Тема 8. Политика безопасности компьютерных систем и ее реализация
Информационной безопасностью занимаются давно. Первоначально это было прерогативой государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием " Критерии оценки надежных компьютерных систем " (Trusted Computer System Evaluation Criteria, TCSEEC), положив тем самым начало систематическому распространению знаний об информационной безопасности за пределами правительственных ведомств, Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде Европейских стран. В 1992 году в России Гостехкомиссия при Президенте РФ издала серию брошюр, посвященных проблеме защиты от несанкционированного доступа. Эта серия не получила широкого распространения.
"Оранжевая книга" и издания, следующие в ее фарватере, не дают ответов на вопросы:
· Как строить безопасные, надежные системы?
· Как поддерживать режим безопасности?
· Какие технические средства имеются на рынке для обеспечения информационной безопасности в офисе?
поскольку ориентированы в первую очередь на разработчиков информационных систем, а не менеджеров. Да и оценки важности различных аспектов безопасности в государственных и коммерческих структурах различны.
Современный подход к обеспечению информационной безопасности предполагает, что защитные мероприятия призваны обеспечить конфиденциальность, целостность и доступность информации.
· Для режимных государственных организаций на первом месте стоит конфиденциальность, а целостность понимается исключительно как неизменность информации.
· Для коммерческих структур, вероятно, важнее всего целостность (актуальность) и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются и количественно, и качественно.
В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".
Идейной основой набора Руководящих документов по защите информации от НСД является "Концепция защиты СВТ и" АС от НСД к информации". Концепция "излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации".
В Концепции различаются понятия средств вычислительной техники (СВТ) и автоматизированной системы (АС). Более точно:
"Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД. Это — направление, связанное с СВТ, и направление, связанное с АС.
Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации....
При этом защищенность СВТ есть потенциальная защищенность, т.е. свойства предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС."
Существуют различные способы покушения на информационную безопасность — радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ к информации выделяется как
"доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.
Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС."
В Концепции формулируются следующие основные принципы защиты от НСД к информации:
"...
3.2, Защита СВТ обеспечивается комплексом программно-технических средств.
3.3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
3.4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
3.5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
3.6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
3.7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами."
Концепция ориентируется на физически защищенную среду, проникновение в которую посторонних лиц считается невозможным, поэтому нарушитель правил разграничения доступа определяется как "субъект доступа, осуществляющий несанкционированный доступ к информации". В свою очередь с убъект доступа определен как " лицо или процесс, действие которого регламентируются правилами разграничения доступа ".
В качестве модели нарушителя в АС рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
"Нарушители классифицируются по уровню возможностей, предоставляемых им этими средствами. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.
4.2. Первый уровень определяет самый низкий уровень возможностей ведения диалога в AC — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
4.3. В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты."
В качестве главного средства защиты от НСД к информации в Концепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями СРД являются:
· "реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
· реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
· изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
· управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
· реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам."
Кроме того, Концепция предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:
· "идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
· регистрацию действий субъекта и его процесса предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
· реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
· тестирование;
· очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
· учет выходных печатных и графических форм и твердых копий в АС;
· контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств."
Технические средства защиты от НСД, согласно Концепции, должны оцениваться по следующим основным параметрам:
· "степень полноты охвата ПРД реализованной СРД и ее качество;
· состав и качество обеспечивающих средств для СРД;
· гарантии правильности функционирования СРД и обеспечивающих ее средств".
Классификация СВТ по уровню защищенности от НСД
Переходя к рассмотрению предлагаемой Гостехкомиссией при Президенте РФ классификации средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации, отметим ее близость к классификации "Оранжевой книги".
"Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
· первая группа содержит только один седьмой класс;
· вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
· третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
· четвертая группа характеризуется верифицированной защитой и содержит только первый класс".
Здесь понимают
"Дискреционное управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.
Мандатное управление доступом - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности."
Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
Приведем сводную таблицу распределения показателей защищенности по шести классам СВТ (табл. 1).
Наименование показателя | Класс защищенности | |||||||||
Дискреционный принцип контроля доступа | + | + | + | = | + | = | ||||
Мандатный принцип контроля доступа | - | - | + | = | = | = | ||||
Очистка памяти | - | + | = | = | ||||||
Изоляция модулей | - | - | + | = | + | = | ||||
Маркировка документов | - | - | + | = | = | = | ||||
Защита ввода и вывода информации на отчуждаемый физический носитель информации | - | - | + | = | = | = | ||||
Сопоставление пользователя с устройством | - | - | + | = | = | = | ||||
Идентификация и аутентификация | + | = | + | = | = | = | ||||
Гарантии проектирования | - | + | + | + | + | + | ||||
Регистрация | - | + | + | + | = | = | ||||
Взаимодействие пользователя с КСЗ | - | - | - | + | = | = | ||||
Надежное восстановление | - | - | - | + | = | = | ||||
Целостность КСЗ | - | + | + | + | = | = | ||||
Контроль модификации | - | - | - | - | + | = | ||||
Контроль дистрибуции | - | - | - | - | + | = | ||||
Гарантии архитектуры | - | - | - | - | - | + | ||||
Тестирование | + | + | + | + | + | = | ||||
Руководство для пользователя | + | = | = | = | = | = | ||||
Руководство для КСЗ | + | + | = | + | + | = | ||||
Тестовая документация | + | + | + | + | + | = | ||||
Конструкторская (проектная) документация | + | + | + | + | + | + | ||||
Обозначения § "-" - нет требований к данному классу; § "+" - новые или дополнительные требования; § "=" - требования совпадают с требованиями к СВТ предыдущего класса § КСЗ - комплекс средств защиты | ||||||||||
Вторая группа | Третья группа | Четвертая группа | ||||||||
Классификация АС по уровню защищенности от НСД
Классификация автоматизированных систем устроена иначе. Обратимся к соответствующему Руководящему документу:
"Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А."
Наглядно взаимосвязь классов и групп защищенности от НСД представлено на рисунке.
Рис. 8.1 Классификация АС по степени защищенности от НСД
Требования к классу защищенности 1В:
Подсистема управления доступом:
· должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
· должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;
· должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
· должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
· должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета:
· должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова;
· должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию;
· должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
· должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
· должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа;
· должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
· должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и занесением учетных данных в журнал; учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);
· должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двухкратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации;
· должна осуществляться сигнализация попыток нарушения защиты.
Подсистема обеспечения целостности:
· должна быть обеспечена целостность программных средств ситемы защиты информации (СЗИ) НСД, а также неизменность программной среды, при этом: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
· должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;
· должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
· должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;
· должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности; должны использоваться сертифицированные средства защиты."
По существу перед нами минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации