FAQ_Print
.pdf
низации.
Задачей аудита ИБ АС, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование АС. Данный вид подразумевает как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных АС.
20. Методы и модели оценки эффективности КСЗИ.
Моделирование оценки эффективности КСЗИ сводится к построению абстрактного образа всей системы с имитацией её основных характеристик в интересах получения требуемых данных – показателей эффективности как отдельных компонентов, так и всей системы в целом.
Процесс моделирования оценки эффективности разбивается на ряд этапов:
1.Выбор критериев
2.Построение модели
3.Реализация процессов оценки эффективности (в интересах поставленной
цели)
На практике выделяют следующие группы моделей оценки эффективности:
•Аналитические – поведение объекта и КСЗИ моделируется на основании различных функциональных зависимостей и логических условий (матан)
•Имитационные – моделируют различные реальные ситуации на основе реализуемых алгоритмов в области ЗИ
•Экспертные – реализуются на основе эвристического моделирования высококвалифицированными специалистами (экспертами).
Сложные модели оценки эффективности КСЗИ могут строиться и на совокупности вышеуказанных моделей.
Сравнительный анализ типовых групп моделей оценки эффективности КСЗИ:
341
Характери- |
Виды моделей |
|
|
стики |
|
|
|
Аналитическая |
Имитационная |
Экспертная |
|
Область |
Определение наибо- |
Исследование объ- |
Сравнение раз- |
применения |
лее уязвимых мест в |
екта ЗИ |
личных вариантов |
|
КСЗИ |
|
построения КСЗИ |
|
Вероятностное |
Оценка влияния |
Определение целе- |
|
оценивание и эко- |
различных усло- |
сообразных затрат |
|
номический расчёт |
вий обработки |
на создание КСЗИ |
|
ущерба от реализа- |
информации и |
|
|
ции угроз |
внешней среды на |
|
|
|
ЗИ |
|
|
Стоимостной ана- |
Обучение персона- |
Анализ последствий |
|
лиз применения мер |
ла работе с КСЗИ |
воздействия угроз |
|
по ЗИ |
|
на объект защиты |
|
Научное обоснова- |
Оценка влияния |
Доведения суще- |
|
ние количествен- |
реальных событий |
ствующего уровня |
|
ных показателей |
на КСЗИ |
безопасности КСЗИ |
|
эффективности |
|
до требуемого |
|
защиты |
|
|
Привлекае- |
Вероятность обна- |
|
Весовой коэффи- |
мые показа- |
ружения НСД |
|
циент опасности |
тели эффек- |
|
|
реализации угрозы |
тивности |
Вероятность реали- |
|
Величина инфор- |
|
зации угрозы |
|
мационного риска |
|
|
|
рассматриваемой |
|
|
|
угрозы |
|
Вероятность проти- |
|
Степень обеспече- |
|
водействия НСД |
|
ние безопасности |
|
|
|
функционирования |
|
|
|
объекта защиты |
|
|
|
КСЗИ |
|
Надёжность функ- |
|
Эффективность |
|
ционирования |
|
КСЗИ |
|
объекта защиты в |
|
|
|
условиях рассма- |
|
|
|
триваемых угроз |
|
|
342
Характери- |
Виды моделей |
|
|
стики |
|
|
|
Аналитическая |
Имитационная |
Экспертная |
|
Достоинства |
Хорошо формализованное представле- |
Использование |
|
|
ние предметной области |
естественного языка |
|
|
|
|
при формулирова- |
|
|
|
нии рассматривае- |
|
|
|
мых ситуаций |
|
Получение точного математически кор- |
Простота расчётов |
|
|
ректного решения задачи |
|
|
|
Представление результатов решения в |
Применимость к |
|
|
количественной форме |
слабо формализу- |
|
|
|
|
емой предметной |
|
|
|
области |
|
Аналитические модели более просты и |
Высокая оператив- |
|
|
менее точны нежели имитационные |
ность моделирова- |
|
|
|
|
ния |
Недостатки |
Невозможность построения для всех |
Нечёткость основ- |
|
|
реальных случаев расчётной модели |
ных соотношений и |
|
|
|
|
показателей |
|
Сложность учёта влияния большого |
Высокая степень |
|
|
числа разнородных факторов |
субъективности |
|
|
|
|
суждений |
|
Отсутствие необходимых исходных дан- |
Трудность получе- |
|
|
ных (статистики) |
|
ния точных резуль- |
|
|
|
татов |
|
Нестационарность – постоянно меняю- |
Получение каче- |
|
|
щийся характер исходных данных |
ственных, а не |
|
|
|
|
количественных |
|
|
|
значений |
343
6 7
RTM 14/03/2015
Rainbow FAQ™
Дисциплина «Защита информационных процессов в компьютерных системах»
1.Предмет и задачи защиты информационных процессов.
2.Информационные потоки в компьютерных системах. Понятие исполняемого модуля.
3.Уязвимости компьютерных систем.
4.Политика безопасности в компьютерных системах. Оценка защищенности компьютерных систем.
5.Общая классификация угроз.
6.Защищенные виды исполнения компьютерных систем.
7.Аудит компьютерных систем.
8.Вспомогательные средства проведения аудита компьютерных систем.
9.Механизмы оценки защищенности компьютерных систем.
10.Понятие сетевой безопасности. Базовые протоколы и средства защиты информации на различных уровнях эталонной модели сетевого взаимодействия.
11.Современные стандарты и средства, используемые для обеспечения безопасности глобальных сетевых технологий.
12.Принципы функционирования сетевых служб, влияющих на информаци- онно-компьютерную безопасность.
13.Основные способы нападения на компьютерные сети.
14.Защищенные решения сетевых подключений.
15.Технологические основы формирования криптозащищенных туннелей через открытые коммуникации.
16.Безопасность удаленного доступа к локальным сетям.
17.Цели и задачи сертификации и аттестации.
345
1. Предмет и задачи защиты информационных процессов.
1. Процессы, связанные с поиском, хранением, передачей, обработкой и использованием информации, называются информационными процессами
Объект защиты: один из информационных процессов Предмет защиты: информация внутри процесса.
Основные информационные процессы:
Сбор информации: целеустремленное нахождение первичной информации (методы: наблюдение, измерение, опросы, анкетирование, тестирование и т.д).
Поиск информации: нахождение нужной информации в информационных фондах (каталоги, справочники, поисковые системы и т.д).
Обрабатывание информации: исполнение совокупности спланированных действий над имеющейся информацией с целью получения новой.
Представление информации: превращение информации к форме, наиболее удобной для её использования (методы: сортировка, систематизация, подача в табличной или графической форме).
Хранение информации: обеспечение возможности воспользоваться найденной информацией в дальнейшем (носители информации-лазерные диски и т.д).
Передача информаци: перемещение информации в пространстве от источника до потребителя (носители информации-звуковые, световые волны и т.д).
Защита информации: введение определенных мер с целью предотвращения потери, повреждения или злоумышленного использования информации
Использование информации: обоснованное принятие решений в разных видах человеческой деятельности.
Задачи:
•обеспечение конфиденциальности информационных процессов (защита
инф. процессов)
•обеспечение целостности информационных процессов (резервирование)
•обеспечение доступности информационных процессов (отказоустойчивость).
346
2. Информационные потоки в компьютерных системах. Понятие исполняемого модуля.
Информационным потоком от объекта A (источник) к объекту B (приёмник) называется преобразование информации в объекте B, зависящее от информации в объекте A. Любая обработка информации внутри информационной системы происходит посредством данных потоков.
Возможно, стоит сказать про безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.
Решаемые проблемы
Основные проблемы мандатного управления доступа, решаемые использованием модели безопасности информационных потоков - проблему деклассификации и наличия скрытого канала.
Деклассификация
В некоторых случаях, объект может понизить свой уровень доступа не нарушая формальных правил. Если перед этим данный объект возьмет под свой контроль некоторую информацию, то таким образом он переведет данную информацию на более низкий уровень секретности. Если напрямую запретить возможность создания информационных потоков между соответствующими объектами, то после деклассификации объект с информацией не сможет никому передать полученные данные, несмотря на наличие разрешающего мандата.
Скрытый канал
При анализе возможных информационных потоков необходимо составить полный список всех возможных потоков в системе. Поскольку скрытый канал для передачи данных обрабатывает информацию, то соответствующий информационный поток будет в этом списке. Если все потоки, которые потенциально могут вести к утечке информации будут запрещены, то скрытый канал будет неработоспособен.
Исполнимый (исполняемый) модуль исполнимый файл (англ. executable file) — файл, содержащий программу в виде, в котором она может быть (после загрузки в память и настройки по месту) исполнена компьютером.
Чаще всего он содержит двоичный машинный код, но может содержать и псевдокод, например байт-код или инструкции (скрипт) на интерпретируемом
языке программирования, для исполнения которых требуется интерпретатор.
347
3. Уязвимости компьютерных систем.
Уязвимостью (vulnerability) называется любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы
Этапы жизненного цикла КС |
Категории уязвимостей КС |
Проектирование |
КС Уязвимости проектирования |
Реализация КС |
Уязвимости реализации |
Эксплуатация КС |
Уязвимости конфигурации |
Наиболее опасны уязвимости проектирования, которые обнаруживаются и устраняются с большим трудом. В этом случае, уязвимость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем уязвимости.
Например, уязвимость стека протоколов TCP/IP. Недооценка требований по безопасности при создании этого стека протоколов привела к тому, что не проходит месяца, чтобы не было объявлено о новой уязвимости в протоколах стека TCP/IP.
Смысл уязвимостей второй категории (уязвимости реализации) заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Яркий пример такой уязвимости - "переполнение буфера" ("buffer overflow")
Последняя причина возникновения уязвимостей - ошибки конфигурации программного или аппаратного обеспечения. Наряду с уязвимостями реализации они являются самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно отнести доступный, но не используемый на узле сервис Telnet, использование "слабых" паролей или паролей менее 6 символов, учетные записи (accounts) и пароли, остановленные по умолчанию
348
4. Политика безопасности в компьютерных системах. Оценка защищенности компьютерных систем.
Под политикой безопасности в общем понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы.
Интегральной характеристикой защищенности КС является политика безопасности - качественное выражение свойств защищенности в терминах, представляющих систему
Политика безопасности должна быть адекватна предполагаемым угрозам, и обеспечивать заданный уровень защиты.
Политика безопасности включает:
-множество субъектов;
-множество объектов;
-множество возможных операций над объектами;
-множество разрешенных операций для каждой пары субъект-объект, являющееся подмножеством множество возможных состояний.
В защищенной компьютерной системе всегда присутствует субъект, выполня-
ющий контроль операций субъектов над объектами, например, в операционной системе Windows таким субъектом является псевдопользователь SYSTEM. Данный компонент фактически отвечает за реализацию политики безопасности, которая реализуется путем описания доступа субъекта к объектам.
Существует два типа политики безопасности: дискретная и мандатная. Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
-все субъекты и объекты должны быть идентифицированы;
-права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы
– объектам; элементы матрицы представляют фиксированный набор или список
прав доступа. К недостаткам дискретной политики безопасности можно отнести статичность данной модели, не учитывающая динамику изменений состояния си-
349
стемы.
Мандатная модель политики безопасности основывается на том, что:
-все субъекты и объекты должны быть идентифицированы;
-имеется линейно упорядоченный набор меток секретности;
-каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации – его уровень секретности;
-каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему – его уровень доступа.
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, мандатная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И, наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа.
Общие критерии оценки защищённости информационных технологий (ОК)-
Международный стандарт (ISO/IEC 15408[1], последняя российская версия — 15408-3-2008)
Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности
продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
Итак, допустим некий продукт сертифицирован в соответствии со стандартом Common Criteria. О каком уровне защищённости это говорит?
В соответствии с методикой производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.
Операционная система Microsoft Windows XP (исходная версия, без SP1) была сертифицирована на уровень Common Criteria EAL4+, после чего для неё было
выпущено три пакета обновлений (service pack) и регулярно выпускаются новые критические обновления безопасности. Тем не менее, Windows XP в исходной версии по-прежнему обладает сертификатом EAL4+, никаких дополнительных
350