«А.М. БЛИНОВ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Учебное пособие ЧАСТЬ 1 ИЗДАТЕЛЬСТВО САНКТ-ПЕТЕРБУРГСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА ЭКОНОМИКИ И ФИНАНСОВ 2010 4 Рекомендовано научно-методическим советом университета ББК ...»
3
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ЭКОНОМИКИ И ФИНАНСОВ»
КАФЕДРА ИНФОРМАТИКИ
А.М. БЛИНОВИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Учебное пособие ЧАСТЬ 1ИЗДАТЕЛЬСТВО
САНКТ-ПЕТЕРБУРГСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА
ЭКОНОМИКИ И ФИНАНСОВ
Рекомендовано научно-методическим советом университета ББК 65. Б Блинов А.М.Информационная безопасность: Учебное пособие. Часть 1. – СПб.:
Изд-во СПбГУЭФ, 2010. – 96 с.
В первой части учебного пособия рассматриваются основные разделы дисциплины «Информационная безопасность»: проблемы информационной безопасности, термины и определения, нормативно-правовые документы, стандарты информационной безопасности, модели безопасности.
Предназначено для студентов старших курсов дневной формы обучения специальности 080801 «Прикладная информатика в экономике».
Рецензенты:
канд. техн. наук, доцент, зам. зав. кафедрой информатики и компьютерных технологий СПбГГИ А.Б. Маховиков канд. техн. наук, доцент кафедры информатики и математики СПбГУП Л.В. Путькина © Издательство СПбГУЭФ,
ВВЕДЕНИЕ
В учебном пособии рассматривается текущее состояние дел в области информационной безопасности. Приводятся основные термины и определения согласно принятым нормативно-правовым документам на территории России.Одна из глав посвящена обзору международных оценочных стандартов в области информационной безопасности.
Освещаются вопросы построения защищенных информационных систем на основе применения математических моделей.
Данное учебное пособие предназначено для студентов старших курсов специальности 080801 «Прикладная информатика в экономике».
Является первой теоретической частью цикла учебных пособий по информационной безопасности.
ГЛАВА 1. ПОНЯТИЕ И ПРИНЦИПЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Проблема обеспечения информационной безопасности в рамках любого государства в последнее время все чаще является предметом обсуждения не только в научных кругах, но и на политическом уровне. Данная проблема также становится объектом внимания международных организаций, в том числе и ООН.Современный этап развития общества характеризуется возрастающей ролью электронных ресурсов, представляющих собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.
Стремительный рост компьютерных технологий в различных сферах человеческой деятельности, с одной стороны, позволил обеспечить высокие достижения в этих сферах, а с другой стороны, стал источником самых непредсказуемых и вредных для человеческого общества последствий. В результате, можно говорить о появлении принципиально нового сегмента международного противоборства, затрагивающего как вопросы безопасности отдельных государств, так и общую систему международной безопасности на всех уровнях.
Событие, произошедшее в октябре 1988 года в США, названо специалистами крупнейшим нарушением безопасности американских компьютерных систем из когда-либо случавшихся. 23-летний студент выпускного курса Коpнельского университета Роберт Т. Моррис создал и запустил в компьютерной сети ARPANET программу, представлявшую собой разновидность компьютерных вирусов – сетевых «червей». В результате атаки был полностью или частично заблокирован ряд общенациональных компьютерных сетей, в частности Internet, CSnet, NSFnet, BITnet, ARPANET и военная сеть Milnet. В итоге вирус поразил более 6200 компьютерных систем по всей Америке, включая системы многих крупнейших университетов, институтов, правительственных лабораторий, частных фирм, военных баз, клиник, агентства NASA. Общий ущерб от этой атаки оценивается специалистами минимум в 100 млн долларов.
Моррис был исключен из университета с правом повторного поступления через год и приговорен судом к штрафу в 270 тыс. долларов и трем месяцам тюремного заключения.
В 1991 году в ходе операции «Буря в пустыне», с помощью электронных излучателей вооруженным силам США удалось нарушить радио и телефонную связь практически на всей территории Ирака. Систему управления ПВО Ирака спецслужбам США удалось вывести из строя за счет специальных вирусов, введенных в компьютерную систему из памяти принтеров, приобретенных для этой системы у одной коммерческой фирмы.
Во время войны в Косово, Югославская Федерация, для того чтобы приостановить военные операции, организовала «хакерскую» войну, которая выражалась в совершении атак на определенные веб-сайты США, Великобритании и других стран НАТО, которые поддерживали компьютерные системы Белого Дома и Пентагона. В результате британское метеорологическое бюро было парализовано и не могло предоставлять необходимые метеорологические услуги для воздушных атак НАТО, поэтому некоторые из планов воздушных атак пришлось отменить. Представители объединенного штаба подтвердили использование информационного оружия во время Косовской компании.
Становится очевидной необходимость теоретической разработки международно-правовых основ регулирования взаимоотношений субъектов международного права в сфере качественно изменяющихся под воздействием информационной революции условий обеспечения международной и национальной безопасности, в сфере обеспечения информационной безопасности государства.
с компьютерными преступлениями в разных странах Новые технологии порождают и новые преступления. Согласно унификации Комитета министров Европейского Совета определены криминальные направления компьютерной деятельности. К ним относятся:
компьютерное мошенничество;
подделка компьютерной информации;
повреждение данных или программ;
компьютерный саботаж;
несанкционированный доступ к информации;
нарушение авторских прав.
Актуальность проблемы информационной безопасности заключается:
в особом характере общественной опасности возможных преступлений;
в наличии тенденции к росту числа преступлений в информационной сфере;
в неразработанности ряда теоретических положений, связанных с информационной безопасностью.
Убытки ведущих компаний в связи с нарушениями безопасности информации составляют миллиарды евро, причем только треть опрошенных компаний смогли определить количественно размер потерь. Так, по данным зарубежных правоохранительных органов, в Германии с использованием компьютеров похищается до 2 млрд евро ежегодно, во Франции – до 1 млрд евро, в США – до нескольких миллиардов евро. Атакам через Интернет подвергались 57% опрошенных, 55% отметили нарушения со стороны собственных сотрудников. По данным МВД РФ в 1997 году было зарегистрировано 7 преступлений в сфере компьютерных технологий, в 1998 году – 66, в 1999 году – 294, в 2002 году – 3782 преступлений, в 2006 году – около 15000.
Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер и средств. В курсе Информационной безопасности нас будут интересовать программно-технические средства, реализующиеся программным и аппаратным обеспечением, решающие разные задачи по защите. Они могут быть встроены в операционные системы, либо могут быть реализованы в виде отдельных продуктов. Во многих случаях центр тяжести смещается в сторону защищенности операционных систем.
