- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
1.4. Выводы по разделу 1.
Проектирование системы защиты весьма сложная и трудоемкая задача, которая, к сожалению, весьма сложно формализуется и требует множество субъективных экспертных оценок. Как следствие, эффективная система защиты может быть построена только с привлечением высоко квалифицированных специалистов.
Эффективная система защиты может быть спроектирована только после того, как к ней будут сформированы базовые требования: требование к достаточности набора механизмов защиты и корректности их реализации, применительно к противодействию актуальным угрозам в условиях использования защищаемой вычислительной системы или сети. Без выявления актуальных угроз и оценки их опасности для защищаемой системы приступать к созданию системы защиты не имеет смысла. К сожалению, эти требования не могут быть статичными, так как априори не может быть статичным множество однажды выявленных угроз для конкретной системы; над ними должна вестись непрерывная работа, как и над системой защиты, требующей модификации в результате модернизации соответствующих требований.
Тезис: «Много безопасности не бывает», порочен по своей природе – любой метод проектирования системы защиты тем или иным образом сводит задачу защиты к нейтрализации именно актуальных угроз (что, вообще говоря, является парадигмой безопасности в любых ее приложениях).
Раздел 2. Проектирование системы защиты персональных данных
2.1. Основополагающие документы по защите персональных данных
Выше мы рассмотрели альтернативные подходы к построению, соответственно, к проектированию системы защиты, сформулировали их достоинства и недостатки.
Далее рассмотрим некую попытку формализации методики проектирования системы защиты на основе оценки рисков, применительно к защите персональных данных, регламентируемую сегодня к применению ФСТЭК России.
Отметим, что, несомненно, данный подход является колоссальным «шагом вперед», по сравнению с построением системы защиты лишь на основе выполнения формализованных требований к АС и СВТ, определенных в соответствующих нормативных документах [1,2]. Вместе с тем, попытка формализации методики проектирования связана с попыткой упрощения процедуры выбора оптимального решения, основанного на необходимости использования всевозможных экспертных оценок. Рассмотрим, к каким дополнительным неопределенностям и проблемам выбора может привести подобное упрошение.
Защита персональных данных (ПДн), обрабатыва6емых в информационных системах персональных данных (ИСПДн) должна осуществляться на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Методика проектирования системы защиты персональных данных определена ФСТЭК России в следующих документах [3,4,5]:
Основными положениями данной методики является следующее:
Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором обработки персональных данных (далее, оператором) или уполномоченным лицом, угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, которым определяется опасность угрозы,
Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных;
Оптимизационная задача (что позволяет говорить о проектировании системы защиты), состоит в выборе актуальности угроз (из исходного множества возможных угроз), которая определяется их вероятностью и опасностью, и нейтрализации, в конечном итоге, именно актуальных угроз. Последующее построение системы защиты предполагает реализацию метода полного покрытия, применительно к защите от актуальных угроз безопасности.
Все предельно разумно – защита только от актуальных угроз безопасности. Вместе с тем, как следует собственно из идеи подхода, корректность решения определяется корректностью выявления актуальных угроз. Поэтому именно на этом вопросе акцентируем внимание далее, рассматривая данный подход к проектированию системы защиты.