2020-09-24
173
При данном подходе нарушением считается попытка несанкционированного доступа (НСД) к любой части подлежащей защите информации, хранимой, обрабатываемой и передаваемой в ИС.
Поскольку время и место проявления преднамеренного НСД предсказать невозможно, целесообразно построить некоторую модель поведения потенциального нарушителя, предполагая наиболее опасную ситуацию. Одну из возможных моделей можно описать следующим образом:
a) нарушитель может появиться в любое время и в любом месте периметра автоматизированной системы;
b) квалификация и осведомленность нарушителя может быть на уровне разработчика данной системы;
c) постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна;
d) для достижения своей цели нарушитель выберет наиболее слабое звено в защите;
e) нарушителем может быть не только постороннее лицо, но и законный пользователь системы;
f) нарушитель действует один.
Данная модель позволяет определиться с исходными данными для построения защиты и наметить основные принципы ее построения.
|
|
|
Согласно п. «а» необходимо строить вокруг предмета защиты постоянно действующий замкнутый контур (или оболочку) защиты.
Согласно п. «b» свойства преграды, составляющие защиту, должны по возможности соответствовать ожидаемой квалификации и осведомленности нарушителя.
Согласно п. «c» для входа в систему законного пользователя необходима переменная секретная информация, известная только ему.
Согласно п. «d» итоговая прочность защитного контура определяется его слабейшим звеном.
Согласно п. «e» при наличии нескольких законных пользователей полезно обеспечить разграничение доступа к информации в соответствии с полномочиями и выполняемыми функциями, реализуя, таким образом, принцип наименьшей осведомленности каждого пользователя с целью сокращения ущерба в случае, если имеет место безответственность одного из них. Отсюда также следует, что расчет прочности защиты должен производиться для двух возможных исходных позиций нарушителей: за пределами контролируемой территории и внутри ее.
Согласно п. «f» в качестве исходной предпосылки также считаем, что нарушитель один, так как защита от группы нарушителей – задача следующего этапа исследований, которая связана с построением другой модели опасной ситуации. Однако это не исключает возможности защиты предлагаемыми методами и средствами и от такого рода ситуаций, хотя подобная задача значительно сложнее. При этом под группой нарушителей понимается группа людей, выполняющих одну задачу пол общим руководством.
|
|
|
Важно подчеркнуть, что для различных по назначению и принципам построения ИС, виду и ценности обрабатываемой в них информации наиболее «опасная» модель поведения потенциального нарушителя также может быть различной. Для военных систем это уровень разведчика-профессионала, для коммерческих систем – уровень квалификационного пользователя и т.п. Для медицинских систем, например, скорее всего не потребуется защита от побочного электромагнитного излучения и наводок, но защита от безответственности пользователей просто необходима. Очевидно, что для защиты информации от более квалифицированного и осведомленного нарушителя потребуется рассмотреть большее количество возможных каналов НСД и применить большее количество средств защиты с более высокими показателями прочности.
На основании изложенного для выбора исходной модели поведения потенциального нарушителя целесообразен дифференцированный подход. Поскольку квалификация нарушителя – понятие относительное и приближенное, возможно принять за основу четыре класса защищенности ИС:
· I-й класс рекомендуется для защиты жизненно важной информации, утечка, разрушение или модификация которой могут привести к большим потерям для пользователя. Прочность защиты должна быть рассчитана на нарушителя-профессионала;
· II-й класс рекомендуется использовать для защиты важной информации при работе нескольких пользователей, имеющих доступ к разным массивам данных или формирующих свои файлы, недоступные другим пользователям. Прочность защиты должна быть рассчитана на нарушителя высокой квалификации, но не на взломщика-профессионала;
· III-й класс рекомендуется для защиты относительно ценной информации, постоянный несанкционированный доступ к которой путем ее накопления может привести к утечке и более ценной информации. Прочность защиты при этом должна быть рассчитана на относительно квалифицированного нарушителя-непрофессионала;
· IV-й класс рекомендуется для защиты прочей информации, не представляющей интереса для серьезных нарушителей. Однако его необходимость диктуется соблюдением технологической дисциплины учета и обработки информации служебного пользования в целях защиты от случайных нарушений в результате безответственности пользователей и некоторой подстраховки от случаев преднамеренного НСД.
Реализация перечисленных классов безопасности должна обеспечиваться набором соответствующих средств защиты, перекрывающих определенное количество возможных каналов НСД в соответствии с ожидаемым классом потенциальных нарушителей. Уровень безопасности защиты внутри класса обеспечивается оценкой прочности отдельных средств защиты и оценкой прочности контура защиты от преднамеренного НСД. С этой целью осуществляется моделирование системы защиты информации.
