Бондарев Физическая засчита ядерных обектов 2008
.pdf•наличие информации, составляющей государственную и служебную тайну, раскрывающей систему физической защиты конкретного ЯО, а также чувствительной по отношению к несанкционированным воздействиям на нее, в результате чего может быть снижена эффективность функционирования СФЗ в целом или ее отдельных элементов;
•обработка информации, поступающей от специализированных средств, устройств и исполнительных механизмов (датчиков, телекамер, радиационных мониторов, элементов задержки и т.п.) в реальном масштабе времени, повышенные требования к времени реакции и надежностным характеристикам АС СФЗ;
•относительное постоянство используемых штатных программных средств, включенных в регламент работы АС СФЗ, и узкая функциональная специализация АС СФЗ в отличие от АС общего назначения;
•возможность использования режима автоматического выполнения прикладных программ СФЗ без участия оператора;
•строгое разделение функциональных обязанностей, распределение полномочий и прав на выполнение регламентных действий между эксплуатационным персоналом АС СФЗ;
•возможность интеграции с автоматизированными системами учета и контроля ядерных материалов, технологической безопасности;
•наличие служебной информации системы защиты информации АС СФЗ от НСД (паролей, ключей, таблиц санкционирования и т.п.), требующее обеспечения ее конфиденциальности.
Основными этапами классификации АС СФЗ являются:
•сбор и анализ исходных данных;
•выявление основных признаков АС СФЗ, необходимых для классификации;
511
•сравнение выявленных признаков АС СФЗ с классифицируемыми;
•присвоение АС СФЗ соответствующего класса защищенности информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС СФЗ, с точки зрения безопасности информации, являются:
•перечень защищаемых ресурсов АС СФЗ и их уровень чувствительности по отношению к нарушению их безопасности, т.е. степень негативного влияния на функционирование СФЗ несанкционированных воздействий по отношению к этим ресурсам (по использованию этой информации нарушителем при преодолении охраняемых зон, по модификации и уничтожению информации или отказу/блокированию АС);
•категорийность охраняемой зоны физической защиты (защищенная, внутренняя, особо важная, локальная высоко опасная);
•категории персонала СФЗ, имеющего доступ к штатным средствам АС СФЗ, с указанием уровня полномочий;
•матрица доступа или полномочий субъектов доступа по отношению к защищаемым ресурсам АС СФЗ при коллективной обработке данных в СФЗ, включая использование правила «двух (трех) лиц» при выполнении действий в особо важных и локальных высокоопасных зонах;
•режим обработки данных в АС СФЗ (автоматический, полуавтоматический).
Установление класса защищенности АС СФЗ производится заказчиком и разработчиком с привлечением специалистов по защите информации.
512
С учетом особенностей АС СФЗ ЯО к числу определяющих признаков, по которым производится группировка АС СФЗ в различные классы, относятся:
•наличие в АС СФЗ ресурсов различного уровня чувствительности;
•уровень полномочий субъектов доступа по отношению к защищаемым ресурсам АС СФЗ при коллективной обработке данных в СФЗ, включая использование правила «двух и более лиц» при выполнении действий в особо важных и локальных высокоопасных зонах;
•категория обслуживаемой зоны (зон) физической защиты;
•режим обработки данных в АС СФЗ (автоматический, полуавтоматический).
Различаются четыре уровня чувствительности ресурсов АС СФЗ по отношению к несанкционированному доступу и воздействиям:
4-й – раскрытие, уничтожение (искажение) информации или блокировка работы АС СФЗ могут создать условия для несанкционированного проникновения внешнего нарушителя в защищенную зону (ЗЗ) или несанкционированных действий внутреннего нарушителя в этой зоне;
3-й – раскрытие, уничтожение (искажение) информации или блокировка работы АС СФЗ могут создать условия для несанкционированного проникновения внешнего нарушителя во внутреннюю зону (ВЗ) или несанкционированных действий внутреннего нарушителя в этой зоне;
2-й – раскрытие, уничтожение (искажение) информации или блокировка работы АС СФЗ могут создать условия для несанкционированного проникновения внешнего нарушителя в особо важную зону (ОВЗ) или несанкционированных действий внутреннего нарушителя в этой зоне;
513
1-й – раскрытие, уничтожение (искажение) информации или блокировка работы АС СФЗ могут создать условия для несанкционированного проникновения внешнего нарушителя в локальную высокоопасную зону (ЛВОЗ) или несанкционированных действий внутреннего нарушителя в этой зоне.
