- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
Анализ комплекса средств автоматизации обработки информации как объекта защиты
С учетом выбранной модели нарушителя определяем в комплексе средств автоматизации обработки информации возможные каналы несанкционированного доступа. Для более полного представления процесса оценки рассмотрим возможные каналы несанкционированного доступа, ожидаемые от квалифицированного нарушителя-профессионала, находящегося в исходной позиции вне объекта защиты. Тогда оценка защиты от нарушителя более низкого класса будет отличаться меньшим количеством возможных каналов несанкционированного доступа, вероятностью преодоления нарушителем преграды, количеством путей и вероятностью ее обхода.
Представим контур защиты информации в комплексе средств автоматизации обработки информации с централизованной обработкой в виде таблицы соответствия выбранных средств защиты всем установленным ранее возможным каналам несанкционированного доступа (табл. 1).
После того как для заданной модели нарушителя найдены все возможные каналы несанкционированного доступа и на них установлены средства защиты, считаем, что наш виртуальный защитный контур замкнулся.
Таблица 1. Возможные каналы несанкционированного доступа к информации комплекса средств автоматизации обработки информации и средства защиты, рекомендуемые для их перекрытия
№ п/п |
Наименование возможного канала несанкционированного доступа |
Класс защиты |
Состав средств в контуре защиты (звенья защитного контура) |
Прочность звена защиты |
|||||
КI |
III |
ЮIII |
пIV |
||||||
1. |
Терминалы пользователей |
+ |
+ |
+ |
+ |
Система опознания и разграничения доступа к информации |
P1 |
||
2. |
Аппаратура отображения и документирования информации |
+ |
+ |
+ |
- |
Система разграничения и контроля доступа в помещения объекта защиты информации |
P2 |
||
3. |
Ремонтируемая и профилактируемая аппаратура |
+ |
+ |
- |
- |
Система контроля ввода-вывода аппаратуры в (из) рабочий контур обмена информацией |
Р3 |
||
4. |
Носители информации, перемещаемые в пределах охраняемой зоны |
+ |
+ |
+ |
+ |
Учет и разграничение доступа к носителям Верификация информации Шифрование информации Резервирование информации |
P4
P5
P6
P7 |
||
5. |
Документы |
+ |
+ |
+ |
+ |
Учет, регистрация и разграничение доступа к документам |
P4 |
||
6. |
Носители программного обеспечения |
+ |
+ |
+ |
+ |
Учет, регистрация и разграничение доступа к носителям программного обеспечения Верификация программного обеспечения Резервирование программного обеспечения |
P4
P8
P7 |
||
7. |
Носители остатков информации |
+ |
- |
- |
- |
Стирание информации Наложение записи случайной последовательности чисел Уничтожение носителей |
P9
P10
P11 |
||
8. |
Средства загрузки программного обеспечения |
+ |
+ |
- |
- |
Средства контроля доступа к загрузке программного обеспечения |
P12 |
||
9. |
Аппаратура передачи данных во внешние каналы связи |
+ |
+ |
- |
- |
Система контроля вскрытия аппаратуры |
P13 |
||
10. |
Технологические пульты и органы управления |
+ |
+ |
+ |
- |
Система контроля вскрытия аппаратуры |
P13 |
||
11. |
Внутренний монтаж аппаратуры |
+ |
+ |
+ |
- |
То же |
P13 |
||
12. |
Внутренние линии связи между аппаратными средствами комплекса средств автоматизации обработки информации |
+ |
+ |
+ |
- |
То же |
P13 |
||
13. |
Внешние каналы связи комплекса средств автоматизации обработки информации |
+ |
+ |
- |
- |
Система опознания и разграничения доступа к информации (на входе в комплекс средств автоматизации обработки информации) Шифрование информации (на выходе комплекса средств автоматизации обработки информации) |
P1
P14 |
||
14. |
Мусорная корзина |
+ |
+ |
- |
- |
Средства уничтожения отработанных носителей информации |
P11 |
||
15. |
Побочное электромагнитное излучение и наводка информации на цепях электропитания, заземления, на вспомогательных и посторонних коммуникациях, сервисном оборудовании |
+ |
- |
- |
- |
Средства снижения уровня излучения и наводок с установлением границ контролируемой зоны объекта за щиты, оборудованной системой охранной сигнализации и контрольно-пропускным пунктом |
P15 |
||
16. |
Персональные компьютеры |
|
|
|
|
Система защиты информации в ПК |
GПК |
||
17. |
Локальные компьютерные сети |
|
|
|
|
Система защиты информации в ЛКС |
GЛКС |
||
Примечания:
1. Знак "+" — означает наличие возможного канала несанкционированного доступа; знак "-" — отсутствие возможного канала несанкционированного доступа.
2. Пароли являются элементом системы опознания и разграничения доступа пользователей к информации комплекса средств автоматизации обработки информации.
3. Контроль целостности программного обеспечения производится относительно редко (как правило, один раз в рабочую смену), что не позволяет в процессе функционирования комплекса средств автоматизации обработки информации обнаружить нарушителя в момент совершения несанкционированного доступа. Поэтому такая мера считается профилактической и здесь в расчет не принимается. Но для защиты от случайных воздействий эта мера эффективна и ее наличие обязательно во всех случаях.
4. Системы оценки защиты информации в ПК и ЛКС рассмотрены в отдельном разделе:
GПК - группа показателей безопасности информации в персональных компьютерах;
GЛКС - группа показателей безопасности информации в локальной компьютерной сети.
Данные показатели учитываются, если ПК или ЛКС входят в состав комплекса средств автоматизации обработки информации.
Далее для контролируемого возможного канала несанкционированного доступа определяем его прочность, величина которой будет равна прочности наиболее слабого звена защитного контура, для чего определяем по формуле 15, гл. 1, разд.3 прочность защиты каждого звена защиты и сравниваем результаты. При этом для возможного канала несанкционированного доступа, закрытых двумя и более средствами защиты, расчет прочности производим по формуле 18, гл. 1, разд.3.
Для неконтролируемых возможных каналов несанкционированного доступа расчет прочности звена защиты ведем по формуле 4, гл. 1, разд.3. В их число войдут значения Р5, Р6, Р8, Р10, Р11, Р14.
Оценка прочности системы опознания и разграничения доступа к информации
Оценку прочности системы опознания и разграничения доступа к информации производит по формуле 15, гл. 1, разд.3 с учетом трех описанных ниже параметров.
1. Вероятность преодоления преграды нарушителем со стороны законного входа в систему Pнр определяем по формуле
(1)
где АS — количество возможных значений кодов паролей согласно формуле 1, гл.1, разд.1;
п — количество попыток подбора кода пароля, обычно в проекте допускают три попытки на случай возможных ошибок законного пользователя;
А — число символов в выбранном алфавите кода: для русского алфавита А = 33; к алфавиту возможно добавление цифр от 0 до 9, тогда А = 43 и т. д.;
S — длина кода пароля в количестве символов.
Вероятность обхода преграды Робх оцениваем как вероятность несанкционированного доступа нарушителя к действительным значениям кода пароля, хранимого в информационной системе и у самого пользователя. Кроме того, необходимо оценить вероятность несанкционированного доступа к информации помимо кодов паролей. Учитывая возможность нескольких путей обхода, для определения вероятности необхода преграды нарушителем в формуле 15, гл.1, разд.3 принимаем:
Робх1. - вероятность несанкционированного доступа к действительным значениям кодов паролей, хранимым в комплексе средств автоматизации обработки информации;
Pобх2 - вероятность несанкционированного доступа к действительным значениям кодов паролей, хранимым у пользователя;
Робх3 — вероятность несанкционированного доступа к информации путем обхода системы кодов паролей. Например, непосредственный физический доступ к памяти компьютера, в которой хранятся коды паролей в открытом виде, или чтение их значений на экране терминала.
Значения Робх1, Робх2, …, Робхk определяются в пределах от 0 до 1 экспертным путем на основе опыта специалистов. При экспертной оценке вероятности наступления того или иного события (Рнр, Робх и т. д.) в целях унификации метода принимается за основу следующие градации значений:
Р = 0 — событие невозможно;
Р = 0,2 — событие маловероятно;
Р = 0,5 — событие вероятно наполовину;
Р = 0,8 — событие вполне вероятно;
Р = 0,95 — вероятность события высокая;
Р = 1 — событие произойдет наверняка.
