все лекции

18.2(6) Требования к документированию системы защиты

Можно выделить ТРИ группы требований к документированию си-

стемы защиты информации. Это протоколирование, тестирование

программ и обработка угроз.

При разработке системы протоколирования следует учитывать

следующие специфические ТРЕБОВАНИЯ:

а) необходимость записей всех движений защищаемых данных;

б) возможность воссоздания при необходимости ретроспективы ис-

пользования защищаемого объекта, для реализации которой обеспечива-

ется запоминание состояний программы и окружающей среды;

в) накопление статистики по протоколам использования информа-

ции в системе.

Существенной ОСОБЕННОСТЬЮ ТЕСТИРОВАНИЯ программ системы защиты информации должно быть наличие:

–специальной программы генерации ложных адресов;

–генерации ложных несанкционированных попыток доступа к

данным;

–моделирования сбойных ситуаций и других специфических свойств.

При тестировании системы защиты информации необходимо также об-

ратить внимание на тщательную проверку ТАБЛИЦ БЕЗОПАСНОСТИ,

системы паролей и программ доступа.

Система защиты информации должна иметь специальное программное обеспечение обработки угроз, ВКЛЮЧАЮЩЕЕ:

а) регистрацию событий в системном журнале, защищенном от

попыток изменения со стороны программ пользователей;

б) использование собранных сведений для анализа качественного ре-

шения проблемы защиты информации и разработки мероприятий по

ее совершенствованию.

Перечисленные требования и мероприятия по обеспечению сохранности информации показывают, что она связана с решением серьезных математических и технических проблем.

ВОССТАНОВЛЕНИЕ системы при аварии, является резервное копиро-

вание рабочих программ и данных.

Несмотря на очевидность этой процедуры и ее относительную несложность, в некоторых организациях она производится недостаточно часто или игнорируется вообще.

Опыт показывает: если содержимое системы копируется еженедельно в пятницу вечером, то все неприятности случаются в пятницу же, но в районе обеда.

Резервное копирование должно сопровождаться целым рядом ор-

ганизационных мероприятий.

Носители должны храниться за пределами серверной комнаты. Поскольку носитель используется многократно, нужно знать

стандарты на число допустимых перезаписей, и тесты, позволяющие определить степень его изношенности.

Широкий выбор устройств для копирования также может сыграть злую шутку с пользователями: о совместимости этих устройств следует позаботиться до того, как одно из них выйдет из строя.

Помимо резервного копирования, которое производится при возникновении

внештатной ситуации либо по заранее составленному расписанию, для большей

сохранности данных на жестких дисках применяют специальные тех-

нологии – «ЗЕРКАЛИРОВАНИЕ» дисков (запись осуществляется па-

раллельно на два диска) И создание RAID-массивов.

Последние представляют собой объединение нескольких жестких дисков. При записи информация поровну распределяется между ними –

кроме одного, на который записываются так называемые «контрольные суммы». При выходе из строя одного из дисков, находящиеся на нем данные могут

быть восстановлены по содержимому остальных.

RAID (redundant array of independent disks – избыточный массив независимых жёстких дисков) – массив из нескольких дисков, управляемых контроллером, взаимосвязанных скоростными каналами и воспринимаемых внешней системой как единое целое. В зависимости от типа используемого массива может обеспечивать различные степени отказоустойчивости и быстродействия. Служит для повышения надёжности хранения данных и/или для повышения скорости чтения/записи информации.

Спецификация RAID 1 определена как зеркальный дисковый массив, рисунок 18.1. RAID 1 (mirroring – «зеркалирование») – массив из двух дисков, являющихся полными копиями друг друга. Обеспечивает приемлемую скорость записи и выигрыш по скорости чтения при распараллеливании запросов.

Рисунок 18.1 – Спецификация RAID 1

Имеет высокую надёжность – работает до тех пор, пока функционирует хотя бы один диск в массиве. Вероятность выхода из строя сразу двух дисков равна произведению вероятностей отказа каждого диска. На практике при выходе из строя одного из дисков следует срочно принимать меры – вновь восстанавливать избыточность. Для этого рекомендуют использовать диски горячего резерва. Достоинство такого подхода – поддержание постоянной доступности.

18.3 (7) Требования к составу проектной и эксплуатационной документации

В состав разрабатываемой документации входят:

А) проектная документация РАЗРАБОТЧИКА системы (подсисте-

мы, компонента) защиты информации. Она состоит из описания:

1)системы защиты информации;

2)концепции защиты;

3)модели защиты (формальной или неформальной);

4)интерфейса СЗИ и пользователя, а также интерфейсов между отдельными модулями СЗИ;

5)применяемых средств защиты.

Администратору следует знать РАЗНИЦУ МЕЖДУ документированием и протоколированием результатов анализа И идентификации скрытых каналов передачи информации; таблицы соответствия формальных спецификаций И объектных кодов версий программных компонент СЗИ.

Б) Руководство пользователя. Должно содержать краткое описа-

ние механизмов защиты и инструкции по работе с ними в процессе вза-

имодействия пользователя и ИС.

В) Руководство администратора защиты информации. Оно при-

меняется при выполнении функциональных обязанностей им или сотруд-

никами службы защиты информации в ИС и должно состоять ИЗ

ДОКУМЕНТОВ:

1)описания контролируемых функций СЗИ;

2)инструкции по управлению защитой, управлению и контролю за привилегированными процессами при функционировании ИС;

3)описания процедур работы со средствами регистрации;

4)инструкции по расшифровке диагностических сообщений и анализу аудиторских файлов;

5)инструкции по сопровождению копий программного обеспечения СЗИ, проверке их работоспособности и тестированию;

6)инструкции по генерации новой версии после модификации;

7)описания процедуры старта;

8) описания процедур верификации защищенности после старта (сбоев);

9) описания процедур оперативного восстановления работо-

способности СЗИ.

Д) Руководство по тестированию системы защиты информации.

Должно включать документацию разработчика для оценивания защи-

щенности,

содержащую полное описание порядка тестирования и тестовых про-

цедур механизмов системы защиты, а также

результатов функционального тестирования уровня защищенно-

сти информации.

18.4 (8) Перечень основных функциональных задач, которые должна решать СЗИ

На основе анализа рассмотренных требований формулируются основ-

ные функциональные задачи, которые должна решать СЗИ, например:

а) предоставление пользователям права доступа к ресурсам ИС, со-

гласно принятой стратегии безопасности,

а также отмена этого права по окончании срока действия;

б) обеспечение входа в ИС при условии предъявления электронного

идентификатора и ввода личного пароля; в) многоуровневое разграничение полномочий пользователей по

отношению к ресурсам ИС;

д) контроль за запуском процессов и их исполнением;

е) контроль за логическим входом пользователей в ИС и доступом к ресур-

сам;

ж) управление информационными потоками, автоматическое маркиро-

вание ресурсов, создаваемых объектов, экспорта (импорта) информации;

и) защита информации при ее передаче по каналам связи;

к) регистрация действий пользователей по отношению к ресурсам системы;

л) обеспечение целостности информационных ресурсов (в том числе

обеспечение антивирусной защиты);

м) криптографическая защита ресурсов (шифрование в каналах связи,

«прозрачное» шифрование, электронная подпись, криптографическая поддержка других механизмов защиты и т. п.);

Функция «прозрачного» шифрования (рисунок 18.2) данных выполняет в реальном времени шифрование и дешифрование файлов данных и журналов в операциях ввода-вывода.

При шифровании используется ключ шифрования базы данных, который хранится в загрузочной записи базы данных для доступности при восстановлении. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает «неактивные» данные, то есть файлы данных и журналов. Она дает возможность обеспечивать соответствие требованиям многих законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования, не меняя существующие приложения.

При включении функции прозрачного шифрования данных необходимо создать резервную копию сертификата и закрытого ключа, связанного с этим сертификатом. В случае если сертификат окажется недоступен или понадобится восстановить базу данных на другом сервере либо присоединить ее к другому серверу, необходимо иметь копии сертификата и закрытого ключа. В противном случае будет невозможно открыть базу данных. Сертификат шифрования следует сохранить, даже если функция прозрачного шифрования в базе данных будет отключена. Даже если база данных не зашифрована, части журнала транзакций могут по-прежнему оставаться защищенными, а для некоторых операций будет требоваться сертификат до выполнения полного резервного копирования базы данных. Сертификат, который превысил свой срок хранения, все еще может быть использован для шифрования и расшифровки данных с помощью прозрачного шифрования данных.

Рисунок 18.2 – Алгоритм прозрачного шифрования

н) проверка целостности и работоспособности СЗИ; п) поддержка функций администратора защиты информации в ИС.

18.5 (9) Технические требования по защите информации от утечки по каналам ПЭМИН

Объекты защищенных ИС категорируются по степени сек-

ретности обрабатываемой (циркулирующей в устройствах ИС) информации И

по условиям расположения объекта.

По объему решаемых задач все объекты делятся на специализи-

рованные и универсальные.

Объекты ИС, предназначенные для решения одной или нескольких

сходных задач обработки информации, относятся к специализирован-

ным объектам (СО),

а объекты ИС, предназначенные для решения широкого круга задач

обработки информации – к универсальным объектам.

Защита от перехвата секретной информации в непосредственной бли-

зости от объекта ИС обеспечивается соблюдением контролируе-

мой зоны вокруг него.

Оценка эффективности мер защиты на этапах проектирования, разработки и эксплуатации объектов ИС производится в соответствии со специальными

требованиями и рекомендациями по обеспечению защиты от утечки

РЕЧЕВОЙ информации, посредством побочных электромагнитных излучений и наводок по каналам, обусловленным:

а) электромагнитными полями в диапазоне частот обрабатываемого сигнала;

б) наводками опасных сигналов на цепи питания, линии связи и другие токопроводящие коммуникации, уходящие за границу контролируе-

мой зоны;

в) излучениями электромагнитных полей высокочастотных гармонических составляющих обрабатываемого сигнала;

д) излучениями электромагнитных полей автогенераторов, входящих в состав технических средств (ТС).

Комплексы и объекты ИС необходимо комплектовать ТС, прошед-

шими специальные исследования.

Размещение и монтаж оборудования ТС необходимо осуществлять с

учётом специальных требований на конкретную систему (комплекс), в

которых допускаются ссылки на конструкторские или другие технические документы, прилагаемые к данному техническому средству,

а также на действующие стандарты, типовые инструкции и нормативнометодические документы.

Конструкция и алгоритм работы элементов управления систе-

мой (комплексом) в различных режимах работы аппаратуры должны затруд-

нять (исключать) возможность ОШИБОЧНЫХ ДЕЙСТВИЙ ОБСЛУЖИВАЮЩЕГО ПЕРСОНАЛА, приводящих к утечке секрет-

ной информации.

Требования защиты должны выполняться во ВСЕХ РЕЖИМАХ

РАБОТЫ системы, комплекса, объекта, которые могут быть установлены в соот-

ветствии с эксплуатационной документацией, при различных положениях пе-

реключателей, органов настройки и регулировки аппаратуры, а также

при неисправностях технических средств.

18.5.1(10) Требования по защите от перехвата ПЭМИН

При выборе мест для размещения объектов ИС необходимо строго соблю-

дать требования по обеспечению размеров КОНТРОЛИРУЕМОЙ зо-

ны R. Конкретный состав ТС системы определяется заказчиком сов-

местно с главным конструктором объекта ИС.

Если на объекте невозможно обеспечить размер контролируемой

зоны, либо, если для размещения отдельных ТС требуется контролируемая зона,

большая чем R, заказчику совместно с главным конструктором необхо-

димо проанализировать состав ТС и

РАЗДЕЛИТЬ его на 2 группы устройств: прошедших специальные ис-

следования и удовлетворяющие реальным размерам контролируемой

зоны объекта, и не удовлетворяющие этим требованиям.

Для устройств второй группы в таком случае необходимо приме-

нять дополнительные меры защиты, которые определяются за-

казчиком совместно с главным конструктором и головной организа-

цией по техническим средствам защиты информации на основании категории

и вида объекта, реального размера контролируемой зоны и состава ТС.

Рекомендуются такие ДОПОЛНИТЕЛЬНЫЕ МЕРЫ защиты ТС:

а) установка в незащищенных каналах связи, линиях, проводах и кабелях, выходящих за пределы контролируемой зоны, соответствующих фильтров для защиты высокочастотных ТС;

б) прокладка проводов и кабелей в экранирующих конструкциях.

18.6 (11) Требования по защите системы заземления объекта ИС

СОПРОТИВЛЕНИЕ заземлителя объекта ИС не должно превышать

4 Ома.

Заземляющее устройство должно размещаться в пределах контролируемой зоны.

Защитное заземление объекта ИС не должно иметь выход за пределы контролируемой зоны по экранным оболочкам канальных кабелей, по то-

копроводящим конструктивным элементам кабелей, металлическим трубопроводам, металлоконструкциям здания, и по другим коммуникаци-

ям, связанными с системой заземления.

ЗАПРЕЩАЕТСЯ ИСПОЛЬЗОВАТЬ для системы заземления объ-