя во времени представлен на рис. 3.

Из диаграммы на рис. 3 следует, что нарушитель может быть не обнаружен в двух случаях:

а) когда t_н < Т;

б) когда Т < t_Н < T _обл.

В первом случае требуется дополнительное условие — попадание интервала времени t_н в интервал Т, то есть необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения. Для решения этой задачи нарушителю придется скрытно подключить измерительную аппаратуру в момент выполнения несанкционированного доступа к информации, что является довольно сложной задачей для постороннего человека. Поэтому считаем, что свои действия с частотой опроса датчиков он синхронизировать не сможет и может рассчитывать лишь на некоторую вероятность успеха, выражающуюся в вероятности попадания отрезка времени t_н в промежуток времени между импульсами опроса датчиков, равный Т.

Согласно определению геометрической вероятности из курса теории вероятности получим выражение для определения вероятности успеха нарушителя в следующем виде:

                                   (7)

Тогда вероятность обнаружения несанкционированных действий нарушителя будет определяться выражением:

                      (8)

или

                          (9)

При t_н > Т нарушитель будет обнаружен наверняка, т.е. Р_об = 1. Во втором случае, когда Т < t_н < Т_обл, вероятность успеха нарушителя будет определяться по аналогии с предыдущим соотношением:

                    (10)

Вероятность обнаружения и блокировки несанкционированных действий нарушителя:

                                  (11)

                                          (12)

При t_Н > Т_о6л попытка несанкционированного доступа не имеет смысла, так как она будет обнаружена наверняка. В этом случае Р_обл = 1.

Таким образом, расчет прочности преграды со свойствами обнаружения и блокировки можно производить по формуле

Р_сзи=Р_облU(1-Р_обх1)U(1-Р_обх2)U … U(1-Р_обхj)                (13)

Где j — число путей обхода этой преграды;

U — знак "ИЛИ".

Следует также отметить, что эта формула справедлива также и для организационной меры защиты в виде периодического контроля заданного объекта человеком. При этом полагаем, что обнаружение, определение места несанкционированного доступа и его блокировка происходят в одно время — в момент контроля объекта человеком, т. е. Т_ср = t_ом= t_бл= 0, T_обл = Т, >где Т — период контроля человеком объекта защиты. Вероятность обнаружения и блокировки действий нарушителя будет определяться формулой 9.

Для более полного представления прочности преграды в виде автоматизированной системы обнаружения и блокировки несанкционированного доступа необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.

Вероятность отказа системы определяется по известной формуле

                               (14)

где λ — интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки несанкционированного доступа;

t — рассматриваемый интервал времени функционирования системы обнаружения и блокировки несанкционированного доступа.

С учетом возможного отказа системы контроля прочность преграды будет определяться по формуле

Р_СЗИК=Р_обл(1-Р_ОТК)U(1-P_обх1)U(1-P_обх2)U…U(1-P_обхj)            (15)

где P_обл и Р_ОТК определяются соответственно по формулам (12) и (14);

P_обх и количество путей обхода j определяются экспертным путем на основе анализа принципов построения системы контроля и блокировки несанкционированного доступа.

Одним из возможных путей обхода системы обнаружения и блокировки может быть возможность скрытного отключения нарушителем системы обнаружения и блокировки (например, путем обрыва или замыкания контрольных цепей, подключения имитатора контрольного сигнала, изменения программы сбора сигналов и т. д). Вероятность такого рода событий определяется в пределах от 0 до 1 методом экспертных оценок на основе анализа принципов построения и работы системы. При отсутствии возможности несанкционированного отключения системы величина его вероятности равна нулю.

Таким образом, подводя итоги, сделаем вывод, что защитные преграды бывают двух видов: контролируемые и неконтролируемые человеком.

Прочность неконтролируемой преграды рассчитывается по формуле (4), а контролируемой — по формуле (15). Анализ данных формул позволяет сформулировать первое правило защиты любого предмета:

Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытного обхода этой преграды

Модель многозвенной защиты. На практике в большинстве случаев защитный контур состоит из нескольких "соединенных" между собой преград с различной прочностью. Модель такой защиты из нескольких звеньев представлена на рис. 4.

Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна и замок на двери.