23 декабря 1999 года Генеральная Ассамблея ООН приняла резолюцию, в которой выражается озабоченность тем, что распространение и использование современных информационных технологий и средств потенциально может быть использовано в целях, несовместимых с задачами обеспечения международной стабильности и безопасности.
В России положения, касающиеся информационной безопасности, включены в «Концепцию национальной безопасности РФ», утвержденную Указом Президента РФ от 17.12.1997 г., в ред. Указа Президента от 10.01.2000 г., а также в Военную доктрину РФ, утвержденную Указом Президента РФ от 21.04.2000 г. Кроме того, в рамках Совета безопасности РФ разрабатывается проект «Концепции совершенствования правового обеспечения информационной безопасности РФ».
Рис. 3. Рост количества преступлений, регистрируемый 09 сентября 2000 года Президентом РФ была утверждена Доктрина информационной безопасности РФ. Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
В декабре 2002 года принят ФЗ «О внесении изменений и дополнений в Закон РФ «О правовой охране программ для ЭВМ и баз данных», 29 июля 2004 года подписан Закон «О коммерческой тайне», на рассмотрении в Государственной Думе находится законопроект «Об информации персонального характера». Назрела необходимость разработки и принятия законов «О служебной тайне», «О профессиональной тайне».
Принятие указанных законов обусловлено положениями Доктрины информационной безопасности РФ, в которой в качестве основных составляющих национальных интересов России в информационной сфере выделяются меры правового характера, обеспечивающие конституционные права человека и гражданина свободно искать, передавать, производить и распространять информацию любым законным способом, конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
Необходимо сказать, что кроме вышеуказанных законов за последнее десятилетие в России реализован комплекс мер по совершенствованию обеспечения информационной безопасности. Для правового обеспечения информационной безопасности приняты Федеральные законы «О государственной тайне», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», а также ряд других нормативных актов. В новых Гражданском и Уголовном кодексах предусмотрена ответственность за правонарушения и преступления в информационной сфере.
Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.
Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины.
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.
Отмеченная роль стандартов зафиксирована в основных понятиях закона РФ «О техническом регулировании» от 27 декабря 2002 года:
стандарт – документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.
Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их стандартизация – деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.
Примечательно также, что в число принципов стандартизации, провозглашенных в статье 12 упомянутого закона, входит принцип применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если «такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация, в соответствии с установленными процедурами, выступала против принятия международного стандарта или отдельного его положения». С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В курсе рассматриваются наиболее важные из них, знание которых необходимо и разработчикам средств защиты, и системным администраторам, и руководителям соответствующих подразделений и даже пользователям.
Среди множества различных стандартов и спецификаций, можно выделить две группы документов, которые будут рассмотрены в данном курсе:
оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
Эти группы, разумеется, дополняют друг друга. Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты информационных систем (ИС), играя роль организационных и архитектурных спецификаций. Спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.
Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем»
(Trusted Computer System Evaluation Criteria – TCSEC) и его интерпретацию для сетевых конфигураций (Trusted Network Interpretation), «Гармонизированные критерии Европейских стран» (Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France – Germany – the Netherlands – the United Kingdom), международный стандарт «Критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation (CCITSE), и, конечно, Руководящие документы Гостехкомиссии России. К этой же группе относятся: Федеральный стандарт США (Federal Information Processing Standardization, FIPS) «Требования безопасности для криптографических модулей» (FIPS 140-2), Британский стандарт BS 7799 часть 2 «Управление информационной безопасностью. Практические правила» (Information Security Management Systems – Specification with guidance for use), а также международный стандарт ISO/IEC 17799 «Информационная технология.
Практический кодекс по менеджменту информационной безопасности»
(Information Technology – Code of practice for information security management), являющийся изложением BS 7799 часть 1.
Технические спецификации, применимые к современным распределенным ИС, создаются, главным образом, «Тематической группой по технологии Интернет» (Internet Engineering Task Force, IETF) и ее подразделением – рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IPуровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Акцентируется внимание на административном и процедурном уровнях безопасности («Руководство по информационной безопасности предприятия», «Как выбирать поставщика интернетуслуг», «Как реагировать на нарушения информационной безопасности»).
В вопросах сетевой безопасности невозможно разобраться без освоения спецификаций X.800 «Архитектура безопасности для взаимодействия открытых систем», X.500 «Служба каталогов: обзор концепций, моделей и сервисов» и X.509 «Служба каталогов: каркасы сертификатов открытых ключей и атрибутов».
Это «стандартный минимум», которым должны активно владеть все действующие специалисты в области информационной безопасности.
По существу, проектирование системы безопасности подразумевает ответы на следующие вопросы:
какую информацию защищать;
какого рода атаки на безопасность системы могут быть предприняты;
какие средства использовать для защиты информации каждого Поиск ответов на данные вопросы называется формированием политики безопасности, которая помимо чисто технических аспектов включает также и решение организационных проблем. На практике реализация политики безопасности состоит в присвоении субъектам и объектам идентификаторов, фиксации набора правил, позволяющих определить, имеет ли данный субъект авторизацию, достаточную для предоставления к данному объекту указанного типа доступа.
Формируя политику безопасности, необходимо учитывать несколько базовых принципов. Так, Зальтцер и Шредер на основе своего опыта работы сформулировали следующие рекомендации для проектирования системы безопасности операционных систем:
Проектирование системы должно быть открытым. Нарушитель и так все знает (криптографические алгоритмы открыты).
Не должно быть доступа по умолчанию. Ошибки с отклонением легитимного доступа будут обнаружены скорее, чем ошибки там, где разрешен неавторизованный доступ.
Нужно тщательно проверять текущее авторство. Так, многие системы проверяют привилегии доступа при открытии файла и не делают этого после. В результате пользователь может открыть файл и держать его открытым в течение недели и иметь к нему доступ, хотя владелец уже сменил защиту.
Давать каждому процессу минимум возможных привилегий.
Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки (известно много неудачных попыток «улучшения» защиты слабо приспособленной для этого ОС MS-DOS).
Важна физиологическая приемлемость. Если пользователь видит, что защита требует слишком больших усилий, он от нее Ущерб от атаки и затраты на ее предотвращение должны быть Приведенные соображения показывают необходимость продумывания и встраивания защитных механизмов на самых ранних стадиях проектирования системы.
ГЛАВА 2. ОБЩИЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В Доктрине информационной безопасности Российской Федерации дается определение информационной безопасности. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.В литературе отмечаются неоднозначные подходы к определению понятия информационной безопасности. Так, по мнению М.В. Арсентьева, информационная безопасность – снятие информационной неопределенности относительно объективно и субъективно существующих реальных и потенциальных угроз за счет контроля над мировым информационным пространством и наличие возможностей, условий и средств для отражения этих угроз, что в совокупности определяет уровень (степень) информационной безопасности каждого субъекта.
