- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
Показатели защищенности средств вычислительной техники от нсд.
В ч. 2 руководящих документов ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Показатели защищенности содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры компьютера). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).
По аналогии с критерием TCSEC, который будет рассмотрен далее, установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Показатели защищенности и требования к классам приведены в табл. 5.1.
Таблица 5.1
|
Показатель защищенности
|
Класс защищенности
| |||||
|
6
|
5
|
4
|
3
|
2
|
1
| |
|
Дискреционный принцип контроля доступа
|
+
|
+
|
+
|
=
|
+
|
=
|
|
Мандатный принцип контроля доступа
|
-
|
-
|
+
|
=
|
=
|
=
|
|
Очистка памяти
|
-
|
+
|
+
|
+
|
=
|
=
|
|
Изоляция модулей
|
-
|
-
|
+
|
=
|
+
|
=
|
|
Маркировка документов
|
-
|
-
|
+
|
=
|
=
|
=
|
|
Защита ввода и вывода на отчужденный физический носитель информации
|
-
|
-
|
+
|
=
|
=
|
=
|
|
Сопоставление пользователя с устройством
|
-
|
-
|
+
|
=
|
=
|
=
|
|
Идентификация и аутентификация
|
+
|
=
|
+
|
=
|
=
|
=
|
|
Гарантии проектирования
|
-
|
+
|
+
|
+
|
+
|
+
|
|
Регистрация
|
-
|
+
|
+
|
+
|
=
|
=
|
|
Взаимодействие пользователя с КСЗ
|
-
|
-
|
-
|
+
|
=
|
=
|
|
Надежное восстановление
|
-
|
-
|
-
|
+
|
=
|
=
|
|
Целостность КСЗ
|
-
|
+
|
+
|
+
|
=
|
=
|
|
Контроль модификации
|
-
|
-
|
-
|
-
|
+
|
=
|
|
Контроль дистрибуции
|
-
|
-
|
-
|
-
|
+
|
=
|
|
Гарантии архитектуры
|
-
|
-
|
-
|
-
|
-
|
+
|
|
Тестирование
|
+
|
+
|
+
|
+
|
+
|
=
|
|
Руководство пользователя
|
+
|
=
|
=
|
=
|
=
|
=
|
|
Руководство по КСЗ
|
+
|
+
|
=
|
+
|
+ |
=
|
|
Текстовая документация
|
+
|
+
|
+
|
+
|
+
|
=
|
|
Конструкторская (проектная) документация
|
+
|
+
|
+
|
+
|
+
|
+
|
|
Примечания. "-"- нет требований к данному классу;"+"- новые или дополнительные требования; "="- требования совпадают с требованиями к СВТ предыдущего класса.
| ||||||
Важно отметить, что требования являются классическим примером применения необходимых условий оценки качества защиты, т.е. если какой-либо механизм присутствует, то это является основанием для отнесения СВТ к некоторому классу.
Интересно, что защищенные СВТ содержат разделение только по двум классам политик безопасности: дискреционной и мандатной.
Невлияние субъектов друг на друга описывается требованием "изоляция модулей" (требуется с 4-го класса). Гарантии выполнения политики безопасности коррелированы с требованием "целостность КСЗ" (требуется с 5-го класса) и класса "гарантии проектирования" (требуется также с 5-го класса).
Классы защищенности АС.
В ч.З руководящих документов ГТК дается классификация АС и требований по защите информации в АС различных Классов. При этом определяются:
1. Основные этапы классификации АС:
разработка и анализ исходных данных;
выявление основных признаков АС, необходимых для классификации;
сравнение выявленных признаков АС с классифицируемыми;
присвоение АС соответствующего класса защиты информации от НСД.
2. Необходимые исходные данные для классификации конкретной АС:
перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
перечень лиц, имеющих доступ к штатным средствам АС с указанием их уровня полномочий;
матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
режим обработки данных в АС.
3. Признаки, по которым производится группировка АС в различные классы:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС: коллективный или индивидуальный.
Документы ГТК устанавливают девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты. В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы,
Таблица 5.2
|
Подсистемы защиты и
|
Классы защищенности
| ||||||||
|
требования к ним
|
ЗБ
|
ЗА
|
2Б
|
2А
|
1Д
|
1Г
|
1В
|
15
|
1А
|
|
1. Подсистема управления доступом
|
•f
г •'
+
|
+
4- +
|
|
|
|
|
|
|
|
|
| |||||||||
|
Идентификация. Проверка подлинности и контрольдоступа субъектов: в систему к терминалам, ЭВМ, узлам сети ЭВМ. каналам связи, внешним устройствам ЭВМ к программам к томам, каталогам, файлам, записям, полям записей
|
+ |
+ |
+ |
+ +
+ |
+ |
+ +
+ |
+ +
+
|
+ +
+ |
+ +
+ |
|
1.2. Управление потоками информации
|
|
|
|
+
|
|
|
+
|
+
|
+ |
|
| |||||||||
|
2. Подсистема регистрации и учета
|
|
|
|
|
|
|
|
|
|
|
| |||||||||
|
2.1. Регистрация и учет: входа/выхода субъектов до-стула в/из системы (узла сети) выдачи печатных (графиче- ских) выходных документов запуска/завершения программ и процессов (заданий, задач) доступа программ субъектов к защищаемым файлам, вклю- чая их создание и удаление, передачу по линиям и каналам связи доступа программ субъек- тов, доступа к терминалам, ЭВМ, узлам сети ЭВМ. ка- налам связи, внешним уст- ройствам ЭВМ, рограммам, каталогам, файлам, запи- сям, полям записей изменения полномочий су- бъектов доступа создаваемых защищаемых объектов доступа
|
+ |
+
+
|
+
|
+
+
+
+
+
+ |
+
|
+
+
+
+
+ |
+
+
+
+
+ |
+
+
+
+
+ |
+
+
+
+
+ |
|
|
|
+
+
|
+
+
|
+
+
| |||||
|
| |||||||||
|
2.2. Учет носителей информации
|
+
|
+
+
|
+
|
+
+
|
+
|
+
+
|
+
+
+
|
+
+
+
|
+
+
+
|
|
2.3. Очистка (обнуление, Обезличивание) освобож- даемых областей оператив- ной памяти ЭВМ и внешних накопителей
| |||||||||
|
2.4. Сигнализация попыток Нарушения защиты
| |||||||||
|
Подсистемы защиты и требования к ним
|
Классы защищенности |
| ||||||||
|
ЗБ
|
ЗА
|
2Б
|
2А
|
1Д
|
1Г
|
1В
|
1Б
|
1А
| |
|
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации 3.2. Шифрование информации, принадлежащей раз-яичным субъектам доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных (сертифицированных) криптографических средств
|
|
|
|
+
+ |
|
|
|
+
+
|
+
+
+
|
|
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации Физическая охрана средств вычислительной техники и носителей информации 4.3. Наличие администратора (службы) защиты информации в АС 4.4. Периодическое тестирование СЗИ НСД 4 5. Наличие средств восстановления СЗИ НСД 4.6. Использование сертифицированных средств защиты
|
|
|
|
|
|
|
|
|
|
|
+
|
+
|
+
|
+
|
+
|
+ |
+ |
+
+
|
+
| |
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
+ |
+ | |
|
|
|
|
+ |
|
|
+ |
+ |
+ | |
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
+ |
+ | |
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
+ |
+ | |
|
|
+ |
|
+ |
|
|
+ |
+ |
| |
|
Примечания: "+"-требование к данному классу присутствует, в остальных случаях данное требование необязательно.
| |||||||||
обозначается индексом NА, где N-номер группы (от 1 до 3). Следующий класс обозначается NБ и т.д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.
Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса-2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов-1Д, 1Г, 1В, 1Б и 1А.
В табл. 5.2 приведены требования к подсистемам защиты для каждого класса защищенности.
Рассмотренные выше документы ГТК необходимо воспринимать как первую стадию формирования отечественных стандартов в области информационной безопасности. На разработку этих документов наибольшее влияние оказал критерий TCSEC ("Оранжевая книга"), который будет рассмотрен ниже, однако это влияние в основном отражается в ориентированности этих документов на защищенные системы силовых структур и в использовании единой универсальной шкапы оценки степени защищенности.
К недостаткам руководящих документов ГТК относятся: ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие "политика безопасности" трактуется исключительно как поддержание режима секретности и отсутствие НСД [6]. Из-за этого средства защиты ориентируются только на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется четких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения. Несмотря на указанные недостатки, документы ГТК заполнили "правовой вакуум" в области стандартов информационной безопасности в России и оперативно решили проблему проектирования и оценки качества защищенных АС.