 |
РУБРИКИ |
Защита информации |
РЕКЛАМА |
||
|
Защита информацииУгрозы третьей группы связаны и с преднамеренными действиями людей, направленными на нанесение ущерба АС, получение личных привилегий и доходов. Данная группа угроз является наиболее многочисленной. Возможны: маскировка под законного пользователя; распечатка или вывод на экран большого числа файлов с целью обеспечения утечки информации; проникновение в систему управления безопасностью с целью изменения ее характеристик; организация отказа для пользователей в использовании ресурсов; передача информации неверному абоненту; злонамеренное разрушение ресурсов АС; ввод ложных данных; незаконное копирование или кража носителей информации, перехват чужих сообщении; порождение правдоподобных сообщений или модификация передаваемых сообщений; забастовки, саботаж; клевета, мистификация угроз, шантаж; искажение программ, внедрение вирусов "троянских коней" и т.п. (данный вид угроз может относиться к группам 3.1 и 3.2 в связи с тем, что такого типа программы могут разрабатываться в самых различных целях, в том числе и специально разработанные "боевые вирусы" для выведения из строя военных объектов, однако, указанные про1раммы могут быть внесены пользователем или персоналом АС не преднамеренно); установка разведывательной аппаратуры. 2. Задачи систем обеспечения безопасности информации Из приведенного перечня угроз для безопасности информации следует, что АС имеет ряд особенностей, позволяющих бесконтрольно манипулировать информацией как персоналу АС, так и посторонним лицам, а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от СВТ. Поэтому конфиденциальная информация АС без средств защиты может быть достаточно легко скомпрометирована, что вызовет значительные политические, экономические, моральные и другие потери для собственника (владельца) такой информации. В связи с этим принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска, который может быть значительно уменьшен или практически исключен с использованием соответствующих средств и мер защиты. Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются: утрата информации - неосторожные действия владельца информации, представленной в АС на различных носителях и в файлах, или лица, которому была доверена информация в силу его официальных (производственных) обязанностей в рамках АС, в результате которых информация была потеряна и стала (либо могла стать) достоянием посторонних лиц; раскрытие информации - умышленные или неосторожные действия, в результате которых содержание информации, представленной на различных носителях и в файлах, стало известным или доступным для посторонних лиц; порча информации - умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах; кража информации - умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки как посредством кражи носителей информации, так и посредством дублирования (копирования) информации, представленной в виде файлов АС; подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность (точность, достоверность, полнота) информации, находящейся на различных носителях и в файлах АС: блокирование информации - умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки; нарушение работы системы обработки информации - умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки или создающие благоприятные условия для выполнения вышеперечисленных действий. Данные события могут реализовываться в АС посредством следующих действий: незаконным физическим проникновением посторонних лиц в помещения, в которых располагаются средства автоматизированной обработки (ЭВМ, терминалы, хранилища, архивы); несанкционированным (незаконным) логическим проникновением (входом) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи) пароля или обхода механизма контроля входа в систему (при его наличии); загрузкой посторонней операционной системы (ОС) или программ без средств контроля доступа в ЭВМ АС; обследованием (считыванием) освобожденных областей оперативной и внешней памяти, ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли, ключи, коды, матрицы доступа и т.п.), а также отработанных носителей АС (печатных, графических документов); получением привилегированного статуса для взятия полного контроля над АС посредством изменения системных таблиц ОС и регистров; изменением установленного статуса объектов защиты АС (кодов защиты, паролей, матрицы доступа); модификацией прикладных и системных программных средств АС с целью обхода (отключения) механизма контроля доступа или выполнения несанкционированных действий в АС; введением и использованием в АС "вредоносных" программных средств для манипулирования или блокирования работы АС; перехватом побочных (нежелательных, но имеющих место в силу физических особенностей средств обработки информации) электромагнитных, акустических к других излучений от средств автоматизированной обработки, несущих конфиденциальную информацию как через традиционный "эфир", так и с использованием наводок таких излучений на вспомогательные технические средства (ВТС), непосредственно не участвующие в обработке информации (сети питания, телефонные линии, отопления, канализации и т.п.); использованием электроакустического воздействия речи персонала АС на СВТ и ВТС для перехвата речевой информации, содержащей коммерческую тайну, по соответствующему излучению модулированных сигналов от этих средств; перехватом информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним подключения; включением специальных устройств в СВТ, позволяющих несанкционированно получать обрабатываемую в АС информацию, ретранслировать ее с помощью передатчиков, блокировать работу СВТ, уничтожать информацию на различных носителях и сами СВТ. С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей, решающих задачи защиты информации от: несанкционированного получения, искажения, уничтожения или блокирования со стороны лиц, имеющих доступ к АС (защита от несанкционированного доступа - НСД); получения ее посторонними лицами с помощью технических средств перехвата побочных электромагнитных излучений (ПЭМИН) и наводок от СВТ, средств и систем связи (защита от ПЭМИН). Защита информации в АС в общем случае обеспечивается СЗИ, представляющими собой комплекс процедурных (организационных), программных, технических и криптографических методов и средств защиты. Основными методами защиты информации в АС являются: 1. Физическая охрана СВТ (устройств и носителей информации), предусматривающая наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и/или специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. 