- •1 .1.2. Основні категорії теорії національної безпеки
- •1.1.3. Фактори та засоби забезпечення національної безпеки
- •1.1.3. Фактори та засоби забезпечення національної безпеки
- •2.2.3. Джерела загроз інформаційній безпеці
- •1 ШЛііГи ьосМіО псЛіЬннє кСріВніцтбз
- •4.1.3. Види та закономірності психологічних впливів
- •4.3. Технології психологічної війни
- •4.3.1. Основні характеристики об'єктів психологічної війни
- •4.3.2. Методика вивчення об'єктів психологічної війни
- •4.3.3. Форми психологічної війни
- •4.4. Методи впливу в психологічній війні
- •4.4.1. Переконуючий психологічний вплив
- •4.4.2. Навіюючий психологічний вплив
- •4.6.2. Основи інформаційно-психологічної безпеки держави
- •4.6.3. Основні напрями діяльності державної системи
- •6.1.3. Міри інформації
- •9 .3. Основні правила інформаційної безпеки організації
- •9.3.1. Правила побудови системи забезпечення інформаційної безпеки
6.1.3. Міри інформації
Класифікація мір
Для вимірювання інформації вводяться два параметри: кількість інформації і об'єм даних VD.
226
Ці параметри мають різні вирази й інтерпретацію залежно від форми адекватності. Кожній формі адекватності відповідають своя міра кількості інформації і об'єм даних (рис. 6.2).
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
,■;
Синтаксична міра інформації
Ця міра кількості інформації оперує із знеособленою інформацією, яка не виражає смислового ставлення до об'єкта.
Об'єм даних VD у повідомленні вимірюється кількістю символів (розрядів) у цьому повідомленні. У різних системах числення один розряд має різну вагу й відповідно міняється одиниця вимірювання даних:
у двійковій системі числення [binary notation, binary system] одиниця вимірювання — біт (bit — binary digit — двійковий розряд);
у десятковій системі числення [decimal notation, decimal numeration system] одиниця вимірювання — діт [dit] (десят ковий розряд).
Кількість інформації [amount of information, information content] І на синтаксичному рівні неможливо визначити без розгляду поняття невизначеності стану системи (ентропії системи). Дійсно, одержання інформації про будь-яку систему завжди зв'язане зі зміною ступеня необізнаності одержувача про стан цієї системи. Розглянемо це поняття.
Нехай до одержання інформації одержувач має деякі попередні (апріорні) відомості про систему а. Мірою його необізнаності є функція Н{а), яка в цей же час служить і мірою невизначеності стану системи.
Після одержання деякого повідомлення (3 одержувач здобув деяку додаткову інформацію Ір(а), що зменшила його апріорну необізнаність так, що апостеріорна (після одержання повідомлення р4 невизначеність системи стала Нр(а).
Тоді кількість інформації Ір(а) про систему, одержаної в повідомленні р\ визначається так:
Щ) = Н{а) - Щ{а),
тобто кількість інформації вимірюється зміною (зменшенням) невизначеності стану системи.
Якщо кінцева невизначеність Н${а) стане рівною нулю, то первинне неповне знання заміниться повним знанням і кількість
228
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
і нформації Ір(сх) = Н(а). Іншими словами, ентропія системи може розглядатися як міра відсутньої інформації.
Ентропія системи Нф), що має N можливих станів, відповідно до формули Шенона, дорівнює
і=\
де Р, — ймовірність того, що система знаходиться в і-му стані. Для випадку, коли всі стани системи рівноймовірні, тобто їхні ймовірності рівні Pj = 1/N, її ентропія визначається співвідношенням
Часто інформація кодується числовими кодами в цій чи іншій системі числення, особливо це актуально при представленні інформації в комп'ютері. Природно, що одна й та ж кількість розрядів у різних системах числення може передавати різне число станів відображуваного об'єкта, що можна представити у вигляді співвідношення
N=m",
де N — число можливих відображуваних станів;
m — основа системи числення (різноманіття символів, що застосовується в алфавіті;
и — число розрядів (символів) в повідомлення.
Найбільш часто використовуються двійкові й десяткові логарифми. Одиницями вимірювання будуть відповідно біт і діт.
Коефіцієнт (ступінь) інформативності (лаконічність) повідомлення визначається відношенням кількості інформації до об'єму даних, тобто
Y =
1
причому 0<Х< 1.
Із збільшенням X зменшуються об'єми роботи з перетворення інформації (даних) в системі. Тому прагнуть до підвищення
229
інформативності, для чого розробляються спеціальні методи оптимального кодування інформації.
Семантична міра інформації
Для вимірювання смислового змісту інформації, тобто її кількості на семантичному рівні, найбільше визнання одержала те-заурусна міра, яка пов'язує семантичні властивості інформації зі здатністю користувача сприймати повідомлення, що надійшли. Для цього використовується поняття «тезаурус користувача».
Тезаурус [thesaurus] — це сукупність відомостей, якими володіє користувач або система.
Залежно від співвідношення між смисловим змістом інформації S і тезаурусом користувача Sp змінюється кількість семантичної інформації Іс, що сприймається користувачем і включається ним у подальшому в свій тезаурус.
Характер такої залежності показано на рис. 6.3 .
Розглянемо два граничних випадки, коли кількість семантичної інформації Іс дорівнює нулю:
при Sp ~ 0 користувач не сприймає, не розуміє інформації, що надійшла;
при Sp—*~°° користувач усе знає й інформація, що надійшла, йому не потрібна.
Максимальну кількість семантичної інформації Іс користувач здобуває при узгодженні її смислового змісту S зі своїм тезауру-
230
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
с ом Sp (Sp = Sp opt), коли інформація, що надходить, є зрозумілою користувачеві й несе йому раніше невідомі (відсутні у його тезаурусі) відомості.
Таким чином, кількість семантичної інформації в повідомлення, кількість нових знань, одержаних користувачем, є величиною відносною. Одне й те ж повідомлення може мати смисловий зміст для компетентного користувача й бути безглуздими (семантичний шум) для користувача некомпетентного.
При оцінюванні семантичного (змістовного) аспекту інформації необхідно прагнути до узгодження величин S і Sp.
Відносною мірою кількості семантичної інформації може бути коефіцієнт змістовності С, який визначається як відношення кількості семантичної інформації до її об'єму:
с-4.
Прагматична міра інформації
Ця міра визначає корисність інформації (цінність) для досягнення користувачем поставленої мети. Ця міра також відносна, зумовлена особливостями використання цієї інформації в цій чи іншій системі. Цінність інформації доцільно вимірювати в тих же самих одиницях (або близьких до них), в яких вимірюється цільова функція.
6.1.4. Якість інформації
Можливість та ефективність використання інформації зумовлені такимиїї споживчими показниками якості,як репрезентативність, змістовність, достатність, доступність, актуальність, своєчасність, точність, вірогідність, стійкість.
Репрезентативність інформації (див. репрезентація) пов'язана з правильністю її відбору й формування з метою адекватного відображення властивостей об'єкта. Найважливіше значення тут Мають:
231
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
п равильність концепції, на базі якої формулюється вихідне поняття;
обґрунтованість відбору суттєвих ознак й зв'язків явища, що відображається.
Порушення репрезентативності нерідко приводить до суттєвих її похибок.
Змістовність інформації [content-richness] відображає семантичну ємність, що дорівнює відношенню кількості семантичної інформації в повідомленні до об'єму оброблюваної інформації, тобто С = —. Yd
Із збільшенням змістовності інформації зростає семантична
пропускна здатність інформаційної системи, бо для одержання одних і тих же відомостей потрібно перетворювати менший об'єм даних.
Поряд із коефіцієнтом змістовності, що відображає семантичний аспект, можна використати й коефіцієнт інформативності, який характеризується відношенням кількості синтаксичної інформації (за Шеноном) до об'єму даних Y = — .
Достатність (повнота) інформації [adequacy of information] означає, що вона містить мінімальний, але достатній для прийняття правильного рішення склад (набір показників). Поняття повноти інформації пов'язане з її смисловим змістом (семантикою) і прагматикою. Як неповна, тобто недостатня для прийняття правильного рішення,так і надлишкова інформація знижує ефективність рішень, які приймаються користувачем.
Доступність інформації [availability of information] для сприйняття користувачем забезпечується виконанням відповідних процедур її одержання й перетворення. Наприклад, у інформаційній системі інформація перетворюється на доступну та зручну для сприйняття користувачем форму. Це досягається, зокрема, і шляхом узгодження її семантичної форми з тезаурусом користувача.
Актуальність інформації [actuality of information] визначається ступенем збереження цінності інформації для управління в момент її використання й залежить від динаміки змінюван-
232
Розділ 6. Інформаційні системи та технології' як об'єкти інформаційної безпеки
н я її характеристик і від інтервалу часу, що пройшов з моменту виникнення даної інформації.
Своєчасність інформації [timeliness of information] означає її надходження не пізніше заздалегідь призначеного моменту часу, узгодженого з часом вирішення поставленого завдання.
Точність інформації [adequacy of information] визначається ступенем близькості одержуваної інформації до реального стану об'єкта, процесу, явища і т.ін. Для інформації, що відображається цифровим кодом, відомі чотири класифікаційні поняття точності:
формальна точність, що вимірюється значенням одиниці мо лодшого розряду числа;
реальна точність, що визначається значенням одиниці остан нього розряду числа, вірність якого гарантується;
максимальна точність, яку можна одержати в конкретних умовах функціонування системи;
необхідна точність, яка визначається функціональним при значенням показника.
Вірогідність інформації [probability of information] визначається її властивість відображати реально існуючі об'єкти з необхідною точністю. Вимірюється вірогідність інформації довірчою ймовірністю необхідної точності, тобто ймовірністю того, що відображуване інформацією значення параметра відрізняється від істинного значення цього параметра в межах необхідної точності.
Стійкість інформації [capability of information] відображає її здатність реагувати на зміни вихідних даних без порушення необхідної точності. Стійкість інформації, як і репрезентативність, зумовлена вибраною методикою її відбору й формування.
Слід також відзначити, що такі параметри якості інформації, як репрезентативність, змістовність, достатність, доступність, стійкість, цілком визначаються на методичному рівні розробки інформаційних систем. Параметри актуальності, своєчасності, точності й вірогідності обумовлюються в більшій мірі також на методичному рівні, проте на їхню величину суттєво впливає і характер функціонування системи, у першу чергу її надійність. При цьому параметри актуальності і точності жорстко пов'язані відповідно з параметрами своєчасності та вірогідності.
233
6.1.5. Основні властивості інформації як предмета захисту
Доступність інформації
Доступність інформації (даних) [availabilityof information] — це можливість використання інформації (даних), коли в цьому виникає необхідність (рис. 6.4). Доступність також характеризує працездатність інформаційної системи [77].
Інформація доступна, коли вона міститься на матеріальному носії. До носіїв інформації (даних) [data medium] відносять матеріальні об'єкти, які забезпечують запис, зберігання і переда-
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
в ання інформації у просторі і часі. Носіями інформації можуть бути:
люди;
матеріальні тіла (макрочастки);
поля (випромінювання);
елементарні частки (мікрочастки).
Оскільки за допомогою матеріальних засобів можна захищати тільки матеріальний об'єкт, то об'єктами захисту є матеріальні носії інформації. Розрізняють носії — джерела інформації, носії — переносники інформації та носії — одержувачі інформації.
Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носій інформації. Фізична природа джерела та носія у цьому прикладі однакова — папір. Проте між ними існує різниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну інформацію, їй присвоюється інше ім'я: креслення, документ і т.ін. Креслення деталі або вузла входить до складу більш складного документа — креслення приладу, механізму або машини і т.ін. аж до конструкторської документації зразка продукції.
Таким чином, залежно від призначення джерелу можуть бути присвоєні різні імена. Але незалежно від найменування документа захищати від викрадення, змінювання та знищення інформації необхідно листки паперу, які мають певні розміри, вагу, механічну міцність, стійкість фарби або чорнил до зовнішніх впливів. Параметри носія визначають умови та способи зберігання інформації, інші носії, наприклад, фізичні поля не мають чітких кордонів у просторі, але у будь-якому випадку їхні параметри можна виміряти. Фізична природа носія-джерела інформації, носія-переносника та носія-одержувача може бути як однаковою, так і різною.
Передавання інформації шляхом переміщення її носіїв у просторі пов'язана із затратами енергії, причому величина затрат залежить від довжини, шляху, параметрів середовища та виду носія.
235
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
Ц інність, цілісність і конфіденційність інформації
Цінність інформації [information value] — це властивість інформації, що визначається її придатністю до практичного використання в різних галузях цілеспрямованої діяльності людини.
Інформація може забезпечити її користувачеві певні переваги: приносити прибутки, зменшити ризик у його діяльності в результаті прийняття більш обґрунтованих рішень і т.ін.
Нейтральна інформація не впливає на стан справ її користувача, але носій з нейтральною для конкретного користувача інформацією може справляти вплив на інший носій з корисною інформацією, якщо є близькими за значеннями параметри носіїв, наприклад, частоти коливань електромагнітних полів різних джерел. Носії інформації, які справляють вплив на інший носій, становлять собою завади. Те, що для одного одержувача є інформацією, для іншого може бути завадою.
Шкідливою є інформація, в результаті використання якої її одержувачу завдаються моральні або матеріальні збитки. Коли така інформація створюється умисно, то її називають дезінформацією. Часто шкідлива інформація створюється в результаті цілеспрямованої або випадкової модифікації її при перенесенні її з одного носія на інший. З точки зору захисту інформації у цьому випадку говорять про її цілісність.
Цілісність інформації [integrity of information] — це захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти.
Корисність інформації завжди конкретна. Немає цінної інформації взагалі. Інформація корисна або шкідлива для конкретного її користувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.
Тому при організації захисту інформації визначають насамперед, коло осіб (фірм, держав), які зацікавлені в даній інформації, оскільки імовірно, що серед них можуть бути зловмисники.
236
\ Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
5 інтересахзахистуцінної(корисної)інформацїшвласник(дер-жава» організація, фізична особа) наносить на носій умовний знак корисності інформації,яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі закону «Про державну таємницю» та відомчих переліків інформації, що складає державну таємницю.
Відповідно з цим до інформації таємної, цілком таємної та особливої важливості належить інформація, викрадення або несанкціоноване поширення якої може завдати шкоди відповідно державній організації (підприємству, закладу), галузі (відомству, міністерству), суб'єкту держави в цілому. Для нетаємної інформації, яка містить службову таємницю, вводять гриф «для службового користування».
Для позначення ступеня конфіденційності комерційної ін-формаціїзастосовуютьрізноманітнішкалиранжирування.Поширеною є шкала: «комерційна таємниця — суворо конфіденційно», «комерційна таємниця — конфіденційно», «комерційна таємниця». Відома також шкала «суворо конфіденційно — особливий контроль», «суворо конфіденційно», «конфіденційно». Застосовується також шкала з двох рівнів: «комерційна таємниця» та «для службового користування».
Критерієм для визначення грифу конфіденційності інформації можуть бути результати прогнозу наслідків попадання інформації до конкурента або зловмисника, у тому числі:
величина економічних та моральних збитків, що заподіюють ся організації;
реальність створення передумов для катастрофічних наслід ків удіяльності організації, наприклад, банкрутства.
Цінність і ціна інформації
Враховуючи те, що інформація може бути для одержувача корисною або шкідливою, що вона купується та продається, то ін-
237
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
ф ормацію можна розглядати як товар. Ціна інформації пов'язана з її цінністю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінансові ресурси, які завершилися негативним результатом, тобто не одержана інформація, на основі якої її власник може одержати прибуток. Проте негативні результати представляють цінність для спеціалістів, які займаються даною проблемою, бо одержана інформація скорочує шлях до істини.
Корисна інформація може бути створена її власником в результаті науково-дослідної діяльності.запозичена з різноманітних відкритих джерел, може попасти до зловмисника випадково, наприклад, в результаті неумисного підслухування і, нарешті, добута різноманітними нелегальними шляхами.
Ціна інформації [price of information] — це вартість інформації, виражена у грошах. Вона складається із собівартості інформації та прибутку від інформації.
Собівартість визначається витратами власника інформації на її одержання, наприклад:
проведення досліджень в наукових лабораторіях, аналітичних центрах, групах і т.ін.;
купівля інформації на ринку інформації;
• добування інформації за допомогою протиправних дій. Прибуток від інформації з огляду на її особливості може при ймати різноманітні форми, причому вираз його у грошах не є най більш поширеною формою. У загальному випадку прибуток від інформації може бути одержаний в результаті таких дій:
• продажу інформації на ринку;
матеріалізації інформації в продукції з новими якостями або технології, що приносить прибуток;
використання інформації для прийняття більш ефективних рі шень.
Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш поширена, тому що будь-яка діяльність людини — це послідовність прийняття нею рішень.
238
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
] ,ля прийняття будь-якого рішення потрібна інформація, причому* чим більший ризик та ціна рішення, тим більшого об'єму повинна бути інформація. Розмірковування перед прийняттям рішення є не що інше, як перероблення людиною наявної у неї інформації.
Залежність цінності інформації від часу
Поширення інформаціїтаїївикористання призводять до змінювання її цінності та ціни. Характер зміни цінності у часі залежить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття навіть нових законів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики мали часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набула надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. У міру того, як вичерпуються на певному етапі науково-технічного прогресу можливості практичної реалізації теоретичних результатів, цінність інформації зменшується. Нові технології або досягнення у суміжних галузях можуть збільшити цінність давно одержаних знань.
Цінність більшості видів інформації, яка циркулює у суспільстві, із часом зменшується — інформація старіє. Старіння інформації С, у першому наближенні можна апроксимувати виразом виду
С,(т) = -С0ехр(-2.3т/т,с),
Де Со — цінність інформації в момент її виникнення (створення); т — час від моменту виникнення інформації до моменту її
використання; хк — тривалість життєвого циклу [life cycle] інформації (від
моменту виникнення до моменту застарівання). Відповідно до цього виразу за час життєвого циклу цінність інформації зменшується до 0,1 первісної величини.
239
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
З алежно від тривалості життєвого циклу комерційна інформація звичайно класифікується таким чином:
оперативно-тактична, яка втрачає цінність приблизно по 10% за день (наприклад, інформація видавання короткотривалого кредиту, пропозиції на придбання товару та строк до одного місяця і т.ін.);
стратегічна інформація, яка втрачає цінність приблизно по 10% за місяць (відомості про партнерів, про довготривалі кре дити, розвиток підприємства і т.ін.
Інформація про закони природи має дуже великий час життєвого циклу. її старіння проявляється в уточненні законів, наприклад, в обмеженні законів Ньютона для мікросвіту.
Вплив копіювання на ціну інформації
При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після знімання копії з документа кількість інформації на ньому не змінюється. В результаті цього несанкціоноване копіювання (викрадення) інформації може бути не заміченим для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джерела та факту викрадення.
Але якщо при копіюванні справляється вплив на інформаційні параметри носія, який призводить до зміни їхніх значень, або незначні зміни нагромаджуються, то кількість інформації зменшується.
Погіршується якість звуку та зображення відповідно на аудіо-і відеоплівках із-за механічного руйнування магнітного шару, книга зачитується до дір, знебарвлюється із-за впливу яскравого ультрафіолетового світла колір зображення оригіналу при ксерокопіюванні і т.ін.
Оскільки при кожному копіюванні збільшується кількість її законних та незаконних користувачів інформацією, до відповідно до законів ринку ціна знижується. Наприклад, відеопіратство викликає занепокоєння у власників відеопродукції, бо широке поширення піратських копій значно збиває ціни на ринку.
240
\ Види інформації, що підлягають захисту
За змістом будь-яка інформація може бути віднесена до се мантичної або до інформації про ознаки матеріального об'єкта — ознакової (рис. 6.5). Суть семантичної інформації не залежить від характеристик носія. Зміст тексту, наприклад, не залежить від якості паперу, на якому він написаний, або фізичних параметрів іншого носія. Семантична інформація є продуктом абстрактного мислення людини і відображає об'єкти, явища як матеріального світу, так створювані нею образи і моделі за допомогою символів на мовах спілкування людей. -
Мови спілкування включають як природні мови національного спілкування, так і штучні професійні мови. Мови національного спілкування формуються протягом тривалого часу розвитку нації. В природній мові застарілі слова поступово вимирають,
241
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
а ле з являються нові, викликані розвитком людства, в тому числі технічним прогресом.
Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-якому матеріальному носієві. У галузі реєстрації та консервації семантичної інформації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.
Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість професійних мов: математики, музики, радіоелектроніки, хімії і т.ін. Будь-яка предметна частина містить характерні для неї поняття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спеціалістами галузей науки, техніки, мистецтва і т.ін., терміни та умовні позначення стандартизуються. У принципі все те, що описано на професійній мові, можна представити на природній мові, але така форма запису громіздка та незручна для сприйняття інформації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє підключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т.ін.
Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зовнішнього вигляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в першу чергу відносяться люди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, приміщення і навіть будівлі, в яких може знаходитися конфіденційна інформація. Залежно від виду опису об'єкта ознакова інформація поділяється на інформацію про зовнішній вигляд (видові ознаки), про його поля (ознаки сигналів), про структуру та склад його речовин (ознаки речовин).
Інформація, що підлягає захисту, неоднорідна за змістом, обсягом та цінністю. Отже, захист буде раціональним у тому випад-
242
ку, коли рівень захисту, а отже, витрати, відповідають кількості і якості інформації. Якщо витрати на захист інформації вищий за її ціну, то рівень захисту не виправдано великий, якщо суттєво менший, то підвищується ймовірність знищення, викрадення або модифікації інформації. Для забезпечення раціонального захисту виникає необхідність структурування конфіденційної інформації, тобто розділення її на так звані інформаційні елементи.
Інформаційний елемент являє собою інформацію на носієві з достатньо чіткими межами і задовольняє наступним вимогам:
належить конкретному джерелу (документу, людині, зразку, продукції і т.ін.);
міститься на окремому носієві;
має конкретну ціну.
Структурування інформації здійснюється шляхом послідовної деталізації інформації, що підлягає захисту, починаючи з переліку відомостей, що містить таємницю. Деталізація передбачає ієрархічну розбивку інформації відповідно до структури тематичних питань, які охоплюють усі аспекти організації і діяльності приватної фірми або державної структури (рис. 6.6).
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ
U
Наприклад, загальний перелік відомостей, що складає комерційну таємницю (конфіденційна інформація), належить до нульового (вихідного) рівня ієрархії структури. На першому рівня ця інформація розділяється на три групи, кожна з яких відповідає темам: «про організацію», «про внутрішню діяльність організації», «про зовнішню діяльність організації». На другому рівні ці теми конкретизуються тематичними питаннями:
структура, методи управління, фінанси, плани та програми, проблеми та шляхи їх вирішення, безпека;
якість продукції, собівартість продукції, характеристики про дукції, можливості виробництва, технології, дослідні роботи;
• принципи, концепція і стратегія маркетингу, канали придбан ня та збуту, партнери, конкуренти, переговори та угоди. Захист структурованої інформації принципово відрізня ється від захисту інформації взагалі. Він є конкретним, бо ясно, що (який інформаційний елемент) необхідно захищати, насам перед виходячи з його цінності, хто або що є носіями цього еле мента. Для елемента інформації можна виявити можливі загрози його безпеці та визначити які способи та засоби доцільно засто сувати для забезпечення безпеки даного елемента інформації.
6.2. ІНФОРМАЦІЙНІ СИСТЕМИ ЯК ОБ'ЄКТИ ЗАХИСТУ 6.2.1. Загальні відомості про інформаційні системи
Визначення інформаційної системи
Інформаційна система [information system] — взаємопов'язана сукупність засобів, методів і персоналу, що використовуються для зберігання, оброблення й видавання інформації в інтересах досягнення поставленої мети.
Сучасне розуміння інформаційної системи передбачає використання як основного технічного засобу перероблення інформації комп'ютерної техніки. Крім того, технічне втілення інформаційної системи саме по собі нічого не буде означати, як що не врахована роль людини, для якої призначена вироблена інформація і без якої неможливе її одержання й подання [34].
244
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
Н еобхідно також розуміти різницю між комп'ютерами й інформаційними системами. Комп'ютери, оснащені спеціалізованими програмними засобами, є технічною базою й інструментом для інформаційних систем. Необхідними складовими інформаційної системи є також персонал, що взаємодіє з комп'ютерами й телекомунікаціями.
Виходячи з попередніх міркувань, можна дати наступне сучасне визначення інформаційної системи як системи інформаційного обслуговування, що являє собою організаційно-упорядковану сукупність інформаційних ресурсів, технічних засобів і технологій, що реалізують інформаційні процеси в традиційному або автоматизованому режимі для задоволення інформаційних потреб користувачів.
Робота інформаційної системи полягає в обслуговуванні двох зустрічних потоків інформації: уведення нової інформації і видавання поточної інформації на запит.
Оскільки головне завдання інформаційної системи — обслуговування клієнтів, то вона побудована таким чином, щоб відповідь на будь-яке питання видавалася швидко і була достатньо повною. Це забезпечується наявністю стандартних процедур пошуку інформації і тим, що дані системи розташовані в певному порядку.
У галузі створення інформаційних систем вирішують декілька основних завдань:
аналіз і прогнозування потоків різноманітної інформації, що переміщуються в суспільстві;
дослідження способів подання і зберігання інформації, ство рення спеціальних мов для формального опису інформації різної природи, розробка спеціальних прийомів стиснення і кодування інформації, анотування об'ємних документів та їхнє реферування;
побудова різноманітних процедур і технічних засобів для їхньої реалізації, за допомогою яких можна автоматизувати процес добування інформації з документів, які не призначені для обчислювальних машин, а орієнтовані на сприйняття їх людиною;
245
створення інформаційно-пошукових систем, які здатні спри ймати запити до інформаційних сховищ, сформульованих на природній (людській) мові, а також на спеціальних мовах за питів для систем такого типу;
створення мереж зберігання, оброблення і передавання ін формації, до складу яких входять інформаційні банки даних, термінали, центри оброблення та засоби зв'язку.
Типові процеси в інформаційній системі
Процеси, що забезпечують роботу інформаційної системи будь-якого призначення, умовно можна представити у вигляді схеми (рис. 6.7), що складається з блоків:
введення інформації із зовнішніх або внутрішніх джерел;
оброблення вхідної інформації й подання її у зручному виг ляді;
виведення інформації для представлення її у зручному виг ляді;
зворотній зв'язок — інформація перероблена людьми даної організації для корекції вхідної інформації. Інформаційна система має наступні типові властивості:
будь-яка інформаційна система може бути піддана аналізу, побудована й керована на основі загальних принципів побу дови систем;
Розділ 6. Інформаційні системи та технологи як об'єкта інформаційноїбезпеки
і нформаційна система є динамічною і такою, що розвива ється;
при побудові інформаційної системи необхідно використо вувати системний підхід;
вихідною продукцією інформаційної системи є інформація, на основі якої приймаються рішення;
інформаційну систему слід сприйматияклюдино-комп'ютерну систему оброблення інформації.
На теперішній час склалася думка про інформаційну систему як про систему, що реалізується за допомогою комп'ютерної техніки. Хоча у загальному випадку інформаційну систему можна розуміти і у некомп'ютерному варіанті.
Що.б розібратися в роботі інформаційної системи, необхідно зрозуміти суть проблем, які вона вирішує, а також організаційні процеси, в яких вона задіяна. Так, наприклад, для визначення можливостей можливості комп'ютерної інформаційної системи для підтримки прийняття рішень слід враховувати:
структурованість вирішуваних завдань управління;
рівень ієрархії управління організацією, на якому рішення по винне бути прийнятим;
належність завдання до цієї чи іншої сфери діяльності;
вид інформаційної технології, що використовується. Технологія роботи в комп'ютерній інформаційній системі є
доступною для розуміння спеціалістами некомп'ютерної галузі і може бути успішно використана для контролю процесів професійної діяльності і управління ними.
6.2.2. Структура інформаційної системи
Підсистеми забезпечення інформаційної системи
Структуруінформаційноїсистеми складає сукупність окремих її частин, що називаються підсистемами.
Підсистема [subsystem] — це частина системи, виділена за будь-якою ознакою.
247
Загальну структуру інформаційної системи можна розглядати як сукупність підсистем незалежно від сфери застосування. У цьому випадку говорять про структурну ознаку класифікації, а підсистеми називають забезпечуючими. Таким чином, структура будь-якої інформаційної підсистеми може бути представлена сукупністю забезпечуючих підсистем (рис. 6.8).
Серед забезпечуючих підсистем звичайно виділяють інформаційне, технічне, математичне, програмне, організаційне й правове забезпечення.
Інформаційне забезпечення
Призначення підсистеми інформаційного забезпечення полягає у своєчасному формуванні й видачі вірогідної інформації для прийняття управлінських рішень.
Інформаційне забезпечення [dataware] — сукупність єдиної системи класифікації й кодування інформації, уніфікованих систем документації, схем інформаційних потоків, що циркулюють в організації, а також методологія побудови баз даних.
248
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
У ніфіковані системи документів створюються на державному, галузевому й регіональному рівнях. Головна мета — це забезпечити відповідність різних сфер суспільного виробництва. Розроблені стандарти, де встановлюються вимоги:
до уніфікованих систем документів;
до уніфікованих форм документів різних рівнів управління;
до складу й структури реквізитів й показників;
до порядку впровадження, ведення й реєстрації уніфікованих форм документів.
Проте, незважаючи на існування уніфікованих форм документів, при обстеженні більшості організацій постійно виявляється цілий комплекс типових недоліків:
надзвичайно великий обсяг документів для ручного оброб лення;
одні й ті ж показники часто дублюються в різних докумен тах;
робота з великою кількістю документів відволікає спеціалістів виконання безпосередніх завдань;
наявні показники, які створюються, але не використовують ся, і т.ін.
Тому усунення вказаних недоліків є одним із завдань, що стоять при створенні інформаційного забезпечення.
Схеми інформаційних потоків [data stream, data flow] відображають маршрути руху інформації та її обсяги, місця виникнення первинної інформації й використання результатної інформації. За рахунок аналізу структури подібних схем можна виробити заходи з удосконалення всієї системи.
Побудова схем інформаційних потоків, які дозволяють виявити обсяги інформації й провести її детальний аналіз, забезпечує:
виключення інформації, що дублюється або не використо вується;
класифікацію і раціональне подання інформації.
При цьому докладно повинні розглядатися питання взаємо-звязку руху інформації по рівнях управління. Слід також виявити, які показники необхідні для прийняття управлінських рі-
249
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
ш ень, а які ні. До кожного виконавця повинна поступати тільки та інформація, яка використовується.
Методологія побудови баз даних базується на теоретичних основах їх проектування. Для розуміння концепції методології можна привести основні ідеї у вигляді двох етапів, що практиці реалізуються послідовно.
1-й етап — обстеження всіх функціональних підрозділів фірми з метою:
зрозуміти специфіку й структуру її діяльності;
побудувати схему інформаційних потоків;
провести аналіз існуючої системи документообігу;
визначити інформаційні об'єкти та відповідний склад рекві зитів (параметрів, характеристик), що описують їхні власти вості й призначення.
2-й етап — побудова концептуальної інформаційно-логічної моделі для обстеженої на 1-му етапі сфери діяльності. У цій моделі повинні бути встановлені та оптимізовані всі зв'язки між об'єктами та їхніми реквізитами. Інформаційно-логічна модель є фундаментом, на якому буде створена база даних.
Для створення інформаційного забезпечення необхідно:
чітке розуміння мети, завдань, функцій всієї системи управ ління організацією;
виявлення руху інформації від моменту виникнення і до її використання на різних рівнях керування, представленої для аналізу у вигляді схем інформаційних потоків;
удосконалення системи документообігу;
наявність і використання системи класифікації й кодування;
володіння методологією створення концептуальних інфор маційно-логічних моделей, що відображають взаємозв'язок інформації;
створення масивів інформації на машинних носіях, що пот ребує наявності сучасного технічного забезпечення.
Технічне забезпечення
Технічне забезпечення [hardware] — комплекс технічних засобів, призначених для роботи інформаційної системи, а також відповідна документація на ці засоби й технологічні процеси.
250
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
К омплекс технічних засобів складають:
комп'ютери будь-яких моделей;
засоби збирання, нагромадження, оброблення, передавання й виведення інформації;
засоби передавання даних і лінії з в 'язку;
оргтехніка і пристрої автоматичного знімання інформації;
експлуатаційні матеріали і т.ін.
Документацією оформляється попередній вибір технічних засобів,організація їх експлуатації,технологічний процес оброблення даних, технологічне оснащення. Документацію можна умовно розділити на три групи:
загальносистемну, що включає державні .та галузеві стан дарти з технічного забезпечення;
спеціалізовану, що містить комплекс методик із усіх етапів розробки технічного забезпечення;
нормативно-довідкову, що використовується для виконання розрахунків із технічного забезпечення.
До теперішнього часу склалися дві основні форми технічного забезпечення (форми використання технічних засобів): централізована та частково або повністю децентралізована.
Централізоване технічне забезпечення базується на використання в інформаційній системі великих ЕОМ та обчислювальних центрів.
Децентралізоване технічне забезпечення передбачає реалізацію функціональних підсистем на персональних комп'ютерах безпосередньо на робочих місцях.
Перспективним підходом слід рахувати, очевидно, частково децентралізований підхід — організацію технічного забезпечення на основі розподіленим мереж, що складаються з персональних комп'ютерів і великої ЕОМ для зберігання баз дани, загальних для будь-яких функціональних підсистем.
Математичне і програмне забезпечення
Математичне і програмне забезпечення — сукупність математичних методів, моделей, алгоритмів і програм для реалізації
251
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
І
мети та завдань інформаційної системи, а також нормального функціонування комплексу технічних засобів.
До засобів математичного забезпечення [mathematical support] належать:
засоби моделювання процесів управління;
типові завдання управління;
методи математичного програмування, математичної статис тики, теорії масового обслуговування і т.ін.
До складу програмного забезпечення входять загальноси-стемні та спеціальні програмні продукти, а також технічна документація.
До загальносистемного програмного забезпечення [general-system software] належать комплекси програм, орієнтовані на користувачів і призначені для виконання типових завдань оброблення інформації. Вони служать для розширення функціональних можливостей комп'ютерів, контролю й керування процесом оброблення даних.
Спеціальне (прикладне) програмне забезпечення [application (special) software] являє собою сукупність програм, розроблених при створенні конкретної інформаційної системи. До його складу входять пакети прикладних програм, що реалізують моделі різного ступеню адекватності, що відображають функціонування реального об'єкта.
Технічна документація [engineering data, paperwork] на розробку програмних засобів повинна містити опис завдань, завдання на алгоритмізацію, математичну модель завдання, контрольні приклади.
Організаційне забезпечення
Організаційне забезпечення [organization support] — сукупність методів і засобів, які регламентують взаємодію персоналу з технічними засобами й між собою в процесі розробки та експлуатації інформаційної системи.
Організаційне забезпечення реалізує наступні функції:
252
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
а наліз існуючої системи управління організацією, де буде ви користовуватися інформаційна система, і виявлення завдань, що підлягають автоматизації;
підготовку завдань до виконання на комп'ютері, включаючи технічне завдання на проектування інформаційної системи й техніко-економічне обґрунтування її ефективності;
розробку управлінських рішень відносно складу та структу ри організації, методології виконання завдань, спрямованих на підвищення ефективності системи управління. Організаційне забезпечення створюється за результатами пе-
ред-проектного обстеження на першому етапі побудови баз даних.
Правове забезпечення
Правове забезпечення [legal support] — сукупність правових норм, що визначають створення, правовий статус і функціонування інформаційних систем, регламентують порядок одержання, перетворення та використання інформації.
Головною метою правового забезпечення є зміцнення законності.
До складу правового забезпечення входять закони, укази, постанови державних органів влади, накази, інструкції й інші нормативні документи міністерств, відомств, організацій, місцевих органів влади. У правовому забезпеченні можна виділити загальну частину, що регулює функціонування будь-якої інформаційної системи, і локальну частину, що регулює функціонування конкретної системи.
Право забезпечення етапів розробки інформаційної системи включає нормативні акти, зв'язані з договірними відносинами розробника й замовника й правовим регулюванням відхилень від договору.
Правове забезпечення етапів функціонування інформаційної системи включає:
статус інформаційної системи;
права, обов'язки й відповідальність персоналу;
правові положення окремих видів процесу керування;
порядок створення й використання інформації і т.ін.
253
6.2.3. Класифікація інформаційних систем
Класифікація за ступенем автоматизації
Залежно від ступеня автоматизації інформаційних процесів у системі управління фірмою інформаційні системи визначаються як ручні, автоматичні й автоматизовані (рис. 6.9).
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
Р учні інформаційні системи характеризуються відсутністю сучасних технічних засобів перероблення інформації й виконання всіх операцій людиною. Наприклад, про діяльність менеджера у фірмі, де відсутні комп'ютери, можна говорити, що він працює з ручною інформаційною системою.
Автоматичні інформаційні системи [automatic system] виконують усі операції з перероблення інформації без участі людини.
Автоматизованіінформаційнісистеми [automated system] ne-редбачаютьучастьупроцесіоброблення інформації людини, ітех-нічних засобів, причому головна роль надається* комп'ютеру. У сучасному тлумаченні в термін «інформаційна система» вкладається обов'язково поняття системи, що піддається автоматизації.
Автоматизовані інформаційні системи, враховуючи їхнє широке застосування в організації процесів управління, мають різноманітні модифікації та можуть бути класифікованими, наприклад, і за характером використання інформації і за сферою застосування.
Класифікація інформаційних систем за характером використання інформації
Інформаційно-пошукові системи [data retrieval system] здійснюють введення, систематизацію, зберігання, видачу інформації за запитом користувача без складних перетворень даних. Наприклад, інформаційно-пошукова система в бібліотеці, в залізничних і авіака-сах.
Інформаційно-обчислювальні системи [information calculation system] здійснюють усі операції перероблення інформації за певним алгоритмом. Серед них можна також провести класифікацію за мірою впливу виробленої результативної інформації на процес прийняття рішень і виділити два класи: управляючі і Дорадчі.
Управляючі інформаційні системи виробляють інформацію, на основі якої людина приймає рішення. Для цих систем характерні тип завдань розрахункового характеру й оброблення вели-
255
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
к их обсягів даних. Прикладом можу бути система оперативного планування випуску продукції, система бухгалтерського обліку. Дорадчі інформаційні системи виробляють інформацію, яка приймається людиною до відома та не перетворюється негайно у серію конкретних дій. Ці системи мають більш високу ступінь інтелекту, так як для них характерне оброблення знань, а не даних.
Класифікація інформаційних систем за сферою застосування
Інформаційні системи організаційного управління призначені для автоматизації функцій управлінського персоналу. Враховуючи найбільш широке застосування та різноманітність цього класу систем, часто будь-які інформаційні системи розуміють саме у даному тлумаченні. До цього класу систем відносяться інформаційні системи управління як промисловими підприємствами, так і непро-мисловими об'єктами: готелями, банками, торговими фірмами і т.ін.
Основними функціями подібних систем є: оперативний контроль і регулювання, оперативний облік і аналіз, перспективне й оперативне планування, бухгалтерський облік, керування збутом і постачанням та інші економічні й організаційні завдання.
Інформаційні системи управління технологічними процесами служать для автоматизації функцій виробничого персоналу. Вони використовуються при організації потокових ліній.виготов-лення мікросхем, на складанні, для підтримки технологічного процесу в металургійній та машинобудівній промисловості.
Інформаційні системи автоматизованого проектування [computer-aided design (CAD)] (САПР) призначені для автоматизації функцій інженерів-проектувальників, конструкторів, архітекторів, дизайнерів при створенні нової техніки або технології. Основними функціями таких систем є: інженерні розрахунки, створення графічної документації (креслень, схем, планів), створення проектної документації, моделювання об'єктів, що проектуються.
Інтегровані (корпоративні) інформаційні системи використовуються для автоматизації всіх функцій фірми й охоплюють весь цикл робіт від проектування до збуту продукції. Ство-
256
рення таких систем дуже важке, оскільки потребує системного підходу з позицій головної мети, наприклад одержання прибутку, завоювання ринку збуту і т.ін.
6.2.4. Основні характеристики інформаційної системи як об'єкта захисту
Для інформаційних систем як об'єктів безпеки характер ні наступні такі характеристики як конфіденційність, доступ ність та цілісність інформації (даних) в інформаційній системі (рис. 6.10) [2]. і
Конфіденційність [confidentiality, privacy] (від лат. confi-dentia — довір'я) — це властивість не підлягати розголосові; Довірчість, секретність, суто приватність.
257
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
К онфіденційність інформації (даних) в інформаційній системі — це властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і (або) процесом інформаційної системи. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.
Доступність [availability] у загальному сенсі представляється як можливість проникнення куди-небудь.
Для інформаційної системи — це властивість ресурсу системи, яка полягає в тому, що користувач і (або) процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, і в той час, коли він йому необхідний.
Доступність даних [data confidentiality] в інформаційній системі — це властивість даних, що полягає у можливості їхнього читання користувачем або програмою. Визначається рядом факторів: можливістю працювати за терміналом, володінням паролем, знанням мови запитів і т.ін.
Цілісність [integrity] — це внутрішня єдність, зв'язаність усіх частин чого-небудь, єдине ціле. В інформаційній системі — це стан даних або інформаційної системи системи, в якій дані та програми використовуються встановленим чином, що забезпечує:
стійку роботу системи;
автоматичне відновлення у випадку виявлення системою по тенційної помилки;
автоматичне використання альтернативних компонентів за мість тих, що вийшли з ладу.
Для інформаційної системи можна розглядати такі поняття як цілісність даних, цілісність інформації, цілісність бази даних цілісність інформаційної системи і т.ін.
Цілісність даних [data integrity] в інформаційній системі — це стан, при якому дані, що зберігаються в системі, в точності відповідають даним у вихідних документах; властивість, що має відношення до набору даних і означає, що дані не можуть бути змінені
258
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
а бо зруйновані без санкції на доступ. Цілісність даних вважається збереженою, якщо дані не спотворені і не зруйновані (стерті).
Семантична цілісність даних [semantic data integrity] — це стан даних, коли вони зберігають свій інформаційний зміст та однозначність інтерпретації в умовах випадкових впливів.
Цілісність інформації [information integrity] — це властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і (або) процесом. Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення).
Цілісність бази даних [database integrity] — це стан бази даних, коли всі значення даних правильні в тому сенсі, що відображають стан реального світу (в межах заданих обмежень по точності та часовій узгодженості) і підпорядковуються правилам взаємної несперечливості. Підтримка цілісності бази даних включає перевірку цілісності і відновлення з будь-якого неправильного стану, яке може бути виявлено; це входить у функції адміністратора бази даних.
Цілісність системи [system integrity] — це властивість системи, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.
До захищених інформаційних систем належать інформаційні системи, які для певних умов експлуатації забезпечують безпеку (конфіденційність, цілісність) інформації, що функціонує в системі, та підтримує свою працездатність в умовах впливу на неї заданої множини загроз.
Для інформаційної системи властиві наступні види загроз: загрози порушення конфіденційності, загрози порушення цілісності, загрози порушення працездатності (доступності).
Загрози порушення конфіденційності спрямовані на розголошення інформації з обмеженим доступом.
Загрози порушення працездатності (доступності) спрямовані на створення ситуацій, коли в результаті умисних дій понижується працездатність обчислювальної системи або її ресурси стають недоступними.
259
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
З агрози порушення цілісності полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігається або передається. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи.
6.3. ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ ТА ПРОБЛЕМИ ЇХНЬОЇ БЕЗПЕКИ
6.3.1. Визначення інформаційної технології
Створення та функціонування інформаційних систем тісно пов'язані з розвитком інформаційної технології — головної складової частини інформаційної системи [34].
У найбільш загальному випадку під поняттям технологія І І [technology] (від грец. texvn (техно...) — майстерність, мистец-
тво, уміння і ...логія) розуміють сукупність взаємопов'язаних способів обробки матеріалів, виготовлення виробів та процесів, що супроводжують ці види робіт. Власне сам процес представляє певну сукупність дій, що спрямовані на досягнення поставленої мети. Він повинен визначатися вибраною людиною стратегією і реалізовуватися за допомогою сукупності різних засобів і методів.
Відповідно до визначення поняття технологія інформаційна технологія — це процес, що використовує сукупність засобів і методів збирання, оброблення і передачі даних (первинної інформації) для одержання інформації нової якості про стан об'єкта, процесу або явища (інформаційного продукту).
Мета інформаційної технології — виробництво інформації для аналізу її людиною й прийняття на його основі рішення на виконання будь-якої дії.
Інформаційна технологія стала найбільш важливою складовою процесу використання інформаційних ресурсів суспільства. Вона пройшла декілька еволюційних етапів, зміна яких визнача-
260
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
л ася головним чином розвитком науково-технічного прогресу, появою нових технічних засобів перероблення інформації. У сучасному суспільстві, де основним технічним засобом технології перероблення інформації служить комп'ютер, відбувся суттєвий вплив як на концепцію побудови й використання технологічних процесів, так і на якість результативної інформації.
6.3.2. Співвідношення інформаційної технології та інформаційної системи
Інформаційна технологія тісно пов'язана з інформаційними системами, які є для неї основним середовищем. На перший погляд може здаватися, визначення інформаційної технології та системи дуже схожі між собою. Проте це не так.
Інформаційна технологія є процесом, що складається з чітко регламентованих правил виконання операції, дій, етапів різної міри складності над даними, що зберігаються в комп'ютерах. Основна мета інформаційної технології — у результаті цілеспрямованих дій з перероблення первинної інформації одержати необхідну для користувача інформацію.
Інформаційна система є середовищем, складовими елементами якої є комп'ютери, комп'ютерні мережі, програмні продукти, бази даних, люди, різного роду технічні та програмні засоби зв'язку і т.ін. Основна мета інформаційної системи — організація зберігання та передавання інформації. Інформаційна система представляє собою людино-комп'ютерну систему оброблення інформації.
Реалізація функцій інформаційної системи неможлива без знання зорієнтованої на неї інформаційної технологій. Інформаційна технологія може існувати й поза сферою інформаційної системи.
Таким чином, інформаційна технологія є більш ємним поняттям, що відображає сучасне уявлення про процеси перетворення інформації в інформаційному суспільстві. У майстерному сполучені Двох інформаційних технологій управлінської та комп'ютерної — запорука успішної роботи інформаційної системи.
261
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
б .З.З. Класифікація та види інформаційних технологій
На теперішній час інформаційні технології можна класифікувати за низкою ознак, зокрема:
способом реалізації інформаційноїтехнологіїв інформаційній системі;
обсягом охоплення інформаційною технологією завдання уп равління;
класами реалізованих технологічних операцій;
типом користувальницького інтерфейсу;
варіантами використання мережі ЕОМ;
предметною частиною, яка обслуговується інформаційною технологією.
Традиційна та нова інформаційна технологія
За способом реалізації інформаційної технології в інформаційні системі виділяють інформаційні технології, що склалися традиційно, та нові інформаційні технології. Якщо традиційні інформаційні технології насамперед існували в умовах централізованого оброблення даних, до масового використання ПЕОМ були орієнтовані головним чином на зниження трудомісткості при формування регулярної звітності, то нові інформаційні технології зв'язані з інформаційним забезпеченням процесу управління в реальному масштабі часу.
Нова інформаційна технологія — це технологія, яка засновується на застосуванні комп'ютерів, активній участі користувачів (непрофесіоналів в галузі програмування) в інформаційному процесі, високому рівні дружнього користувальницького інтерфейсу, широкому застосуванні пакетів прикладних програм загального та проблемного призначення, доступі користувача до віддалених баз даних та програм завдяки обчислювальним мережам ЕОМ. У поняття нової інформаційної технології включені також комунікаційні технології, які забезпечують передавання інформації різними засобами, а саме — телефон, телеграф, телекомунікації, факс і т.ін.
262
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
Н ова (комп'ютерна) інформаційна технологія базується на трьох основних принципах:
інтерактивний (діалоговий) режим роботи з комп'ютером;
інтегрованість (стикування, взаємозв'язок) з іншими прог рамними продуктами;
гнучкість процесу зміни як даних, так і постановок завдань.
Інформаційна технологія управління
За обсягом охоплення інформаційною технологією завдань управління виділяють електронне оброблення даних, коли з використанням ЕОМ без перегляду методології та організації процесів управління ведеться оброблення даних з вирішенням окремих завдань, та автоматизацію управлінської діяльності. В останньому випадку обчислювальні засоби використовуються для комплексного вирішення функціональних завдань, формування регулярної звітності та роботи в інформаційно-довідковому режимі для підготовки управлінських рішень. До цієї групи можуть бути віднесені інформаційні технології підтримки прийняття рішень, які передбачають широке застосування еко-номіко-математичних методів, моделей та пакетів прикладних програм для аналітичних роботи та формування прогнозів, складання бізнес-планів, обґрунтування оцінок та висновків із процесів, що вивчаються, та явищ виробничо-господарської практики. До названої групи відносяться інформаційні технології, які одержали назву електронного офісу та експертної підтримки рішень. Ці два варіанти інформаційних технологій орієнтовані на використання досягнень у галузі автоматизації роботи спеціалістів та керівників, створення для них найбільш сприятливих умов виконання професійних функцій, якісного та своєчасного інформаційного обслуговування за рахунок повного автоматизованого набору управлінських процедур, які реалізуються в умовах конкретного робочого місця та офісу в цілому.
Електронний офіс передбачає наявність інтегрованих пакетів прикладних програм, що включають спеціалізовані програми та інформаційні технології, які забезпечують комплексну реалізацію завдань предметної частини. На теперішній час все біль-
263
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
ш е розповсюдження набувають електронні офіси, обладнання та співробітники яких можуть знаходитися в різних приміщеннях. Необхідність роботи з документами, матеріалами, базами даних конкретної організації або закладу в домашніх умовах, в готелі, транспортних засобах привела до появи інформаційних технологій віртуальних офісів. Такі інформаційні технології засновуються на роботі локальної мережі, з'єднаної з територіальною або глобальною мережею. Завдяки цьому абонентські системи співробітників закладу, незалежно від того, де вони знаходяться, виявляються включеними в загальну для них мережу.
Інформаційні технології експертної підтримки рішень складають основу автоматизації праці спеціалістів-аналітиків. Ці працівники крім аналітичних методів та моделей для дослідження ситуацій, що склалися в ринкових умовах, із збуту продукції, послуг, фінансового стану підприємства, фірми, фінансово-кредитної організації змушені використовувати накопичений та збережений і системі досвід оцінки ситуацій, тобто відомості, що складають базу знань у конкретній предметній частині. Оброблені за певними правилами такі відомості дозволяють готувати обґрунтовані рішення для поведінки на фінансових та товарних ринках, виробляти стратегію в галузях менеджменту та маркетингу.
Програмна інформаційна технологія
За класами реалізованих технологічних операцій інформаційні технології розглядають у програмному аспекті і включають: оброблення текстів, електронні таблиці, автоматизовані бази (банки) даних, оброблення графічної та звукової інформації, мультимедійні та інші системи.
Перспективним напрямком розвитку комп'ютерної технології є створення програмних засобів для виведення якісного звуку та відео-зображення. Технологія одержання відеозображення одержала назву комп'ютерної графіки.
Комп'ютерна графіка — це створення, зберігання та оброблення моделей об'єктів та їхніх зображень за допомогою ЕОМ.
264
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
Ц я технологія проникла в галузь економічного аналізу, моделювання різноманітних конструкцій, вона незамінна на виробництві, проникає в рекламну діяльність, робить цікавим дозвілля.
Зображення, які формуються та обробляються за допомогою цифрового процесора, можуть бути демонстраційними та аніма-ційними. До першої групи, як правило, відносять комерційну (ділову) та илюстративну графіку, до другої — інженерну та наукову, а також зв'язану з рекламою, мистецтвом, іграми, коли виводяться не тільки поодинокі зображення, але й послідовність кадрів у вигляді фільму (інтерактивний варіант).
Інтерактивнамашиннаграфікаєоднією з найбільш прогресивних напрямів серед нових інформаційних технологій. Цей напрям бурхливо розвивається з появою нових графічних станцій та спеціалізованого програмного забезпечення, яке дозволяє створювати реалістичні об'ємні рухомі зображення, що за якістю можна порівняти з кадрами відеофільму.
Програмно-технічна організація обміну з комп'ютером текстовою, графічною, аудіо- та відеоінформацією одержала назву мультимедіа-технології. Таку технологію реалізують спеціальні програмні засоби, що мають вбудовану підтримку мультимедії та дозволяють використовувати її в професійній діяльності, навчально-освітніх, науково-популярних та ігрових галузях. При застосуванні цієї технологи в професійній діяльності відкриваються реальні перспективи використати комп'ютер для озвучування зображень, а також розуміння ним людської мови, ведення комп'ютером діалогу зі спеціалістом на його рідній мові. Здатність комп'ютера з голосу сприймати нескладні команди керування програмами, відкриванням файлів, виведенням інформації на друк та іншими операціями створює сприятливі умови для взаємодії з ними в процесі професійної діяльності.
Інформаційна технологія доступу до ресурсів
За типом користувальницького інтерфейсу можна розглядати інформаційні технології з точки зору можливостей доступу
265
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
к ористувача до інформаційних та обчислювальних ресурсів. Так, пакетна інформаційна технологія виключає можливість користувача впливати на оброблення інформації, поки вона здійснюється в автоматичному режимі. Це пояснюється організацією оброблення, яка заснована на виконанні програмно-заданої послідовності операцій над заздалегідь накопиченими в системі та об'єднаними в пакет даними.
На відміну від пакетної діалогова інформаційна технологія надає користувачеві необмежену можливість взаємодіяти інформаційними ресурсами, які зберігаються в системі, в реальному масштабі часу, одержуючи при цьому всю необхідну інформацію для виконання функціональних завдань та прийняття рішення.
Інтерфейс мережної інформаційної технології надає користувачеві засоби теледоступу до територіально розподілених інформаційних та обчислювальних ресурсів завдяки розвиненим засобам зв'язку, що робить такі інформаційні технології багатофункціональними та передбачає їхнє широке застосування.
Основні тенденції розвитку інформаційних технологій
На теперішній час спостерігається тенденція до об'єднання різноманітних типів інформаційних технологій в єдиний комп'ютерно-технологічний комплекс, який носить назву інтегрованого. Особливе місце в ньому належить засобам комунікації, які забезпечують не тільки надзвичайно широкі технологічні можливості автоматизації управлінської діяльності, але й самі власне є основою створення найрізноманітніших мережних варіантів інформаційних технологій: локальних,багаторівневих,розподіле-них, глобальних обчислювальних мереж,електронної пошти, цифрових мереж інтегрального обслуговування. Усі вони орієнтовані на технологічну взаємодію об'єктів, створених засобами передавання, оброблення, нагромадження та зберігання, захисту даних, представляють собою інтегровані комп'ютерні системи оброблення інформації (даних) великої складності, практично необмежених експлуатаційних можливостей для реалізації управлінських процесів в будь-якій галузі діяльності.
266
і Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
І нтегровані комп'ютерні системи оброблення даних проектуються як складний інформаційно-технологічний та програмний комплекс. Він підтримує єдиний спосіб подання даних та взаємодію користувачів з компонентами системи, забезпечує інформаційні та обчислювальні потреби спеціалістів в їхній професійній роботі. Особливе значення в таких системах надається захисту інформації при її передаванні та обробленні. Найбільше розповсюдження при захисті інформації одержали апаратно-програмні способи. Зокрема, використання системи зв'язку, вибраної за захисними властивостями та якістю обслуговування, гарантує збереження інформації в процесі^передавання та доставки її адресату; зашифровування та розшифровування даних абонентами мережі мереж загального користування здійснюється при домовленості користувачів про загальні технічні засоби, алгоритми шифрування і т.ін.
Підвищення вимог до оперативності інформаційного обміну та управління, а отже, до терміновості оброблення інформації привело до створення не тільки локальних, але і до багаторівневих та розподілених систем організаційного управління об'єктами, яким є, наприклад, банківські, постачальницькі, статистичні та інші служби, їхнє інформаційне забезпечення реалізують мережі автоматизованих банків даних, які будуються з урахуванням організаційно-функціональної структури відповідного багаторівневого об'єкта, машинного ведення інформаційних масивів. Цю проблему в нових інформаційних технологіях вирішують розподілені системи оброблення даних з використанням каналів зв'язку для обміну інформацією між базами даних різних рівнів. За рахунок ускладнення програмних засобів керування базами даних підвищується швидкість, забезпечуються захист та достовірність інформації при виконанні розрахунків та вироблення управлінських рішень.
В багаторівневих та розподілених комп'ютерних інформаційних системах організаційного управління однаково успішно можуть бути вирішені як проблеми оперативної роботи з інформацією, так і проблема аналізу економічних ситуацій при виробленні та прийнятті управлінських рішень. Зокрема, автоматизовані робочі місця спеціалістів надають можливість користувачам
267
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
п рацювати в діалоговому режимі, оперативно вирішувати поточні завдання, зручно вводити дані з термінала, вести їхній візуальний контроль, викликати необхідну інформацію для оброблення, визначати вірогідність результативної інформації та виводити її на екран, принтер або передавати її каналами зв'язку.
На теперішній час надзвичайно гостро стоїть потреба в аналітичній роботі. Виникає необхідність у накопиченні фактів, досвіду, знань у кожній конкретній галузі управлінської діяльності. Переважає зацікавленість у ретельному дослідженні конкретних економічних, комерційних, виробничих ситуацій з метою прийняття в оперативному порядку обґрунтованих та найбільш прийнятних рішень. Це завдання вирішується подальшим удосконаленням інтегрованого оброблення інформації, коли нова інформаційна технологія починає включати в роботу бази знань.
Під базою знань розуміють складну, детально змодельовану структуру інформаційних сукупностей, які описують усі особливості предметної частини, включаючи факти (фактичні знання), правила (знання умов для прийняття рішення) та метазнания (знання про знання), тобто знання, які стосуються способів використання знань та їхні властивості. База знань є найважливішим елементом, який найчастіше створюється на робочому місці спеціаліста експертної системи, яка виступає в ролі нагро-маджувача знань у конкретній галузі професійної діяльності та порадника фахівцеві при аналізі ситуацій та вироблення управлінських впливів.
Виділяють п'ять основних тенденцій розвитку інформаційних технологій.
Перша тенденція пов'язана із зміною характеристик інформаційного продукту, який все більше перетворюється на гібрид між результатом розрахунково-аналітичної роботи та специфічною послугою, що надається індивідуальному користувачеві ПЕОМ.
Відзначається здатність до паралельної взаємодії логічних елементі інформаційних технологій, сполучення всіх видів інформації (тексту, образів, цифр, звуків) з орієнтацією на одночасне сприйняття людиною через органи чуття.
268
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
П рогнозується ліквідація всіх проміжних ланок на шляху від джерела інформації до його споживача.
Провідною є тенденція до глобалізації інформаційних технологій в результаті використання супутникового зв'язку та всесвітньої мережі Internet, завдяки чому люди зможуть спілкуватися між собою та із загальною базою даних, знаходячись у будь-якій точці планети.
Останньою межою сучасного процесу розвитку інформацій-; них технологій є конвергенція, яка полягає у стиранні відмінностей між сферами матеріального виробництва та інформаційного бізнесу, в максимальній диверсифікації видів діяльності фірм і корпорацій, взаємопроникнення різних галузей промисловості, фінансового сектору та сфери послуг.
6.3.4. Основні проблеми безпеки інформаційних технологій
Проблеми безпеки інформаційних технологій виникли на перетині двох передовиху плані використання технічних досягнень напрямів — безпеки технологій та інформатизації. В умовах, коли об'єкт захисту представляє собою інформаційну систему, або коли {засоби нападу мають форму інформаційних впливів, необхідно ^застосовувати цілком нові технології та методи захисту. Можна %дідійти до систематизації ситуації із забезпеченням безпеки інформаційних технологій наступним чином (рис. 6.11) [33].
Насамперед слід відзначити, що сучасні комп'ютери набули великої обчислювальної потужності, але разом з тим стали набагато простішими в експлуатації. Це означає, означає, що користуватися ними стало набагато легше, завдяки чому все більша кількість нових, як правило, некваліфікованих людей одержали доступ до комп'ютерів, що призводить до зниження середньої кваліфікації користувачів.
Ця тенденція суттєво полегшує завдання порушникам, так як в результаті «персоналізації» засобів обчислювальної техніки більшість користувачів мають особисті комп'ютери та здійсню-
269
ють їхнє адміністрування самостійно. Більшість з них не можуть постійно підтримувати безпеку цих систем на належному рівні із-за відсутності відповідних знань, навичок, а також часу и засобів.
Широке поширення мережних технологій об'єднало окремі машини в локальні мережі, які спільно використовують загальні ресурси, а застосування технологій клієнт-сервер та кластериза-ції перетворило такі мережі в розподілені обчислювальні середо-
270
Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки
1_
вища. Безпека мережі визначається захищеністю всіх комп'ютерів та мережаного обладнання, що входить до її складу, і зловмисникові достатньо порушити роботу тільки однієї компоненти, щоб скомпрометувати всю мережу.
Сучасні телекомунікаційні технологій об'єднали локальні комп'ютерні мережі в глобальне інформаційне середовище. Це призвело до появи такого унікального явища як Internet. Саме розвиток Internet викликав хвилю інтересу до проблеми інформаційної безпеки та поставив питання про обов'язкову наявність засобів захисту в систем та мереж, які приєднуються до Internet, незалежно до характеру інформації, яка оброблюється в них. Справа в тому, що Internet забезпечує широкі можливості зловмисникам для здійснення порушень безпеки в глобальному масштабі. Якщо комп'ютер, який є об'єктом впливу (атаки), приєднаний до Internet, то для атакуючого не має значення де він знаходиться — у сусідній кімнаті чи на іншому континенті.
Інша проблема безпеки інформаційних технологій викликана бурхливим розвитком програмного забезпечення. Практика показує, що більшість поширених сучасних програмних засобів, в першу чергу операційних систем, не відповідає навіть мінімальним вимогам безпеки, хоча їхні розробника останнім часом здійснюють певні зусилля у цьому напрямку.
У першу чергу це проявляється у наявності вад у роботі засобів захисту та наявності великої кількості різноманітних «не-документо-ваних» можливостей. Після їхнього виявлення багато вад ліквідовуються за допомогою оновлення версій та додаткових засобів, проте та сталість, з якою виявляються все нові та нові вади, не може не викликати побоювань. На теперішній час можна стверджувати, що більшість систем надають зловмисникам широкі можливості для здійснення порушень.
Розвиток гнучких та мобільних технологій оброблення інформації привів до того, що практично зникає грань між даними, які оброблюються, та програмами, за якими вони оброблюються, за рахунок широкого поширення віртуальних машин та інтерпретаторів.
271
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Т епер будь-який розвинений додаток від текстового процесора до броузера Internet не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальних мов програмування, тобто по суті є окремою машиною з традиційною фон-нейманівською архітектурою, для якої можна створювати засоби нападу, віруси і т.ін. Це збільшує можливості зловмисників із створення засобів впровадженніу чужі системи таутруднює завдання захисту подібних систем, так як наявність таких «вкладених» систем потребує і реалізації захисту для кожного рівня.
Невідповідність бурхливого розвитку засобів оброблення інформації та повільного відпрацювання теорії інформаційної безпеки привели до появи суттєвого розриву між теоретичними моделями безпеки, які оперують абстрактними поняттями типу об'єкт, суб'єкт і т.ін. та реальними категоріями сучасних інформаційних технологій. Крім того, багато засобів захисту, наприклад, засоби боротьби з комп'ютерними вірусами та системи захисту корпоративних мереж firewall на даний час взагалі не мають чіткої системної наукової бази.
Таке становище є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки оброблення інформація, які би описували механізми дій зловмисників в реальних системах, а також відсутність засобів, які дозволяли би ефективно моделювати адекватність тих чи інших рішень в галузі безпеки. Наслідком цього є те, що практично всі системи захисту засновані на «латанні дір», виявлених у процесі експлуатації, що визначає їхнє відставання від загроз, які динамічно розвиваються.
На практиці відсутність системної та наукової бази інформаційної безпеки проявляється вже в тому, що нема навіть загальноприйнятої термінології, яка би адекватно сприймалася всіма спеціалістами в галузі безпеки. Тома часто теорія і практика діють у різних площинах.
Необхідність створення глобального інформаційного простору та забезпечення безпеки процесів у ньому викликала не-
272
Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки
о бхідність розроблення міжнародних стандартів, відповідно до яких можна забезпечити необхідний рівень гаранти забезпечення захисту. В сучасних умовах надзвичайно важливими є стандартизація не тільки вимог безпеки, а також методі підтвердження адекватності реалізованих засобів захисту та коректності самої реалізації.
Існуючі національні стандарти здійснювали спроби вирішити цю проблему, проте ці документи не можуть претендувати на те, щоб закласти фундамент безпечних інформаційних технологій. Діючі документи представляють лише скромне наслідування колишнім зарубіжним стандартам. В умовах обвальної інформатизації найважливіших сфер вітчизняної економіки та державного апарату країни вкрай необхідні нові рішення у цій галузі.
Внаслідок сукупної дії всіх перелічених факторів, що визначають проблеми безпеки інформаційних систем, призначених для оброблення особливо важливої інформації, стоїть цілий ряд завдань, які потребують негайного та ефективного вирішення.
Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки комп'ютерні системи тепер безпосередньо інтегровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми подання інформації (гіпертекст, мультимедіа і т.ін.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів або повідомлень.
Організація довіреної взаємодії сторін (взаємної іденти-фікації/автентифікації) в інформаційному просторі. Розвиток мереж та Internet вимагає необхідності здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому необхідно виконати це завдання в глобальному масштабі, незважаючи на те, що учасники цієї взаємодії можуть знаходитися в різних частинах планети, функціонувати на різних платформах і в різних операційних системах.
Захист від автоматичних засобів нападу. Досвід експлуатації існуючих систем показав, що сьогодні від захисту вимагають-
273
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
с я нові функції, а саме — механізми, які забезпечували б безпеку системи в умовах можливої взаємодії з нею, або появи всередині неї програм, які здійснюють деструктивні дії — комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів.
Інтеграція захисту інформації в процесі автоматизації її оброблення як обов'язкового елементу. Для того щоб бути затребуваними сучасним ринком інформаційних систем засоби захисту не повинні вступати в конфлікт з існуючими додатками та з традиційними інформаційними технологіями оброблення інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.
Якщо ці завдання не будуть вирішені, то подальше поширення інформаційних технологій у сфері систем, які обробляють важливу інформацію, дуже скоро стане під загрозою. Держава, яка починає інформатизацію практично з «нуля», є полігоном для застосування останніх досягнень інформаційних технологій, тому для неї вирішення завдання створення захищених інформаційних систем є надзвичайно актуальним.
7Основи безпеки інформаційних ресурсів
7 .1. ЗАГРОЗИ БЕЗПЕЦІ ІНФОРМАЦІЇ ТА ІНФОРМАЦІЙНИХ РЕСУРСІВ
7.1.1. Загальні положення
На сьогодні вважають, що забезпечення безпеки інформації повинно мати комплексний характер. Усе більше фахівців пропонують свої рішення в галузі забезпечення безпеки інформаційних ресурсів як комплексні. Проте організація забезпечення безпеки інформації повинна мати не просто комплексний характер, але ще й засновуватися на всебічному аналізі можливих негативних наслідків, при якому важливо не упустити будь-які суттєві аспекти.
Насамперед заходи забезпечення інформаційної безпеки в організації спрямовуються тільки на те, щоб не допустити збитків від утрати конфіденційної інформації. Відповідно до цього уже передбачається наявність цінної інформації, із-за втрати якої організація може понести збитки. А якщо є цінна інформація, то звичайно ж є можливість здійснення будь-яких дій, які можуть нанести шкоду цій інформації. Усі шкідливі дії можуть бути здійсненими тільки при наявності будь-яких слабких місць (уразливостей) (рис. 7.1). А якщо є дії, то є найвища загроза їх здійснення, а також наявні джерела, з яких ці загрози можуть виходити [6,10].
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
В иникає наступний ланцюжок: джерело загрози — фактор (уразливість) — загроза (дія) — наслідки (атака).
Джерело загрози — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.
Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації.
Фактор (уразливість) — це властиві об'єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу функціонування об'єкта інформатизації, властивостями архітектури інформаційно-телекомунікаційної системи, протоколами обміну та інтер-фейсами,що застосовуються програмним забезпеченням і апаратними засобами, умовами експлуатації.