Различаются два основных режима обработки данных в АС СФЗ. Они характеризуются степенью автоматизма при выполнении прикладных программ СФЗ, а также использованием фиксированной или изменяемой программной среды, условием постоянного резидентного размещения штатных ресурсов:
а) автоматический (специализированный, замкнутый), характеризующийся строго фиксированной программной средой, непосредственно относящейся к управлению оборудованием СФЗ, когда штатные ресурсы являются постоянными резидентами АС СФЗ и в системе может выполняться только строго заданный перечень программ и процессов, а программные процессы инициализируются (запускаются) автоматически без участия оператора;
б) полуавтоматический (общий), характеризующийся фиксированной программной средой, непосредственно относящейся к управлению оборудованием СФЗ, но штатные ресурсы не являются постоянными резидентами АС, а программные процессы инициализируются (запускаются) как автоматически, так и по командам оператора.
Устанавливаются восемь классов защищенности информации АС СФЗ по отношению к несанкционированному доступу и воздействиям. Каждый класс характеризуется определенной минимальной совокупностью требований по обеспечению безопасности информации. Классы подразделяются на четыре группы, отличающиеся уровнем чувствительности используемых в АС СФЗ ресурсов, связанных с информацией о физической защите соответствующей зоны. Каждая группа характеризуется определенной ми-
нимальной совокупностью требований по обеспечению безопасно514
сти информации. Каждая группа состоит из двух классов, отличающихся по режиму обработки данных (автоматический – [А], полуавтоматический – [П]). В пределах каждой группы соблюдается иерархия требований по обеспечению безопасности информации в зависимости от режима ее обработки и, следовательно, иерархия классов защищенности АС СФЗ от несанкционированного доступа и воздействий.
Минимальные требования по обеспечению безопасности информации предъявляются к 4-й группе, максимальные – к 1-й группе, при этом внутри группы более высокие требования предъявляются к полуавтоматическому режиму обработки данных.
Четвертая группа включает АС СФЗ, в которых используются ресурсы, раскрытие, модификация, уничтожение или блокировка доступа к которым могут создать условия для проникновения и (или) действий в ЗЗ. Группа содержит два класса – 4А, 4П. Класс 4А относится к автоматическому (специализированному) режиму обработки данных, класс 4П – к полуавтоматическому (общему) режиму обработки.
Третья группа включает АС СФЗ, в которых используются ресурсы, раскрытие, модификация, уничтожение или блокировка доступа к которым могут создать условия для проникновения и (или) действий во ВЗ. Группа содержит два класса – 3А, 3П. Класс 3А относится к автоматическому (специализированному) режиму обработки данных, класс 3П – к полуавтоматическому (общему) режиму обработки.
Вторая группа включает АС СФЗ, в которых используются ресурсы, раскрытие, модификация, уничтожение или блокировка доступа к которым могут создать условия для проникновения и (или) действий в ОВЗ. Группа содержит два класса – 2А, 2П. Класс 2А относится к автоматическому (специализированному) режиму обработки данных, класс 2П – к полуавтоматическому (общему) режиму обработки.
515
Первая группа включает АС СФЗ, в которых используются ресурсы, раскрытие, модификация, уничтожение или блокировка доступа к которым могут создать условия для проникновения и (или) действий в ЛВОЗ. Группа содержит два класса – 1А, 1П. Класс 1А относится к автоматическому (специализированному) режиму обработки данных, класс 1П – к полуавтоматическому (общему) режиму обработки.
Общие требования, учитываемые при классификации
Обеспечение безопасности информации в АС СФЗ от несанкционированного доступа и воздействий является составной частью общей проблемы информационной безопасности и обеспечения физической защиты ЯО. Мероприятия по защите ресурсов АС СФЗ от НСД должны осуществляться взаимосвязано с организационными и техническими мероприятиями по защите информации и физической защите ядерных материалов и установок.
Вобщем случае, комплекс программно-технических средств и организационных решений по защите чувствительных ресурсов АС СФЗ от НСД реализуется в рамках системы защиты информации от НСД, состоящей из четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности.
Взависимости от класса защищенности АС СФЗ в рамках этих подсистем должны быть реализованы требования в соответствии с приведенной ниже табл. 12.1 со следующими обозначениями:
« - »– нет требований к данному классу; « + » – есть требования к данному классу;
« = » – требования совпадают с требованиями предшествующего класса.
516
Таблица 12.1. Классы защищенности АС СФЗ
№ |
Подсистемы и требования |
|
|
ГРУППЫ / КЛАССЫ |
|
|
|
|||||||
4 |
|
|
|
3 |
|
2 |
|
|
1 |
|||||
п/п |
|
4А |
4П |
3А |
3П |
2А |
2П |
1А |
1 П |
|||||
1 |
ПОДСИСТЕМА УПРАВЛЕНИЯ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ДОСТУПОМ |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 .1 |
Проверка подлинности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(аутентификация) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Персонала |
+ |
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
Системы |
- |
- |
|
- |
|
+ |
= |
|
= |
|
= |
|
= |
|
Программ/процессов |
- |
+ |
|
= |
|
+ |
= |
|
+ |
|
= |
|
= |
|
Рабочих станций/терминалов/узлов |
+ |
= |
|
+ |
|
= |
= |
|
+ |
|
= |
|
= |
|
Внешних устройств |
+ |
= |
|
= |
|
= |
+ |
|
= |
|
+ |
|
= |
1 .2 |
Контроль доступа субъектов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К загрузке/останову системы |
+ |
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
К системе |
+ |
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
К программам/командам |
- |
+ |
|
= |
|
+ |
= |
|
+ |
|
= |
|
= |
|
К томам/каталогам/файлам/записям |
- |
+ |
|
= |
|
+ |
= |
|
+ |
|
= |
|
+ |
|
К рабочим станциям/терминалам/ |
- |
- |
|
+ |
|
= |
= |
|
+ |
|
= |
|
= |
|
узлам сети |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К внешним устройствам |
- |
+ |
|
= |
|
+ |
+ |
|
= |
|
+ |
|
= |
1 .3 |
Управление потоками по уровню |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
конфиденциальности информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Разделение накопителей |
- |
- |
|
+ |
|
= |
+ |
|
= |
|
= |
|
= |
|
Разделение файлов |
- |
- |
|
+ |
|
= |
= |
|
= |
|
= |
|
= |
|
Разделение пакетов данных |
- |
- |
|
+ |
|
= |
+ |
|
= |
|
= |
|
= |
2 |
ПОДСИСТЕМА РЕГИСТРАЦИИ И |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УЧЁТА |
|
|
|
|
|
|
|
|
|
|
|
|
|
2 .1 |
Регистрация и учёт |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Загрузки/останова системы/ рабочих |
+ |
= |
|
= |
|
= |
= |
|
= |
|
= |
|
= |
|
станций/терминалов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Доступа персонала к системе |
+ |
= |
|
= |
|
= |
= |
|
= |
|
+ |
|
= |
|
Доступа персонала к рабочим |
- |
- |
|
+ |
|
= |
= |
|
+ |
|
= |
|
= |
|
станциям/терминалам/узлам сети |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Завершения сеанса работы/выхода из |
- |
- |
|
+ |
|
= |
= |
|
= |
|
= |
|
= |
|
системы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Доступа к программам/командам |
- |
+ |
|
= |
|
+ |
= |
|
+ |
|
= |
|
= |
517
Окончание табл.12.1
№ |
Подсистемы и требования |
|
|
|
ГРУППЫ / КЛАССЫ |
|
|
|
|
|||||||
4 |
|
|
3 |
|
|
2 |
|
|
1 |
|
||||||
п/п |
|
4А |
4П |
3А |
3П |
2А |
2П |
1А |
1П |
|
||||||
|
Доступа к томам/ каталогам/ |
- |
|
+ |
|
= |
|
+ |
= |
|
+ |
|
= |
|
+ |
|
|
файлам/записям |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Доступа к внешним |
- |
|
+ |
|
= |
|
+ |
+ |
|
= |
|
+ |
|
= |
|
|
устройствам |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Изменения параметров |
- |
|
+ |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
|
(конфигурации) системы/ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
полномочий субъектов доступа |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.2 |
Очистка (обнуление, |
- |
|
- |
|
- |
|
+ |
= |
|
= |
|
= |
|
= |
|
|
обезличивание) освобождаемых |
|
|
|
|
|
|
|
||||||||
|
областей оперативной памяти |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПЭВМ и внешних накопителей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.3 |
Учёт носителей информации |
+ |
|
= |
|
+ |
|
= |
= |
|
= |
|
+ |
|
= |
|
2.4 |
Сигнализация попыток |
- |
|
- |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
|
нарушения защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
КРИПТОГРАФИЧЕСКАЯ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПОДСИСТЕМА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.1 |
Шифрование служебной |
- |
|
- |
|
- |
|
- |
+ |
|
= |
|
+ |
|
= |
|
|
информации СЗИ НСД |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2 |
Шифрование чувствительных |
- |
|
- |
|
- |
|
- |
+ |
|
= |
|
+ |
|
= |
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.3 |
Использование |
- |
|
- |
|
- |
|
- |
+ |
|
= |
|
= |
|
= |
|
|
сертифицированных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
криптографических средств |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4 |
ПОДСИСТЕМА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ОБЕСПЕЧЕНИЯ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЦЕЛОСТНОСТИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.1 |
Обеспечение целостности |
+ |
|
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
|
программно-аппаратных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
средств и циркулирующей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.2 |
Наличие администратора |
+ |
|
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
4.3 |
Резервирование |
- |
|
- |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
4.4 |
Восстановление |
+ |
|
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
4.5 |
Тестирование |
+ |
|
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
4.6 |
Физическая защита |
+ |
|
= |
|
+ |
|
= |
+ |
|
= |
|
+ |
|
= |
|
|
оборудования системы и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
носителей данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.7 |
Использование |
+ |
|
= |
|
= |
|
= |
= |
|
= |
|
= |
|
= |
|
|
сертифицированных СЗИ НСД |
|
|
|
|
|
|
|
||||||||
518
Требования к четвертой группе
При этом указанные требования к локальным АС СФЗ, отнесенным к 4-й группе защищенности, предъявляются только в случае отсутствия в этой АС информации, составляющей государственную тайну. В противном случае к таким АС СФЗ должны быть применены требования, предъявляемые к 3-й группе защищенности.
Требования к автономным средствам, использующим микропроцессорную технику и реализующим отдельные элементы подсистем СФЗ, определяются отдельно.
Класс «4А». Подсистема управления доступом. Должна про-
водиться проверка подлинности и контроль доступа в систему операторов (администраторов) по их идентификаторам (имени, номеру) и паролям условно-постоянного действия длиной не менее 6 алфавитно-цифровых символов. Все операторы и администраторы должны иметь уникальные идентификаторы и пароли. Должен проводится контроль доступа администратора к программной загрузке и останову системы по паролю и списку доступа. Доступ к загрузке и останову системы должен иметь только администратор (администраторы) системы. Должна проводиться проверка подлинности (аутентификация) терминалов и внешних устройств системы по их логическим (физическим) адресам во время загрузки системы.
Класс «4А». Подсистема регистрации и учета. Должна осу-
ществляться регистрация загрузки/останова системы, рабочих станций, терминалов. В параметрах регистрации указываются:
•время и дата загрузки/останова (shutdown) системы, рабочих станций, терминалов;
•идентификатор оператора (администратора);
519
•результат попытки загрузки/останова: успешный или неуспешный – несанкционированный, причина неуспешной попытки (неправильный идентификатор, пароль и т.п.
Должна осуществляться регистрация входа субъектов доступа (операторов, администратора) в систему. В параметрах регистрации указываются:
•время и дата входа субъекта доступа в систему;
•идентификатор субъекта доступа;
•результат попытки входа: успешный или неуспешный – несанкционированный, причина неуспешной попытки (неправильные идентификатор, пароль, время доступа и тому подобное).
Должен проводиться учет всех носителей информации с помощью их маркировки, учет носителей должен проводиться в журнале с регистрацией их выдачи/приема.
Класс «4А». Подсистема обеспечения целостности. Должен проводиться контроль целостности СЗИ НСД при загрузке системы с помощью проверки наличия имен программ (файлов) и данных СЗИ НСД.
В системе должны:
•присутствовать администратор, ответственный за ведение СЗИ НСД, загрузку и останов системы, ее восстановление и тестирование;
•иметься средства восстановления СЗИ НСД;
•быть регламентированы средства и порядок тестирования СЗИ НСД;
•осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС СФЗ посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище (помещение, шкаф, сейф) носителей информации;
520