Рис. 4. Модель многозвенной защиты: 1—преграда 1; 2—преграда 2; 3—предмет защиты;

4—прочность преграды; 5—преграда 3

Для информационной системы, модель которой представлена на рис. 1, "соединение" преград (замыкание контура защиты) имеет тот же смысл, но иную реализацию. Например, система контроля вскрытия аппаратуры и система опознания и разграничения доступа, контролирующие доступ к периметру информационной системы, на первый взгляд, образуют замкнутый защитный контур, но доступ к средствам отображения и документирования побочному электромагнитному излучению и наводкам (ПЭМИН), носителям информации и другим возможным каналам несанкционированного доступа к информации не перекрывают и, следовательно, таковыми не являются. Таким образом, в контур защиты в качестве его звеньев войдут еще система контроля доступа в помещения, средства защиты от ПЭМИН, шифрование и т. д. Это не означает, что система контроля доступа в помещение не может быть замкнутым защитным контуром для другого предмета защиты (например, для того же комплекса средств автоматизации обработки информации информационной системы). Все дело в точке отсчета, в данном случае в предмете защиты, т. е. контур защиты не будет замкнутым до тех пор, пока существует какая-либо возможность несанкционированного доступа к одному и тому же предмету защиты.

Формальное описание для прочности многозвенной защиты практически совпадает с выражениями (2) и (15), так как наличие нескольких путей обхода одной преграды, не удовлетворяющих заданным требованиям, потребует их перекрытия соответствующими преградами. Тогда выражение для прочности многозвенной защиты при использовании неконтролируемых преград может быть представлено в виде:

Р_СЗИ=Р_СЗИ1UР_СЗИ2UР_СЗИ3U…UР_СЗИiU(1-P_обх1)U(1-P_обх2)U…U(1-P_обхk)(16)

где Р_СЗИi — прочность i-й преграды.

Выражение для прочности многозвенной защиты с контролируемыми преградами будет в следующем виде:

Р_СЗИК=Р_СЗИК1UР_СЗИК2UР_СЗИК3U…UР_СЗИКnU(1-P_обх1)U(1-P_обх2)U…U(1-P_обхj)  (17)

где Р_СЗИКn — прочность n-й преграды.

Здесь следует подчеркнуть, что расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград должны быть раздельными, поскольку исходные данные для них различны, и, следовательно, это разные задачи, два разных контура защиты.

Если прочность слабейшего звена удовлетворяет предъявленным требованиям контура защиты в целом, возникает вопрос об избыточности прочности на остальных звеньях данного контура. Отсюда следует, что экономически целесообразно применять в многозвенном контуре защиты равнопрочные преграды.

При расчете прочности контура защиты со многими звеньями может случиться, что звено с наименьшей прочностью не удовлетворяет предъявленным требованиям. Тогда преграду в этом звене заменяют на более прочную или данная преграда дублируется еще одной преградой, а иногда двумя и более преградами. Но все дополнительные преграды должны перекрывать то же количество или более возможных каналов несанкционированного доступа, что и первая. Тогда суммарная прочность дублированных преград будет определяться по формуле

                    (18)

где i = 1, m — порядковый номер преграды;

т — количество дублирующих преград;

P_i - прочность i-й преграды.

Иногда участок защитного контура с параллельными (сдублированными) преградами называют многоуровневой защитой. В информационной системе защитные преграды часто перекрывают друг друга и по причине, указанной выше, и когда специфика возможного канала несанкционированного доступа требует применения такого средства защиты (например, системы контроля доступа в помещения, охранной сигнализации и контрольно-пропускного пункта на территории объекта защиты). Это означает, что прочность отдельной преграды P_i, попадающей под защиту второй, третьей и т. д. преграды,

Рис. 5. Модель многоуровневой защиты: 1 — 1-й контур защиты; 2 — 2-й контур защиты;

3 — 3-й контур защиты; 4 — предмет защиты

должна пересчитываться с учетом этих преград по формуле (18). Соответственно может измениться и прочность слабейшей преграды, определяющей итоговую прочность защитного контура в целом.

Многоуровневая защита. В ответственных случаях при повышенных требованиях к защите применяется многоуровневая защита, модель которой представлена на рис. 5.

При расчете суммарной прочности нескольких контуров защиты в формулу (18) вместо Р_i включается P_Кi — прочность каждого контура, значение которой определяется по одной из формул (16) и (17), т. е. для контролируемых и неконтролируемых преград опять расчеты должны быть раздельными и производиться для разных контуров, образующих каждый отдельную многоуровневую защиту. При Р_кi = 0 данный контур в расчет не принимается. При P_кi = 1 остальные контуры защиты являются избыточными. Подчеркнем также, что данная модель справедлива лишь для контуров защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.

Анализ информационной системы как объекта обеспечения безопасности информации 

Анализ существующих в настоящее время систем обработки информации и данных, а также автоматизированных систем управления показывает, что с позиций обеспечения безопасности информации объектом исследования может быть выбрана информационная система как самостоятельный объект и как элемент территориально-рассредоточенной информационной сети или большой автоматизированной системы управления. Не останавливаясь на конкретных реализациях информационных систем с централизованной обработкой информации и данных, имеющих различные принципиальные для обработки информации решения, построим ее обобщенную модель, представленную на рис. 6, на котором информация, циркулирующая в информационной системе, показана как нечто целое, подлежащее защите. Так как физически информация размещается на аппаратных и программных средствах, последние представлены таким же образом с внешней стороны по отношению к информации.

Предмет информационной безопасности и защиты — информация, циркулирующая и хранимая в информационной системе в виде данных, команд, сообщений и т. д., имеющих какую-либо цену для их владельца и потенциального нарушителя. При этом за несанкционированный доступ принимаем событие, выражающееся в попытке нарушителя совершить несанкционированные действия по отношению к любой ее части.

С позиций входа в систему и выхода из нее отметим наиболее характерные для большинства систем, готовых к работе, штатные средства ввода, вывода и хранения информации. К ним относятся следующие средства:

• терминалы пользователей;

• средства отображения и документирования информации;

• средства загрузки программного обеспечения в систему;

• носители информации: оперативные запоминающие устройства, дисковые запоминающие устройства, распечатки, листинги и т. д.;

• внешние каналы связи.

Все перечисленные средства назовем штатными каналами, по которым имеют санкционированный доступ к информации, подлежащей защите, законные пользователи. Готовность системы к работе означает, что система функционирует нормально, технологические входы и органы управления в работе не используются.

Известно, что все многообразие потенциальных угроз информации можно разделить на преднамеренные и случайные. Природа и точки их приложения различны.

Причины случайных воздействий также известны.

Точки приложения случайных воздействий распределены по всей "площади" информационной системы. Место и время возникновения данных событий подчиняются законам случайных чисел. Опасность случайных воздействий заключается в случайном искажении или формировании неверных команд, сообщений, адресов и т. д., приводящих к утрате, модификации и утечке информации, подлежащей защите.

Известны и средства предупреждения, обнаружения и блокировки случайных воздействий. Это средства повышения достоверности обрабатываемой и передаваемой информации. При этом в качестве средств предупреждения, сокращающих вероятное число случайных воздействий, используются схемные, схемотехнические, алгоритмические и другие мероприятия, закладываемые в проект информационной системы. Они направлены на устранение причин возникновения случайных воздействий, т. е. уменьшение вероятности их появления.

Поскольку после указанных мероприятий вероятность их появления все же остается значительной, для обнаружения и блокировки случайных воздействий при эксплуатации применяются встроенные в систему средства функционального контроля, качественными показателями которого являются:

• время обнаружения и локализации отказа;

• достоверность контроля функционирования;

• полнота контроля (охват информационной системы);

• время задержки в обнаружении отказа.

Изложенное позволяет предложить в основу проектирования и разработки системы безопасности информации в информационной системе следующий порядок:

1. анализ заданных требований к информационной системе на предмет определения перечня, структуры и динамики стоимости обрабатываемой информации и данных, подлежащих защите;

2. выбор модели потенциального нарушителя;

3. выявление в данной информационной системе максимально возможного количества каналов несанкционированного доступа к информации согласно выбранной модели потенциального нарушителя;

4. анализ выявленных возможных каналов несанкционированного доступа и выбор готовых или разработка новых средств защиты, способных их перекрыть с заданной прочностью;

5. качественная и количественная оценка прочности каждого из применяемых средств защиты;

6. проверка возможности адаптации средств защиты в разрабатываемую информационную систему;

7. создание в разрабатываемой информационной системе средств централизованного контроля и управления;

8. количественная и качественная оценка прочности системы защиты информации от несанкционированного доступа с отдельными показателями по контролируемым и неконтролируемым возможным каналам несанкционированного доступа.

Предупреждение и контроль несанкционированного доступа заключаются в следующем:

9. Для защиты от случайного несанкционированного доступа применение средств функционального контроля технических средств информационной системы и средств повышения достоверности информации.

10. Для защиты от преднамеренных несанкционированного доступа создание в информационной системе замкнутого контура защиты, состоящего из системы преград, перекрывающих максимально возможное количество каналов несанкционированного доступа и обладающих такой прочностью, затраты времени на преодоление которой больше времени жизни защищаемой информации или больше времени обнаружения и блокировки несанкционированного доступа к ней.

После того как соединение между двумя абонентами информационной сети установлено, необходимо обеспечить четыре условия

11. получатель сообщения должен быть уверен в истинности источника данных;

12. получатель должен быть уверен в истинности полученных данных;

13. отправитель должен быть уверен в доставке данных получателю;

14. отправитель должен быть уверен в истинности доставленных получателю данных.

