4-1 Електрона комерція / Тимошенко А.А. Защита информации в специализированных информационно-телекоммуникационных системах

231

3.7.3 Угрозы информации, характерные для систем обработки ИсОД. Модель потенциального нарушителя в системах обработки ИсОД

3.7.3.1 Анализ системы обработки ИсОД как объекта защиты и определение защищаемых информационных ресурсов

Согласно НД ТЗИ 2.5-008-2002, основными информационными ресурсами, подлежащими защите в системе обработки ИсОД (информационными активами), являются:

-информационные объекты, содержащие требующую защиты открытую информацию и представляющие собой совокупность сильносвязанных объектов (под сильносвязанными объектами понимается совокупность наборов данных, которые характеризуются наличием

минимальной избыточности и допускают их оптимальное использование одним или несколькими процессами как одновременно, так и в разные промежутки времени и требуют безусловного обеспечения целостности этих наборов данных как совокупности, например, совокупность связанных таблиц БД);

-информационные объекты, содержащие требующую защиты открытую информацию и

представляющие собой слабосвязанные объекты различного вида представления (относительно независимые наборы данных, которые генерируются, модифицируются,

сохраняются и обрабатываются в системе и требуют обеспечения своей целостности каждый в отдельности);

-информационные объекты, содержащие ИсОД и представляющие собой совокупность сильносвязанных объектов;

-информационные объекты, содержащие ИсОД и представляющие собой совокупность слабосвязанных объектов различного вида представления.

Информационные объекты, содержащие ИсОД или требующую защиты открытую информацию и представляющие собой совокупность сильносвязанных объектов, могут быть представлены в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки).

Вштатном режиме функционирования системы к данным информационным объектам возможен разделяемый доступ с целью просмотра/ модификации.

Информационные объекты, содержащие ИсОД или требующую защиты открытую информацию и представляющие собой слабосвязанные объекты, могут быть представлены в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

232

-неструктурированные файлы в процессе сохранения и обработки на РС клиента;

-информационных объектов в оперативной памяти компьютеров (ФС, РС - в процессе обработки).

Вштатном режиме функционирования системы к данным информационным объектам возможен разделяемый доступ с целью просмотра/ модификации.

Особенности системы обработки ИсОД как объекта защиты (согласно НД ТЗИ 2.5-008- 2002) определяются особенностью архитектуры АС, способами применения средств вычислительной техники для выполнения функций сбора, хранения, обработки, передачи и использования данных, требованиями к обеспечению различных свойств информации.

Сучетом характеристик и особенностей представления обрабатываемой информации, особенностей процессов, которые применяются для ее обработки, а также порядка работы пользователей и требований к обеспечению защиты информации в АС класса 2 определяются такие технологии обработки информации:

-обработка без активного диалога со стороны пользователя слабосвязанных объектов, при которой требуется защита конфиденциальности обрабатываемой информации, или конфиденциальности и целостности обрабатываемой информации. Обработка без активного

диалога со стороны пользователя слабосвязанных объектов в общем случае представляет собою обработку отдельного набора данных (или определенного их множества, но последовательно одного за другим) в фоновом режиме, который обеспечивается операционными системами, используемыми на рабочих станциях и серверах АС;

-обработка без активного диалога со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности и целостности обрабатываемой информации.

Обработка без активного диалога со стороны пользователя сильносвязанных объектов представляет собой решение в фоновом режиме комплексов функциональных задач, которые взаимодействуют с базами данных с использованием СУБД, а также реализацию любых других процессов, которые осуществляют одновременную обработку определенного множества наборов данных, имеющих между собою логические связи;

-обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов,

при которой требуется защита конфиденциальности и доступности обрабатываемой информации, или конфиденциальности и целостности обрабатываемой информации.

Обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов представляет собой обработку отдельного набора данных в режиме реального времени в диалоге между пользователем и прикладным процессом, который эту обработку осуществляет (например, создание и редактирование текстов, и потому подобное);

233

-обработка в активном диалоговом режиме со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности, целостности и доступности

обрабатываемой информации. Обработка в активном диалоговом режиме со стороны

пользователя сильносвязанных объектов представляет собой процессы реализации в режиме реального времени взаимодействия между пользователем и БД с сильносвязанными объектами с использованием СУБД.

Определенные выше технологии обработки информации могут быть реализованы как в системе в целом, так и в отдельных ее компонентах или процессах. Одновременно в системе могут применяться несколько технологий.

Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) в системе обработки ИсОД (согласно НД ТЗИ 2.5-008-2002) являются угрозы с целью нарушения:

-конфиденциальности по отношению к информационным объектам, содержащим ИсОД,

представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированного ознакомления;

-целостности по отношению к информационным объектам, содержащим как ИсОД, так и требующую защиты открытую информацию, представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированной модификации;

-доступности разделяемых ресурсов сервера приложений (реализующего бизнес-логику), ФС, сервера СУБД (реализующего функции управления хранилищем базы данных сильносвязанных объектов) при доступе пользователей к информационным объектам,

представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, содержащим как ИсОД, так и открытую информацию.

