все лекции
.pdf
|
4.2 |
Физическая охрана СВТ и |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
носителей информации |
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
4.3 |
Наличие администратора |
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
(службы) |
защиты информации |
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
4.4 |
Периодическое тестирование |
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
СЗИ |
от НСД |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
4.5 |
Наличие средств |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
восстановления СЗИ |
|
от НСД |
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
4.6 |
Использование |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
сертифицированных средств |
|
|
|
+ |
|
+ |
|
|
+ |
+ |
+ |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
защиты |
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
На разработку документов ГТК большое влияние оказали
критерии TCSEC («Оранжевая книга»), но это влияние в основном
отражается в ориентированности этих документов на системы силовых
структур и в использовании единой универсальной шкалы оценки степени защищённости.
Недостатки документов ГТК:
а) ориентация только на противодействие НСД и отсутствие
требований к адекватности реализации политики безопасности;
б) понятие «политика безопасности» трактуется как поддержание режима секретности и отсутствие НСД (т. е., ориентация
на противодействие только внешним угрозам);
в) нет чётких требований к структуре системы и её функционированию;
д) очень упрощённое ранжирование систем по классам
защищённости, сведенное к отсутствию или наличию заданного набора механизмов защиты.
26
Но документы ГТК заполнили правовой вакуум в области стандартов информационной безопасности в России.
Список использованных источников
1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.
2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Телеком, 2001. – 148 с.
3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001.
–256 с.
4.Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ,
2003. – 352 с.
5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
6Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Вильямс»,
2001. – 592 с.
6а Мельников, В.П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков; под ред. С.А. Клейменова. – 5-е изд. – М.:
Академия, 2011. – 330 с.
7Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.
27
ЛЕКЦИЯ 4. Стандарты безопасности: особенности критериев оценки безопасности компьютерных систем США («Оранжевая книга», федеральные критерии). Особенности европейских критериев безопасности информационных технологий. Особенности критериев безопасности информационных технологий в РФ. Симметричная (одноключевая) криптосистема. Двухключевая (асимметричная) криптосистема.
(Сост. Никонов А.В.)
ЭЛЕКТРОННЫЙ ВАРИАНТ КУРСА ЛЕКЦИЙ
https://yadi.sk/d/NzaPS2X_aVcC5
4.1 Особенности «Критериев безопасности компьютерных систем» министерства обороны США»
Эти критерии (Trusted Computer System Evaluation Criteria (критерии оценки доверия к компьютерной системе) – TCSEC) опубликованы Министерством
обороны США в 1983 г. с целью определения требований безопасности,
предъявляемых к аппаратному, программному и специальному про-
граммному и информационному обеспечению компьютерных систем, и
ВЫРАБОТКИ МЕТОДОЛОГИИ И ТЕХНОЛОГИИ АНАЛИЗА СТЕПЕНИ ПОДДЕРЖКИ ПОЛИТИКИ БЕЗОПАСНОСТИ в системах
военного назначения.
Здесь впервые появились понятия «политика безопасности», «корректность» и др.
Безопасная компьютерная система трактуется: это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию.
В процессе аутентификации система удостоверяется, что пользователь в
действительности является тем, за кого себя выдаёт. Но при работе системы
1
нужно проверять, имеет ли конкретный пользователь право получить доступ к тем или иным ресурсам либо выполнять те или иные операции. Такая провер-
ка называется авторизацией (authorization).
Предложенные концепции защиты и набор функциональных требо-
ваний ПОСЛУЖИЛИ ОСНОВОЙ для всех появившихся позднее
стандартов безопасности.
Предложены ТРИ КАТЕГОРИИ ТРЕБОВАНИЙ безопасности:
–политика безопасности;
–аудит;
–корректность.
Врамках этих требований сформулировано 6 базовых требований
безопасности. Четыре требования направлены на обеспечение безопасности, а два – на качество средств защиты.
ВПОЛИТИКЕ БЕЗОПАСНОСТИ.
Требование 1. Система должна поддерживать точно определённую систему безопасности.
Возможность доступа субъекта к объектам должна определяться на основании их идентификации и правил управления доступом.
Для нужд эффективного разграничения доступа к информации различ-
ного уровня конфиденциальности необходимо использовать МАНДАТНОЕ
управление доступом.
Требование 2 (метки). С объектами должны быть ассоциированы метки безопасности, используемые как исходная информация для про-
цедур контроля доступа.
Для реализации мандатного управления доступом система должна иметь
возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности)
2
объекта и режима доступа к нему.
В АУДИТЕ (подотчётность).
Аудит (auditing) – это наблюдение за тем, происходят ли в системе
события должным образом. Чтобы обеспечить надлежащий уровень кон-
троля, необходимо иметь средство, с помощью которого можно было бы
отслеживать происходящие в системе процессы и события. Так Windows
2000 по умолчанию не включает режима ведения аудита, но предоставляет возможность разработки политики аудита, определяющей тип событий, которые ОС должна заносить в журнал регистрации событий.
Требование 3 (идентификация и аутентификация). Все субъекты
должны иметь уникальные идентификаторы, а контроль доступа
должен осуществляться на основе результатов идентификации субъ-
екта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа.
Данные, используемые для идентификации и аутентификации, должны быть защищены от НСД, модификации и уничтожения и должны быть ассоци-
ированы со всеми активными компонентами системы, критичными с позиции безопасности.
Требование 4 (регистрация и учёт). Для определения степени ответ-
ственности пользователя за действия в системе, все события в ней, име-
ющие значения с позиции безопасности, должны отслеживаться и реги-
стрироваться в защищённом протоколе.
То есть, должен существовать объект системы, потоки от которого и
к которому доступны только субъекту администрирования. Система
регистрации должна выделять из общего потока событий только влияющие на безопасность для сокращения объёма протокола.
Протокол должен быть защищен от НСД, модификации и уничтожения.
В КОРРЕКТНОСТИ (гарантии выполнения функций).
3
Требование 5 (контроль корректности функционирования средств за-
щиты). Средства защиты должны содержать независимые аппаратные и (или) программные компоненты, обеспечивающие работоспособность функций защиты.
Это означает, что все средства, относящиеся к реализации функций защи-
ты, должны находиться под контролем средств проверки корректно-
сти их функционирования.
Средства контроля должны быть полностью независимыми от
средств защиты.
Требование 6 (непрерывность защиты). Все средства защиты (в том
числе и реализующие данное требование) должны быть защищены от НСД и
(или) отключения, причём эта защищенность должна быть постоянной
и непрерывной в любом режиме функционирования системы защиты и си-
стемы в целом.
Требование распространяется на весь жизненный цикл системы.
Выполнение этого требования – одна из ключевых аксиом для формального доказательства безопасности системы.
С течением времени и старением положенной «Оранжевой книги», по-
явились новые документы, отражающие специфические вопросы безопасно-
сти: для сетей, СУБД, управлению доступом в безопасных системах,
управлению паролями, для специфических сред, аудиту, управлению
конфигурацией систем, и т. д.
В 1995 г. был опубликован объединяющий документ «Интерпрета-
ция критериев безопасности компьютерных систем».
Важно, что критерии TCSEC – первая попытка создания единого
стандарта безопасности, основные положения которого использованы в последующих документах по стандартизации в области защиты информации
других региональных школ. Но она ориентирована на системы военного
4
применения, в основном на ОС. А требования по гарантированию политики
безопасности отражены поверхностно.
4.2 Некоторые особенности федеральных критериев безопасности США для информационных технологий
«Федеральные критерии безопасности информационных технологий»
(Federal Criteria for Information Technology Security) – составная часть
ЗАМЕНЫ TCSEC (1992 г.). «Федеральные критерии» включают все аспек-
ты обеспечения конфиденциальности, целостности и доступности.
ОСНОВНОЙ ОБЪЕКТ – ПРОДУКТЫ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ (Information Technology Products) и системы обработки
информации (Information Technology Systems).
ПРОДУКТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ (ПИТ) – сово-
купность аппаратных и программных средств, которая поставляется конечному потребителю как готовые к использованию средства обработ-
ки информации.
Обычно разрабатывается для использования во многих системах обработки ин-
формации. А система обработки информации, как таковая, разрабатывается для решения прикладных задач по требования конечных потребителей, что учиты-
вает специфику конкретной среды.
«Федеральные критерии» касаются только средств обеспечения защиты ПИТ (в т. ч. организационные меры, правовые и юридические
нормы).
Ключевое понятие – «ПРОФИЛЬ ЗАЩИТЫ» (Protection Profile): это
нормативный документ, регламентирующий все аспекты безопасности ПИТ в виде требований к его ПРОЕКТИРОВАНИЮ,
5
ТЕХНОЛОГИИ РАЗРАБОТКИ и СЕРТИФИКАЦИИ.
Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, и их адекватности предполагаемым угрозам.
«Федеральные критерии» рассматривают ПРОЦЕСС
РАЗРАБОТКИ СИСТЕМ обработки информации в виде 3-х этапов и ре-
гламентируют только первый этап.
А) РАЗРАБОТКА И АНАЛИЗ ПРОФИЛЯ ЗАЩИТЫ.
Эти требования определяют функциональные возможности ПИТ
по обеспечению безопасности и условия эксплуатации. Содержатся тре-
бования по технологической дисциплине в процессе разработки, тестирования,
анализа и сертификации ПИТ.
Профиль безопасности анализируется на полноту, непротиворечивость и
техническую корректность.
Б) РАЗРАБОТКА И СЕРТИФИКАЦИЯ ПИТ.
В) КОМПОНОВКА И СЕРТИФИКАЦИЯ СИСТЕМЫ в целом.
ПРОФИЛЬ ЗАЩИТЫ СОСТОИТ из 5-ти разделов:
–описание;
–обоснование;
–функциональные требования к ПИТ;
–требования к технологии разработки ПИТ;
–требования к процессу сертификации ПИТ.
Описание профиля содержит классификационную информацию, не-
обходимую для его идентификации в специальной картотеке. Даётся
основная группа проблем обеспечения безопасности, решаемых данным про-
филем.
Обоснование описывает среду эксплуатации, предполагаемых
угроз и методов использования ПИТ. Даётся подробный перечень задач по обеспечению безопасности.
6
Функциональные требования к ПИТ содержат возможности
средств защиты ПИТ и определяют условия, в которых обеспечивает-
ся безопасность в виде перечня угроз, которым противостоят предло-
женные средства защиты.
Требования к технологии разработки ПИТ содержат требования
как к процессу разработки, так и к условиям, в которых они проводят-
ся, технологическим средствам, документированию этого процесса.
Требования к процессу сертификации ПИТ регламентируют ти-
повую методику тестирования и анализа. Объем и глубина исследований за-
висят от вероятных типов угроз, среды применения и технологии эксплуатации.
РАЗРАБОТКА ПРОФИЛЯ защиты ведётся в три этапа:
–анализ среды применения ПИТ с точки зрения безопасности;
–выбор профиля – прототипа;
–синтез требований.
4.3 Некоторые особенности европейских критериев безопасности информационных технологий
После TCSEC страны Европы разработали согласованные «Критерии безопасности информационных технологий (ИнТ)» или «Европейские кри-
терии» (1991 г., – Франция, Германия, Нидерланды и Великобритания).
Введено понятие АДЕКВАТНОСТИ (assurance) средств защиты.
В адекватность входят:
а) эффективность – отражает соответствие средств безопасности
решаемым задачам;
б) корректность – характеризует процесс разработки средств защиты и их функционирования, реализующих правильность и
7
надёжность функций безопасности (ГАРАНТИРОВАНИЕ
ИЗБРАННОЙ ПОЛИТИКИ).
Общая оценка уровня безопасности складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Средства, имеющие отношение к информационной безопасности, рассматри-
ваются в 3-х уровнях детализации:
–для обеспечения безопасности;
–спецификация функций защиты;
–реализующие защиту механизмы.
Набор функций безопасности может быть специфицирован по ссыл-
кам на заранее определённые 10 классов-шаблонов: F-C1; F-C2; F-B1; F- B2; F-B3 (эти 5 классов – аналог «Оранжевой книги»); F-IN; F-AV; F-DI; F-
DC; F-DX.
«Европейские критерии» устанавливают 7 уровней адекватности от Е0 до Е6 (в порядке возрастания) на всём жизненном цикле системы – от
начальной фазы проектирования до эксплуатации и управления.
Также определены ТРИ уровня безопасности системы:
а) базовый – средства защиты могут противостоять отдельным атакам физического лица;
б) средний – средства защиты способны противостоять злоумышленникам с ограниченными ресурсами и возможностями (корпоратив-
ный злоумышленник);
в) высокий – средства защиты могут быть преодолены злоумышленником высокой квалификации, набор возможностей которого выходит за рамки возможного (злоумышленник – государственная служба).
4.4 Особенности критериев безопасности информационных тех-
нологий в РФ
8