double arrow

Проектирование системы защиты данных в ИБ

Рекомендации Х.800

«Оранжевая книга» Министерства обороны США и Руково­дящие документы создава­лись в расчете на централизованные конфигурации, основу ко­торых составляют большие машины. Распределенная организа­ция современных информационных систем требует внесения существенных изменений и дополнений как в политику безопас­ности, так и в способы проведения их в жизнь. Появились новые угрозы, для противодействия которым нужны новые функции и механизмы защиты. Основополагающим документом в области защиты распределенных систем стали Рекомендации Х.800. В этом документе перечислены основные сервисы (функции) бе­зопасности, характерные для распределенных систем, и роли, которые они могут играть. Кроме того, здесь указан перечень ос­новных механизмов, с помощью которых можно реализовать эти сервисы.

/

Для разработки системы защиты информации проектировщи­кам необходимо выполнить следующие виды работ:

• на предпроектной стадии определить особенности хранимой информации, выявить виды угроз и утечки информации и оформить ТЗ на разработку системы;

• на стадии проектирования выбрать концепцию и принципы построения системы защиты и разработать функциональную структуру системы защиты;

• выбрать механизмы - методы защиты, реализующие выбран­ные функции;

• разработать программное, информационное, технологическое и организационное обеспечение системы защиты;

• провести отладку разработанной системы;

• разработать пакет технологической документации;

• осуществить внедрение системы;

• проводить комплекс работ по эксплуатации и администриро­ванию системы защиты.

Существенное значение при проектировании системы защиты информации придается предпроектному обследованию объекта. На этой стадии выполняются следующие операции:

• устанавливается наличие секретной (конфиденциальной) ин­формации в разрабатываемой ЭИС, оцениваются уровень кон­фиденциальности и объемы такой информации;

• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплек­са технических средств, общесистемные программные сред­ства и т.д.;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяются степень участия персонала, специалистов и вспо­могательных работников объекта автоматизации в обработ­ке информации, характер взаимодействия между собой и со службой безопасности;

• определяется состав мероприятий по обеспечению режима секретности на стадии разработки.

На стадии проектирования выявляется все множество кана­лов несанкционированного доступа путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты ин­формации и выбранной модели нарушителя.

Создание базовой системы защиты информации в ЭИС в це­лом и для информационной базы, в частности, должно основы­ваться на главных принципах, сформулированных в работе [2].

• Комплексный подход к построению системы защиты, означа­ющий оптимальное сочетание программных, аппаратных средств и организационных мер защиты.

• Разделение и минимизация полномочий по доступу к обраба­тываемой информации и процедурам обработки.

• Полнота контроля и регистрация попыток несанкционирован­ного доступа.

• Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или
непреднамеренных ошибок пользователей и обслуживающе­го персонала.

• «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей ЭИС.

Установление видов угроз и средств их реализации позволяет проектировщикам ЭИС разработать структуру системы защи­ты хранимых, обрабатываемых и передаваемых данных, осно­ванную на применении разнообразных мер и средств защиты. Важную часть этой системы составляет организация подсистем: управления доступом; регистрации и учета; обеспечения цело­стности. Для каждой подсистемы определяются основные цели, функции, задачи и методы их решения.

Существует несколько подходов к реализации системы защи­ты. Ряд специалистов из практики своей работы предлагают раз­делять систему безопасности на две части: внутреннюю и вне­шнюю. Во внутренней части осуществляется в основном контроль доступа путем идентификации и аутентификации пользователей при допуске в сеть и доступе в базу данных. Помимо этого шиф­руются и идентифицируются данные во время их передачи и хра­нения.

Безопасность во внешней части системы в основном достига­ется криптографическими средствами. Аппаратные средства за­щиты реализуют функции разграничения доступа, криптографии, контроля целостности программ и их защиты от копирования во внутренней части, хорошо защищенной административно.

Как правило, для организации безопасности данных в ИБ используется комбинация нескольких методов и механизмов. Выбор способов защиты информации в ИБ - сложная оптимиза­ционная задача, при решении которой требуется учитывать ве­роятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересо­ванных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющей выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности инфор­мации при данных затратах или минимизацию затрат при задан­ном уровне безопасности информации.

После выбора методов и механизмов осуществляется разра­ботка программного обеспечения для системы защиты. Программ­ные средства, реализующие выбранные механизмы защиты, дол­жны быть подвергнуты комплексному тестированию. Изготови­тель или поставщик выполняет набор тестов, документирует его и предоставляет на рассмотрение аттестационной комиссии, ко­торая проверяет полноту набора и выполняет свои тесты. Тести­рованию подлежат как собственно механизмы безопасности, так и пользовательский интерфейс к ним.

Тесты должны показать, что защитные механизмы функцио­нируют в соответствии со своим описанием и что не существует очевидных способов обхода или разрушения защиты. Кроме того, тесты должны продемонстрировать действенность средств управ­ления доступом, защищенность регистрационной и аутентификационной информации. Должна быть уверенность, что надеж­ную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.

Составление документации - необходимое условие гаранти­рованной надежности системы и одновременно инструмент про­ведения выбранной концепции безопасности. Согласно «Оран­жевой книге» в комплект документации надежной системы дол­жны входить следующие компоненты:

• руководство пользователя по средствам безопасности;

• руководство администратора по средствам безопасности;

• тестовая документация;

• описание архитектуры.

