Нарушитель относится к типу Н i, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Н i и нет предположений, относящихся только к нарушителям типа Н j (j > i).
Нарушитель относится к типу Н 6 в информационных системах, в которых обрабатываются наиболее важные данные, нарушение характеристик безопасности которых может привести к особо тяжелым последствиям.
Рекомендуется при отнесении оператором нарушителя к типу Н 6 согласовывать модель нарушителя с ФСБ России.
1.2 Примеры заданий
1.2.1 Для указанного в билете типа организации составить краткое описание нарушителей (субъектов атак) в соответствии с Методическими рекомендациями ФСБ России.
1.2.2 Для указанного в билете типа организации составить предположения об имеющейся у нарушителя информации об объектах атак в соответствии с Методическими рекомендациями ФСБ России.
1.2.3 Для указанного в билете типа организации составить описание каналов атак в соответствии с Методическими рекомендациями ФСБ России.
|
|
Раздел 2 – Управление информационной безопасностью
2.1 Общие сведения
КОНДОР — система разработки и управления политикой безопасности ИС компании на основе стандарта ГОСТ Р ИСО 17799-2005. Это современный и удобный инструмент для разработки всех основных положений политики ИБ компании и управления процессом внедрения этих положений на практике.
С помощью программы КОНДОР проводится аудит ИС компании на соответствие стандарту ГОСТ Р ИСО 17799-2005. На основе данных, полученных в результате проведения аудита, разрабатывается политика безопасности компании и система управления информационной безопасностью.
Для проведения анализа рисков необходимо определить выполненные и невыполненные требования стандарта.
Каждое требование стандарта имеет определенное значение — вес требования. Вес требования — степень влияния требования на ИС компании. Определяется на основе экспертных оценок, указывается в значениях от 1 до 100 (чем больше значение эффективности, тем больше влияние данного требования). Сумма значений весов всех требований определяет максимальный риск невыполнения требований стандарта, т.е. стандарт полностью не выполнен.
Риск невыполнения требований стандарта в компании определяется как отношение суммы значений весов невыполненных в компании требований к сумме значений весов всех требований стандарта. Риск невыполнения требований стандарта рассчитывается в процентах.
Риск невыполнения требований ГОСТ Р ИСО 17799-2005 показывает, насколько значимы для ИС компании невыполненные требования. Риск зависит от количества невыполненных требований и их весов.
|
|
Для снижения риска несоответствия ИС стандарту ГОСТ Р ИСО 17799-2005 необходимо выполнить максимальное количество требований.
ГРИФ — инструмент для анализа защищенности ресурсов информационной системы компании и эффективного управления рисками.
Анализ рисков ИБ осуществляется с помощью построения модели ИС компании. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
В результате работы алгоритма программа представляет следующие данные:
- инвентаризация;
- значения риска для каждого ценного ресурса компании;
- перечень всех уязвимостей, которые стали причиной полученного значения риска;
- значения риска для ресурсов после задания контрмер (остаточный риск);
- эффективность контрмер;
- рекомендации экспертов.
Перед заполнением программы ГРИФ необходимо провести инвентаризацию ценных ресурсов и информации компании, то есть определить, всю ценную информацию и ресурсы, на которых она хранится.
Далее владельцы информации или ответственные лица (как правило, начальники отделов, в которых ведется обработка информации) должны определить ущерб, который понесет Компания при осуществлении угроз конфиденциальности, целостности и доступности данной информации. Если владелец информации затрудняется оценить ущерб информации в деньгах, программа позволяет заносить ущерб в уровнях (количество и оценку уровней владелец выбирает самостоятельно (в диапазоне от 2 до 100), но для всех видов информации в ИС компании количество и оценка уровней должны быть одинаковы).
Отметим, что в программу ГРИФ заносятся только ресурсы, на которых обрабатывается ценная информация, т.е. информация, для которой можно оценить ущерб при реализации угроз.
Далее специалист отдела ИТ (администратор системы) предоставляет данные о группах пользователей, которые имеют доступ к информации, особенностях предоставления доступа пользователей к ресурсам компании (права доступа, вид доступа, сетевое оборудование) и средствах защиты, установленных в ИС.
Специалисты отдела ИБ предоставляют данные о расходах на ИБ.
2.2 Примеры заданий
2.2.1 В программном комплексе Digital Security Office 2006 (подсистема «Кондор») рассчитать риск невыполнения требований раздела стандарта ГОСТ Р ИСО 17799-2005 для заданных условий.
Рассчитаем риск невыполнения требований раздела «Политика безопасности» стандарта ГОСТ Р ИСО 17799-2005 в ИС компании.
Исходные значения приведены в таблице 2.1.
Таблица 2.1 — Требования и выполнения их в ИС компании, значения веса требований
№ | Требование стандарта ГОСТ Р ИСО 17799-2005 | Вес | Выполнение | |
В ИС должна существовать политика безопасности | Выполнено | |||
Политика безопасности должна утверждаться руководством организации | Выполнено | |||
Политика безопасности должна доноситься до всех сотрудников в простой и понятной форме | Выполнено | |||
Политика безопасности должна включать в себя | – | – | ||
Определение ИБ, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию | Выполнено | |||
Окончание таблицы 2.1
№ | Требование стандарта ГОСТ Р ИСО 17799-2005 | Вес | Выполнение | |
Позицию руководства по вопросам реализации целей и принципов ИБ | Выполнено | |||
Определение общих и конкретных обязанностей по обеспечению режима ИБ | Не выполнено | |||
Ссылки на документы, сопутствующие политике безопасности, например детализированные принципы безопасности и процедуры для специфичных ИС или правила для пользователей | Выполнено | |||
Политика безопасности должна удовлетворять определенным требованиям | – | – | ||
Соответствовать государственному и международному законодательству | Не выполнено | |||
Содержать положения по обучению персонала вопросам безопасности | Не выполнено | |||
Включать инструкции предупреждения и обнаружения вредоносного программного обеспечения | Не выполнено | |||
Должны быть определены последствия нарушений положений политики безопасности | Выполнено | |||
Учитывать требования непрерывности ведения бизнеса | Не выполнено | |||
Должен быть определен сотрудник, ответственный за процедуры пересмотра и обновления положений политики безопасности | Выполнено | |||
Пересмотр положений политики безопасности обязательно должен проводиться в результате следующих случаев: | – | – | ||
Серьезных инцидентов в области ИБ | Выполнено | |||
Обнаружения новых уязвимостей | Выполнено | |||
Изменений в организационной или технической инфраструктуре организации | Выполнено | |||
Регулярному пересмотру подлежат следующие характеристики политики безопасности: | – | – | ||
Эффективность политики безопасности, характеризуемая количеством и степенью влияния фиксируемых инцидентов в области ИБ | Не выполнено | |||
Стоимость и степень влияния контрмер на эффективность деятельности организации | Не выполнено | |||
Результаты технологических изменений | Выполнено |
Создаем новый проект в подсистеме «Кондор». В свойствах проекта проверяем соответствие весовых коэффициентов заданным (рисунок 2.1),
|
|
Рисунок 2.1 — Весовые коэффициенты
Выбираем раздел «Политика безопасности», нажимаем кнопку «Изменить» и вводим данные в соответствии с таблицей (рисунки 2.2 и 2.3).
Рисунок 2.2 — Выбор раздела
Рисунок 2.3 — Ввод данных
В меню выбираем «Отчет — Создать отчет». Включаем только раздел «Политика безопасности» (рисунок 2.4) и формируем отчет.
Рисунок 2.4 — Формирование отчета
|
|
Получаем сведения об уровне риска (рисунок 2.5).
Рисунок 2.5 — Сводные данные по разделу «Политика безопасности»
2.2.1 В программном комплексе Digital Security Office 2006 (подсистема «Гриф») проанализировать модель информационных потоков и внести в модель информационной системы некоторые самые значимые изменения.
Например, ИС компании состоит из двух ресурсов: сервера и рабочей станции, которые находятся в одной сетевой группе, т.е. физически связанны между собой. На сервере хранится бухгалтерский отчет. На рабочей станции расположена база данных товаров компании.
К серверу локальный доступ имеет член группы пользователей — главный бухгалтер.
К рабочей станции локальный доступ имеет член группы — бухгалтер.
Создаем новый проект в подсистеме «ГРИФ». Добавляем отдел — «бухгалтерия» (рисунок 2.6).
Рисунок 2.6 – Добавление отдела
Добавляем сетевую группу – «Одноранговая сеть».
Добавляем ресурсы – «Сервер» и «Рабочая станция» (рисунок 2.7). Для ресурсов определяем тип, сетевую группу и отдел.
Рисунок 2.7 – Добавление ресурса
Добавляем виды информации – «бухгалтерский отчет» и «база данных товаров».
Добавляем группу – «Пользователи». Для группы определяем тип и средства защиты рабочего места: контроль доступа (дверь с замком), средства антивирусной защиты и встроенное в ОС средство разграничения доступа. Число пользователей – 2.
Рисунок 2.8 – Добавление группы пользователей
Переходим в раздел «Связи» и конфигурируем сервер и рабочую станцию, определив в соответствии с заданием виды информации, группы пользователей, средства защиты ресурса и средства защиты информации (рисунки 2.9 – 2.12).
Рисунок 2.9 – Средства защиты сервера
Рисунок 2.10 – Средства защиты информации на сервере
Рисунок 2.11 – Средства защиты рабочей станции
Рисунок 2.12 – Средства защиты информации на рабочей станции
Переходим в раздел «Политика безопасности» и рассматриваем только организационные меры, отвечая на все вопросы – «ДА».
Формируем отчет и анализируем раздел 3 (рисунки 2.13 – 2.15).
Рисунок 2.13 – Ущерб и риск ресурсов по классу угроз (сервер)
К – конфиденциальность, Ц - целостность, Д – доступность, И - итого
Рисунок 2.14 – Ущерб и риск ресурсов по классу угроз (рабочая станция)
Из анализа видно, что на суммарные зрачения ущерба и риска информационной системы по классу угроз существенное влияние оказывает рабочая станция.
Поэтому можно предложить включить дополнительные защитные механизмы по направлению – «доступность». Например добавление на рабочую станцию средства защиты информации – «резеррвное копирование» резко снижает зрачения ущерба и риска информационной системы (рисунок 2.16).
Рисунок 2.15 – Ущерб и риск информационной системы по классу угроз
Рисунок 2.16 – Изменение риска при применении дополнительных защитных механизмов на рабочей станции
2.2.1 В программном комплексе Digital Security Office 2006 (подсистема «Гриф») произвести расчет рисков информационной системы на основе модели угроз и уязвимостей
Создаем новый проект в подсистеме «ГРИФ». Добавляем отдел — «бухгалтерия».
Создаем ресурс — рабочая станция пользователя корпоративной ИС.
Определяем набор угроз информационной безопасности.
Раздел 1. Физическое воздействие человека, направленное на ИС.
Воздействие на ресурс:
- неавторизованное проникновение нарушителя внутрь охраняемого периметра (одного из периметров) (рисунок 2.17);
Рисунок 2.17 – Угроза «Проникновение»
- кража носителей информации (бумажные носители, дискеты, компакт-диски, флэш-карты, …) (рисунок 2.18);
Рисунок 2.18 – Угроза «Кража»
Раздел 2. Физические угрозы, направленные на ИС.
Локальное воздействие на ИС:
- удар молнии (рисунок 2.19).
Рисунок 2.19 – Угроза «Молния»
Раздел 3. Локальные программные угрозы, направленные на ресурс.
На операционную систему:
- запуск файлов, содержащих вирусы, которые воздействуют на операционную систему (рисунок 2.20).
Рисунок 2.20 – Угроза «Вирус»
Указываем, через какие уязвимости возможна реализация выбранных угроз (рисунки 2.21 – 2.23):
- отсутствие пропускной системы (системы контроля доступа) для персонала компании и разовых посетителей;
- отсутствие систем резервирования;
- не установлено антивирусное ПО.
Переходим в раздел «Связи» и конфигурируем рабочую станцию, определив для нее все угрозы и уязвимости (рисунок 2.24).
Формируем отчет и анализируем раздел 3 (рисунок 2.25).
Устранение каждой из уязвимостей приводит к снижению риска (рисунок 2.26). Однако стоимость реализации для них разная (рисунок 2.27). Наиболее эффективным является внедрение системы антивирусной защиты.
Рисунок 2.21 – Уязвимость «Отсутствие СКУД»
Рисунок 2.22 – Уязвимость «Отсутствие ИБП»
Рисунок 2.23 – Уязвимость «Отсутствие АВ»
Рисунок 2.24 – Угрозы и уязвимости для рабочей станции
Рисунок 2.25 – Ущерб и риск информационной системы
Рисунок 2.26 – Ущерб и риск информационной системы после устранения уязвимостей
Рисунок 2.27 – Эффективность контрмер
Раздел 3 – Разработка прикладной модели КСЗИ
3.1 Общие сведения
Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД:
- направление, связанное с СВТ;
- направление, связанное с АС.
Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено. При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.
В соответствии с выбранным прикладным назначением объекта следует привести краткое содержание «Перечня сведений, составляющих коммерческую (служебную) тайну» и «Положения о коммерческой (служебной) тайне», в частности – цели защиты информации, необходимый уровень защищенности информации, основные методы достижения целей защиты, политику безопасности информации предприятия.
Исходя из прикладного назначения ОИ следует обоснованно выбрать (рекомендовать к применению):
- класс защищенности АС, которая производит хранение и обработку конфиденциальной информации на объекте информатизации;
- класс защищенности СВТ, составляющих аппаратно-программную поддержку автоматизированной системы;
- класс межсетевых экранов (МЭ) по уровню защищенности от НСД, реализующих защиту внутренней вычислительной сети ОИ;
- класс применяемых на ОИ антивирусных средств;
- класс программного обеспечения средств защиты информации (СЗИ) по уровню контроля отсутствия в нем недекларированных возможностей.
3.2 Примеры заданий
3.2.1 Для указанных условий обосновать класс защищенности автоматизированной системы и предложить подходы к использованию программно-технических средств защиты.
Рассмотрим пример АС, объединяющей несколько подразделений предприятия (рисунок 3.1). В каждом подразделении имеется своя иерархически построенная локальная сеть, объединяющая одноранговые сети отделов. Сеть подразделения выполнена по звездообразной структуре, сети отделов имеют кольцевидную структуру. В сети подразделения имеется ряд серверов: информационный, почтовый и т.д. Сеть подразделения находится в пределах контролируемой зоны, связь между подразделениями обеспечивается посредством криптографически закрытых каналов связи. Безопасность сети подразделения обеспечивается должностным лицом – администратором сети, за безопасность всей АС отвечает должностное лицо – администратор системы.
Рисунок 3.1 – Структура гипотетической автоматизированной системы (АС)
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
- наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС – коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
В рассматриваемой АС может обрабатываться информация различного уровня конфиденциальности. Пользователи имеют различные полномочия по доступу к информации, поэтому данная АС должна относиться к классу защищенности 1Г (или 1Д). Обычно класс 1Г выбирается при обработке ПДн, а 1Д при обработке служебной тайны, банковской тайны и т.д.
В соответствии с Руководящим документом определяем требования к АС первой группы 1Д.
Таблица 3.1 – Требования к АС первой группы 1Д
Подсистемы и требования | Класс 1Д |
1. Подсистема управления доступом | |
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |
в систему | + |
2. Подсистема регистрации и учета | |
2.1. Регистрация и учет: | |
входа (выхода) субъектов доступа в (из) систему (узел сети) | + |
2.2. Учет носителей информации | + |
4. Подсистема обеспечения целостности | |
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + |
4.2. Физическая охрана средств вычислительной техники и носителей информации | + |
4.4. Периодическое тестирование СЗИ НСД | + |
4.5. Наличие средств восстановления СЗИ НСД | + |
Требования к классу защищенности 1Д:
В подсистеме управления доступом должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
В подсистеме регистрации и учета должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
- результат попытки входа: успешная или неуспешная - несанкционированная;
- идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку);
- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).
В подсистеме обеспечения целостности должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.
При этом:
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
Дальше необходимо предложить подходы к использованию программно-технических средств защиты, реализующие выявленные требования.
3.2.2 Для указанных условий обосновать класс защищенности средств вычислительной техники и предложить подходы к использованию программно-технических средств защиты.
Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- первая группа содержит только один седьмой класс;
- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от:
- грифа секретности обрабатываемой в АС информации;
- условий эксплуатации;
- расположения объектов системы.
При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
- не ниже 4 класса – для класса защищенности АС 1В;
- не ниже 3 класса – для класса защищенности АС 1Б;
- не ниже 2 класса – для класса защищенности АС 1А.
При разработке АС, предназначенной для обработки или хранения информации, составляющей коммерческую тайну, может быть рекомендован 5 или 6 класс защищенности.
Перечень показателей защищенности СВТ для 5 класса приведен в таблице 3.2.
Наименование показателя | 5 Класс |
Дискреционный принцип контроля доступа | + |
Очистка памяти | + |
Идентификация и аутентификация | + |
Гарантии проектирования | + |
Регистрация | + |
Целостность КСЗ | + |
Тестирование | + |
Руководство для пользователя | + |
Руководство по КСЗ | + |
Тестовая документация | + |
Конструкторская (проектная) документация | + |
3.2.3 Для указанных условий обосновать класс межсетевых экранов по уровню защищенности от НСД и предложить подходы к использованию программно-технических средств защиты.
[1] Лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
[2] Целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
[3] Информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.
[4] Техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
[5] Пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.