2. Использование СВТ в специально защищенном от ПЭМИН и НСД исполнении. 3. Идентификация и проверка подлинности (аутентификация) пользователей и других ресурсов АС (программно-аппаратных средств). 4. Персональный допуск пользователей к работе в АС и ее ресурсам, включая взаимодействие с другими ресурсами АС. 5. Надзор за деятельностью пользователей в АС, регистрация и учет их действий и в первую очередь - несанкционированных. 6. Проверка целостности (отсутствия вредных изменений) ресурсов АС, включая СЗИ. 7. Использование криптографических СЗИ, находящейся в оперативной и внешней памяти ЭВМ и на различных носителях, а также передаваемой по линиям связи. 8. Применение методов защиты от копирования файлов АС. 9. Периодическое и динамическое тестирование и контроль работоспособности СЗИ, их оперативное восстановление. 10. Проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок. 11. Снижение (исключение) побочных электромагнитных излучений от СВТ. 12. Снижение (исключение) наводок побочных электромагнитных излучений от СВТ на ВТС. 13. Снижение (исключение) информативности сигналов побочных электромагнитных излучений и наводок с использованием систем активной защиты (генераторов шума). Принципы защиты информации При создании программно-аппаратных СЗИ разработчики руководствуются основными принципами, установленными действующими государственными законами и нормативными документами по безопасности информации, сохранению государственной тайны и обеспечению режима секретности работ, проводимых в автоматизированных системах. Принцип обоснованности доступа. Заключается в обязательном выполнении двух основных условий для предоставления доступа исполнителю (пользователю) к информации АС: исполнитель (пользователь) должен иметь достаточную "форму допуска" для доступа к информации данного уровня конфиденциальности - грифа секретности (мандатное условие); исполнителю (пользователю) необходим доступ к данной информации для выполнения его производственных функций (традиционное условие). Эти условия рассматриваются, как правило, в рамках разрешительной системы доступа, в которой устанавливается: кто, кому, конца, какую информацию и для какого вида доступа может предоставить и при каких условиях. Поскольку понятия "пользователь" и "информация" недостаточно формализованы в автоматизированных системах, то в целях автоматизации данных правил используются соответствующие им понятия в среде ЭВМ в виде активных программ и процессов для представления пользователей, носителей информации различной степени укрупненности для представления самой информации в виде сетей и подсетей ЭВМ, узлов сети (ЭВМ), внешних устройств ЭВМ (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов, разделов и подразделов томов, файлов, записей, полей записей, оперативной памяти ЭВМ, разделов и подразделов оперативной памяти ЭВМ, буферов в оперативной памяти ЭВМ и т.д. Тогда разрешительная система доступа предполагает определение для всех пользователей соответствующей программно-аппаратной среды или информационных и программных ресурсов (узлов сети, ЭВМ, внешних устройств ЭВМ, томов, файлов, записей, программ, процессов и т.п.), которые будут им доступны для конкретных операций (чтение, запись, модификация, удаление, выполнение и т.п.) с помощью заданных программно-аппаратных средств доступа (прикладных программ, утилит, процессов, пакетов прикладных программ, команд, задач, заданий, терминалов, ЭВМ, узлов сети и т.п.). Правила распределения указанной среды между пользователями должны быть строго определены (формализованы) и соответствовать целям защиты информации с учетом действующих требований по обеспечению безопасности (режима секретности) и разрешительной системы доступа. Такие правила целесообразно представлять в виде математической модели, учитывающей динамику взаимодействия ресурсов в системе. Принцип достаточной глубины контроля доступа. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированной системы, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями. При создании типовых средств защиты такие механизмы должны охватывать все возможные виды ресурсов, различаемые программно-аппаратными средствами системы, так как глубина детализации контролируемых ресурсов определяется спецификой конкретной автоматизированной системы. Принцип разграничения потоков информации. Для предупреждения нарушений безопасности информации, например при записи секретной информации на несекретные носители (тома, распечатки) и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также передачи секретной информации по незащищенным каналам и линиям связи необходимо осуществлять соответствующее разграничение потоков информации. Для проведения такого разграничения все ресурсы, содержащие конфиденциальную информацию (сети ЭВМ, ЭВМ, внешние устройства, тома, файлы, разделы ОП и т.п.), должны иметь соответствующие метки, отражающие уровень конфиденциальности (гриф секретности) содержащейся в них информации. Принцип чистоты повторно используемых ресурсов. Заключается в очистке (обнулении, исключении информативности) ресурсов, содержащих конфиденциальную информацию (разделов ОП, файлов, буферов и т.п.), при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям. Принцип персональной ответственности. Заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или направлены на несанкционированное ознакомление с конфиденциальной информацией, ее искажение или уничтожение, или делают такую информацию недоступной для законных пользователей. Для проведения данного принципа необходимо выполнение следующих требований: индивидуальная идентификация пользователей и инициированных ими процессов (выполняющихся программ, задач, заданий и т.п.), т.е. установление и закрепление за каждым пользователем и его процессом уникального идентификатора (метки), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа (правилами предоставления доступа). В связи с этим такие идентификаторы и метки должны содержать сведения о форме допуска пользователя и его прикладной области (производственной деятельности); проверка подлинности пользователей и их процессов по предъявленному идентификатору или метке (аутентификация); регистрация (протоколирование) работы механизмов контроля доступа к ресурсам системы с указанием даты и времени, идентификаторов запрашивающего и запрашиваемого ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа. Принцип целостности средств защиты. В автоматизированной системе необходимо обеспечивать целостность средств защиты информации, т.е. такие средства должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе. С этой целью построение комплекса средств защиты должно проводится в рамках отдельного монитора обращений, контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. При этом "монитор обращений" контролирует взаимодействие ресурсов в программно-аппаратной среде, используя матрицу доступа в соответствии с разрешительной системой доступа. Схематично такой монитор представляется в виде, показанном на рис.1. Рис.1. Структура монитора обращений При проектировании монитора должны учитываться следующие требования к механизмам контроля: они должны быть защищены от постороннего вмешательства в их работу, включая их несанкционированную модификацию и подмену; должны всегда присутствовать и работать надлежащим образом; должны быть достаточно малыми по своему размеру для проведения их анализа и тестирования в целях проверки их полноты и точности. Практическое создание СЗИ, удовлетворяющих перечисленным принципам, осуществляется в рамках управляющих программ ОС ЭВМ, а также в рамках программных средств, расширяющих возможности ОС (СУБД, сетевых пакетов и пакетов телеобработки) в случае их применения. В настоящее время создан широкий спектр ОС, включающих разнообразные СЗИ от несанкционированного доступа. Такие защищенные ОС различаются по своему функциональному составу, надежности в обеспечении своей целостности (стойкости) и производительности. Конкретная реализация средств защиты с учетом указанных принципов определяется составом программно-аппаратных средств конкретной автоматизированной системы, полномочиями пользователей на доступ к информации в системе, режимом обработки информации. Лекция 6. Построение систем защиты информации от НСДВопросы:Классические модели защиты информацииСинтез структуры системы защиты информацииПроектирование систем защиты предполагает разработку модели защиты и перенесение ее на конкретную структуру программных средств, ОС, системы управления базами данных или на автоматизированную систему в целом. Модель защиты представляет собой описание, формализованное или нет, правил взаимодействия ресурсов в программно-аппаратной среде АС. Под информационно-программным ресурсом будем в дальнейшем понимать объект доступа в АС: узел сети, ЭВМ, внешние устройства ЭВМ, том, файл, запись, программу, процесс и т.п., под пользователем - субъект доступа: прикладную программу, пакет прикладных программ (ППП), процесс, команду, задачу, задание, терминал, ЭВМ, узел сети и т.п.Модели защиты позволяют сконцентрировать основное внимание на наиболее важных аспектах проблемы защиты информации, отбрасывая из рассмотрения технические детали системы. Использование теоретических или формальных моделей позволяет сравнивать различные системы на общей основе.Модели защиты информации исторически возникли из работ по. теории защиты ОС. Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США. Эта модель состоит из множества объектов защиты: пользователи, задания, терминалы и файлы, которым задаются такие характеристики, как уровень конфиденциальности, категория прикладной области (из дискретного набора рубрик, описывающих прикладную область), полномочия и режим (вид) доступа. Поведение модели описывается следующими простыми правилами [1]:а) пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей;б) пользователю разрешается доступ к терминалу, если он входит в подмножество пользователей, закрепленных за данным терминалом:в) пользователю разрешен доступ к файлу, если:уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла:прикладная область файла включается в прикладную область задания пользователя;режим доступа задания пользователя включает режим доступа к файлу; - пользователь входит в подмножество допущенных к файлу пользователей.Характеристики безопасности объекта получаются на основе прав задания, а не прав пользователя, и используются в модели для управления доступом, что обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов.В модели Хартсона в качестве основных характеристик используются множества так называемого пятимерного "пространства безопасности" [1):установленных полномочии;пользователей;операции;ресурсов;состояний.Область безопасных состояний системы представляется в виде декартова произведения перечисленных множеств. Каждый запрос на доступ представляется подпространством четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.