OIBD
.pdfповинні бути передбачені сигналізація про всіх спробах несанкціонованих дій та відновлення працездатності системи.
•А1 - верифікаційний проект - системи, функціонально еквівалентні системам класу ВЗ, але верифікація яких здійснена строго формальними методами. Управління системою здійснюється за суворо визначеними процедурами. Обов'язково введення адміністратора безпеки.
У частині стандартизації апаратних засобів інформаційних систем і телекомунікаційних мереж в США розроблені правила стандарту Transient
Electromagnetic Pulse Emanations Standart (TEMPEST).
Цей стандарт передбачає застосування спеціальних заходів захисту апаратури від паразитних випромінювань електромагнітної енергії, перехоплення якої може привести до оволодіння охоронюваними відомостями.
Стандарт TEMPEST забезпечує радіус контрольованої зони перехоплення порядку 1м. Це досягається спеціальними схемотехнічними, конструктивними і програмно-апаратними рішеннями, у тому числі:
•застосуванням спеціальної низько споживаючої малошумливої елементної бази;
•спеціальним конструктивним виконанням плат і розводкою сигнальних і земляних електричних ланцюгів;
•використанням екранів та RC-фільтрів, що обмежують спектри сигналів в ланцюгах інтерфейсних з'єднань;
•застосуванням спеціальних заходів, що забезпечують захист від НСД (знімний жорсткий диск, магнітні парольні карти, спеціальні замкові пристрої, програмно-апаратні засоби захисту інформації і шифрування).
Зниження потужності побічних електромагнітних випромінювань і наведень (ПЕМВН) монітора досягається рядом конструктивно-технологічних рішень, застосованих в ПЕОМ:
Вимоги до безпеки інформаційних систем у Росії
Аналогічний підхід був реалізований і в керівному документі Державної технічної комісії при Президенті РФ «Класифікація автоматизованих систем і вимог щодо захисту інформації», випущеному в 1992 р. Вимоги всіх наведених нижче документів є обов'язковими для виконання тільки для тих державних або комерційних організацій, які обробляють інформацію, що містить державну таємницю. Для решти комерційних структур документи носять рекомендаційний характер. У даному документі виділено 9 класів захищеності автоматизованих систем від несанкціонованого доступу до інформації, а для кожного класу визначений мінімальний склад необхідних механізмів захисту та
41
вимоги щодо вмісту захисних функцій кожного з механізмів в кожному з класів систем.
Класи систем розділені на три групи, причому основним критерієм поділу на групи прийнято специфічні особливості оброблення інформації, а саме:
третя група - системи, в яких працює один користувач, допущений до всієї оброблюваної інформації, розміщеної на носіях одного рівня конфіденційності, до групи віднесені два класи, позначені ЗБ і зa;
друга група - системи, в яких працює декілька користувачів, які мають однакові права доступу до всієї інформації, оброблюваної та / або зберігається на носіях різного рівня конфіденційності; до групи віднесені два класи, позначені 2Б і 2А;
перша група - багатокористувацькі системи, в яких одночасно обробляється та / або зберігається інформація різних рівнів конфіденційності, причому різні користувачі мають різні права на доступ до інформації; до групи віднесено 5 класів: 1Д, 1Г, 1В, 1Б і 1А.
Вимоги до захисту ростуть від систем класу ЗБ до класу 1А.
Всі механізми захисту розділені на 4 підсистеми наступного призначення:
•управління доступом;
•реєстрації та обліку;
•криптографічного закриття;
•забезпечення цілісності.
Зміст коштів для кожної групи систем наведено в документі. Наведена в керівному документі Держтехкомісії методика поширюється на захист від несанкціонованого доступу до інформації, що знаходиться безпосередньо в ЗУ ЕОМ і на змінних машиночитаних постелях. Значно раніше, в 1978 р., Держтехкомісії були випущені керівні документи, що визначають вимоги до захисту інформації в автоматизованих системах від витоку по побічних електромагнітних випромінювань і наведень. При розробці названих вимог враховувалися наступні чинники:
1.Частка гріфованной інформації в загальному обсязі оброблюваної інформації.
2.Інтенсивність обробки гріфованной інформації, що виражається відносною часткою часу її обробки протягом доби.
3.Умови розташування апаратури автоматизованої системи.
Наявність розглянутих методик і закріплення їх в офіційних документах створює достатньо надійну базу для захисту інформації на регулярній основі.
42
Проте неважко бачити, що з точки зору сучасної постановки задачі захисту інформації наявні методики є недостатніми з ряду причин, а саме:
1)методики орієнтовані на захист інформації тільки в засобах ЕОТ, в той час як має місце стійка тенденція органічного зрощення автоматизованих і традиційних технологій обробки інформації;
2)враховуються далеко не всі фактори, що роблять істотний вплив на уразливість інформації, а тому і підлягають врахуванню при визначенні вимог до захисту;
3)у науковому плані вони обгрунтовані недостатньо за винятком вимог до захисту інформації від витоку технічними каналами.
У ч.2 керівних документах Держтехкомісії РФ встановлюється класифікація засобів обчислювальної техніки (ЗОТ) за рівнем захищеності від несанкціонованого доступу до інформації на базі переліку показників захищеності і сукупності описують їх вимог. Під засобами обчислювальної техніки розуміються сукупність програмних і технічних елементів систем обробки даних, здатних функціонувати самостійно або в складі інших систем.
Показники захищеності містять вимоги щодо захисту ЗОТ від несанкціонованого доступу до інформації та застосовуються до загальносистемних програмних засобів і операційних систем з урахуванням архітектури комп'ютера. Класи захищеності СОТ описуються сукупністю вимог. Сукупність усіх засобів захисту складає комплекс засобів захисту.
Викладені нижче вимоги до показників захищеності пред'являються до загальносистемних програмних засобів і операційних систем.
В залежності від реалізованих моделей захисту і надійності їх перевірки класи поділяються на 4 групи. Перша група включає тільки один сьомий клас - мінімальна захищеність.
Друга група характеризується виборчої захистом і включає шостий і п'ятий класи. Виборча захист передбачає контроль доступу пойменованих суб'єктів до пойменованим об'єктів системи. При цьому для кожної пари «суб'єкт - об'єкт» повинні бути визначені дозволені типи доступу. Контроль доступу застосовується до кожного об'єкта і до кожного суб'єкта - індивіду або групі рівноправних індивідів.
Третя група характеризується повноважною захистом і включає четвертий, третій і другий класи. Повноважна захист передбачає присвоєння кожному суб'єкту і об'єкту системи класифікаційних міток, вказуючих місце суб'єкта об'єкту у відповідній ієрархії. Класифікаційні мітки на об'єкти встановлюються користувачем системи або спеціально виділеним суб'єктом.
43
Обов'язковою вимогою для класів, що входять в цю групу, є реалізація диспетчера доступу в іноземній літературі - reference monitor, монітор посилань. Контроль доступу повинен здійснюватися стосовно до всіх об'єктів при явному і прихованому доступі з боку будь-якого із суб'єктів. Рішення про санкционированности запиту на доступ повинне прийматися тільки при одночасному дозволі його і виборчими і повноважними правилами розмежування доступу.
Четверта група характеризується верифицированим захистом і містить тільки перший клас.
Для присвоєння класу захищеності система повинна мати:
•керівництво адміністратора по системі;
•керівництво користувача;
•тестову та конструкторську документацію.
Методика оцінки безпеки США і Росії практично орієнтовані на оцінку безпеки на якісному рівні.
Певний інтерес представить досвід французьких дослідників з оцінки безпеки ІС з використанням деяких кількісних нормативів, що для практичного застосування більш конкретно і оглядатися.
Клас захищеності ІС - певна сукупність вимог щодо захисту засобів ІС від НСД до інформації.
Оцінка стану безпеки ІС Франції Були опубліковані результати декількох опитувань оцінки рівня безпеки
підприємств. Опитувальна анкета містила 27 характерних факторів безпеки ІС і була поширена на 172 підприємствах: 73 в секторі I - банки, страхові товариства, фінансові органи; 54 у секторі II - промисловість, сільське господарство, енергетика і 45 в секторі III - транспорт, торгівля, сфера послуг та ін.
Загальні фактори пов'язані з організацією підприємства 101, 102, 103, 201. Соціально-економічні фактори 201 залишаються досить сприятливими. Відмінності в показниках інших факторів значні. Найбільш слабкою залишається загальна організація безпеки 101 - структура відповідальних ділянок, правова і страховий захист. Найнижчі показники в секторі I: складність фінансових механізмів значно ускладнює реалізацію заходів забезпечення безпеки. Постійні види контролю 102 мають високі показники. Регламентація та аудит 103 мають середні показники.
Фізична безпека 301, 302, 303, 304, 305, 306, 307. Традиційно протипожежна безпека 304 і 305 знаходиться на досить високому рівні, в той
44
час як захист від підтоплення 306 недостатня. Відзначається слабкість безпеки зовнішньої зони і будівель 301, хоча вони являють собою перший рубіж безпеки підприємства. Контроль доступу, пропускний режим також недостатній, особливо в промисловості.
Захист інформації від спотворень 303 теж недостатня. Нарешті, безпеку обладнання зовнішнього середовища 307 тільки на середньому рівні: досить хороша для сектора I і вельми низька для сектора П.
Організаційна безпека 308, 309, 310, 401, 402, 403, 501, 502, 503, 504, 505.
Засоби відновлення та резервування 308 повільно вдосконалюються для великих і середніх машин. Безпека комунікацій 402 і даних 403 неоднакова: у більшому ступені апаратура, засоби, але недостатньо взаємопов'язані. Захист 503 завжди на належному рівні тільки проти саботажу в нематеріальному середовищі.
Управління безпекою 601, 602, 603, 604. Процедури контролю 601 занадто прості. Методики 602 є часто формальними, забезпечені апаратурою та необхідною документацією; не ув'язані з принципом «безпека - надійність». Заходи 603 і 604 поки ще слабко реалізуються через недостатню взаємоув'язки і не відповідають витратам.
Саботаж в нематеріальній сфері вельми поширений, починаючи з фальсифікації програм і даних до тотального саботажу шляхом застосування логічних бомб і різних вірусів. Цей вид погроз відмічається у всіх обстежених центрах. Збитки головним чином стосуються знищення змісту і форми даних, втрати цілісності, програм і документів.
В основному ці загрози спрямовані на дезорганізацію захисту: атаки на операційну систему, модифікація даних, зміна мови управління даними, стирання даних на магнітних носіях тощо. Дії здійснює в основному в обчислювальних центрах внутрішній персонал, а іноді спостерігаються і поза ВЦ піратські дії в мережі теледоступу.
Фізичні загрози визначаються як конфігурацією, так і розташуванням будівель і ускладнюються їх розосередженням, поділом приміщень на окремі кабінети, розосередженням засобів пожежогасіння і захисту. Заходи по відновленню залежать від наявності резерву.
Що стосується загроз зовнішнього середовища, то вона є фізично небезпечною в частині необхідності створення штучного клімату та захисту електромереж. Наслідки в основному обмежені, однак часто відзначаються досить значні затримки у відновленні постачання деякими матеріалами,
45
особливо для електрообладнання великої потужності, що використовує незвичайні електричні частоти.
Загрози телекомунікаційних засобів стосуються внутрішнього телекомунікаційного обладнання: розподільних щитів, кабелів, автоматичних комутаторів, з'єднувальних коробок, концентраторів, контролерів ліній зв'язку, модемів і т. п. Серйозну небезпеку представляє вихід з ладу вузлів зв'язку. Відзначено максимальну перерву у зв'язку до трьох тижнів. Відновлення визначається можливостями перемикання на інші центри, наявністю резервних ліній і засобів.
Запитання для самоконтролю
1.Що розуміється під інформаційною безпекою?
2.Що розуміється під поняттям «доступність»?
3.Що розуміється під поняттям «цілісність»?
4.Що розуміється під поняттям «конфіденційність»?
5.Вимоги до систем інформаційної безпеки?
6.Що таке функції захисту?
7.Що розуміється під поняттям «загроза інформації»?
8.Джерела дестабілізуючих чинників?
9.Політика безпеки та її рівні?
10.Основні проблеми інформаційної безпеки?
11.Які елементи впливають на рівень безпеки?
12.Хто здійснює атаки на інтернет-мережі?
13.Класифікація інформаційної зброї?
14.Які об’єкти впливу є в інформаційній війні?
15.Алгоритм перемоги?
16.Алгоритм застосування гіпнотичного стану?
17.Процес наведення гіпнотичного стану на окреме суспільство?
18.Етапи аналітичного забезпечення?
19.Функції та завдання інформаційно-аналітичної роботи?