Наслідки (атака) — це можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (уразливості) .
Атака — це завжди пара «джерело-фактор»,що реалізує загрозу та приводить до збитків.
7.1.2. Збитки як категорія класифікації загроз
Прояви збитків можуть бути різноманітні: моральні й матеріальні збитки ділової репутації організації; моральні, фізичні або матеріальні збитки, зв'язані з розголошенням персональних даних окремих осіб; матеріальні (фінансові) збитки від розголошення конфіденційної інформації;
матеріальні (фінансові) збитки від необхідності відновлення порушених інформаційних ресурсів;
матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;
276
Розділ 7. Основи безпеки інформаційних ресурсів
м оральні та матеріальні збитки від дезорганізації діяльності організації;
матеріальні та моральні збитки від порушення міжнародних відносин.
Слід відзначити, що збитки можуть бути спричинені як будь-яким суб'єктом (у цьому випадку відбувається правопорушення), так і бути наслідком незалежного від суб'єкта прояву (наприклад, стихійних випадків, або інших впливів, таких як прояви техногенних властивостей цивілізації).
У першому випадку наявна вина суб'єкта, яка визначає спричинену шкоду як склад злочину, що здійснюється із злими намірами (умисно) або по необережності і спричинені збитки повинні класифікуватися як склад злочину, відповідно до кримінального права.
У другому випадку збитки мають імовірнісний характер і повинні бути зівставлені як мінімум із тим ризиком, який обговорюється цивільним, адміністративним або арбітражним правом, як предмет розгляду. І визначення цього, хто саме є причиною збитків, є другим за важливістю (після спроби цього не допустити) питанням для потерпілого.
В теорії права під збитками розуміють невигідні для власника майнові наслідки, що виникли через правопорушення. Збитки виражаються у зменшенні майна або недоодержанні прибутку, який був би одержаний при відсутності правопорушення (упущена вигода).
Якщо розглядати як суб'єкт, що спричинив збитки, будь-яку особистість, категорія «збитки» є справедливою тільки у тому випадку, коли можна довести, що вони спричинені, тобто діяння особистості необхідно кваліфікувати в термінах правових актів як склад злочину. Тому при класифікації загроз безпеці інформації у цьому випадку доцільно враховувати вимоги чинного кримінального права, які визначають склад злочину.
Для прикладу можна розглянути склади злочину, які визначаються кримінальними кодексами в багатьох державах.
277
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
І
Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна.
Копіювання комп'ютерної інформації — повторювання та стійке збереження інформації на машинному або іншому носієві.
Знищення — зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищене майно не може бути відновлене шляхом ремонту або реставрації та повністю виводиться з господарського обігу.
Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ.
Ушкодження — змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання.
Модифікація комп'ютерної інформації — внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних.
Блокування комп'ютерної інформації — штучне ускладнення доступу користувачів до інформації, не пов'язане з її знищенням.
Несанкціоноване знищення, блокування, модифікація, копіювання інформації — будь-які не дозволені законом, власником або компетентним користувачем вказаних дій з інформацією.
Обман (заперечення автентичності, нав'язування хибної інформації) — умисне спотворення або приховування істини з метою введення в оману особу, у веденні якої знаходиться майно, і таким чином домагатися від неї добровільної передачі майна, а також повідомлення з цією метою свідомо неправдивих відомостей.
Якщо розглядати як суб'єкт, що спричинив збитки, будь-яке природне або техногенне явище під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими явищами, і які можуть бути компенсовані за рахунок третьої сторони (страхування ризиків настання події) або за рахунок власних засобів власника інформації.
278
Наприклад, страхування представляє собою відносини із захисту майнових інтересів фізичних і юридичних осіб при настанні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків.
7.1.3. Класифікація загроз безпеці інформації
Виходячи з попередніх міркувань можна виділити три основні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 7.2).
Загрози безпеці інформації при забезпеченні-конфіденцій-ності:
крадіжка (копіювання) інформації та засобів її оброблення;
втрата (неумисна втрата, витік) інформації та засобів її об роблення.
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
З агрози безпеці інформації при забезпеченні доступності:
блокування інформації;
знищення інформації та засобів її оброблення.
Загрози безпеці інформації при забезпеченні цілісності:
модифікація (спотворення) інформації;
заперечення автентичності інформації;
нав'язування фальшивої інформації.
7.1.4. Класифікація джерел загроз
Носіями загроз безпеці інформації є джерела загроз. Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. Причому джерела загроз можуть знаходитися як усередині організації — внутрішні джерела, так і ззовні її — зовнішні джерела. Поділ джерел на суб'єктивні та об'єктивні виправдане виходячи з попередніх міркувань стосовно вини або ризику збитку інформації. А поділ на внутрішні та зовнішні джерела виправданий тому, що для однієї й тієї ж загрози методи відбивання для внутрішніх і зовнішніх загроз можуть бути різними.
Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 7.3):
обумовлені діями суб'єкта (антропогенні джерела загроз);
обумовлені технічними засобами (техногенні джерела загроз);
обумовлені стихійними джерелами. Антропогенними джерелами загроз виступають суб'єкти,
дії яких можуть бути кваліфіковані як умисні або випадкові злочини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Методи протидії у цьому випадку керовані й прямо залежать від волі організаторів захисту інформації.
Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта, що підлягає захисту. Суб'єкти
280
( джерела), дії яких можуть привести до порушення безпеки інформації, можуть бути як зовнішніми, так і внутрішніми. Зовнішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації.
Внутрішні суб'єкти (джерела), як правило, становлять собою висококваліфікованих спеціалістів у галузі розробки та експлуатації програмного забезпечення та технічних засобів, знайомі зі специфікою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного обладнання та технічних засобів мережі.
Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою та спеціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але методи протидії загрозам для цієї групи джерел можуть мати свої відмінності.
Слід відзначити, що кваліфікація антропогенних джерел загроз безпеці інформації відіграє важливу роль для оцінки їхнього впливу та враховується при ранжируванні джерел загроз.
Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації. Проте наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше залежним від техніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Даний клас джерел загроз безпеці інформації є особливо актуальних у сучасних умовах, так як очікується різке зростання числа техногенних катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також відсутністю коштів на його оновлення. Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми.
282
Розділ 7. Основи безпеки інформаційних ресурсів
Т ретя група джерел загроз об'єднує обставини, що становлять непереборну силу, тобто такі обставини, які мають об'єктивний і абсолютний характер, що поширюється на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм запобігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди.
Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.
7.1.5. Ранжирування джерел загроз
Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжирування. При цьому оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати:
можливість виникнення джерела (Kj),-, що визначає міру до ступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (ураз ливості) (для техногенних джерел) або особливості обста новки (для випадкових джерел);
готовність джерела (K2)j, що визначає міру кваліфікації та привабливість вчинення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел).
фатальність (К3),, що визначає міру непереборності наслідків реалізації загрози.
Кожний показник оцінюється експертно-аналітичним мето-Дом за п'ятибальною системою. Причому 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 — максимальній.
283
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
( Kdan)i Для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення (125).
Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою:
висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів оброб ки інформації, що підлягає захисту (характерно для внутріш ніх антропогенних джерел, що наділені максимальним пра вом доступу, наприклад, представник служб безпеки інфор мації, адміністратори);
перша середня ступінь доступності — антропогенне джере ло загроз має можливість опосередкованого, не визначено го функціональними обов'язками (за рахунок побічних ка налів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно);
друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість до програмних засобів у силу введених обмежень при використанні технічних засобів, фун кціональних обов'язків або за видом своєї діяльності (харак терно для внутрішніх антропогенних джерел із звичайними правами доступу, наприклад, користувачі, або зовнішніх ант ропогенних джерел, що мають право доступу до засобів об роблення та передачі інформації, що підлягає захисту, напри клад хакери, персонал постачальників телематичних послуг);
низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел);
відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту.
284
Розділ 7. Основи безпеки інформаційних ресурсів
М іру віддаленості від об'єкта захисту можна характеризувати наступними параметрами:
об'єкти, що збігаються, — об'єкти захисту самі містять дже рела техногенних загроз і їхній територіальний поділ немож ливий;
близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може справити суттєвий вплив на об'єкт;
середньовіддалені об'єкти — об'єкти захисту розташовують ся на відстані від джерел техногенних загроз, на якому прояв впливу цих загроз може справити несуттєвий вплив на об'єкт захисту;
віддалено розташовані об'єкти — об'єкт захисту розташо вується на відстані від джерела техногенних загроз, що ви ключає його прямий вплив;
вельми віддалені об'єкти — об'єкт захисту розташовується на значній відстані від джерела техногенних загроз, що повніс тю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами.
Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейсмологічних, гідрографічних та інших умовах. Особливості обстановки можна оцінювати за наступною шкалою:
дуже небезпечні умови — об'єкт захисту розташований у зо ні дії природних катаклізмів;
небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість проя ву природних катаклізмів;
помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом три валого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;
285
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
с лабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів і на об'єкті існують передумови виникнення стихійних джерел загроз;
безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів і на об'єкті відсутні переду мови виникнення стихійних джерел загроз. Кваліфікація антропогенних джерел відіграє важливу роль у
визначенні їхніх можливостей зі здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту:
нульовий рівень — визначається відсутністю можливості будь-якого використання програм;
перший рівень — обмежується можливістю запуску завдань/ програм із фіксованого набору, призначеного для оброблен ня інформації, яка підлягає захисту (рівень некваліфіковано- го користувача);
другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з об роблення інформації (рівень кваліфікованого користувача, програміста);
третій рівень — визначається можливістю управління функ ціонуванням мережі, тобто впливом на базове програмне забезпечення, його состав і конфігурацію (рівень системного адміністратора);
четвертий рівень — визначається повним обсягом можли востей суб'єктів, що здійснюють проектування й ремонт тех нічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з оброблення інфор мації (рівень розробника та адміністратора).
Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня.
286
Розділ 7. Основи безпеки інформаційних ресурсів
П ривабливість здійснення діяння з боку джерела загроз установлюється наступним чином:
особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здій снює захист;
привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб;
помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особам;
слабко привабливий рівень — інформаційні ресурси, що під лягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист;
непривабливий рівень — інформація не представляє інтере су для джерела загрози.
Необхідні умови готовності джерела визначаються, виходячи з джерела загрози, можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передбачається:
загроза реалізована — умови сприятливі або можуть бути сприятливими для реалізації загрози;
загроза помірно реалізована — умови сприятливі для реалі зації загрози, проте довгострокові спостереження не припус кають можливості її активізації у період існування й активної діяльності об'єкта захисту;
загроза слабо реалізована — існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають ре алізації загрози;
загроза нереалізована — відсутні передумови для реалізації передбачуваної подій.
Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою:
287
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
н епереборні наслідки — результати прояву загрози мо жуть призвести до повного руйнування (знищення, втрати) об'єкта захисту, як наслідок до непоправних втрат і виклю чення можливості доступу до інформаційних ресурсів, що підлягають захисту;
практично непереборні наслідки — результати прояву за грози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т.ін.) на відновлення, які порівняні з витратами на створення нового об'єкта та суттєвого обмеження часу доступу до інформацій них ресурсів, що підлягають захисту;
частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;
переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його від новлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту;
відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту.
Результати проведеного ранжирування відносно конкретного об'єкта захисту можна звести в таблицю, яка дозволяє визначити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.
При виборі припустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт (Kdgn)j менше (0,1...0,2), можуть у подальшому не враховуватися як малоймовірні.
Визначення актуальних (найбільш небезпечних) загроз здійснюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.
288
Розділ 7. Основи безпеки інформаційних ресурсів
7 .1.6. Класифікація уразливостей безпеці
Загрози як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інформації на конкретному об'єкті інформатизації.
Уразливості, властиві об'єкту інформатизації, невіддільні від нього та обумовлюються недоліками процесу функціонування, властивостями архітектури автоматизованих систем, протоколами обміну та інтерфейсами, програмним забезпеченням і апаратною платформою, умовами експлуатації та розташування.
Джерела загроз можуть використовувати уразливості для порушення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі незловмисні дії джерел загроз з активізації чи інших уразливостей, що приносять шкоду.
Кожній загрозі можуть бути зіставлені різноманітні уразливості. Усунення або суттєве послаблення уразливостей впливає на можливість реалізації загроз безпеці інформації.
Для зручності аналізу уразливості поділені на класи (позначаються заголовними літерами), групи (позначаються римськими цифрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, випадковими (рис. 7.4).
Об'єктивні уразливості залежать від особливостей побудови та технічних характеристик обладнання, що застосовується на об'єкті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженерно-технічними методами відбивання загроз безпеці інформації.
Суб'єктивні уразливості залежать від дій співробітників і в основному усуваються організаційними та програмно-апаратними методами.
Випадкові уразливості залежать від особливостей середови-Ща, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе
289
т ільки при проведення комплексу організаційних та інженерно-технічних заходів із протидії загрозам інформаційній безпеці.
7.1.7. Ранжирування уразливостей
Усі уразливості мають різну міру небезпеки (Kdan)f, яку можна кількісно оцінити на основі ранжирування. При цьому критеріями порівняння (показниками) можна вибрати:
фатальність (К})р що визначає міру впливу уразливості на непереборність наслідків реалізації загрози. Для об'єктивних уразливостей — це інформативність, тобтЬ здатність уразли вості повністю (без спотворення) передати корисний інфор маційний сигнал;
доступність (К2)р що визначає зручність (можливість) вико ристання уразливості джерелом загроз (масогабаритні роз міри, складність, вартість необхідних засобів, можливість ви користання неспеціалізованої апаратури);
кількість (К3)й що визначає кількість елементів об'єкта, для яких характерна та чи інша уразливість.
O^dan)/ Для окремої уразливості можна визначити як відношення добутку приведених вище показників до максимального значення (125):
(Kdan)f=(K,K2K,)/l25.
Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразливості, а 5 — максимальній.
Для підгрупи уразливостей m(Kdan)f визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі.
Для зручності аналізу i(Kdan)j для групи нормується відносно сукупності всіх коефіцієнтів підгруп у своєму класі, a K(Kdan)j Для класу визначається як сукупність коефіцієнтів підгруп класу нормованих відносно всієї сукупності коефіцієнтів підгруп.
Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводяться в таблицю.
291
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ
7 .1.8. Класифікація актуальних загроз
При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу цієї чи іншої загрози, характерні джерела цих загроз і уразливості, що сприяють реалізації загроз.
Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому передбачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися із-за малої ймовірності їх здійснення на об'єкті захисту.
Така матриця складається окремо для кожної загрози. І вже після виявлення найбільш актуальних загроз вживаються заходи з вибору методів і засобів для відбивання.
7.2. ОСНОВНІ НАПРЯМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ ТА ІНФОРМАЦІЙНИХ РЕСУРСІВ
7.2.1. Основні визначення
Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства або організації, на рівні окремої особистості.
З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації [80]:
правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;
організаційний захист — це регламентація виробничої діяль ності та взаємовідносин виконавців на нормативно-правовій
292
Розділ 7. Основи безпеки інформаційних ресурсів
о снові, яка виключає або послаблює нанесення будь-яких збитків виконавцям;
• інженерно-технічний захист — це використання різноманітних технічних засобів, що перешкоджають нанесенню збитків.
Крім того, заходи захисту, орієнтовані на забезпечення безпеки інформації, можуть бути охарактеризовані цілим рядом параметрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоплення та масштабність.
Так, за характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як об'єктовий, груповий або індивідуальний захист.
7.2.2. Правовий захист
Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, що встановлені або санкціоновані державою, відносно до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особистості).
Правовий захист інформації як ресурсу признаний на міждержавному, державному рівні та визначається міждержавними Договорами, конвенціями, деклараціями та реалізується патентами, авторським правом та ліцензіями на їхній захист. На державному рівні правовий захист регулюється державними та відомчими актами (рис. 7.5).
У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, Кримінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються на-
293
к азами, керівництвами, положеннями та інструкціями, які видаються відомствами, організаціями та підприємствами, що діють у межах певних структур.
Сучасні умови вимагають і визначають необхідність комплексного підходу до формування законодавства із захисту інформації, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.
Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодавство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відвмчі правові акти і т.ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.
Конституційне законодавство. Норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи.
Загальні закони, кодекси (про власність, про надра, про права громадян, про громадянство, про податки, про антимонополь-ну діяльність і т.ін.), які включають норми з питань інформатизації та інформаційної безпеки.
Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питаннями інформаційного забезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що становить загальнодержавний інтерес.
Спеціальні закони, які належать до конкретних сфер відносин, галузей господарства, процесів. До їхнього числа входять Закони України «Про інформацію», «Про захист інформації в автоматизованих системах» і т.ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.
295
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Ш дзаконні нормативні акти із захисту інформації.
Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації.
Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце посідають Закони «Про інформацію» та «Про захист інформації в автоматизованих системах», які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяльності [31,32]:
інформації та інформаційних систем;
суб'єктів — учасників інформаційних процесів;
правовідносин виробників та споживачів інформаційної продукції;
власників (джерел) інформації — оброблювачів та спожива чів наоснові відносин власності при забезпеченні гарантій інтересів громадян та держави.
Ці закони також визначають основи захисту інформації у системах оброблення і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з організації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцензування, сертифікації, експертизи, а також загальні принципи захисту та гарантій прав учасників інформаційного процесу.
Питання правового режиму інформації з обмеженим доступом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.
Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем становить ієрархічну систему від Конституції України до функціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягає охороні, і заходи відповідальності за їх розголошення.
Одним із нових напрямків правового захисту є страхове забезпечення. Воно призначене для захисту власної інформації та засобів її оброблення як від традиційних загроз (крадіжки,
296
Розділ 7. Основи безпеки інформаційних ресурсів
с тихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несанкціонований доступ до конфіденційної інформації.
Метою страхування є забезпечення страхового захисту фізичних та юридичних від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями зі сторони конкурентів та зловмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.
Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами [78,63]:
ТР ЕОТ-95 «Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок»;
ПЕМВН-95 «Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок».
Дії із захисту інформації від несанкціонованого доступу регламентують [32,49, 50, 51, 52, 53]:
Закон України «Про захист інформації в автоматизованих системах»;
нормативні документи системи технічного захисту інформації в комп'ютерних (автоматизованих системах) від несанкціонованого доступу і т.ін.
Правовими документами є й державні та міждержавні стандарти на інформаційну діяльність з урахуванням забезпечення її безпеки, зокрема [11,12, 13,26,27,28]:
ДСТУ 3396.0-96. Захист інформації. Технічний захист інфор мації. Основні положення;
ДСТУ 3396.1-96. Захист інформації. Технічний захист інфор мації. Порядок проведення робіт;
ДСТУ 3396.2-97. Захист інформації. Технічний захист інфор мації. Терміни та визначення;
297
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Г ОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преоб разования;
ГОСТ 34.310-95. Информационная технология. Криптог- рафичеекая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асиммет рического криптографического алгоритма;
• ГОСТ 34.311-95 Информационная технология. Криптографическая защита информации. Функция хеши рования. Опираючись на державні правові акти та, враховуючи відомчі інтереси на рівні конкретного підприємства (фірми, ор ганізації), розроблюються власні нормативно-правові докумен ти, орієнтовані на забезпечення інформаційної безпеки. До таких документів відносяться [75,80]:
• Положення про збереження конфіденційної інформації;
Перелік відомостей, які складають конфіденційну інформа цію;
Інструкція про порядок допуску співробітників до відомос тей, які складають конфіденційну інформацію;
Положення про спеціальне діловодство та документообіг;
Перелік відомостей, які дозволені до опублікування у відкри тому друці;
Положення про роботу з іноземними фірмами та їхніми представниками;
Зобов'язання співробітника про збереження конфіденційної інформації;
Пам'ятка співробітнику про збереження комерційної таєм ниці.
Указані нормативні акти спрямовані на попередження випадків неправомірного оголошення (розголошення) секретів на правовій основі — у разі їх порушення повинні вживатися відповідні заходи впливу.
Залежно від характеру інформації, її доступності для зацікавлених споживачів, а також економічної доцільності конкретних захисних заходів можуть бути вибрані наступні форми захисту інформації:
298
Розділ 7. Основи безпеки інформаційних ресурсів
п атентування;
авторське право;
признання відомостей конфіденційними;
товарні знаки;
застосування норм зобов 'язувального права.
Існує певна різниця між авторським правом та комерційною таємницею. Авторське право захищає тільки форму вираження ідеї. Комерційна таємниця стосується безпосередньо змісту. Авторське право захищає від копіювання незалежно від конфіденційних відносин із власником. До авторського права вдаються при широкій публікації своєї інформації, у той час як комерційну таємницю тримають у секреті. Очевидно, що порівняно з патентом та авторським правом комерційна та виробнича таємниці є найбільш зручними, надійними та гнучкими формами захисту інформації.
Окрім вищевикладених форм правового захисту та права належності інформації, широко застосовується офіційна передача права на користування нею у вигляді ліцензії.
Ліцензія [license] (від лат. licentia — свобода, право) — це дозвіл, виданий державою на проведення деяких видів господарської діяльності, включаючи зовнішньоторговельні операції (ввезення та вивезення) та надання права використовувати захищені патентами винаходи, технологи, методики. Ліцензійні дозволи надаються на певний час і на певні види товарів.
Комерційна таємниця [commerce secret] — це відомості, які не є державними секретами, пов'язані з виробництвом, технологією, управлінням, фінансами та іншою діяльністю, розголошення, витік не несанкціонований доступ до якої може призвести до збитків їхнім власникам.
До комерційної таємниці не належать:
відомості, що охороняються державою;
відомості, які є загальновідомими на законній підставі;
відомості про негативні сторони діяльності;
установчі документи та відомості про господарську діяль ність.
299
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
С творюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії до несумлінного співробітника, клієнта, конкурента та посадової особи будуть просто безпідставними.
Якщо перелік відомостей конфіденційного характеру не доведений своєчасно до кожного співробітника (природно, якщо від допущений до виконання посадових обов'язків) у письмовому вигляді, то співробітник, який викрав важливу інформацію при порушенні встановленого порядку роботи з нею, скоріше за все буде не покараним.
Правові норми забезпечення безпеки та захисту інформації на конкретному підприємстві (фірмі, організації) відображаються у сукупності установчих, організаційних та функціональних документів.
Вимоги забезпечення безпеки та захисту інформації відображаються у Статуті (установчому договорі) у вигляді наступних положень:
підприємство має право визначати склад, обсяги та порядок захисту конфіденційних відомостей, вимагати від своїх спів робітників забезпечення їх збереження та захисту від внут рішніх та зовнішніх загроз;
підприємство зобов'язане забезпечувати збереження конфі денційної інформації.
Такі вимоги дають адміністрації підприємства наступні права:
створювати організаційні структури із захисту конфіденцій ної інформації;
видавати нормативні та розпорядчі документи, які визнача ють порядок виділення відомостей конфіденційного характе ру та механізми їхнього захисту;
включати вимоги із захисту інформації в угоди з усіх видів господарської діяльності;
вимагати захисту інтересів підприємства з боку державних та судових інстанцій;
розпоряджатися інформацією, що є власністю підприємства, з метою вигоди та недопущення економічних збитків колек тиву підприємства та власникові засобів виробництва;
300
Розділ 7. Основи безпеки інформаційних ресурсів
• розробляти «Перелік відомостей конфіденційної інформа ції». \
Вимоги правового забезпечення захисту інформації передбачаються у колективному договорі. Колективний договір повинен містити наступні вимоги.
Розділ «Предмет договору».
Адміністрація підприємства (у тому числі й адміністрація самостійних підрозділів) зобов'язується забезпечити розробку та здійснення заходів із визначення та захисту конфіденційної інформації.
Трудовий колектив приймає на себе зобов'язання з дотримання встановлених на підприємстві вимог із захисту конфіденційної інформації.
Адміністрація зобов'язана враховувати вимоги захисту конфіденційної інформації у правилах внутрішнього розпорядку.
Розділ «Кадри. Забезпечення дисципліни праці».
Адміністрація зобов'язується:
• порушників вимог із захисту комерційної таємниці притяга ти до адміністративної та кримінальної відповідальності від повідно до чинного законодавства.
Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити наступними вимогами
Розділ «Порядок приймання та звільнення робітників та службовців».
При прийманні робітника або службовця на роботу або переведенні його в установленому порядку на іншу роботу, зв'язану з конфіденційною інформацією підприємства, а також при звільненні його з роботи адміністрація зобов'язана проінструктувати робітника або службовця з правил збереження комерційної таємниці з оформленням письмового зобов'язання про її нерозголо-шення.
Адміністрація підприємства вправі приймати рішення про відсторонення від робіт осіб, які порушують встановлені вимоги із захисту конфіденційної інформації.
301
ЧастинаІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Р озділ «Основні обов'язки робітників та службовців».
Робітники та службовці зобов'язані дотримуватися вимог нормативних документів із захисту конфіденційної інформації на підприємстві.
Розділ «Основні обов'язки адміністрації».
Адміністрація підприємства, керівники підрозділів зобов'язані:
забезпечувати збереження конфіденційної інформації, пос тійно здійснювати організаторську роботу та виховально- профілактичну роботу, спрямовану на захист секретів під приємства;
включати в посадові інструкції та положення обов'язки із зберігання конфіденційної інформації;
• неухильно виконувати вимоги Статуту, колективного дого вору, трудових договорів, правил внутрішнього розпорядку та інших організаційних та господарських документів у час тині забезпечення економічної та інформаційної безпеки. Обов'язки конкретного співробітника, робітника або служ бовця стосовно захисту інформації обов'язково повинні бути обмовлені в трудовому договорі (контракті). Відповідно до КЗпП при укладанні трудового договору працівник зобов'язується ви конувати певні вимоги, які діють на даному підприємстві. Не залежно від форми укладання договору (усного чи письмового) підпис працівника на наказі про приймання на роботу підтверд жує його згоду з умовами договору.
Вимоги із захисту конфіденційної інформації можуть бути обмовлені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги із захисту інформації, які випливають із нормативно-правових документів підприємства. При укладанні трудового договору та оформлення наказу про приймання на роботу нового співробітника робиться відмітка про поінформованість його з порядком захисту інформації підприємства. Це створює необхідний елемент залучення даної особи в механізм забезпечення інформаційної безпеки.
Не слід думати, що після підписання такої угоди з новим співробітником таємниця буде збережена. Це тільки попередження
302
Розділ 7. Основи безпеки інформаційних ресурсів
с півробітникові, що в справу вступають система заходів із захисту інформації, і правова основа до того, щоб припинити його невірні або протиправні дії. Подальше завдання — не допустити втрати комерційних секретів.
Реалізація правових норм і актів, орієнтованих на захист інформації на організаційному рівні, опирається на ті чи інші організаційно-правові норми, до числа яких відносяться дотримання конфіденційності робіт та дій, договори (угоди) та різноманітні форми зобов'язувального права.
Конфіденційність [confidentiality, privacy] (від лат. confidentia — довір'я) у даному випадку — це форма поводження з відомостями, які складають комерційну таємницю, на основі організаційних заходів, які виключають неправомірне оволодіння такими відомостями.
Договір — це угода сторін (двох або більше осіб) про встановлення, зміну або припинення взаємних зобов'язань.
Зобов'язання — цивільні правовідносини, у силу яких одна сторона (боржник) зобов'язана здійснювати на користь іншої певні дії.
Правове регулювання необхідне для вдосконалення механізму попередження протиправних дій відносно до інформаційних ресурсів, для уточнення та закріплення завдань та правомочності окремих суб'єктів у сфері попереджувальної діяльності, охорони прав та законних інтересів громадян та організації. 'j Правові заходи забезпечення безпеки та захисту інформації є основою порядку діяльності та поведінки співробітників підприємства та визначають міру їхньої відповідальності за порушення встановлених норм.
7.2.3. Організаційний захист
Загальні положення організаційного захисту
Організаційний захист — це регламентація виробничої діяльності та взаємовідносин виконавців на нормативній основі, Що виключає або суттєво ускладнює неправомірне оволодіння
303
конфіденційною інформацією та прояву внутрішніх та зовнішніх загроз (рис. 7.6)
Розділ 7. Основи безпеки інформаційних ресурсів
О рганізаційних захист забезпечує:
організацію режиму, охорони, роботу з кадрами, докумен тами;
використання технічних засобів безпеки та інформаційно- аналітичну діяльність із виявлення внутрішніх і зовнішніх загроз діяльності підприємства (організації). Організаційні заходи відіграють суттєву роль у створенні
надійного механізму захисту інформації, бо можливості несанкціонованого використання конфіденційних відомостей у значній мірі обумовлюються не те технічними аспектами, а зловмисними діями та недбалістю користувачів або персоналу. Впливу цих аспектів практично неможливо запобігти за допомогою технічних заходів. Для цього необхідна сукупність організаційно-правових і організаційно-технічних заходів, які вилключали б (або зводили до мінімуму) можливість виникнення небезпеки конфіденційності інформації.
До основних організаційних заходів звичайно відносять наступні.
Організація режиму та охорони. їх мета:
виключення можливості таємного проникнення на тери торію та у приміщення сторонніх осіб;
забезпечення зручності проходу та переміщення співробіт ників і відвідувачів;
створення окремих виробничих зон за типом конфіденцій них робіт із самостійними системами доступу;
,■• контроль та дотримання часового режиму праці і перебування на території персоналу підприємства;
• організація та підтримка надійного пропускного режиму та
контролю співробітників і відвідувачів і т.ін.
Організація роботи із співробітниками, яка передбачає підбір і розстановку персоналу, включаючи ознайомлення із співробітниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації.
305
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
О рганізація роботи з документами та документованою інформацією, включаючи організацію розробки та використання документів і носіїв конфіденційної інформації, їх облік, використання, повернення, зберігання та знищення.
Організація використання технічних засобів збирання, оброблення, нагромадження та зберігання конфіденційної інформації.
Організація роботи з аналізу внутрішніх та зовнішніх загроз конфіденційній інформації та розробка заходів із забезпечення її захисту.
Організація роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.
У кожному конкретному випадку організаційні заходи мають специфічну для даної організації форму та зміст, які спрямовані на забезпечення безпеки інформації в конкретних умовах.
Особливості організаційного захисту комп'ютерних інформаційних систем та мереж
Організація захисту комп'ютерних інформаційних систем та мереж визначає порядок і схему функціонування основних їхніх підсистем, використання пристроїв та ресурсів, взаємовідносини користувачів між собою відповідно з нормативно-правовими вимогами та правилами. Захист інформації на основі організаційних заходів відіграє значну роль у забезпеченні надійності та ефективності, бо несанкціонований доступ та витік інформації найчастіше зумовлені зловмисними діями, недбалістю користувачів або персоналу. Ці фактори практично неможливо виключити або локалізувати за допомогою апаратних і програмних засобів, криптографії та фізичних засобів захисту. Тому сукупність організаційних, організаційно-правових і організаційно-техніч-них заходів, які застосовуються разом із технічними методами, мають за мету виключити, зменшити або повністю усунути збитки при дії різноманітних деструктивних факторів.
306
Розділ 7. Основи безпеки інформаційних ресурсів
О рганізаційні засоби захисту комп'ютерних інформаційних систем та мереж найчастіше застосовуються у наступних випадках:
при проектуванні, будівництві та обладнанні приміщень, вузлів мереж та інших об'єктів інформаційної системи для виключення впливу стихійного лиха, можливості недозволе- ного проникнення у приміщення і т.ін.;
при підборі та підготовці персоналу. В цьому випадку перед бачаються перевірка осіб, які приймаються на роботу, ство рення умов, при яких персонал був би зацікавлений у збе реженні інформації, навчання правилам роботи із закритою інформацією, ознайомлення з мірою відповідальності за по рушення правил захисту і т.ін.;
при зберіганні та використанні документів та інших носіїв (маркування, реєстрація, визначення правил видачі та повер нення, ведення документації і т.ін.);
при дотриманні надійного пропускного режиму до технічних засобів комп'ютерних мереж та систем при роботі змінами (призначення відповідальних за захист інформації у змінах, контроль за роботою персоналу, ведення автоматизованих) журналів роботи, знищення встановленим порядком закри- тих"виробничих документів) ;
при внесенні змін у програмне забезпечення (суворе санкціо нування, розгляд та затвердження проектів змін, перевірка їх на задоволення вимог захисту, документальне оформлення змін і т.ін.);
при підготовці та контролі роботи користувачів.
Служба захисту інформації
Одним із найважливіших організаційних заходів є створення спеціальних штатних служб захисту інформації у закритих інформаційних системах у вигляді адміністратора безпеки мережі та адміністратора безпеки розподілених баз та банків даних, які Містять відомості конфіденційного характеру.
307
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ
Ц ілком очевидно, що організаційні заходи повинні чітко плануватися, спрямовуватися та здійснюватися певною організаційною структурою, певним спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фахівцями з безпеки діяльності та захисту інформації.
Найчастіше таким структурним підрозділом є служба безпеки підприємства (фірми, організації), на яку покладаються наступні функції:
організація та забезпечення охорони персоналу, матеріаль них та фінансових цінностей та захисту конфіденційної ін формації;
забезпечення пропускного та внутрішньооб'єктового режи му на території, в будівлях та приміщеннях, контроль дотри мання вимог режиму співробітниками, суміжниками, парт нерами та відвідувачами;
керівництво роботами з правового та організаційного регу лювання відносин із захисту інформації;
участь у розробці основоположних документів із метою за кріплення в них вимог забезпечення безпеки та захисту ін формації, а також положень про підрозділи, трудові договори, угоди, підряди, посадові інструкції та обов'язки керівництва, спеціалістів, робітників та службовців;
розробка та здійснення разом з іншими підрозділами заходів із забезпечення роботи з документами, що містять конфіден ційні відомості; при всіх видах робіт організація та контроль виконання вимог «Інструкції із захисту конфіденційної ін формації»;
вивчення усіх сторін виробничої, комерційної, фінансової та іншої діяльності для виявлення та наступної протидії будь- яким спробам нанесення збитків, ведення обліку та аналіз порушень режиму безпеки, накопичення та аналіз даних про зловмисні устремління конкурентної та інших організа цій, про діяльність підприємства та його клієнтів, партнерів, суміжників;
розробка, ведення, оновлення та поповнення «Переліку відо мостей, що мають конфіденційний характер» та інших нор-
308
Розділ 7. Основи безпеки інформаційних ресурсів
м ативних актів, які регламентують порядок забезпечення та захисту інформації;
забезпечення суворого виконання вимог нормативних актів із забезпечення виробничих секретів підприємства;
здійснення керівництва службами та підрозділами безпеки підвідомчих підприємств, організацій, закладів та іншими структурами в частині обговорених у договорах умовах із за хисту інформації;
організація та регулярне проведення обліку співробітників підприємства та служби безпеки з усіх напрямів захисту ін формації та забезпечення безпеки виробничої діяльності;
ведення обліку та суворого контролю виділених для конфі денційної роботи приміщень, технічних засобів у них, що ма ють потенційні канали витоку інформації та канали проник нення до джерел інформації, які знаходяться під охороною;
забезпечення проведення всіх необхідних заходів із припи нення спроб нанесення моральних та матеріальних збитків із сторони внутрішніх та зовнішніх загроз;
підтримка контактів із правоохоронними органами та служ бами безпеки сусідніх підприємств для вивчення криміноген ної обстановки в районі (зоні) та надання взаємної допомоги в кризових ситуаціях.