Таким образом, для полноты постановки задачи к указанным четырем условиям необходимо дополнение еще четырех:

15. отправитель и получатель должны быть уверены в том, что с доставленной информацией в сообщении никто, кроме них, не ознакомился;

16. отправитель и получатель должны быть уверены, что никому, кроме них и специального посредника, факт передачи сообщения между ними не известен;

17. получатель должен быть уверен, что отправитель — это то лицо, за которое себя выдает;

18. отправитель должен быть уверен, что получатель — то лицо, которое ему необходимо для передачи сообщения.

Изложенное позволяет предложить следующую группу средств для обеспечения безопасности информации, обрабатываемой в каналах связи, ориентированных соответственно на выполнение приведенных выше восьми условий:

19. средства формирования цифровой подписи сообщений;

20. средства шифрования передаваемых данных;

21. средства обеспечения цифровой подписи служебных признаков передаваемой информации, включая адреса и маршруты сообщения, а также получение отправителем и посредником квитанции от получателя;

22. все перечисленные в п. а, б и в средства;

23. средства п. б;

24. введение в систему передачи информации маскирующих потоков сообщений при отсутствии активности в обмене информацией;

25. присвоение всем участникам обмена сообщениями переменных идентификаторов и создание в автоматизированной системе управления и системе передачи информации системы контроля и разграничения доступа с защитой цифровой подписью паролей от подмены их нарушителем;

26. средства те же, что и в п. ж.

Эти входы и выходы могут быть законными и незаконными, т. е. возможными каналами несанкционированного доступа к информации в информационной системе могут быть:

1. все перечисленные выше штатные средства при их незаконном использовании;

2. технологические пульты и органы управления;

3. внутренний монтаж аппаратуры;

4. линии связи между аппаратными средствами информационной системы;

5. побочное электромагнитное излучение информации;

6. побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры информационной системы;

7. внешние каналы связи.

3-й класс — только следующие возможные каналы несанкционированного доступа:

8. терминалы пользователей;

9. аппаратура регистрации, документирования и отображения информации;

10. машинные и бумажные носители информации;

11. средства загрузки программного обеспечения;

12. технологические пульты и органы управления;

13. внутренний монтаж аппаратуры;

14. линии связи между аппаратными средствами.

4-й класс — только следующие возможные каналы несанкционированного доступа:

15. терминалы пользователей;

16. машинные и бумажные документы;

17. средства загрузки программного обеспечения.

К контролируемым возможным каналам несанкционированного доступа информационной системы можно отнести:

18. терминалы пользователей;

19. средства отображения и документирования информации;

20. средства загрузки программного обеспечения;

21. технологические пульты и органы управления;

22. внутренний монтаж аппаратуры;

23. побочное электромагнитное излучение;

24. побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры информационной системы.

К неконтролируемым каналам несанкционированного доступа к информации информационной системы следует отнести:

25. машинные носители программного обеспечения и информации, выносимые за пределы информационной системы;

26. долговременные запоминающие устройства с остатками информации, выносимыми за пределы информационной системы;

27. внешние каналы связи;

28. мусорная корзина.

Это следующие свойства:

29. информация — объект права собственности, подлежащий защите от несанкционированного доступа;

30. время жизни защищаемой информации;

31. разные источники, место и время приложения случайных и преднамеренных несанкционированных доступов;

32. наличие достаточно простой модели потенциального нарушителя;

33. степень охвата информационной системы функциональным контролем и средствами повышения достоверности информации, определяющая вероятность появления случайных несанкционированных доступов;

34. возможные каналы несанкционированного доступа к информации;

35. степень замыкания преграды вокруг предмета защиты, определяющая вероятность ее обхода нарушителем;

36. деление возможных каналов несанкционированного доступа на контролируемые и неконтролируемые;

37. зависимость прочности преграды, не обладающей способностью контроля несанкционированного доступа, от соотношения времени жизни информации и ожидаемого времени преодоления преграды нарушителем;

38. зависимость прочности преграды, обладающей способностью контроля несанкционированного доступа, от способности преграды к своевременному обнаружению и блокировке попыток несанкционированного доступа;

39. зависимость уровня прочности защиты информации в информационной системе в целом от уровня прочности слабейшего звена;

40. возможность создания системы защиты информации в виде единого целого и реально действующего механизма.

Основные тактика и стратегия защиты информации от несанкционированного доступа в информационной системе заключаются в выполнении следующих задач:

41. предупреждении и контроле попыток несанкционированного доступа;

42. своевременном обнаружении, определении места и блокировки несанкционированных действий;

43. регистрации и документировании события;

44. установлении и устранении причины несанкционированного доступа;

45. ведении статистики и прогнозировании несанкционированного доступа.

В интересах выполнения системных задач по обработке информации автоматизированная система управления (сеть) содержит следующие средства управления:

46. средства управления составом и конфигурацией автоматизированной системы управления (сети);

47. средства управления структурно-адресными таблицами;

48. средства управления функциональным контролем автоматизированной системы управления (сети);

49. средства управления функционированием автоматизированной системы управления (сети).

Приведенная на рис. 1б структура автоматизированной системы управления позволяет определить всего два вида возможных каналов несанкционированного доступа к информации автоматизированной системы управления (сети):

50. Комплексы средств автоматизации обработки информации (КСА);

51. Каналы связи.

При этом предполагается, что выполнение этих условий включает защиту от следующих активных вторжений нарушителя:

52. воздействий на поток сообщений: изменения, удаления, задержки, переупорядочения, дублирования регулярных и посылки ложных сообщений;

53. воспрепятствования передаче сообщений;

54. осуществления ложных соединений.

Защиту от пассивных вторжений:

55. чтения содержания сообщения;

56. анализа трафика и идентификаторов абонентов сети.

Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т. е. с "периметром" системы.

Опасность преднамеренных несанкционированных действий заключается во вводе нарушителем незаконных команд, запросов, сообщений, программ и т. д., приводящих к утрате, модификации информации и несанкционированному ознакомлению с нею, а также перехвате нарушителем секретной информации путем приема и наблюдения сигналов побочного электромагнитного излучения и наводок.

Рис. 6. Модель информационной системы с безопасной обработкой информации: НСД – несанкционированный доступ; ПО – программное обеспечение

Концептуальные основы для построения системы обеспечения безопасности информации от несанкционированного доступа в информационной системе.

Анализ представленной модели информационной системы и моделей защиты, позволяет информационную систему рассматривать как объект, в котором имеется некоторое множество возможных каналов несанкционированного доступа (ВКНСД) к предмету защиты информации.

Для построения защиты информации в данной системе на каждом возможном канале несанкционированного доступа, а если возможно сразу на нескольких необходимо установить соответствующую преграду. Чем большее количество возможных каналов несанкционированного доступа перекрыто средствами защиты и выше вероятность их непреодоления потенциальным нарушителем, тем выше уровень безопасности информации, обрабатываемой в данной системе. Очевидно, что в реальной информационной системе структура защиты будет носить многозвенный и многоуровневый характер. Количество перекрываемых возможных каналов несанкционированного доступа при этом будет зависеть от заданной квалификации нарушителя. Согласно рассмотренной классификации можно установить следующее распределение возможных каналов несанкционированного доступа по классам.

1-й класс — все возможные каналы несанкционированного доступа, возможные в данной информационной системе на текущий момент времени.

2-й класс — все возможные каналы несанкционированного доступа, кроме побочного электромагнитного излучения и наводки и машинных носителей с остатками информации, подлежащие защите специальными криптографическими методами.

Анализ возможных каналов несанкционированного доступа к информации показывает, что данные каналы необходимо разделить на два вида: контролируемые и неконтролируемые.

При этом побочное излучение и наводки информации, строго говоря, относятся к этому виду каналов несанкционированного доступа в том случае, если уровень "опасного" сигнала, несущего информацию, не выходит за пределы контролируемой зоны объекта размещения информационной системы и уровень этого сигнала периодически измеряется в пределах и за пределами этой зоны.

В соответствии с моделью защиты (см. рис. 4) средства защиты, перекрывающие эти каналы, образуют виртуальный контролируемый защитный контур.

Средства защиты, перекрывающие перечисленные каналы, образуют виртуальный неконтролируемый защитный контур.

Кроме того, учитывая множество пользователей, допущенных к терминалам и информации внутри информационной системы, потребуется создание встроенной системы контроля и разграничение доступа. Разграничение доступа пользователей к информации информационной системы должно производиться в соответствии с выполняемыми ими функциональными обязанностями и полномочиями, которые можно изменять во время эксплуатации системы.

Для того чтобы обеспечить замыкание контура защиты из нескольких различных по исполнению преград, недостаточно только перекрытия в информационной системе всех возможных каналов несанкционированного доступа. Необходимо еще обеспечить их взаимодействие между собой, т.е. объединить их в единый постоянно действующий механизм. Эту задачу должны выполнять централизованные средства управления.

На контролируемых возможных каналах несанкционированного доступа все цепи и тракты контроля аппаратно, программно и организационно должны сходиться на одном рабочем месте службы безопасности информации или администратора информационной системы. Последний вариант предпочтителен для менее ответственных систем при защите информации от нарушителя 3-го и 4-го классов. На неконтролируемых возможных каналах несанкционированного доступа централизованное управление должно обеспечиваться аналогичным образом с тех же рабочих мест, но отдельной функциональной задачей.

Приведенные модели защиты, построенные на основе принятой модели ожидаемого поведения потенциального нарушителя и пригодные в принципе для применения и в других системах, помимо информационных, для защиты другого предмета, дают формальное представление о механизме защиты и методах получения ее расчетных характеристик в качественном и количественном выражении с гарантированными результатами.

При этом расчет прочности средств защиты производится по формулам (4) и (15), а расчет прочности системы защиты информации в информационной системе с централизованной обработкой данных — по формулам (16), (17), (18).

Анализ вышеприведенного подхода к принципам построения защиты говорит о ряде принципиальных свойств предмета защиты, потенциальных угроз и защитных преград, которые целесообразно учитывать при создании эффективной защиты.

Задачей защиты является создание в информационной системе единой системы взаимосвязанных преград, обеспечивающих надежное перекрытие возможных каналов несанкционированного доступа от воздействий, направленных на утрату, модификацию и утечку информации, т. е. на безопасность информации. Наступление одного из этих событий, не предусмотренных штатным режимом работы информационной системы, рассматривается как факт совершения несанкционированного доступа.

Утрата заключается в стирании, искажении, уничтожении или хищении информации, находящейся в процессе обработки или хранения в информационной системе. Опасность ее заключается в безвозвратной потере ценной информации.

Модификация заключается в изменении информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл. Навязывание ложной информации при отсутствии законной и недоведение законной информации до получателя можно также считать ее модификацией. Примером модификации может служить изменение даты документа, количества сырья и материалов, денежной суммы и т. д. Опасность модификации заключается в возможности организации утечки секретной или (и) передачи ложной информации в дальнейшую обработку и использование.

Утечка информации заключается в несанкционированном ознакомлении постороннего лица с секретной информацией. Опасность утечки информации состоит в разглашении частной, коммерческой, служебной, военной или государственной тайны со всеми вытекающими отсюда последствиями.

Из изложенного также следует, что в обеспечение безопасности входит не только защита секретной, но и части несекретной информации.

На основании изложенного можно дать следующее определение информационной системы с безопасной обработкой информации и данных.

Информационная система обработки информации обеспечивает их безопасность, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов несанкционированного доступа и воздействий, направленных на утрату или модификацию информации, а также несанкционированное ознакомление с нею посторонних лиц.

Предложенный подход отвечает смыслу защиты и позволяет построить на пути нарушителя строгую систему равнопрочных и взаимосвязанных преград с возможностью обоснованного определения количественных и качественных параметров на основе уже имеющихся проработанных отдельных средств защиты. Предложенная модель объекта защиты информации рассматривается как базовая модель защищенного элемента информационной сети или информационной системы, включая ее автоматизированную систему управления, что открывает также возможность для решения задачи построения более эффективной системы защиты информации и на их уровне.

Концептуальные основы для проектирования системы обеспечения безопасности информации от несанкционированного доступа в информационной сети и автоматизированной системы управления.

Рассматриваемые до сих пор обобщенные модели информационных сетей как объектов обеспечения безопасности информации, с одной стороны, — слишком глубоко отражали ее структуру, а с другой — не полностью учитывали системные связи и отношения между ее элементами, так как за основу модели брался неполный фрагмент архитектуры сети.

Акцент делался на защите ресурсов сети (узлов обработки информации), а не на самой информации, а также на ее децентрализованной обработке. Необходимо здесь заметить, что автоматизированные системы управления, будут и далее развиваться как ядро любой информационной системы. Попутно заметим, что информационную сеть с позиций управления тоже можно назвать автоматизированной системой управления, так как у нее есть свои централизованные средства управления ее функционированием и обработкой информации. Следовательно, должны быть и средства управления безопасностью информации. Отличают сеть и автоматизированную систему управления только системные отношения между их управляемыми звеньями. В автоматизированной системе управления может быть многоступенчатая иерархическая структура, а в сети — всегда двухступенчатая. Поэтому в качестве объекта предлагается рассмотреть некоторую обобщенную модель структуры автоматизированной системы управления, приведенную на рис. 1б.

На рисунке автоматизированная система управления представлена как совокупность комплексов средств автоматизации обработки информации и данных, соединенных между собой каналами связи. При этом под комплексом средств автоматизации подразумевается любая территориально-сосредоточенная информационная система, построенная на базе технических средств комплексов средств автоматизации обработки информации, объединенных общим программным обеспечением и выполнением одной или нескольких общих задач. Согласно своей роли в автоматизированной системе управления и в сети обработки и передачи информации и данных комплекс средств автоматизации в той или иной структуре связаны определенными системными отношениями.

Одна группа комплексов средств автоматизации обработки информации и данных, например узлы коммутации сообщений, вместе с другой группой комплексов средств автоматизации (аппаратурой передачи данных) образуют сеть передачи данных, другая группа комплексов средств автоматизации (вычислительные комплексы, системы, абонентские пункты и т. д.) вместе с этой сетью образуют автоматизированную систему управления. У каждой названной структуры есть свои задачи и границы, которые должны обеспечиваться средствами защиты и контролироваться соответствующими средствами управления. У каждой структуры есть хозяин-собственник, отвечающий перед собой или своими клиентами за безопасность обработки информации. Если таковым собственником является государство, то должно быть лицо, несущее такую ответственность. В этом аспекте создание для всех пользователей единой информационной среды является безнадежной задачей и применение термина "защищенная информационная среда" оправдано только в философском смысле.

Перечисленные средства размещаются на одном из элементов автоматизированной системы управления (сети) — управляющем комплексе средств автоматизации автоматизированной системы управления (сети). Помимо указанных средств автоматизированная система управления содержит определяющие характер системных отношений средства взаимодействия ее составных частей (комплексов средств автоматизации обработки информации и данных) между собой. Эти отношения связаны с выполнением основных задач автоматизированной системы управления, включая разграничение доступа к информации друг друга.

Концепция безопасности информации на уровне КСА рассмотрена выше.

Следовательно, остается рассмотреть только концепцию защиты информации в каналах связи.

Принимая во внимание, что информация в автоматизированной системе управления (в сети) постоянно обновляется, а также и то, что на каналах связи в отличие от элементов автоматизированной системы управления (сети) нарушитель ничем не рискует, особенно при пассивном перехвате информации, прочность защиты здесь должна быть особенно высокой. От активного вмешательства нарушителя в процесс обмена информацией между элементами автоматизированной системы управления (сети) должна быть применена система обнаружения и блокировки несанкционированного доступа. Но и при этом риск нарушителя по-прежнему невысок, так как у него и в этом случае по причине сложности определения его места пребывания остается достаточно времени на то, чтобы отключиться и уничтожить свои следы. Поэтому в качестве исходной модели потенциального нарушителя следует выбрать нарушителя высокой квалификации. Такой подход поможет защититься также и от нарушителей, являющихся законными пользователями данной автоматизированной системы управления (сети). Кроме того, это позволит защитить системные отношения между элементами автоматизированной системы управления (сети).

Поскольку физически каналы связи в сети защитить не представляется возможным, целесообразно строить защиту информации и сопровождающих ее служебных признаков на основе специальных криптографических преобразований, т.е. на основе самой информации, а не на ресурсах автоматизированной системы управления (сети). Такой основой должна быть кодограмма сообщений, которой обмениваются между собой элементы автоматизированной системы управления (сети). Целостность этой кодограммы и содержащаяся в ней информация должны быть защищены от несанкционированного доступа.

Данная кодограмма, как правило, содержит адрес получателя, заголовок, информацию отправителя, концевик, адрес отправителя, исходящий номер и время отправления. В пакетном режиме добавляется еще и номер пакета, поскольку сообщение разбивается на пакеты, которые на объекте-получателе должны быть собраны в одно сообщение, чтобы оно приобрело первоначальный вид. Для синхронизации приема и обработки кодограммы в нее включаются признаки кадра. Кадр содержит информационное поле, а также заголовок и концевик, присваиваемый протоколом. Заголовок содержит служебную информацию, используемую протоколом канального уровня принимающей станции и служащую для идентификации сообщения, правильного приема кадров, восстановления и повторной передачи в случае ошибок и т. д. Концевик содержит проверочное поле, служащее для коррекции и исправления ошибок (при помехоустойчивом кодировании), внесенных каналом. Для обеспечения передачи блоков данных от передающей станции к приемной кодограмма содержит признаки маршрута. Все эти и другие составляющие кодограммы формируются на основе известной семиуровневой модели протоколов взаимодействия открытых систем ISO/OSI.

За основу безопасности информации в информационных сетях следует взять следующие требования, которые должны быть конечной целью при создании средств ее защиты.

Кроме того, необходимо отразить важные моменты: получатель не должен принимать все сообщения подряд, хотя бы они были подлинными и от истинных источников, а отправитель сообщения должен быть уверен, что получатель правильно отреагирует на него. Другими словами, и отправитель, и получатель должны в данной сети (автоматизированной системе управления) иметь полномочия на обмен друг с другом. Это необходимо не для ограничения их свободы, а для обеспечения доверия друг к другу и доверия их к автоматизированной системе, что является наипервейшей обязанностью любой информационной сети и автоматизированной системы управления с точки зрения юридического права независимо от того, "дружат" они или "не дружат" между собой. Если пользователь обращается в удаленную базу данных, юридическую ответственность, с одной стороны, несет пользователь, с другой — владелец данной информационной системы.

Данные требования (а - з) рассчитаны на защиту от квалифицированного нарушителя-профессионала по квалификации, приведенной выше.

Для определения основных принципов решения этой задачи рассмотрим упомянутую выше унифицированную кодограмму, которая является носителем этой информации и, следовательно, предметом защиты.

Исходим из того, что нарушителю доступна вся кодограмма, включая служебные признаки, а также из того, что единственным методом защиты по этой причине может быть выбран метод криптографических преобразований.

Один из методов должен быть таким, чтобы в кодограмме сохранились некоторые адреса и служебные признаки в открытом виде, поскольку всю кодограмму преобразовывать нецелесообразно по причине невозможности ее дальнейшей обработки. Таким методом может быть использование механизма формирования цифровой (электронной) подписи на базе несимметричных алгоритмов шифрования. Кроме того, отдельные части кодограммы формируются на разных этапах ее обработки разными устройствами и узлами сети; часть этой информации принадлежит ей, а другая часть — ее абонентам. Это определяет, кому принадлежат и кто меняет ключи шифрования той или иной части кодограммы: автоматизированная система управления или система передачи информации.

Шифрование частей кодограммы удобно производить одновременно с формированием соответствующих признаков обработки сообщения и его самого при реализации протоколов семиуровневой модели взаимодействия открытых систем ISO/OSI.

Для того чтобы обеспечивать возможность контроля и разграничения доступа, необходимо для всех участников обмена информацией, помимо условных номеров, присвоить переменные идентификаторы в виде паролей, которые могут передаваться в открытом виде и подлинность которых будет обеспечиваться механизмом цифровой подписи. Тем абонентам, которым присвоены соответствующие полномочия, должны быть предоставлены соответствующие значения паролей и закрытых ключей шифрования.

Таким образом, расчет безопасности информации в каналах связи можно производить на основе группы показателей механизмов шифрования, примененного для каждой составляющей кодограммы. Стойкость, или прочность, защитного механизма определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность или вероятность этой преграды равна 1.

При этом обратим внимание на существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости от назначения информационной системы может сохранять цену десятки лет, а его служебные части — не более десятка минут (время доведения сообщения до адресата). Это позволяет существенно увеличить быстродействие шифрования и, может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнение у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако даже если это и случится, повышение безопасности информации стоит того.

При реализации системы контроля и разграничения доступа в автоматизированной системе управления (системе передачи информации) потребуется также организовать систему сбора с комплексом средств автоматизации обработки информации сигналов несовпадения кодов паролей, систему управления и распределения ключей шифрования информации и организационные мероприятия по безопасности информации.

Показатель прочности перечисленных средств защиты и будет в конечном итоге определять безопасность информации в каналах связи. Учитывая высокую стоимость каналов связи и опасность внедрения нарушителя-профессионала, расчет прочности указанных средств (поскольку это сейчас технически возможно) предлагается производить только из обеспечения условия, когда ожидаемое время, затрачиваемое нарушителем, должно быть больше времени жизни защищаемой информации. Это целесообразно выполнять всегда независимо от заданного класса потенциального нарушителя.

В некоторых сетях и автоматизированных системах управления не потребуется защита трафика и защита от утечки информации. Для подобных систем предлагается ввести для каналов связи следующую классификацию требований по классам потенциального нарушителя:

1-й класс — все требования;

2-й класс — все, кроме требования е;

3-й класс — все, кроме требований б, г, д и е.

Расчет уровня безопасности информации в системах передачи информации в целом необходимо производить по следующим показателям:

G_{кса спи} — группа показателей прочности защиты информации в комплексе средств автоматизации (КСА) системы передачи информации (СПИ); за основу берется КCА с наименьшими значениями показателей;

G_кс - группа показателей прочности защиты информации в каналах связи системы передачи информации (кроме абонентского шифрования).

Расчет уровня безопасности информации в автоматизированной системе управления в целом можно производить по следующим показателям:

G _{кса асу} - группа показателей прочности защиты информации в комплексе средств автоматизации (КСА) автоматизированной системы управления (АСУ); за основу берется КСА с наименьшими значениями показателей;

G_спи - группа показателей, приведенная выше для системы передачи информации;

G_{кс асу} - группа показателей прочности защиты информации в прямых каналах связи, если таковые имеются между комплексами средств автоматизации обработки информации и данных в автоматизированной системе управления;

Р_тд - прочность защиты информации при абонентском шифровании в трактах передачи данных.

На основании изложенного можно дать следующее определение безопасной информационной сети и автоматизированной системы управления:

Информационную сеть или автоматизированную систему управления можно считать безопасной в смысле обработки информации, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов несанкционированного доступа и угроз, направленных на утрату или модификацию информации, а также несанкционированное ознакомление с нею посторонних лиц.