Руководство пользователя по средствам безопасности пред­назначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безо­пасности и способах их использования. Руководство должно да­вать ответы на следующие вопросы:

• Как входить в систему? Как вводить имя и пароль? Как ме­нять пароль? Как часто это нужно делать? Как выбирать но­вый пароль?

• Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?

• Как импортировать и экспортировать информацию, не нару­шая правил безопасности?

• Как уживаться с системными ограничениями? Почему эти ог­раничения необходимы? Какой стиль работы сделает огра­ничения необременительными?

Руководство администратора по средствам безопасности предназначено и для системного администратора, и для админи­стратора безопасности. В Руководстве освещаются вопросы на­чального конфигурирования системы, перечисляются текущие обязанности администратора, анализируются соотношения меж­ду безопасностью и эффективностью функционирования. В со­став Руководства администратора должны быть включены сле­дующие вопросы:

• Каковы основные защитные механизмы?

• Как администрировать средства идентификации и аутентифи­кации? В частности, как заводить новых пользователей и уда­лять старых?

• Как администрировать средства произвольного управления
доступом? Как защищать системную информацию? Как об­наруживать слабые места?

• Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?

• Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?

• Как генерировать новую, переконфигурированную надежную вычислительную базу?

• Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?

• Как разделить обязанности системного администратора и оператора?

Тестовая документация содержит описания тестов и их ре­зультаты.

Описание архитектуры в данном контексте должно включать в себя, по крайней мере, сведения о внутреннем устройстве надеж­ной вычислительной базы.

Технологический процесс функционирования системы защи­ты информации от несанкционированного доступа как комплек­са программно-технических средств и организационных (проце­дурных) решений предусматривает выполнение следующих про­цедур:

• учет, хранение и выдачу пользователям информационных но­сителей, паролей, ключей;

• ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

• оперативный контроль функционирования систем защиты сек­ретной информации;

• контроль соответствия общесистемной программной среды эталону;

• контроль хода технологического процесса обработки инфор­мации путем регистрации анализа действий пользователей.
Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информа­ции от несанкционированного доступа и точного выполнения, предусмотренных проектной документацией механизмов и про­цедур нельзя решить проблему обеспечения безопасности инфор­мации, хранимой в ИБ и в системе в целом.

Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для рабо­ты функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут слу­жить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного жур­нала и т.п.

Концептуальной основой администрирования является инфор­мационная база управления безопасностью. Эта база может не су­ществовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходи­мой для проведения в жизнь выбранной концепции безопасности.

Деятельность администратора средств безопасности должна осуществляться по трем направлениям:

• администрирование системы в целом;

• администрирование функций безопасности;

• администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим под­держание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на про­исходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбини­рование механизмов для реализации функции безопасности, вза­имодействие с другими администраторами для обеспечения со­гласованной работы.

Обязанности администратора механизмов безопасности оп­ределяются перечнем задействованных механизмов, например таким типовым списком:

• управление ключами (генерация и распределение);

• управление шифрованием (установка и синхронизация крип­тографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электрон­
ной подписи, управление целостностью, если оно обеспечи­вается криптографическими средствами;

• администрирование управления доступом (распределение ин­формации, необходимой для управления, - паролей, списков доступа и т.п.);

• управление аутентификацией (распределение информации, необходимой для аутентификации, - паролей, ключей и т.п.).

• Вопросы для самопроверки

1. Что такое «концепция безопасности» хранимых данных и ее содержание?

2. Каковы средства реализации механизма подотчетности и их содержание?

3. Какая информация должна фиксироваться в процессе прото­колирования событий?

4. Каковы основные принципы защиты от НСД, сформулиро­ванные в «Концепции защиты СВТ и АС от НСД к информа­ции»?

5. Каков состав операций, выполняемых при проектировании системы защиты данных в ИБ?

6. Каков состав операций, выполняемых на предпроектной ста­дии?

7. Что такое угроза безопасности? Перечислите основные виды угроз.

8. Что понимается под «несанкционированным доступом» и ка­ковы основные пути несанкционированного доступа?

9. Каковы методы защиты от НСД?

10. Что такое «защита от несанкционированного копирования ценной компьютерной информации»? Назовите методы ее обеспечения.

11. Каков состав подсистем, включаемых в систему защиты дан­ных?

12. Назовите состав выполняемых функций Подсистемы управ­ления доступом.

13. Каков состав функций, возлагаемых на Подсистему регист­рации и учета?

14. Какие функции должна выполнять Подсистема обеспечения целостности?

15. В чем заключается содержание механизма управления дос­тупом?

16. Каковы алгоритмы криптографической защиты данных?

17. В чем заключается содержание механизма обеспечения цело­стности данных?

18. Каков состав документации по системе защиты? В чем зак­лючается ее содержание?

19. В чем состоит содержание процедуры администрирования системы защиты данных ИБ?

20. Что означает гарантированность разработанной системы защиты данных? В чем ее назначение?

21. Проверку каких элементов включает операционная гаранти­рованность?

Каково назначение технологической гарантированности и в чем заключается ее содержание


Сейчас читают про: