Раздел15_11

15 Требования к системам защиты информации

(Сост. Никонов А.В.)

Эти требования можно разбить на ТРИНАДЦАТЬ категорий.

15.1 Общие требования

Необходима ПОЛНАЯ ИДЕНТИФИКАЦИЯ пользователей, терминалов, программ, а также основных процессов и процедур.

Также следует ограничить доступ к информации, используя совокупность

способов:

-иерархическая классификация доступа;

-классификация информации по важности и месту ее возникновения;

-указание ограничений к информационным объектам (пользователь может осуществлять только чтение файла, ...);

-определение программ и процедур, предоставленных только конкретным

пользователям.

Система защиты ДОЛЖНА ГАРАНТИРОВАТЬ, что ЛЮБОЕ дви-

жение данных идентифицируется, авторизуется, обнаруживается и

документируется.

Формулируются общие требования К следующим характеристикам:

а) способам построения СЗИ либо ее отдельных компонент (к программно-

му, программно-аппаратному, аппаратному);

б) архитектуре СВТ и АС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную плат-

формы, архитектуре интерфейса);

в) применению стратегии защиты;

д) затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);

е) надёжности функционирования СЗИ (к количественным значениям пока-

зателей надежности во всех режимах функционирования АС и при воздействии внешних разрушающих факторов, к критериям отказов);

ж) количеству степеней секретности информации, поддерживаемых СЗИ;

и) обеспечению скорости обмена информацией в АС, в том числе с учетом используемых криптографических преобразований;

к) количеству поддерживаемых СЗИ уровней полномочий;

л) возможности СЗИ обслуживать определенное количество пользовате-

лей;

м) продолжительности процедуры генерации программной версии СЗИ;

н) продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты АС;

о) возможности СЗИ реагировать на попытки несанкционированного до-

ступа, либо на “опасные ситуации”;

п) наличию и обеспечению автоматизированного рабочего места админи-

стратора защиты информации в АС;

р) составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;

с) используемым закупаемым компонентам СЗИ (наличие лицензии, серти-

фиката и т. п.).

Важно соблюдение нижеследующих ПРИНЦИПОВ.

ПРИНЦИП НЕВОЗМОЖНОСТИ перехода в небезопасное состоя-

ние означает, что при любых обстоятельствах, в том числе нештатных, за-

щитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно, если в крепости механизм подъемно-

го моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

ПРИНЦИП МИНИМИЗАЦИИ ПРИВИЛЕГИЙ предписывает выде-

лять пользователям и администраторам только те права доступа, КОТОРЫЕ НЕОБХОДИМЫ им для выполнения служебных обязанностей.

ПРИНЦИП РАЗДЕЛЕНИЯ ОБЯЗАННОСТЕЙ предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важныйдля организации процесс.

Это особенно важно, чтобы предотвратить злонамеренные или неквалифи-

цированные действия системного администратора.

ПРИНЦИП ЭШЕЛОНИРОВАННОСТИ ОБОРОНЫ предписывает

не полагаться на один защитный рубеж, каким бы надежным он ни казался.

За средствами физической защиты должны следовать программнотехнические средства,

за идентификациейиаутентификацией– управление доступоми, как последний рубеж, – протоколирование и аудит.

Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно

затрудняет незаметное выполнение злоумышленных действий.

ПРИНЦИП РАЗНООБРАЗИЯ защитных средств рекомендует орга-

низовывать различные по своему характеру оборонительные рубежи,

чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навы-

ками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Очень важен ПРИНЦИП ПРОСТОТЫ И УПРАВЛЯЕМОСТИ инфор-

мационной системы в целом и защитных средств в особенности.

Только для простого защитного средства можно формально или не-

формально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов иосуществить централизованное администрирование.

ВСЕОБЩАЯ ПОДДЕРЖКА мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся.

Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и,

главное, практическое.

15.2 Организационные требования

Организационные требования к системе защиты предусматривают ре-

ализацию СОВОКУПНОСТИ АДМИНИСТРАТИВНЫХ И ПРОЦЕДУРНЫХ мероприятий.

Требования по обеспечению сохранности должны выполняться прежде всего на

административном уровне.

ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ должны предусматривать следу-

ющие процедуры:

а) ограничение несопровождаемого доступа к вычислительной системе (ре-

гистрация и сопровождение посетителей);

б) осуществление контроля за изменением в системе программного обеспечения;

в) выполнение тестирования и верификации изменений в системе программного обеспечения и программах защиты;

д) ограничение привилегии персонала, обслуживающего АС;

е) осуществление записи протокола о доступе к системе;

ж) разработку последовательного подхода к обеспечению сохранности информации для всей организации;

и) комплектование основного персонала на базе интегральных оценок и твердых знаний;

к) организацию системы обучения и повышения квалификации обслужива-

ющего персонала.

С точки зрения ОБЕСПЕЧЕНИЯ ДОСТУПА к АС необходимо выполнить

следующие процедурные мероприятия:

а) разработать и утвердить письменные инструкции на загрузку и останов-

ку работы операционной системы;

б) контролировать использование магнитных лент, дисков, карт, листингов, порядок изменения программного обеспечения и доведение этих изменений до пользователя;

в) разработать процедуру восстановления системы при отказах;

д) установить политику ограничений при разрешенных визитах в вычислительный центр и определить объем выдаваемой информации;

е) разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов;

ж) обеспечить проведение периодической чистки архивов и хранилищ носителей информации для исключения и ликвидации неиспользуемых.

15.2.1 Законодательный уровень

В основе ПЕРВОГО ЭТАПА формирования политики безопасности организации лежит анализ нормативной базы (федеральных законов,

ведомственных, территориальных документов и т. д.), регламентирующей деятельность организации в целом и в области безопасности информа-

ции в частности.

Наиболее подробным законодательным документом в области ин-

формационной безопасности является Уголовный кодекс.

В разделе IX (“Преступления против общественной безопасности”) имеется

глава 28 - «Преступления в сфере компьютерной информации». Она содержит три статьи - 272 («Неправомерный доступ к компьютерной информации»), 273 («Создание, использование и распространение вредоносных программ для ЭВМ») и 274 – «Нарушение правил эксплуата-

ции ЭВМ, системы ЭВМ или их сети».

Уголовный кодекс стоит на страже всех аспектов информационной без-

опасности: ДОСТУПНОСТИ, ЦЕЛОСТНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ, предусматривая наказания за «уничтоже-

ние, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети».

НА ВТОРОМ ЭТАПЕ, с позиции использования InterNet, нужно

ПРОАНАЛИЗИРОВАТЬ ИНФОРМАЦИОННУЮ СИСТЕМУ организа-

ции иеё потребности в информационных ресурсах.

Основная ЦЕЛЬ анализа – определение своего видения Интернет и своего отношения к нему.

В качестве ТИПОВЫХ НАПРАВЛЕНИЙ ИСПОЛЬЗОВАНИЯ Интернет можно выделить следующие:

а) расширение возможностей информационной базы организации.

Подключение к Интернет даст возможности ведения информационно-

аналитической работы с использованием информационных ресурсов сети Ин-

тернет, обеспечит представление организации в мировом информационном пространстве, внедрение Интернет-технологий позволит организовывать доступ к об-

щим ресурсам, единые системы электронной почты и т. д.;

б) использование Интернет в качестве транспортной среды. Осо-

бую роль тут может сыграть тот факт, что накладные расходы на коммуникацию по каналам Интернет очень незначительны;

в) использование развитых, отработанных и отлаженных техноло-

гий. Использование глобальной сети Интернет позволяет применять стандарт-

ное, широко (и часто бесплатно) распространяемое клиентское программное обеспечение.

НА ТРЕТЬЕМ ЭТАПЕ нужно определить МОДЕЛЬ ПОТЕНЦИАЛЬНОГО НАРУШИТЕЛЯи его поведения.

Ориентироваться надо на злоумышленника, обладающего высо-

кой квалификацией в области вычислительной техники и системного программирования, хорошо разбирающегося в аппаратных средствах.

НА ЧЕТВЁРТОМ ЭТАПЕ следует провести АНАЛИЗ УГРОЗ: вы-

явить наиболее существенные угрозы информации, проявляющиеся в

связи с подключением организации к Интернет, оценке их важности и прио-

ритетности.

НА ПЯТОМ ЭТАПЕ обосновать требования, которым должна отвечать система защиты, выбор средств и методов защиты информации,

АДЕКВАТНЫХвыявленным угрозам, рискам и ущербу от этих угроз.

ШЕСТОЙ ЭТАП – это принятие решения на подключение организации

к Интернет ивыбор сервис-провайдера сети.

Наряду с законными провайдерами свои услуги в этой области предлагает ряд полулегальных организаций, имеющих соответствующее программно-техническое обеспечение, выходы в Интернет, но не имеющих юридических прав деятельности в этой области. Примером может служить ряд высших учебных заведений, имеющих выходы в Интернет через некоммерческие сети типа Федеральная университетская компьютерная сеть RUNNet, Российская научно-образовательная сеть FREENet

ит. д.

Вэтих условиях ОСНОВНЫМ КРИТЕРИЕМ при выборе сервис-

провайдера для организации является наличие у него лицензии Госком-

связи на предоставление провайдерских услуг.

Кроме выше изложенного, НА НАДЕЖНОСТИ СИСТЕМ отрицательно ска-

зываются и наличие большого количества устройств, собранных из комплектующих низкого качества, и нередкое использование нелицензионного ПО.

Аппаратное и программное обеспечение зачастую не отвечает требованиям совместимости, а "прописанная" в соответствующих файлах конфигурация систем – имеющимся аппаратным ресурсам. Виной тому может стать недостаточная ком-

пьютерная грамотность ответственных за поддержание компьютерной системы сотрудников.

Чрезмерная экономия средств (на обучение персонала, закупку лицензион-

ного ПО и качественного оборудования) приводит к уменьшению времени безотказной работы и значительным затратам на последующее восстановление си-

стемы.

Встречаются НЕПОДВЛАСТНЫЕ СИСТЕМНОМУ

АДМИНИСТРАТОРУ ситуации, влекущие за собой уничтожение информационной системыили какой-либо ее части.

Некоторые из подобных ситуаций могут быть отнесены к разряду форсмажорных, и потому связанное с ними невыполнение обязательств перед партнерами не повлечет за собой штрафных санкций. Некоторые, но не все.

Нужно заранее определить ряд мероприятий, составляющих ПЛАН ВОССТАНОВЛЕНИЯ бизнеса после бедствия (или Business Disaster Recovery, BDR), которые позволяют свести к минимуму потери информации и

время простоя системы.

15.3 Требования к подсистемам защиты информации

Защитная система должна обладать мощными и гибкими СРЕДСТВАМИ УПРАВЛЕНИЯ для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения

простой реконфигурации системы при изменении структуры сети.

Она должна работать НЕЗАМЕТНО для пользователей локальной се-

ти и не затруднять выполнение ими легальных действий.

Система должна работать достаточно эффективно и УСПЕВАТЬ

обрабатывать весь входящий и исходящий трафик в “пиковых” ре-

жимах. Это необходимо для того, чтобы СЗИ нельзя было “забросать” большим количеством вызовов, которые привели бы к нарушению ее работы.

СИСТЕМА обеспечения БЕЗОПАСНОСТИ должна быть сама НАДЁЖНО ЗАЩИЩЕНА от любых несанкционированных воздействий,

поскольку она является ключом к конфиденциальной информации в организации.

В тоже время система должна иметь средства авторизации доступа пользователей через внешние подключения.

Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.

СЗИ условно разделяются на подсистемы:

–управления доступом к ресурсам АС;

–регистрации и учета действий пользователей (процессов);

–криптографическую;

–обеспечения целостности информационных ресурсов и конфигурации

АС.

Для каждой из них определяютсяТРЕБОВАНИЯ в виде:

–перечня обеспечиваемых подсистемой функций защиты;

–основных характеристик этих функций;

–перечня средств, реализующих эти функции.

????????????????????????????????????????????????????????

А) Подсистема управления доступом должна обеспечивать:

1) идентификацию, аутентификацию и контроль за доступом пользо-

вателей (процессов) к системе, терминалам, узлам сети, каналам связи, внешним устройствам, программам, каталогам, файлам, записям и т.д.;

2)управление потоками информации;

3)очистку освобождаемых областей оперативной памяти и внешних накопителей.

Б) Подсистема регистрации и учета выполняет:

1)регистрацию и учет:

–доступа в АС;

–выдачи выходных документов;

–запуска программ и процессов;

–доступа к защищаемымфайлам;