Служба безпеки є самостійною організаційною одиницею підприємства, що підпорядковується безпосередньо керівникові підприємства. Очолює службу безпеки начальник служби безпеки у посаді заступника керівника підприємства з безпеки.
Організаційно служба безпеки може складатися з наступних структурних одиниць:
підрозділу режиму та охорони;
спеціального підрозділу з оброблення документів конфіден ційного характеру;
інженерно-технічних підрозділів;
інформаційно-аналітичних підрозділів.
У такому складі служба безпеки здатна забезпечити захист конфіденційної інформації від будь-яких загроз.
309
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ
Н а служби безпеки покладаються наступні завдання: визначення кола осіб, які відповідно до положення, яке вони займають на підприємстві, прямо чи непрямо мають доступ до відомостей конфіденційного характеру; визначення ділянок зосередження конфіденційних відомостей;
визначення кола сторонніх підприємств, зв'язаних із даним підприємством кооперативними зв'язками, на яких у силу виробничих відносин можливий вихід з-під контролю відомостей конфіденційного характеру;
виявлення кола осіб, які недопущені до конфіденційної інформації, але проявляють підвищений інтерес до таких відомостей;
виявлення кола підприємств, у тому числі іноземних, що зацікавлені у доступі до відомостей, які охороняються, з метою нанесення економічних збитків даному підприємству, усунення економічного конкурента або його компрометації; розробка системи захисту документів, що містять відомості економічного характеру;
визначення на підприємстві ділянок, уразливих в аварійному відношенні, вихід із ладу яких може нанести матеріальні збитки підприємству та зірвати поставки готової продукції або комплектуючих підприємствам, пов'язаних із ним кооперацією;
визначення на підприємстві технологічного обладнання, вихід (або виведення) якого з ладу може призвести до великих економічних утрат;
визначення уразливих місць у технології виробничого циклу, несанкціонована зміна, в якій може призвести до втрати якості продукції та нанести матеріальні або моральні збитки підприємству (втрата конкурентоздатності); визначення на підприємстві місць, несанкціоноване відвідування яких може призвести до вилучення (викрадення) готової продукції або півфабрикатів, заготівок і тощо та організація їхнього фізичного захисту;
310
Розділ 7. Основи безпеки інформаційних ресурсів
в изначення та обґрунтування заходів правового, організа ційного та інженєрно-фізичного захисту підприємства, пер соналу, продукції та інформації;
розробка необхідних заходів, спрямованих на вдосконалення системи економічної, соціальної та інформаційної безпеки;
впровадження в діяльність підприємства новітніх досягнень науки та техніки, передового досвіду в галузі забезпечення економічної та інформаційної безпеки;
організація навчання співробітників служби безпеки від повідно до їх функціональних обов'язків;
вивчення, аналіз та оцінка стану забезпечення економічної та інформаційної безпеки підприємства та розробка пропози цій та рекомендацій для його вдосконалення;
розробка техніко-економічних обґрунтувань, спрямованих на придбання технічних засобів, одержання консультації у спеціалістів, розробку необхідної документації з метою удосконалення системи заходів із забезпечення економічної та інформаційної безпеки.
Організаційні заходи є вирішальною ланкою формування й реалізації комплексного захисту інформації та створення системи безпеки підприємства.
7.2.4. Інженерно-технічний захист
І Загальні положення інженерно-технічного захисту
'; Інженерно-технічний захист — це сукупність спеціальних Ьрганів, технічних засобів та заходів для їхнього використання в інтересах захисту конфіденційної інформації (рис. 7.7). Основне завдання інженерно-технічного захисту — це попередження розголошення, витоку, несанкціонованого доступу та інших форм незаконного втручання в інформаційні ресурси.
Різноманітність цілей, завдань, об'єктів захисту та заходів, що Проводяться, передбачають розгляд деякої системи класифікації засобів інженерно-технічного захисту за видом, орієнтацією та іншими характеристиками.
311
Н априклад, засоби інженерно-технічного захисту можна класифікувати за об'єктами впливу, характером заходів, способами реалізації, масштабом охоплення, класом засобів зловмисників, яким здійснюється протидія зі сторони служби безпеки.
За функціональним призначенням засоби інженерно-технічного захисту поділяються на наступні групи: фізичні засоби захисту, апаратні засоби захисту, програмні засоби захисту, криптографічні засоби захисту.
Фізичні засоби включають різноманітні пристрої та споруди, які перешкоджають фізичному проникненню (або доступу) зловмисників на об'єкти захисту та матеріальних носіїв конфіденційної інформації та здійснюють захист персоналу, матеріальних носіїв, фінансів та інформації від протиправних дій.
До апаратних засобів належать прилади, пристрої та інші технічні рішення, які використовуються в інтересах захисту інформації. Основне завдання апаратних засобів — забезпечення стійкого захисту від розголошення, витоку і несанкціонованого доступу через технічні засоби забезпечення діяльності організації (підприємства).
Програмні засоби охоплюють спеціальні програми, програмні комплекси та системи захисту інформації в інформаційних системах різноманітного призначення та засобах обробки (збирання, нагромадження, зберігання, оброблення та передачі) даних.
Криптографічні засоби — це спеціальні математичні та алгоритмічні засоби захисту інформації, що передається системами та мережами зв'язку, зберігається та обробляється на ЕОМ із використанням різноманітних методів шифрування.
Апаратні методи та засоби захисту достатньо поширені. Проте із-за того, що вони не мають достатньої гнучкості, часто втрачають свої захисні властивості при розкритті принципу їхньої дії і в подальшому не можуть бути використані.
Програмні методи та засоби більш надійні, період їхнього гарантованого використання значно більший, ніж апаратних методів та засобів.
313
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
К риптографічні методи та засоби посідають важливе місце і є надійним засобом забезпечення захисту інформації на тривалі періоди.
Очевидно, що такий поділ засобів захисту інформації достатньо умовний, бо на практиці дуже часто вони взаємодіють і реалізуються у вигляді програмно-апаратних засобів із широким використанням алгоритмів закриття інформації.
Фізичні засоби захисту
Фізичні засоби захисту — це різноманітні пристрої, конструкції, апарати, вироби, призначені для створення перепон на шляху руху зловмисників.
До фізичних засобів належать механічні, електромеханічні, електронні, електронно-оптичні, радіо- і радіотехнічні та інші пристрої для заборони несанкціонованого доступу (входу, виходу), пронесення (винесення) засобів і матеріалів та інших можливих видів злочинних дій.
Ці засоби застосовуються для вирішення наступних завдань:
охорона території підприємства на спостереження за нею;
охорона будівель, внутрішніх приміщень та контроль за ними;
охорона обладнання, продукції, фінансів та інформації;
здійснення контрольованого доступу до будівель та при міщень.
Усі фізичні засоби захисту об'єктів можна розділити на три категорії: засоби попередження, засоби виявлення та системи ліквідації загроз. Охоронна сигналізація та охоронне телебачення, наприклад, відносяться до засобів виявлення загроз; загорожі навколо об'єктів — це засоби попередження несанкціонованого проникнення на територію, а підсилені двері, стіни, стелі, грати на вікнах та інші заходи служать захистом також і від проникнення, і від інших злочинних дій (підслуховування, обстрілу, кидання гранат і т.ін.). Засоби пожежегасіння належать до систем ліквідації загроз.
У загальному випадку за фізичною природою та функціональним призначенням усі засоби цієї категорії можна поділити на наступні групи:
314
Розділ 7. Основи безпеки інформаційних ресурсів
о хоронні та охоронно-пожежні системи;
охоронне телебачення;
охоронне освітлення;
засоби фізичного захисту.
Охороні системи та засоби охоронної сигналізації призначені для виявлення різноманітних видів загроз: спроб проникнення на об'єкт захисту, в зони та приміщення, які охороняються, спроб пронесення (винесення) зброї, засобів промислового шпіонажу, викрадення матеріальних та фінансових цінностей та інших дій; оповіщення співробітників охорони або персоналу об'єкта про появу загроз та необхідність підсилення контролю доступу на об'єкт, територію, в будівлі та приміщення.
Найважливішими елементами охоронних систем є датчики, які виявляють появу загрози. Характеристики та принципи роботи датчиків визначають основні параметри та практичні можливості охоронних систем.
Уже розроблена та широко використовується значна кількість різноманітних датчиків як за принципами виявлення різноманітних фізичних полів, так і за тактичним призначенням.
Ефективність роботи системи охорони та охоронної сигналізації в основному визначається параметрами та принципом роботи датчиків. На сьогодні відомі датчики наступних типів: механічні вимикачі, дріт із вимикачем, килимки тиску, металева фольга, дротова сітка, мікрохвильові датчики, ультрахвильові датчики, інфрачервоні датчики, фотоелектричні датчики, акустичні датчики, вібраційні датчики, індуктивні датчики, ємнісні датчики іт.ін.
Кожний тип датчика реалізує певний вид захисту: точковий захист, захист по лінії, захист по площі або захист по обсягу. Наприклад, механічні датчики орієнтовані на захист лінії, килимки — на точкове виявлення, а інфрачервоні знаходять широке застосування на площі і в обсязі.
Датчики через ці чи інші канали зв'язку з'єднані з контрольно-приймальним пристроєм пункту (або поста) охорони і засобів тривожного сповіщення.
Каналами зв'язку в системах охоронної сигналізації можуть бути спеціально прокладені проводові або кабельні лінії, телефон-
315
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
н і лінії об'єкта, лінії зв'язку трансляції, системи оповіщення або радіоканали. Вибір каналів визначається можливостями об'єкта.
Важливим об'єктом охоронної системи є засоби тривожного сповіщення: дзвінки, лампочки, сирени, які подають постійні або перервні сигнали про появу загрози.
За тактичним призначенням охоронні системи поділяються на системи охорони:
периметрів об'єктів;
приміщень та проходів до службових та складських буді вель;
сейфів, обладнання, основних та допоміжних технічних за собів;
автотранспорту;
персоналу, у тому числі й особового складу охорони, і т.ін. До засобів фізичного захисту належать:
природні та штучні перепони (бар'єри);
особливі конструкції периметрів, проходів, віконних та двер них плетінь, приміщень, сейфів, сховищ і т.ін.;
зони безпеки.
Природні та штучні бар'єри призначені для протидії незаконному проникненню на територію об'єкта. Проте основне захисне навантаження лягає все-таки на штучні бар'єри — такі як паркани та інші види огорож. Практика показує, що огорожі складної конфігурації здатні затримати зловмисника на достатньо тривалий час. На сьогодні нараховується значний арсенал таких засобів: від простих сітчастих до складних комбінованих огорож, які справляють певний відлякуючий вплив на порушника.
Особливі конструкції периметрів, проходів, віконних сплетінь, приміщень, сейфів, сховищ є обов'язковими з точки зору безпеки для будь-яких організацій та підприємств. Ці конструкції повинні протистояти будь-яким способам фізичного впливу зі сторони кримінальних елементів:
механічним деформаціям, руйнуванню свердлінням, терміч ному та механічному різанню, і т.ін.;
несанкціонованому доступу шляхом підробки ключів, відга дування коду і т.ін.
316
Розділ 7. Основи безпеки інформаційних ресурсів
О дним із головних технічних засобів захисту проходів, приміщень, сейфів та сховищ є замки. Вони бувають простими (з ключами) кодовими (у тому числі з часовою затримкою на відкривання) і з програмним пристроями, що відкривають двері та сейфи в певний час.
Важливим засобом фізичного захисту є планування об'єкта, його будівель та приміщень за зонами безпеки, які враховують міру важливості різних частин об'єкта з точки зору нанесення збитків від різного виду загроз. Оптимальне розташування зон безпеки та розташування в них ефективних технічних засобів виявлення, відбиття та ліквідації наслідків протиправних дій складає основу концепції інженерно-технічного Захисту об'єкта.
Зони безпеки повинні розташовуватися на об'єкті послідов-, но, від огорожі навкруг території об'єкта до сховищ цінностей, створюючи ланцюг перешкод (рубежів), які доведеться долати зловмисникові. Від складності та надійності перепони на його шляху залежить відрізок часу, необхідного на подолання кожної зони, та ймовірність того, що розташовані в кожній зоні засоби виявлення (охороні пости, охоронна сигналізація та охоронне телебачення) виявлять наявність порушника та подадуть сигнал тривоги.
Основу планування та обладнання зон безпеки об'єкта становить принцип рівноміцності границь зон безпеки. Сумарна міцність зон безпеки буде оцінюватися найменшою з них.
Охоронне телебачення є одним із поширених засобів охорони. Особливістю охоронного телебачення є можливість не тільки відзначити порушення режиму охорони об'єкта, але й контролювати обстановку навкруги нього в динаміці її розвитку, визначати небезпеку дій, вести приховане спостереження та здійснювати відеозапис для наступного аналізу правопорушення як із метою вивчення, так і з метою притягнення до відповідальності порушника.
Джерелами зображення (датчиками) в системах охоронного телебачення є відеокамери. Через об'єктив зображення зловмисника попадає на світлочутливий елемент камери, в якому воно перетворюється в електричний сигнал, який подається спеціаль-
317
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
н им коаксіальним кабелем на монітор і при необхідності — на відеомагнітофон.
Відеокамера є центральним елементом системи охоронного телебачення, так як від її характеристик залежить ефективність та результативність всієї системи контролю та спостереження. На сьогоднішній день розроблені та випускаються найрізноманітніші моделі, які відрізняються як за конструкцією та габаритами, так і за можливостями.
Другим за значення елементом системи охоронного телебачення є монітор. Він повинен підходити за параметрами з віде-окамерою. Часто використовують один монітор із декількома камерами, які приєднуються до нього почергово засобами автоматичного переключання за певним регламентом.
У деяких системах телевізійного спостереження передбачається автоматичне приєднання камери, в зоні огляду якої виникло порушення. Використовується й більш складне обладнання, яке включає засоби автоматизації, пристрої одночасного виведення декількох зображень, детектори руху для подавання сигналу тривоги при виявленні будь-яких змін у зображенні.
Обов'язковою складовою частиною системи захисту будь-якого об'єкта є охоронне освітлення. Розрізняють два види охоронного освітлення — чергове та тривожне.
Чергове освітлення призначається для постійного використання у неробочий час, у вечірній та нічний час як на території об'єкта, так і всередині будівлі.
Тривожне освітлення вмикається при надходженні сигналу тривоги від засобів охоронної сигналізації. Окрім того, за сигналом тривоги на додаток до освітлення можуть включатися і звукові прилади (дзвінки, сирени і т.ін.).
Сигналізація та чергове освітлення повинні мати резервне електроживлення на випадок аварії або вимкненні електромережі.
В останні роки велика увага приділяється створенню систем фізичного захисту, сполучених із системами сигналізації. Так, відома електронна система сигналізації для використання з дротовим загородженням. Система складається з електронних дат-
318
Розділ 7. Основи безпеки інформаційних ресурсів
ч иків та мікропроцесора, який керує блоком оброблення даних. Загородження довжиною до 100 м може встановлюватися на відкритій місцевості або розташовуватися на стінах, горищах та на наявних огорожах.
Стійкі до впливу навколишнього середовища датчики монтуються на стійках, кронштейнах. Дротове загородження складається з 32 горизонтально натягнутих стальних ниток, у середній частині коленої з яких кріпиться електромеханічний датчик, який перетворює зміну натягу ниток в електричний сигнал.
Перевищення граничної величини напруги, яке програмується за амплітудою для коленного датчика окремо.» викликає сигнал тривоги. Зв'язок системи з центральним пунктом управління та контролю здійснюється за допомогою мультиплексора. Мікропроцесор автоматично через певні інтервали часу перевіряє роботу компонентів апаратури та програмних засобів і — у випадку встановлення відхилень — подає відповідний сигнал.
Подібні і ряд інших аналогічних систем фізичного захисту можуть використовуватися для захисту об'єктів по периметру з метою виявлення вторгнення на територію об'єкта.
Використовуються системи з двох волоконно-оптичних кабелів, по яких передаються кодовані сигнали інфрачервоного діапазону. Якщо в сітці нема пошкоджень, то сигнали поступають на приймальний пристрій без спотворень. Спроби пошкодження сітки призводить до обривів або деформації кабелів, що викликає сигнал тривоги. Оптичні системи відрізняються низьким рівнем помилкових тривог, викликаних впливом на неї дрібних тварин, птахів, зміною погодних умов та високою ймовірністю виявлення спроб вторгнення.
Наступним видом фізичного захисту є захист елементів будівель та приміщень. Прийнятний фізичний захист віконних прорізів приміщень забезпечують традиційні металеві решітки, а також спеціальне оскляніння на основі пластичних мас, армованих стальним дротом. Двері та вікна приміщення, що охороняється, обладнують датчиками, що спрацьовують при руйнуванні скла, дверей, але не реагують на їхні коливання, викликані іншими причинами. Спрацьовування датчиків викликає сигнал тривоги.
319
Частина 11. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
С еред засобів фізичного захисту особливо слід відзначити засоби захисту ПЕОМ від викрадення та проникнення до їхніх внутрішніх компонентів. Для цього використовуються металеві конструкції з клейкою підставкою, яка забезпечує зчеплення з поверхнею столу з силою 250-2700 кг/см. Це виключає вилучення або переміщення ПЕОМ без порушення цілісності поверхні столу. Переміщення ПЕОМ можливе тільки з використанням спеціальних ключів та інструментів.
Замикаючі пристрої та спеціальні шафи посідають особливе місце в системах обмеження доступу, оскільки вони несуть у собі ознаки як системи фізичного захисту, так і пристроїв контролю доступу. Вони надзвичайно різноманітні та призначені для захисту документів, матеріалів, магнітних носіїв, фотоноспв і навіть технічних засобів: ПЕОМ, принтерів, ксероксів і т.ін.
Випускаються спеціальні металеві шафи для зберігання ПЕОМ та іншої техніки. Такі шафи забезпечуються надійною подвійною системою замикання: замком ключового типу та комбінованим на 3-5 комбінацій. Можуть застосовуватися також замки з програмованим часом відкривання за допомогою механічного або електронного годинника.
Системи контролю доступу. Регулювання доступу в приміщення здійснюється насамперед через упізнавання (автен-тифікацію) службою охорони або технічними засобами.
Контрольований доступ передбачає обмеження кола осіб, які допускаються в певні захищені зони, будівлі, приміщення, і контроль за переміщенням цих осіб у середині них.
Основою для допуску служить певний метод для впізнавання і порівняння з еталонними параметрами системи. Існує вельми широкий спектр методів упізнавання уповноважених осіб на право їхнього доступу в приміщення, будівлі, зони.
На основі впізнавання приймається рішення про допуск осіб, які мають на це право, або заборону — для тих, хто не має цього права. Найбільш поширені атрибутні та персональні методи впізнавання.
До атрибутних засобів належать засоби підтвердження повноважень, такі, зокрема, як документи (паспорт, посвідчення
320
Розділ 7. Основи безпеки інформаційних ресурсів
і т.ін.). картки (фотокартки, картки з магнітними, електричними, механічними ідентифікаторами і т.ін.) та інші засоби (ключі, сигнальні елементи і т.ін.). Слід відзначити, що ці засоби в значній мірі піддаються різного виду підробкам та шахрайству.
Персональні методи — це методи визначення особи за її незалежними показниками: відбитками пальців, геометрією рук, особливостями очей і т.ін. Персональні характеристики бувають статичні та динамічні. До останніх належать пульс, тиск, кардіограми, мова, почерк і т.ін.
Персональні способи є найбільш привабливими. По-перше, вони повно описують кожну окрему людину. По-друге, неможливо або вкрай важко підробити індивідуальні характеристики.
Статичні способи включають аналіз фізичних характеристик — таких, як відбитки пальців, особливості геометри рук і т.ін. Вони достатньо достовірні та мають малу ймовірність помилок.
Динамічні ж способи використовують характеристики, що змінюються у часі.
Характеристики, які залежать від звичок та навичок, є не тільки найбільш простими для підробки, але й найбільш дешевими з точки зору практичної реалізації.
Способи впізнавання, засновані на будь-чому, що запам'ятовується (код, пароль і т.ін.), можуть застосовуватися у випадках найбільш низьких вимог до безпеки, бо часто ця інформація записується користувачами на різноманітних папірцях, в записних книжках та інших носіях, що при їх доступності іншим може звести нанівець усі зусилля з безпеки. Крім того, існує реальна можливість підглянути, підслухати або одержати цю інформацію іншим шляхом (насильство, викрадення і т.ін.).
Спосіб упізнавання людиною (вахтер, вартовий) не завжди надійний із-за так званого «людського фактору», який полягає в тому, що людина піддається впливові багатьох зовнішніх умов (утома, погане самопочуття, емоційний стрес, підкуп і т.ін.). На противагу цьому знаходять широке застосування технічні засоби упізнавання, наприклад, ідентифікаційні картки, впізнавання за голосом, почерком, відбитками пальців і т.ін.
Найпростіший та найбільш поширений метод ідентифікації використовує різноманітні картки, на яких розташовується ко-
321
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЩЙНШЕХНОЛОПЙ
д ована або відкрита інформація про власника, його повноваження і т.ін.
Звичайно це пластикові картки типу перепусток або жетонів. Картки вводяться з читаючий пристрій кожний раз, коли необхідно увійти або вийти з приміщення, що охороняється, або одержати доступ до чого-небудь (сейфа, камери, терміналу і т.ін.).
Існує багато різновидів пристроїв упізнавання та ідентифікації особи, які використовують подібні картки. Одні з них звіряють фотографії та інші ідентифікаційні елементи, інші — магнітні поля і т.ін.
Системи впізнавання за відбитками пальців. В основі ідентифікації лежить порівняння відносного положення закінчень та розгалужень ліній відбитка. Пошукова система шукає на поточному зображенні контрольні елементи, визначені при дослідженні еталонного зразка. Для ідентифікації однієї людини вважається достатнім визначити координати 12 точок.
Такі системи достатньо складні. Вони рекомендуються до використання на об'єктах, які потребують надійного захисту.
Системи впізнавання за голосом. Існує декілька способів виділення характерних ознак мови людини: аналіз короткочасних сегментів, контрольний аналіз, виділення статистичних характеристик. Слід відзначити, що теоретичні питання ідентифікації за голосом розроблені достатньо повно, але промислове виробництво таких систем поки відстає.
Системи впізнавання за почерком вважаються найбільш зручними для користувача. Основним принципом ідентифікації за почерком є постійність підпису кожної особи, хоча абсолютного збігу не буває.
Система впізнавання за геометрією рук. Для ідентифікації застосовують аналіз комбінацій ліній згинів пальців та долоні, ліній складок, довжина та товщина пальців.
Технічно це реалізується шляхом накладення руки на матрицю фотокомірок. Рука освітлюється потужною лампою, здійснюється реєстрація сигналів із комірок, які несуть інформацію про геометрію.
322
Розділ 7. Основи безпеки інформаційних ресурсів
У сі пристрої ідентифікації людини можуть працювати як окремо, так і в комплексі. Комплекс може бути вузькоспеціальним або багатоцільовим, при якому система виконує функції охорони, контролю, реєстрації та сигналізації. Такі системи є вже комплексними. Комплексні системи забезпечують:
допуск на територію підприємства за карткою (перепусткою), яка містить індивідуальний машинний код;
блокування проходу при спробах несанкціонованого прохо ду (прохід без перепустки, прохід до спеціальних підрозділів співробітників, які не мають перепустки);
можливість блокування проходу для порушників графіку ро боти (запізнення на роботу, передчасне залишення робочого місця і т.ін.);
відкриття зони проходу для вільного виходу за командою вахтера;
перевірку кодів перепусток та затримання їх пред'явників на КПП за вказівкою оператора системи;
реєстрацію часу перетинання прохідної та збереження його в базі даних ПЕОМ;
оброблення одержаних даних та формування різноманітних документів (табель робочого часу, рапорт за добу, відомість порушників трудової дисципліни і т.ін.), що дозволяє мати оперативну інформацію про порушників трудової дисциплі ни, відпрацьованих кожним час і т.ін.;
оперативне коригування бази даних із доступом за паролем;
роздруківку табелів робочого часу за довільною групою спів робітників (підприємство в цілому, структурний підрозділ, окремо вибрані співробітники);
роздруківку списків порушників графіка робочого часу з конкретними даними про порушення;
поточний та ретроспективний аналіз відвідування співробіт никами підрозділів, пересування співробітників через КПП, видача списку присутніх або відсутніх у підрозділах або на підприємстві для довільно вибраного моменту часу (при умові збереження баз даних за минулі періоди);
323
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
• одержання оперативної інформації абонентами локальної мережі на випадок мережної реалізації системи.
Фізичні засоби є першою перешкодою (бар'єром) для зловмисника при реалізації ним заходових методів доступу.
Апаратні засоби захисту
До апаратних засобів захисту інформації відносять найрізноманітніші за принципом дії, побудовою та можливостями технічні конструкції, які забезпечують припинення розголошення, захист від витоку та протидію несанкціонованому доступові до джерел конфіденційної інформації.
Апаратні засоби захисту інформації застосовуються для виконання наступних завдань:
проведення спеціальних досліджень технічних засобів забез печення виробничої діяльності на наявність можливих ка налів витоку інформації;
виявлення каналів витоку інформації на різних об'єктах та в приміщеннях;
локалізація каналів витоку інформації;
пошук та виявлення засобів промислового шпіонажу;
протидія несанкціонованому доступові до джерел конфіден ційної інформації та іншим діям.
За функціональним призначенням апаратні засоби можуть поділятися на засоби виявлення, засоби пошуку та детальних вимірювань, засоби активної та пасивної протидії. При цьому за своїми характеристиками засоби можуть бути загального застосування, розраховані на використання непрофесіоналами з метою одержання попередніх (загальних) оцінок, і професійні комплекси, які дозволяють здійснювати ретельний пошук, виявлення та прецизійне вимірювання всіх характеристик засобів промислового шпіонажу.
До першої групи можна віднести індикатори електромагнітних випромінювань, які можуть приймати широкий спектр сигналів із достатньо низькою чутливістю.
324
Розділ 7. Основи безпеки інформаційних ресурсів
Д о другої групи можна віднести комплекси для виявлення та пеленгування радіозакладок, призначені для автоматичного виявлення та виявлення місцезнаходження радіопередавачів, радіомікрофонів, телефонних закладок та мережних радіопередавачів.
Пошукову апаратуру можна розділити на апаратуру пошуку засобів знімання інформації та дослідження каналів її витоку.
Апаратура першого типу спрямована на пошук та локалізацію вже впроваджених зловмисниками засобів несанкціонованого доступу. Апаратура другого типу призначена для виявлення каналів витоку інформації.
Як і в будь-якій галузі техніки, універсальність будь-якої апаратури призводить до зниження її параметрів із кожної окремої характеристики.
З іншого боку, існує велика кількість різних за природою каналів витоку інформації, а також фізичних принципів, на основі яких працюють системи несанкціонованого доступу. Ці фактори зумовлюють різноманіття пошукової апаратури, а її складність визначає високу вартість кожного приладу. В зв'язку з цим достатній комплекс пошукового обладнання можуть дозволити собі мати структури, які постійно проводять відповідні обстеження. Це або великі служби безпеки, або спеціалізовані фірми, які надають послуги стороннім організаціям.
До особливої групи можна віднести апаратні засоби захисту ЕОМ та комунікаційних систем на їхній основі.
Апаратні засоби захисту застосовуються як в окремих ПЕОМ, так і на різних рівнях та ділянках мережі: в центральних процесорах ЕОМ, в їхніх оперативних запам'ятовуючих пристроях (ОЗУ), контролерах вводу-виводу, зовнішніх запам'ятовуючих пристроях, терміналах і т.ін.
Для захисту центральних процесорів (ЦП) застосовується кодове резервування — створення додаткових бітів у форматах машинних команд (розрядів секретності) і резервних регістрів (у пристроях ЦП), одночасно передбачаються два можливих режими роботи процесора, які відділяють допоміжні операції від операцій безпосереднього вирішення задач користувача. Для
325
ЧастинаІІ. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
ц ього служить спеціальна програма переривань, яка реалізується апаратними засобами.
Одним із заходів апаратного захисту ЕОМ та інформаційних мереж є обмеження доступу до оперативної пам'яті за допомогою встановлення границь або полів. Для цього створюються регістри контролю та регістри захисту даних. Застосовуються також додаткові бити парності — різновид методі кодового резервування.
Для позначення степеня конфіденційності програм і даних, категорій користувачів використовуються біти, які називаються бітами конфіденційності (це два-три додаткових розряди, за допомогою яких кодуються категорії секретності користувачів, програм, даних).
Програми та дані, які завантажуються в ОЗУ, потребують захисту, який гарантує їх від несанкціонованого доступу. Часто використовуються біти парності, ключі, постійна спеціальна пам'ять. При зчитуванні з ОЗУ необхідно, щоб програми не могли бути знищені несанкціонованими діями користувачів або внаслідок виходу з ладу апаратури. Відмови повинні своєчасно виявлятися та усуватися, щоб запобігти виконанню спотвореної команди ЦП та втрати інформації.
Для попередження зчитування даних в ОЗУ, які залишилися після оброблення, застосовується спеціальна програма стирання. У цьому випадку формується команда на стирання ОЗУ та вказується адреса блоку пам'яті, який повинен бути звільнений від інформації. Ця схема записує нулі або будь-яку іншу послідовність символів у всі комірки даного блоку пам'яті, забезпечуючи надійне стирання раніше завантажених даних.
Апаратні засоби захисту застосовуються й у терміналах користувачів. Для попередження витоку інформації при приєднанні незареєстрованого терміналу необхідно перед видачею запитуваних даних здійснити ідентифікацію (автоматичне визначення коду або номера) терміналу, із якого поступив запит. У багатокористувальницькому режимі цього терміналу його ідентифікації недостатньо. Необхідно здійснити автентифікацію
326
Розділ 7. Основи безпеки інформаційних ресурсів
к ористувача, тобто встановити його дійсність та повноваження. Це необхідно і тому що різні користувачі, зареєстровані в системі, можуть мати доступ тільки до окремих файлів і суворо обмежені повноваження їхнього використання.
Для ідентифікації терміналу найчастіше застосовується генератор коду, включений до апаратури терміналу, а для автентифі-кації користувача — такі апаратні засоби, як ключі, персональні кодові картки, персональний ідентифікатор, пристрої розпізнавання голосу користувача або форми його пальців. Проте найбільш розповсюдженими засобами автентифікації є паролі, перевірені не апаратними, а програмними засобами впізнавання.
Апаратні засоби захисту інформації — це різноманітні технічні пристрої, системи та споруди, призначені для захисту інформації від розголошення, витоку і несанкціонованого доступу.
Програмні засоби захисту
Програмний захист інформації — це система спеціальних програм, які входять до складу програмного забезпечення та реалізують функції захисту інформації.
Виділяють наступні напрями використання програм для забезпечення безпеки конфіденційної інформації:
захист інформації від несанкціонованого доступу;
захист інформації від копіювання;
захист програм від вірусів;
захист інформації від вірусів;
програмний захист каналів зв'язку.
За кожним із вказаних напрямів існує достатня кількість якісних розроблених професіональними організаціями програмних продуктів, представлених на інформаційному ринку.
Програмні засоби захисту мають наступні різновиди спеціальних програм:
ідентифікації технічних засобів, файлів та автентифікації ко ристувачів;
реєстрації і контролю роботи технічних засобів та користу вачів;
327
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
о бслуговування режимів обробки інформації з обмеженим доступом;
захисту операційних систем ЕОМ та прикладних програм ко ристувачів;
знищення інформації у запам'ятовуючих пристроях після ви користання;
сигналізації порушень використання ресурсів;
допоміжні програми захисту різноманітного призначення. Ідентифікація технічних засобів і файлів, яка здійснюється
програмно, реалізується на основі аналізу реєстраційних номерів різних компонентів та об'єктів інформаційної системи та зівставлення їх із значеннями адресів і паролів, що зберігаються в запам'ятовуючому пристрої системи управління.
Для забезпечення надійності захисту за допомогою паролів робота системи захисту організується таким чином, щоб імовірність розкриття секретного пароля та встановлення відповідності тому чи іншому ідентифікатору файла або терміналу була як можна меншою. Для цього потрібно періодично змінювати пароль, а число символів у ньому встановлювати достатньо великим.
Ефективним способом ідентифікації елементів з адресами та автентифікації користувачів є алгоритм «запит-відповідь», відповідно до якого система захисту видає користувачеві запит на пароль, після чого він повинен дати на нього певну відповідь. Так як моменти введення запиту та відповіді на нього непередбачені, це утруднює процес відгадування пароля, що забезпечує більш високу надійність захисту.
Одержання дозволу на доступ до тих чи інших ресурсів можна здійснити не тільки на основі використання секретного пароля та наступних процедур автентифікації та ідентифікації. Це можна зробити більш детальним способом, яки враховує різні особливості режимів роботи користувачів, їхні повноваження, категорії даних і ресурсів, що запитуються, цей спосіб реалізується спеціальними програмами, які аналізують відповідні характеристики користувачів, зміст завдань, параметри технічних і програмних засобів, пристроїв пам'яті і т.ін.
328
Розділ 7. Основи безпеки інформаційних ресурсів
К онкретні дані запиту, які поступають у систему, порівнюються в процесі роботи програми захисту з даними, які занесені в реєстраційні секретні таблиці (матриці). Ці таблиці, а також програми для їхнього формування та оброблення зберігаються в зашифрованому вигляді та знаходяться під особливим контролем адміністратора безпеки інформаційної мережі.
Для розмежування доступу окремих користувачів до певної інформації застосовуються індивідуальні заходи секретності цих файлів та особливий контроль доступу до них користувачів. Гриф секретності може формуватися у вигляді трирозрядних кодових слів, які зберігаються у файлі або в спеціальній таблиці. У цій таблиці записується ідентифікатор користувача, який створив цей файл, ідентифікатори терміналів, із яких може здійснюватися доступ до даного файла, а також їхні права на користування файлом (зчитування, редагування, стирання, оновлення, виконання і т.ін.). Важливо не допустити взаємовплив користувачів у процесі звернення до файлів. Якщо, наприклад, один запис має право редагувати декілька користувачів, то кожному з них необхідно зберегти саме його варіант редакції (робиться декілька копій запису з метою можливого аналізу та встановлення повноважень).
Захист від несанкціонованого доступу. Основні функції від чужого вторгнення обов'язково передбачають певні заходи безпеки. Основними функціями, які повинні здійснюватися програмними засобами, у цьому випадку є:
ідентифікація суб'єктів та об'єктів;
розмежування (іноді й повна ізоляція) доступу до обчислю вальних ресурсів та інформації;
• контроль та реєстрація дій з інформацією та програмами. Процедура ідентифікації та підтвердження автентичності пе редбачає перевірку, чи є суб'єкт, якій здійснює доступ (або об'єкт, до якого здійснюється доступ), тим, за кого себе видає. Подібні перевірки можуть бути одноразовими або періодичними (особ ливо у випадках тривалих сеансів роботи). У процесі ідентифіка ції використовуються різноманітні методи:
прості, складні або одноразові паролі;
обмін питаннями та відповідями з адміністратором;
329
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
к лючі, магнітні картки, значки, жетони;
засоби аналізу індивідуальних геометричних характеристик (голосу, відбитків пальців, геометричних параметрів рук, об личчя);
спеціальні ідентифікатори або контрольні суми для апарату ри, програм, даних і т.ін.
Найбільш поширеним методом ідентифікації є парольна ідентифікація.
Практика показує, що парольний захист даних є слабкою ланкою, бо пароль можна підслухати або підглянути, перехопити, а то і просто розгадати.
Для захисту власне пароля напрацьовані певні рекомендації, як зробити пароль надійним:
пароль повинен містити, як правило, вісім символів. Чим менше символів має пароль, тим легше його розгадати;
не рекомендується використовувати як пароль очевидний на бір символів, наприклад, ім'я, дату народження, імена близь ких або найменування програм користувача. Краще для та ких цілей використовувати невідому формулу або цитату;
якщо криптографічна програма дозволяє, необхідно ввести в пароль хоча би одну прогалину, небуквений символ або про писну букву;
не рекомендується називати нікому пароль, не записувати його;
частіше міняти пароль;
не потрібно вводити пароль у процедуру встановлення діало гу або макрокоманди.
Необхідно пам'ятати, що набраний на клавіатурі пароль часто зберігається в послідовності команд автоматичного входу в систему.
Для ідентифікації програм і даних часто вдаються до підрахунку контрольних сум, проте, як і у випадку парольної ідентифікації, важливо виключити можливість підробки при збереженні правильної контрольної суми. Це досягається шляхом використання складних методів контрольного підсумовування
330
Розділ 7. Основи безпеки інформаційних ресурсів
н а основі криптографічних алгоритмів. Забезпечити захист даних від підробки (імітостійкість) можна, якщо застосувати різноманітні методи шифрування та методи цифрового підпису на основі криптографічних систем із відкритим ключем.
Після виконання процедур ідентифікації та встановлення автентичності користувач одержує доступ до обчислювальної системи, і захист інформації здійснюється на трьох рівнях:
апаратури;
програмного забезпечення;
даних.
Захист на рівні апаратури та програмного- забезпечення передбачає управління доступом до обчислювальних ресурсів: окремих пристроїв, оперативної пам'яті, операційної системи, спеціальним службовим та особистим програмам користувача.
Захист інформації на рівні даних спрямований:
на захист інформації при звертанні до неї у процесі роботи на ПЕОМ та виконання тільки дозволених операцій над ними;
на захист інформації при її передаванні каналами зв'язку між різними ЕОМ.
Управління доступом до інформації дозволяє дати відповідь на питання:
хто може виконувати і які операції;
над якими даними дозволяється виконувати операції. Об'єктом, доступ до якого контролюється, може бути файл,
запис у файлі, а фактором, що визначає порядок доступу, — певна подія, значення даних, стан системи, повноваження користувача, передісторія звернення та інші дані.
Доступ, що керується подією, передбачає блокування звернення користувача. Наприклад, у певні інтервали часу або при звертанні з певного терміналу. Доступ, що залежить від стану, здійснюється залежно від поточного стану обчислювальної системи, керуючих програм та системи захисту.
Що стосується доступу, залежного від повноважень, то він передбачає звернення користувача до програм, даних, обладнання залежно від режиму, що надається. Таким режимами можуть
331
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
б ути «тільки читати», «читати та писати», «тільки виконувати» і т.ін.
В основі більшості засобів контролю доступу лежить те або інше представлення матриці доступу.
Інший підхід до побудови засобів контролю доступу заснований на контролі інформаційних потоків та розподілі суб'єктів і об'єктів доступу на класи конфіденційності.
Засоби реєстрації, як засоби контролю доступу, належать до ефективних заходів захисту від несанкціонованих дій. проте, якщо засоби контролю доступу призначені для відвернення таких дій, то завдання реєстрації — виявити вже здійснених дій або спроби дій.
У загальному випадку комплекс програмно-технічних засобів та організаційних (процедурних) рішень із захисту інформації від несанкціонованого доступу (НСД) реалізується наступними діями:
управління доступом;
реєстрація та облік;
застосування криптографічних засобів;
забезпечення цілісності інформації.
Можна відзначити наступні форми контролю та розмежування доступу, що знайшли широке застосування на практиці. Попередження доступу:
до жорсткого диска;
до окремих розділів;
до окремих файлів;
до каталогів;
до гнучких дисків;
до змінних носіїв інформації.
Установлення привілеїв доступу до групи файлів. Захист від модифікації:
файлів;
каталогів.
Захист від знищення:
файлів;
каталогів.
332
Розділ 7. Основи безпеки інформаційних ресурсів
П опередження копіювання:
файлів;
каталогів;
прикладних програм.
Затемнення екрана через певний час, встановлений користувачем.
Захист від копіювання. Засоби захисту від копіювання запобігають використання викрадених копій програмного забезпечення і на даний час є єдиним надійним засобом, який захищає авторське право розробників-програмістів та стимулює розвиток ринку програмного забезпечення.
Під засобами захисту від копіювання звичайно розуміють засоби, які забезпечують виконання програмою своїх функцій тільки при упізнанні деякого унікального елемента, що не піддається копіюванню. Таким елементом (ключовим елементом) може бути дискета, певна частина комп'ютера або спеціальний пристрій, який приєднується до ПЕОМ. Захист від копіювання реалізується виконанням ряду функцій, які є спільними для всіх систем захисту:
ідентифікація середовища, із якого буде запускатися прог рама;
автентифікація середовища, із якого запущена програма;
реакція на запуск із несанкціонованого середовища;
реєстрація несанкціонованого копіювання;
протидія вивченню алгоритмів роботи системи.
Під середовищем, із якого буде запускатися програма, розуміють або дискету, або ПЕОМ (якщо установка здійснюється на нагромаджувач на жорсткому магнітному дискові). Ідентифікація середовища полягає в тому, щоб деяким чином поіменувати середовище з метою подальшої її автентифікації. Ідентифікувати середовище — значить закріпити за ним деякі спеціально створені або виміряні характеристики, які рідко повторюються та важко підроблюються. Такі характеристики називаються ідентифікаторами. Ідентифікація дискет може бути проведена двома способами.
Перший заснований на нанесенні пошкоджень на деяку частину дискети, поширений спосіб такої ідентифікації — «лазерна
333
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
д іра». При такому способі дискета пропалюється в деякому місці лазерним променем. Очевидно, що зробити точно таку ж дірку в дискеті копії і в тому ж місці, як і на дискеті-оригіналі, достатньо важко.
Інший спосіб ідентифікації заснований на нестандартному форматуванні дискети.
Реакція на запуск із несанкціонованого середовища зводиться до видачі відповідного повідомлення.
Захист інформації від руйнування. Руйнування може відбутися при підготовці й здісненні різних відновлювальних заходів (резервування, створення та оновлення страхувального фонду, ведення архівів інформації і т.ін.). Оскільки причини руйнування вельми різноманітні (несанкціоновані дії, помилки програм та обладнання, комп'ютерні віруси і т.ін.), то проведення страхувальних заходів є обов'язковим для всіх, хто користується ПЕОМ.
Необхідно спеціально відзначити небезпеку комп'ютерних вірусів. Комп'ютерний вірус [computer viruses] (від лат. virus — отрута)— це невелика, достатньо складна, ретельно складена та небезпечна програма, яка може самостійно розмножуватися, переносити себе на диски, прикріплюватися до чужих програм та передаватися інформаційними мережами. Вірус, звичайно, створюється для порушення роботи комп'ютера різноманітними способами — від «безвинного» видавання будь-якого повідомлення до стирання, руйнування файлів.
Основну масу вірусів створюють так звані хакери [hacker] — програмісти-хулігани, щоб утішити свої амбіції або заробити гроші на продажі антивірусних програм (антивірусів).
Антивірус — це програма, яка виявляє або видаляє віруси. Такі програми бувають спеціалізованими або універсальними. Спеціалізовані здатні боротися з уже написаними, працюючими вірусами, а універсальні — із ще не написаними.
До спеціалізованих належить більшість антивірусних програм, кожна з них розпізнає один або декілька конкретних вірусів, ніяк не реагуючи на присутність інших.
Універсальні антивіруси призначені для боротьби з цілими класами вірусів. За призначенням антивіруси універсальної дії
334
Розділ 7. Основи безпеки інформаційних ресурсів
б увають різноманітними. Широке застосування знаходять рези-дентні антивіруси та програми ревізори.
І ці, і інші антивірусні програми мають певні можливості, позитивні й негативні (недоліки) характеристики. Спеціалізовані при своїй простоті надто вузько спеціалізовані. При значній різноманітності вірусів потрібна така ж різноманітність антивірусів.
Окрім використання в інтересах захисту від вірусів анти-вірусних програм, широке застосування знаходять організаційні заходи безпеки. Для зменшення небезпеки вірусних атак можливим є прийняття певних дій, які для кожного конкретного випадку можуть бути скорочені або розширені:
інформувати всіх співробітників про небезпеку на можливі збитки на випадок вірусних атак;
заборонити співробітниками приносити програми зі сторо ни для установки їх у системи оброблення інформації — по винні використовуватися тільки програми, які розповсюджу ються офіційно;
заборонити співробітникам використовувати комп'ютерні ігри на ПЕОМ, що обробляють інформація, яка підлягає за хисту;
для виходу на стороні інформаційні мережі виділяти окреме спеціальне місце;
створити архів копій програм і даних;
періодично проводити перевірку контрольним підсумову вання або порівнянням з «чистими» програмами;
установити системи захисту інформації на особливо важливих ПЕОМ із застосуванням спеціальних антивірусних засобів.
Криптографічні засоби захисту
Криптографія [cryptography] (від грец. критстос. — секретний, прихований і ураф —пишу, креслю, малюю)) —спосіб тайнопису, заснований на використанні шифру, де під шифром [cipher, code, pressmark] (франц. chiffre, букв. — цифра, від араб, сіфр — нуль) звичайно розуміють сукупність обернених перетворень тексту
335
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
п овідомлень, які виконуються з метою схову від зловмисника (противника) інформації, яка знаходиться у повідомленні.
Криптографія включає декілька розділів сучасної математики, а також спеціальні галузі фізики, теорії інформації та зв'язку і деяких інших суміжних дисциплін.
Як наука про шифри, криптографія тривалий час була засекречена, бо застосовувалася в основному, для захисту державних і воєнних секретів. Проте на теперішній час методи та засоби криптографії використовуються для забезпечення інформаційної безпеки не тільки держави, але й приватних осіб та організацій. Справа тут зовсім не обов'язково в секретах. Дуже багато різноманітних відомостей циркулює по всьому світу в цифровому вигляді. І над цими відомостями буквально «висять» загрози несанкціонованого ознайомлення, нагромадження, підміни, фальсифікації і т.ін. Найбільш надійні методи захисту від таких загроз дає саме криптографія.
Для криптографічного перетворення інформації використовуються різноманітні шифрувальні засоби — засоби шифрування документів, засоби шифрування мови, засоби шифрування телеграфних повідомлень та передачі даних.
Загальна технологія шифрування. Вихідна інформація, яка передається каналами зв'язку, може представляти собою мову, дані, відеосигнали, називається незашифрованим повідомленням С (рис. 7.8).
У пристрої шифрування повідомлення шифрується (перетворюється у повідомлення С) і передається незахищеним каналом зв'язку. На приймальній стороні повідомлення С дешифрується для відновлення вихідного повідомлення Р.
Параметр, який може застосовуватися для добування окремого повідомлення, називається ключем.
У сучасній криптографії розглядаються два типи криптографічних алгоритмів (ключів). Це класичні криптографічні алгоритми, засновані на використанні секретних ключів та нові криптографічні алгоритми з відкритими ключами, засновані на використанні двох типів ключів: секретного (закритого) та відкритого.
336
У криптографії з відкритими ключами є, як правило, два ключі, один з яких неможливо визначити з іншого. Якщо ключ розшифровування обчислювальними методами неможливо одержати з ключа зашифровування то секретність інформації, зашифрованої за допомогою несекретного (відкритого) ключа, буде забезпечена. Проте цей ключ повинен бути захищеним від підміни або модифікації. Ключ розшифровування також повинен бути секретним і захищеним від підміни або модифікації.
Якщо, навпаки, обчислювальними методами неможливо одержати ключ зашифровування з ключа розшифровування, то ключ розшифровування може бути не секретним.
Розділення функцій зашифровування та розшифровування на основі розділення на дві частини додаткової інформації, необхідної для виконання операцій, є тією цінною ідеєю, яка лежить в основі криптографії з відкритим ключем.
Технологія шифрування мови. Найбільш поширеним способом шифрування мовного сигналу є аналогове скремблюван-ня та цифрове шифрування.
337
Аналогове скремблювання — це перетворення аналогового сигналу з будь-якими статистичними властивостями в сигнал, що змінюється за випадковим або псевдовипадковим законом. При аналоговому скремблюванні характеристики вхідного мовного повідомлення змінюються таким чином, що перетворене повідомлення стає неприйнятим для слухової системи людини, але займає таку саму смугу частот. Це дозволяє передавати скремб-льовані сигнали звичайними телефонними каналами зв'язку.
За видом перетворення аналогове скремблювання поділяється на частотне і часове, за режимом закриття — на статичне і динамічне. У відповідності до способів скремблювання розрізняють скремблери з інверсією спектра, з частотними перестановками, з інверсією кадру, з часовими перестановками, а також комбіновані скремблери.
Скремблер з інверсією спектра реалізує перетворення спектра мовного сигналу шляхом обернення частотної смуги сигналу навкруги деякої середньої точки спектра/0 (рис. 7.9). В цьому випадку досягається ефект перетворення низьких частот у більш високі і навпаки. Такий скремблер забезпечує невисокий рівень закриття, так як при перехопленні достатньо легко визначається значення частоти/о інверсії спектра мовного сигналу.
У скремблері з частотними перестановками спектр вхідного сигналу розділяється на декілька частотних смуг (до 10—15), які перемішуються (переставляються) відповідно до деякого
алгоритму (ключа) (рис. 7.10). При прийомі спектр сигналу відновлюється в результаті зворотних процедур. Зміна ключа в ході сеансу зв'язку в скремблерах (динамічне закриття) дозволяє підвищити ступінь закриття, але при цьому потрібна передача на приймальну сторону сигналів синхронізації, що відповідають моментам зміни ключа.
Скремблер з інверсією кадру реалізує спосіб часового закриття. Інверсія кадру забезпечується шляхом попереднього запам'ятовування в пам'яті передавального скремблера відрізка мовного повідомлення (кадру) тривалістю Тк і зчитування його (з передаванням у телефонну лінію) з кінця кадру (інверсно). При прийманні кадр мовного повідомлення запам'ятовується і зчитується з пристрою пам'яті у зворотному порядку, що забезпечує відновлення повідомлення. Для досягнення нерозбірливості мови необхідно, щоб тривалість кадру була не менше 250 мс. В цьому випадку сумарна тривалість запам'ятовування і інверсного передавання кадру складає приблизно 500 мс, що може створити значні затримки сигналу при телефонній розмові.
У скремблері з часовими перестановками кадр мовного повідомлення ділиться на відрізки (сегменти) тривалістю тс кожний (рис. 7.11). Послідовність передавання в лінію сегментів визначається ключем, який повинен бути відомий приймальній стороні. Змінюванням ключа в ході сеансу зв'язку в скрембле-
pax (динамічним закриттям) можна суттєво підвищити рівень захисту мовної інформації. Залишкова розбірливість залежить від тривалості кадру і із збільшенням останньої зменшується. Унаслідок накопичення інформації у блоці часового перетворення з'являється затримка між вхідним мовним сигналом і відновленим сигналом. Ця затримка неприємно сприймається на слух, якщо перевищує 1—2 с Тому Тк вибирають рівною (4—16) с
У комбінованому скремблері для підвищення ступеня закриття мови використовують комбінацію часового і частотного скремблювання. Вхідне повідомлення розділяється на кадри і сегменти, які запам'ятовуються в пам'яті скремблера. При формуванні повідомлення, що передається, здійснюються перестановки сегментів кадру і перестановки смуг спектра мовного сигналу кожного сегмента. Якщо при цьому забезпечити динамічну зміну ключа часової і частотної перестановки, то рівень захисту такого комбінованого технічного закриття може наближатися до рівня захисту при шифруванні мовної інформації. Проте складність реалізації такого скремблера і вимоги до якості передавання синхроімпульсів між скремблерами телефонних абонентів також високі.
Аналогові скремблери [analog scrambler] прості в технічній реалізації, мають низьку вартість і малі габарити. Можуть екс-
340
Розділ 7. Основи безпеки інформаційних ресурсів
п луатувати ся практично на будь-яких каналах зв'язку, призначених для передавання мовних повідомлень. Основний недолік аналогових скрем-блерів — відносно низька стійкість закриття інформації. Крім того, вони вносять спотворення у відновлений мовний сигнал.
Останнім часом знайшли значне поширення системи шифрування, в яких застосовується цифрове шифрування мовної інформації [voice encryption], котра представлена у цифровій формі.
При аналого-цифровому перетворенні амплітуда сигналу вимірюється через рівні проміжки часу, що називаються кроком дискретизації. Для того щоб цифровий мовний сигнал мав якість не гіршу телефонного, крок дискретизації не повинен перевищувати 160 мкс, а кількість рівнів квантування амплітуди мовного сигналу — не менше 128. В цьому випадку відлік амплітуди кодується 7 бітами, швидкість передавання перевищує 43 кбіт/с, а ширина спектра дискретного двійкового сигналу дорівнює сумі смуг 14 стандартних телефонних каналів.
Для передавання мови в цифровій формі стандартними телефонними каналами різко скорочують смугу мовного сигналу за допомогою пристроїв, які називають вокодерами.
Шифрування мовної інформації у цифровій формі здійснюється відомими методами (заміною, перестановками, аналітичними перетвореннями, гамуванням і т.ін.) або за допомогою «Стандартних алгоритмів криптографічного перетворення. Перевагою цифрового шифрування є висока надійність закриття мовної інформації, бо перехоплений сигнал являє собою випадкову Цифрову послідовність. Недоліками є необхідність використання модемів, нестійка робота пристроїв шифрування в каналах із великим загасанням сигналу та з високим рівнем завад.
Апаратні, програмні, апаратно-програмні та криптографічні засоби реалізують ті чи інші послуги інформаційної безпеки різноманітними механізмами захисту, які забезпечують дотримання конфіденційності, цілісності, доступності та повноти інформації.
341
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
7 .3. АРХІТЕКТУРА ЗАХИСТУ ІНФОРМАЦІЇ В МЕРЕЖАХ ТЕЛ ЕКОМУНІКАЦІЙ
7.3.1. Архітектура відкритих систем
Архітектура відкритих систем [open system architecture] — це концепція обчислювальної мережі, яка розроблена і розвивається Міжнародною організацією зі стандартизації (ISO) у вигляді моделі взаємодії відкритих систем. Вона відіграє важливу роль як методологічна, концептуальна і термінологічна основа побудови обчислювальних мереж. Описана в стандарті ISO 7498-2 [85].
Модель взаємодії відкритих систем (МВВС) [Open Systems Interconnection (OSI) model] — це запропонована Міжнародною організацією зі стандартизації (ISO) модель мережі (рис. 7.12) із семи рівнів — фізичного, канального, мережаного, сеансового, представницького та прикладного, для кожного з яких створені свої стандарти і загальні моделі [34,48].
Фізичний рівень [physical level] описує сполучення системи з фізичним каналом (середовищем). Він виконує функції встановлення, підтримки та роз'єднання фізичного каналу.
Канальний рівень [link level] забезпечує передавання даних інформаційним каналом. Він виконує функції керування передаванням кадрів, контролю даних, забезпечення прозорості та перевірки стану інформаційного каналу, а також забезпечення масивів символами управління каналом.
Мережний рівень [network level] здійснює керування маршрутизацією інформації (пакетів). Він виконує функції управління комунікаційними ресурсами, маршрутизації, забезпечення службовими символами керування мережею.
Транспортний рівень [transport level] забезпечує передачу масивів інформації від одного порту до іншого (керування логічним каналом). Він виконує функції управління інформаційними потоками, організації логічних каналів між процесами, забезпечення службовими символами запиту та відповіді.
Сеансовий рівень [session level] забезпечує сеанси зв'язку (взаємодії між прикладними процесами). Він виконує функції організації підтримки та закінчення сеансів зв'язку, інтерфейс із транспортним рівнем.
342
Представницький рівень [presentation level] призначений Для подання та оброблення форматних і синтаксичних атрибутів даних, які приймаються й передаються (параметричного відображення даних) . Він виконує функції генерації та інтерпретації команд взаємодії процесів, а також подання даних програмі користувачів.
Прикладний рівень [application level] — це рівень, на якому виконуються прикладні процеси.
Три верхніх рівні разом із прикладними процесами утворюють ділянку оброблення даних, в якій виконуються інформаційні процеси системи. Процеси цієї області використовують сервіс 13 транспортування даних транспортного рівня, який здійснює
343
прикладний рівень реалізує вирішення інформаційно-обчис лювальних завдань прикладних процесів користувачів;
представницький рівень інтерпретує інформаційний обмін між прикладними процесами у форматах даних користувачів;
сеансовий рівень реалізує діалог або монолог між приклад ними процесами в режимі сеансів зв'язку, що організуються;
транспортний рівень здійснює управління передаванням ін формаційних потоків між сеансовими об'єктами користувачів.
344
Розділ 7. Основи безпеки інформаційних ресурсів
Т ри нижніх рівні утворюють ділянку передавання даних між множиною взаємодіючих систем, виконують комунікаційні процеси при транспортуванні даних:
мережний рівень забезпечує маршрутизацію і мультиплексу- вання потоків даних у транспортному середовищі користувачів;
канальний рівень керує передаванням даних через фізичні засоби з'єднання, що встановлюються;
фізичний рівень сполучає фізичні канали передавання даних у синхронному або асинхронному режимі.
Ділянка взаємодії відкритих систем характеризується також семирівневою ієрархією протоколів, що забезпечують взаємодію абонентських систем, шляхом передавання даних між ними. Кожний з блоків даних складається із заголовка, інформаційного поля та кінцівки.
Заголовок містить інформацію, пов'язану з управлінням передачею інформаційних потоків. Дані центральної частини блока являють собою інформаційне поле, що передається між прикладними процесами взаємодіючих абонентських систем. Основне завдання кінцівки — перевірка інформаційного поля шляхом формування перевірочного блока даних.
7.3.2. Загрози в архітектурі відкритих мереж
В архітектурі відкритих мереж використовується поняття «категорія загрози».
Категорія загрози пов'язана із загрозою безпеці інформації (даних) в телекомунікаційних мережах. Для МВВС виділяють п'ять категорій загроз:
розкриття змісту повідомлень, що передаються;
аналіз трафіка, що дозволяє визначити належність відправни ка і одержувача даних до однієї з груп користувачів мережі;
зміна потоку повідомлень, що може привести до порушення режиму роботи будь-якого об'єкта, що керується з віддаленої ЕОМ;
неправомірна відмова в наданні послуг;
несанкціоноване встановлення з'єднання.
345
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
З гідно з визначенням терміну «безпека інформації» першу і другу загрозу можна віднести до витоку інформації, третю і п'яту — до її модифікації, а четверту — до порушення процесу обміну інформацією, тобто до її втрати.
На фізичному та канальному рівнях імовірні наступні загрози:
несанкціоноване підключення;
помилкова комутація; прослуховування;
перехоплення;
фальсифікація інформації;
імітоатаки;
фізичне знищення каналу зв'язку.
Для мережаного рівня характерні наступні загрози:
аналіз службової інформації, тобто адресної інформації та то пології мережі;
атаки на систему маршрутизації. Можлива модифікація марш- рутизаційних таблиць через протоколи динамічної маршрути зації та міжмережний протокол керуючих повідомлень (ІСМР);
фальсифікація ІР-адрес;
атаки на систему управління;
прослуховування;
перехоплення та фальсифікація інформації;
імітоатаки.
На транспортному рівні ймовірні загрози:
несанкціоновані з'єднання;
розвідка додатків;
атаки на систему управління;
прослуховування;
перехоплення та фальсифікації інформації;
імітоатаки.
На прикладному рівні ймовірні загрози:
несанкціонований доступ до даних;
розвідка імен і паролів користувачів;
маскування під санкціонованого користувача;
атаки на систему управління;
атаки через стандартні прикладні протоколи;
фальсифікація інформації;
імітоатаки.
346
Розділ 7. Основи безпеки інформаційних ресурсів
7 .3.3. Процедури захисту
Архітектура захисту інформації в мережах телекомунікації — концепція захисту інформації в мережах телекомунікації, що використовують міжнародні стандарти, яка розроблена і розвивається Міжнародною організацією зі стандартизації (ISO) (див. рекомендації МСЕ) у відповідності до ідеології моделі взаємодії відкритих систем.
Рекомендації МСЕ для захисту інформації у телекомунікаціях [ITU-T Recommendations] — це процедури, рекомендовані Міжнародною організацією зі стандартизації (ISO) для створення сервісних служб захисту інформації у мережах телекомунікації [84].
Процедура шифрування даних у телекомунікаційних системах призначена для «закриття» всіх даних абонента або декількох полів повідомлення. Може мати два рівні: шифрування в каналі зв'язку (лінійне) і міжкінцеве (абонентське) шифрування.
Процедура цифрового підпису в телекомунікаційних системах служить для підтвердження правильності змісту повідомлення. Вона засвідчує факт його відправлення власне тим абонентом, який вказаний у заголовкові як джерело даних. Цифровий підпис є функцією від змісту таємної інформації, відомої тільки абоненту-джерелу, і загальної інформації, відомої всім абонентам системи.
Процедура управління доступом до ресурсів телекомунікаційної системи виконується на основі множини правил і формальних моделей, що застосовуються як аргумент доступу до інформації про ресурси (класифікацію) та ідентифікатори абонентів. Службова інформація для управління доступом (паролі абонентів, списки дозволених операцій, персональні ідентифікатори, часові обмежувачі і т. ін.) міститься в локальних базах даних забезпечення безпеки мережі.
Процедура забезпечення цілісності даних у телекомунікаційних системах передбачає введення в кожне повідомлення деякої додаткової інформації, яка є функцією від змісту повідомлення. В рекомендаціях МОС ірозглядаються методи забезпечення цілісності двох типів: перші забезпечують цілісність поодинокого блока даних, інші — цілісність потоку блоків даних або окремих полів цих блоків. При цьому забезпечення цілісності потоку блоків даних не має сенсу без забезпечення цілісності ок-
347
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
р емих блоків. Ці методи застосовуються у двох режимах — при передаванні даних по віртуальному з'єднанню і при використанні дейтаграмного передавання. В першому випадку виявляються невпорядкованість, утрати, повтори, вставки даних за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтаг-рамному режимі мітки часу можуть забезпечити тільки обмежений захист цілісності послідовності блоків даних і запобігти пе-реадресації окремих блоків.
Процедура автентифікації у телекомунікаційних системах призначена для захисту при передаванні в мережі паролів, ав-тен-тифікаторів логічних об'єктів і т. ін. Для цього використовуються криптографічні методи і протоколи, засновані, наприклад, на процедурі «трикратного рукостискання». Метою таких протоколів є захист від установлення з'єднання з логічним об'єктом, утвореним порушником або діючим під його управлінням із метою імітації роботи справжнього об'єкта.
Процедура заповнення потоку в телекомунікаційних системах призначена для запобігання аналізу трафіка. Ефективність застосування цієї процедури підвищується, якщо одночасно з нею передбачене лінійне шифрування всього потоку даних, тобто потоки інформації й заповнення стають нерозбірливими.
Процедура управління маршрутом у телекомунікаційній системі призначена для організації передавання тільки маршрутами, утвореними за допомогою надійних і безпечних технічних засобів і систем. При цьому може бути організований контроль із боку одержувача, який у випадку виникнення підозри про компрометацію використовуваної системи захисту може вимагати зміну маршруту.
Процедура підтвердження характеристик даних у телекомунікаційних системах передбачає наявність арбітра, який є довіреною особою взаємодіючих абонентів і може підтвердити цілісність, час передавання документів, а також запобігти можливості відмови джерела від видавання будь-якого повідомлення, а споживача — від його приймання, тобто підтвердження причетності.
Спільне використання процедур захисту дозволяє організувати 14 сервісних служб захисту інформації у мережах телекомунікації (див. рис. 7.14).
348
7 .3.4. Сервісні служби захисту
Сервісні служби захисту інформації у мережах телекомунікації — це сукупність заходів захисту інформації у мережах те-лекомунікацій, які у відповідності до рекомендацій МСЕ реалізуються за допомогою процедур захисту.
Сервісна служба автентифікації однорівневих об'єктів реалізує свої функції за допомогою процедур автентифікації (на мережаному, транспортному та прикладному рівнях моделі взаємодії відкритих систем) та (або) шифрування даних і цифрового підпису (на мережаному та транспортному рівнях МВВС).
Сервісна служба автентифікації джерела даних реалізує свої функції за допомогою процедур шифрування даних (на мережаному й транспортному рівнях МВВС) та цифрового підпису (на мережаному, транспортному та прикладному рівнях МВВС).
Сервісна служба контролю доступу реалізує свої функції за допомогою процедури управління доступом до ресурсів телекомунікаційної системи на мережаному, транспортному і прикладному рівнях МВВС.
Сервісна служба засекречування з'єднання реалізує свої функції за допомогою процедур шифрування даних (на фізичному, канальному, мережаному, транспортному, представницькому та прикладному рівнях МВВС) та управління маршрутом (на мережаному рівні МВВС).
Сервісна служба засекречування в режимі без з'єднання реалізує свої функції за допомогою процедур шифрування даних (на канальному, мережаному, транспортному, представницькому і прикладному рівнях МВВС) та управління маршрутом (на мережаному рівні МВВС).
Сервісна служба засекречування вибіркових полів реалізує свої функції за допомогою процедури шифрування даних на представницькому та прикладному рівнях моделі взаємодії відкритих систем.
Сервісна служба засекречування потоку даних реалізує свої функції за допомогою процедур шифрування даних (на фізичному і представницькому рівнях МВВС), заповнення потоку
350
Розділ 7. Основи безпеки інформаційних ресурсів
( на мережаному і прикладному рівні МВВС) та керування маршрутом (на мережаному рівні МВВС).
Сервісна служба забезпечення цілісності з'єднання реалізує свої функції за допомогою процедур забезпечення цілісності даних та шифрування даних на транспортному і прикладному рівнях МВВС.
Сервісна служба забезпечення цілісності з'єднання без відновлення реалізує свої функції за допомогою процедур забезпечення цілісності даних та шифрування даних на мережаному, транспортному і прикладному рівнях МВВС.
Сервісна служба забезпечення цілісності вибіркових полів даних реалізує свої функції за допомогою процедур забезпечення цілісності даних та шифрування даних на прикладному рівні моделі взаємодії відкритих систем.
Сервісна служба забезпечення цілісності даних без установлення з'єднання реалізує свої функції за допомогою процедур забезпечення цілісності даних, шифрування даних (на мережаному, транспортному і прикладному рівнях МВВС) та цифрового підпису (на транспортному рівні МВВС).
Сервісна служба забезпечення цілісності вибіркових полів без з'єднання реалізує свої функції за допомогою процедур забезпечення цілісності даних, шифрування даних (на прикладному рівні моделі взаємодії відкритих систем) та цифрового підпису (на мережаному, транспортному та прикладному рівнях МВВС).
Сервісна служба інформування про відправлення реалізує свої функції за допомогою процедур підтвердження характеристик даних, забезпечення цілісності даних та цифрового підпису на прикладному рівні МВВС.
Сервісна служба інформування про доставку реалізує свої функції за допомогою процедур підтвердження характеристик даних, забезпечення цілісності даних та цифрового підпису на прикладному рівні моделі взаємодії відкритих систем.
Кожна із сервісних служб може самостійно вирішувати відповідне завдання із забезпечення інформаційної безпеки за допомогою тих чи інших механізмів захисту. При цьому один і той Же механізм захисту може бути використаний в інтересах різних служб інформаційної безпеки.
351
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
7 .3.5. Реалізація захисту
На фізичному та канальному рівнях основний механізм захисту — шифрування з'єднання або трафіка (зашифровуватися може як весь трафік, так і його частина), що забезпечує конфіденційність інформації, яка передається. Для захисту інформації на фізичному рівні застосовують скремблювання, шифрувальні модеми, спеціалізовані адаптери.
Достоїнство реалізації засобів захисту:
апаратна реалізація;
простота застосування;
повний захист трафіка;
прозорість виконання засобами захисту своїх функцій. Недоліки застосування засобів захисту:
негнучкість рішень (фіксований тип каналу, складність адап тації до мережної топології, фіксована продуктивність);
низька сумісність;
висока вартість.
Завдання захисту інформації на мережаному рівні:
захист інформації безпосередньо в пакетах, що передаються по мережі;
захист трафіка мережі, тобто шифрування всієї інформації у каналі;
контроль доступу до ресурсів мережі, тобто захист від несан кціонованих користувачів і від доступу санкціонованих ко ристувачів до інформації, що їм не призначена.
Для вирішення завдань захисту на мережаному можуть використовуватись:
пакетні фільтри;
адміністративний захист на маршрутизаторах (у тому числі таих, що шифрують);
протоколи захисту інформації мережного рівня (захист і ав- тентифікація трафіка);
тунелювання;
векторизація;
динамічний розподіл мережних адрес;
захист топології.
352
Розділ 7. Основи безпеки інформаційних ресурсів
Д остоїнство засобів захисту.
повнота контролю трафіка;
універсальність;
прозорість;
сумісність;
адаптація до топології мережі.
Недолік — неповнота контрольованих подій (непідконтроль-ність транспортних та прикладних протоколів).
Для усунення загроз на транспортному рівні можуть використовуватись наступні рішення:
захист у складі міжмережних екранів (контроль доступу до додатків, управління доступом до серверів);*
proxy-системи;
протоколи захисту транспортного рівня (захист і автентифі- кація даних).
Достоїнства захисту:
розвинена функціональність;
висока гнучкість захисту. Недоліки засобів захисту:
неповнота захисту;
непідконтрольність подій у рамках прикладних і мережних протоколів.
Засоби захисту на представницькому рівні:
вбудований захист додатків;
міжмережні екрани з фільтрацією прикладних протоколів;
proxy-системи і т.ін.
Достоїнства захисту: повнота і висока функціональність у рамках конкретного додатку та контроль на рівні дій конкретного користувача (процесу).
Недоліки розташування засобів захисту на прикладному рівні:
відсутність універсальності;
обмеженість рамками заданого набору додатків;
непідконтрольність подій на нижчих рівнях керування.
8
Критерії безпеки інформаційних технологій
8.1. ЗАГАЛЬНІ ВІДОМОСТІ ПРО ВИМОГИ ТА КРИТЕРІЇ ОЦІНКИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
8.1.1. Основні поняття про стандарти інформаційної безпеки
Одними з найбільш важливих нормативно-технічних документів, які стимулюють розвиток захищених інформаційних систем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.
Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.
Стандарти забезпечення захисту звичайно містять опис послідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забезпечити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або відповідно до загальної стратегії захисту.
Найбільш значними стандартами інформаційної безпеки є (у хронологічному порядку): Критерії безпеки комп'ютерних систем, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки інформаційних технологій, Канадські критерії безпеки комп'ютерних систем, Загальні критерії безпеки інформаційних технологій.
354
Розділ 8. Критерії безпеки інформаційних технологій
8 .1.2. Критерії безпеки комп'ютерних систем
Критерії безпеки комп'ютерних систем [Trusted Computer
System Criteria (TCSC)] — стандарт інформаційної безпеки, розроблений міністерством оборони США у 1983 р. з метою визначення вимог безпеки, що ставляться до апаратного, програмного і спеціального забезпечення комп'ютерних систем і вироблення відповідної методології аналізу політики безпеки, що реалізується в комп'ютерних системах воєнного призначення. Інша назва — «Жовтогаряча книга». У критеріях пропонуються три категорії вимог безпеки — політика безпеки, аудит і коректність, в рамках яких сформульовані шість базових вимог безпеки:
політика безпеки, мітки — в рамках політики безпеки;
ідентифікація та автентифікація, реєстрація та облік — в рам ках аудиту;
контроль коректності функціонування засобів захисту, безпе рервність захисту — в рамках коректності.
Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, а дві останні — на якість самих засобів захисту.
«Жовтогаряча книга» передбачає чотири групи критеріїв, які відповідають різним ступеням захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна група включає один або декілька класів.
Групи D (мінімальний захист) і А (верифікований захист) містять по одному класу [класи D1 (мінімальний захист) і А1 (формальна верифікація) відповідно], група С (дискреційний захист) — класи СІ (дискреційний захист) С2 (керування доступом), а група В (мандатний захист) — В1 (захист із застосуванням міток безпеки), В2 (структурований захист), ВЗ (домени безпеки), який характеризуються різними наборами вимог безпеки. Рівень безпеки збільшується при русі від групи D до групи А, а всередині групи — із збільшенням номера класу.
Критерії безпеки комп'ютерних систем зробили великий вплив на розробку керівних документів інших країн, зокрема на
355
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
р озробку керівних документів Державної технічної комісії при Президенті Російської федерації [14,15,16,17,18]. Цей вплив в основному відображається в орієнтованості цих документів на системи воєнного призначення та у використанні єдиної універсальної шкали оцінки ступеню захищеності.
8.1.3. Європейські критерії безпеки інформаційних технологій
Європейські критерії безпеки інформаційних технологій
[Information Technology Security Evaluation Criteria (ITSEC)] — стандарт інформаційної безпеки, розроблений у країнах Європи (Франція, Німеччина, Нідерланди та Великобританія) у 1991 р. «Європейські критерії» розглядають наступні завдання засобів інформаційної безпеки:
захист інформації від несанкціонованого доступу з метою за безпечення конфіденційності;
забезпечення цілісності інформації за допомогою захисту її від несанкціонованої модифікації або знищення;
забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
Для вирішення проблеми визнання засобів захисту ефективними в критеріях уведене поняття гарантій засобів захисту. Гарантій включають у себе два аспекти: ефективність, що відображає відповідність засобів безпеки задачам, що вирішуються, і коректність, що характеризує процес їх розроблення й функціонування. Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня гарантій їхньої реалізації.
Рівні гарантій в «Європейських критеріях» — сім рівнів гарантій від ЕО до Е6 (у порядку зростання). Рівень ЕО означає мінімальні гарантії (аналог рівня D «Жовтогарячої книги»). При перевірці гарантій аналізується весь життєвий цикл системи — від початкової фази проектування до експлуатації і супроводження. Рівні гарантій від Е1 до Е6 вишикувані з наростанням вимог ретельності контролю. Так, на рівні Е1 аналізується тільки загальна
356
Розділв. КритерГі безпеки інформаційних технологій
а рхітектура системи, а гарантії засобів захисту підтверджується функціональним тестуванням. На рівні ЕЗ до аналізу залучаються вихідні тексти програм і схеми апаратного забезпечення. На рівні Е6 потрібний формальний опис функцій безпеки, загальної архітектури, а також політики безпеки.
Рівні безпеки в «Європейських критеріях» — рівні для визначення ступеню безпеки системи. В «Європейських критеріях» визначені три рівні безпеки — базовий, середній і високий.
Безпека вважається базовою, якщо засоби захисту здатні протистояти окремим випадковим атакам.
Безпека вважається середньою, якщо засоби захисту здатні протистояти зловмисникам, що мають обмежені ресурси та можливості. ■
Безпеку можна вважати високою, якщо є впевненість, що засоби захисту можуть бути подолані тільки зловмисниками з високою кваліфікацією, набір можливостей і ресурсів якого виходить за межі розумного.
«Європейські критерії» покладено в основу багатьох стандартів безпеки комп'ютерних систем. На основі цих критеріїв Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України розроблені нормативні документи системи технічного захисту інформації України стосовно технічного захисту інформації на програмно керованих АТС Загального користування [55,56, 57, 58, 59].
8.1.4. Федеральні критерії безпеки інформаційних технологій
Федеральні критерії безпеки інформаційних технологій
[Federal Criteria for Information Technology Security (FCITS)] — стандарт інформаційної безпеки, розроблений Національним інститутом стандартів і технологій США (NIST) і Агентством національної безпеки США (NSA) у 90-х роках XX ст. для використання в Американському федеральному стандарті з оброблення інформації (Federal Information Processing Standard), який повинен був замінити «Жовтогарячу книгу».
357
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
« Федеральні критерії» охоплюють практично весь спектр проблем, зв'язаних із захистом та забезпеченням безпеки, так як включають усі аспекти конфіденційності, цілісності та працездатності. Основними об'єктами застосування вимог безпеки критеріїв є продукти інформаційних технологій (ІТ-продукти) і системи оброблення інформації. Ключовим поняттям концепції інформаційної безпеки «Федеральних критеріїв» є поняття профілю захисту.
Відповідно до «Федеральних критеріїв» процес розробки систем оброблення інформації здійснюється у вигляді послідовності наступних основних етапів:
розроблення та аналіз профілю захисту;
розроблення і кваліфікаційний аналіз ІТ-продуктів;
компонування й сертифікація системи оброблення інформації. «Федеральні критерії» регламентують тільки перший етап
цієї схеми — розробку та аналіз профілю захисту. Процес створення ІТ-продуктів і компонування систем оброблення інформації залишаються за межами цього стандарту.
8.1.5. Канадські критерії безпеки комп'ютерних систем
Канадські критерії безпеки комп'ютерних систем [Canadian Trusted Computer Product Evaluation Criteria (CTCPEC)] — національний стандарт інформаційної безпеки, розроблений Центром безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) в 90 роках XX ст.
«Канадські критерії» використовуються для розроблення вимог безпеки, специфікацій засобів захисту та сертифікації програмного забезпечення робочих станцій, багатопроцесорних обчислювальних систем, персональних і багатокористувальницьких операційних систем, систем управління базами даних, розподілених, мережних, вбудованих, проблемно-орієнтованих та інших систем.
В «Канадських критеріях» пропонується оригінальний підхід до опису взаємодії користувачів із комп'ютерною системою, інваріантний по відношенню до політики безпеки. Усі компоненти системи, які знаходяться під куправлінням ядра безпеки, називаються об'єктами.
358
Розділ 8. Критерії безпеки інформаційних технологій
О б'єкти можуть знаходитися в одному з наступних трьох станів: об'єкт-користувач, об'єкт-процес, пасивний об'єкт, і в залежності від стану, позначають користувачів, процеси та об'єкти відповідно.
При описі критеріїв конфіденційності та цілісності (довільного та нормативного керування доступом і цілісністю) в «Канадських критеріях» використовується поняття тег.
Тега — сукупність атрибутів асоційованих із користувачем, процесом або проектом. Тегою може бути унікальний ідентифікатор, мітка безпеки або цілісності, криптографічний ключ, таблиця прав доступу або інші атрибути у відповідності з реалізованою в комп'ютерній системі політикою безпеки.
У критеріях застосований дуальний принцип подання вимог безпеки у вигляді функціональних вимог до засобів захисту та вимог до гарантій 'їхньої реалізації. «Канадські критерії» є добре збалансованим конгломератом «Жовтогарячої книги» і «Федеральних критеріїв», посилених вимогами гарантій реалізації політики безпеки, і поряд з іншими стандартами послужили основою для розроблення Загальних критеріїв безпеки інформаційних технологій.
Канадські критерії безпеки комп'ютерних систем були покладені в основу Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу [49, 50, 51,52, 53], розроблених Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України для системи технічного захисту інформації України.
8.2. ОСНОВНІ ПОЛОЖЕННЯ ЗАГАЛЬНИХ КРИТЕРІЇВ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
8.2.1. Мета розробки, основні положення та склад Загальних критеріїв
Загальні критерії безпеки інформаційних технологій
ICommon Criteria for Information Technology Security Evaluation (лЛЛ-TSE)] — стандарт інформаційної безпеки [81], що узагаль-Ює Зміст і досвід використання «Помаранчевої книги».
359
В ньому розвинені «Європейські критерії», втілена в реальні структури концепція типових профілів захисту «Федеральних критеріїв» США і відповідно до «Канадських критеріїв» представлена однакова основа для формулювання розробниками, користувачами та оцінювачами інформаційних технологій (експертами з кваліфікації) вимог, метрик і гарантій безпеки.
Версія 2.1 цього стандарту затверджена Міжнародною організацією із стандартизації (ISO) в 1999 р. як міжнародний стандарт інформаційної безпеки ISO/IES 15408.
Матеріали стандарту являють собою енциклопедію вимог і гарантій з інформаційної безпеки, які можуть відбиратися та ре алізовуватися у функціональні стандарти (профілі захисту) забезпечення інформаційної безпеки для конкретних систем, мереж і засобів як користувачами (по відношенню до того, що вони хочуть одержати в продукті, який пропонується), так і розробниками й операторами мереж (по відношенню до того, що вони гарантують у продукті, який реалізується).
До складу Загальних критеріїв входять три основні частини (рис. 8.1):
частина 1 —«Уявлення та загальна модель» [Part I: Introduction and general model];
частина 2 — «Вимоги до функцій безпеки» [Part I: Security functional requirements];
частина 3 — «Вимоги гарантій безпеки» [Part I: Security assurance requirements].
За межі стандарту винесена частина 4 — «Напередвизначені профілі захисту», із-за необхідності постійного поповнення каталогу профілів захисту.
Основними компонентами безпеки Загальних критеріїв є:
потенційні загрози безпеці та завдання захисту;
політика безпеки;
продукт інформаційних технологій;
профіль захисту;
проект захисту;
функціональні вимоги безпеки;
360
рівні гарантій.
Стандарт Загальних критеріїв описує тільки загальну схему проведення кваліфікаційного аналізу та сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу та сертифікації присвячений окремий документ авторів Загальних критеріїв — Загальна методологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є додатком до стандарту.
Кваліфікаційний аналіз [evaluation] — це аналіз обчислювальної системи з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту інформаційної безпеки. Інша назва кваліфікування рівня безпеки (Рис. 8.2).
Розділ 8. Критерії безпеки інформаційних технологій
З гідно з Загальними критеріями кваліфікаційний аналіз може здійснюватися як паралельно з розробленням ІТ-продукту, так і після її завершення.
Для проведення кваліфікаційного аналізу розробникпродукту повинен надати наступні матеріали:
профіль захисту;
проект захисту;
різноманітні обґрунтування і підтвердження властивостей та можливостей ІТ-продукту, одержані розробником;
сам ІТ-продукт;
додаткові відомості, одержані шляхом проведення різнома нітних незалежних експертиз.
Процес кваліфікаційного аналізу включає три стадії:
аналіз профілю захисту на предмет його повноти, несу- перечності, реалізованості та можливості використання у виг ляді набору вимог для продукту, що аналізується;
аналіз проекту захисту на предмет його відповідності вимогам профілю захисту, а також повноти, несуперечності, реалізова ності і можливості використання у вигляді еталона при аналізі ІТ-продукту;
аналіз ІТ-продукту на предмет відповідності проекту захисту. Результатом кваліфікаційного аналізу є висновок про те, що
підданий аналізу ІТ-продукт відповідає представленому проекту захисту.
8.2.2. Потенційні загрози безпеці та типові завдання захисту
Загрози безпеці обчислювальної системи — впливи на обчислювальну систему, які прямо або побічно можуть нанести шкоду її безпеці. Розробники вимог безпеки та засобів захисту виділяють три види загроз:
загрози порушення конфіденційності інформації;
загрози порушення цілісності інформації;
загрози порушення працездатності системи (відмови в об слуговуванні).
363
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
З агрози порушення конфіденційності — загрози безпеці обчислювальної системи, спрямовані на розголошення інформації з обмеженим доступом.
Загрози порушення цілісності — загрози безпеці обчислювальної системи, що полягають у спотворенні або зміні неавтори-зованим користувачем інформації, що зберігається або передається. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи. Найбільш актуальна ця загроза для систем передавання інформації — комп'ютерних мереж і систем телекомунікації.
Загрози порушення працездатності — загрози безпеці обчислювальної системи, спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність обчислювальної системи, або її ресурси стають недоступними.
Завдання захисту в Загальних критеріях декларуються наступним чином:
захист від загроз порушення конфіденційності (несанкціоно ваного одержання) інформації з усіх каналів її витоку, особ ливо за рахунок каналів ПЕМВН і прихованих (таємних) ка налів зв'язку;
захист від загроз порушення цілісності (несанкціонованого змінювання інформації);
захист від загроз порушення доступності інформації (не санкціонованого або випадкового обмеження інформації та ресурсів самої системи);
захист від загроз аудитові системи (наприклад, загрози не санкціонованих вторгнень у систему, маніпуляцій з прото колами обміну та аудиту, і загальносистемним програмним забезпеченням).
8.2.3. Політика безпеки
Політика безпеки [security policy] — сукупність законів, норм і правил, що регламентують порядок оброблення, захисту і поширення інформації комп'ютерної системи.
364
Розділ 8. Критерії безпеки інформаційних технологій
В системах зв'язку політика безпеки є частиною загальної політики безпеки оператора зв'язку і може включати, зокрема, положення державної політики у галузі захисту інформації.
Для кожної системи (підсистеми) зв'язку політика безпеки може бути індивідуальною і може залежати від технології передавання, оброблення та зберігання інформації, що реалізується, особливостей системи зв'язку, середовища експлуатації і від багатьох інших факторів. Політика повинна визначати ресурси системи зв'язку, які потребують захисту, зокрема встановлювати категорії інформації, яка передається, оброблюється та зберігається в системі. Мають бути сформульовані основні загрози для системи зв'язку, персоналу, інформації різних категорій і вимоги до захисту від цих загроз.
Складовими частинами загальної політики безпеки в системі зв'язку мають бути політики забезпечення конфіденційності, цілісності і доступності інформації, що передається, оброблюється і зберігається. Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.
Частина політики безпеки, яка регламентує правила доступу користувачів і процесів системи зв'язку, складає правила розмежування доступу.
8.2.4. Продукт інформаційних технологій
Продукт інформаційних технологій (ІТ-продукт) — сукупність апаратних і (або) програмних засобів, яка поставляється кінцевому споживачеві як готовий до використання засіб оброблення інформації. Сукупність ІТ-продуктів об'єднується в функціонально закінчений комплекс (продукт) для вирішення конкретного прикладного завдання в системі оброблення інформації.
Принциповою відмінністю між ІТ-продуктом і системою оброблення інформації є наступне. ІТ-продукт звичайно розробляється для використання в багатьох системах оброблення інформації, тому його розробник орієнтується тільки на найза-гальніші вимоги до середовища його експлуатації (умови його застосування і потенційні загрози інформації).
365
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
Н авпаки, система оброблення інформації розроблюється вузько спеціалізованою для вирішення конкретних прикладних завдань і під конкретні вимоги споживачів, що дозволяє у повній мірі враховувати специфіку впливу зі сторони конкретного середовища експлуатації. Саме тому ІТ-продукт, а не система оброблення інформації, декларується в стандарті як універсальний компонент безпеки.
8.2.5. Профіль захисту
Профіль захисту [Protection Profile (PP)] — спеціальний нормативний документ, що регламентує сукупність завдань захисту, функціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрунтування. Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.
Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додаткові відомості, обґрунтування (рис. 8.3).
Профіль захисту: вступ [PP introduction] — розділ профілю захисту, який містить всю інформацію для пошуку профілю захисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю захисту та огляду змісту. Ідентифікатор профілю захисту являє собою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.
Огляд змісту профілю захисту містить коротку анотацію профілю захисту, на основі якої споживач може зробити висновок про придатність даного профілю захисту.
Профіль захисту: опис ІТ-продукту [TOE description] — розділ профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояснення вимог безпеки і визначення їхньої відповідності до завдань, що вирішуються за допомогою ІТ-продукту.
366
Профіль захисту: середовище експлуатації [TOE security ;nvironment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою.
367
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
В середовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.
Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.
Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози повинно бути вказане її джерело, метод і об'єкт впливу.
Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.
Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.
Завдання захисту ІТ-продукту повинні визначати та регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.
Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонент комп'ютерної системи, що не відносяться до сфери інформаційних технологій.
Профіль захисту: вимоги безпеки [IT security requirements] — розділ профілю захисту, що містить вимоги, яким повинен задовольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні вимоги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.
Функціональні вимоги повинні містити тільки типові вимоги, передбачені тільки відповідними розділами Загальних критеріїв. Необхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань захисту. Функціональні вимоги можуть дозволяти або забороняти використання конкретних методів і засобів захисту.
368
Розділ 8. Критерії безпеки інформаційних технологій
В имоги гарантій містять посилання на типові вимоги рівнів гарантій Загальних критеріїв, проте допускають і визначення додаткових вимог гарантій.
Вимоги до середовища експлуатації є необов'язковими і можуть містити функціональні вимоги та вимоги гарантій, яким повинні задовольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх розділів, використання типових вимог «Загальних критеріїв» є бажаними, але не обов'язковими.
Профіль захисту: додаткові відомості [РР application notes] — необов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.
Профіль захисту: обґрунтування [rationale] — розділ профілю захисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Розділ складається з обґрунтування завдань захисту та обґрунтування вимог безпеки.
Обґрунтування завдань захисту повинно демонструвати, що завдання, які пропонуються у профілі, відповідають параметрам середовища експлуатації, а їх вирішення дозволить ефективно протистояти загрозам безпеці і реалізувати політику безпеки.
Обґрунтування вимог безпеки показує, що вимоги безпеки дозволяють ефективно вирішувати завдання захисту, оскільки:
сукупність цілей окремих функціональних вимог безпеки відповідають встановленим завданням захисту;
вимоги безпеки є пов'язаними, тобто не суперечать, а взаєм но підсилюються; вибір вимог є виправданим (особливо це стосується додаткових вимог);
вибраний набір функціональних вимог і рівень гарантій від повідають завданням захисту.
Профіль захисту служить керівництвом для виробника та розробника ІТ-продукту, які повинні на його основі і технічних рекомендацій, що запропоновані ним, розробити проект захис-
369
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
т у, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.
8.2.6. Проект захисту
Проект захисту [Security Target (ST)] — нормативний документ, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізованих у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з однієї сторони є відправною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.
Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 8.4). Багато розділів проекту захисту збігаються із однойменними розділами профілю захисту.
Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам Загальних критеріїв.
Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.
Огляд змісту проекту захисту — достатньо докладна анотація проекту захисту, що дозволяє споживачам визначати придатність ІТ-продукту для вирішення завдань.
Заявка на відповідність Загальним критеріям — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі Загальних критеріїв.
Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояснення
370
в имог безпеки і визначення їхньої відповідності завданням, що вирішуються за допомогою ІТ-продукту.
Проект захисту: середовище експлуатації [TOE security environment] — розділ проекту захисту, що містить опис усіх аспектів функціонування ІТ-продукту, зв'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.
Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.
Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози повинно бути вказане її джерело, метод і об'єкт впливу.
Опис політики безпеки повинен визначати і, в разі необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.
Проект захисту: завдання захисту [security objectives] — розділ проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.
Завдання захисту ІТ-продукту повинні визначати і регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.
Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонент комп'ютерної системи, що не належить до сфери інформаційних технологій.
Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-продукту, якими керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю захисту.
Розділ функціональних вимог безпеки до ІТ-продукту на відміну від відповідного розділу профілю захисту допускає використання крім типових вимог Загальних критеріїв і інших, спе-
372
Розділ 8. Критерії безпеки інформаційних технологій
ц ифічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль Загальних критеріїв і забезпечувати властиву їм ступінь деталізації.
Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в Загальних критеріях. В даному випадку опис рівня гарантій повинен бути чітким, несуперечливим і мати ступінь деталізації, що допускає його використання в ході кваліфікаційного аналізу. При цьому бажано використати стиль і деталізації опису рівнів гарантій, прийняті в Загальних критеріях.
Проект захисту: загальні специфікації.-ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.
Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, відповідність профілю захисту, вдосконалення профілю захисту.
Посилання на профіль захисту однозначно ідентифікує профіль захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і вимоги, що містяться в профілі захисту.
Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, встановлених у профілі захисту.
Проект захисту: обґрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх,
373
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
е фективно протистоятиме загрозам безпеці. Крім того, обґрунтування містить підтвердження заявленої відповідності профілю захисту. Розділ деталізується у наступному.
Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають властивостям середовища експлуатації, тобто їх вирішення дозволить ефективно протидіяти загрозам безпеці і реалізувати вибрану під них політику безпеки.
Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту, оскільки:
сукупність функціональних вимог безпеки та вимог гарантій безпеки, а також умов експлуатації ІТ-продукту відповідають завданням захисту;
усі вимоги безпеки є несуперечливими і взаємно підсилюють одна одну;
вибір вимог є оправданим;
рівень функціональних можливостей засобів захисту від повідає завданням захисту.
Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:
сукупність засобів захисту задовольняє функціональним ви могам;
необхідний рівень безпеки та надійності захисту забезпе чується засобами, що запропоновані;
заходи, спрямовані на забезпечення гарантій реалізації фун кціональних вимог, відповідають вимогам гарантій. Обґрунтування відповідності профілю захисту показує, що
вимоги проекту захисту підтримують всі вимоги профілю захисту. Для цього повинно бути показано, що:
усі вдосконалення завдань захисту порівняно з профілем за хисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;
усі вдосконалення вимог безпеки порівняно з профілем за хисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;
374
Розділ 8. Критерії безпеки інформаційних технологій
в сі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;
ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.
8.3. ФУНКЦІОНАЛЬНІ ВИМОГИ ДО ЗАСОБІВ ЗАХИСТУ 8.3.1. Загальна характеристика ФВБ
Функціональні вимоги безпеки (ФВБ) [security functional requirements] — вимоги безпеки, які в Загальних критеріях регламентують функціонування компонентів ІТ-продукту, що забезпечують безпеку, і визначають можливості засобів захисту. ФВБ декларуються у вигляді добре розробленої формальної структури. Набір ФВБ узагальнює усі існуючі раніше стандарти інформаційної безпеки і відрізняється всеосяжною повнотою і найдокладнішою деталізацією. ФВБ розділені на 11 класів функціональних вимог безпеки і 67 розділів функціональних вимог.
Опис кожної вимоги будується за наступною схемою (рис. 8.5):
назва [component identification], що містить унікальну назву вимоги, яка використовується для посилань на неї із профілю і проекту захисту;
зміст вимоги [functional elements], де проводиться основна думка про те, що функціональний склад вимоги Загальні критерії дозволяють використовувати тільки без змін, що за безпечує їх стандартизацію;
сполучені вимоги [dependencies], що є необов'язковим пунк том, який містить список вимог різних розділів і класів, вико нання яких розглядається як необхідна попередня умова для реалізації даної вимоги.
Клас ФВБ [functional class] в Загальних критеріях — верхній рівень формальної структури функціональних вимог безпеки. Містить наступні елементи:
назву класу [class name];
опис класу [class introduction];
розділи ФВБ [functional families].
375
аудит;
причетність до приймання/передавання;
криптографія;
захист інформації;
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ
і дентифікація та автентифікація;
управління безпекою;
конфіденційність роботи в системі;
надійність засобів захисту;
контроль за використанням ресурсів;
контроль доступу до системи;
пряма взаємодія.
Зміст класів ФВБ відрізняється своєю всеохоплюючою повнотою і багаторівневим підходом до забезпечення безпеки. Окремі класи вимог спрямовані на забезпечення безпеки самих засобів захисту, контролю за експлуатацією системи, забезпечення конфіденційності сеансів доступу до системи та організації обміну інформацією.
Вимоги конфіденційності, цілісності та управління доступом об'єднані в один клас захисту інформації, що виглядає цілком логічно і повністю відповідає їх призначенню. Слід відзначити наявність, крім політики управління доступом, також політики керування інформаційними потоками, а також відділення вимог до політики безпеки від вимог до засобів реалізації.
Клас вимог до безпеки самих засобів захисту є найбільш об'ємним, що визначається високим ступенем деталізації включених до нього вимог до методів і засобів забезпечення нормального функціонування засобів захисту.
Особлива увага приділяється контролю за доступом до системи і конфіденційності сеансів роботи з нею. Вимоги до організації інформаційного обміну обмежуються неможливістю учасників взаємодії ухилятися від відповідальності.
Розділ ФВБ [assurance family] — складова частина класу ФВБ. Структура розділу містить наступні елементи:
назва та позначення розділу [family name];
опис розділу [family behaviour];
ранжирування вимог [component levelling];
керовані параметри [management];
об'єкти реєстрації та обліку [audit];
вимоги [components].
378
Розділ 8. Критерїї безпеки інформаційних технологій
К ожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу.
Набір вимог представляє собою ієрархічну структуру, в якій підсилення вимог здійснюється монотонно, але при цьому не є лінійним упорядкованим списком.
Вимоги, які стоять в ієрархії вище інших включають у себе ниж-честоящі вимоги. Це означає, що у профілі захисту необхідно використати тільки одну з таких вимог.
Вимоги, не пов'язані відносинами ієрархічності, є незалежними і можуть використовуватися одночасно.
Ранжирування функціональних вимог здійснюється не за єдиною універсальною шкалою безпеки, як в інших критеріях, а за множиною часткових критеріїв (більше 280). Набір цих критеріїв являє собою ієрархічну структуру у вигляді невпорядкованого списку порівнянних і непорівнянних вимог, в якому підсилення вимог здійснюється монотонно від нижчих рівнів до вищих. Ця структура має вигляд спрямованого графа — підсилення вимог безпеки здійснюється при рухові по його ребрах.
8.3.2. Класи функціональних вимог безпеки
Аудит
Клас ФВБ: аудит [с. FAU: security AUdit] включає наступні розділи ФВБ:
автоматичне реагування на спроби порушення безпеки;
реєстрація та облік подій;
аналіз протоколу аудита;
доступ до протоколу аудита;
відбір подій для реєстрації й обліку;
протокол аудита.
Розділ ФВБ: [security audit Automatic ResPonse (FAU_ARP)] включає вимогу — засоби захисту повинні реагувати на спроби порушення безпеки [security alarms (FAU_ARP.l)].
379
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Р озділ ФВБ: реєстрація й облік подій [security audit data GENeration (FAU_GEN)| включає незалежні функціональні вимоги безпеки:
реєстрація заданої множини подій і задавання облікової інфор мації для подій кожного типу [audit data generation (FAU_GENJ)];
реєстрація, облік подій та реєстрація користувачів, які ініцію вали події [user identity association (FAU_GEN.2)].
Розділ ФВБ: аналіз протоколу аудита [Security Audit Analysis (FAU_SAA)] включає функціональну вимогу безпеки — виявлення потенційно небезпечних подій на основі контролю за діапазонами параметрів обліку на основі фіксованої множини правил [potential violation analysis (FAU_SAA.l)], яка підсилюється двома незалежними вимогами:
статистичне розпізнавання вторгнень на основі аналізу про філів роботи користувачів [profile based anomaly detection (FAU_SAA.2)];
динамічне розпізнавання сигнатур елементарних атак на ос нові простих евристик [simple attack heuristics (FAU_SAA.3)]. Вимога FAU_SAA.3 підсилюється вимогою — розпізнавання
комплексних атак на основі складних евристик [complex attack heuristics (FAU_SAA.4)].'
Розділ ФВБ: доступ до протоколу аудита [Security Audit Review (FAU_SAR)] включає незалежні функціональні вимоги безпеки:
надання доступу до протоколу аудита для обмеженого набо ру авторизованих користувачів [audit review (FAU_SAR.l)];
захист протоколу аудита від неавторизованих користувачів [restricted audit review (FAU_SAR.2)];
вибіркове керування доступом до протоколу аудита [selectable audit review (FAU_SAR.3)].
Розділ ФВБ: відбір подій для реєстрації та обліку [security audit event SELection (FAU_SEL)] включає вимогу безпеки — визначення множини властивих аудитові подій на основі заданого набору атрибутів [selective audit (FAU_SEL.l)].
Розділ ФВБ: протокол аудита [security audit event SToraGe (FAU_STG)] включає дві незалежні функціональні вимоги безпеки:
380
Розділ 8. Критерії безпеки інформаційних технологій
в иділення ресурсів під протокол аудита, захист протоколів від неавторизованої модифікації або видалення [protected audit trail storage (FAU_STG.l)];
попередження втрати записів протоколу аудита у випадку зменшення об'єму ресурсів, які відведені під протокол аудита до певної межі [action in case of possible audit data loss (FAU_ STG.3)]. Кожна з незалежних вимог підсилюється відповідно вимогами:
гарантована доступність протоколу аудита [guarantees of audit data availability (FAU_STG.2)];
попередження втрат записів аудита у випадку вичерпання ре сурсів, які відведені під протокол аудита [prevention of audit dataloss(FAU_STG.4)].
Захист інформації
Клас ФВБ: захист інформації [с. FDP: user Data Protection] включає наступні розділи ФВБ:
політики управління доступом;
засоби управління доступом;
автентифікація інформації;
експорт інформації із системи;
політики управління інформаційними потоками;
засоби управління інформаційними потоками;
імпорт інформації;
захист інформації при передаванні внутрішніми каналами;
знищення залишкової інформації;
відкіт;
контроль цілісності інформації у процесі зберігання;
захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів;
цілісність внутрішньосистемного передавання інформації при використанні зовнішніх каналів.
Розділ ФВБ: політики управління доступом [ACcess Control policy (FDP_ACC) включає ієрархічно залежні вимоги безпеки:
381
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
у правління доступом для обмеженої множини операцій і об'єктів [subset access control (FDP_ACC.l)];
управління доступом для повної множини об'єктів, суб'єктів і операцій. Будь-яка операція, яка здійснюється будь-яким об'єктом, повинна контролюватися принаймні одною полі тикою управління доступом [complete access control (FDP_ ACC2)].
Розділ ФВБ: засоби управління доступом [Access Control Functions (FDP_ACF)] включає вимогу безпеки — управління доступом на основі атрибутів безпеки або іменованих груп атрибутів із явним дозволом або відмовою в доступі [security attribute based access control (FDP_ACF.l)].
Розділ ФВБ: автентифікація інформації [Data AUtentificati-on (FDP_DAU)] включає ієрархічно залежні функціональні вимоги безпеки:
автентифікація інформації, що міститься в об'єкті доступу [basic data authentication (FDP_DAU.l)];
автентифікація інформації, що міститься в об'єкті доступу з ідентифікацією суб'єкта, який здійснює автентифікацію [data authentication with identity of guarantor (FDP_DAU.2)]. Розділ ФВБ: експорт інформації із системи [Export to outside
TSF Control (FDP_ETC)] включає незалежні функціональні вимоги безпеки:
експорт інформації без атрибутів безпеки [export of user data without security attributes (FDP_ETC.l)];
експорт інформації разом з атрибутами безпеки [export of user data with security attributes (FDP_ETC2)].
Розділ ФВБ: політики управління інформаційними потоками [Information Flow Control policy (FDP_IFC)] включає ієрархічно залежні функціональні вимоги безпеки:
управління інформаційними потоками для обмеженої мно жини операцій і потоків [subset information flow control (FDP_ IFC.1)];
управління доступом до повної множини потоків, суб'єктів і операцій. Будь-яка політика керування потоками повин-
382
Розділ 8. Критерії безпеки інформаційних технологій
н а контролювати всі операції у системі. Усі потоки інформації в системі повинні контролюватися принаймні однією політикою управління інформаційними потоками [complete information flow control (FDP_IFC2)].
Розділ ФВБ: засоби управління інформаційними потоками [Information Flow control Functions (FDP_IFF)] включає незалежні функціональні вимоги безпеки:
управління інформаційними потоками на основі атрибутів безпеки інформації й суб'єктів, між якими здійснюється об мін інформацією [simple security attributes (FDP_IFF.l)];
контроль схованих інформаційних потоків [limited illicit information flows (FDPJFF.3)];
моніторинг схованих інформаційних потоків і обмеження їхньої пропускної здатності [illicit information flow monitoring (FDPJFF.6)].
Вимога FDP_IFF.l підсилюється вимогою — управління інформаційними потоками на основі ієрархічно впорядкованих атрибутів безпеки, що присвоєні усім інформаційним потокам і утворюють грати [hierarchical security attributes (FDP_IFF.2)].
Вимога FDP_IFF.3 підсилюється ієрархічно залежними вимогами:
часткова заборона схованих інформаційних потоків [partial elimination of illicit information flows (FDP_IFF.4)];
повна заборона схованих інформаційних потоків [no illicit information flows (FDPJFF.5)].
Розділ ФВБ: імпорт інформації [Import from outside TSF Control (FDP_ITC)] включає незалежні функціональні вимоги безпеки:
імпорт інформації без атрибутів безпеки [import of user data without security attributes (FDPJTC.l)];
імпорт інформації разом з атрибутами безпеки [import of user data with security attributes (FDPJTC2)].
Розділ ФВБ: захист інформації при передаванні внутрішніми каналами [Internal TOE Transfer (FDPJTT)] включає незалежні функціональні вимоги безпеки:
383
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
б азові засоби захисту інформації, що передається [basic internal transfer protection (FDP_ITT.l)];
контроль цілісності інформації, що передається [integrity monitoring (FDPJTT.3)].
Ці вимоги відповідно підсилюються вимогами:
передавання даних із різними атрибутами безпеки окремими каналами [transmission separation by attribute (FDP_ITT.2)];
застосування різноманітних методів контролю цілісності в залежності від атрибутів безпеки [attribute-based integrity monitoring(FDP_ITT.4)].
Розділ ФВБ: знищення залишкової інформації [Residual Information Protection (FDP_RIP)] включає ієрархічно залежні вимоги безпеки функціональні:
знищення залишкової інформації для певної підмножини об'єктів при їхньому створенні й вилученні [subset residual information protection (FDP_RIP.l)];
знищення залишкової інформації для всіх об'єктів при їх створенні або вилученні [full residual information protection (FDP_RIR2)].
Розділ ФВБ: відкіт [ROLlback (FDP_ROL)] включає незалежні функціональні вимоги безпеки:
• обмеження можливості здійснення відкоту для певної підмно жини операцій на задане число кроків [basic rollback (FDP_ROL.
1)];
• розширення можливостей здійснення відкоту для всіх опера цій на задане число кроків [advanced rollback (FDPJRO1.2)]. Розділ ФВБ: контроль цілісності інформації у процесі збе рігання [Stored Data Integrity (FDP_SDI)] включає ієрархічно за лежні функціональні вимоги безпеки:
виявлення порушень цілісності інформації у процесі збері гання [stored data integrity monitoring (FDP_SDI.l)];
виявлення порушень цілісності інформації у процесі збері гання і визначення реакції на виявлені помилки [stored data integrity monitoring and action (FDP_SDL2)].
Розділ ФВБ: захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів [inter-TSF User data Confidentiality Transfer protection (FDP_UCT)] включає
384
Розділ 8. Критерії безпеки інформаційнихтехнологій
' функціональну вимогу безпеки — захист інформації при спрямуванні її у зовнішній канал [basic data exchange confidentiality (FDPJJCT.1)].
Розділ ФВБ: цілісність внутрішньосистемного передавання інформації при використанні зовнішніх каналів [inter-TSF User data integrity Transfer protection (FDP_UIT)] включає незалежні функціональні вимоги безпеки — виявлення порушень цілісності при передаванні інформації [data exchange integrity (FDP_UIT.l)] і відновлення інформації одержувачем [source data exchange recovery (FDP_UIT.2)], яка підсилюється вимогою — повторне передавання інформації [destination data exchange recovery (FDP_UIT.3)].
Ідентифікація та автентифікація
Клас ФВБ: ідентифікація та автентифікація включає наступні розділи ФВБ:
реакція на невдалі спроби автентифікації;
атрибути безпеки користувачів;
автентифікаційні параметри;
автентифікація користувачів;
ідентифікація користувачів;
відповідність користувачів і суб'єктів.
Розділ ФВБ: реакція на невдалі спроби автентифікації [Authentication FaiLures (FIA_AFL)] включає вимогу безпеки — засоби ідентифікації й автентифікації повинні припиняти спроби встановлення сеансів роботи із системою після встановленого числа невдалих спроб автентифікації і призупиняти обслуговування засобів, що задіяні в ході цих спроб [authentication failure handling (FIA_AFL.l)].
Розділ ФВБ: атрибути безпеки користувачів [user ATtri-bute Definition (FIA_ ATD)] включає вимогу безпеки — індивідуальне призначення атрибутів безпеки користувачів [user attribute definition (FIA_ATD.l)].
Розділ ФВБ: автентифікаційні параметри [Specification Of Secrets (FIA_SOS)] включає незалежні функціональні вимоги безпеки:
385
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНШЕХНОЛОГІЙ
п еревірка якості автентифікаційних параметрів відповідно до заданих критеріїв [verification of secrets (FIA_SOS.l)];
автоматична генерація автентифікаційних параметрів і пе ревірка їхньої якості відповідно до заданих критеріїв [TSF generation of secrets (FIA_SOS.2)].
Розділ ФВБ: автентифікація користувачів [User Authentication (FIA_UAU)] включає незалежні функціональні вимоги безпеки:
обов'язковість автентифікації користувачів [timing of authentication (FIAJUAU.l)];
механізм автентифікації повинен розпізнавати та поперед жувати використання підроблених автентифікаційних пара метрів або їхніх дублікатів [unforgeable authentication (FIA_ UAU.3)];
використання одноразових автентифікаційних параметрів [single-use authentication mechanisms (FIAJLJAU.4)];
використання множини механізмів автентифікації, що ви користовується залежно від ситуації [multiple authentication mechanisms (FIA_UAU.5)];
застосування механізмів повторної автентифікації для ви конання встановленої множини операцій [re-authenticating (FIAJJAU.6)];
мінімізація інформації, що надається користувачеві в про цесі проходження процедури автентифікації [protected authentication feedback (FIA_UAU.7)].
Вимога FIA_UAU.l підсилюється вимогою — неможливість здійснення дій, що контролюються засобами захисту, без успішного проходження процедури автентифікації [user authentication before any action (FIA_UAU.2)].
Розділ ФВБ: ідентифікація користувачів [User IDentificati-on (FIA_UID)] включає ієрархічно залежні функціональні вимоги безпеки:
обов'язковість ідентифікації користувачів [timing of identification (FIA\_UID.l)];
неможливість здійсненні дій, що контролюються засобами захисту, без успішного проходження процедури ідентифіка ції [user identification before any action (FIA_UID.2)].
386
Розділв. Критерії безпеки інформаційних технологій
Р озділ ФВБ: відповідність користувачів і суб'єктів [User-Subject Binding (FIA_USB)] включає вимогу безпеки — присвоєння суб'єктам, що діють від імені користувача, його атрибутів безпеки [user-subject binding (FIA_USB.l)].
Управління безпекою
Клас ФВБ: управління безпекою [с. FMT: security Manege-men T] включає наступні розділи ФВБ:
управління засобами захисту;
управління атрибутами безпеки;
управління параметрами та конфігурацією засобів захисту;
відкликання атрибутів безпеки;
обмеження строку дії атрибутів безпеки;
адміністративні ролі.
Розділ ФВБ: управління засобами захисту [Management Of Functions in TSF (FMT_MOF)] включає вимогу безпеки — управління авторизованими користувачами засобами захисту [management of security functions behaviour (FMT_MOF.l)].
Розділ ФВБ: управління атрибутами безпеки [Management of Security Attributes (FMT_MSA)] включає незалежні функціональні вимоги безпеки:
управління авторизованими користувачами атрибутами без пеки [management of security attributes (FMT_MSA.l)];
контроль коректності значень атрибутів безпеки [secure security attributes (FMT_MSF2)];
коректна ініціалізація атрибутів безпеки визначеними зна ченнями [static attribute initialization (FMT_MSA.3)]. Розділ ФВБ: управління параметрами та конфігурацією
засобів захисту [Management of TSF Data (FMT_MTD)j включає незалежні функціональні вимоги безпеки:
• управління параметрами та конфігурацією засобів захис ту авторизованими користувачами [management of TSF data (FMT_MTD.l)];
387
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
в иконання заданих дій у разі виходу параметрів функціону вання засобів захисту за встановлені межі [management of limits on TSF data (FMT_MTD.2)];
автоматичний контроль коректності конфігурації й парамет рів засобів захисту [secure TSF data (FMT_MTD.3)].
Розділ ФВБ: відкликання атрибутів безпеки [REVolocation (FMT_REV)] включає вимогу безпеки — відкликання атрибутів безпеки відповідно до встановлених правил [revocation (FMT_ REV.1)].
Розділ ФВБ: обмеження строку дії атрибутів безпеки [Security Attribute Expiration (FMT_SAE)] включає вимогу безпеки — визначення строку дії атрибутів безпеки авторизованими користувачами [time-limited authorization (FMT_SAE.l)].
Розділ ФВБ: адміністративні ролі [Security Management Roles (FMT_SMR)] включає наступні функціональні вимоги безпеки:
використання адміністративних ролей для управління безпе кою [security roles (FMT_SMR.l)];
надання ролевих повноважень за запитом користувача [assuming roles (FMT_SMR.3)].
Вимога FMT_SMR.l підсилюється вимогою — використання впорядкованого набору адміністративних ролей для управління безпекою [restrictions on security roles (FMT_SMR.2)];.
Контроль доступу до системи
Клас ФВБ: контроль доступу до системи [с. FTA: TOE Access] включає наступні розділи ФВБ:
обмеження на використання атрибутів безпеки;
обмеження числа одночасних сеансів;
блокування сеансу роботи із системою;
об'яви, попередження, запрошення та підказки;
протокол сеансів роботи із системою;
управління сеансами роботи із системою.
Розділ ФВБ: обмеження на використання атрибутів безпеки [Limitation on scope of Selectable Attributes (FTA_LSA)] включає
388
Розділ 8. Критерії безпеки інформаційних технологій
в имогу безпеки — обмеження множини атрибутів безпеки, які використовуються користувачем у межах однієї сесії [limitation on scope of selectable attributes (FTA_LSA.l)].
Розділ ФВБ: обмеження числа одночасних сеансів [limitation on Multiple Concurrent Sessions (FTAJVtCS)] включає ієрархічно залежні функціональні вимоги безпеки:
обмеження числа одночасних сеансів [basic limitation on multiple concurrent sessions (FTA_MCS.l)];
обмеження числа одночасних сеансів у залежності від атри бутів безпеки користувачів [per user attribute limitation on multiple concurrent sessions (FTA_MCS.2)].
Розділ ФВБ: блокування сеансу роботи із системою [SeSsi-on Locking (FTA_SSL)] включає незалежні функціональні вимоги безпеки:
автоматичне блокування сеансу роботи після вказаного пе ріоду неактивності [TSF-initiated session locking (FTA_SSL.l)];
блокування сеансу користувачем [user-initiated locking (FTA_ SSL.2)];
автоматичне завершення сеансу роботи після закінчення за дано го періоду неактивності [TSF-initiated termination (FTA_ SSL.3)].
Розділ ФВБ: об'яви, попередження, запрошення та підказки [TOE Assess Banners (FTA_TAB)] включає вимогу безпеки — демонстрація об'яв, попереджень, запрошень і підказок перед початком сеансу роботи із системою [default TOE access banners (FTA_TAB.l)].
Розділ ФВБ: протокол сеансів роботи із системою [TOE Assess History (FTA_TAH)] включає вимогу безпеки — реєстрація й демонстрація користувачам протоколу сеансів їхньої роботи й спроб входу в систему [TOE access history (FTAJTAH.l)].
Розділ ФВБ: управління сеансами роботи із системою [TOE Session Establishment (FTA_TSE)] включає вимогу безпеки — заборона встановлення сеансу роботи із системою на основі заданої множини правил [TOE session establishment (FTAJTSE.l)].
389
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
К онтроль за використанням ресурсів
Клас ФВБ: контроль за використанням ресурсів [с. FRU: Resource Utilisation] включає наступні розділи ФВБ:
стійкість до відмов;
розподіл ресурсів на основі пріоритетів;
квотування ресурсів.
Розділ ФВБ: стійкість до відмов [FauLt Tolerance (FRU _ FLT)] включає ієрархічно залежні функціональні вимоги безпеки:
забезпечення працездатності системи на заданому рів ні у випадку виникнення вказаних збоїв [degraded fault tolerance(FRU_FLT.l)];
забезпечення нормальної роботи системи у випадку виник нення вказаних збоїв [limited fault tolerance (FRU_FLT.2)]. Розділ ФВБ: розподіл ресурсів на основі пріоритетів [PRi-
ority of Service(FRU_PRS)] включає ієрархічно залежні функціональні вимоги безпеки:
розподіл обмеженої підмножини ресурсів системи на основі пріоритетів [limited priority of service (FRU_PRS.l)];
розподіл усіх ресурсів на основі пріоритетів [full priority of service (FRU_PRS.2)].
Розділ ФВБ: квотування ресурсів [ReSource Allocation (FRU_RSA)] включає ієрархічно залежні функціональні вимоги безпеки:
обмеження на споживання користувачами ресурсів системи за допомогою квот [maximum quotas (FRU_RSA.l)];
обмеження на споживання користувачами ресурсів системи за допомогою квот і резервування для споживача гарантова ної множини ресурсів [minimum and maximum quotas (FRU_ RSA.2)].
Конфіденційність роботи в системі
Клас ФВБ: конфіденційність роботи в системі [с. FPR: PRivacy] включає наступні розділи ФВБ:
анонімність користувачів;
використання псевдонімів;
390
Розділ 8. Критерії безпеки інформаційних технологій
а нонімність сеансів роботи із системою;
захист від моніторингу сеансів роботи із системою.
Розділ ФВБ: анонімність користувачів [ANOnymity (FPR_ ANO)] включає ієрархічно залежні функціональні вимоги безпеки:
• анонімність суб'єктів, які представляють інтереси користува чів [anonymity (FPR_ANO.l)];
• анонімність ідентифікаторів користувачів для середовища за хисту [anonymity without soliciting information (FPR_AN0.2)]. Розділ ФВБ: використання псевдонімів [PSEudonymity (FPR_PSE)] включає вимогу безпеки — контроль дій анонім них користувачів за допомогою псевдонімів [pseudonymity (FPR_ Р5Е.1)],яка підсилюється незалежними вимогами:
встановлення особистості користувача за псевдонімом [reversible pseudonymity (FPR_PSE.2)];
призначення псевдонімів відповідно до заданих правил [alias pseudonymity (FPR_PSE.3)].
Розділ ФВБ: анонімність сеансів роботи із системою [UNLinkability (FPR_UNL)] включає вимогу безпеки — неможливість встановлення ініціатора операцій, що здійснюються в системі [unlinkability (FPRJJNL.l)j.
Розділ ФВБ: захист від моніторингу сеансів роботи із системою [UNObservability (FPR_UNO)] включає незалежні функціональні вимоги безпеки:
захист операцій, що відбуваються в системі, від моніторингу [unobservability (FPRJJNO.1)];
заборона засобам захисту запитувати у користувача кон фіденційну інформацію [unobservability without soliciting information (FPRJUN0.3)];
моніторинг роботи системи та використання ресурсів тільки авторизованими користувачами [authorised user observability (FPR_UN0.4)].
Вимога FPR_UNO.l підсилюється вимогою — розосередження критичної інформації між різними компонентами засобів захисту [allocation of information impacting unobservability (FPR_ UN0.2)].
391
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
К риптографія
Клас ФВБ: криптографія [с. FCS: Cryptographic Support] включає наступні розділи ФВБ:
управління ключами;
криптографічні засоби.
Розділ ФВБ: управління ключами [Cryptographic Key Management (FCO_CKM)] включає незалежні функціональні вимоги безпеки:
генерація ключів заданого розміру за певними алгоритма ми у відповідності до певних стандартів [cryptographic key generation (FCO_CKM.l)];
розподіл ключів способами, визначеними в спеціальних стан дартах [cryptographic key distribution (FCO_CKM.2)];
здійснення доступу до ключів із використанням методів, ви значених у спеціальних стандартах [(FCO_CKM.3)];
знищення ключів із використанням методів, визначених у спеціальних стандартах [cryptographic key destruction (FCO_ CKM.4)].
Розділ ФВБ: криптографічні засоби [Cryptographic OPeration (FCO_COP)] включає вимогу безпеки — виконання криптографічних операцій з використанням ключів заданого розміру і визначених алгоритмів у відповідності до спеціальних стандартів [cryptographic operation (FCO_COP.l)].
Надійність засобів захисту
Клас ФВБ: надійність засобів захисту [с. FPT: Protection of the TSF] включає наступні розділи ФВБ:
тестування апаратно-програмної платформи;
захист від збоїв;
готовність засобів захисту до обслуговування віддалених клієнтів;
конфіденційність інформації, що передається, при роботі з віддаленими клієнтами;
цілісність інформації, що передається, при роботі з віддале ними клієнтами;
392
Розділ 8. Критерії безпеки інформаційних технологій
з ахист внутрішніх каналів інформаційного обміну між засо бами захисту;
фізичний захист;
безпечне відновлення після збоїв;
розпізнавання повторного передавання інформації та іміта ція подій;
моніторинг взаємодій;
розподіл доменів;
синхронізація;
час;
погодженість обміну інформацією між засобами захисту;
реплікація інформації, що використовується засобами за хисту;
самотестування засобів захисту.
Розділ ФВБ: безпечне відновлення після збоїв [trusted ReCoVery (FPT_RCV)] включає незалежні функціональні вимоги безпеки:
ручне відновлення після збоїв [manual recovery (FPT_RCV.l)];
відновлення після збоїв шляхом здійсненні відкоту в безпеч ний стан [function recovery (FPT_RCV.4)].
Вимога FPT_RCV.l підсилюється ієрархічно залежними вимогами:
• автоматичне відновлення після збоїв [automated recovery(FPT_ "':1 RCV.2)];
• автоматичне відновлення після збоїв із мінімізацією втрат інформації [automated recovery without undue loss (FPT_
•;; RCV.3)].
u Розділ ФВБ: готовність засобів захисту до обслуговування віддалених клієнтів [availability of exported TSF data (FPTJTA)] включає вимогу безпеки — забезпечення готовності засобів захисту до обслуговування віддалених клієнтів із заданою ймовірністю [inter-TSF availability within a defined availability metric (FPT_ ITA.1)].
Розділ ФВБ: захист від збоїв [FaiL Secure (FPTFLS)] включає вимогу безпеки — збереження безпечного стану у разі виникнення збоїв [failure with preservation of secure state (FPT_FLS.l)].
393
ЧастинаII.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
Р озділ ФВБ: захист внутрішніх каналів інформаційного обміну між засобами захисту [Internal TOE TSF data transfer (ГРТ_ІТТ)]включає вимогу безпеки — базові засоби захисту інформаційного обміну між засобами захисту [basic internal TSF data transfer protection (FPT_ITT.l)], яка підсилюється незалежними вимогами:
розподіл трафіка інформаційного обміну між засобами захисту і трафіка прикладних засобів [TSF data transfer separation(FPT_ITT.2)];
контроль цілісності інформації при взаємодії засобів захисту [TSF data integrity monitoring (FPT_ITT.3)].
Розділ ФВБ: конфіденційність інформації, що передається, при роботі з віддаленими клієнтами [confidentiality of exported TSF data (FPT_ITC)] включає вимогу безпеки функціональну — забезпечення конфіденційності інформації, що передається між засобами захисту і віддаленими клієнтами [inter-TSF confidentiality during transmission (FPT_ITC.l)].
Розділ ФВБ: моніторинг взаємодій [Reference Mediation (FPT_RVM)] включає вимогу безпеки — моніторинг усіх взаємодій у системі [non-bypassability of the TSP (FPT_RVM.l)].
Розділ ФВБ: погодженість обміну інформацією між засобами захисту [inter-TSF TSF Data Consistency (FPT_TDC)] включає вимогу безпеки — коректність перетворення інформації при передаванні між засобами захисту [inter-TSF basic TSF data consistency (FPTJTDC.l)].
Розділ ФВБ: реплікація інформації, що використовується засобами захисту [internal TOE TSF data Replication Consistency (FPT_TRC)] включає вимогу безпеки функціональну — контроль узгодженості копій інформації, що використовується засобами захисту [internal TSF consistency (FPT_TRC.l)].
Розділ ФВБ: розпізнавання повторного передавання інформації та імітація подій [RePLay detection (FPT_RPL)] включає вимогу безпеки — забезпечення конфіденційності інформації, яка передається між засобами захисту і віддаленими клієнтами [replay detection (FPT_RPL.l)].
Розділ ФВБ: розподіл доменів [domain SEParation (FPT_SEP)] включає ієрархічно залежні функціональні вимоги безпеки:
394
Розділ 8. Критерії безпеки інформаційних технологій
в иділення спеціального домену для засобів захисту [TSF domain separation (FPT_SEP.l)];
виділення окремих доменів для процедур, що здійснюють моніторинг взаємодії і реалізують вказані політики безпеки [SFP domain separation (FPT_SEP.2)];
виділення окремих доменів для процедур, що здійснюють моніторинг взаємодій і реалізують будь-які політики безпеки [complete reference monitor (FPT_SEP.3)j.
Розділ ФВБ: самотестування засобів захисту [TSF Self Test (FPT_TST)] включає вимогу безпеки — самотестування засобів захисту за запитом, у процесі завантаження та функціонування. Перевірка цілісності коду і даних засобів захисту [TSF testing (FPTJTST.1)].
Розділ ФВБ: синхронізація [State Synchrony Protocol (FPT_ SSP)] включає ієрархічно залежні функціональні вимоги безпеки:
підтвердження приймання інформації [simple trusted acknowledgement (FPT_SSP.l)];
синхронізація стану учасників взаємодії у ході обміну інфор мацією [mutual trusted acknowledgement (FPT_SSP.2)]. Розділ ФВБ: тестування апаратно-програмної платформи
[underlying Abstract Machine Test (FPT_AMT)] включає вимогу безпеки — перевірка коректності функціонування апаратно-програмної платформи [abstract machine testing (FPT_AMT.l)].
Розділ ФВБ: фізичний захист [TSF PHysical Protection (FPT_ PHP)] включає незалежні функціональні вимоги безпеки — пасивне виявлення атак на фізичному рівні [passive detection of physical attack (FPT_PHP.l)] і активна протидія атакам на фізичному рівні [resistance to physical attack (FPT_PHP.3)], кожна з яких підсилюється вимогою — оповіщення адміністратора при виявленні атак на фізичному рівні [notification of physical attack (FPTJPHP.2)].
Розділ ФВБ: цілісність інформації, що передається, при роботі з віддаленими клієнтами [integrity of exported TSF data (FPT_ITI)] включає ієрархічно залежні функціональні вимоги безпеки:
• виявлення спотворень інформації, яка передається між засо бами захисту і віддаленими клієнтами [inter-TSF detection of modification (FPTJTI.1)];
395
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
• виявлення спотворень інформації, яка передається між засо бами захисту і віддаленими клієнтами, та їхнє виправлення [inter-TSF detection and correction of modification (FPTJTL2)]. Розділ ФВБ: час [time STaMps (FPT_STM)] включає вимог)7
безпеки — використання засобами захисту надійного таймера [reliable time stamps (FPT_STM.l)].
Причетність до приймання/передавання
Клас ФВБ: причетність до приймання/передавання [с. FCO: Communication] включає наступні розділи ФВБ:
• попередження відмови від факту передавання інформації;
• попередження відмови від факту приймання інформації. Розділ ФВБ: попередження відмови від факту передаван ня інформації [Non-Repudiation of Origin (FCO_NRO)] включає ієрархічно залежні функціональні вимоги безпеки:
підтвердження факту передавання інформації за вимогою [selective proof of origin (FCO_NRO.l)];
автоматичне підтвердження факту передавання інформації [enforced proof of origin (FCO_NRO.2)].
Розділ ФВБ: попередження відмови від факту приймання інформації [Non-Repudiation of Receipt (FCO_NRR)] включає ієрархічно залежні функціональні вимоги безпеки:
підтвердження факту одержання інформації за вимогою [selective proof of receipt (FCO_NRR.l)];
автоматичне підтвердження факту одержання інформації [enforced proof of receipt (FCO_NRR.2)].
Пряма взаємодія
Клас ФВБ: пряма взаємодія [с. FTP: Trusted Path/channels] включає наступні розділи ФВБ:
пряма взаємодія між засобами захисту;
пряма взаємодія між користувачами.
Розділ ФВБ: пряма взаємодія між засобами захисту [Inter-TSF Trusted Channel (FTP_ITS)] включає вимогу безпеки — пря-
396
Розділ 8. Критерії безпеки інформаційних технологій
м а взаємодія між компонентами між засобами захисту різних продуктів [inter-TSF trusted channel (FTPJTS.l)].
Розділ ФВБ: пряма взаємодія між користувачами [TRusted Path (FTP_TRP)] включає вимогу безпеки — пряма взаємодія з користувачами для вказаного набору ситуацій або за бажанням користувача [trusted path (FTP_TRP.l)].
8.4. ВИМОГИ ГАРАНТІЙ ЗАСОБІВ ЗАХИСТУ 8.4.1. Загальна характеристика вимог гарантій безпеки
Вимоги гарантій безпеки (ВГБ) [security assurance requirements] — вимоги безпеки, які в Загальних критеріях являють собою характеристику ІТ-продукту, що показує, наскільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Як і функціональні вимоги безпеки, ВГБ детально структурирован! та регламентують усі етапи проектування, створення та експлуатації ІТ-продукту дуже детально. Структура вимог гарантій аналогічна функціональним вимогам.
Клас ВГБ [assurance class] — верхній рівень формальної структури вимог гарантій безпеки. Містить наступні елементи:
назву класу [class name];
опис класу [class introduction];
розділи вимог гарантій безпеки [assurance family]. Вимоги розподілені на 7 класів ВГБ (рис. 8.7):
управління проектом;
дистрибуція;
розробка;
документація;
процес розробки;
тестування;
аналіз захисту.
Розділ ВГБ [assurance family] — складова частина класу ВГБ. Структура розділу містить наступні елементи:
397
н азва та позначення розділу [family name];
мета [objectives];
. ранжирування вимог [component levelling];
опис застосування [application notes];
вимоги [assurance component].
Кожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу. Ранжирування стандартних вимог представлене у вигляді впорядкованих списків.
Структура ВГБ складається з наступних елементів:
назва вимоги [component identification];
мета [objectives];
опис застосування [application notes];
сполучені вимоги [dependencies];
елементи вимоги [assurance element].
Вимоги гарантій використовуються в ході кваліфікаційного аналізу ІТ-продукту відповідного рівня гарантій.
8.4.2. Класи вимог гарантій безпеки
Управління проектом
Клас ВГБ: управління проектом [class ACM: Configuration Management] включає наступні розділи ВГБ:
засоби управління проектом;
управління версіями;
конфігурація проекту.
Розділ ВГБ: засоби управління проектом [Configuration Management AUTomation (ACM_AUT)] включає наступні вимоги гарантій безпеки:
застосування автоматизованих засобів управління проектом [partial configuration management automation (ACM_AUT.l)];
повна автоматизації управління проектом і контролю версій [complete configuration management automation (ACM_AUT.2)].
399
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Р озділ ВГБ: керування версіями [Configuration Management CAPabilities (ACM_CAP)] включає наступні вимоги гарантій безпеки:
нумерація версій [version numbers (ACM_CAP.l)];
ідентифікація компонентів [configuration items (ACM_ САР.2)];
контроль цілісності версій [authorisation controls (ACM_ САР.З)];
авторизація розробників при поновленні версій [generation support and acceptance procedures (ACM_CAP.4)];
контроль цілісності й автентичності дистрибутива системи [advanced support (ACM_CAP.5)].
Розділ ВГБ: конфігурація проекту [Configuration Management SCoPe (ACM_SCP)] включає наступні вимоги гарантій безпеки:
• основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація) [TOE management automation coverage
' (ASM_SCP.l)];
включення до складу конфігурації об'єкта виявлених поми лок і уразливостей [problem tracking management automation coverage (ASM_SCP.2)];
включення до складу конфігурації проекту інструментальних засобів розробки [development tools management automation coverage! ASM_SCP.3)].
Дистрибуція
Клас ВГБ: дистрибуція [class ADO: Delivery and Operation] включає наступні розділи ВГБ:
постачання;
установка, настройка, запуск.
Розділ ВГБ: поставка [DELivery (ADO_DEL)] включає наступні вимоги гарантій безпеки:
регламентована процедура поставки [delivery procedures (ADO_DEL.l)];
виявлення спотворень у процесі поставки [detection of modification (ADO_DEL.2)];
400
Розділ 8. Критерії безпеки інформаційних технологій
• захист від спотворень у процесі поставки [prevention of modi fication (ADO_DEL.3)].
Розділ ВГБ: установка, настройка, запуск [Installation, Generation, and Start-up (ADO_IGS)] включає наступні вимоги гарантій безпеки:
регламентовані процедури установки, настройки, запуску [installation, generation, and start-up procedures (ADO_IGS.l)];
протоколювання процесу установки, настройки, запуску [generation log (ADOJGS.2)].
Розробка
Клас ВГБ: розробка [class ADV: Development] включає наступні розділи ВГБ:
загальні функціональні специфікації;
архітектура захисту;
форма подання продукту на сертифікацію;
структура засобів захисту;
часткові специфікації засобів захисту;
відповідність описів різного рівня;
політика безпеки.
Розділ ВГБ:загальніфункціональніспецифікації[Рипсіюпа1 Specification (ADV_FSP)] включає наступні вимоги гарантій безпеки:
неформальні специфікації для засобів захисту [informal functional specification (ADV_FSP.l)j;
неформальні специфікації для усіх інтерфейсів засобів захис ту [fully defined external interfaces (ADV_FSP.2)];
напівформальні специфікації для засобів захисту [semiformal functional specification (ADV_FSP.3)];
формальні специфікації для засобів захисту [formal functional specification (ADVJFSP.4)].
Розділ ВГБ: архітектура захисту [High-Level Design (ADV_ HLD)] включає наступні вимоги гарантій безпеки:
401
Частинам.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ
о пис архітектури захисту [descriptive high-level design (ADV_ HLD.l)];
відповідність архітектури захисту політиці безпеки [security enforcing high-level design (ADV_HLD).2];
напівформальний опис архітектури захисту [semiformal high- level design (ADV_HLD.3)];
відповідність напівформального опису архітектури захисту політиці безпеки [semiformal high-level explanation (ADV__ HLD.4)];
формальний опис архітектури захисту й доказ її відповідності політиці безпеки [formal high-level design (ADV_HLD.5)]. Розділ ВГБ: форма надання продукту на сертифікацію
[IMPlementation representation (ADVJMP)] включає наступні вимоги гарантій безпеки:
опис реалізації обмеженої підмножини засобів захисту [subset of the implementation of the TSF (ADVJMP.l)];
повний опис реалізації усіх засобів захисту [implementation of the TSF (ADVJMP2)];
структурований опис реалізації усіх засобів захисту [structured implementation of the TSF (ADV_IMP3)].
Розділ ВГБ: структура засобів захисту [TSF INTernals (ADV_ INT)] включає наступні вимоги гарантій безпеки:
модульність [modularity (ADV_INT.l)];
ієрархічність [reduction of complexity (ADV_INT.2)];
мінімізація складності [minimization of complexity (ADV__ INT.3)].
Розділ ВГБ: часткові специфікації засобів захисту [Low-Level Design (ADV_LLD)] включає наступні вимоги гарантій безпеки:
неформальні часткові специфікації засобів захисту [descriptive low-level design (ADV_LLD.l)];
напівформальні часткові специфікації засобів захисту [semiformal low-level design (ADV_LLD.2)];
формальні часткові специфікації засобів захисту [formal low- level design (ADV_LLD.3)].
402
Розділ 8. Критерії безпеки інформаційних технологій
Р озділ ВГБ: відповідність описів різного рівня [Representation CorRespondente (ADV_RCR)] включає наступні вимоги гарантій безпеки:
неформальне підтвердження відповідності [informal corres pondence demonstration (ADV_RCR.l)];
напівформальне підтвердження відповідності [semiformal correspondence demonstration (ADV_RCR.2)];
формальний доказ відповідності [formal correspondence demonstration (ADV_RCR.3)].
Розділ ВГБ: політика безпеки [Security Policy Modeling (ADV_SPM)] включає наступні вимоги гарантій безпеки:
неформальний опис політики безпеки [informal TOE security policy model (ADV_SPM.l)];
напівформальний опис політики безпеки [semiformal TOE security policy model (ADV_SPM.2)];
формальна модель політики безпеки [formal TOE security policy model (ADV_SPM.3)].
Документація
Клас ВГБ: документація [class AGD: Guidance Documents] включає наступні розділи ВГБ:
керівництво адміністратора;
керівництво користувача.
Розділ ВГБ: керівництво адміністратора [ADMinistrator guidance (AGD_ADM)] включає вимогу гарантій безпеки — адміністрування засобів захисту [administrator guidance (AGD_ADM.l)].
Розділ ВГБ: керівництво користувача [USeR guidance (AGD_ USR)] включає вимогу гарантій безпеки — використання засобів захисту [user guidance (AGD_USR.l)].
Процес розробки
Клас ВГБ: процес розробки [class ALC: Life Cycle support] включає наступні розділи ВГБ:
403
Частина 11. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
б езпека середовища розробки;
виправлення помилок і ліквідація уразливостей;
технологія розробки;
засоби розробки.
Розділ ВГБ: безпека середовища розробки [Development Security (ALCJDVS)] включає наступні вимоги гарантій безпеки:
застосування заходів безпеки в ході розробки [identification of security measures (ALC_DVS.l)];
підтвердження заходів безпеки в ході розробки [sufficiency of security measures (ALC_DVS.2)J.
Розділ ВГБ: виправлення помилок і ліквідація уразливостей [FLaw Remediation (ALC_FLR)] включає наступні вимоги гарантій безпеки:
виправлення виявлених помилок і ліквідація уразливостей [basic flaw remediation (ALC_FLR.l)];
регулярне виправлення помилок і ліквідація уразливостей [flaw reporting procedures (ALC_FLR.2)],-
гарантоване виправлення виявлених помилок і ліквідація виявлених уразливостей [systematic flaw remediation (ALC_ FLR.2)].
Розділ ВГБ: технологія розробки [Life Cycle Definition (ALC_ LCD)] включає наступні вимоги гарантій безпеки:
визначена розробником технологія розробки [developer defined life-cycle model (ALC_LCD.l)];
стандартизована технологія розробки [standardised life-cycle model (ALC_LCD.2)];
технологія розробки, яка дозволяє оцінювати продукт, що розроблюється [measurable life-cycle model (ALC_LCD.3)]. Розділ ВГБ: засоби розробки [Tools And Techniques (ALC_
TAT)] включає наступні вимоги гарантій безпеки:
використання певного набору засобів розробки [well-defined development tools (ALCJTAT.l)];
використання основних засобів розробки, що відповідають певним стандартам [compliance with implementation standards (ALC_TAT2)];
404
Розділ 8. Критерії безпеки інформаційних технологій
• використання тільки засобів розробки, що відповідають пев ним стандартам [compliance with implementation standards — all parts (ALC_TAT.3)].
Тестування
Клас ВГБ: тестування [class ATE: TEsts] включає наступні розділи ВГБ:
повнота тестування;
глибина тестування;
методика тестування;
незалежне тестування.
Розділ ВГБ: повнота тестування [COVerage (ATECOV)] включає наступні вимоги гарантій безпеки:
обґрунтування повноти тестування [evidence of coverage (ATE_ COV.l)];
аналіз повноти тестування [analysis of coverage (ATE_COV.2)];
строгий аналіз повноти тестування [rigorous analysis of coverage (ATE_COV.3)].
Розділ ВГБ: глибина тестування [DePTh (ATEDPT)] включає наступні вимоги гарантій безпеки:
архітектура [testing: high-level design (ALC_DPT.1)J;
функціональні специфікації [testing: low-level design(ALC_ DPT.2)];
реалізація [testing:implementationrepresentation(ALC_DPT.3)]. Розділ ВГБ: методика тестування [FUNctional tests (ATE_
FUN)] включає наступні вимоги гарантій безпеки:
функціональне тестування й протоколювання результатів тес тів [functional testing (ALC_FUN.l)];
тестування у відповідності з певною методикою [ordered functional testing (ALC_FUN.2)].
Розділ ВГБ: незалежне тестування [INDependent testing (ATE_IND)] включає наступні вимоги гарантій безпеки:
• готовність продукту до незалежного тестування [independent testing — conformance (ALC_IND.l)];
405
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
в ибіркове незалежне тестування [independent testing — sample
(ALCJND.2)];
повне незалежне тестування [independent testing — complete
(ALCJND.3)].
Аналіз захисту
Клас ВГБ: аналіз захисту [class AVA: Vulnerability Assessment] включає наступні розділи ВГБ:
аналіз прихованих каналів;
аналіз можливостей неправильного використання засобів за хисту;
аналіз стійкості засобів захисту;
аналіз продукту на наявність уразливостей.
Розділ ВГБ: аналіз прихованих каналів [Covert Channel Analysis (AVA_CCA)] включає наступні вимоги гарантій безпеки:
пошук і документування прихованих каналів [covert channel analysis (AVA_CCA.l)];
пошук прихованих каналів на основі певних методик [systematic covert channel analysis (AVA_CCA.2)];
вичерпний пошук прихованих каналів [exhaustive covert channel analysis (AVA_CCA.3)].
Розділ ВГБ: аналіз можливостей неправильного використання засобів захисту [MiSUse (AVA_MSU)] включає наступні вимоги гарантій безпеки:
аналіз керівництв з адміністрування [examination of guidance (AVA_MSU.l)];
підтвердження повноти керівництв з адміністрування та безпеки їхнього застосування [validation of analysis (AVA_ MSU.2)];
незалежний аналіз можливостей неправильного використан ня засобів захисту [analysis and testing for insecure states (AVA_ MSU.3)].
Розділ ВГБ: аналіз стійкості засобів захисту [Strength Of TOE security Functions (AVA_SOF)] включає вимогу гарантій без-
406
Розділ 8. Критерії безпеки інформаційних технологій
п еки — оцінка стійкості засобів захисту [strength of TOE security function evaluation (AVA_SOF.l)].
Розділ ВГБ: аналіз продукту на наявність уразливостей
[VuLnerability Analysis (AVA_VLA)] включає наступні вимоги гарантій безпеки:
виявлення уразливостей розробником продукту [developer vulnerability analysis (AVAJVLA.l)];
незалежний аналіз уразливостей [independent vulnerability analysis (AVA_VLA.2)];
систематичний незалежний аналіз уразливостей на основі заданих методик [(AVA_VLA.3)];
вичерпний аналіз уразливостей [moderately resistant (AVA_ VLA.4)].
8.4.3. Рівні гарантій безпеки
Визначення рівнів гарантій
Рівні гарантій [Evaluation Assurance Level (EAL)] — в «Загальних критеріях» — це сім стандартизованих наборів вимог гарантій безпеки, що регламентують застосування різноманітних методів і технологій розробки, тестування, контролю та верифікації ІТ-продукту:
функціональне тестування;
структурне тестування;
методичне тестування та перевірка;
методична розробка, тестування та аналіз;
напівформальні методи розробки та тестування;
напівформальні методи верифікації розробки та тестування;
формальні методи верифікації розробки та тестування. Колений з рівнів визначає ступінь відповідності ІТ-продукту
коленій вимозі гарантій (гарантії зростають від першого рівня до сьомого. Назви рівнів відображають можливості засобів контролю і верифікації, що застосовуються в ході розробки та аналізу ІТ-продукту (рис. 8.8).
407
4j
Функціональне тестування
Рівень функціонального тестування [EAL1 — functionally tested] — перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується використати його в тих ситуаціях, коли все, що необхідно — це незалежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — нумерація версій.
У класі ВГБ: дистрибуція в розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — нефор мальні специфікації для засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — нефор мальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
у розділі ВГБ: керівництво користувача — використання за собів захисту.
У класі ВГБ: тестування в розділі ВГБ: незалежне тестування — готовність продукту до незалежного тестування.
Аналіз ІТ-продукту на відповідність даному рівню гарантій забезпечується дослідженням функцій захисту та перевіркою функціональних специфікацій, інтерфейсів та документації.
Результати аналізу підтверджуються незалежним тестуванням засобів захисту ІТ-продукту на відповідність специфікаціям і документації.
Сертифікація ІТ-продукту на даний рівень гарантій є підтвердженням відповідності властивостей ІТ-продукту його документації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.
409
Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОПОГІЙ
С труктурне тестування
Рівень структурного тестування [EAL2 — structurally tested] — другий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі згодні задовольнитися низьким або помірним ступенем незалежного підтвердження гарантій рівня безпеки, який необхідно забезпечити. Особливо рекомендують застосування даного рівня для успадкованих систем, які вже знаходяться в експлуатації.
Другий рівень гарантій відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: управління проектом у розділі ВГБ: керування версіями — ідентифікація компонентів.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — регламентована процедура постав ки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — нефор мальні специфікації засобів захисту;
у розділі ВГБ: архітектура захисту — опис архітектури захис ту;
у розділі ВГБ: відповідність описів різного рівня — нефор мальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
у розділі ВГБ: керівництво користувача — використання за собів захисту.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: методика тестування — функціональне тесту вання й протоколювання результатів тестів;
410
Розділ 8. Критерії безпеки інформаційних технологій
• у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класу ВГБ: оцінка захисту:
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій кості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту. Розробка продукту відповідно до вимог даного рівня не
вимагає від виробника ніяких додаткових витрат, порівняно з розробкою звичайних комерційних або промислових продуктів, окрім надання результатів тестування.
Для другого рівня аналіз повинен проводитися не тільки по відношенню функціональних специфікацій, інтерфейсів та документації, але й для архітектури захисту ІТ-продукту.
Крім незалежного тестування засобів захисту ІТ-продукту результати аналізу підтверджуються протоколами тестування функціональних специфікацій, наданих розробником, а також незалежним вибірковим контролем результатів цих випробувань та глибини проведеного тестування, і незалежним підтвердженням пошуку розробником явних уразливостей. Крім того, для цього рівня необхідна наявність документованого складу конфігурації продукту та доказ безпеки процедури поставки.
Даний рівень розширює вимоги попереднього за рахунок включення в матеріали, що підтверджують аналіз результатів тестів, проведених розробником ІТ-продукту, необхідністю здійснення аналізу уразливостей та незалежного тестування з використанням більш детальних специфікацій.
Методичне тестування та перевірка
Рівень методичного тестування та перевірки [EAL3 — methodically tested and checked] — третій рівень гарантій, призначений для використання при обставинах, коли розробникам або користувачам потрібна помірна ступінь незалежного підтвердження властивостей ІТ-продукту, а також повне і послі-
411
ЧастинаіІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
д овне дослідження властивостей продукту і контроль в процесі створення, але без проведення дорогого зворотного проектування [reengineering].
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: управління проектом:
у розділі ВГБ: управління версіями — контроль цілісності версій;
у розділі ВГБ: конфігурація проекту — основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація).
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — регламентована процедура по ставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — нефор мальні специфікації засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність архітекту ри захисту політиці безпеки;
у розділі ВГБ: відповідність описів різного рівня — нефор мальне підтвердження відповідності.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
у розділі ВГБ: керівництво користувача — використання за собів захисту.
У класі ВГБ: процес розробки в розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки. У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — аналіз повноти тесту вання;
у розділі ВГБ: глибина тестування — архітектура;
у розділі ВГБ: методика тестування — функціональне тесту вання й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
412
Розділ 8. Критерії безпеки інформаційнихтехнологій
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз можливостей неправильного вико ристання засобів захисту — аналіз керівництв з адміністру вання;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій кості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — виявлення уразливостей розробником продукту.
Цей рівень дозволяє одержати максимальну ступінь гарантій, яка не потребує ніяких змін у звичайну процедуру розробки, оскільки всі регламентовані ним заходи, спрямовані на забезпечення гарантій, застосовуються на етапі проектування.
Для цього рівня проводяться ті ж види аналізу, що і для другого рівня, але на доповнення до матеріалів тестування специфікацій функцій захисту від розробника вимагається надання результатів архітектури захисту ІТ-продукту. Вимоги до процесу створення продукту доповнюються використанням засобів управління конфігурацією проекту.
Рівень розширює вимоги попереднього за рахунок більш повного тестування функцій захисту та засобів їхньої реалізації, а також застосуванням заходів, які дають упевненість у тому, що ІТ-продукт не був підмінений в процесі розробки.
Методична розробка, тестування та аналіз
Рівень методичної розробки, тестування та аналізу
[EAL4 — methodically designed, tested and reviewed] — четвертий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі вимагають помірного або високого ступеню незалежного підтвердження гарантій захисту ІТ-продукту і готові нести певні додаткові витрати.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: управління проектом: • у розділі ВГБ: засоби управління проектом — застосування
автоматизованих засобів управління проектом;
413
ЧастинаІІ.ОСНОВИ БЕЗПЕКИ ШФОРМАЦІЙНИХТЕХНОЛОГІЙ
■ у розділі ВГБ: управління версіями — авторизація розробни ків при поновленні версій;
1 у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту виявлених помилок і уразливостей. У класі ВГБ: дистрибуція:
• у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
■ у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
• у розділі ВГБ: загальні функціональні специфікації — нефор мальні специфікації для усіх інтерфейсів засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність архітектури захисту політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — опис реалізації обмеженої підмножини засобів захисту; у розділі ВГБ: часткові специфікації засобів захисту — неформальні часткові специфікації засобів захисту; у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності;
у розділі ВГБ: політика безпеки —• неформальний опис політики безпеки. У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки у ході розробки;
у розділі ВГБ: технологія розробки — визначена розробником технологія розробки;
у розділі ВГБ: засоби розробки — використання певного набору засобів розробки. У класі ВГБ: тестування:
414
Розділ 8. Критерії безпеки інформаційних технологій
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: глибина тестування — архітектура;
у розділі ВГБ: методика тестування — функціональне тесту вання й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз можливостей неправильного вико ристання засобів захисту — підтвердження повноти керів ництв із адміністрування й безпеки їхнього застосування;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій кості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — незалежний аналіз уразливостей.
Цей рівень, незважаючи на достатньо сильні вимоги, не потребує від розробника спеціальних знань у галузі розробки захищених систем та застосування спеціальних методів і технологій, які відрізняються від загальноприйнятих. Це найвищий рівень гарантій, на який можна розраховувати без значних додаткових економічних витрат.
На відміну від попередніх рівнів для сертифікації продукції на четвертий рівень гарантій аналізу піддаються всі інтерфейси без виключення, усі часткові специфікації, а також деталі реалізації засобів захисту. Крім того повинна бути представлена неформальна політика безпеки.
Додатково до попереднього рівня результати аналізу піддаються незалежним дослідженням уразливостей засобів захисту, які демонструють стійкість системи проти слабких атак. Вимоги до процесу створення продукту розширюються додатковими вимогами застосування автоматизованих засобів керування конфігурацією.
Даний рівень відрізняється від попереднього посиленням вимог до процесу проектування та розробки, а також підсиленням заходів, які гарантують, що ІТ-продукт не був підміненим у процесі створення.
415
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Н апівформальні методи розробки та тестування
Рівень напівформальних методів розробки та тестування
[EAL5 — semiformally verified design and tested] — п'ятий рівень гарантій, призначений для використання в тих випадках, коли розробники або користувачі вимагають високого ступеню незалежного підтвердження гарантій засобів захисту, а також строгого застосування певних технологій розробки ІТ-продукту, але без надмірних витрат.
Відповідає наступним вимогам гарантій безпеки.
У класі БГБ: управління проектом:
у розділі ВГБ: засоби управління проектом — застосування автоматизованих засобів управління проектом;
у розділі ВГБ: управління версіями — авторизація розробни ків при поновленні версій;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — напів формальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — напівформальний опис архітектури захисту;
у розділі ВГБ: форма надання продукту на сертифікацію — повний опис реалізації усіх засобів захисту;
у розділі ВГБ: структура засобів захисту — модульність;
у розділі ВГБ: часткові специфікації засобів захисту — не формальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — напівфор- мальне підтвердження відповідності;
у розділі ВГБ: політика безпеки — формальна модель політи ки безпеки.
416
Розділ 8. Критерії безпеки інформаційних технологій
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
у розділі ВГБ: керівництво користувача — використання за собів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки;
у розділі ВГБ технологія розробки — стандартизована техно логія розробки;
у розділі ВГБ: засоби розробки — використання основних за собів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — обґрунтування повноти тестування;
у розділі ВГБ: глибина тестування — функціональні специфі кації;
у розділі ВГБ: методика тестування — функціональне тесту вання й протоколювання результатів тестів;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз схованих каналів — пошук і документу вання схованих каналів;
у розділі ВГБ: аналіз можливостей неправильного вико ристання засобів захисту — підтвердження повноти керів ництв із адміністрування й безпеки їхнього застосування;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій кості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — систематичний аналіз уразливостей на основі заданих ме тодик.
Цей рівень вимагає від розробника застосування певних технологій та методів розробки, проте, їхнє використання може обмежуватися проектуванням та реалізацією засобів захисту.
417
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
Н а відміну від попередніх рівнів аналізу піддаються всі засоби захисту без виключення. Крім того, необхідна наявність формальної моделі політики безпеки та напівформальне представлення функціональних специфікацій та архітектури захисту, а також напів-формальна демонстрація їхньої взаємної відповідності. Архітектура ІТ-продукту повинна відповідати вимогам модульності.
Додатково до попередніх рівнів для підтвердження результатів аналізу необхідне тестування розробником часткових специфікацій, а аналіз уразливостей повинен демонструвати стійкість проти атак помірної сили, крім того, необхідна незалежна перевірка проведеного розробником аналізу схованих каналів.
Вимоги до процесу розробки доповнюються необхідністю розширення складу конфігурації продукту, керованої за допомогою автоматичних засобів.
Таким чином, цей рівень посилює вимоги попереднього в частині напівформального опису процесу проектування та реалізації, більш структурованої архітектури захисту, більш ретельного аналізу схованих каналів, більш повного контролю в процесі розробки.
Напівформольні методи верифікації розробки та тестування
Рівень напівформальних методів верифікації розробки та тестування [EAL6 — semiformally verified design andtested] — шостий рівень гарантій, призначений для використання в ситуаціях із високим ступенем ризику, де цінність інформації, що захищається, виправдовує високі додаткові витрати.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: управління проектом:
у розділі ВГБ: засоби управління проектом — повна автома тизація управління проектом і контролю версій;
у розділі ВГБ: управління версіями — контроль цілісності й автентичності дистрибутиву системи;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
418
Розділ 8. Критерії безпеки інформаційних технологій
У класі ВГБ: дистрибуція:
• у розділі ВГБ: поставка — виявлення спотворень у процесі поставки;
. у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску. У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — напів- формальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — відповідність напівфор- мального опису архітектури захисту політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — стру-ктурований опис реалізації усіх засобів захисту;
у розділі структура засобів захисту — ієрархічність;
у розділі ВГБ: часткові специфікації засобів захисту — напів- фор-мальні часткові специфікації засобів захисту;
у розділі ВГБ: відповідність описів різного рівня — напівфор- мальний доказ відповідності;
у розділі ВГБ: політика безпеки —формальна модель політики безпеки.
У класі ВГБ: документація:
у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
у розділі ВГБ: керівництво користувача — використання за собів захисту.
У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки —підтвердження заходів безпеки в ході розробки;
у розділі ВГБ: технологія розробки — стандартизована техно логія розробки;
у розділі ВГБ: засоби розробки — використання тільки за собів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
у розділі ВГБ: повнота тестування — строгий аналіз повноти тестування;
у розділі ВГБ: глибина тестування — функціональні специфі кації;
419
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
у розділі ВГБ: методика тестування — тестування у відповід ності з певною методикою;
у розділі ВГБ: незалежне тестування — вибіркове незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз схованих каналів — пошук схованих ка налів на основі певних методів;
у розділі ВГБ: аналіз можливостей неправильного вико ристання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту;
у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій кості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.
Даний рівень вимагає строгого та послідовного застосування певних методів проектування та розробки, які дозволяють забезпечувати гарантії захисту при експлуатації в умовах підвищеного ризику.
Вимоги цього рівня доповнюють попередні необхідністю структурного опису реалізації продукту та напівформального подання часткових специфікацій, а також вимогою багаторівневої архітектури.
Для підтвердження результатів аналізу крім заході, передбачених п'ятим рівнем, аналіз уразливостей повинен демонструвати стійкість системи проти сильних атак, а повинні бути одержані незалежні підтвердження проведення розробником систематичного пошуку схованих каналів.
Вимоги до процесу розробки розширюються необхідністю стру-ктурування цього процесу та повної автоматизації керування конфігурацією проекту.
Рівень розширює вимоги попереднього застосуванням більш глибокого аналізу, структуризацією представлення ІТ-продукту, багаторівневою архітектурою, посиленням аналізу уразливостей, застосуванням систематичного пошуку схованих каналів, а також удосконаленням керування конфігурацією та середовища розробки.
420
Розділе. Критерії безпеки інформаційних технологій
ф ормальні методи верифікації розробки та тестування
Рівень формальних методів верифікації розробки та тестування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із виключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витрати. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби захисту, і які легко піддаються формальному аналізу.
Сьомий рівень гарантій відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: управління проектом:
у розділі ВГБ: засоби управління проектом — повна автома тизація управління проектом і контролю версій;
у розділі ВГБ: управління версіями — контроль цілісності й автентичності дистрибутива системи;
у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки.
У класі ВГБ: дистрибуція:
у розділі ВГБ: поставка — захист від спотворень у процесі поставки;
у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
у розділі ВГБ: загальні функціональні специфікації — фор мальні специфікації для засобів захисту;
у розділі ВГБ: архітектура захисту — формальний опис архі тектури захисту й доказ її відповідності політиці безпеки;
у розділі ВГБ: форма надання продукту на сертифікацію — структурований опис реалізації усіх засобів захисту;
у розділі ВГБ: структура засобів захисту — мінімізація склад ності;
у розділі ВГБ: часткові специфікації засобів захисту — напів- фор-мальні часткові специфікації засобів захисту;
421
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
• у розділі ВГБ: відповідність описів різного рівня — формаль ний доказ відповідності;
1 у розділі ВГБ: політика безпеки — формальна модель політики безпеки. У класі ВГБ: документація:
• у розділі ВГБ: керівництво адміністратора — адмініструван ня засобів захисту;
1 у розділі ВГБ: керівництво користувача — використання засобів захисту. У класі ВГБ: процес розробки:
у розділі ВГБ: безпека середовища розробки — підтверджен ня заходів безпеки в ході розробки;
у розділі ВГБ: технологія розробки — технологія розробки, яка дозволяє оцінювати продукт, що розроблюється;
у розділі ВГБ: засоби розробки — використання тільки за собів розробки, що відповідають певним стандартам.
У класі ВГБ: тестування:
1 у розділі повнота тестування — строгий аналіз повноти тестування;
■ у розділі ВГБ: глибина тестування — реалізація;
• у розділі ВГБ: методика тестування — тестування у відповід ності з певною методикою;
у розділі ВГБ: незалежне тестування — повне незалежне тестування.
У класі ВГБ: оцінка захисту:
у розділі ВГБ: аналіз схованих каналів — пошук схованих каналів на основі певних методів;
у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту; у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;
у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.
422
Розділ 8. Критерії безпеки інформаційних технологій
Н а відміну від попередніх рівнів необхідне формальне подання функціональних специфікацій та архітектури захисту, а також формальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й простою та зрозумілою.
Додатково до попередніх рівнів результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунтованим незалежним підтвердженням усіх результатів проведених розробником випробувань.
Таким чином, цей рівень підсилює вимоги попереднього за рахунок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тестування.
8.5. ШЛЯХИ І ПЕРСПЕКТИВИ ЗАСТОСУВАННЯ ЗАГАЛЬНИХ КРИТЕРІЇВ
Загальні критерії розроблені в розрахунку на три групи спеціалістів: виробників і розробників, рядових споживачів (масових користувачів), а також експертів кваліфікаційного аналізу захищених систем.
Споживачі можуть розглядати декларування рівня безпеки ІТ-продукту як метод визначення відповідності ІТ-продукту до своїх запитів. Ці запити складаються на основі результаті проведення аналізу ризику і вибраної політики безпеки. Загальні критерії відіграють суттєву роль в процесі формування запитів споживачів, так як містять механізми, що дозволяють сформувати ці запити у вигляді набору стандартизованих вимог (функціональності і адекватності). Це дозволяє споживачам прийняти обґрунтоване рішення про варіанти використання тих чи інших ІТ-продуктів. Крім того, Загальні критерії представляють споживачам механізм профілів і проектів захисту, за допомогою яких вони можуть сформулювати специфічні для них вимоги, не турбуючись про механізми їх реалізації.
423
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
В иробники (розробники) можуть використовувати рекомендації Загальних критеріїв в ході проектування ІТ-продуктів, а також при підготовці до кваліфікаційного аналізу і сертифікації Цей документ надає їм можливість на основі запитів споживачів визначити набір вимог, яким повинен задовольняти ІТ-продукт, що розроблюється. Загальні критерії пропонують виробникам спеціальний механізм проекту захисту. Він доповнює профіль захисту і дозволяє з'єднати опис механізмів реалізації засобів захисту і вимог, на які орієнтувався розробник.
Експерти кваліфікаційного аналізу можуть використати положення цього документу як критерії для визначення відповідності між ІТ-продуктом і пред'явленими до нього вимогами. Стандарт «Загальних критеріїв» описує тільки загальну схему проведення кваліфікаційного аналізу і сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу і сертифікації присвячений окремий документ авторів Загальних критеріїв — Загальна методологія оцінки безпеки інформаційних технологій [82], який є додатком до стандарту.
Враховуючи перспективність та міжнародний характер Загальних критеріїв, доцільно використати їхні основні положення та конструкції при розробці нормативних документів, методичного та інструментального забезпечення оцінки безпеки продуктів та систем інформаційних технологій. Зокрема, пропонується розробка комплексу нормативних документів системи технічного захисту:
Безпека інформаційних технологій. Терміни та визначення;
Концепція оцінки безпеки інформаційних технологій;
Загальні критерії безпеки інформаційних. Функціональні ви моги та вимоги гарантій безпеки;
Профіль захисту. Керівництво з розробки та реєстрації;
Завдання з безпеки. Керівництво з розробки та оформлення;
Керівництво з проектування та експлуатації автоматизованих систем, які відповідають вимогам інформаційної безпеки;
Керівництво з сертифікації продуктів і систем інформаційних технологій з вимог безпеки і т.ін.
424
Розділ 8. Критерії безпеки інформаційних технологій
Д о прийняття Загальних критеріїв як міжнародних стандартів та прийняття відповідних державних стандартів доцільно при формуванні вимог та оцінки безпеки продуктів і систем інформаційних технологій керуватися не тільки вимогами діючих нормативних документів, але й додаткових вимог, сформованих на основі Загальних критеріїв з урахуванням специфіки конкретного об'єкта оцінки.
Доцільно також на основі матеріалів Загальних критеріїв вести розробку профілів захисту і вимог технічного завдання із забезпечення безпеки для нових типів продуктів (систем) і нових інформаційних технологій.
■ЯІМІІІН
9
Основи управління інформаційною безпекою
9.1. СТАНДАРТИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЇХ ОСНОВНІ ПОЛОЖЕННЯ
Інформаційна безпека представляє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку [44, 29, 54].
Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 р. цей стандарт був признаний міжнародним під назвою «International Standard ISO/IEC 17799. Information technology — Code of practice for information security management».
Стандарт ISO/IEC 17799 [84] — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику тощо в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям
426
Розділ 9. Основи управління інформаційною безпекою
в ирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.
Структура стандарту дозволяє вибрати ті засоби управління, які стосуються конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 9.1):
політика безпеки [security policy];
організація захисту [organizational security];
класифікація ресурсів та контроль [asset classification and control];
безпека персоналу [personnel security];
фізична безпека та безпека навколишнього середовища [physical and environmental security];
адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];
керування доступом до системи [system access control];
розробка та супроводження інформаційних систем [system development and maintenance];
планування безперервної роботи організації [business continuing planning];
; • виконання вимог (відповідність законодавству) [compliance]. У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:
політика з інформаційної безпеки;
розподіл відповідальності за інформаційну безпеку;
освіта та тренінг з інформаційної безпеки;
звітність за інциденти з безпеки;
захист від вірусів;
забезпечення безперервності роботи;
контроль копіювання ліцензованого програмного забезпе чення;
захист архівної документації організації;
захист персональних даних;
реалізація політики з інформаційної безпеки.
427
Я к^идно, поряд з елементами управління для комп'ютерів та компртерних мереж стандарт велику увагу приділяє питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам.
Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке «меню», з якого слід вибрати елементи, які можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.
Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:
конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;
цілісність [integrity] — захищеність інформації від несанк ціонованої зміни, забезпечення її точності та повноти;
доступності [availability] — можливість використання інфор мації, коли в цьому виникає необхідність, працездатність сис теми.
Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях з точки зору матеріальних втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання:
Що може загрожувати інформаційним ресурсам?
Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?
Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?
Наскільки часто слід очікувати подібні випадки?
Для одержання сертифіката система менеджменту інформаційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менедж-
429
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
м енту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.
Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, визнається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності. До таких галузей належать: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торговельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т.ін.
На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.
9.2. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ
9.2.1. Визначення політики інформаційної безпеки організації
Необхідність у політиці безпеки на сьогоднішній день є очевидним фактом для будь-якого навіть достатньо невеликого підприємства. Політика безпеки в цілому — це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.
Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інформації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що
430
Розділ 9. Основи управління інформаційною безпекою
п озитивно впливає на якість керування бізнесом у цілому, і, як наслідок покращує його прибутковість і ефективність.
Політику з інформаційної безпеки організації можна визначити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки організації, вироблених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформаційної безпеки.
Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформаційній безпеці організації. Управління об'єктом відповідно до заданої політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністратором) системи забезпечення інформаційної безпеки організації.
Система забезпечення інформаційної безпеки організації (СЗІБ) являє собою сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на протидію завданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або оператору зв'язку організації. Адміністратором (керівним органом системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалізацію політики забезпечення інформаційної безпеки організації.
Під час розробки політики безпеки повинні бути враховані технологія зберігання, оброблення та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних засобів, фізичного середовища та інші чинники. В організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.
Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації. Політика безпеки
431
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
п овинна стосуватись: інформації (рівня критичності ресурсів організації), взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій заїхисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні).
Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої Модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).
Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апаратні і програмні) заходи і визначати правила та порядок застосування у організації кожного з цих видів.
Політика безпеки повинна базуватися на наступних основних принципах:
системності;
комплексності;
неперервності захисту;
достатності механізмів і заходів захисту та їхньої адекват ності загрозам;
гнучкості керування системою захисту, простоти і зручності її використання;
відкритості алгоритмів і механізмів захисту, якщо інше не пе редбачено окремо.
Політика безпеки повинна доказово давати гарантії того, що:
в організації (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекват ність рівня захисту інформації рівню її критичності;
реалізація заходів захисту інформації є рентабельною;
в будь-якому середовищі функціонування організації забез печується оцінюваність і перевіряємість захищеності інфор мації;
забезпечується персоніфікація положень політики безпеки (стосовно суб'єктів організації), звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких
432
Розділ 9. Основи управління інформаційною безпекою
здійснюється доступ в процесі функціонування інформацій-ноі\системи;
персрнал і користувачі забезпечені достатньо повним комп лектом документації стосовно порядку забезпечення захисту інформації;
всі критичні з точки зору безпеки інформації технології (функції) організації мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непе редбачених ситуацій;
враховані вимоги всіх документів, які регламентують поря док захисту інформації у організації, та забезпечується їхнє суворе дотримання.
Політика безпеки розробляється на підготовчому етапі створення СЗІБ організації.
Методологія розроблення політики безпеки організації включає в себе наступні роботи:
розробка концепції безпеки інформації у організації;
аналіз ризиків;
визначення вимог до заходів, методів та засобів захисту;
вибір основних рішень з забезпечення безпеки інформації;
організація виконання відновлювальних робіт і забезпечен ня неперервного функціонування організації;
документальне оформлення політики безпеки.
9.2.2. Концепція інформаційної безпеки в організації
Концепція інформаційної безпеки в організації викладає систему поглядів, основних принципів, розкриває основні напрями забезпечення безпеки інформації. Розроблення концепції здійснюється після розгляду повної структури організації і виконується на підставі аналізу наступних чинників:
правових і (або) договірних засад;
вимог до забезпечення безпеки інформації згідно з завдання ми і функціями організації;
загроз, які впливають на ресурси організації, що підлягають захисту.
433
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ
З а результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію зберігання, оброблення та передавання інформації у організації:
мета та пріоритети, яких необхідно дотримуватись у організа ції під час забезпечення інформаційної безпеки;
загальні напрями діяльності, необхідні для досягнення цієї мети;
аспекти діяльності у галузі безпеки інформації.які повинні ви рішуватися на рівні організації в цілому;
відповідальність посадових осіб та інших суб'єктів взаємовід носин у організації, їхні права і обов'язки щодо реалізації за вдань інформаційної безпеки.
9.2.3. Аналіз та оцінка ризиків
Аналіз ризиків передбачає вивчення моделі загроз для інформаційної сфери організації та моделі порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і формування на його підставі моделі захисту інформаціїу організації. Під час проведення аналізу ризиків необхідним є виконання наступних робіт.
Визначення компонентів і ресурсів організації, які необхідно враховувати при аналізі. Повинні бути визначені критичні з точки зору безпеки компоненти і ресурси організації, які можуть бути об'єктами атаки або самі є потенційним джерелом порушення безпеки інформації (об'єкти захисту). Для цього використовуються відомості, одержані в результаті обстеження середовищ функціонування організації.
Ідентифікація загроз з об'єктами захисту. Встановлюється відповідність моделі загроз і об'єктів захисту, тобто складається матриця загрози/компоненти (ресурси) організації. Кожному елементу матриці повинен бути зіставлений опис можливого впливу загрози на відповідний компонент або ресурс організації. У процесі упорядкування матриці може уточнюватися список загроз і об'єктів захисту, внаслідок чого коригуватись модель загроз.
434
Розділ 9. Основи управління інформаційною безпекою
О цінка ризиків. Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кожної загрози впродовж певного проміжку часу, тобто ймовірності її здійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрози рекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити за припущення, що кожна подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз неможливо одержати достатньо об'єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визначається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подібних систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо.
Оцінка може мати числове або смислове значення (наприклад, ймовірність реалізації загрози — незначна, низька, висока, неприпустимо висока).
У будь-якому випадку існуючий ризик не повинен перевищувати гранично допустимий для кожної загрози. Перевищення свідчить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків.
Оцінювання величини можливих збитків, пов'язаних з реалізацією загроз. Виконується кількісна або якісна оцінка збитків, що можуть бути нанесені організації (організації) внаслідок реалізації загроз. Доцільно, щоб ця оцінка складалась з величин очікуваних збитків від втрати інформацією кожної з властивостей (конфіденційності, цілісності або доступності) або від втрати керованості організації внаслідок реалізації загрози. Для одержання оцінки можуть бути використані такі ж методи, як і при аналізі ризиків. Величина можливих збитків визначається розміром фінансових втрат або, у разі неможливості визначення Цього, за якісною шкалою (наприклад, величина збитків — відсутня, низька, середня, висока, неприпустимо висока).
435
Частина И. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