- •Москва – 2011
- •1. Методы защиты информации
- •2. Идентификация и установление подлинности объекта и субъекта
- •3. Криптографическое преобразование информации
- •4. Стеганографическое преобразование информации
- •5. Методы защиты информации от компьютерных вирусов
- •6. Защита информации от утечки за счет побочного электромагнитного излучения и наводок
- •7. Методы и средства защиты информации от случайных воздействий
- •8. Методы защиты информации от аварийных ситуаций
- •9. Организационные мероприятия по защите информации
- •10. Законодательные меры по защите информации
- •11. Анализ и оценка действующей концепции защиты
- •12. Выбор модели построения защиты
- •13. Исходные данные для постановки задачи
- •14. Общий методологический подход
- •15. Модель элементарной защиты
- •Заключение
12. Выбор модели построения защиты
Вспомним, что решение любой проблемы в науке и в повседневной жизни начинается с поиска уже готовых решений в похожих ситуациях. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и (или) интеллектуальная замкнутая преграда, преодоление которой в достаточной мере не по силам потенциальному нарушителю.
Принципиально важным моментом постановки задачи в общем виде, с позиций построения защиты, является выбор такой модели автоматизированной системы обработки информации, которая позволила бы ожидаемые результаты ее решения распространить на частные случаи построения любой автоматизированной системы: от автоматизированного рабочего места до глобальной АС независимо от аппаратной и программной платформ, на базе которых они построены.
В целях выработки общего подхода к решению этой задачи для всех видов АС можно рассмотреть их классификацию по видам, принципам построения, а также учесть схемы сетей.
Анализ принципов построения и классификации автоматизированных систем позволяет их условно разделить на два вида: с сосредоточенной и распределенной обработкой данных.
АС с сосредоточенной обработкой данных – такие системы, в которых информация обрабатывается в одном центре.
Системами с распределенной обработкой данных – такие системы, в которых обработка информации распределена по нескольким центрам – элементам этой системы, которые связаны между собой локальной сетью передачи данных или территориальной сетью обмена данными.
Таким образом, комплекс средств автоматизации с позиций безопасности информации можно рассматривать как некий базовый элемент вычислительной сети и АСУ.
Локальную вычислительную сеть можно представить как совокупность технических средств, объединенных линиями связи.
Изложенное позволяет с позиций проектирования защиты информации АС построить концептуальную модель защиты, которая может реализовать общий подход к разработке методов обеспечения безопасности информации сначала в АС с сосредоточенной обработкой данных, а затем развить и распространить его на АС с распределенной обработкой.
13. Исходные данные для постановки задачи
Согласно действующей концепции случайные и преднамеренные угрозы с позиций безопасности информации рассматриваются как один поток событий. Однако для защиты от преднамеренных угроз приводится модель нарушителя, являющегося законным пользователем. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами. Выделяются четыре уровня таких возможностей.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
Если понимать изложенное в РД Гостехкомиссии России буквально, то защиту от нарушителей 2-4-го уровней построить почти невозможно (защита от несанкционированной загрузки программного обеспечения (ПО) в АС в не предусмотрена). Возможно, здесь имела место редакционная ошибка и имелись в виду уровни квалификации и технического обеспечения нарушителей (но это не подтверждается). Кроме того, в РД не показана связь указанных уровней с классами "защищенности" средств вычислительной техники (СВТ) и АС, что делает назначение такой классификации непонятной.
Учитывая изложенное, можно предложить другой подход – разрабатываемый В.В.Мельниковым – в частности в монографии "Безопасность информации в автоматизированных системах".
Угрозы информации определяются условиями сохранения права собственности на нее. Это утечка, модификация и утрата информации. При этом под утечкой информации понимается несанкционированное ознакомление с ней постороннего лица; под модификацией – несанкционированное изменение информации на корректную по форме и содержанию, но другую по смыслу; под утратой – хищение, искажение с потерей смысла, уничтожение, недоведение информации до адресата или блокировка доступа к ней ее владельца и его доверенного лица.
Все остальные угрозы – это способы достижения целей, которые в конечном итоге сводятся к этим трем событиям. Эти события могут произойти случайно по причине ошибок пользователя, сбоев или отказов аппаратуры, алгоритмических или программных ошибок, аварийных ситуаций, стихийных бедствий и других или созданы нарушителем преднамеренно. Техника исполнения последних имеет множество вариантов.
Нарушителем может быть человек: посторонний; законный пользователь или из числа лиц обслуживающего персонала. Квалификация его также может быть различной. Он может обладать и не обладать определенным набором технических средств, работать в комфортных условиях или в условиях риска; быть пойманным; быть единственным или в составе организованной группы, имеющей доступ к компьютерной системе. Не следует впадать в другую крайность – считать всех, работающих с системой, потенциальными нарушителями. Круг доверенных лиц, очевидно, будет зависеть от важности обрабатываемой информации и выполняемых задач. В эти исходные данные тоже следует внести определенность. Такими лицами должны быть, по меньшей мере, системные администраторы, руководители работ и должностные лица службы безопасности.
Учитывая различную природу угроз, определим их точки приложения к проектируемой системе. Случайные воздействия возможны в любой точке системы, т.е. на всей ее "площади". Время их наступления определяется законами случайных чисел. Эта область достаточно хорошо исследована и уже существуют соответствующие средства защиты и методы оценки их эффективности и даже до сего времени действует отраслевой стандарт.
Преднамеренные действия человека-нарушителя начинаются на "периметре" системы. Под "периметром" АС будем понимать ее внешнюю физическую оболочку, элементами которой являются корпуса, крышки, дверцы, свободные внешние соединители технических средств, средства управления, отображения, печати, ввода и вывода, носители информации и кабельные соединения.
Нарушением считаем попытку доступа к любой части информации, подлежащей защите. Предсказать время и характер возможных действий нарушителя невозможно. Поэтому целесообразно рассмотреть наиболее опасную для системы модель его возможного поведения:
а) нарушитель может появиться в любое время и в любой точке "периметра" системы;
б) для достижения своей цели он выберет наиболее слабое звено в защите;
в) квалификация и осведомленность нарушителя будет соответствовать важности защищаемой информации;
г) постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна;
д) нарушителем может быть не только постороннее лицо, но и законный пользователь системы.
К перечисленным условиям целесообразно добавить не самую опасную ситуацию, когда нарушитель действует один без сообщников, имеющих доступ к данной системе. Защита от организованной группы нарушителей – значительно более сложная задача, решить которую можно, решив только более простую. Однако это не означает, что если последняя будет решена, то она не будет работать против группы не связанных между собой нарушителей.
В силу этого дополним:
е) нарушитель действует в единственном числе, однако их может быть несколько, но действия их не согласованы между собой.
Примечание. На неконтролируемых средствах защиты возможные действия организованной группы нарушителей все же будут учтены в расчетных соотношениях, будет рассмотрена в этом направлении также и прочность контролируемых средств.
Из данных условий вытекают следующие исходные положения:
1. Согласно пункту "а" вокруг предмета защиты необходимо строить замкнутую оболочку (контур) защиты.
2. Согласно пункту "б" прочность защиты определяется ее слабейшим звеном.
3. Согласно пункту "в" прочность защиты должна соответствовать квалификации нарушителя.
4. Согласно пункту "г" информация для входа в систему должна быть переменной.
5. Согласно пункту "д" при наличии множества пользователей необходимо обеспечить разграничение доступа.
Риск нарушителя, очевидно, определится величиной вероятности обнаружения его действий. Однако для различных по назначению, виду и ценности обрабатываемой информации в АС "опасная" квалификация нарушителя будет также отличаться.
На основании изложенного в выборе исходной модели потенциального нарушителя целесообразен дифференцированный подход в соответствии с назначением АС и ценностью информации, обрабатываемой в ней. Поскольку модель нарушителя – понятие относительное и приближенное, предлагается за основу принять пока всего четыре класса потенциальных нарушителей:
1) высококвалифицированный нарушитель-профессионал (специалист по вычислительной технике, специально подготовленный к несанкционированному доступу к информации);
2) квалифицированный нарушитель – непрофессионал (специалист по вычислительной технике, не подготовленный к несанкционированному доступу к информации);
3) неквалифицированный нарушитель-непрофессионал;
4) прочие нарушители.
В соответствии с данной классификацией предлагается ввести и классификацию уровней безопасности информации в создаваемых АС.
I класс рекомендуется для защиты жизненно важной информации, утечка, модификация или утрата которой могут привести к невосполнимым потерям для ее владельца.Прочность защиты должна быть рассчитана на нарушителя-профессионала.
II класс рекомендуется использовать для защиты важной информации, утечка, модификация или утрата которой может привести к значительным потерям для ее владельца. Прочность защиты должна быть рассчитана на нарушителя высокой квалификации, но не на взломщика-профессионала.
III класс рекомендуется для защиты относительно ценной информации, утечка, модификация или утрата которой может привести к незначительным потерям для ее владельца или постоянный несанкционированный доступ к которой путем ее накопления может привести к утечке и более ценной информации. Прочность защиты при этом должна быть рассчитана на относительно квалифицированного нарушителя-непрофессионала.
IV класс рекомендуется для защиты прочей информации, не представляющей интереса для серьезных нарушителей. Однако необходимость его диктуется соблюдением технологической дисциплины учета и обработки информации служебного пользования в целях защиты от случайных нарушений и подстраховки от случаев преднамеренного несанкционированного доступа.
Очевидно, что количество возможных каналов НСД в АС для нарушителей различных классов тоже будет различным.
Реализация перечисленных уровней безопасности должна обеспечиваться совокупностью средств защиты, перекрывающих возможные каналы НСД, а АС – со стороны ее "периметра" в количестве, соответствующем ожидаемой модели поведения потенциального нарушителя. Данная совокупность средств, связанных расчетными соотношениями прочности, должна образовать виртуальную оболочку защиты. Уровень безопасности защиты внутри класса должен обеспечиваться количественной оценкой прочности защитного контура (оболочки) защиты.
В связи с тем, что в технической литературе специалисты часто объединяют совершенно разные задачи: защиту информации в процессе проектирования системы и задачу проектирования самой защиты, считаем, что в данной работе рассматривается проблема создания встроенной в автоматизированную систему защиты, которая должна работать с момента эксплуатации системы потребителем. При этом допускаем, что на этапе ее проектирования, изготовления и испытаний обеспечивается режим ограничения и разграничения доступа к документации, программному обеспечению и аппаратуре; несанкционированные аппаратные и программные закладки отсутствуют. Однако это не означает, что при эксплуатации защита от последних построена не будет. Кроме того, считаем, что в законченной и годной к эксплуатации автоматизированной системе обработки информации должны отсутствовать средства программирования и отладочные средства за исключением тестовых программ, предусмотренных конструкторской документацией на эту систему. Всякие доработки АС без проведения испытаний и согласования с главным конструктором во время ее эксплуатации недопустимы. Недопустимо также использование АС для целей и задач, не предусмотренных ее техническими условиями. Несоблюдение данных требований лишает потребителя всех гарантий на нормальное функционирование системы, включая обеспечение безопасности информации.