- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
2.2. Классификация испДн
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных – ХПД;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД.
Определяются следующие категории обрабатываемых в информационной системе персональных данных (ХПД):
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 (практически любые ПДн, обрабатываемые в ИСПДн, имеют категорию, не ниже, чем 2, т.к. в противном случае база данных просто не имеет смысла);
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 – обезличенные и (или) общедоступные персональные данные.
Замечание. Трудно себе на практике представить базы ПДн категорий 3 и 4 (такие базы просто не нужны).
В зависимости от объема обрабатываемых в ИСПДн персональных данных (ХНПД) может принимать следующие значения:
1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Обратим внимание, что для 3 следовало бы использовать «и», а не «или».
Класс информационной системы определяется в соответствии с табл. 2.1.
Таблица 2.1
Определение класса ИСПДн
Х НПД ХПД
|
3 |
2 |
1 |
категория 4
|
К4 |
К4 |
К4 |
категория 3 |
К3 |
К3 |
К2 |
категория 2 |
К3 |
К2 |
К1 |
категория 1 |
К1 |
К1 |
К1 |
С учетом предыдущего замечания можем сделать вывод, что системы класса К3 – это только те, в которых обрабатываются персональные данные менее чем 1000 субъектов ПДн, причем только в рамках одного предприятия, системы класса К1 – это системы, характеризуемые либо качественной особенность обрабатываемых ПДн - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, либо характеризуемые тем, в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, остальные же системы, а их подавляющая часть, относятся к классу К2.
Классы характеризуются следующим образом:
Класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
Класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
Класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
Класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.
Как видим, проведением подобной классификации ИСПДн формально (без использования экспертной оценки) задается вербальная оценка стоимости потерь:
значительные негативные последствия для субъектов ПДн;
негативные последствия для субъектов ПДн;
незначительные негативные последствия для субъектов ПДн;
отсутствуют негативные последствия для субъектов ПДн.
Однако здесь не все так просто, о чем поговорим далее.
Другая важнейшая классификация ИСПДн – это типовые и специальные ИСПДн.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть в обязательном порядке отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Данная классификация введена для учета при последующем построении модели угроз, которая должна рассматривать либо только угрозы раскрытия конфиденциальности ПДн (типовая), либо, кроме того, обеспечения их целостности (неискаженности) и доступности.
Замечание. Здесь необходимо отметить, что практически любая ИСПДн (если в ней обрабатывается более нескольких десятков записей) относится к специальной.
Как видим, выше максимально упрощена и формализована процедура определения «стоимости» потерь. Рассмотрим достоинства и недостатки подобного подхода.
Достоинства:
Предельная простота определения «стоимости» потерь, не требующая каких-либо экспертных оценок.
Недостатки:
В явном виде не введено количественно оценки стоимости потерь, нет понятия удельной стоимости. При этом очевидно, что потери от хищения ПДн одного человека, либо, скажем, 10000, различны. Как это учитывается? А это напрямую связано с вопросом актуальности угрозы. Например, одна и та же атака (т.е. реализация одной и той же угрозы) на сервер (где хранится база ПДн) и на рабочую станцию, с точки зрения потенциальных потерь, кардинально различается своей актуальностью.
Замечание. Не смотря на отсутствие в документе в явном виде количественной оценки «стоимости» потерь от угроз, на наш взгляд, она следует собственно из классификации систем обработки ПДн, и сводится к следующему:
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, вне зависимости от их объемов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно более чем 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно от 1000 до 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, вне зависимости от их объемов, имеет негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно менее чем 1000 субъектов, причем это персональные данные субъектов в пределах конкретной организации, имеет незначительные негативные последствия для субъектов ПДн.
Замечание. Достоинство подобной классификации состоит в том, что она позволяет охарактеризовать конкретную атаку с учетом потенциальных последствий от ее реализации, т.е. может использоваться для оценки опасности конкретных угроз при выявлении их актуальности.