Козьминых С.И. Организация защиты информации в ОВД. Ч. 2
.pdf61
функционирования элементов системы, отсутствия несанкционированных устройствисистемсъемаинформацииит.д.
Данная оценка производится на основе анализа данных, полученных в результате выполнения комплекса задач, рассмотренных в предыдущем классе задач, а также аналитической обработки зарегистрированных данных о функционировании системобработкиизащитыинформации.
Сюда также относится большая группа задач по оценке требуемого уровня готовности обслуживающего персонала к обеспечению информационной безопасности.
Обеспечение реагирования. Получив по каналам обратной связи информацию о состоянии системы защиты, в соответствии с законами управления орган управления должен при необходимости выработать управленческое решение, т.е. отреагировать на полученный сигнал. Реагирование на проявление дестабилизирующихфакторовявляетсяпризнакомактивностисистемызащитыинформации, реализация которого направлена на предотвращение или снижение степени воздействия этих факторов на информацию. Принятие управленческих решений может осуществляться как в режиме реального времени (оперативно-техническое управление), такиприкалендарно-плановомруководстве.
Приведенный выше анализ угроз информации показал, что одними из наиболее значимых причин нарушения ее целостности являются ошибки в работе персонала. В связи с этим актуальными становятся задачи по достижению необходимого уровня теоретической подготовки и практических навыков в работе (подготовке персонала), а также задачи по формированию высокой психофизиологической устойчивости к воздействию дестабилизирующих факторов и моральной устойчивости к разглашению конфиденциальных сведений (подбор, оценка персонала, стимулированиеегодеятельностиидр.).
К третьему классу относятся задачи по защите от информационного воз-
действия. Книмможноотнестиследующие:
Защита от информационного воздействия на технические средства обра-
ботки. Информационное воздействие на технические средства обработки, храненияипередачиинформацииможетбытьнаправлено:
–на уничтожение информации (например, электронное подавление средств связи);
–искажение или модификацию информации и логических связей (внедрение компьютерныхвирусов);
–внедрениеложнойинформациивсистему.
Таким образом, данные задачи включают в себя реализацию технических средств и организационно-технических мероприятий, способствующих защите от рассмотренныхнаправленийвоздействиянаинформацию.
Защита от информационного воздействия на общество. Задачи предпола-
гают разработку и реализацию методов защиты от негативного воздействия через средства массовой информации на общественное сознание людей. Целями такого воздействия могут быть, например, навязывание общественного мнения (пропаганда), решение экономических и политических вопросов, разрушение национальных традиций и культуры (навязывание со стороны других государств чуждых культурныхценностей) идр.
Защита от информационного воздействия на психику человека. Этот ши-
рокий круг задач направлен как непосредственно на защиту от технических
62
средств воздействия на психику (психотронного оружия), так и определение и формирование у человека высокой стрессоустойчивости, высоких моральных качествит.д., позволяющихпротивостоятьтакомувоздействию.
2. Стратегии защиты информации
Стратегия – это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболеерациональномрасходованииимеющихсяресурсов.
Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимымидляэтихцелейресурсами.
Потребности в защите обуславливаются прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются качеством (уровнем) структурно-организа- ционного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентовидр.
Размер ресурсов на защиту информации либо ограничивается определенным пределом, либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором – чтобы требуемый уровень защиты обеспечивался при минимальном расходованииресурсов.
Сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач, которые достаточно детально изучены в современной теории систем, информатике и прикладной математике. Поэтому если бы были известны функциональные зависимости между объемом затрачиваемых ресурсов и достигаемым уровнем защиты, то каждая из сформулированных выше задач могла бы быть строго решена известными методами в каждом конкретном случае. Но, как известно, указанные выше функциональные зависимости в настоящее время отсутствуют, иполучениеихпредставляетсявесьмапроблематичным.
Существуютдвеосновныепричиныэтогообстоятельства.
Первая причина заключается в том, что процессы защиты информации находятсяв значительной зависимости от большого числаслучайных и трудно предсказуемых факторов, таких, как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования системы обработки информацииидр.
Вторая причина характеризуется тем, что среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека. Более того, сам процесс защиты с точки зрения классической теории систем выглядит не совсем определенным. Например, уровень защищенности информации может быть повышен не только механическим применением специальных средств защиты, но и более четким построением структуры объекта, определением порядка использования его элементов, подбором и подготовкой обслуживающего персонала и т.д.
В целях создания условий для ориентации в таких неопределенных ситуациях введено понятие «стратегия защиты» – как общий взгляд на сложившуюся
63
ситуацию по обеспечению безопасности информации и общий подход к принятию наиболее рационального решения в этой ситуации. При этом количест-
во различных стратегий должно быть небольшим (в противном случае трудно ориентироваться в самих стратегиях), но в тоже время полно и достаточно адекватно отображать всю гамму потенциально возможных ситуаций.
Обоснование числа и содержания необходимых стратегий осуществляется по двум критериям: требуемому уровню защиты и степени свободы действий при организациизащиты.
Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита: от наиболее опасных из известных (ранее проявившихся) угроз; всех известных угроз; всех потенциально возможныхугроз.
Второй критерий выбора стратегий защиты сводится к тому, что органи-
заторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации (СОИ), а также в организацию и обеспечение технологии ее функционирования. По этому аспектуудобновыделитьтриразличныестепенисвободы:
–никакое вмешательство в СОИ не допускается. Такое требование может быть предъявлено к уже функционирующим СОИ, и нарушение процесса их функционированиядляустановкимеханизмовзащитынеразрешается;
–к архитектурному построению СОИ и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования СОИ для установки некоторыхмеханизмовзащиты;
–требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении СОИ, организациииобеспеченииихфункционирования.
Если суммировать сказанное выше, то декартово произведение трех значений каждого из двух критериев дает в общем случае девять различных стратегических подходов к защите информации. Однако на практике из девяти можно выделить всеголишьтриосновныестратегии(табл. 1).
|
|
|
Таблица 1 |
|
|
Стратегии защиты информации |
|
|
|
|
|
|
|
|
Учитываемые |
|
Влияние на СОИ |
|
|
угрозы |
отсутствует |
частичное |
полное |
|
|
|
|
|
|
Наиболее |
Оборонительная |
|
|
|
опасные |
стратегия |
|
|
|
Все известные |
|
Наступательная |
|
|
|
стратегия |
|
|
|
|
|
|
|
|
|
|
|
|
|
Потенциально |
|
|
Упреждающая |
|
возможные |
|
|
стратегия |
|
|
|
|
|
|
Выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования СОИ можно нейтрализовать лишь
64
наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать в себя разработку организационных мер и использование технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных угроз СОИ и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. При этом нет смысла на данном этапе рассматриватьограниченноемножествоподобныхугроз.
3.Способы и средства защиты информации
Кнастоящему времени разработано много различных средств и методов защиты информации: накапливаемой, хранимой и обрабатываемой в автоматизированных системах, в том числе и передаваемой по линиям связи большой протяженности. Множествоиразнообразиесредствзащитыинформацииопределяютсяпрежде всего возможными способами воздействия на дестабилизирующие факторы или порождающие их причины, причем воздействия в направлении, способствующем повышению значений показателей защищенности или (по крайней мере) сохранениюпрежних(ранеедостигнутых) ихзначений.
Рассмотримсодержаниеспособовисредствзащитыинформации:
1.Создание препятствия заключается в формировании на пути возникновения или распространения дестабилизирующего фактора некоторого барьера, не позволяющего соответствующему фактору принять опасные размеры. Типичными примерами препятствий являются блокировки, не позволяющие техническому устройству или программе выйти за опасные границы; создание физических препятствий на пути злоумышленников, экранирование помещений и технических средств и т.п.
2.Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для злоумышленников или такой доступ существенно затрудняется, а также комплекс мероприятий по уменьшению степени распознавания самого объекта. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, дезинформация и легендирование, а также меры по созданию шумовых полей, маскирующих информационные сигналы.
3.Регламентация как способ защиты информации заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия, при которых существенно затрудняются проявление и воздействие угроз. К регламентации относится разработка правил обращения с конфиденциальной информацией и средствами ее обработки, позволяющих максимальное затруднение получения этой информации злоумышленником. Например, регламентация обращения с документами в процессе защищенного документооборота заключается в разработке таких правил их учета, хранения, перемещения и уничтожения, которые обеспечивают высокую степень защиты сведений от несанкционированногодоступа.
4.Управление – определение на каждом шаге функционирования систем обработки информации таких управляющих воздействий на элементы системы, следствием которых будет решение (или способствование решению) одной или нескольких задач по защите информации. Такимиуправляющими воздействиями являются задачи, обозначенные выше как реагирование на проявление дестабилизирующих воздействий. При этом управление включает в себя в соответствии с законами ки-
65
бернетики сбор, передачу, обобщение и анализ данных об СОИ и СЗИ, т.е. достигается решением задач класса «Сигнализация» и «Оценка». Например, управление доступомнаобъектвключаетвсебяследующиефункциизащиты:
–опознавание (установление подлинности) объекта или субъекта по предъявленномуимидентификатору;
–проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемыхресурсовипроцедурустановленномурегламенту);
–регистрацию(протоколирование) обращенийкзащищаемымресурсам;
–реагирование (сигнализацию, отключение, задержку работ, отказ в запросе) припопыткахнесанкционированныхдействий.
5.Принуждение – такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовнойответственности.
6.Побуждение – способ защиты информации, при котором пользователи и персонал объекта внутренне (т.е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработкиинформации.
В качестве отдельного, применяемого при ведении активных действий противоборствующими сторонами, можно выделить такой способ, как нападение. При этом подразумевается как применение информационного оружия при ведении информационной войны, так и непосредственное физическое уничтожение противника(приведениибоевыхдействий) илиегосредствразведки.
Рассмотренные способы обеспечения защиты информации реализуются с применениемразличныхметодовисредств.
В соответствии с определением, изложенным в Федеральном законе «О государственной тайне», к средствам защиты информации относятся «технические, криптографические, программные и другие средства, предназначенные для зашиты сведений, составляющих государственную тайну, средства, в которых они реализованы, атакжесредстваконтроляэффективностизащитыинформации».
Все средства защиты можно разделить на две группы – формальные и нефор-
мальные.
Кформальнымотносятсятакиесредства, которыевыполняютсвоифункциипо защитеинформацииформально, т.е. преимущественнобезучастиячеловека.
К неформальным относятся средства, основу которых составляет целенаправленнаядеятельностьлюдей.
Формальные средства делятся на физические, аппаратные и программные.
Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и другие устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующихфакторов.
Аппаратные средства – различные электронные, электронно-механические и другие устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.
Физическиеи аппаратныесредстваобъединяются в класс технических средств защитыинформации.
66
Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защитеотвирусовидр.
Неформальные средства делятся на организационные, законодательные и мо- рально-этические.
Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.
Законодательные средства – существующие в стране или специально издаваемые нормативные правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чегоможетбытьнарушениезащищенностиинформации.
Морально-этические средства – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведениявобществеиликоллективе.
Морально-этические методы защиты информации можно отнести к группе тех методов, которые, исходя из выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации, или по его вине соперник получает возможностьнесанкционированногодоступакносителямзащищаемойинформации.
Морально-этические или морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам: проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично); обучение сотрудника, осведомленного о сведениях, составляющих охраняемую тайну, правилам и методам защиты информации; привитие ему навыков работы с носителями секретной и конфиденциальнойинформации.
Своеобразный подход к формированию множества способов защиты предлагает член-корреспондент Академии криптографии Российской Федерации С. П. Расторгуев. В основу названной им «абсолютной системы защиты», обладающей всеми возможными способами, положены основные принципы защиты, реализуемые в живой природе. Развивая этот подход, можно выделить следующие основные способызащиты:
1.Пассивная защита. Перекрывает все возможные каналы воздействия угроз и предполагает «надевание брони» на себя и создание территориальных препятствий. Налицо полное соответствие такому способу защиты информации, как препятствие.
2.Изменение местоположения. Желание спрятаться можно соотнести с таким способом, какскрытие.
67
3.Изменение собственной внешности, мимикрия – слияние с ландшафтом и т.п. Цель – представиться объектом, неинтересным или незаметным для нападающей стороны. Аналогичную функцию защиты информации реализуют маскировкой.
4.Нападениесцельюуничтожениянападающего.
5.Воспитание навыков безопасности у потомства, доведение их до уровня инстинкта. Для систем защиты информации аналогичные навыки у обслуживающего персоналаформируютсяпринуждениемипобуждением.
6.Выработка определенных правил жизнедеятельности, способствующих выживанию и сохранению рода. К таким правилам, выработанным природой, можно отнести мирное существование особей одного вида, жизнь в стаях (стадах) и т.д. Другими словами, природа регламентирует необходимые для безопасности правилажизни.
Таким образом, анализ присущих животному миру защитных свойств, положенный в основу так называемой «абсолютной системы защиты», показывает, что все они соответствуют рассмотренным способам защиты информации, что подтверждаетполнотуихформирования.
Для пополнения арсенала потенциально возможных средств защиты информации необходимо провести системный анализ возможностей для решения различныхзадачпозащитеинформациисредствамиразличныхклассов.
Контрольные вопросы
1.Какие три класса задач необходимо решить при создании системы защиты информациинаобъектахОВД?
2.Какие задачи решаются для уменьшения степени распознавания объектов защитыинформации?
3.Какие задачи решаются для защиты содержания обрабатываемой, хранимой
ипередаваемойинформации?
4.Какиезадачирешаютсядлязащитыотинформационноговоздействия?
5.Какиецелиставятсяприформированиистратегиизащитыинформации?
6.По каким критериям определяются число и содержание необходимых стратегийзащитыинформации?
7.Какиесуществуютспособыисредствазащитыинформации?
8.Чем различаются формальные и неформальные средства защиты информа-
ции?
9.Какой подход к формированию множества способов защиты информации предлагает член-корреспондент Академии криптографии Российской Федерации С. П. Расторгуев?
68
Г л а в а 6. АРХИТЕКТУРА
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ОВД
1. Требования к архитектуре системы защиты информации в ОВД
Система защитыинформации(СЗИ) ворганевнутреннихделвобщемвиде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых (предусматриваемых) на объекте информатизации (ОИ) длярешениявнейвыбранныхзадачпозащите.
СЗИ предусматривает, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую целостную систему, которая является функциональносамостоятельнойподсистемойлюбогоОИ.
Таким образом, важнейшим концептуальным требованием к СЗИ является адаптируемость, т.е. способность к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования ОИ. Важность требования адаптируемости обусловлена, с одной стороны, возможностью изменения при перечисленных факторах, а с другой – отношением процессов защиты информации к слабоструктурированным, т.е. имеющим высокий уровень неопределенности. Управление слабоструктурированными процессами может бытьэффективнымлишьприусловииадаптируемостисистемыуправления.
Помимо общего концептуального требования к СЗИ предъявляется еще целый ряд более конкретных целевых требований, которые могут быть разделены на функциональные, эргономические, экономические, технические, организационные.
В совокупности эти требования образуют систему, структура и содержание которойпредставленывтабл. 2.
Таблица2
Требования к системе защиты информации на объекте информатизации
ТРЕБОВАНИЯ К СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ
Функциональные |
Обеспечение решения требуемых задач по защите. |
|
Удовлетворение всем требованиям по защите. |
||
Эргономические |
Минимизация помех пользователям. |
|
Удобство для персонала системы защиты. |
||
|
||
Экономические |
Минимизация затрат на систему. |
|
Максимальное использование серийных средств. |
||
|
||
Технические |
Комплексное использование средств. |
|
Оптимизация архитектуры. |
||
|
||
Организационные |
Структурированность всех компонентов. |
|
|
Простота эксплуатации. |
Сформированная к настоящему времени система защиты информации включаетвсебяследующийпереченьобщеметодологическихпринципов:
–концептуальноеединство;
–адекватностьтребованиям;
–гибкость(адаптируемость);
–функциональнаясамостоятельность;
–удобствоиспользования;
69
–минимизацияпредоставляемыхправ;
–полнотаконтроля;
–адекватностьреагирования;
–экономичность.
Концептуальное единство. Архитектура, технология, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениямиединойконцепциизащитыинформации.
Адекватностьтребованиям. СЗИдолжнастроиться в строгомсоответствии с требованиями к защите, которые в свою очередь определяются категорией соответствующего объекта и значениями параметров, влияющих на защиту информации.
Гибкость (адаптируемость). Построение и такая организация функционирования СЗИ, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры ОИ, технологических схем илиусловийфункционированиякаких-либоеекомпонентов.
Функциональная самостоятельность. СЗИ должна быть самостоятельной обеспечивающей подсистемой системы обработки информации и при осуществлениифункцийзащитынедолжназависетьотдругихподсистем.
Удобство использования. СЗИ не должна создавать дополнительных неудобствпользователямиперсоналуОИ.
Минимизация предоставляемых прав. Каждому пользователю и каждому лицу из состава персонала ОИ должны предоставляться лишь те полномочия на доступ к ресурсам ОИ и находящейся в ней информации, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определеныиутвержденызаблаговременнов установленномпорядке.
Полнота контроля. Все процедуры автоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться в специальных регистрационныхжурналах.
Активность реагирования. СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать в себя: просьбу повторить действие; отключение структурного элемента, с которого осуществлено несанкционированное действие; исключение нарушителя изчислазарегистрированныхпользователей; подачуспециальногосигналаидр.
Экономичность. При условии соблюдения основных требований всех предыдущихпринциповрасходынаСЗИдолжныбытьоптимизированы.
2. Основы архитектурного построения системы защиты информации
Рассмотрим основные вопросы архитектурного построения СЗИ, которая является функциональной подсистемой объекта информатизации. Ее архитектура должна быть также аналогичной архитектуре ОИ и представлять собой функциональное, организационноеиструктурноепостроение.
Функциональным построением любой системы называется организованная совокупность функционально разграниченных элементов СЗИ (рис. 1). Исходя из анализа необходимости нейтрализации основных видов угроз информации и реализации основных методов защиты информации, а также в соответствии с подхо-
70
дами, определенными руководящими документами ФСТЭК России, функциональноепостроениеСЗИможнопредставитьсовокупностьюследующихподсистем.
УГРОЗЫ ИНФОРМАЦИИ
НСКоп |
НСМод |
Нарушение |
целостности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
Подсистема |
|||
|
|
ограничения |
|
криптографи- |
|||
|
|
доступа |
|
ческой защиты |
|||
|
СЗИ |
Ядро |
|
|
Подсистема |
Подсистема |
|
|
регистрации |
обеспечения |
|
|
и учета |
целостности |
|
Препятствие |
Регламентация |
Управление |
Маскировка |
Рис. 1. Функциональное построение системы защиты информации.
1. Подсистема ограничения доступа. Подсистема должна выполнять функции идентификации, проверки подлинности (аутентификации) и контроля доступа пользователей конфиденциальной информацией и программ (процессов) к ресурсам:
–системе;
–терминалам;
–ЭВМ(ПЭВМ), типамсетиЭВМ(ПЭВМ);
–каналамсвязи;
–внешнимустройствамЭВМ(ПЭВМ);
–программам;
–томам, каталогам, файлам, записям, полямзаписей;
–носителямконфиденциальнойинформации.
Данные функции могут реализовываться на объекте с помощью специализированных систем контроля и управления доступом (СКУД), включающих программные средства аутентификации и регистрации и технические устройства ограничения доступа. Доступ к ПЭВМ в основном обеспечивается программными средствамизащиты.
В настоящее время на действующих объектах ИТКС МВД ограничение доступаосуществляетсяглавнымобразоморганизационнымиметодами.
При наличии на объекте информационных ресурсов с несколькими степенями конфиденциальности и пользователей с различными правами доступа подсистема должна реализовывать механизм разграничения доступа, в основе которого могут лежать существующие модели такого доступа (на основе матрицы доступа, мандатные, многоуровневыемодели).