После выбора показателей эффективности и критерия эффективности может быть осуществлена математическая постановка задачи разработки КСЗИ. На этом этапе уже известны:
- F={f1, f2,..., fn} - функции, которые должна выполнять КСЗИ;
- M={m1, m2, …, mk} - возможные механизмы защиты;
- U={u1, u2,..., up} - способы управления КСЗИ.
- Y={у1,у2,..., уW} - показатели эффективности КСЗИ;
Показатели эффективности зависят от выполняемых функций, механизмов защиты и способов управления КСЗИ: Y=Ф(F, М, U).
Критерий эффективности получается с использованием показателей эффективности: К=Е(Y). Тогда математическая постановка задачи разработки КСЗИ в общем случае может быть представлена в следующем виде:
найти extrS(F,M*,U*), при М* Î М, U* Î U, которым соответствуют Y* Î YД, где YД - множество допустимых значений показателей эффективности КСЗИ.
То есть, требуется создать или выбрать такие механизмы ЗИ и способы управления системой защиты, при которых обеспечивается выполнение всего множества требуемых функций и достигается максимум или минимум выбранного критерия, а также выполняются ограничения на некоторые показатели эффективности. Такая постановка применима не только для решения общей, но и частных задач оценки эффективности КСЗИ.
|
|
Подходы к оценке эффективности КСЗИ. Эффективность КСЗИ оценивается как на этапе
разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода: классический; официальный; экспериментальный.
1. Классический подход. Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности.
Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной КС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.
2. Официальный подход. Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности ИТ проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.
|
|
Требования могут задаваться перечнем механизмов ЗИ, которые необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является ее класс защищенности. Несомненным достоинством таких классификаторов (стандартов) является простота использования.
Основным недостатком официального подхода к определению эффективности систем защиты является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.
Во всех развитых странах разработаны свои стандарты защищенности компьютерных систем критического применения. Так, в министерстве обороны США используется стандарт TCSEC (Department of Defense Trusted Computer System Evaluation Criteria) [42], который известен как Оранжевая книга.
Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D.
В некоторых случаях группы безопасности делятся дополнительно на классы безопасности.
Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены формальными методами. В этой группе имеется только один класс - А1.
Группа В (полномочная или полная защита) представляет полную защиту КС. В этой группе выделены классы безопасности В1, В2 и ВЗ.
Класс В1 (защита через грифы или метки) обеспечивается использованием в КС грифов
секретности, определяющих доступ пользователей к частям системы.
Класс В2 (структурированная защита) достигается разделением информации на защищенные и незащищенные блоки и контролем доступа к ним пользователей.
Класс ВЗ (области или домены безопасности) предусматривает разделение КС на подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.
Группа С (избирательная защита) представляет избирательную защиту подсистем с контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2
Класс С1 (избирательная защита информации) предусматривает разделение в КС пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты КС.
Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается раздельным доступом пользователей к данным.
Группу D (минимальной безопасности) составляют КС, проверенные на безопасность, но которые не могут быть отнесены к классам А, В или С.
Организация защиты информации в вычислительных сетях министерства обороны США осуществляется в соответствии с требованиями руководства "The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines".
Этот документ получил название Красная книга (как и предыдущий - по цвету обложки).
Подобные стандарты защищенности КС приняты и в других развитых странах. Так, в 1991 году Франция, Германия, Нидерланды и Великобритания приняли согласованные "Европейские критерии", в которых рассмотрено 7 классов безопасности от Е0 до Е6.
В РФ аналогичный стандарт разработан в 1992 году Государственной технической комиссией (ГТК) при
Президенте РФ.
Этим стандартом является руководящий документ ГТК "Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации" [14].
Устанавливается семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации (таблица 14.1). Самый низкий класс - седьмой, самый высокий - первый.
|
|
Таблица 14.1. Показатели защищенности по классам СВТ
Наименование показателя | Класс защищенности | |||||
1. Дискреционный принцип контроля доступа | + | + | + | = | + | = |
2. Мандатный принцип контроля доступа | - | - | + | = | = | = |
3. Очистка памяти | - | + | + | + | = | = |
4. Изоляция модулей | - | - | + | = | + | = |
5. Маркировка документов | - | - | + | = | = | = |
6. Защита ввода и вывода на отчуждаемый физический носитель информации | - | - | + | = | = | = |
7. Сопоставление пользователя с устройством | - | - | + | = | = | = |
8. Идентификация и аутентификация | + | = | + | = | = | = |
9. Гарантия проектирования | - | + | + | + | + | + |
10.Регистрация | - | + | + | + | = | = |
11. Взаимодействие пользователя с КСЗ | - | - | - | + | = | = |
12. Надежное восстановление | - | - | - | + | = | = |
13. Целостность КСЗ | - | + | + | + | = | = |
14. Контроль модификации | - | - | - | - | + | = |
15. Контроль дистрибуции | - | - | - | - | + | = |
16. Гарантии архитектуры | + | |||||
17. Тестирование | + | + | + | + | + | = |
18. Руководство пользователя | ||||||
19. Руководство по КСЗ | + | + | = | + | + | = |
20. Текстовая документация | + | + | + | + | + | = |
21. Конструкторская (проектная) документация | + | + | + | + | + | + |
Обозначения: "-" - нет требований к данному классу; "+" - новые или дополнительные требования; "=" – требова-
ния совпадают с требованиями к СВТ предыдущего класса; КСЗ - комплекс средств защиты.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- 1 группа содержит только один седьмой класс;
- 2 группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- 3 группа характеризуется мандатной защитой и содержит 4, 3 и 2 классы;
- 4 группа характеризуется верифицированной защитой и содержит только 1класс.
- 7 класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
Кроме требований к защищенности отдельных элементов СВТ, в Руководящем документе приведены требования к защищенности автоматизированных систем (AC) [14]. В отличие от СВТ автоматизированные системы являются функционально ориентированными. При создании АС учитываются особенности пользовательской информации, технология обработки, хранения и передачи информации, конкретные модели угроз.
|
|
Устанавливается девять классов защищенности АС от НСД к информации.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
Третья группа классифицирует АС, с которыми работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.
Группа содержит два класса - ЗБ и ЗА.
Во вторую группу сведены АС, пользователи которых имеют одинаковые права доступа ко всей информации АС.
Группа содержит два класса - 2Б и 2А. Первую группу составляют многопользовательские АС, в которых пользователи имеют разные права доступа к информации.
Группа включает пять классов - 1Д, 1Г, 1В. 1Б, 1А.
Требования ко всем девяти классам защищенности АС сведены в таблице 14.2.
Таблица 14.2. Требования к защищенности автоматизированных систем
Подсистемы и требования | Классы | ||||||||
ЗБ | ЗА | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1. Подсистема управления доступом | |||||||||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов | |||||||||
- в систему | + | + | + | + | + | + | + | + | + |
- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | + | + | + | + | + | ||||
- к программам | + | + | + | + | + | ||||
- к томам, каталогам, файлам, записям, полям записей | + | + | + | + | + | ||||
1.2. Управление потоками информации | + | + | + | + | |||||
2. Подсистема регистрации и учета | |||||||||
2.1. Регистрация и учет: | |||||||||
- входа/выхода субъектов доступа в/из системы (узла сети) | + | + | + | + | + | + | + | ||
- выдачи печатных (графических) выходных документов | + | + | + | + | + | ||||
- запуска/завершения программ и процессов (заданий, задач) | + | + | + | + | + | ||||
- доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | + | + | + | + | + | ||||
- доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | + | + | + | + | + | ||||
- изменения полномочий субъектов доступа | + | + | + | ||||||
- создаваемых защищаемых объектов доступа | + | + | + | + | |||||
2.2. Учет носителей информации | + | + | + | + | + | + | + | ||
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | + | + | + | + | + | ||||
2.4. Сигнализация попыток нарушения защиты | + | + | + | ||||||
3. Криптографическая подсистема | |||||||||
3.1. Шифрование конфиденциальной информации | + | + | + | ||||||
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | + | ||||||||
3.3. Использование аттестованных (сертифицированных) криптографических средств | + | + | + | ||||||
4. Подсистема обеспечения целостности | |||||||||
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | ||
4.2. Физическая охрана средств ВТ и носителей информации | + | + | + | + | + | + | + | ||
4.3. Наличие администратора (службы) защиты информации в АС | + | + | + | + | |||||
4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | ||
4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | ||
4.6.Использование сертифицированных средств защиты | + | + | + | + |
Обозначения: "+" - есть требования к данному классу;
СЗИ НСД - система защиты информации от несанкционированного доступа.
Для примера целесообразно рассмотреть подробно требования к одному из представительных классов защищенности, а именно к классу 1В.
В подсистеме управления доступом АС должны осуществляться:
- идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
- идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;
- идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
- управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета должна обеспечивать:
- регистрацию входа/выхода субъектов доступа в систему/из системы, либо регистрацию загрузки и инициализации операционной системы и ее программного останова;
- регистрацию выдачи печатных (графических) документов на "твердую" копию;
- регистрацию запуска/завершения программ и "процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
- регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
- регистрацию изменений полномочий субъектов доступа и статуса объектов доступа;
- автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
- учет всех защищаемых носителей информации с помощью их любой маркировки;
- очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется путем записи последовательности 1 и 0 в любую освобождаемую область памяти, использованную для хранения защищаемой информации;
- сигнализацию попыток нарушения защиты. Подсистема обеспечения целостности предусматривает:
- обеспечение целостности программных средств СЗИ НСД, а также неизменность программной среды. Целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
- охрану СВТ (устройств и носителей информации), что предполагает охрану территории и здания, где размещается АС, с помощью ТС и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;
- наличие администратора (службы) ЗИ, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- периодическое тестирование всех функций СЗИ НСД с помощью специальных программ не реже одного раза в год;
- наличие средств восстановления СЗИ НСД (ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности);
- использование сертифицированных средств защиты. Представленный перечень является тем минимумом требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.
Стандарт требований TCSEC соответствует ИС с применением ЭВМ общего пользования (main frame) и мини-ЭВМ. Для персональных ЭВМ (ПК) и локальных сетей ПК требования безопасности должны быть несколько иными. Такие требования изложены [42] в стандарте The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines, получившем название Красная книга. Неофициальные названия стандартов США Оранжевая книга и Красная книга связаны с соответствующим цветом обложек этих документов.
3. Экспериментальный подход. Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников.
Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой КС, до высококвалифицированного сотрудника службы безопасности.
Служба безопасности до момента преодоления защиты "злоумышленниками" должна ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать "взлома" системы защиты.
Такой подход к оценке эффективности позволяет получать объективные данные о возможностях существующих КСЗИ, но требует высокой квалификации исполнителей и больших материальных и временных затрат. Для проведения экспериментов необходимо иметь самое современное оборудование (средства инженерно-технической разведки, аппаратно-программные и испытательные комплексы (стенды) и т.п.)