3.7.3.2 Модель потенциального нарушителя в системе обработки ИсОД (АС класса 2)

В качестве потенциального нарушителя в системе обработки ИсОД (согласно НД ТЗИ 2.5- 008-2002) должен рассматриваться любой сотрудник организации, использующей систему обработки ИсОД, который:

-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);

-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим ИсОД,

234

представленным в виде совокупности сильносвязанных объектов (с целью их просмотра, модификации, удаления);

-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде слабосвязанных объектов (с целью их модификации, удаления);

-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде совокупности сильносвязанных объектов (с целью их модификации, удаления);

-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым на РС пользователя информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);

-с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов системы (ФС, серверов СУБД, серверов приложений) и активного сетевого оборудования (устройств коммутации пакетов);

-обладает всеми возможностями пользователя системы по вводу и обработке ИсОД и

требующей защиты открытой информации.

Таким образом, потенциальный нарушитель имеет возможность реализации всех типов угроз (конфиденциальности, целостности и доступности) с использованием штатных средств системы обработки ИсОД, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием.

3.7.4 Особенности построения систем защиты информации в системах обработки

ИсОД

3.7.4.1 Функциональные спецификации КСЗ СЗИ в системах обработки ИсОД для различных технологий обработки информации

Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности обрабатываемой информации:

КД-2 – базовая доверительная конфиденциальность

235

КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов НР-2 – защищенный журнал

НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте

Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и целостности обрабатываемой информации:

КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат НР-2 – защищенный журнал

НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте

Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и

доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность

КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ДР-1 - квоты ДС-1 – устойчивость при ограниченных отказах

ДЗ-1 - модернизация ДВ-1 – ручное восстановление

236

НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация

НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте

Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности,

целостности и доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат ДР-1 - квоты

ДС-1 – устойчивость при ограниченных отказах ДЗ-1 - модернизация ДВ-1 – ручное восстановление

НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация

НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте

3.7.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты

КД-2 – базовая доверительная конфиденциальность

Должна быть реализована при необходимости в качестве дополнения к услуге КА-2 при

условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к ИсОД внутри этих групп.

Политика данной услуги должна быть реализована относительно:

237

-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).

Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения).

Средства реализации услуги должны функционировать в таких компонентах ИТС:

-ФС ЛВС;

-РС ЛВС;

-серверах СУБД;

-серверах приложений.

Для реализации услуги должны использоваться такие механизмы:

- управление доступом (на основе списков управления доступом или меток доступа).

КА-2 – базовая административная конфиденциальность

Политика данной услуги должна быть реализована относительно:

-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);

-программных средств системы в виде файлов.

238

Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска).

Средства реализации услуги должны функционировать в таких компонентах ИТС:

-ФС ЛВС;

-РС ЛВС;

-серверах СУБД;

-серверах приложений.

Для реализации услуги должны использоваться такие механизмы: - управление доступом (на основе списков управления доступом).

КО-1 – повторное использование объектов

Политика данной услуги должна быть реализована относительно:

-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).

Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем выполнения операций "Сбора мусора".

Средства реализации услуги должны функционировать в таких компонентах ИТС:

-ФС ЛВС;

-РС ЛВС;

-серверах СУБД;

-серверах приложений.

Для реализации услуги должны использоваться такие механизмы:

-очистка дисковой и оперативной памяти после удаления информационных объектов/ перед предоставлением памяти под размещение других объектов;

-удаление атрибутов доступа (списков управления доступом) при удалении объекта.

239

ЦД-1 – минимальная доверительная целостность

Должна быть реализована при необходимости в качестве дополнения к услуге ЦА-2 при

условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к защищаемой информации внутри этих групп.

Политика данной услуги должна быть реализована относительно:

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).

Политика услуги должна обеспечивать предотвращение реализации угроз целостности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного создания, модификации или удаления).

Средства реализации услуги должны функционировать в таких компонентах ИТС:

-ФС ЛВС;

-РС ЛВС;

-серверах СУБД;

-серверах приложений.

Для реализации услуги должны использоваться такие механизмы:

- управление доступом (на основе списков управления доступом или меток доступа).

ЦА-2 – базовая административная целостность

Политика данной услуги должна быть реализована относительно:

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

240

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);

-программных средств системы в виде файлов.

Политика услуги должна обеспечивать предотвращение реализации угроз целостности путем несанкционированного доступа к файлам данных и записям БД, а также к файлам программных средств (предотвращая возможность их несанкционированного создания, модификации или удаления).

Средства реализации услуги должны функционировать в таких компонентах ИТС:

-ФС ЛВС;

-РС ЛВС;

-серверах СУБД;

-серверах приложений.

Для реализации услуги должны использоваться такие механизмы: - управление доступом (на основе списков управления доступом).

ЦО-1 – ограниченный откат

Политика данной услуги должна быть реализована относительно:

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:

-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;

-неструктурированных файлов в процессе сохранения и обработки на РС клиента;

-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:

-структурированных записей при сохранении в БД (сервер СУБД);

-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;

-информационных объектов в оперативной памяти компьютеров (сервер приложений,

сервер СУБД, ФС - в процессе обработки).

Политика данной услуги должна обеспечивать предотвращение угроз нарушения целостности путем обеспечения возврата информационных объектов, целостность которых была нарушена, в предыдущее известное состояние.

Средства реализации услуги должны функционировать в таких компонентах ИТС: