4-1 Електрона комерція / Тимошенко А.А. Защита информации в специализированных информационно-телекоммуникационных системах

41

Конфиденциальность информации – свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем и/или процессом. Иными словами, информация сохраняет конфиденциальность, если соблюдаются установленные правила ознакомления с ней.

Целостность информации – свойство информации, состоящее в том, что информация не может быть модифицирована неавторизованным пользователем и/или процессом. Иными словами, информация сохраняет целостность, если соблюдаются установленные правила ее модификации (удаления).

Доступность информации – свойство информации, состоящее в том, что, обладающий соответствующими полномочиями пользователь и/или процесс, может использовать информацию в соответствии с установленными правилами, не ожидая дольше заданного (малого) промежутка времени, т.е., когда она находится в виде, необходимом пользователю, в месте, необходимом пользователю, и в то время, когда она ему необходима. Иными словами, информация сохраняет доступность, если сохраняется возможность ознакомления с ней или ее модификации в соответствии с установленными правилами в течение любого определенного (малого) промежутка времени.

Защищенность информации в ИТС – состояние информации, обрабатываемой в ИТС, в котором обеспечивается сохранение (в требуемом установленными правилами объеме) таких ее свойств, как конфиденциальность, целостность и доступность.

2.1.3 Общий подход к обеспечению защищенности информации в ИТС и основные этапы его реализации

Деятельность, направленная на обеспечение защищенности (безопасности) информации, обрабатываемой в ИТС, называется защитой информации. Защита информации, обрабатываемой в ИТС, заключается в создании и поддержании в работоспособном состоянии системы как технических (инженерных, программно-аппаратных), так и нетехнических (правовых, организационных) мер, позволяющих предотвратить или затруднить возможность реализации угроз, а также снизить потенциальный ущерб в случае их реализации. Другими словами, защита

информации направлена на обеспечение защищенности обрабатываемой информации и ИТС в целом, т.е. такого состояния, в котором сохраняются заданные свойства информации и ИТС, ее обрабатывающей. Система указанных мер, обеспечивающая защиту информации в ИТС, называется системой защиты информации (СЗИ).

Обычно в процессе построения СЗИ в ИТС выделяют следующие этапы:

1.Анализ ИТС как объекта защиты и определение защищаемых информационных ресурсов. Разработка политики безопасности информации, обрабатываемой в ИТС.

42

2.Анализ потенциальных угроз информации в ИТС.

3.Анализ и оценка рисков, связанных с реализацией угроз информации в ИТС.

4.Выбор контрмер (мер противодействия) и реализация набора мероприятий по обеспечению защиты информации в ИТС.

5.Оценка эффективности СЗИ в ИТС.

6.Сопровождение СЗИ в ИТС (поддержание СЗИ в работоспособном состоянии в течение всего жизненного цикла ИТС).

2.2 Анализ ИТС как объекта защиты

2.2.1 Анализ ИТС как объекта защиты, определение защищаемых информационных ресурсов, разработка политики безопасности информации, обрабатываемой в ИТС

Под политикой безопасности информации следует понимать набор законов, правил, ограничений, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных угроз. Термин "политика безопасности" может быть применен к организации, ИТС, компонентам ИТС, реализуемой системой услуге (набору функций) и т.д. Чем мельче объект, по отношению к которому применяется данный термин, тем более конкретными и формальными становятся правила.

Политика безопасности информации в ИТС является частью общей политики безопасности организации и может наследовать, в частности, положения государственной политики в области защиты информации. Для каждой ИТС политика безопасности информации может быть индивидуальной и зависеть от реализуемой технологии обработки информации, особенностей ИТС, физической среды и многих других факторов. Более того, одна и та же ИТС может реализовывать несколько различных технологий обработки информации. Тогда и политика безопасности информации в такой ИТС будет составной и ее части, соответствующие различным технологиям, могут существенно отличаться.

Политика безопасности должна определять:

1)информационные ресурсы ИТС, нуждающиеся в защите, в частности устанавливать категории обрабатываемой информации;

2)основные угрозы для информации, обрабатываемой в ИТС и требования к защите от этих угроз. Как составные части общей политики безопасности информации в ИТС должны существовать политики обеспечения конфиденциальности, целостности и доступности обрабатываемой информации;

3)ответственность персонала за выполнение положений политики безопасности.

43

Часть политики безопасности, регламентирующая правила доступа пользователей и процессов к ресурсам ИТС, составляет правила разграничения доступа (ПРД). Для того, чтобы правильно сформулировать ПРД, необходимо провести соответствующий анализ порядка взаимодействия пользователя с информационными ресурсами в процессе функционирования ИТС. Рассмотрим основные понятия, с использованием которых, в соответствии с действующими нормативными документами (НД) системы технической защиты информации (ТЗИ), формулируются ПРД.

ИТС, как правило, состоит из множества компонентов. Некоторые из компонентов могут быть специально предназначены для реализации функций защиты (например, средства изоляции процессов или управления потоками информации). Другие могут влиять на защищенность информации опосредованно, например, обеспечивать функционирование компонентов первого типа. И, наконец, третьи могут вообще не быть задействованы при решении задач обеспечения защищенности. Множество всех компонентов первых двух типов называется комплексом средств защиты.

Комплекс средств защиты (КСЗ) — это совокупность программно-аппаратных средств, обеспечивающих реализацию политики безопасности информации. Любой компонент ИТС, который вследствие какого-либо воздействия способен вызвать нарушение принятой политики безопасности, должен рассматриваться как часть КСЗ.

КСЗ рассматривает ресурсы ИТС в качестве объектов и управляет взаимодействием этих объектов в соответствии с реализуемой политикой безопасности информации. В качестве объектов ресурсы характеризуются двумя аспектами: логическое представление (содержание, семантика, значение) и физическое (форма, синтаксис). Объект характеризуется своим состоянием, которое в свою очередь характеризуется атрибутами и поведением, определяющим способы изменения состояния. Для различных ИТС объекты могут быть различны. Например, для СУБД в качестве объектов можно рассматривать записи БД, а для операционной системы — процессы, файлы, кластеры, секторы дисков, сегменты памяти и т.д. Все, что подлежит защите в соответствии с политикой безопасности, должно быть определено как объект.

При рассмотрении взаимодействия двух объектов ИТС, которые выступают как приемники или источники информации, следует выделить пассивный объект, над которым выполняется операция, и активный объект, который выполняет или инициирует эту операцию. В НД ТЗИ рассматриваются следующие типы объектов ИТС: объекты-пользователи, объекты-процессы и пассивные объекты. Принятый в некоторых зарубежных документах термин "субъект" является суперпозицией объекта-пользователя и объекта-процесса.

Объекты-пользователи и объекты-процессы являются таковыми только внутри конкретного домена — изолированной логической области, внутри которой объекты обладают определенными

44

свойствами, полномочиями и сохраняют определенные отношения. В других доменах объекты остаются в пассивном состоянии. Это позволяет одному объекту-процессу управлять другим объектом-процессом или даже объектом-пользователем, поскольку последний остается "пассивным" с точки зрения управляющего объекта. Другими словами, объекты могут находиться в одном из трех различных состояний: объект-пользователь, объект-процесс и пассивный объект. Переход между состояниями означает, что объект просто рассматривается в другом контексте.

Пассивный объект переходит в состояние объекта-пользователя, когда индивидуум (физическое лицо - пользователь) "входит" в систему. Этот объект-пользователь выступает для КСЗ в качестве образа физического пользователя. Обычно, за этим процессом следует активизация объекта-процесса по инициативе пользователя. Этот объект-процесс является управляющим для пассивных объектов внутри домена пользователя. Объекты-пользователи, объекты-процессы и пассивные объекты далее обозначаются просто как пользователи, процессы и объекты соответственно.

Взаимодействие двух объектов ИТС (обращение активного объекта к пассивному с целью получения определенного вида доступа) приводит к появлению потока информации между объектами и/или изменению состояния системы. В качестве потока информации рассматривается любая порция информации, передаваемая между объектами ИТС.

2.2.2 Классы ИТС согласно НД ТЗИ

Цель введения классификации ИТС — облегчение задачи соотнесения требований к КСЗ СЗИ в ИТС с характеристиками ИТС.

ИТС представляет собой организационно-техническая систему, реализующую определенную технологию обработки информации (информационную технологию) и объединяющую совокупность программно-аппаратных средств, предназначенных для обработки информации, обмена информацией и взаимодействия между компонентами, физическую среду, персонал и обрабатываемую информацию. Требования к функциональному составу КСЗ СЗИ в ИТС зависят от характеристик всех указанных составляющих.

Вдействующем НД ТЗИ НД ТЗИ 2.5 - 005-99 "Классификация автоматизированных систем

истандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа" по совокупности характеристик ИТС (конфигурация аппаратных средств и их физическое размещение, количество различных категорий обрабатываемой информации, количество пользователей и категорий пользователей) выделено три иерархических класса ИТС, требования к функциональному составу КСЗ СЗИ в которых существенно отличаются.

45

Класс "1" — одномашинный однопользовательский комплекс, в котором обрабатывается информация одной или нескольких категорий конфиденциальности.

Существенные особенности:

-в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, имеющих доступ к комплексу, может быть несколько, но все они должны иметь одинаковые полномочия (права) по доступу к обрабатываемой информации;

-технические средства (носители информации и средства ввода/вывода) с точки зрения защищенности относятся к одной категории и все могут использоваться для хранения и/или В/В всей информации.

Пример — автономная персональная электронная вычислительная машина (ЭВМ), доступ к

которой контролируется с использованием организационных мер.

Класс "2" — локализованный многомашинный многопользовательский комплекс, в котором обрабатывается информация разных категорий конфиденциальности.

Существенное отличие от предыдущего класса — наличие пользователей с разными полномочиями по доступу к информации и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.

Пример — ИТС на базе ЛВС.

Класс "3" — распределенный многомашинный многопользовательский комплекс, в котором обрабатывается информация разных категорий конфиденциальности.

Существенное отличие от предыдущего класса — необходимость передачи информации через незащищенную среду или в общем случае наличие узлов, реализующих различную политику безопасности.

Пример — ИТС на базе распределенной сети.

Внутри каждого класса ИТС классифицируются на основании требований к обеспечению определенных свойств информации. С точки зрения защищенности информация характеризуется тремя свойствами: конфиденциальностью, целостностью и доступностью. В связи с этим, в каждом классе ИТС выделяются следующие подклассы:

-системы, в которых выдвигаются повышенные требования к обеспечению конфиденциальности обрабатываемой информации (подклассы "x.К");

-системы, в которых выдвигаются повышенные требования к обеспечению целостности обрабатываемой информации (подклассы "x.Ц");

-системы, в которых выдвигаются повышенные требования к обеспечению доступности обрабатываемой информации (подклассы "x.Д");

-системы, в которых выдвигаются повышенные требования к обеспечению конфиденциальности и целостности обрабатываемой информации (подклассы "x.КЦ");

46

-системы, в которых выдвигаются повышенные требования к обеспечению конфиденциальности и доступности обрабатываемой информации (подклассы "x.КД");

-системы, в которых выдвигаются повышенные требования к обеспечению целостности и доступности обрабатываемой информации (подклассы "x.ЦД");

-системы, в которых выдвигаются повышенные требования к обеспечению конфиденциальности, целостности и доступности обрабатываемой информации (подклассы

"x.КЦД").

Такая классификация полезна для облегчения выбора перечня функций, которые должен реализовывать КСЗ проектируемой или существующей ИТС. Данный подход позволяет минимизировать затраты на начальных этапах создания СЗИ ИТС. Однако следует признать, что для создания КСЗ, наиболее полно отвечающего характеристикам и требованиям к конкретной ИТС, необходимо проведение в полном объеме анализа угроз и оценки рисков.

2.3 Анализ потенциальных угроз информации в ИТС

Этап анализа возможных угроз информации в ИТС необходим для фиксации на определенный момент времени состояния ИТС (конфигурации аппаратных и программных средств, реализуемой технологии обработки информации) и определения потенциально

возможных неблагоприятных воздействий на каждый компонент системы и обрабатываемую в нем информацию. Обеспечить защиту информации от всех возможных неблагоприятных воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации, поэтому надо выбрать из всего множества возможных неблагоприятных воздействий лишь те, которые могут реально произойти и нанести ущерб информационным активам.

2.3.1 Понятие угрозы информации. Угрозы конфиденциальности, целостности, доступности информации

Воздействия, которые приводят к реализации потенциальных опасностей, ведущих к снижению ценности информационных ресурсов, называются неблагоприятными. Потенциально возможное неблагоприятное воздействие называется угрозой.

Угроза информации - любые обстоятельства или события, которые могут быть причиной нарушения политики безопасности информации и/или нанесения ущерба ИТС.

Поскольку, с точки зрения защищенности информации принято выделять три ее основных свойства: конфиденциальность, целостность и доступность, то угрозы, реализация которых

47

приводит к потере информацией какого-либо из названных свойств, соответственно называются угрозами конфиденциальности, целостности или доступности информации.

Результаты реализации угрозы могут воздействовать на информацию как непосредственно, так и опосредованно. Например, потеря ИТС управляемости может привести к неспособности ИТС обеспечивать защиту информации и, как результат, к потере определенных свойств обрабатываемой информации. Попытка реализации угрозы называется атакой.

2.3.2 Классификации угроз информации

Угрозы обрабатываемой в ИТС информации зависят от характеристик ВС, физической среды, персонала и обрабатываемой информации. Угрозы могут иметь либо объективную природу, например, изменение условий физической среды (пожары, наводнения и т.п.) или отказ элементов ВС, либо субъективную, например, ошибки персонала или действия злоумышленника. Угрозы, имеющие субъективную природу, могут быть случайными либо преднамеренными.

Идентификация угроз (определение множества угроз, реализация которых возможна в конкретной ИТС) предполагает рассмотрение источников воздействий и последствий реализации угроз, а также их классификацию.

Все источники угроз информации, обрабатываемой в конкретной ИТС, можно разделить на три основные группы:

-угрозы, обусловленные действиями субъекта (антропогенные);

-угрозы, обусловленные техническими средствами (техногенные);

-угрозы, обусловленные стихийными источниками.

Первая группа самая обширная, представляет наибольший интерес с точки зрения организации защиты от угроз данного типа, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы и меры противодействия этим угрозам (контрмеры) управляемы и напрямую зависят от разработчиков СЗИ.

Субъекты, действия которых могут привести к нарушению защищенности информации, могут быть как внешние:

-криминальные структуры;

-недобросовестные партнеры;

-конкуренты;

-политические противники; так и внутренние:

-персонал организации.

По результатам международного и отечественного опыта, действия субъектов могут привести к ряду нежелательных последствий, среди которых можно выделить следующие:

48

1. Кража:

-технических средств ИТС;

-носителей информации;

-информации;

-средств доступа к информации. 2. Подмена (модификация):

-операционных систем;

-систем управления базами данных;

-прикладных программ;

-информации (данных), отрицание фактов отправки сообщений;

-паролей и атрибутов доступа.

3. Уничтожение (разрушение):

-технических средств ИТС;

-носителей информации;

-программного обеспечения;

-информации;

-паролей и ключевой информации. 4. Нарушение нормальной работы:

-снижение скорости обработки информации;

-снижение пропускной способности каналов связи;

-уменьшение объемов свободной оперативной памяти;

-уменьшение объемов свободного дискового пространства;

-нарушение электропитания технических средств.

5. Ошибки:

-при инсталляции программного обеспечения (ПО), ОС, СУБД;

-при написании прикладного ПО;

-при эксплуатации ПО;

-при эксплуатации технических средств. 6. Перехват информации:

-за счет побочного электромагнитного излучения (ПЭМИ) от технических средств;

-за счет наводок по линиям электропитания;

-за счет наводок по посторонним проводникам;

-по акустическому каналу от средств вывода;

-по акустическому каналу при обсуждении вопросов;

-при подключении к каналам передачи информации;

49

-за счет нарушения установленных правил доступа (взлом).

Вторая группа содержит угрозы, менее прогнозируемые, напрямую зависящие от свойств техники и поэтому требующие особого внимания. Технические средства, содержащие каналы реализации потенциальных угроз защищенности информации, также могут быть внутренними:

-некачественные технические средства обработки информации;

-некачественные программные средства обработки информации;

-вспомогательные средства (охраны, сигнализации, телефонии);

-другие технические средства, применяемые в организации; и внешними:

-средства связи;

-близко расположенные опасные производства;

-сети инженерных коммуникаций (энерго-, водоснабжения, канализации);

-транспорт.

Последствиями применения таких технических средств, напрямую влияющими на защищенность информации, могут быть:

1. Нарушение нормальной работы:

-нарушение работоспособности средств обработки информации;

-нарушение работоспособности каналов передачи данных;

-старение носителей информации и средств ее обработки;

-нарушение установленных правил доступа;

-электромагнитное воздействие на технические средства.

2. Уничтожение (разрушение):

-программного обеспечения, ОС, СУБД;

-средств обработки информации;

-помещений;

-информации;

-персонала.

3. Модификация (изменение):

-программного обеспечения, ОС, СУБД;

-информации при передачи по каналам передачи данных.

Третью группу составляют угрозы, которые совершенно не поддаются прогнозированию и поэтому меры для их предотвращения должны применяться, по возможности, всегда, но не обязательно к ИТС как к объекту защиты, а шире, ко всем элементам технической инфраструктуры предприятия или организации. Стихийные источники, составляющие потенциальные угрозы защищенности информации, как правило, являются внешними по

50

отношению к рассматриваемому объекту, под ними понимаются, прежде всего, природные катаклизмы:

-пожары;

-землетрясения;

-наводнения;

-ураганы;

-другие форс-мажорные обстоятельства;

-различные непредвиденные обстоятельства;

-необъяснимые явления.

Эти природные и необъяснимые явления также влияют на защищенность информации, опасны для всех элементов ИТС и могут привести к таким последствиям:

1. Уничтожение (разрушение):

-технических средств обработки информации;

-носителей информации;

-программного обеспечения;

-информации (файлов данных);

-помещений;

-персонала.

2. Исчезновение (пропажа):

-информации в средствах обработки;

-информации при передаче по каналам передачи данных;

-носителей информации;

-персонала.

Сучетом указанных источников воздействий, последствий и целей реализации угроз можно выделить такие основные классификационные признаки угроз информации, обрабатываемой в ИТС:

-область поражения (угрозы для ИТС, ее подсистем и элементов; угрозы для предметных областей информационного обеспечения - субъектов и объектов пользования; угрозы для всей социальной системы, исходящие от ИТС);

-связь определенной социальной системы с ИТС (внешние; внутренние - идущие от социальной системы и ее элементов; внутрисистемные - исходящие от самой ИТС);

-сила воздействия на область поражения (разрушительные; дестабилизирующие; парализующие; стимулирующие);

-организационная форма выражения и степень социальной опасности (коллизии; конфликты; проступки; преступления; аварии; катастрофы);