Если коды паролей хранятся в комплексе средств автоматизации обработки информации в закрытом криптографическим способом виде, величина вероятности несанкционированного доступа к ним определяется путем анализа эффективности этого способа на данном комплексе средств автоматизации. Эффективность этого способа может привести Робх1 = 0. Если пользователь вводит пароли в присутствии посторонних лиц и они отображаются на экране, величина Робх2 приближается к единице. Если коды паролей хранятся в памяти пользователя и он скорее всего для лучшего запоминания записал их в своей записной книжке, вероятность перехвата кодов паролей выше, чем если бы одна часть символов кодов паролей хранилась бы в памяти пользователя, а другая часть — в носителе кодов паролей. Если имеется свободный физический доступ к памяти компьютера или программному обеспечению операционной системы, величина Робх приближается к единице. Однако, если при анализе Робх выясняется, что обход возможен через возможный канал несанкционированного доступа, указанный в табл. 1, считаем, что для данной преграды Робхk = 0, так как он закрывается другой преградой.
Такой подход позволяет провести глубокий и всесторонний анализ системы защиты комплекса средств автоматизации обработки информации и с достаточно высокой достоверностью оценить прочность не только исследуемой преграды, но и ее роль в создании замкнутого контура защиты.
2. Вероятность обнаружения и блокировки несанкционированного доступа в системе опознания и разграничения доступа. Она определяется способностью соответствующей программы к отработке данной функции при несовпадении введенного кода пароля с хранимым в памяти комплекса средств автоматизации обработки информации и выводе ее результата на терминал службы безопасности. При этом необходимо установить (измерить) tобл — интервал времени от момента несовпадения кода-пароля до момента отображения на экране терминала службы безопасности сообщения о несанкционированном доступе, местонахождении, дате и времени события. Это время должно составлять величину не более 1 с. Увеличение этого времени позволяет нарушителю, если не предусмотрена специальная блокировка, повторить попытку подбора кода-пароля, что ведет к снижению прочности преграды, оговоренной выше при расчете Рнр. При удовлетворительном выполнении программой системы опознания и разграничения доступа заданных функций по обнаружению и блокировке можно считать, что Pобл = 1. При увеличении количества возможных попыток подбора кода-пароля пересчитывается Рнр. Количество возможных попыток несанкционированного доступа при этом определяется по формуле
(2)
где tобл - время обнаружения и блокировки несанкционированного доступа;
tр — время реакции (ответа) информационной системы на ввод кода пароля.
Задача несанкционированной блокировки нарушителем работы системы опознания и разграничения доступа по своей сути рассматривалась выше при анализе возможного обхода данной преграды. Однако совсем нелишне проанализировать возможность скрытого несанкционированного подхода к этому программному модулю. Например, со стороны пульта системного программиста, пульта компьютера и других средств комплекса средств автоматизации обработки информации. Если обнаруживается, что есть один такой канал и этот канал несанкционированного доступа находится в числе указанных в табл. 1 и он закрывается соответствующим средством защиты, считаем, что Робх = 0. Если обнаруживается возможный канал несанкционированного доступа, не учтенный в табл. 34.1, на него предусматривается соответствующее средство защиты, вероятность преодоления которого и будет составлять Робх.
Вероятность влияния отказа системы опознания и разграничения доступа на Робл рассчитывается исходя из надежности работы данного программного модуля и аппаратных средств, участвующих в работе СОРДИ за ожидаемый период эксплуатации комплекса средств автоматизации обработки информации, и вероятности совпадения времени отказа со временем совершения несанкционированного доступа. Однако исходя из наиболее "опасного" случая считаем вероятность совпадения близкой к 1. Тогда расчет ведем с учетом только вероятности отказа системы.
3. Итоговая прочность системы опознания и разграничения доступом. Она определяется по наименьшему значению прочности одного из ее звеньев, описанных выше.
Оценка прочности системы разграничения и контроля доступа в помещения объекта защиты
Используя для оценки Р2 ту же формулу 15, гл.1, разд. 3, получим для нее значения Рнр, Pобх, Робл и Pотк данной преграды.
