Раздел3_11
.pdf3 Политика безопасности. Избирательная политика безопасности. Полномочная политика безопасности. Организационнотехнические мероприятия. Организация мероприятий по защите информации. Общая характеристика отечественных и международных нормативных документов.
(Сост. Никонов А.В.)
3.1 Политика безопасности
Понятие «защищённости» системы принципиально отличается от лю-
бых других свойств технической системы и является для системы внешним, априорно заданным.
Защищаемая система обладает интегральной характеристикой, которая называется «политика безопасности». Это качественное
(или качественно-количественная) выражение свойств защищённости в терминах, представляющих систему [4].
В обычном смысле, ПОЛИТИКА БЕЗОПАСНОСТИ (Security Policy) – это документ, в котором определены основные направления защиты
информации на предприятии и установлена ответственность за соблюдение изложенных в нём требований[6].
Описание политики безопасности включает или учитывает
свойства «злоумышленника» и «объекта атаки».
Таким образом, ПОЛИТИКА БЕЗОПАСНОСТИ – набор законов,
правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в си-
стеме.
Политика безопасности должна охватывать все особенности процесса обработки информации, определяя поведение системы в различ-
ных ситуациях.
Политика безопасности реализуется при помощи ОРГАНИЗАЦИОННЫХ МЕР и ПРОГРАММНО-ТЕХНИЧЕСКИХ СРЕДСТВ,
определяющих архитектуру системы защиты.
Реализация политики безопасности для конкретной системы осу-
ществляется при помощи средств управления механизмами защиты.
Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, рас-
положения организации,и т. д.
Основу политики безопасности составляет способ УПРАВЛЕНИЯ ДОСТУПОМ, определяющий порядок доступа субъектов си-
стемы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.
В первую очередь следует разработать глубоко продуманную политику.
Формулировать политику в области информационной защиты должно высшее руководство организации.
Цель не может быть достигнута, пока на самом высоком уровне не будет сказано, чего следует добиваться, и не будут выделены ресурсы, которые поз-
волят должным образом защитить информационную инфраструктуру и обеспечить управление ею.
Для изучения свойств способа управления доступом создаётся
его формальное описание – математическая модель.
При этом модель должна отражать:
–состояния всей системы;
–переходы из одного состояния в другое;
–учитывать, какие состояния и переходы можно считать без-
опасными в смысле данного управления.
Без этого говорить о каких-либо свойствах системы, и тем более гарантиро-
вать их, некорректно. Для разработки моделей применяется широкий спектр математических методов (моделирования, теории информации, графов, автоматов и др.).
В настоящее время лучше всего изучены два вида политики безопас-
ности: ИЗБИРАТЕЛЬНАЯ (дискреционная) и ПОЛНОМОЧНАЯ (мандатная), основанные, соответственно на избирательном и полномочном способах управления доступом.
Кроме того, существует набор требований, усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.
НО! Следует отметить, что средства защиты, предназначенные для реа-
лизации какого-либо из названных способа управления доступом, только
предоставляют возможности надёжного управления доступом или
информационными потоками.
Определение прав доступа субъектов к объектам и (или) информа-
ционным потокам (полномочий субъектов и атрибутов объектов, присвоение ме-
ток критичности и т. д.) ВХОДИТ В КОМПЕТЕНЦИЮ АДМИНИСТРА-
ЦИИсистемы.
3.2 Избирательная (дискреционная) политика безопасности
Основой этого типа политики безопасности является избирательное
управление доступом, которое подразумевает, что:
–все субъекты и объекты системы должны быть идентифицированы;
–права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).
Дискреционная (дискретная) политика безопасности – имеет в ос-
нове дискреционное (действующее по усмотрению чего(кого)-либо)
управление доступом.
Англоязычная аббревиатура: DAC– Discretionaryaccess control.
Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД, иногда её назы-
вают матрицей контроля доступа).
Такая модель получила название матричной.
Матрица доступа представляет собой прямоугольную матрицу, в кото-
рой объекту системы соответствует строка, а субъекту столбец.
На пересечении столбца и строки матрицы указывается тип (ти-
пы) разрешённого доступасубъекта к объекту.
Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.
Пример– матрица доступа, рисунок 3.1.
Рисунок 3.1 – Дискреционная матрица доступа
Множество объектов и типов доступа к ним субъекта может изменяться
в соответствии с некоторыми Internet-правилами, существующими в данной системе. Определение и изменение этих правил также является задачей управления доступом.
Например, доступ субъекта к конкретному объекту может быть разре-
шён только в определённые дни (дата-зависимое условие), часы (вре- мя-зависимое условие),
в зависимости от других характеристик субъекта (контекстнозависимое условие) или в зависимости от характера предыдущей ра-
боты. Такие условия на доступ к объектам обычно используются вСУБД.
Кроме того, субъект с определёнными полномочиями может пе-
редать их другому субъекту (если это не противоречит правилам политики
безопасности).
Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке мат-
рицыдоступа.
Обычно избирательное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разреше-
ние доступа субъекта к объекту.
Матрица доступа – наиболее примитивный подход к моделированию си-
стем, который, однако, является основой для более сложных моделей,
наиболее полно описывающих различные стороны реальных компьютерных систем. (Избирательное управление доступом является основой требований к классам C2 и C1 по «Оранжевой книге» США).
Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, т. к. Internet, её реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчётности, а также имеет приемлемую стоимость и небольшие накладные расходы. Например: при Internet-доступе к делам отдела кадров организации. Из тысяч сотрудников реально такой доступ к компьютерам отдела кад-
ров нужен единицам, и как раз им-то нужны только самые простые Internet-функции для доступа к корпоративной почтовой системе. Простое, дешёвое и эффективное решение – «воздушный зазор»: отсоедините компьютеры отдела кадров от корпоративной сети и Internet. Дайте каждому из выделенных сотрудников по дополнительному персональному Internet – компьютеру младшего класса (которые часто безо всякого использования) для доступа к корпоративной почтовой системе. Цена данного решения мала, а проблемы с управлением сводятся на нет.
Недостаток этого типа политики безопасности – статичность мо-
дели: политика безопасности не учитывает динамику изменения состо-
яния АС, не накладывает ограничения на состояния системы.
Также, при дискреционной политике возникает вопрос определения
правил распространения прав доступа и анализа их влияния на без-
опасность АС.
Перед монитором безопасности объектов (МБО), который при санк-
ционировании доступа к объекту руководствуется некоторым набором правил,
стоит алгоритмически неразрешимая задача: проверить, приведут
ли его действия к нарушению безопасности или нет. (Впрочем, есть
модели АС, предоставляющие алгоритмы проверки безопасности (Take–Grant). Т. е., матрица доступов не является тем механизмом, который позволил бы
реализовать ясную систему защиты информации в АС.
3.3 Полномочная (мандатная) политика безопасности
Эта политика составляет мандатное управление доступом.
Англоязычная аббревиатура – МАС (Mandatory access control).
Основу полномочной (мандатной) политики безопасности составляет полномочное управление доступом, которое подразумевает, что:
а) все субъекты и объекты системы должны быть однозначно
идентифицированы; б) задан линейно упорядоченный набор меток секретности;
в) каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нём информации – т. е. его уро-
вень секретности в АС;
д) каждому субъекту системы присвоено максимальное значение метки секретности объектов, к которым субъект имеет доступ.
Метка секретностисубъекта называется его уровнем доступа.
В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности.
Организация меток имеет иерархическую структуру и, таким образом, в системе можно реализовать иерархически нисходящий поток информации(например, от рядовых исполнителей к руководству).
Чем важнее объект или субъект, тем выше его метка критично-
сти. Поэтому наиболее защищёнными оказываются объекты с наиболее высоки-
ми значениями метки критичности.
Каждый субъект, кроме уровня прозрачности, имеет текущее значе-
ние уровня безопасности, которое может изменяться от некоторого
минимального значения до значения его уровня прозрачности.
Основное назначение полномочной политики безопасности – ре-
гулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровнейдолжностной иерархии на нижние,
а также блокирование возможных проникновений с нижних уровней на верхние.
ПРИ ЭТОМ ОНА ФУНКЦИОНИРУЕТ НА ФОНЕ ИЗБИРА-
ТЕЛЬНОЙ ПОЛИТИКИ, придавая её требованиям иерархически упо-
рядоченный характер (в соответствии с уровнями безопасности).
Изначально полномочная политика безопасности была разрабо-
тана в интересах МО США для обработки информации с различными гри-
фами секретности.
Её применение в более широком секторе задач сдерживается
следующими основными причинами:
– отсутствием в организациях чёткой классификации хранимой и обрабатываемой информации, аналогичной государственной классифика-
ции (грифы секретности сведений);
– высокой стоимостью реализации и большими накладными расхо-
дами.
Для систем с мандатной политикой характерна более высокая степень надёжности, т. к. для такой системы должны отслеживаться
не только правила обращения субъектов к объектам, но и состоя-
ния самой АС(это модель АС под названием Белла Лапалуда).
Т. е., каналы утечки в системах данного типа не заложены в ней
непосредственно, а могут появиться только при практической реа-
лизации системы вследствие ошибокразработчика.
Принципиальное отличие систем с мандатной защитой от систем с дискреционнойзащитой:
если начальное состояниесистемы безопасно,
и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности,
то любое состояние системы безопасно.
3.4 Организационно-технические мероприятия
Основной перечень организационно-технических мероприятий
по защите информации связан с разделением полномочий.
1 Разработка и утверждение функциональных обязанностей
должностных лиц службы информационной безопасности.
2 Внесение необходимых изменений и дополнений во все орга-
низационно-распорядительные документы (положения о подразделе-
ниях, обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ре-
сурсов системы и действиям в случае возникновения кризисных ситуаций.
3 Оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе,
между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с приме-
нением электронной подписи.
4Создание научно-технических и методологических основ защиты системы.
5Исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры (и т. п.).
6Проверка и сертификация используемых в системе технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наво-
док.
7 Определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы.
8 Разработка правил управления доступом к ресурсам системы, опреде-
ление перечня задач, решаемых структурными подразделениями организации с использованием системы, а также используемых при их решении режимов обработки и доступа к данным.
9 Определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требова-
ния к уровням их защищённости от НСД при передаче, хранении и обра-
ботке в системе.
10 Выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест процесса обработки информации и каналов до-
ступа к ней.
11 Оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты.
12 Организация надёжного пропускного режима.