- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
Проводится экспертная оценка угроз безопасности ПДн с точки зрения частоты (вероятности) их реализации с определением для каждой угрозы соответствующего числового коэффициента (Y2) и производится вычисление коэффициентов реализуемости выявленных угроз (Y) в соответствии с формулой:
Y=(Y1+Y2)/20
с последующей вербальной интерпретацией полученных коэффициентов для всех выявленных угроз в диапазоне «низкая – средняя – высокая – очень высокая».
При этом при составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:
0 для маловероятной угрозы;
2 для низкой вероятности угрозы;
5 для средней вероятности угрозы;
10 для высокой вероятности угрозы.
По значению же коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0 < Y < 0,3, то возможность реализации угрозы признается низкой;
если 0,3 < Y < 0,6, то возможность реализации угрозы признается средней;
если 0,6 < Y < 0,8, то возможность реализации угрозы признается высокой;
если Y > 0,8, то возможность реализации угрозы признается очень высокой.
Далее проводится экспертная оценка опасности угроз безопасности ПДн с определением вербальных показателей опасности по качественной шкале: «низкая – средняя – высокая опасность».
Этот показатель имеет три значения:
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Замечание. В документе предлагается проводить экспертную оценку, но не понятно на основании чего. Вместе с тем, для задания опасности угрозы, которая напрямую зависит от класса системы, на наш взгляд, обоснованно можно использовать предложенный ранее подход количественной оценки «стоимости» потерь от конкретных угроз.
Далее из общего перечня угроз осуществляется выборка актуальных для ИСПДн угроз в соответствии с правилами, приведенными в табл. 2.3.
Таблица 2.3
Правила отнесения угрозы безопасности ПДн к актуальной
Возможность реализации угрозы (Y) |
Показатель опасности угрозы |
||
Низкая |
Средняя |
Высокая |
|
Низкая |
неактуальная |
неактуальная |
актуальная |
Средняя |
неактуальная |
актуальная |
актуальная |
Высокая |
актуальная |
актуальная |
актуальная |
Очень высокая |
актуальная |
актуальная |
актуальная |
Результатом моделирования (количественной и качественной оценки реализации угроз безопасности ПДн) является перечень актуальных для рассматриваемых ИСПДн угроз безопасности ПДн, которые должны быть в полном объеме нивелированы средством защиты.
Как видим, на первый взгляд, процедура определения актуальных угроз безопасности ПДн достаточно неплохо формализована, что сводит к минимуму использование экспертных оценок. Однако не все так просто. Рассмотрим достоинства и недостатки подобного подхода.
Достоинства:
Достаточно высокий уровень формализации проведения исследования, минимизирующий использования экспертных оценок, которые должны использоваться лишь для формирования исходного множества угроз и задания для каждой из них веростности реализации.
Недостатки:
На наш взгляд, трудно (если возможно) обосновать то, что оценка реализуемости выявленных угроз (Y) определяется по следующей формуле: Y=(Y1+Y2)/20, и представляет собою, по сути, аддитивную свертку параметров, в которой в равной мере (можно говорить о равной важности) учитываются вероятность реализации угрозы Y2 и коэффициет уровня исходной безопасности Y1 (равная важность, т.к., например, Y2=0,5 соответствует средней вероятности реализации угрозы, Y1=0,5 соответствует средней степени исходной защищенности). Вполне разумным выглядит вопрос: если экспертным путем признается, что какая-либо угроза для системы имеет высокую вероятность реализации (а это и есть ее уровень реализуемости), то при чем здесь вообще уровень исходной защищенности системы, формируемые, по сути, некоторым набором архитектурных признаков системы?
Опять же, в части корректности формулы: Y=(Y1+Y2)/20. Заметим, что коэффициет уровня исходной безопасности Y1 характеризует некий совокупный признак безопасности архитектуры системы в целом, реализация же угрозы, как правило, направлена на отдельные элементы системы. Например, если по наличию соединения с сетями общего пользования (п.2 табл. 1.3) система имеет низкий уровень (в итоге это может отразиться и на совокупном уровне – на значение коэффициента Y1), то как, скажите, подключение к сетям общего пользования сказывается на реализуемости локальных атак, например, загрузка системы с внешнего накопителя, несанкционированное подключение внешних накопителей с целью хищения данных, наличие остаточной информации на внешнем накопителе, да, много еще чего. Вместе с тем, применение данного подхода к оценке, может привести к повышению (что не так страшно), либо к снижению расчетной вероятности реализуемости угрозы Y в системе, по сравнению с экспертной оценкой вероятности реализации угрозы Y2 (т.е. может привести к тому, что какая-либо реально актуальная угроза не будет отнесена к подобным). А это уже существенный недостаток методики, состоящей в проектировании системы хащиты, на основании выявления актуальных угроз и последующего их полного покрытия.
Таким образом, обеспечение достаточности механизмов защиты решается путем полного покрытия актуальных угроз. Но существует еще проблема – обеспечение корректности реализации механизмов, как при использовании данной методики решается она?
Достаточно просто – средства защиты, используемые при построении системы защиты ИСПДн в обязательном порядке должны пройти сертификацию по соотвествующим нормативным документам, в частности, на соответствие требованиям к средствам защиты, сформулированным в нормативном документе [1].
Необходимость использования сертифицированных средств защиты определена, как в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", так и в Постановлении Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (в последнем, в частности, сказано: средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия).
Таким образом, при использовании рассматриваемой методики выполняются оба ключевых требования к проектируемой системе защиты – обеспечение достаточности набора механизмов защиты (в данном случае для нейтрализации актуальных угроз безопасности) и обеспечение корректности реализации механизмов защиты.
Однако и здесь не все так просто. Требования к корректности реализации механизмов защиты определяются не только областью практического использования системы защиты (например, корпоративная система или домашний компьютер), но и действиями реальных атак. Чтобы корректно решать задачу противодействия необходимо это учитывать. Другими словами, требования к корректности реализации механизмов диктуются, в том числе, и особенностями реализации актуальных угроз реальными атаками. Как следствие, и данные требования не могут задаваться абстрактно (без анализа соответствующих угроз) и быть статичными. Любая новая угроза может привести к модификации соответсвующих требований. На наш взгляд, формирование требований к корректности реализации механизмов защиты – это веьма трудоемкая задача, которая должна решаться практически непрерывно. Без решения же данной задачи невозможно построить эффективную защиту. Ну, определили актуальную угрозу, закрыли ее неким механизмом, требования к реализации которого не предполагает возможность противодействия (по крайней мере, эффективного противодействия) этой угрозе, и что дальше?