20.Організація інформаційно-аналітичної роботи?
21.Джерела отримання інформації?
22.Обробка отриманої інформації?
23.Методи аналітичної роботи?
24.Способи аналітичної роботи?
25.Структура аналітичного висновку?
26.Правила інформаційно-аналітичної роботи?
27.Вимоги до безпеки інформації у США?
28.Вимоги до безпеки інформації у Росії?
29.Вимоги до безпеки інформації у Франції?
46
РОЗДІЛ 2. СУЧАСНІ ЗАСОБИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Глава 6. Класифікація засобів забезпечення інформаційної безпеки
Для розгляду проблеми ЗІ в загальному вигляді виділимо в її предметної області три наступні ієрархії: структурну, причинно-наслідкову та функціональну.
Способи ЗІ залежать від типу інформації, форми її зберігання, обробки та передачі, типу носія інформації, а також передбачуваного способу нападу і наслідків його за впливом на інформацію (копіювання, спотворення, знищення).
В основному власник інформації не знає де, коли і яким чином буде здійснено напад, тому йому необхідно виявити сам факт нападу.
Визначення потенційної цінності інформації дозволяє подумати в першу чергу про безпеку найбільш важливих секретів, витік яких здатен завдати шкоди. При цьому важливо встановити:
1.Яка інформація потребує захисту?
2.Кого вона може цікавити?
3.Які елементи інформації найбільш цінні?
4.Який "термін життя" цих секретів?
5.У що обійдеться їх захист?
Досвід застосування систем ЗІ (СЗІ) показує, що ефективною може бути лише комплексна система захисту інформації (КСЗІ), яка поєднує наступні заходи.
1.Законодавчі. Використання законодавчих актів, що регламентують права та обов'язки фізичних і юридичних осіб, а також держави в області ЗІ.
2.Морально-етичні. Створення та підтримання на об'єкті такої моральної атмосфери, у якій порушення регламентованих правил поведінки оцінювалося б більшістю співробітників різко негативно.
3.Фізичні. Створення фізичних перешкод для доступу сторонніх осіб до інформації, що охороняється.
4.Адміністративні. Організація відповідного режиму секретності, пропускного і внутрішнього режиму.
5.Технічні. Застосування електронних та інших пристроїв для ЗІ.
6.Криптографічні. Застосування шифрування і кодування для приховування інформації, що обробляється та передається, від несанкціонованого доступу.
7.Програмні. Застосування програмних засобів розмежування доступу.
47
Обгрунтований вибір необхідного рівня захисту інформації є сістемостворюючим завданням, оскільки як заниження, так і завищення рівня неминуче веде до втрат. При цьому останнім часом роль даного питання різко зросла в зв'язку з тим, що, по-перше, тепер в число тих, що захищаються, крім військових, державних і відомчих, включені також секрети промислові, комерційні і навіть особисті, а по-друге, сама інформація все більше стає товаром. Таким чином, для оцінки інформації необхідні показники двох видів:
•ті, що характеризують інформацію як ресурс, що забезпечує діяльність товариства;
•ті, що характеризують інформацію як об'єкт праці.
Показники першого виду носять прагматичний характер. До них відносять важливість, значимість з точки зору тих завдань, для вирішення яких використовується оцінювана інформація; повнота інформації для інформаційного забезпечення вирішуваних завдань; адекватність, тобто відповідність поточному стану відповідних об'єктів або процесів; релевантність інформації та її толерантність.
Показники другого виду мають характеризувати інформацію як об'єкт праці, над якими здійснюються деякі процедури в процесі переробки її з метою інформаційного забезпечення вирішуваних завдань. До них відносяться: ефективність кодування інформації та її обсяг. Методи визначення цих показників досить повно розроблені в теорії інформації.
Класифікація методів і засобів ЗІ
На підставі всього викладеного можна навести класифікацію методів і засобів ЗІ. Методи захисту можна розділити, як вже зазначалося раніше, на організаційні, технічні, криптографічні та програмні.
Засоби захисту у свою чергу можна розділити на постійно діючі та ті, що вмикаються при виявленні спроби нападу. За активністю вони діляться на пасивні, напівактивні і активні. За рівнем забезпечення ЗІ засоби захисту поділяються на 4 класи: системи слабкого захисту (1 клас), системи сильного захисту, системи дуже сильного захисту, системи особливого захисту.
Семантичні схеми
Розглянемо предметну область ЗІ з позицій структурної ієрархії.
Вибір СЗІ (головна проблема) залежить від передбачуваного способу нападу (зворотня проблема) і способу виявлення факту нападу (проміжна проблема).
Рішення завдання вибору залежить від форми подання інформації (відео, звукова, електромагнітний сигнал), а спосіб захисту - від передбачуваної форми
48
впливу на інформацію (копіювання, знищення, перекручення), використовуваного носія інформації (папір, магнітний диск і т.д.), стану інформаційного масиву (знаходиться інформація в стані передачі, обробки або зберігання), від того, чи виробляється ЗІ безперервно або в міру виявлення факту нападу. Даний тип ієрархії наочно може бути представлений у вигляді семантичної схеми (рис. 3).
Проблема ЗІ
Технічні засоби ЗІ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Спосіб нападу |
|
|
|
|
|
Спосіб захисту |
|
Обнаруження факту |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нападу |
||
(Проблема, зворотна |
|
|
|
|
|
(Головна |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
головній) |
|
|
|
|
|
|
проблема) |
|
(Проміжна проблема) |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
Форма представлення інформації |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Відеоінформація |
|
|
|
|
Аудіоінформація |
|
|
Електромагнітний |
|
||||||||||||
|
|
|
|
|
|
|
сигнал |
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Форма |
|
|
|
|
|
|
|
Носій |
|
|
|
|
Стан |
|
||||||
|
впливу на |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
інформації |
|
|
|
інформаційного |
|
|||||||||
|
інформацію |
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
масиву |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Зберігання |
|
|
Копіювання |
|
|
Викривлення |
|
|
Знищення |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
Передача, |
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обробка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3. Семантична схема проблеми ЗІ за допомогою технічних коштів з позицій структурної ієрархії
З точки зору функціональної ієрархії (рис. 4) визначається, яким чином можна захистити інформацію: відновити її при втраті, обмежити доступ до неї, оперативно знищити, встановити перешкоду, замаскувати і т. д. Обмеження доступу можна проводити за допомогою використання технічних засобів контролю доступу (доступ з контролю біологічних параметрів користувача, магнітними картками і т.д.), сейфів, замків тощо. Оперативне знищення передбачає здійснення функцій розмагнічування, спалювання, подрібнення,
49
засвічування, розчинення і т.п., поставити перешкоди (зашумлення), використання електромагнітного, світлового импульсу та ін.
|
|
|
Проблема ЗІ |
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Технічні засоби ЗІ |
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Відновлення |
|
Захист інформації |
|
|
|
||||
інформації |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Обмеження |
|
Оперативне |
... |
Постановка завад |
|||||
доступу |
|
знищення |
|||||||
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Розмагнічування |
|
|
|
|||
Паролі |
|
Спалювання |
|
Шумова |
|||||
Контроль доступу |
|
Засвічування |
|
Електромагнітна |
|||||
… |
|
|
… |
|
… |
||||
Програмні засоби |
|
Роздрібнення |
|
Світова |
|||||
|
|
|
|
|
|
|
|
|
|
Рис. 4. Семантична схема проблеми ЗІ за допомогою технічних коштів з позицій функціональної ієрархії
З точки зору причинно-наслідкової ієрархії у першому випадку СЗІ повинна виявити факт нападу. При виявленні факту нападу СЗІ реалізує деякий спосіб захисту. Виявлення факту нападу і реалізація конкретного способу захисту відбувається за умови, що заздалегідь відомо кілька способів нападу. Сам спосіб нападу, у свою чергу, залежить від стану інформаційного масиву і форми подання інформації.
У другому випадку СЗІ працює безперервно, при цьому передбачається, що напад на інформацію може бути здійснено в будь-який час. СЗІ безперервно захищає інформаційний масив від декількох передбачуваних способів нападу з метою копіювання, спотворення, знищення інформації шляхом її оперативного знищення, обмеження доступу, постановки перешкод тощо.
Класифікація технічних засобів захисту
Технічними називаються такі засоби захисту інформації, в яких основна захисна функція реалізується технічним пристроєм (комплексом або системою).
Безперечними перевагами технічних засобів захисту інформації (ТСЗІ) є:
•досить висока надійність;
•досить широке коло завдань;
50