Безопасность информации - это состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних и внешних угроз.

Руководящие документы ФСТЭК

8. Анализ существующих методик определения требований к защите информации

Проблема определения требований к защите информации в автомати­ зированных системах ее обработки возникла практически одновременно с самой проблемой защиты, т. е. когда средства электронно-вычисли­ тельной техники (ЭВТ) стали применяться для обработки конфиденци­ альной информации. При этом оказалось, что для ее решения нет сколь­ ко-нибудь адекватного аналога, поскольку в условиях бумажной инфор­ матики вопросы защиты информации решались преимущественно орга­ низационными средствами. Система защиты строилась таким образом, чтобы возможности несанкционированного получения защищаемой ин­ формации практически были исключены. В условиях же автоматизиро­ ванной обработки существует большое количество таких каналов не­ санкционированного получения информации, которые не могут быть пе­ рекрыты без применения специфических технических и программноаппаратных средств. Соответственно возникла необходимость определе­ ния требований к системам защиты, содержащим указанные средства. Задача оказалась достаточно сложной, в силу чего регулярная методика

еерешения до настоящего времени не разработана.

Всложившейся ситуации наиболее подходящим оказался подход, ос­ нованный на выделении некоторого количества типовых систем защиты

счетким обозначением тех механизмов защиты, которые должна содер­ жать каждая из типовых систем, и разработке рекомендаций по их ис­ пользованию.

Для оценки реального состояния безопасности информационной сис­ темы применяются различные критерии. Анализ отечественного и зару­ бежного опыта показал определенную общность подхода к определению состояния безопасности в разных странах. Ее сущность состоит в сле­ дующем. Для предоставления пользователю возможности оценки вводит­ ся некоторая система показателей и задается иерархия классов безопас­ ности. Каждому классу соответствует определенная совокупность обяза­ тельных функций. Степень реализации выбранных критериев показывает

текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Та­ кую систему можно отнести к классу систем с полным перекрытием уг­ роз и каналов утечки информации. В противном случае система безопас­ ности нуждается в дополнительных мерах защиты.

Показатель защищенности ИС - характеристика средств системы, влияющая на защищенность и описываемая определенной группой тре­ бований, варьируемых по уровню и глубине в зависимости от класса за­ щищенности.

Рассмотрим некоторые подходы к оценке безопасности ИС.

8.1. Требования к безопасности информационных систем в США

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компь­ ютерной безопасности Министерства обороны США (NCSC - National Computer Security Center).

Этот центр в 1983 г. издал «Критерии оценки безопасности компью­ терных систем» (Trasted Computer Systems Evaluation Criteria - TCSEC). Этот документ часто называют «Оранжевой книгой». Данная разработка широко использовалась вплоть до принятия международного стандарта по безопасности информационных технологий ISO 15408. «Оранжевая книга» была утверждена в 1985 г. в качестве правительственного стан­ дарта. Она содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти кри­ терии, NCSC тестирует эффективность механизмов контроля безопасно­ сти. Следует подчеркнуть, что критерии делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Подобная возможность эмпирического анализа степени безопасности систем привела к международному признанию фе­ дерального стандарта США. NCSC считает безопасной систему, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут по­ лучить доступ на чтение, запись, создание или удаление информации».

Стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США».

Наиболее известным документом, четко определяющим критерии, по которым должна оцениваться защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться в системах об­ работки секретной конфиденциальной - в более общей постановке ин­ формации, является так называемая «Оранжевая книга», представляющая собой стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США» (Trusted Computer Systems Evaluation Criteria - TCSEC), принятый в 1983 г. Его принятию предшествовали 15-летние исследования, проводившие­ ся специально созданной рабочей группой и Национальным бюро стан­ дартов США.

Стандартом предусмотрено 6 фундаментальных требований, которым должны удовлетворять те вычислительные системы, которые использу­ ются для обработки конфиденциальной информации. Требования разде­ лены на три группы: стратегия, подотчетность, гарантии - в каждой группе по два требования следующего содержания:

1. Стратегия

Требование 1 - стратегия обеспечения безопасности: необходимо иметь явную и хорошо определенную стратегию обеспечения безопасности.

Требование 2 - маркировка: управляющие доступом метки должны быть связаны с объектами.

2. Подотчетность

■

Требование 3 - идентификация: индивидуальные субъекты должны идентифицироваться.

Требование 4 - подотчетность: контрольная информация должна храниться отдельно и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.

3. Гарантии

Требование 5 - гарантии: вычислительная система в своем составе должна иметь аппаратные/программные механизмы, допускающие неза­ висимую оценку на предмет достаточного уровня гарантий того, что сис­ тема обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.

Требование 6 - постоянная защита: гарантированно защищенные механизмы, реализующие перечисленные требования, должны быть по­ стоянно защищены от «взламывания» и/или несанкционированного вне­ сения изменений.

В зависимости от конкретных значений, которым отвечают автомати­ зированные системы, они разделены на 4 группы - D, С, В, А, которые названы так:

•D - минимальная защита;

•С - индивидуальная защита;

•В - мандатная защита;

•А - верифицированная защита.

Группы систем делятся на классы, причем все системы, относимые

кгруппе D, образуют один класс D, к группе С - два класса С1 и С2,

кгруппе В - три класса В1, В2 и В3, к группе А - один класс А1 с выде­ лением части систем вне класса.

Ниже рассмотрим названия и краткую характеристику перечислен­ ных классов.

• D - минимальная защита - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов.

•С1 - защита, основанная на индивидуальных мерах, - системы, обес­ печивающие разделение пользователей и данных. Они содержат

внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т. е. позво­ ляющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням сек­ ретности.

•С2 - защита, основанная на управляемом доступе, - системы, осуще­ ствляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям.

•В1 - защита, основанная на присваивании имен отдельным средствам безопасности, - системы, располагающие всеми возможностями сис­ тем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защи­ щаемым данным, включая и выдаваемые за пределы системы, и сред­ ства мандатного управления доступом ко всем поименованным субъ­ ектам и объектам.

•В2 - структурированная защита - системы, построенные на основе

ясно определенной и формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы.

•В3 - домены безопасности - системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допус­ кающие несанкционированных изменений. Объем монитора должен быть небольшим вместе с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены сигнализация о всех попытках несанк­ ционированных действий и восстановление работоспособности сис­ темы.

•А1 - верификационный проект - системы, функционально эквива­ лентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляет­ ся по строго определенным процедурам. Обязательно введение ад­ министратора безопасности.

Эти основные требования конкретизируются в показателях защи­ щенности, которые приведены в табл. 2.13.

Таблица 2.13. Показатели защищенности ИС на основе технологии IBM

Окончание табл. 2.13

Не соответствует требованиям, предъявляемым к этому классу

Нет дополнительных требований к этому классу

Нет требований к этому классу

+Соответствует или превышает требования к этому классу

Разработаны также основные требования к проектной документации. В части стандартизации аппаратных средств информационных сис­

тем и телекоммуникационных сетей в США разработаны правила стан­ дарта Transient Electromagnetic Pulse Emanations Standart (TEMPEST).

Этот стандарт предусматривает применение специальных мер защи­ ты аппаратуры от паразитных излучений электромагнитной энергии, пе­ рехват которой может привести к овладению охраняемыми сведениями.

Стандарт TEMPEST обеспечивает радиус контролируемой зоны пе­ рехвата порядка 1 м. Это достигается специальными схемотехническими, конструктивными и программно-аппаратными решениями, в том числе:

•применением специальной низкопотребляющей малошумящей эле­ ментной базы;

•специальным конструктивным исполнением плат и разводкой сиг­ нальных и земляных электрических цепей;

•использованием экранов и RC-фильтров, ограничивающих спектры сигналов в цепях интерфейсных соединений;

•применением специальных мер, обеспечивающих защиту от НСД (съемный жесткий диск, магнитные парольные карты, специальные замковые устройства, программно-аппаратные средства защиты ин­ формации и шифрования).

Снижение мощности побочных электромагнитных излучений и наво­ док (ПЭМИН) монитора достигается рядом конструктивно-технологи­ ческих решений, примененных в ПЭВМ:

•видеомонитор с задней стороны полностью заключен в металличе­ ский экран;

•плата видеоусилителей видеомонитора заключена в дополнительный экран;

•на соединительные кабели видеомонитора установлены ферритовые фильтры;

•сигнальные цепи выполнены экранированным кабелем;

•сигналы на интерфейсные разъемы системного блока подаются через LC-фильтры, ограничивающие спектр сигналов сверху;

•корпус системного блока металлический с токопроводящим покры­ тием, что обусловливает достаточную локализацию ПЭМИН.

Таблица 2.14. Основные требования к проектной документации (приводятся частично)

Продолжение табл. 2.14