- •Предисловие
- •Введение
- •1. Понятие национальной безопасности
- •1.1. Интересы и угрозы в области национальной безопасности
- •1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание
- •2. Информационная безопасность в системе национальной безопасности Российской Федерации
- •2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности
- •2.2. Национальные интересы в информационной сфере
- •2.3. Источники и содержание угроз в информационной сфере
- •3. Государственная информационная политика
- •3.1. Основные положения государственной информационной политики Российской Федерации
- •3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности
- •4. Информация - наиболее ценный ресурс современного общества
- •4.1. Понятие «информационный ресурс»
- •4.2. Классы информационных ресурсов
- •5. Проблемы информационной войны
- •5.1. Информационное оружие и его классификация
- •5.2. Информационная война
- •6.1. Информационные процессы в сфере государственного и муниципального управления
- •6.2. Виды информации и информационных ресурсов в сфере ГМУ
- •6.3. Состояние и перспективы информатизации сферы ГМУ
- •7.1. Структура системы подготовки кадров в области информационной безопасности
- •7.2. Состав учебно-методического обеспечения системы и ее подсистема управления
- •7.3. Основные направления учебной деятельности
- •Литература
- •Часть 2. Информационная безопасность автоматизированных систем
- •1. Современная постановка задачи защиты информации
- •2. Организационно-правовое обеспечение информационной безопасности
- •2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации
- •2.2. Государственная система правового обеспечения защиты информации в Российской Федерации
- •3. Информационные системы
- •3.1. Общие положения
- •3.2. Информация как продукт
- •3.3. Информационные услуги
- •3.3.1. Разновидности информационных систем
- •3.3.2. Службы
- •3.4. Источники конфиденциальной информации в информационных системах
- •3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах
- •3.6. Виды технических средств информационных систем
- •4. Угрозы информации
- •4.1. Классы каналов несанкционированного получения информации
- •4.2. Причины нарушения целостности информации
- •4.3. Виды угроз информационным системам
- •4.4. Виды потерь
- •4.5. Информационные инфекции
- •4.6. Убытки, связанные с информационным обменом
- •4.6.1. Остановки или выходы из строя
- •4.6.5. Маскарад
- •4.6.7. Вторжение в информационную систему
- •4.7. Модель нарушителя информационных систем
- •5. Методы и модели оценки уязвимости информации
- •5.1. Эмпирический подход к оценке уязвимости информации
- •5.2. Система с полным перекрытием
- •5.3. Практическая реализация модели «угроза - защита»
- •6. Рекомендации по использованию моделей оценки уязвимости информации
- •8. Анализ существующих методик определения требований к защите информации
- •8.1. Требования к безопасности информационных систем в США
- •8.2. Требования к безопасности информационных систем в России
- •8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
- •8.4. Оценка состояния безопасности ИС Франции
- •8.4.1. Состояние безопасности малых информационных систем
- •8.4.2. Анализ состояния безопасности систем обмена данными
- •8.5. Факторы, влияющие на требуемый уровень защиты информации
- •9. Функции и задачи защиты информации
- •9.1. Общие положения
- •9.3. Классы задач защиты информации
- •9.4. Функции защиты
- •9.5. Состояния и функции системы защиты информации
- •10. Стратегии защиты информации
- •11. Способы и средства защиты информации
- •12. Криптографические методы защиты информации
- •12.2. Основные алгоритмы шифрования
- •12.3. Цифровые подписи
- •12.4. Криптографические хеш-функции
- •12.5. Криптографические генераторы случайных чисел
- •12.6. Обеспечиваемая шифром степень защиты
- •12.7. Криптоанализ и атаки на криптосистемы
- •13. Архитектура систем защиты информации
- •13.1. Требования к архитектуре СЗИ
- •13.2. Построение СЗИ
- •13.3. Ядро системы защиты информации
- •13.4. Ресурсы системы защиты информации
- •13.5. Организационное построение
- •Литература
- •1. Рабочая программа по дисциплине «Основы информационной безопасности»
- •2. Индивидуальные задания
- •3. Вопросы к экзамену
- •11. Термины по защите информации
- •Оглавление
Безопасность информации - это состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних и внешних угроз.
Руководящие документы ФСТЭК
8. Анализ существующих методик определения требований к защите информации
Проблема определения требований к защите информации в автомати зированных системах ее обработки возникла практически одновременно с самой проблемой защиты, т. е. когда средства электронно-вычисли тельной техники (ЭВТ) стали применяться для обработки конфиденци альной информации. При этом оказалось, что для ее решения нет сколь ко-нибудь адекватного аналога, поскольку в условиях бумажной инфор матики вопросы защиты информации решались преимущественно орга низационными средствами. Система защиты строилась таким образом, чтобы возможности несанкционированного получения защищаемой ин формации практически были исключены. В условиях же автоматизиро ванной обработки существует большое количество таких каналов не санкционированного получения информации, которые не могут быть пе рекрыты без применения специфических технических и программноаппаратных средств. Соответственно возникла необходимость определе ния требований к системам защиты, содержащим указанные средства. Задача оказалась достаточно сложной, в силу чего регулярная методика
еерешения до настоящего времени не разработана.