Рнр определяется исходя из технических данных входного замка на двери помещения, режима работы комплекса средств автоматизации обработки информации, наличия системы охранной сигнализации и значений ее параметров. При круглосуточном режиме работы, как правило, ограничиваются кодовым замком на двери. При перерывах в работе, когда в помещении никого не должно быть, аппаратура выключается, помещение ставится на дистанционный централизованный контроль охранной сигнализации. Поэтому мы рассмотрим только круглосуточный режим работы, при котором Рнр будет определяться по формуле (1), где число попыток подбора кода выбираем равным п = 1, так как считаем, что в роли элементов обнаружения выступают законные пользователи, которые согласно инструкции должны сообщать о посторонних лицах, пытающихся проникнуть в помещение. В идеальном случае кодовый замок должен быть связан с системой охранной сигнализации, на которую должен подаваться дежурному сигнал при несовпадении неправильно набранного кода замка аналогично системе опознания и разграничения доступа к информации (СОРДИ). Тогда расчет их Рнр должен производиться по методике расчета прочности СОРДИ, приведенной выше.
Вероятность обхода преграды нарушителем Робх должна оцениваться непосредственно на месте, т. е. путем осмотра помещения на предмет прочности стен и отсутствия посторонних люков, повреждений стен, потолка, окон. Особое внимание следует обратить на расположение окон и конструкцию их рам, форточек, замков, этажность помещения, вентиляцию. Если помещение расположено на 1-м этаже, на окнах необходимо проверить установку датчиков охранной сигнализации. Величину Робх определяем от 0 до 1 экспертным путем на основе опыта специалистов. Pобх зависит также от способа хранения и периодичности замены кода замка. Например, величину Робл принимаем равной 0,5 при контроле несанкционированного доступа самими пользователями. При наличии связи с охранной сигнализацией Робл принимаем равной 0,99. Эти цифры, разумеется, могут быть уточнены на конкретной системе.
Величины Pобл и Ротк для системы с кодовым замком оцениваются экспертами от 0 до 1 по его конструкции и техническим данным. А для системы, связанной с охранной сигнализацией, Ротк и Pобл оцениваются также с учетом и ее параметров.
Оценка прочности системы контроля вывода аппаратуры из рабочего контура обмена информацией, подлежащей защите
При оценке прочности системы контроля вывода аппаратуры из рабочего контура обмена информацией во время ремонта и профилактики входящих в комплекс средств автоматизации обработки информации технических средств считаем, что попытка нарушителя, находящегося в зоне комплекса средств автоматизации обработки информации, отличной от зоны рабочего места функционального контроля (РМФК), с которого выводится техническое средство из рабочего контура, ввести его снова в рабочий контур комплекса средств автоматизации обработки информации маловероятна. Следовательно, можно принять Рнр = 0. Но возможность обхода этой меры у нарушителя существует из-за ошибок оператора рабочего места функционального контроля. Факт несанкционированного вскрытия аппаратуры и доступа к ней обнаруживается системой контроля вскрытия аппаратуры (СКВА) на устройстве контроля вскрытия аппаратуры, устанавливаемом на автоматизированном рабочем месте службы безопасности (АРМ СБ). Если на его терминал выводится информация о состоянии рабочего контура обмена информацией, разрешение на вскрытие аппаратуры, не выведенной из рабочего контура, дано не будет. Таким образом, при оценке Робх данной преграды необходимо руководствоваться уровнем автоматизации этого процесса. Возможность скрытой блокировки данной преграды Робл принимаем равной нулю, так как для этого нужно изменить программное обеспечение, доступ к которому закрыт системой контроля вскрытия аппаратуры (СКВА). Величиной Ротк здесь, по-видимому, можно пренебречь, т. е. принять Ротк = 0, так как время и частота функционирования этой защитной процедуры достаточно малы по отношению к остальному времени функционирования комплекса средств автоматизации обработки информации. К тому же вероятность попадания отказа именно на этот период также мала. Поэтому Р3 для табл. 1 целесообразно рассчитывать по упрощенной формуле:
P3=(1-Pобх)
Робл принимаем равной 1, так как при попытке нарушителя преодолеть эту преграду путем отключения данной процедуры он будет обнаружен наверняка оператором рабочего места функционального контроля (РМФК) или системным оператором комплекса средств автоматизации обработки информации.
Оценка прочности средств защиты программного обеспечения и информации на носителях
Как показала практика, наиболее уязвимыми для несанкционированного доступа являются носители программного обеспечения и информации. Этому способствуют отдельная унифицированная конструкция носителей, относительно малые ее габаритные размеры и масса, большие объемы хранимой информации, хранение и транспортировка на них операционных систем и прикладных программ.
Отдельная конструкция носителя привлекает возможностью доступа к большим объемам информации, не требующего высокой технической квалификации нарушителя, который может просто похитить носитель. Унифицированная конструкция носителя облегчает задачу подмены носителя. Малые габариты и вес позволяют похитить носитель незаметным образом. Остатки информации на носителях даже после обычного стирания позволяют ее прочитать с помощью специальной аппаратуры.
Особенностью средств защиты информации на носителях является необходимость учитывать (в зависимости от требований технического задания) вероятность попадания носителя с защищаемой информацией за пределы объекта защиты, где средства обнаружения и блокировки несанкционированного доступа и, следовательно, риск нарушителя отсутствуют. Прочность защиты информации в этом случае должна возрастать и достигать такой величины, когда время преодоления ее нарушителем будет больше времени жизни информации, размещенной на носителе. Поэтому оценка подобной ситуации должна проводиться по отдельному показателю.
Для защиты информации и программного обеспечения на носителях используются организационные, аппаратные, программные и криптографические средства.
В качестве организационной меры применяются учет и регистрация носителей в специальном журнале, в котором регистрируются все носители информации. Носитель должен иметь заводской номер, маркировку и паспорт, в котором отмечаются дата и содержание записанной информации или программного изделия, контрольная сумма. Носитель выдается пользователю под расписку в журнале.
Данная организационная мера служит определенного рода преградой для нарушителя. Но эффективность ее при активной деятельности квалифицированного нарушителя все же невысока. Однако ее применение необходимо во всех системах, включая и несекретные. Прочность такой преграды зависит в основном от качеств человека, ответственного за нее. Поэтому воздержимся от ее оценки и оставим эту меру в качестве резерва.
Эффективной мерой защиты информации и программного обеспечения на носителях является верификация. Существует несколько способов верификации: контрольное суммирование простое, фрагментарное, по определенному маршруту; модульный диалог и т. д. Эффективность каждого метода определяется специалистами при конкретной реализации информационной системы. Контрольное суммирование по определенному маршруту, который хранится в тайне, вполне пригодно для ответственных комплексов средств автоматизации обработки информации для защиты от квалифицированного нарушителя-непрофессионала.
Но верификация указанными методами защищает лишь от подмены носителя и разрушения информации или программного обеспечения неквалифицированным нарушителем. Поэтому его с успехом можно применить для защиты программного изделия, которое относительно редко содержит секретную информацию. Вероятность непреодоления этой преграды оцениваем по формуле 15, гл.1, разд. 3, где:
Робх - вероятность несанкционированного доступа к действительному алгоритму суммирования;
Робл = 1- Рнбн,
где Рнбн вероятность необнаружения подмены носителя;
Ротк — вероятность случайного отказа системы проверки контрольной суммы, по-видимому, должна быть близка к нулю, так как интервал времени проверки достаточно мал и попадание отказа в этот интервал времени маловероятно. Даже если это событие произойдет, проверку можно провести на исправной системе позднее.
Более эффективной преградой для нарушителя-профессионала является криптографическая защита (шифрование) информации на носителях. Прочность этой преграды Р6 рассчитывается по формуле 4, гл.1, разд.3, где при оценке Робх оценивается способ хранения ключа дешифрования информации.
Резервирование информации и программного обеспечения — организационно-техническая мера, не требующая пояснений; она применяется во всех системах для защиты от потерь. Эту меру пока в расчет не принимаем и используем также в качестве резервной, но проверка ее наличия обязательна.
Для защиты от несанкционированного доступа нарушителя-профессионала к остаточной информации на носителях в ответственных системах применяется многократное наложение записи случайной последовательности символов на остаточную информацию. Прочность этой преграды Р9 можно считать близкой к 1 при гарантированной автоматической записи по команде "стирание", при ручной записи необходима экспертная оценка в пределах от 0 до 1. Процедура физического уничтожения носителя вместе с остаточной информацией производится при отсутствии технической возможности записи указанным выше методом. Прочность этой преграды оценивается специалистами при анализе конкретного оборудования, предназначенного для уничтожения конкретных носителей.
Простое стирание информации на носителях пригодно лишь для защиты от неквалифицированных нарушителей.
Оценка прочности системы контроля вскрытия аппаратуры
Прочность системы контроля вскрытия аппаратуры оценивается по формуле 15, гл.1, разд. 3. Метод оценки описан в гл. 1, разд. 3 при выводе этой формулы.
Оценка прочности средств защиты от побочного излучения и наводок информации
Прочность средств защиты от побочного излучения и наводок информации оценивается вероятностью перехвата информации нарушителем, находящимся вне территории объекта защиты, так как критерием возможного перехвата является отношение "сигнал-шум" на границе объекта защиты. Величину этой вероятности определяют опытные специалисты путем анализа средств защиты, измерений сигнала и специальных исследований.
Оценку этой преграды можно производить также по формуле 15, гл. 1, разд. 3. При этом вероятность приема сигнала за пределами контролируемой зоны обозначим через Рнр. Для нарушителя, пытающегося попасть на контролируемую территорию, роль преграды выполняет система охранной сигнализации по периметру этой территории и контрольно-пропускной пункт, являющиеся неотъемлемой составной частью защиты информации от побочного электромагнитного излучения и наводок (ПЭМИН).
Оценка вероятности их возможного непреодоления нарушителем согласно принятой методике также оценивается по формуле 15, гл. 1, разд. 3. Но по отношению к рассматриваемому возможному каналу несанкционированного доступа (ПЭМИН) охранная сигнализация и КПП считаются средствами перекрытия обходных путей несанкционированного доступа. Поэтому в расчет прочности защиты от ПЭМИН включается
Робх1 = (1-Рохр) и Робх2 = (1-Ркпп)
В качестве Ротк рассматривается вероятность отказа аппаратных средств защиты от ПЭМИН, применяемых на оцениваемой информационной системе.
Оценка средств регистрации обращений к информации, подлежащей защите
Средства регистрации обращений к информации, подлежащей защите, являются достаточно эффективной мерой, которая также требует оценки качества: исполнения программы регистрации (все ли обращения регистрируются, с какими атрибутами), вероятности ее обхода пользователем-нарушителем, возможности скрытного отключения, времени работы, безотказности.
Однако регистрация событий с отложенным обнаружением скорее служит для профилактических целей и последующего анализа прошедшей ситуации, в связи с чем эту меру целесообразно считать обязательной, но все же резервной, т. е. дублирующей другие меры защиты.
Оценка эффективности средств управления безопасности информации в комплексе средств автоматизации обработки информации
Средства управления защитой информации в комплексе средств автоматизации обработки информации не указаны в перечне средств защиты возможных каналов несанкционированного доступа, но они выполняют эту функцию, являясь важной составной частью перечисленных в табл. 1 средств защиты. Управление обеспечивает функции контроля, обнаружения и блокировки несанкционированного доступа, а также бесперебойное функционирование аппаратных, программных и организационных средств защиты, ведение статистики и прогнозирование событий. Все эти параметры учитываются при оценке прочности отдельных средств защиты комплекса средств автоматизации обработки информации. В результате оценка эффективности средств управления защитой может проводиться лишь с качественной стороны на предмет реализации защиты как единого механизма — системы защиты информации в техническом смысле решения задачи: технологии управления, состава аппаратных и программных средств управления и организационных мероприятий, наличия централизации контроля и управления защитой.
Оценка степени централизации контроля и управления защитой предполагает оценку степени охвата отдельных средств защиты средствами контроля и управления. Этот параметр определяет вероятность обхода защитных преград нарушителем, устанавливаемую экспертным путем. В ответственных системах все преграды должны находиться под централизованным контролем. Оценка эффективности средств управления безопасности информации должна даваться отдельным показателем. При этом важную роль играет степень автоматизации контроля функционирования той или иной защитной преграды. Данный показатель можно определить по отношению количества преград с автоматической подачей сигнала несанкционированного доступа на централизованное средство контроля к общему количеству преград, используемых в системе защиты информации в комплексе средств автоматизации обработки информации. Это отношение можно выразить формулой:
где КА — коэффициент автоматизации;
NA — количество средств защиты с автоматической подачей сигнала и блокировкой несанкционированного доступа;
N — общее количество средств защиты в комплексе средств автоматизации обработки информации.
Такая оценка необходима для определения степени приближения полученных значений прочности защиты к действительным. Чем больше автоматизированных средств защиты, тем меньше экспертных оценок, достоверней результаты оценок и выше гарантии эффективности защиты.
Оценка прочности безопасности информации в комплексе средств автоматизации обработки информации с различными требованиями
С учетом моделей нарушителя для систем различного назначения и предъявляемых требований должны существовать различные критерии оценки достаточности мер обеспечения безопасности. Рассмотренный выше метод оценки касается наиболее ответственных систем, ориентированных на нарушителя-профессионала, расположенного вне объекта защиты, т. е. которому для выполнения несанкционированного доступа к информации необходимо преодолеть контролируемую границу территории объекта, систему контроля доступа в помещение объекта и т. д.
Нарушитель-пользователь уже имеет определенные полномочия по санкционированному доступу к информации в соответствии со своими функциональными обязанностями и задачами. Это означает, что ему известен код пароля для прохода через систему опознания и разграничения доступа к информации, подлежащей защите, в объеме, определенном таблицей полномочий, заданных ему администратором комплекса средств автоматизации обработки информации.
Ожидаемой целью пользователя-нарушителя может стать попытка выйти за пределы своих полномочий и получить доступ к информации других пользователей комплекса средств автоматизации обработки информации, например он может подобрать чужой код пароля, подсмотреть его украдкой или похитить носитель и т. д., а также выйти на секретную информацию методом массированных специально составленных запросов с целью использования возможных программных ошибок или сбоев аппаратуры. Это говорит о необходимости применения аппаратуры и программного обеспечения с высокой надежностью.
Пользователь может воспользоваться и другими возможностями: например, снять лишнюю копию информации, подменить носитель и т. д. Тем не менее успех в попытках нарушителя зависит от уровня прочности средств защиты перечисленных ранее возможных каналов несанкционированного доступа, который оценивается указанными выше методами для конкретной информационной системы. В число возможных нарушителей включаются также лица из технического и нетехнического обслуживающего персонала. Уровень эффективности средств защиты в подобного рода ситуациях в первую очередь определяется уровнем организации и выполнения требований по разграничению доступа. Для более строгой оценки можно проанализировать возможности несанкционированного доступа с позиций каждого лица, обслуживающего и работающего с комплексом средств автоматизации обработки информации, по приведенным выше методикам, что может оказать влияние на уточнение его полномочий и совершенствование организационных защитных мероприятий.
Оценка прочности защиты информации от квалифицированного нарушителя-непрофессионала предполагает исключение некоторых возможных каналов несанкционированного доступа из таблицы оценки: например, побочное электромагнитное излучение и наводки, а также остатки информации на магнитных носителях после стирания.
При оценке защиты системы от неквалифицированного нарушителя можно из числа возможных каналов несанкционированного доступа исключить ремонтируемую аппаратуру, средства загрузки программного обеспечения, мусорную корзину, а также упростить требования к средствам защиты информации и программного обеспечения на носителях, ограничиваясь учетом и регистрацией информации и носителей, резервированием информации.
Выводы и предложения
Таким образом, уровень требуемой безопасности комплекса средств автоматизации обработки информации может быть определен в первом приближении одним из четырех классов. Эти уровни подобно уже существующим методам определяются сначала выбранным числом возможных каналов несанкционированного доступа и соответствующим набором средств защиты. Однако простое наличие последних еще не гарантирует достаточный уровень защиты. Например, даже такая эффективная защита, как шифрование, может оказаться слабым средством, если применен не тот метод криптографического преобразования или выбран легко угадываемый код ключа или пароля.
Определение числовых значений прочности защиты покажет результаты, близкие к действительным. Достаточность уровня прочности защиты для конкретного комплекса средств автоматизации обработки информации будет определяться величиной, указанной в техническом задании.
Величина уровня прочности защиты, вводимая в техническое задание, может задаваться после накопления определенного опыта по анализу и оценке прочности по предлагаемому методу как отдельных средств защиты, так и комплекса средств автоматизации обработки информации в целом. Примерная формулировка требований по защите информации от преднамеренного несанкционированного доступа может быть такой: комплекс средств автоматизации изделия должен обеспечивать возможность защиты информации от преднамеренного несанкционированного доступа по I классу с прочностью защиты не ниже 0,98. Возможно окажется удобней понятие риска или вероятности успеха нарушителя, величина которой будет равна
Рнсд = (1 — Рсзи). В нашем примере Рнсд = 0,02.
Для оценки сложных комплексов средств автоматизации обработки информации необходимо учитывать перестраховку — принятую нами ранее наиболее "опасную" модель поведения нарушителя, а также относительно большой риск нарушителя (в 98 случаях из 100) быть пойманным. При этом следует отметить существенную разницу в величинах вероятности успеха нарушителей в двух случаях: когда должна работать система обнаружения и блокировки несанкционированного доступа (информация сохраняет свою цену постоянно) и не должна (информация со временем теряет свою цену). В первом случае нарушитель рискует, а во втором — нет.
Для полной оценки безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации, следуя предлагаемой концепции защиты, необходимо также иметь в виду оценку вероятности несанкционированного доступа от случайных воздействий, а также сочетание преднамеренных несанкционированных действий со случайными отказами, сбоями системы обработки информации. Общий подход к решению этого вопроса заключается в оценке вероятности появления из всего потока возможных случайных ошибок таких, которые на выбранном интервале времени работы комплекса средств автоматизации обработки информации приводят к модификации, утрате или утечке информации. В связи с тем, что эта задача требует отдельных исследований (в гл. 12 намечено лишь направление решения этой проблемы), целесообразно ограничиться пока только данными по оценке достоверности всего потока информации существующими методами. В эту оценку необходимо включать группу показателей, например, оценку вероятности следующих случайных событий:
вывода на посторонние устройства действительных значений кодов паролей;
вывода секретной информации при вводе неправильного пароля;
вывода информации на устройство, для нее не предназначенное;
формирования несанкционированных команд и сообщений.
Оценку защиты от сочетания преднамеренных и случайных воздействий можно проводить по наличию и качеству исполнения и функционирования программы учета, регистрации и блокировки передачи повторных команд и сообщений, вводимых Пользователем. В случае превышения количества допустимых повторов данная программа должна блокировать сообщения, формировать и передавать на терминал службы безопасности информации информацию о факте, месте и времени несанкционированного доступа. Данная программа одновременно выполняет и задачу защиты ресурсов информационного комплекса, которые при интенсивной преднамеренной загрузке могут быть заняты обработкой несанкционированных запросов или команд, что в свою очередь может привести к снижению производительности комплекса средств автоматизации обработки информации, вплоть до блокировки его функционирования.
Особого внимания заслуживает защита информации и средств ее обработки от программных вирусов. С одной стороны, это специально разработанные человеком программы-вредители, которые можно отнести к разряду преднамеренного несанкционированного доступа, а с другой — факт попадания этих программ в комплекс средств автоматизации обработки информации может быть событием случайного характера. Ввиду особой специфики вопроса защиты от программных вирусов, связанных с появлением и большим распространением персональных компьютеров, он рассмотрен отдельно ниже.
В итоге оценка защищенности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации может складываться из группы показателей, учитывающих физическую природу, условия воздействия и системный подход к безопасности информации и определяющих ее уровень. Такими показателями могут служить уровни безопасности:
от преднамеренного несанкционированного доступа;
от случайных воздействий;
от сочетания случайных и преднамеренных несанкционированных воздействий;
от программных вирусов.
Уровень безопасности информации от преднамеренного несанкционированного доступа в комплексе средств автоматизации обработки информации определяется двумя показателями:
прочностью защиты информации на контролируемых каналах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации;
прочностью защиты информации на неконтролируемых каналах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации.
Данное количество показателей определено различными условиями пребывания информации и риском нарушителя. Они будут резко отличаться между собой уровнем достаточности.
Уровень безопасности информации от случайных воздействий можно определить пока группой следующих показателей:
временем обнаружения и локализации отказов аппаратуры с точностью до съемного элемента;
полнотой контроля функционирования комплекса средств автоматизации обработки информации;
достоверностью контроля функционирования комплекса средств автоматизации обработки информации.
Приведенные методики оценки средств защиты, особенно в отношении оценки путей обхода, не претендуют на полноту. Их задача — представить методологию подхода и подготовить базу для разработки нормативных документов, позволяющих по единым методикам получать гарантированные качественные и количественные показатели уровня безопасности информации в создаваемых информационной системе.