Идентификация активов и определение их ценности
Под активами автоматизированной системы понимаются «информация или ресурсы, подлежащие защите контрмерами объекта оценки», под ресурсами — «все, что может использоваться или потребоваться объекту оценки». Ресурсами могут быть как программные изделия, так и физические объекты, а также люди. Поскольку в работе рассматривается только программная среда, отнесем к ресурсам общее и специальное программное обеспечение, пользовательские данные, справочную информацию баз данных, конфигурационную информацию программных средств и т.п.
Активы можно классифицировать по различным признакам. Обычно применяется классификация по уровню конфиденциальности, что иногда бывает недостаточно, так как за рамками рассмотрения остается вопрос стоимости информации. Причем надо раздельно рассматривать стоимость информации для внешних злоумышленников и для своей организации.
Кроме того, существуют несекретные активы, для которых исключительно важно обеспечить целостность и доступность данных. Это — конфигурационные, настроечные данные программ, да и сами программы.
|
|
Таким образом, можно оценивать активы в плане важности обеспечения их свойств безопасности «по отдельности»: конфиденциальности, целостности, доступности. В некоторых случаях можно также ввести кумулятивный показатель важности, присвоив отдельным свойствам безопасности веса и выполнив свертку.
В определении ПРД к ресурсам имеются определенные нюансы, которые, как правило, остаются за рамками рассмотрения в известной литературе. Рассмотрим эти нюансы.
1. В отношении пользовательских данных предлагается следующий подход: наделить пользователя (пользователей) правами по управлению ими, т.е. пользователь имеет возможность при создании файла ограничить доступ к нему для всех других пользователей, включая администратора. Это может быть сделано путем шифрования файла либо установкой на него определенного пароля. Пользователь должен иметь возможность гибкой настройки соответствующих ПРД: кому-то (пользователям, группе) разрешить доступ только по чтению, кому-то — разрешить полный доступ, кому-то вообще его запретить. Таким образом, пользователь выступает в качестве администратора по отношению к создаваемой им информации.
2. Достаточно часто возникает необходимость в коллективной работе над документами. В настоящее время существует ряд программных средств, позволяющих выполнять такую деятельность. Предлагаются следующие ПРД для коллективных документов: доступ по чтению имеют все члены группы; корректировка пользователями осуществляется путем создания каждым из них временной копии файла и работе над ним; запись окончательных изменений должна осуществляться при получении согласия от всех пользователей группы (или, например, большинства). Таким образом, в качестве администратора для коллективных документов выступает множество (или подмножество) пользователей группы.
|
|
3 Информация справочных баз данных доступна по чтению в соответствии с уровнем полномочий пользователей. По записи она доступна только уполномоченным пользователям, которые выступают в качестве администраторов баз данных. Вносимые этими пользователями изменения должны обязательно заверяться, например ЭЦП.
4. Для назначения ПРД на конфигурационную информацию программных средств целесообразно разбить ее на три категории:
• недоступная для настройки;
• доступная для настройки только соответствующим администраторам;
• доступная для свободной настройки (например, вид рабочего окна той или иной программы).
В каждом программном средстве имеются, как правило, все три категории конфигурационной информации.
5. Целесообразно назначать ПРД не только на программные средства (возможность/невозможность их запуска пользователями), но и на опции, с которыми они запускаются. Например, кому-то может быть разрешен запуск редактора языка Visual Basic В MS Word, а кому-то запрещен.
Таким образом, субъекты и объекты рассматриваемой АС и назначенные ПРД могут быть представлены в виде, показанном на рис. 11.3. Необходимо формализовать подобные правила для построения системы защиты и полного определения политики безопасности. Использование такого подхода позволяет создать описание взаимодействия субъектов и объектов в соответствии с прохождением информационных потоков, а также выработать требования, необходимые для контроля доступа.
За счет абстрагирования от особенностей архитектуры АС появляется возможность применения унифицированных методов защиты: средства управления доступом, не зависящие от политики безопасности; средства авторизации, идентификации и аутентификации, не зависяшие от особенностей функционирования прикладных средств, и т.п.
Субъекты
Назначающие правила разграничения доступа
АС АР АУ АП Пользователи Процессы
Ппаяиня пя"»гпяииирниа ппгтт/пя | ||||||||||||||
Чтение | Дозапись | Модификация | Удаление | Запуск | ||||||||||
Создание субъектов | Удаление субъектов | Наделение атрибутами безопасности, их модификация | ||||||||||||
Объекты
ОПО, СПО в разных режимах запуска
Конфигурационная информация
Пользовательские данные
Справочная информация
Данные групп пользователей
Рис. 11.3. Детализация понятий субъектов и объектов
Разрабатываемая модель должна учитывать особенности построения АС и характер протекающих в ней процессов. Большое значение следует придавать критичности информационных потоков, связанных с командами на изменение полномочий пользователей и субъектов, на доступ к объектам вывода информации, к сетевым ресурсам, а также строгой аутентификации и фиксированию всех производящихся операций.