В.Ю. Статьев и В.А. Тиньков определяют информационную безопасность как защиту информации и поддерживающей ее инфраструктуры с помощью совокупности программных, аппаратно-программных средств и методов с целью недопущения причинения вреда владельцам этой информации или поддерживающей его инфраструктуре.
А.Д. Урсул определяет информационную безопасность как состояние защищенности основных сфер жизнедеятельности по отношению к опасным информационным воздействиям.
Введем ряд определений.
Информация – это сведения о лицах, предметах, фактах, событиях и процессах. Выделяется более двадцати видов информации по ее отраслевой принадлежности и востребованности в обществе (правовая, научная, финансовая, банковская, коммерческая, медицинская и т.д.). Нет объективной необходимости обеспечивать защиту всей информации, поэтому принято подразделять информацию на открытую и ограниченного доступа. Для эффективного решения задач защиты информации целесообразно в качестве объекта защиты выбирать информацию ограниченного доступа.
Информацию ограниченного доступа можно подразделить на конфиденциальную информацию и государственную тайну. Конфиденциальная информация – доверительная, не подлежащая огласке информация, доступ к которой ограничивается в соответствии с законодательством. Конфиденциальность информации определяет и доверяет посторонним лицам владелец этой информации.
К конфиденциальной информации относятся сведения, составляющие тайну частной жизни, профессиональную, служебную, коммерческую тайну.
Тайна частной жизни – это охраняемые законом конфиденциальные сведения, составляющие личную и семейную тайну лица, незаконное собирание или распространение которых причиняет вред правам и законным интересам этого лица и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации.
Профессиональная тайна – это охраняемые законом конфиденциальные сведения, доверенные или ставшие известными лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, незаконное получение или распространение которых может повлечь за собой вред правам и законным интересам другого лица, доверившего эти сведения, и привлечение к ответственности в соответствии с действующим законодательством.
Служебная тайна – это охраняемая законом конфиденциальная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании и в силу исполнения их представителями служебных обязанностей, имеющая действительную или потенциальную ценность в силу неизвестности ее третьим лицам.
Коммерческая тайна – это охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, финансовой деятельности организации, имеющие действительную или потенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений принимает меры к их конфиденциальности, незаконное получение, использование или разглашение которых создает угрозу причинения вреда владельцу этих сведений и предоставляет ему право на возмещение причиненных убытков или уголовно-правовую защиту в соответствии с законодательством Российской Федерации.
В отличие от конфиденциальной информации государственная тайна определяется государством через соответствующие государственные органы, получение и разглашение этой информации строго регламентировано нормативными актами, информация имеет гриф секретности. Содержание государственной тайны находит свое законодательное закрепление в Законе РФ «О государственной тайне». Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В этом же Законе РФ «О государственной тайне» прописаны такие принципы как законность, обоснованность и своевременность.
Принцип законности – в широком смысле принцип точного и неукоснительного исполнения всеми органами государства, должностными лицами и гражданами требований закона. Принцип законности служит базой для законотворчества в части правового обеспечения защиты информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, системы регулирования возникающих при этом отношений.
Принцип обоснованности. Защите подлежит прежде всего информация ограниченного доступа, т.е. информация, незаконное получение и распространение которой может причинить вред гражданину, обществу и государству. Необоснованная защита информации, прежде всего ограничение доступа к ней, посягает на конституционные права граждан на информацию, а в отдельных случаях препятствует развитию экономики, научно-технического прогресса, отношений в жизненно важных областях деятельности общества и государства. Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности ограничения доступа к конкретной информации, выделении вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов личности, общества, государства, разработки адекватных мер противодействия внешним и внутренним угрозам информационной безопасности.
Принцип своевременности защиты информационной сферы позволяет реализовать процедуру предварительного ограничения доступа к защищаемой информации, осуществлять ее защиту и заключается в установлении ограничений на распространение этой информации с момента ее получения, разработки или заблаговременно. Значение этого принципа заключается прежде всего в том, что ограничение доступа к защищаемой информации, информационным системам, если не исключает полностью, то делает маловероятной возможность совершения преступных посягательств в данной сфере. На практике своевременность достигается путем разработки и четкого исполнения положений концепции и системы защиты объекта. Особое значение данного принципа проявляется в тех случаях, когда та или иная тема, проект, исследование находятся на стадии разработки, изучения, анализа, и при этом разработчики не уделяют должного внимания ограничению доступа к результатам работы, используют незащищенные каналы и средства связи, ЭВМ, привлекают к работе непроверенных специалистов и т.д. Как известно, новые разработки, направления исследований, технологии представляют повышенный интерес и являются приоритетным направлением в деятельности разведывательных органов иностранных государств, промышленного шпионажа, конкурентов, преступных элементов.
Ответственность за посягательство на указанные виды тайны предусмотрена в Уголовном кодексе РФ (ст. 137, 138, 142, 183, 275, 276, 283, 284). В УК РФ 1996 года включена новая, не известная прежнему уголовному законодательству России, глава 28 «Преступления в сфере компьютерной информации» (ст. 272, 273, 274). Указанные нормы уголовного закона входят в систему правовых мер, направленных на защиту информации, прав и законных интересов граждан, общества и государства в информационной сфере.
Право на информацию складывается из двух элементов – права на получение информации и права на ее распространение. Первое относится не к гражданским, частным, а к публичным правам. Право же на передачу информации имеет гражданско-правовое содержание, оно представляет собой исключительное право. Законом РФ «О правовой охране программ для ЭВМ и баз данных» регулируются отношения, возникающие в связи с правовой охраной и использованием программ для ЭВМ и баз данных. В статье 12 данного закона права на программу для ЭВМ или базу данных отнесены к исключительным правам владельца информации.
В содержание информационной безопасности входит информационная сфера. Определение информационной сферы сформулировано в ФЗ «Об участии в международном информационном обмене». Информационная сфера – сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.
Как уже отмечалось, в основе понятия «информационная безопасность» лежит понятие «безопасность», нашедшее свое отражение в Законе РФ «О безопасности».
Безопасность – это состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних угроз.
К жизненно важным интересам закон относит совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Основные объекты безопасности: личность, ее права и свободы; общество, его материальные и духовные ценности; государство, его конституционный строй, суверенитет и территориальная целостность.
Таким образом, информационная безопасность – состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие.
Рассматривая это определение, необходимо отметить, что одним из важнейших аспектов информационной безопасности является определение и классификация возможных угроз безопасности.
Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Классификацию угроз можно представить в виде таблицы 1.
Естественные Среди возможных угроз можно выделить следующие:
По источнику угрозы:
внешние – связанные со стихийными бедствиями, техногенными, политическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями;
внутренние – связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения.
По природе возникновения:
естественные (объективные) – вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
искусственные (субъективные) – вызванные воздействием на информационную сферу человека.