Всложившейся ситуации наиболее подходящим оказался подход, ос нованный на выделении некоторого количества типовых систем защиты
счетким обозначением тех механизмов защиты, которые должна содер жать каждая из типовых систем, и разработке рекомендаций по их ис пользованию.
Для оценки реального состояния безопасности информационной сис темы применяются различные критерии. Анализ отечественного и зару бежного опыта показал определенную общность подхода к определению состояния безопасности в разных странах. Ее сущность состоит в сле дующем. Для предоставления пользователю возможности оценки вводит ся некоторая система показателей и задается иерархия классов безопас ности. Каждому классу соответствует определенная совокупность обяза тельных функций. Степень реализации выбранных критериев показывает
текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Та кую систему можно отнести к классу систем с полным перекрытием уг роз и каналов утечки информации. В противном случае система безопас ности нуждается в дополнительных мерах защиты.
Показатель защищенности ИС - характеристика средств системы, влияющая на защищенность и описываемая определенной группой тре бований, варьируемых по уровню и глубине в зависимости от класса за щищенности.
Рассмотрим некоторые подходы к оценке безопасности ИС.
8.1. Требования к безопасности информационных систем в США
Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компь ютерной безопасности Министерства обороны США (NCSC - National Computer Security Center).
Этот центр в 1983 г. издал «Критерии оценки безопасности компью терных систем» (Trasted Computer Systems Evaluation Criteria - TCSEC). Этот документ часто называют «Оранжевой книгой». Данная разработка широко использовалась вплоть до принятия международного стандарта по безопасности информационных технологий ISO 15408. «Оранжевая книга» была утверждена в 1985 г. в качестве правительственного стан дарта. Она содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти кри терии, NCSC тестирует эффективность механизмов контроля безопасно сти. Следует подчеркнуть, что критерии делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Подобная возможность эмпирического анализа степени безопасности систем привела к международному признанию фе дерального стандарта США. NCSC считает безопасной систему, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут по лучить доступ на чтение, запись, создание или удаление информации».
Стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США».
Наиболее известным документом, четко определяющим критерии, по которым должна оцениваться защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться в системах об работки секретной конфиденциальной - в более общей постановке ин формации, является так называемая «Оранжевая книга», представляющая собой стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США» (Trusted Computer Systems Evaluation Criteria - TCSEC), принятый в 1983 г. Его принятию предшествовали 15-летние исследования, проводившие ся специально созданной рабочей группой и Национальным бюро стан дартов США.
Стандартом предусмотрено 6 фундаментальных требований, которым должны удовлетворять те вычислительные системы, которые использу ются для обработки конфиденциальной информации. Требования разде лены на три группы: стратегия, подотчетность, гарантии - в каждой группе по два требования следующего содержания:
1. Стратегия
Требование 1 - стратегия обеспечения безопасности: необходимо иметь явную и хорошо определенную стратегию обеспечения безопасности.
Требование 2 - маркировка: управляющие доступом метки должны быть связаны с объектами.
2. Подотчетность
■
Требование 3 - идентификация: индивидуальные субъекты должны идентифицироваться.
Требование 4 - подотчетность: контрольная информация должна храниться отдельно и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.
3. Гарантии
Требование 5 - гарантии: вычислительная система в своем составе должна иметь аппаратные/программные механизмы, допускающие неза висимую оценку на предмет достаточного уровня гарантий того, что сис тема обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.
Требование 6 - постоянная защита: гарантированно защищенные механизмы, реализующие перечисленные требования, должны быть по стоянно защищены от «взламывания» и/или несанкционированного вне сения изменений.
В зависимости от конкретных значений, которым отвечают автомати зированные системы, они разделены на 4 группы - D, С, В, А, которые названы так:
•D - минимальная защита;
•С - индивидуальная защита;
•В - мандатная защита;
•А - верифицированная защита.
Группы систем делятся на классы, причем все системы, относимые
кгруппе D, образуют один класс D, к группе С - два класса С1 и С2,
кгруппе В - три класса В1, В2 и В3, к группе А - один класс А1 с выде лением части систем вне класса.
Ниже рассмотрим названия и краткую характеристику перечислен ных классов.
• D - минимальная защита - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов.
•С1 - защита, основанная на индивидуальных мерах, - системы, обес печивающие разделение пользователей и данных. Они содержат
внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т. е. позво ляющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням сек ретности.
•С2 - защита, основанная на управляемом доступе, - системы, осуще ствляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям.
•В1 - защита, основанная на присваивании имен отдельным средствам безопасности, - системы, располагающие всеми возможностями сис тем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защи щаемым данным, включая и выдаваемые за пределы системы, и сред ства мандатного управления доступом ко всем поименованным субъ ектам и объектам.
•В2 - структурированная защита - системы, построенные на основе
ясно определенной и формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы.
•В3 - домены безопасности - системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допус кающие несанкционированных изменений. Объем монитора должен быть небольшим вместе с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены сигнализация о всех попытках несанк ционированных действий и восстановление работоспособности сис темы.
•А1 - верификационный проект - системы, функционально эквива лентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляет ся по строго определенным процедурам. Обязательно введение ад министратора безопасности.
Эти основные требования конкретизируются в показателях защи щенности, которые приведены в табл. 2.13.
Таблица 2.13. Показатели защищенности ИС на основе технологии IBM
|
1 |
|
ВЗ |
В2 |
В1 |
|
|
Наименование |
|
|
|
|
|||||
Показатель защищенности |
|
С2 |
С1 |
|||||
А1 |
подгруппы |
|||||||
|
|
|
|
|
|
|
|
показателей |
Избирательная политика |
|
|
|
|
+ |
+ |
|
|
безопасности |
|
|
|
|
|
|||
|
|
|
|
|
|
|
||
Полномочная политика |
|
|
|
|
+ |
|
|
|
безопасности |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
||
Повторное использование |
|
|
|
|
|
|
|
|
объектов |
|
|
|
|
|
|
|
|
Изоляция модулей |
|
|
|
|
|
|
|
|
Маркировка документов |
|
|
|
|
|
|
|
|
Защита ввода и вывода на |
|
|
|
|
|
|
Политика |
|
отчуждаемый физический |
|
|
|
|
|
|
безопасности |
|
носитель информации |
|
|
|
|
|
|
|
|
Сопоставление пользователя |
|
|
|
|
|
|
|
|
с устройством |
|
|
|
|
|
|
|
|
Избирательный контроль |
|
|
|
|
|
|
|
|
доступа |
|
|
|
|
|
|
|
|
Мандатный контроль доступа |
|
|
|
|
|
|
|
|
Указатели метки |
|
|
|
|
|
|
|
|
Указатели целостности |
|
|
|
|
|
|
|
Окончание табл. 2.13
|
|
|
|
|
|
|
Наименование |
Показатель защищенности |
А1 |
ВЗ |
В2 |
В1 |
С2 |
С1 |
подгруппы |
|
|
|
|
|
|
|
показателей |
|
|
|
|
|
|
|
|
Идентификация и аутентифи |
|
|
|
|
+ |
+ |
|
кация |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Регистрация |
|
|
|
|
+ |
|
Статистика |
Взаимодействие пользователя |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с комплексом средств защиты |
|
|
|
|
|
|
|
(КСЗ) |
|
|
|
|
|
|
|
Гарантии проектирования |
|
|
|
+ |
+ |
|
|
Гарантии архитектуры |
|
|
|
|
|
+ |
|
Надежное восстановление |
|
|
|
|
+ |
+ |
|
Целостность КСЗ |
|
|
|
|
|
|
Гарантии |
Контроль модификации |
|
|
|
|
|
|
|
Контроль дистрибуции |
|
|
|
|
|
|
|
Тестирование |
|
|
|
|
|
|
|
Контроль полномочий |
|
|
|
|
|
|
|
Контроль безопасности |
|
|
|
|
|
|
|
Руководство пользователя |
|
|
|
|
|
+ |
|
по безопасности |
|
|
|
|
|
|
|
|
|
|
|
|
|
Документация |
|
Инструкция по КСЗ |
|
|
|
|
+ |
+ |
|
|
|
|
|
|
|||
Тестовая документация |
|
|
|
|
|
+ |
|
Конструкторская докумен |
|
|
|
|
|
+ |
|
тация |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Примечание. Ниже дано пояснение применяемых обозначений. |
Не соответствует требованиям, предъявляемым к этому классу
Нет дополнительных требований к этому классу
Нет требований к этому классу
+Соответствует или превышает требования к этому классу
Разработаны также основные требования к проектной документации. В части стандартизации аппаратных средств информационных сис
тем и телекоммуникационных сетей в США разработаны правила стан дарта Transient Electromagnetic Pulse Emanations Standart (TEMPEST).
Этот стандарт предусматривает применение специальных мер защи ты аппаратуры от паразитных излучений электромагнитной энергии, пе рехват которой может привести к овладению охраняемыми сведениями.
Стандарт TEMPEST обеспечивает радиус контролируемой зоны пе рехвата порядка 1 м. Это достигается специальными схемотехническими, конструктивными и программно-аппаратными решениями, в том числе:
•применением специальной низкопотребляющей малошумящей эле ментной базы;
•специальным конструктивным исполнением плат и разводкой сиг нальных и земляных электрических цепей;
•использованием экранов и RC-фильтров, ограничивающих спектры сигналов в цепях интерфейсных соединений;
•применением специальных мер, обеспечивающих защиту от НСД (съемный жесткий диск, магнитные парольные карты, специальные замковые устройства, программно-аппаратные средства защиты ин формации и шифрования).
Снижение мощности побочных электромагнитных излучений и наво док (ПЭМИН) монитора достигается рядом конструктивно-технологи ческих решений, примененных в ПЭВМ:
•видеомонитор с задней стороны полностью заключен в металличе ский экран;
•плата видеоусилителей видеомонитора заключена в дополнительный экран;
•на соединительные кабели видеомонитора установлены ферритовые фильтры;
•сигнальные цепи выполнены экранированным кабелем;
•сигналы на интерфейсные разъемы системного блока подаются через LC-фильтры, ограничивающие спектр сигналов сверху;
•корпус системного блока металлический с токопроводящим покры тием, что обусловливает достаточную локализацию ПЭМИН.
Таблица 2.14. Основные требования к проектной документации (приводятся частично)
Описание техническая характеристика |
|
Класс |
защищенности |
|
|||
защиты |
С1 |
С2 |
|
В1 |
В2 |
B3 |
А1 |
|
|
|
|
|
|
|
|
Концепция защиты |
+ |
+ |
|
+ |
+ |
+ |
+ |
Каким образом концепция защиты реали |
+ |
+ |
|
+ |
+ |
+ |
+ |
зуется в ТСВ* |
|
||||||
Модульный принцип ТСВ, если принцип |
+ |
+ |
|
+ |
|
|
|
модульный |
|
|
|
|
|||
|
|
|
|
|
|
|
|
Продолжение табл. 2.14
Описание техническая характеристика |
|
Класс защищенности |
|
|||
защиты |
|
|
|
|
|
|
С1 |
С2 |
В1 |
В2 |
В3 |
А1 |
|
Устройства сопряжения между модулями |
|
|
|
|
|
|
ТСВ, если принцип модульный |
|
|
|
|
|
|
Какова защита самого ТСВ |
+ |
+ |
+ |
|
|
|
Предписание оператор концепции защиты |
+ |
+ |
+ |
+ |
+ |
+ |
системы |
||||||
Модель концепции защиты системы |
|
|
+ |
+ |
+ |
+ |
Аргументация достаточности модели |
|
|
|
|
|
|
концепции защиты в целях усиления этой |
|
|
+ |
+ |
+ |
+ |
концепции |
|
|
||||
Идентифицирование механизмов защиты |
|
|
+ |
+ |
+ |
+ |
ТСВ |
|
|
||||
Аргументация соответствия механизмов |
|
|
+ |
+ |
+ |
+ |
ТСВ модели концепции защиты системы |
|
|
||||
Модульный принцип ТСВ |
|
|
|
+ |
+ |
+ |
Устройства сопряжения между модулями |
|
|
|
+ |
+ |
+ |
ТСВ |
|
|
|
|||
Формальная внешняя модель концепции |
|
|
|
+ |
+ |
+ |
защиты |
|
|
|
|||
Аргументация достаточности модели |
|
|
|
+ |
+ |
+ |
концепции защиты для ее усиления |
|
|
|
|||
Схематическое отображение технических |
|
|
|
|
|
|
требований высшего уровня, изложенных |
|
|
|
|
|
|
в описательной форме, в устройстве со |
|
|
|
+ |
+ |
+ |
пряжения ТСВ |
|
|
|
|||
Каким образом ТСВ обеспечивает |
|
|
|
|
|
|
выполнение концепции обращения |
|
|
|
+ |
+ |
+ |
к монитору управляющей программы |
|
|
|
|||
Почему ТСВ является препятствием для |
|
|
|
|
|
|
вмешательства самовольного изменения |
|
|
|
+ |
+ |
+ |
процессов в систему |
|
|
|
|||
Почему ТСВ нельзя обойти |
|
|
|
+ |
+ |
+ |
Почему ТСВ обеспечивает правильное |
|
|
|
+ |
+ |
+ |
выполнение задач |
|
|
|
|||
Какова структура ТСВ, которая способст |
|
|
|
|
|
|
вует контрольному испытанию системы |
|
|
|
+ |
+ |
+ |
защиты |
|
|
|