Основы ИБ

записи, блоки, страницы, сегменты, файлы, директории, байты, биты (инфор-

мационные объекты);

диски, дискеты, DVD-устройства, устройства Flash-памяти и т.д. (материаль-

ные технические носители информации);

терминалы, принтеры и другие аппаратные средства АС, сетевые компоненты

(технические средства);

сервисы и отдельные программы, к которым инициируется обращение (про-

граммные средства);

задания, процессы, потоки информации, маркеры доступа (технологические объекты) и другие.

Субъект доступа (субъект) – физическое лицо, а в отдельных случаях элемент СВТ и АС, действия которого регламентируются правилами разграничения доступа.

Субъект – активная сущность, которая может инициировать запросы ресурсов и ис-

пользовать их для выполнения каких-то своих действий, получая соответствующие результа-

ты. На практике могут объективно в соответствии с реализуемыми процессами возникнуть такие ситуации, когда в качестве субъекта выступают не только пользователи, операторы, то есть лица, взаимодействующие с системой, но и объекты (ресурсы), переходящие в состоя-

ние активных компонентов системы, формирующие запрос на доступ к другим ресурсам.

Например, программы, используемые для решения различных задач АС в интересах кон-

кретных субъектов (лиц).

Поэтому разделение компонентов системы на группы субъектов и объектов часто не имеют однозначной границы. В процессах автоматизированной обработки данных объект может принимать состояние активной сущности или становиться субъектом в зависимости от модели безопасности.

Таким образом, в проблеме защиты информации в АС можно выделить аспект защиты от НСД тогда, и только тогда, когда субъекты в той или иной мере имеют санкционирован-

ный доступ к ресурсам СВТ и АС.

Условно можно выделить два вида доступа к ресурсам системы: локальный (при не-

посредственном доступе к компонентам АС на объекте информатизации) и удалѐнный, осу-

ществляемый через телекоммуникационную сеть. В первом случае в качестве субъектов вы-

ступают допущенные к работе с АС пользователи и персонал, обеспечивающий разработку,

эксплуатацию и обслуживание СВТ и АС.

Удалѐнный доступ связан с развитием информационных технологий в направлении создания открытых систем, распределѐнной обработки информации и телекоммуникацион-

ных сетей общего пользования. В этом случае доступ к ресурсам, предусмотренный или не-

предусмотренный, может осуществляться с любого автоматизированного рабочего места

(или отдельного компьютера), подключѐнного к телекоммуникационной сети.

В «Концепции защиты СВТ и АС от НСД» Гостехкомиссии России [3.9] выделяются два аспекта при решении проблемы защиты информации от НСД, дополняющие друг друга,

но отличающиеся по сути приложения задач защиты:

защита автоматизированных систем от несанкционированного доступа к ин-

формации (защита АС от НСД);

защита средств вычислительной техники от несанкционированного доступа к информации (защита СВТ от НСД).

Компоненты СВТ, с одной стороны, могут включать в себя скрытые аппаратные и программные внедрения (закладки), реализующие недекларированные возможности СВТ

[3.11]. С другой стороны СВТ, как правило, имеют свои механизмы защиты от НСД. Поэто-

му защита СВТ от НСД обеспечивает потенциальную защищѐнность или возможность пре-

дотвращать, в крайнем случае, существенно затруднять НСД к информации при использова-

нии СВТ в АС при условии исключения скрытых аппаратных и программных внедрений.

Последнее условие достигается путем проведения так называемых тематических исследова-

ний и специальных работ как процедур входного контроля программного обеспечения и тех-

нических средств перед их включением в состав проектируемой АС.

Автоматизированные системы на базе СВТ (в том числе используемые в СВТ про-

граммно-аппаратные средства защиты) включают в себя информационные ресурсы (реально существующая документальная или структурированная информация) и функционально на-

правленные приложения. К функциональным приложениям относятся различные сервисы,

функциональные подсистемы и задачи. Они реализуются на выбранной базе СВТ с помощью пакетов прикладных программ, технологии решения функциональных задач со всеми атри-

бутами по организации и управлению технологическими процессами, специальных массивов данных (например, профилей доступа) и других компонентов, образующих совместно с пользователями и обслуживающим персоналом автоматизированный процесс реализации информационных технологий. Поэтому при решении задачи защиты АС от НСД к информа-

ции необходимо создание стратегии (политики) защиты информации от НСД в реальных ус-

ловиях функционирования АС и, прежде всего, принятие модели нарушителя в АС.

В соответствии с положениями Руководящих документов Гостехкомиссии России проблема защиты информации от НСД в АС определяется как комплексное решение задач по разграничению доступа к ресурсам АС и информационным объектам и разграничению действий субъектов при разрешѐнном доступе.

Защита информации от НСД является частью решения общей проблемы информаци-

онной безопасности в АС и на объектах информатизации. И в этой части информационная безопасность обеспечена (состояние защищѐнности информации в АС), если для всех ин-

формационных ресурсов ограниченного доступа система обладает способностью персонала,

технических средств и информационных технологий обеспечивать [3.10]:

конфиденциальность (невозможность при функционировании АС несанкцио-

нированного получения информации ограниченного доступа, то есть получе-

ния информации третьим лицом по отношению к пользователю и обладателю информации в обход средств защиты или с превышением прав доступа [3.1]);

целостность (сохранение при функционировании АС целостности среды СВТ

и АС, информационного содержания данных и однозначность их интерпрета-

ции в условиях случайных и преднамеренных воздействий; исключение иска-

жения и разрушения данных за счѐт неправомочных доступа и действий [5,8]);

доступность (возможность за предельно установленное в рамках АС время получение из системы требуемой информации в рамках своих прав доступа,

исключение несанкционированного отказа в получении доступной информа-

ции [3.12]).

3.1.2 Модель нарушителя доступа при защите АС от НСД

При решении задачи защиты АС от НСД к информации (равносильно понятию защи-

ты информации от НСД в АС) модель нарушителя доступа строится в отношении потенци-

ального нарушителя ПРД.

В этом случае модель нарушителя правил разграничения доступа – это абстрактное

(формализованное или неформализованное) описание нарушителя правил разграничения доступа к информации [3.10]. При этом в качестве нарушителя рассматривается субъект, ко-

торый может получить, в том числе и неправомерно, доступ к работе со штатными средства-

ми АС и СВТ как части автоматизированной системы.

Нарушители классифицируются по уровню ограничения их возможностей, предостав-

ляемых средствами АС. Выделены четыре уровня возможностей [3.9]:

возможность ведения диалога – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке инфор-

мации (например, все пользователи АС, работающие с системой в рамках сво-

их прав доступа на функциональные приложения);

возможность создания и запуска собственных программ с новыми функциями по обработке информации (например, доверенные пользователи АС, имеющие особые права на расширение использования программного обеспечения);

возможность управления функционированием АС, то есть воздействия на базо-

вое программное обеспечение системы и на состав и конфигурацию еѐ обору-

дования (например, администраторы различных компонент АС);

весь объѐм возможностей, связанных с проектированием, реализацией и ре-

монтом технических средств АС, вплоть до включения в состав СВТ собствен-

ных разработок (приложений) с новыми функциями, которыми обладают, на-

пример, разработчики АС, обеспечивающие авторское сопровождение, или системные администраторы АС.

Выделение этих четырѐх уровней для группирования и характеристики потенциаль-

ных нарушителей доступа не является исчерпывающим для конкретных АС. Но, по крайней мере, выделение и формулирование этих возможностей позволяет определить основные дей-

ствия, которые могут привести к НСД со стороны групп потенциальных нарушителей:

непосредственное обращение к объектам доступа и выполнение несанкциони-

рованных действий (например, неправомерное копирование информации);

внедрение программных и технических средств, выполняющих обращения к объектам доступа в обход средств защиты (возможность скрытого доступа к информации);

модификацию средств защиты, позволяющую осуществлять НСД (нарушение политики разграничения доступа);

внедрение в СВТ и АС программных или аппаратных механизмов, нарушаю-

щих структуру и функции СВТ и АС и позволяющих осуществлять НСД (соз-

дание условий целенаправленного скрытого внедрения и нарушение состояния информационной безопасности АС – конфиденциальности, целостности и дос-

тупности информации).

Вцелом модель нарушителя НСД должна предоставить основу для ответа на два принципиальных вопроса, какие активы (ресурсы) необходимо защищать в АС в части про-

тиводействия НСД и от кого защищать.

3.1.3 Отношения доступа и их представления в АС

При исполнении операций, инициируемых субъектами, происходит взаимодействие субъектов и объектов, которое называется отношением доступа.

Отношение доступа (доступ) – взаимодействие между субъектом и объектом, в ре-

зультате которого происходит перенос информации между ними [3.1]. То есть отношение доступа - это факт доступа субъекта к объекту и набор выполняемых операций (действий),

связанных с конкретными информационными технологиями. Таким образом, в понятие «от-

ношение доступа» вкладывается не только разрешение или запрещение доступа субъекта к объекту, но и характеристики доступа, связанные с возможностью выполнения допустимых действий субъекта в отношении объекта доступа, которые влияют на хранимую, обрабаты-

ваемую или передаваемую информацию.

Система разграничения доступа в АС определяется содержанием (правами и полно-

мочиями) множества отношений доступа для рассматриваемой АС.

Взаимодействие между субъектами и объектами доступа в АС целесообразно рас-

сматривать на макроуровне и функциональном уровне. На макроуровне рассматриваются от-

ношения доступа между субъектами (лицами, взаимодействующими с системой) и непосред-

ственно информационными объектами, входящими в защищаемые информационные ресурсы АС. По существу макроуровень отношений доступа отражает нормативно заданные инфор-

мационные отношения в АС и требуемое состояние информационной безопасности при не-

посредственном доступе к информации.

Основанием для формирования такого множества отношений доступа являются нор-

мативные акты либо договорные обязательства, определяющие порядок и требования к ин-

формационной деятельности в организации, в интересах которой функционирует АС.

Базовый принцип формирования множества отношений доступа на макроуровне со-

стоит в следующем: каждому субъекту (пользователю или лицам из обслуживающего АС персонала) доступны только те информационные объекты, которые необходимы ему для ре-

шения своих служебных задач в рамках основного вида деятельности (бизнес-процессов,

служебных процессов) организации или в рамках эксплуатации АС.

На функциональном уровне отношения доступа между субъектами (лицами, взаимо-

действующими с системой) и информационными объектами, являющимися защищаемыми информационными ресурсами, рассматриваются через операционную среду АС. Под опера-

ционной средой в данном случае понимается совокупность средств СВТ, в том числе теле-

коммуникационных средств, и функциональных приложений АС (сервисы, СПО и другие приложения, обеспечивающие решение функциональных задач системы).

В этом случае через множество отношений доступа определяются технологические тракты (траектории) доступа от субъекта к информационным объектам, не противоречащие

нормативным правилам, выработанным на макроуровне. А множество отношений доступа,

представленное описанием или в формализованном виде, является исходной информацией для настройки средств системы разграничения доступа.

3.1.4 Системная организация защиты информации от НСД

Операционная среда, как правило, обладает избыточными по отношению к потребно-

стям конкретной АС или в отношении решения конкретной функциональной задачи АС воз-

можностями по обработке и транспортировке информации. Это порождает со стороны поль-

зователей системы и других активных элементов операционной среды дополнительные воз-

можности несанкционированного доступа к информационным объектам, требующим защиты от НСД.