непреднамеренные (случайные) угрозы – ошибки программного обеспечения, персонала, отказы вычислительной и коммуникационной техники и т.д.;
преднамеренные (умышленные) угрозы – неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.
По цели реализации:
нарушение конфиденциальности (угроза раскрытия) заключается в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин «утечка информации»;
нарушение целостности (угроза целостности) включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда нарушитель преднамеренно изменяет информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью;
нарушение доступности (угроза отказа служб /отказа в обслуживании) возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. Например, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Наиболее частые примеры атак, связанных с отказом служб, включают в себя ресурсы общего пользования (принтеры По характеру воздействия:
По объекту воздействия угрозы:
воздействующие на информационную среду в целом;
воздействующие на отдельные элементы информационной среды.
Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами (действиями людей), так как они являются основной причиной и движущей силой преступлений и правонарушений. В то же время средства вычислительной техники (прежде всего ЭВМ), встраиваясь в систему отношений по поддержанию информационной безопасности, оказывают на них определенное воздействие. В отдельных случаях ЭВМ функционируют как источники повышенной опасности, и тогда нарушение установленных правил их эксплуатации может привести к нарушению информационной безопасности.
Отметим, что реализованная угроза называется атакой.
Следующим в нашем рассмотрении, но не менее важным, является понятие защищенности.
Под защищенностью понимается совокупность правовых, научнотехнических, специальных, организационных мер, направленных на своевременное выявление, предупреждение и пресечение неправомерного получения и распространения защищаемой информации, осуществляемых органами законодательной, исполнительной и судебной власти, общественными и иными организациями и объединениями, гражданами, принимающими участие в обеспечении информационной безопасности в соответствии с законодательством, регламентирующим отношения в информационной сфере.
Правовые меры – деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушения в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры.
Научно-технические меры – деятельность субъектов, осуществляющих свою работу в информационной сфере, направленная на своевременное и активное использование достижений научно-технического прогресса в обеспечении информационной безопасности, а также участие в разработке новых технологий, программ, научно обоснованных способов защиты информации.
Специальные меры – деятельность государственных органов, уполномоченных осуществлять разведывательные, контрразведывательные, оперативно-розыскные мероприятия, направленные на упреждающее получение информации о планах, намерениях, устремлениях специальных служб, информационных и иных организаций, конкурентов и частных лиц, с использованием специальных технических средств, иных источников информации, указанных в Федеральном законе «Об оперативнорозыскной деятельности».
Организационные меры – деятельность субъектов по обеспечению физической, технической защиты информации, оборудования и носителей информации. Разработка и внедрение программ информационной безопасности и контроль за их выполнением, взаимодействие и обмен опытом защиты информации с правоохранительными, информационными органами. Работа по подбору, допуску и проверке персонала, подготовка и обучение сотрудников приемам работы с охраняемой информацией и ее носителями.
Отметим, что информационная безопасность в современных условиях приобретает все большую актуальность и значимость, является одним из приоритетных направлений обеспечения национальной безопасности России, а также международной безопасности.
ГЛАВА 3. ОЦЕНОЧНЫЕ СТАНДАРТЫ
Перед началом рассмотрения оценочных стандартов, необходимо упомянуть о том, что существуют и другие виды стандартов, такие как стандарты управления информационной безопасностью, стандарты безопасности информационных технологий и многие другие. В данном издании мы ограничимся исследованием именно оценочных стандартов.3.1. Критерии оценки доверенных компьютерных систем «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria – TCSEC), получившие неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах, в основном военного назначения (полный перечень «Радужной серии» книг можно прочитать в Приложении 1).
В данном документе были впервые определены такие понятия, как «политика безопасности», «корректность» и др. Согласно «Оранжевой книге» безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.
Общая структура требований TCSEC В «Оранжевой книге» предложены четыре категории требований:
политика, подотчетность, гарантии и документирование, в рамках которых сформулированы базовые требования безопасности. Рассмотрим некоторые из них подробнее.
Политика Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности (мандатную или дискреционную). Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом.
Подотчетность (аудит) Требование 2. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Требование 3. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа.
Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Гарантии (корректность) Требование 4. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты, Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 5. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.
Документирование Требование 6. Документирование. В каждом классе необходимо выделять набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями.
Эта документация может состоять из:
Руководства пользователя по особенностям безопасности.
Руководства по безопасным средствам работы.
Документации о тестировании.
Проектной документации.
Классы защищенности компьютерных систем по TCSEC «Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С-классы С1, С2, а группа В – классы В1, В2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы – с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности.
Например, по реализованным механизмам защиты классы В3 и А1 идентичны.
Все эти требования могут быть представлены в виде таблицы.
«–» – нет требований по этому классу «+» – новые или дополнительные требования «=» – требования совпадают с требованиями предыдущего класса Перечень требований по Оранжевой книге в виде таблицы можно посмотреть в Приложении 2. Опишем смысл требований в словесной форме.
Так как центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (Trusted Computing Base, ТСВ), необходимо коротко познакомиться с этим понятием.
Рассмотрим концепцию монитора ссылок, отражающую свойства механизмов безопасности. В данной концепции сеанс работы пользователя в компьютерной системе характеризуется инициированием процесса, который работает в интересах пользователя и выполняет последовательность операций доступа к объектам системы. Очевидно, что должна существовать некая процедура принятия решений о том, какой из запрашиваемых доступов разрешить, а какой нет. По-другому это можно представить как фильтр, через который должны пройти все запросы на доступ, созданные субъектами. Схема такого фильтра получила название монитора ссылок.
Основной характеристикой монитора ссылок является то, что он или разрешает запрос на доступ, или запрещает, возможно, уведомляя об этом субъекта. Монитор ссылок может быть описан в терминах функции с запросами на обслуживание, разрешениями доступа, другими компонентами состояния системы на входе (т.е. элементами области определения) и разрешениями или запретами на обслуживание на выходе (т.е. элементами области значения).
Таким образом, монитор ссылок должен удовлетворять трем требованиям:
ни один запрос на доступ субъекта к объекту не должен проходить мимо монитора ссылок;
целостность монитора ссылок должна строго контролироваться;
представление монитора ссылок должно быть достаточно простым для доказательства корректности его работы.
Однако совершенно необязательно, чтобы безопасная система включала в свою архитектуру отдельный модуль (возможно, называемый модулем монитора ссылок), который бы обрабатывал запросы. Способ выполнения обработки запросов определяется проектировщиками и разработчиками системы.
Если в начале проектирования безопасных систем данный монитор реализовывался в виде отдельного модуля, встроенного в операционную систему, то в настоящее время существует тенденция к реализации данной концепции в форме совместно работающего программного и аппаратного обеспечения, называемого ТСВ системы.
Более того, на основании наличия компактного ядра безопасности ТСВ системы мы делаем заключение о свойствах безопасности системы в целом. Говоря о некотором свойстве системы, можно строить доказательство двумя способами: либо показать, что система ведет себя корректно всегда, либо показать, что система никогда не выполняет некорректных действий.
Основной причиной выделения программного обеспечения ТСВ системы является необходимость независимости свойства безопасности системы от программного обеспечения системы, не входящего в состав ТСВ.
Программное обеспечение ТСВ системы обычно много компактнее и проще, чем программное обеспечение системы в целом.
Возвращаясь к TCSEC… Группа D. Минимальная защита Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какойлибо причине ее не прошли.
Группа С. Дискреционная защита Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.
Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения.
Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.
Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе. Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.
Подотчетность. Пользователи должны идентифицировать себя перед ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутентификации (например, пароль). Данные аутентификации должны быть защищены от доступа неавторизованного пользователя.
Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Тестирование ТСВ должно выполняться согласно документации для обеспечения гарантии того, что нет явных путей обхода системы защиты неавторизованным пользователем или иного расстройства системы защиты.
Документация должна включать:
описание реализованных в ТСВ механизмов защиты, их взаимодействия и руководство пользователя по их использованию;
руководство для администратора системы на гарантирование системы защиты;
документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать результаты тестов;
документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).
Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.
Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа.
Системы, сертифицированные по данному классу, должны удовлетворять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дискреционного разграничения доступа, делающую пользователя индивидуально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.
Политика безопасности. ТСВ должна осуществлять контроль за распространением прав доступа. Механизм дискреционного контроля доступа должен при каждом действии пользователя или его отсутствии обеспечивать защиту объектов от неавторизованного воздействия. При этом должен определяться доступ для каждого отдельного пользователя. Наделять пользователей правом доступа к объекту могут только авторизованные для этого пользователи. Никакая информация (в том числе шифрованная) о предшествующих действиях субъекта не может быть получена субъектом, получившим после первого доступ к системе. Реализация этого требования обеспечивает очищение ресурсов после освобождения их процессами системы.
Подотчетность. ТСВ должна обеспечивать индивидуальную ответственность пользователей за осуществляемые ими действия, обеспечивая возможность ассоциировать пользователя с любым событием аудита. При этом должен поддерживаться и защищаться журнал аудита, доступ к нему разрешаться только тем, кто специально для этого авторизован. Аудиту подлежит следующий стандартный набор событий, среди которых:
идентификация и аутентификация пользователя;
размещение объектов в адресном пространстве процессов пользователей (например, чтение информации из файлов);
уничтожение объектов;
действия, осуществляемые администраторами системы.
При этом запись журнала аудита должна снабжаться необходимым набором атрибутов:
дата и время события;
идентификатор пользователя, инициировавшего событие;
тип события (например, вход в систему, получение доступа к файлу на чтение и т.д.);
результат: успех или неуспех выполнения события.
Если требуется, надо указывать дополнительные сведения, например имя объекта, к которому происходит обращение. Для удобства изучения данных журнала аудита должны быть предусмотрены средства фильтрации записей по заданным признакам.
Гарантии. ТСВ должна изолировать подлежащие защите ресурсы так, чтобы выполнялись требования контроля доступа и аудита.
Тестирование должно включать поиск и просмотр очевидных брешей системы защиты, позволяющих нарушить изолированность ресурсов или допустить неавторизованный доступ к данным аутентификации или журнала аудита.
Документация должна дополнительно (по сравнению с классом С1) включать описание событий, заносимых в журнал аудита.
Группа В. Мандатное управление доступом Основные требования этой группы – мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован в полном объеме монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.
Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования.
Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы. Метки секретности должны представлять уровень доступа субъекта и уровень секретности объекта, которым они соответствуют. Именно эти метки должны служить основой для принятия решения ТСВ при запросе субъекта доступа к объекту. При передаче информации по каналам ввода/вывода ТСВ должна снабжаться соответствующими метками секретности. ТСВ должна также соответствующе маркировать метками секретности весь читаемый вывод. Доступ на чтение от субъекта к объекту может быть разрешен, только если уровень допуска субъекта не ниже уровня секретности объекта, а неиерархические категории первого включают все неиерархические категории второго. Доступ на запись от субъекта к объекту, контролируемый ТСВ, может быть разрешен, только если уровень допуска субъекта не выше уровня секретности объекта, а все неиерархические категории первого входят в неиерархические категории второго.
Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.
Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.
Целью тестирования является:
Поиск всех каналов проникновения внешних субъектов с целью получения несанкционированного доступа к информации.
Получение гарантии того, что никакой неавторизованный для этого специально пользователь не может ввести ТСВ в состояние, в котором она не способна отвечать на запросы других субъектов.
ТСВ должна быть построена на основе неформальной или формальной политики безопасности, которая должна поддерживаться на протяжении всего жизненного цикла системы.
Документация должна дополнительно включать:
Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего использования защитных свойств системы; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.
Описание формальной или неформальной политики безопасности, а также, как она реализована в системе.
Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные.
Интерфейс ТСВ должен быть хорошо определен и ее проект и конечный результат должны быть подвергнуты полной проверке и тестированию.
Механизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.
Политика безопасности. ТСВ должна уведомлять каждого работающего в системе пользователя о любых изменениях его уровня секретности, а последний должен иметь возможность запрашивать у системы полную информацию о своей метке секретности. ТСВ должна поддерживать минимальные и максимальные метки секретности любого присоединенного физического устройства, которые должны определять непосредственное физическое окружение этого устройства.
Подотчетность. ТСВ должна обеспечить защищенный канал между собой и пользователем, осуществляющим вход в систему и аутентификацию. Инициатором осуществления соединения через такой защищенный канал может выступать только пользователь.
Гарантии. ТСВ должна быть внутренне структурирована на хорошо определенные, в большой степени независимые модули. Все элементы ТСВ должны быть идентифицированы, а интерфейс между ними полностью определен. ТСВ должна обеспечить разделение функций оператора и администратора системы.
Разработчики системы должны полностью выявить скрытые каналы утечки и провести их инженерное обследование с целью измерения информационного потока для каждого канала. ТСВ должна быть рассмотрена по всем положениям, относящимся к ее устойчивости к проникновению. Тестирование ТСВ должно показать, что она функционирует согласно представленной в описании высокоуровневой спецификации.
Формальная модель политики безопасности должна поддерживаться ТСВ на протяжении всего жизненного цикла компьютерной системы.
Должна существовать служба управления конфигурацией системы и должны быть предоставлены средства для создания новых версий ТСВ.
Документация должна дополнительно включать:
для системного администратора – описание того, как безопасно создать новую ТСВ;
результаты проверки эффективности использованных методов по сокращению мощности скрытых каналов утечки информации.
Проектная документация должна включать описание интерфейса между модулями ТСВ. Должно быть представлено описание высокоуровневых спецификаций и того, что они точно соответствуют интерфейсу ТСВ. Документация должна представлять результаты анализа скрытых каналов и затрат, необходимых для их сокращения.
Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:
защищен от несанкционированного изменения или порчи;
обрабатывать все обращения;
прост для анализа и тестирования.
ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.
Дополнительно должно быть обеспечено:
поддержка администратора безопасности;
расширение механизма аудита с целью сигнализации о любых с событиях, связанных с безопасностью;
поддержка процедуры восстановления системы.
Политика безопасности. Не включает существенных дополнительных требований по сравнению с предыдущим классом защиты.
Подотчетность. Должно быть обеспечено создание защищенного канала для любого соединения пользователя с ТСВ (вход в систему, аутентификация, изменение секретных свойств объектов). Должен быть реализован механизм, осуществляющий анализ и накопление данных о событиях, имеющих отношения к безопасности и могущих послужить причиной нарушения политики безопасности. Этот механизм должен уведомлять администратора безопасности, когда превышается некоторый порог срабатывания. Если это событие или последовательность событий продолжается, то система должна предпринять наименее разрушительное действие для их блокирования.
Гарантии. ТСВ должна быть разработана и структурирована с использованием полного, концептуально – целостного механизма защиты с точно определенной семантикой. Сложность ТСВ должна быть минимизирована. Должен быть исключен код, не имеющий отношения к безопасности системы.
Функции, не связанные с управлением безопасностью и выполняемые пользователем, выступающим в роли администратора безопасности системы, должны быть ограничены набором только тех функций, которые делают более эффективным выполнение этой роли.
Должен быть обеспечен механизм восстановления при сбоях компьютерной системы без нарушения ее безопасности.
На этапе тестирования не должно быть найдено проектных брешей в системе защиты.
Должно быть четко показано, что высокоуровневая спецификация ТСВ соответствует модели политики безопасности.
Документация дополнительно должна включать:
для системного администратора – описание процедур, которые могут дать гарантию, что система начала свою работу безопасно;
неформальное доказательство того, что все элементы ТСВ соответствуют высокоуровневой спецификации.
Группа А. Верифицированная защита Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально показано соответствие архитектуры и реализации ТСВ требованиям безопасности.
Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополнительным свойством систем, отнесенных к классу А1, является проведенный анализ ТСВ на соответствие формальным высокоуровневым спецификациям и использование технологий проверки с целью получения высоких гарантий того, что ТСВ функционирует корректно.
Наиболее важные требования к классу А1 можно объединить в пять групп:
Формальная модель политики безопасности должна быть четко определена и документирована, должно быть дано математическое доказательство того, что модель соответствует своим аксиомам и что их достаточно для поддержания заданной политики безопасности.
Формальная высокоуровневая спецификация должна включать абстрактное определение выполняемых ТСВ функций и аппаратный и/или встроенный программный механизм для обеспечения разделения доменов.
Формальная высокоуровневая спецификация ТСВ должна демонстрировать соответствие модели политики безопасности с использованием, где это возможно, формальной технологии (например, где имеются проверочные средства) и неформальной во всех остальных случаях.
Должно быть неформально показано и обратное – соответствие элементов ТСВ формальной высокоуровневой спецификации. Формальная высокоуровневая спецификация должна представлять собой универсальный механизм защиты, реализующий политику безопасности. Элементы этого механизма должны быть отображены на элементы ТСВ.
Должны быть использованы формальные технологии для выявления и анализа скрытых каналов. Неформальная технология может быть использована для анализа скрытых временных каналов. Существование оставшихся в системе скрытых каналов должно быть оправдано.
Более строгие требования предъявляются к управлению конфигурацией системы и конкретному месту дислокации (развертывания) системы.
Перечисленные требования не затрагивают группы Политика безопасности и Подотчетность и сконцентрированы в группе Гарантии с соответствующим описанием в группе Документация.
Интерпретация и развитие TCSEC Опубликование TCSEC стало важным этапом как в постановке основных теоретических проблем компьютерной безопасности, так и в указании направления их решения. Тем не менее, в ходе применения ее основных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени ряд положений устарел и потребовал пересмотра.
Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к «Оранжевой книге»:
«Интерпретация TCSEC для компьютерных сетей».
«Интерпретация TCSEC для систем управления базами данных».
Эти документы содержат трактовку основных положений «Оранжевой книги» применительно к соответствующим классам систем обработки информации.
Устаревание ряда положений ТСSЕС обусловлено прежде всего интенсивным развитием компьютерных технологий и переходом с вычислительных комплексов типа IBM-360 к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений.
Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:
«Руководство по произвольному управлению доступом в безопасных системах».
«Руководство по управлению паролями».
«Руководство по применению критериев безопасности компьютерных систем в специфических средах».
«Руководство по аудиту в безопасных системах».
«Руководство по управлению конфигурацией в безопасных системах».
Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, проинтегрировавший все изменения и дополнения к TCSEC, сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.
Критерии TCSEC Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на проектировщиков, разработчиков, потребителей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа, как уже отмечалось, является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам конфиденциальности (грифам секретности) и правилам экспорта секретной информации.
Требования по гарантированию политики безопасности отражены достаточно поверхностно, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.
Первая часть стандарта, по-русски именуемая «Информационная технология. Практический кодекс по менеджменту информационной безопасности», содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.
Согласно стандарту, цель информационной безопасности – обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.
Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.
Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.
Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:
цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;
необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;
требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;
необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.
Во второй части стандарта BS 7799-2:2002 «Управление информационной безопасностью. Практические правила» предметом рассмотрения, как следует из названия, является система управления информационной безопасностью.
Под системой управления информационной безопасностью (СУИБ) (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.
В основу процесса управления положена четырехфазная модель, включающая:
планирование;
корректировку.
По-русски данную модель можно назвать ПРОК (в оригинале – PlanDo-Check-Act, PDCA). Детальный анализ каждой из выделенных фаз и составляет основное содержание стандарта BS 7799-2:2002.
3.2.1. Регуляторы безопасности и реализуемые ими цели Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.
К первой группе отнесено то, что связано с политикой безопасности, а именно:
документально оформленная политика;
процесс ревизии политики.
Цель регуляторов этой группы – определить стратегию управления безопасностью и обеспечить ее поддержку.
Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа – инфраструктура информационной безопасности – преследует цель управления безопасностью в организации и включает следующие регуляторы:
создание сообщества по управлению информационной безопасностью;
меры по координации действий в области информационной безопасности;
распределение обязанностей в области информационной безопасности;
утверждение руководством (административное и техническое) новых средств обработки информации;
получение рекомендаций специалистов по информационной сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
проведение независимого анализа информационной безопасности.
Регуляторы второй подгруппы – безопасность доступа сторонних организаций – предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:
идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
выработка требований безопасности для включения в контракты со сторонними организациями.
Цель третьей подгруппы – обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.
Очень важна третья группа регуляторов безопасности – классификация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.
Регуляторы четвертой группы – безопасность персонала – охватывают все этапы работы персонала, и первый из них – документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.
Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.
Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.
Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:
организация защищенных областей;
защита оборудования;
меры общего характера.
Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузоразгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.
Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.
К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов – оборудования, программ и данных – только с разрешения руководства.
3.2.1.2. Регуляторы технического характера Шестая группа – меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп:
операционные процедуры и обязанности;
планирование и приемка систем;
защита от вредоносного программного обеспечения;
повседневное обслуживание;
администрирование сетей;
безопасное управление носителями;
обмен данными и программами с другими организациями.
1. Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.
2. Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.
3. Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.
4. Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.
5. Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.
6. Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.
7. Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.
Седьмая группа – самая многочисленная – группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:
производственные требования к управлению доступом;
управление доступом пользователей;
обязанности пользователей;
управление доступом к сетям;
управление доступом средствами операционных систем;
управление доступом к приложениям;
контроль за доступом и использованием систем;
контроль мобильных пользователей и удаленного доступа.
1. Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.
2. Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.
3. Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.
4. Управление доступом к сетям опирается на следующие регуляторы:
политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
аутентификация удаленных пользователей;
аутентификация удаленных систем;
контроль доступа (особенно удаленного) к диагностическим портам;
сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);
управление маршрутизацией;
защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).
5. Управление доступом средствами операционных систем направлено на защиту от несанкционированного доступа к компьютерным системам. Для этого предусматриваются:
автоматическая идентификация терминалов;
безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
идентификация и аутентификация пользователей;
управление паролями, контроль их качества;
разграничение доступа к системным средствам;
уведомление пользователей об опасных ситуациях;
контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
ограничение времени подключения к критичным приложениям.
6. Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.
7. Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.
8. Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.
3.2.1.3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия Восьмая группа – регуляторы группы «разработка и сопровождение информационных систем» охватывают весь жизненных цикл систем.
1. Первым шагом является анализ и задание требований безопасности. Основу анализа составляют:
необходимость обеспечения конфиденциальности, целостности и доступности информационных активов;
возможность использования различных регуляторов для предотвращения и выявления нарушений безопасности и для восстановления нормальной работы после отказа или нарушения безопасности.
В частности, следует рассмотреть необходимость:
управления доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
протоколирования для повседневного контроля или специальных контроля и поддержания целостности данных на всех или избранных стадиях обработки;
обеспечения конфиденциальности данных, возможно, с использованием криптографических средств;
выполнения требований действующего законодательства, договорных требований и т.п.;
резервного копирования производственных данных;
восстановления систем после отказов (особенно для систем с повышенными требованиями к доступности);
защиты систем от несанкционированных модификаций;
безопасного управления системами и их использования сотрудниками, не являющимися специалистами.
2. Подгруппа регуляторов, обеспечивающих безопасность прикладных систем, включает:
проверку входных данных;
встроенные проверки корректности данных в процессе их обработки;
аутентификацию сообщений как элемент контроля их целостности;
проверку выходных данных.
3. Третью подгруппу рассматриваемой группы составляют криптографические регуляторы. Их основой служит документированная политика использования средств криптографии. Стандартом предусматривается применение шифрования, электронных цифровых подписей, средств управления ключами.
4. Четвертая подгруппа – защита системных файлов – предусматривает:
управление программным обеспечением, находящимся в эксплуатации;
защиту тестовых данных систем;
управление доступом к библиотекам исходных текстов.
5. Регуляторы пятой подгруппы направлены на обеспечение безопасности процесса разработки и вспомогательных процессов. В нее входят следующие регуляторы:
процедуры управления внесением изменений;
анализ и тестирование систем после внесения изменений;
ограничение на внесение изменений в программные пакеты;
проверка наличия скрытых каналов и троянских программ;
контроль за разработкой ПО, выполняемой внешними организациями.
Девятая группа – группа «управление бесперебойной работой организации» исключительно важна, но устроена существенно проще.
Она включает пять регуляторов, направленных на предотвращение перерывов в деятельности предприятия и защиту критически важных бизнеспроцессов от последствий крупных аварий и отказов:
формирование процесса управления бесперебойной работой организации;
выработка стратегии (на основе анализа рисков) обеспечения бесперебойной работы организации;
документирование и реализация планов обеспечения бесперебойной работы организации;
поддержание единого каркаса для планов обеспечения бесперебойной работы организации, чтобы гарантировать их согласованность и определить приоритетные направления тестирования и сопровождения;
тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.
Процесс планирования бесперебойной работы организации должен включать в себя:
идентификацию критически важных производственных процессов и их ранжирование по приоритетам;
определение возможного воздействия аварий различных типов на производственную деятельность;
определение и согласование всех обязанностей и планов действий в нештатных ситуациях;
документирование согласованных процедур и процессов;
подготовку персонала к выполнению согласованных процедур и процессов в нештатных ситуациях.
Для обеспечения бесперебойной работы организации необходимы процедуры трех типов:
процедуры реагирования на нештатные ситуации;
процедуры перехода на аварийный режим;
процедуры возобновления нормальной работы.
Примерами изменений, которые могут потребовать обновления планов, являются:
приобретение нового оборудования или модернизация систем;
новая технология выявления и контроля проблем, например, обнаружения пожаров;
кадровые или организационные изменения;
смена подрядчиков или поставщиков;
изменения, внесенные в производственные процессы;
изменения, внесенные в пакеты прикладных программ;
изменения в эксплуатационных процедурах;
изменения в законодательстве.
Назначение регуляторов последней, десятой группы – контроль соответствия требованиям. В первую подгруппу входят регуляторы соответствия действующему законодательству:
идентификация применимых законов, нормативных актов и т.п.;
обеспечение соблюдения законодательства по защите интеллектуальной собственности;
защита деловой документации от утери, уничтожения или фальсификации;
обеспечение защиты персональных данных;
предотвращение незаконного использование средств обработки обеспечение выполнения законов, касающихся криптографических средств;
обеспечение сбора свидетельств на случай взаимодействия с правоохранительными органами.
Ко второй подгруппе отнесены регуляторы, контролирующие соответствие политике безопасности и техническим требованиям. Руководители всех уровней должны убедиться, что все защитные процедуры, входящие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности. Информационные системы нуждаются в регулярной проверке соответствия стандартам реализации защитных функций.
Регуляторы, относящиеся к аудиту информационных систем, объединены в третью подгруппу. Их цель – максимизировать эффективность аудита и минимизировать помехи, создаваемые процессом аудита, равно как и вмешательство в этот процесс. Ход аудита должен тщательно планироваться, а используемый инструментарий – защищаться от несанкционированного доступа.
3.3. Стандарт BS 7799-2. Четырехфазная модель процесса управления информационной безопасностью Мы приступаем к детальному рассмотрению четырехфазной модели процесса управления информационной безопасностью (планирование – реализация – оценка – корректировка, ПРОК), описанной в стандарте BS 7799-2:2002.
Процесс управления имеет циклический характер; на фазе первоначального планирования осуществляется вход в цикл. В качестве первого шага должна быть определена и документирована политика безопасности организации.
Затем определяется область действия системы управления информационной безопасностью. Она может охватывать всю организацию или ее части. Следует специфицировать зависимости, интерфейсы и предположения, связанные с границей между СУИБ и ее окружением; это особенно важно, если в область действия попадает лишь часть организации. Большую область целесообразно поделить на подобласти управления.
Результат анализа рисков – выбор регуляторов безопасности. План должен включать график и приоритеты, детальный рабочий план и распределение обязанностей по реализации этих регуляторов.
На второй фазе – фазе реализации – руководством организации выделяются необходимые ресурсы (финансовые, материальные, людские, временные), выполняется реализация и внедрение выбранных регуляторов, сотрудникам объясняют важность проблем информационной безопасности, проводятся курсы обучения и повышения квалификации. Основная цель этой фазы – ввести риски в рамки, определенные планом.
Оценка (третья фаза) может выполняться в нескольких формах:
регулярные (рутинные) проверки;
проверки, вызванные появлением проблем;
изучение опыта (положительного и отрицательного) других организаций;
внутренний аудит СУИБ;
инспекции, проводимые по инициативе руководства;
анализ тенденций.
Аудит должен выполняться регулярно, не реже одного раза в год.
В процессе аудита следует убедиться в следующем:
политика безопасности соответствует производственным требованиям;
результаты анализа рисков остаются в силе;
документированные процедуры выполняются и достигают поставленных целей;
технические регуляторы безопасности (например, межсетевые экраны или средства ограничения физического доступа) расположены должным образом, правильно сконфигурированы и работают в действия, намеченные по результатам предыдущих проверок, выполнены.
Даже если недопустимых отклонений не выявлено и уровень безопасности признан удовлетворительным, целесообразно зафиксировать изменения в технологии и производственных требованиях, появление новых угроз и уязвимостей, чтобы предвидеть будущие изменения в системе управления.
Назначение фазы оценки – проанализировать, насколько эффективно работают регуляторы и система управления информационной безопасностью в целом. Кроме того, следует принять во внимание изменения, произошедшие в организации и ее окружении, способные повлиять на результаты анализа рисков. При необходимости намечаются корректирующие действия, предпринимаемые в четвертой фазе.
Систему управления информационной безопасностью надо постоянно совершенствовать, чтобы она оставалась эффективной. Эту цель преследует четвертая фаза рассматриваемого в стандарте цикла – корректировка. Она может потребовать как относительно незначительных действий, так и возврата к фазам планирования (например, если появились новые угрозы) или реализации (если следует осуществить намеченное ранее).
Коррекция должна производиться, только если выполнено по крайней мере одно из двух условий:
выявлены внутренние противоречия в документации СУИБ;
риски вышли за допустимые границы.
При корректировке прежде всего следует устранить несоответствия следующих видов:
отсутствие или невозможность реализации некоторых требований неспособность СУИБ обеспечить проведение в жизнь политики безопасности или обслуживать производственные цели организации.
3.4. Сведения о других международных стандартах Как уже отмечалось, после «Оранжевой книги» была выпущена целая «Радужная серия» (см. Приложение 1). С концептуальной точки зрения, наиболее значимый документ в ней – "Интерпретация «Оранжевой книги» для сетевых конфигураций" (Trusted Network Interpretation). Он состоит из двух частей. Первая содержит собственно интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
Важнейшее понятие, введенное в первой части, – сетевая доверенная вычислительная база. Другой принципиальный аспект – учет динамичности сетевых конфигураций. Среди защитных механизмов выделена криптография, помогающая поддерживать как конфиденциальность, так и целостность.
Новым для своего времени стал системный подход к вопросам доступности, формирование архитектурных принципов ее обеспечения.
Следующий документ это «Гармонизированные критерии Европейских стран» (ITSEC). Нужно отметить, что в них отсутствуют априорные требования к условиям, в которых должна работать информационная система. Предполагается, что сначала формулируется цель оценки, затем орган сертификации определяет, насколько полно она достигается, т.е.
в какой мере корректны и эффективны архитектура и реализация механизмов безопасности в конкретной ситуации. Чтобы облегчить формулировку цели оценки, стандарт содержит описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем.
В «Гармонизированных критериях» подчеркивается различие между системами и продуктами информационных технологий, но для унификации требований вводится единое понятие – объект оценки.
Функциональность (F) и эффективность (E) оцениваются раздельно.
Соответствие классов безопасности ITSEC и TCSEC показано в таблице 3.
«Гармонизированные критерии Европейских стран» стали весьма передовым документом для своего времени, они подготовили появление международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation (CCITSE)), для удобства, в литературе сокращают до Общие критерии (Common Criteria).
Многие правительственные организации и частные компании приобретают только те системы, которые удовлетворяют определенному набору требований. Группа государств, объединив свои усилия в рамках Международной организации по стандартизации (ISO), разработала новый стандарт безопасности ISO 15408, призванный отразить возросший уровень сложности технологий и растущую потребность в международной стандартизации. Страны, ратифицировавшие Common Criteria, рассчитывают, что его использование приведет к повышению надежности продуктов, в которых применяются технологии защиты данных; он поможет потребителям информационных технологий лучше ориентироваться при выборе программного обеспечения, а пользователям приобрести уверенность в безопасности ИТ-продуктов.
В соответствии с требованиями Общих критериев, продукты определенного класса (например, операционные системы) оцениваются на соответствие ряду функциональных критериев и критериев надежности – так называемых профилей защиты (Protection Profiles). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать определенным требованиям в области безопасности.
На сегодняшний день Общие критерии – самый полный и современный оценочный стандарт, он не содержит предопределенных классов безопасности. Такие классы можно строить, опираясь на заданные требования. Подчеркнем, что безопасность в Общих критериях рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, последний предстает в контексте среды безопасности, характеризующейся определенными условиями и угрозами.
Общие критерии содержат два основных вида требований безопасности (Security Assurance Requirements, SARs):
функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
требования доверия, соответствующие пассивному аспекту;
они предъявляются к технологии, процессу разработки и эксплуатации.
Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки – аппаратно-программного продукта или информационной системы.
Задание по безопасности (Security Target, ST) содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности.