- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
5.4. Федеральные критерии безопасности информационных технологий
"Федеральные критерии безопасности информационных технологий" (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих "Американского федерального стандарта по обработке информации" (Federal Information Processing Standard), призванного заменить критерий TCSEC -"Оранжевую книгу". Разработчиками стандарта выступили Национальный институт стандартов и технологий США (National Institute Of Standards and Technology) и Агентство национальной безопасности США (National Security Agency). Данный обзор основан на версии 1.0 этого документа, опубликованной в декабре 1992 г. [18].
Этот документ разработан на основе результатов многочисленных исследований в области обеспечения безопасности информационных технологий 80-х-начала 90-х годов, а также на основе анализа опыта использования "Оранжевой книги". Документ представляет собой основу для разработки и сертификации компонентов информационных технологий с точки зрения обеспечения безопасности.
Основные положения
"Федеральные критерии безопасности информационных технологий" (далее "Федеральные критерии") охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, так как включают все аспекты обеспечения конфиденциальности, целостности и доступности.
Основными объектами применения требований безопасности "Федеральных критериев" являются продукты информационных технологий (Information Technology Products) и системы обработки информации (Information Technology Systems). Под продуктом информационных технологий (ПИТ) понимается совокупность аппаратных и программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Как правило, ПИТ эксплуатируется не автономно, а интегрируется в систему обработки информации, представляющую собой совокупность ПИТ, объединенных в функционально полный комплекс, предназначенный для решения прикладных задач (т.е. для реализации некоторой целевой функции компьютерной системы). В ряде случаев система обработки информации может состоять только из одного ПИТ, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности.
С точки зрения безопасности принципиальное различие между ПИТ и системой обработки информации определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет использован во многих системах обработки информации, и. следовательно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потребителей, что позволяет в полной мере учитывать специфику воздействий со стороны конкретной среды эксплуатации.
Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности ПИТ, т.е. механизмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специальных средств. Для повышения их эффективности могут дополнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как технические средства, так и организационные меры, правовые и юридические нормы. В конечном счете, безопасность ПИТ определяется совокупностью собственных средств обеспечения безопасности и внешних средств, являющихся частью компьютерной системы.
Ключевым понятием концепции информационной безопасности "Федеральных критериев" является понятие "профиля защиты" (Protection Profile). Профиль защиты - это нормативный документ, который регламентирует все аспекты безопасности ПИТ в виде требований к его проектированию, технологии разработки и сертификации. Как правило, один профиль защиты описывает несколько близких по структуре и назначению ПИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.
"Федеральные критерии" представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующих основных этапов:
Разработка и анализ профиля защиты. Требования, изложенные в| профиле защиты, определяют функциональные возможности ПИТ по.! обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кросне требований безопасности профиль содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования, анализа и сертификации ПИТ. Профиль безопасности анализируется на полноту, непротиворечивость и техническую корректность.
Разработка и сертификация ПИТ. Разработанные ПИТ подвергаются независимому анализу, целью которого является определение степени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.
Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие второй этап ПИТ интегрируются в систему обработки информации. Полученная в результате система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.
"Федеральные критерии" регламентируют только первый этап этой схемы - разработку и анализ профиля защиты, процесс создания ПИТ и компоновка систем обработки информации остаются вне рамок этого стандарта.
Профиль защиты
Как уже говорилось, профиль защиты является центральным понятием "федеральных критериев", большая часть содержания которых представляет собой описание разделов профиля защиты, включающее набор требований безопасности и их ранжирование. Рассмотрим назначение, структуру и этапы разработки профиля защиты.
Профиль защиты предназначен для определения и обоснования состава и содержания средств защиты, спецификации технологии разработки и регламентации процесса сертификации ПИТ. Профиль защиты состоит из следующих пяти разделов:
• описание;
• обоснование;
• функциональные требования к ПИТ;
• требования к технологии разработки ПИТ;
• требования к процессу сертификации ПИТ.
Описание профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. "Федеральные критерии" предлагают поддерживать такую картотеку на общегосударственном уровне. Это позволит любой организации воспользоваться созданными ранее профилями защиты непосредственно или использовать их в качестве прототипов для разработки новых. В описании профиля защиты должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью применения данного профиля.
Обоснование содержит описание среды эксплуатации, предполагаемых угроз безопасности и методов использования ПИТ. Кроме того, этот раздел содержит подробный перечень задач по обеспечению безопасности, решаемых с помощью данного профиля. Эта информация дает возможность определить, в какой мере данный профиль защиты пригоден для применения в той или иной ситуации. Предполагается, что данный раздел ориентирован на службы безопасности организаций, которые изучают возможность использования ПИТ, соответствующего данному профилю защиты.
Раздел функциональных требований к ПИТ содержит описание функциональных возможностей средств защиты ПИТ и определяет уело- -вия, в которых обеспечивается безопасность в виде перечня угроз, которым успешно противостоят предложенные средства защиты. Угрозы, лежащие вне этого диапазона, должны быть устранены с помощью дополнительных, не входящих в состав продукта, средств обеспечения безопасности. Очевидно, что чем сильнее и опаснее угрозы, тем более мощными и стойкими должны быть средства, реализующие функции защиты.
Раздел требований к технологии разработки ПИТ охватывает все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования как к самому процессу разработки, так и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию этого процесса. Выполнение требований этого раздела является непременным условием для проведения сертификации ПИТ.
Раздел требований к процессу сертификации ПИТ регламентирует порядок сертификации в виде типовой методики тестирования и анализа. Объем и глубина требуемых исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой технологии эксплуатации.
"Федеральные критерии" содержат подробное описание всех трех разделов профиля защиты, включающее набор требований и их ранжирование для каждого раздела. В данном обзоре основное внимание уделено функциональным требованиям, так как этот вопрос проработан в "Федеральных критериях" значительно глубже, чем в предшествующих стандартах.
Разработка профиля защиты осуществляется в три этапа: анализ среды применения ПИТ с точки зрения безопасности, выбор профиля-прототипа и синтез требований.
На первом этапе проводится анализ информации о среде предполагаемого применения ПИТ, действующих в этой среде угрозах безопасности и используемых этими угрозами недостатках защиты. Анализ проводится с учетом технологии использования продукта, а также существующих стандартов и нормативов, регламентирующих его эксплуатацию.
Второй этап состоит в поиске профиля, который может быть использован в качестве прототипа. Как уже говорилось, "Федеральные критерии" предусматривают создание специальной, доступной для разработчиков ПИТ, картотеки, в которую должны быть помещены все разработанные когда-либо профили защиты. Это позволит минимизировать затраты на создание профилей и учесть опыт предыдущих разработок.
Этап синтеза требований включает выбор наиболее существенных для условий функционирования продукта функций защиты и их ранжирование по степени важности с точки зрения обеспечения качества защиты. Выбор специфичных для среды требований безопасности должен быть основан на их эффективности для решения задачи противодействия угрозам. Разработчик профиля должен показать, что выполнение выдвинутых требований ведет к обеспечению требуемого уровня безопасности посредством успешного противостояния заданному множеству угроз и устранения недостатков защиты.
При разработке профиля защиты необходимо анализировать связи и взаимозависимости, существующие между функциональными требованиями и требованиями к процессу разработки, а также между отдельными требованиями внутри этих разделов. По завершению разработки Профиль защиты подвергается проверке, целью которой является подтверждение его полноты, корректности, непротиворечивости и реализуемости.