Рассмотрение отношений доступа на функциональном уровне позволяет сделать важ-

ные выводы по характеру ограничений, которые необходимо ввести в операционную среду,

чтобы выполнить требования по разграничению доступа и обеспечить отношения доступа,

нормативно определѐнные на макроуровне. Фактически эти ограничения определяют сис-

темные базовые функции защиты информации от НСД, которые необходимо уметь выпол-

нять в АС при определѐнном развитии процесса обработки и передачи информации. В каче-

стве таких базовых функций, прежде всего, должны быть выделены следующие:

Изоляция - умение изолировать пользователей и других субъектов /лиц/, взаи-

модействующих с системой, от ресурсов системы, технических и информаци-

онных, а также, при необходимости, изолировать субъекты и объекты доступа операционной среды друг от друга;

Аутентификация - подтверждение подлинности конкретного субъекта при его обращении к системе, а также при запросе доступа к защищаемому объекту системы;

Контроль доступа - обеспечение доступа субъектов доступа к защищаемым объектам доступа только в рамках наделѐнных прав;

Контроль действий при доступе - обеспечение выполнения действий и опера-

ций в отношении информации только в рамках предоставленных полномочий

при разрешении доступа субъекта к объекту.

Изоляция, как правило, обеспечивается на этапе проектирования АС в виде техниче-

ских проектных реализаций, которые рассчитаны на время жизненного цикла системы или до принятия отдельного решения по их изменению. К таким техническим реализациям мож-

но отнести исключение из программно-технической среды программных компонентов и уст-

ройств, не требующихся для решения функциональных задач данной АС, особенно если про-

граммные компоненты не являются доверенным программным обеспечением, а технические устройства не прошли специальную проверку на скрытые закладки. Возможно выделение устройств только для работы с защищаемой информацией, например, принтеров, логическая и физическая их изоляция от остальных интерфейсных устройств. Часто при практической реализации функции изоляции прибегают к созданию в одной программно-технической сре-

де для различных пользователей виртуальных персональных процессоров, которые для них являются локальными компьютерами.

Аутентификация выполняется, как правило, в отношении субъектов-лиц, взаимодей-

ствующих с системой, а далее еѐ результаты наследуются другими активными элементами операционной среды, которые наделяются правами и полномочиями этих субъектов. То есть результаты аутентификации используются при выполнении функций контроля доступа и действий. Безусловно, предваряющей процедурой фактической аутентификации является

идентификация субъекта, то есть определение его уникального имени-обозначения (логина).

Базовые функции «контроль доступа» и «контроль действий» интегрируются в функ-

цию контроля и разграничения доступа к информационным и техническим ресурсам АС, а

все объекты доступа, в данном случае, отождествляются с понятием - объекты разграниче-

ния доступа (ОРД). Фактически, контролируя доступ и действия, соответствующие средства защиты обеспечивают авторизацию субъекта, позволяя ему работать в рамках наделѐнных прав доступа и полномочий на действия.

Все перечисленные функции реализуются средствами программно-технической среды и являются частью процессов обработки и передачи данных. В силу этого, они, во-первых,

обеспечивают управление процессами в части защиты информации от НСД, во-вторых, могут выполнять целевую установку только предупреждения (профилактики) нарушений НСД, так как, являясь программными и аппаратными средствами, сами требуют контроля выполнения своих функций со стороны администратора безопасности. В конечном счѐте, только ответст-

венное выделенное лицо или служба обеспечивает гарантированное предотвращение нару-

шений путѐм организационного (административного) управления.

С этой целью в системе защиты от НСД выделяется группа функций обратной связи,

реализация которых формирует данные (информацию) о состоянии информационной безо-

пасности, на основании которых собственно и обеспечивается предотвращение нарушений НСД. К этим функциям относятся:

Надзор - осуществление мониторинга состояния принятых технических реали-

заций по изоляции – аудит состояния;

Регистрация - регистрация показателей функционирования средств аутенти-

фикации, контроля доступа и контроля действий, фиксирование нарушений

(инцидентов) или неразрешимых этими средствами ситуаций – аудит процес-

сов;

Административное управление - собственно подготовка и настройка штатных режимов прав и полномочий доступа, фиксирование через аудит отклонений,

принятие решений по ситуациям информационной безопасности, формирова-

ние реакции на отклонения и реализация соответствующих действий.

Эта группа функций в совокупности осуществляет управление состоянием безопасно-

сти АС в части противодействия НСД к информации.

Названные базовые функции и функции обратной связи (иначе, функции назначения по защите АС от НСД к информации) составляют функциональную часть систем защиты информации от НСД.

Средства реализации функций назначения (программные, аппаратные, программно-

технические) реализуют алгоритмы, механизмы аутентификации или разграничения доступа,

аудита, управления и требуют, во-первых, настройки на определѐнный организационно-

нормативный или технологический регламент работы, во-вторых, создания в АС и на объек-

те информатизации условий штатного функционирования, в-третьих, поддержки их в рабо-

тоспособном состоянии, то есть организации эксплуатации. Всѐ это осуществляется за счѐт реализации обеспечивающих функций.

Организационно-нормативная поддержка включает в себя две основные обобщѐнные функции:

Нормативное обеспечение - создание и поддержание в актуальном состоянии нормативной базы по разграничению доступа к ресурсам системы и функцио-

нально-ролевому распределению прав и обязанностей в части защиты инфор-

мации от НСД пользователей и обслуживающего персонала;

Обеспечение режима - создание условий режима секретно-

сти/конфиденциальности при выполнении работ в АС и на объекте информати-

зации за счѐт организационно-административных мер, организационно-

технических мероприятий и систем инженерно-технической защиты.

Эксплуатация средств защиты АС от НСД к информации требует организации выпол-

нения функций по основным разделам:

Ведение служебной базы данных – поддержание целостности и актуального состояния интегрированной или распределѐнной базы данных защиты инфор-

мации от НСД, в которую могут входить профили доступа, пароли, ключи, ре-

зультаты аудита, возможно, модели инцидентов и реакции на нарушения дос-

тупа;

Рис. 3.1. Структурно-функциональная схема системы защиты информации от НСД в АС

Поддержка программно-технических средств защиты информации – выпол-

нение стандартных или специальных работ по поддержанию в актуальном и работоспособном состоянии программных компонентов, программно-

аппаратных комплексов, технических устройств и модулей средств защиты информации от НСД;

Технологическое обеспечение - реализация технологических процессов функ-

ционирования средств защиты информации от НСД в программно-технической

и телекоммуникационной среде АС, обеспечение их совместимости с процес-

сами обработки и передачи данных и контроль соблюдения штатного регла-

мента их выполнения.

Структурно-функциональная схема системы защиты информации от НСД в АС с учѐ-

том еѐ базовых функций защиты информации представлена на рисунке 3.1.

Основными базовыми функциями назначения по защите АС от НСД к информации являются аутентификация и разграничение доступа.

3.2 Методы аутентификации

3.2.1 Общая характеристика функции аутентификации

Процесс аутентификации субъекта включает процедуры:

идентификации субъекта, инициирующего доступ к объекту (установление отноше-

ния доступа «субъект – объект»), то есть определение показателя субъекта, который присваивается ему как уникальный признак (идентификатор);

установления подлинности (отождествления) субъекта, инициирующего доступ к объекту.

Идентификация (Identification) – процедура однозначной идентификации (отождеств-

ления) сущности по его идентификатору [3.6]. В нашем случае осуществляется, как правило,

отождествление субъекта, пользователя. Для каждого пользователя АС устанавливается и закрепляется уникальный идентификатор в виде номера, шифра, кода и т.п. Это связано с тем, что традиционный идентификатор вида фамилия-имя-отчество с точки зрения обеспече-

ния информационной безопасности, да и в целом при организации информационного про-

цесса в АС не всегда отвечает требованиям к идентификаторам. Для идентификации в раз-

личных автоматизированных системах широко применяются, например, так называемый персональный идентификационный номер (PIN – Personal Identification Number), социальный безопасный номер (SSN – Social Security Number), личный номер, код безопасности и т.д.

Аутентификация (Authentication) – процедура подтверждения подлинности заявлен-

ного пользователя, процесса или устройства с использованием идентификатора [3.10]. Такая проверка должна исключать фальсификацию пользователей в системе и/или их компромета-

цию. При решении проблемы защиты информации от НСД без проверки подлинности субъ-

екта теряет смысл сама идентификация пользователей и последующее применение средств разграничения доступа, в правовом аспекте существенно затрудняется реализация принципа персональной ответственности. Кроме того, иногда аутентификация используется в отноше-