В модели безопасности с "полным перекрытием" [1] предусматривается по крайней мере одно средство защиты для обеспечения безопасности на каждом возможном пути проникновения в систему или нарушения защиты охраняемых объектов. Модель имеет более простой вид за счет удаления из рассмотрения "области пользователя" и "внешних ограничений". В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения с точки зрения их эффективности и их вклад в обеспечение безопасности во всей автоматизированной системе.Одна из первых фундаментальных моделей защиты была разработана Лэмпсоном (Lampson) и затем усовершенствована Грэхемом (Graham) и Деннингом (Denning) [2].Основу их модели составляет правило доступа, которое определяет возможный вид доступа субъекта доступа по отношению к объекту доступа. В контексте ОС объектами доступа могут являться страницы оперативной памяти, программы, устройства внешней памяти ЭВМ и файлы. Субъектами обычно являются пары вида "процесс-домен". Процесс представляет собой активную выполняющуюся программу, а домен - окружение, в котором выполняется процесс.Примерами доменов в системе IBM System/370 являются состояния процессора, супервизора или прикладной программы. Видами доступа могут быть: выполнение, выделение (памяти), чтение, запись. Множество всех возможных правил доступа можно представить в виде матрицы (таблицы) доступа А, в которой столбцы Oi, 02,..., Оn представляют объекты доступа, а строки S1, S2,..., Sn представляют субъекты доступа. Элемент таблицы A [Si,Oj] содержит список видов доступа t1, Т2,..., Тk который определяет привилегии субъекта S, по отношению к объекту Оj,-Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом, часто именуемым монитором. Следовательно, когда субъект S, инициирует доступ вида Тk к объекту 0j, монитор проверяет наличие Tk в элементе матрицы A [Si,Oj]. Так как во время выполнения программы возможна передача управления от одного процесса к другое, то правила доступа должны динамически изменяться таким образом, чтобы права доступа одного субъекта могли бы передаваться другому. Права доступа в матрице помечаются, если разрешена их передача (копирование). Субъекту, не находящемуся в процессе отладки, можно запретить произвольно передавать свои права. Ценность такого подхода состоит в ограничении воздействия ошибок. Ошибки в этом случае не могут бесконтрольно распространяться по всей системе. Поэтому увеличивается надежность (так как другие части системы в большинстве случаев могут продолжать свою работу безошибочно) и упрощается отладка. В такой модели безопасность всех объектов системы рассматривается единообразно. Однако при рассмотрении вопросов безопасности баз данных (БД) такая модель описывает безопасность только части объектов системы, а именно безопасность операционных систем. Безопасность БД предполагает включение в матрицу доступа не только страниц памяти, внешних устройств и файлов, но также и объектов, присущих самим системам управления БД, таких, как записи и поля записей. Поэтому модель может быть расширена для исследования всех аспектов безопасности в автоматизированной системе. Однако существует несколько принципиальных отличий между безопасностью операционной системы и безопасностью БД. Они заключаются в следующем:в БД большее число защищаемых объектов;безопасность БД связана с большим числом уровней укрупненности данных, таких, как файлы, записи, поля записей и значения полей записей;операционные системы связаны с защитой физических ресурсов, а в БД объекты могут представлять собой сложные логические структуры, определенное множество которых может отображаться на одни и те же физические объекты данных;возможно существование различных требований по безопасности для разных уровней рассмотрения - внутреннего, концептуального и внешнего для БД и ОС;безопасность БД связана с семантикой данных, а не с их физическими характеристиками.Единая модель защиты ОС и БД значительно усложняет рассмотрение вопросов безопасности. Поэтому разработаны специальные модели защиты БД. Одним из примеров моделей защиты БД является модель Фернандеза (Fernandez), Саммерса (Summers) и Колмана (Coleman) [3].Данные модели защиты относятся к классу матричных и получили наибольшее распространение вследствие того, что они служат не только для целей анализа логического функционирования системы, но и успешно поддаются реализации в конкретных программных системах. Так как программы выступают в правилах доступа в качестве субъектов, то они могут при необходимости расширять права конкретных пользователей. Например, программа может иметь права на сортировку файла, чтение которого пользователю запрещено, б модели Хартсона (Hartson) и Сяо (Hsiao) [1] каждое правило может иметь расширение, которое определяет права программ. В других случаях может потребоваться сужение прав пользователей правами используемых ими программ. В то же время программы могут выступать в качестве объектов доступа, типичными операциями для которых являются исполнение (Execute) и использование (Use).Другим видом моделей являются многоуровневые модели. Они отличаются от матричных моделей по нескольким аспектам. Во-первых, они рассматривают управление доступом не в рамках задаваемых неким администратором прав пользователям, а в рамках представления всей системы таким образом, чтобы данные одной категории или области не были доступны пользователям другой категории. Первый вид управления получил название дискреционного (discretionary) контроля доступа, а второй - недискреционного (nondiscretionary), хотя возможны и сочетания видов управления доступом. Например, администратор может установить дискреционные правила доступа для персонала внутри подразделения и недискреционные правила доступа для исключения доступа к данным подразделения со стороны сотрудников из другого подразделения. Ценность недискреционных моделей управления доступом состоит в возможности проведения формального заключения об их безопасности, в то время как для дискреционных моделей в общем случае теоретически невозможно установить, являются ли они безопасными (основная теорема Харрисона) [1].Во-вторых, многоуровневые модели рассматривают не только сам факт доступа к информации, но также и потоки информации внутри системы. Подобно дискреционным (матричным) моделям, многоуровневые модели также были разработаны для рассмотрения аспектов безопасности операционных систем и в дальнейшем были распространены на безопасность БД.Наибольшее распространение получила многоуровневая модель защиты, разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre Corp. [4,5]. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекту - уровень конфиденциальности (гриф секретности). В военной области известны такие уровни под грифами "сов. секретно", "секретно", "конфиденциально" (для служебного пользования) и "несекретно". Субъект обычно представляет процесс, выполняющийся по запросу пользователя и имеющий тот же уровень допуска, что и пользователь. Объектами могут быть области памяти, переменные программ, файлы, устройства ввода-вывода, пользователи и другие элементы системы, содержащие информацию. Каждому субъекту и объекту приписывается также множество категорий в виде прикладных областей, например "Ядерное вооружение" или "НАТО". Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности, множество категорий.Один уровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или уровень допуска больше или равен второму, и его множество категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы. Например, на рис.2 уровень безопасности LI доминирует над уровнем L3, так как его уровень классификации выше и его множество категорий включает множество категорий уровня L3. С другой стороны, уровни безопасности LI и L2 являются несравнимыми.Рис.2. Взаимодействие уровней безопасностиДоступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступаопределяются любыми возможными сочетаниями таких операций, т.е.:ни чтение, ни изменение;только чтение;только изменение;чтение и изменение.Модель рассматривает состояния системы безопасности, которые определяются:текущим множеством доступов, представляемых в виде триад (субъект, объект, вид доступа);матрицей доступа;уровнем безопасности каждого объекта;максимальным и текущим уровнями безопасности каждого субъекта.Любой запрос вызывает изменение состояния системы. Запросы могут быть: на доступ к объектам, на изменение уровня безопасности или матрицы доступа, на создание или удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяются правилами. (Здесь правила рассматриваются не как правила доступа в дискретной модели, а как правила оценки) Эти правила поведения системы предписывают, как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Тогда, если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние.Безопасное состояние определяется двумя свойствами: простым условием безопасности и условием безопасности (*) (звездочка), которое называют также ограничительным. Простое условие безопасности заключается в том, что для каждого текущего доступа (субъект, объект, вид доступа), связанного с чтением объекта, уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. Иначе такое условие можно сформулировать как "запрет чтения из более высоких уровней". Простое условие не исключает рассмотрение безопасности при сочетании безопасных доступов.Для случая, когда субъект-нарушитель может прочитать информацию из "сов. секретного" объекта и записал" его в "конфиденциальный" объект, предусматривается условие - (*). Оно предотвращает потоки информации из объектов более высокого уровня в объекты низкого уровня. Это условие определяется следующим образом:если запрос на чтение, то уровень субъекта должен доминировать над уровнем объекта;если запрос на изменение, то уровень объекта должен доминировать над текущим уровнем субъекта;если запрос на чтение-запись, то уровень объекта должен быть равен текущему уровню субъекта.Простое условие безопасности и условие - * представляют модель безопасности, в которой доступ рассматривается по отношению к уровнямсубъекта и объекта. В дискретной же модели безопасность обеспечивается, если каждый текущий доступ разрешен в рамках текущей матрицы доступа.Деннинг рассмотрел потоки информации в многоуровневой модели в более общем виде. Понятия уровней конфиденциальности и категорий он соединил в одно понятие классов безопасности и ввел переменную "оператор соединения классов" вместо ранее введенной постоянной.Модель потоков информации, описывающая конкретную систему, определяется пятью компонентами: множеством объектов, множеством процессов, множеством классов безопасности, оператором соединения классов и потоковым отношением. Оператор соединения классов определяет класс результата любой операции. Например, если мы соединим два объекта а и b классов А и В соответственно, то класс результата представляется как А+В. Потоковое отношение между двумя классами, например в направлении от А к В означает, что информация класса А может быть записана (передана) в класс В. Потоковая модель является безопасной, если потоковое отношение не может быть нарушено.Подводя итог рассмотрению двух классов моделей: матричных и потоковых, отметим, что преимущество матричных моделей состоит в легкости представления широкого спектра правил безопасности информации. Например, правила доступа, зависящие от вида доступа (операции) и объекта доступа (файла), достаточно просто представляются в рамках матричных моделей. Основной недостаток матричных моделей состоит в отсутствии контроля за потоками информации. Основным недостатком моделей управления потоками информации является невозможность управления доступом к конкретным объектам на индивидуальной основе субъектов. Следовательно, оба подхода включают различные компромиссы между эффективностью, гибкостью и безопасностью. Очевидно, что оптимальные решения вопросов безопасности могут вырабатываться при применении обоих видов моделей защиты.Синтез структуры системы защиты информацииВыбор структуры СЗИ и методов защиты осуществляется в процессе создания АС на основании предварительного аналитического и технического обследования объекта автоматизации с учетом государственных нормативных и руководящих документов по зайдите информации от ПЭМИН и НСД.При обработке или хранении в АС информации в рамках СЗИ рекомендуется реализация следующих организационных мероприятий:выявление конфиденциальной информации и ее документальное оформление в вице перечня сведений, подлежащих защите;определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи АС;организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;разработка или модификация СЗИ, включая соответствующую организационно-распорядительную и эксплуатационную документацию:осуществление приемки СЗИ в составе АС и ее аттестация.Создание СЗИ рекомендуется проводить поэтапно.1. Проведение аналитического обследования АС. Осуществляется с целью оценки возможной уязвимости обрабатываемой в ней конфиденциальной информации и выработки необходимых требований по ее защите.2. Проектирование СЗИ. В процессе проектирования СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем) информации ограничений на финансовые, материальные, трудовые и другие ресурсы осуществляется выбор или/и разработка конкретных методов и средств защиты. Результатом данного этапа является законченный комплекс сертифицированных средств и методов защиты информации, имеющий соответствующую необходимую проектную и эксплуатационную документацию.3. Приемка СЗИ в эксплуатацию. На данном этапе осуществляется внедрение (установка) средств и методов СЗИ в АС, их комплексная проверка и тестирование, необходимое обучение и освоение персоналом АС СЗИ. Устраняются выявленные в процессе проверки и тестирования недостатки СЗИ. Результатом этого этапа является общая аттестация СЗИ АС.4. Эксплуатация СЗИ АС. В процессе эксплуатации АС проводится регулярный контроль эффективности СЗИ, при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств, оперативной обстановки и окружения АС. Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией. Отклоняются все модификации АС, снижающие установленную эффективность защиты информации. Периодически проводится контроль СЗИ АС на соответствие нормативно-техническим требованиям и в целях проверки работоспособности средств защиты.При проектировании систем защиты информации от несанкционированного доступа в автоматизированных системах наибольшее затруднение у разработчиков вызывает необходимый функциональный состав СЗИ, определяющий трудоемкость разработки и затраты на защиту при достаточном уровне защищенности АС.Одним из возможных методов ориентации разработчиков на создание необходимых средств защиты являются классификация АС в зависимости от определяющих с точки зрения безопасности параметров режима их функционирования. При этом для каждого класса АС устанавливается обязательный функциональный состав средств, который определяет достаточный уровень защиты информации. К параметрам, определяющим класс АС, относятся:наличие в АС информации различного грифа секретности;уровень полномочии пользователей АС на доступ к секретной информации;режим обработки данных в АС: коллективный или индивидуальным.В нормативном документе [6] устанавливается девять классов защищенности АС от НСД к информации.Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите и, следовательно, иерархия классов защищенности АС.Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности, и содержит два класса - ЗБ и ЗА.Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности, и содержит два класса - 2Б и 2А.Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС, и содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицами 1, 2 (см. приложение).Организационные мероприятия в рамках СЗИ НСД в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечая государственным требованиям по обеспечению режима секретности проводимых работ.При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются аналогичные организационные мероприятия. Отличие заключается только в последнем мероприятии: осуществлении приемки СЗИ НСД в составе АС.При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже (по группам) ЗА, 2А, 1А, 1Б, 1С и использовать сертифицированные СВТ в соответствии с нормативным документом [6]: не ниже 4-го класса для класса защищенности АС 1В; не ниже 3-го класса для класса защищенности АС 1 Б; не ниже 2-го класса для класса защищенности АС 1 А. Практическое создание СЗИ, удовлетворяющих перечисленным требованиям, осуществляется в рамках аппаратных средств и управляющих программ ОС ЭВМ (ПЭВМ), а также в рамках программных средств, расширяющих возможности ОС (СУБД, сетевых пакетов и пакетов телеобработки) в случае их применения.3. Обобщенная структура системы защиты информацииЗащита информации от НСД является составной частью обшей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники от ПЭМИН.Комплекс программно-аппаратных средств и организационных (процедурных) решении по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), состоящей из четырех подсистем:управления доступом;регистрации и учета;криптографической;обеспечения целостности.Подсистема управления доступом включает средства идентификации, проверки подлинности (аутентификации) и контроль доступа пользователей и их программ (процессов) к ресурсам:системе;терминалам;ЭВМ (ПЭВМ),) типам сети ЭВМ (ПЭВМ);каналам связи;внешним устройствам ЭВМ (ПЭВМ);программам;томам, каталогам, файлам, записям, полям записей.Элементы идентификации, проверки подлинности и контроля доступа к ресурсам реализуются при их наличии в АС и в случае отсутствия полномочий на доступ к ним у некоторых пользователей. Контроль доступа субъектов к защищаемым ресурсам осуществляется в соответствии с матрицей доступа.Помимо средств контроля доступа данная подсистема при наличии нескольких уровней конфиденциальности информации должна включать средства управления потоками информации, т.е. контроля передачи информации между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление потоками информации осуществляется с помощью меток конфиденциальности. При записи информации на какой-либо носитель необходимо, чтобы уровень конфиденциальности защищаемо объектов (носителей) был не ниже уровня конфиденциальности записываемой на них информации.Подсистема регистрации и учета включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора:входа/выхода пользователей в/из системы (узла сети);выдачи печатных (графических) выходных документов;запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы;доступа программ пользователей к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам;изменения полномочий субъектов доступа;создаваемых объектов доступа;учет носителей информации.Регистрация проводится с помощью средств автоматического ведения журнала (системного) и выдачи из него протоколов работы пользователей по выбранным регистрируемым параметрам.Кроме этого, данная подсистема включает средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации.Криптографическая подсистема предусматривает шифрование конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, а также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом.Криптографическая подсистема реализуется в виде:программно-аппаратных или программных средств, разрабатываемых (используемых) на основе "Алгоритма криптографического преобразования" (ГОСТ 28147-89), криптосхемы, реализующей данный алгоритм, или других аттестованных средств, предназначенных для шифрования/дешифрования с целью снятия грифа секретности информации, записываемой на внешних запоминающих устройствах ЭВМ (накопителях) или передаваемой по линиям связи;других криптографических средств для шифрования/дешифрования информации, включая служебную информацию СЗИ НСД (ключи, пароли, таблицы санкционирования и т.п.).Уровень реализации функций СЗИ от НСД должен обеспечивать ее целостность для всех режимов работы АС в соответствии с принципом целостности средств защиты.Подсистема обеспечения целостности СЗИ НСД является обязательной для любой СЗИ и включает организационные, программно-аппаратные и другие средства и методы, обеспечивающие:физическую охрану СВТ (устройств и носителей информации), территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;недоступность средств управления доступом, учета и контроля со стороны пользователей с целью их модификации, блокирования или отключения;контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения;периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств;наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД;восстановление СЗИ НСД при отказе и сбое;применение сертифицированных (аттестованных) средств и методов зашиты, сертификация которых проводится специальными сертификационными и испытательными центрами.4. Методы идентификации и аутентификацииДля осуществления одного из основных принципов защиты информации - принципа персональной ответственности, помимо законодательных, этических и моральных норм необходимы соответствующие административные (процедурные) мероприятия и технические средства. Такие мероприятия должны быть направлены в первую очередь на идентификацию и аутентификацию пользователей автоматизированной системы.Идентификация пользователей заключается в установлении и закреплении за каждым пользователем автоматизированной системы уникального идентификатора в виде номера, шифра, кода и т.п. Это связано с тем, что традиционный идентификатор вида фамилия-имя-отчество не всегда приемлем для применения в системе. Так, в США широко применяются в различных автоматизированных системах персональный идентификационный номер (PIN - Personal Identification Number), социальный безопасный номер (SSN - Social Security Number), личный номер, код безопасности и т.д. [8]. Такие идентификаторы используются при построении различных систем разграничения доступа и защиты информации. Идентификаторы пользователя являются аналогом подписи или факсимильной печати традиционных документальных систем.Аутентификация заключается в проверке подлинности пользователей по предъявленному идентификатору, например при входе в систему. Такая проверка должна исключать фальсификацию пользователей в системе и их компрометацию. Без проверки подлинности теряется смысл в самой идентификации пользователей и применения средств разграничения доступа и защиты информации, построенных на базе личных идентификаторов. Отсутствие надежных средств проверки подлинности пользователей может существенно затруднить определение персональной ответственности за осуществленные нарушения безопасности системы.Проверка подлинности (аутентификация) может проводится различными методами и средствами. В общем случае такие методы основываются на том, что конкретный пользователь в отличие от других знает код, пароль, имеет ключ, жетон, карту. Проверка подлинности может также осуществляться с помощью биометрических характеристик отпечатков пальцев, формы кисти руки, сетчатки глаза, голоса и т.п.Для аутентификации пользователей применяется широкий спектр устройств, которые по принципу своей работы разделяются по видам идентификации: по магнитным картам; по отпечаткам пальцев; по геометрии кисти руки; по сетчатке глаза; по подписи; по голосу.Наибольшее распространение получили устройства идентификации по индивидуальным магнитным картам [9]. Популярность таких устройствобъясняется универсальное-то их применения (не только в автоматизированных системах), относительно низкой стоимостью и высокой точностью. Такие устройства легко комплексируются с терминалом и ПЭВМ. Поскольку считыватели этих устройств идентифицируют не личность, а магнитную карту, то они компонуются специальной, часто цифровой клавиатурой для ввода владельцем карты своего шифра, пароля. Для защиты карт от несанкционированного считывания и подделки применяются специальные физические и криптографические методы.Основными характеристиками устройств аутентификации являются:частота ошибочного отрицания законного пользователя;частота ошибочного признания постороннего;среднее время наработки на отказ;число обслуживаемых пользователей;стоимость;объем циркулирующей информации между считывающим устройством и блоком сравнения;приемлемость со стороны пользователей.Исследования и испытания биометрических устройств аутентификации показали, что частота ошибочного отрицания несколько превышает частоту ошибочного признания и составляет от сотых до тысячных долей процента и менее.Так, отечественное устройство аутентификации по подписи имеет частоту ошибочного отрицания, приблизительно равную частоте ошибочного признания, и составляет около 0,005.Исследования устройств аутентификации по голосу, проведенные фирмой Bell, показали, что распознавание речи можно осуществлять с частотой ошибочного отрицания и ошибочного признания равными 0,012. В связи с этим был сделан вывод о нецелесообразности применения таких устройств.Основным выводом, полученным из опыта создания устройств аутентификации, является то, что получение высокой точности аутентификации возможно только при сочетании различных методов. Дополнительный ввод с клавиатуры обеспечивает приемлемую вероятность правильной аутентификации.Программные средства аутентификации, применяемые в большинстве ОС, СУБД, мониторов телеобработки, сетевых пакетов, основаны на использовании парольной системы доступа. Однако многие из них достаточно легко вскрываются или обходятся. Например, в ОС RSX-11M в стандартной конфигурации отсутствуют средства шифрации паролей в файле счетов пользователей. В процессе загрузки этой ОС можно легко просмотреть пароли всех пользователей, включая привилегированный пароль системного пользователя. Более безопасные системы осуществляют хранение списков паролей пользователей в зашифрованном виде на основе необратимых преобразований. В то же время перехват даже зашифрованного пароля, например в сети типа DECnet, позволяет при его использовании получить несанкционированный доступ к удаленной ЭВМ. Теоретические аспекты парольных систем достаточно хорошо проработаны и позволяют оценить необходимую длину пароля, исходя из технических характеристик конкретной автоматизированной системы. Различные модификации парольных систем (выборка символов, пароли однократного использования, метод "запрос-ответ") могут значительно повысить безопасность системы.Не меньшее значение имеет для пользователя также аутентификация системы, с которой он взаимодействует. Это особенно актуально в сети ЭВМ, когда пользователь хочет взаимодействовать только с данной ЭВМ сети и поэтому желает убедиться в ее подлинности. Использование подставной ЭВМ, ОС или программы является одним из путей несанкционированного получения паролей законных пользователей или сообщений. Одним из методов уменьшения такой угрозы является применение процедур "запрос-ответ" и их разновидностей, а также криптографических средств [10]. Такая взаимная аутентификация имеет важное значение и для взаимодействующих программ и процессов, особенно в среде сети ЭВМ, локальных вычислительных сетей. Необходимость взаимной аутентификации сетевых процессов подтверждена международным стандартом по взаимодействию открыло систем.Одним из распространенных методов установления подлинности программных средств и файлов является также использование контрольного суммирования. Алгоритмы подсчета контрольных сумм варьируются по своей надежности в больших пределах. Наиболее безопасными являются сертифицированные криптографические алгоритмы подсчета контрольных сумм, результаты которых практически не поддаются подделке. Их примером является режим имитовставки стандартного алгоритма криптографического преобразования ГОСТ 28147-89. Однако такие алгоритмы вносят немалые издержки.Большое распространение для аутентификации аппаратурных средств вычислительной техники (ЭВМ, терминалов, внешних устройств) получили специальные аппаратные блоки-приставки. Такие блоки, будучи подключенными к аппаратуре, могут генерировать особые уникальные последовательности сигналов, подтверждая подлинность соответствующих устройств [17, 19]. Такой метод используется также для защиты программных комплексов от несанкционированного копирования. В этом случае защищаемые программные средства периодически опрашивают такие блоки и при их отсутствии блокируют работу всей системы [11].Современным средством аутентификации является цифровая подпись (ЦП). В основе ЦП лежат криптографические преобразования информации. Получаемые цифровые сигнатуры обладают высоким уровнем защиты от подделки. Криптографическое преобразование может быть применено как к документу в целом, так и только к удостоверяющим реквизитам. Соответственно ЦП подтверждает либо подлинность документа в целом (одновременно контролируется целостность документа), либо удостоверяющих реквизитов. Более подробно о ЦП см. в [34].Необходимо отметить, что все методы аутентификации в случае неподтверждения подлинности, должны осуществлять временную задержку перед обслуживанием следующего запроса на аутентификацию. Такое условие необходимо для снижения угрозы подбора паролей в автоматическом режиме. Неуспешные попытки подтверждения подлинности целесообразно регистрировать в системном журнале и/или сигнализировать на терминал или АРМ администратора системы, что связано с надзором (контролем) за безопасностью системы.5. Методы контроля доступаВ практике работы на ЭВМ контроль доступа заключается в реализации того или иного вида матрицы доступа. Схемы разграничения доступа удобно разделить на две группы: - "списковые" схемы, в которых защитные механизмы встраиваются в каждый объект и осуществляют контроль в соответствии со списками доступа данного объекта; - "мандатные" схемы, в которых защитный механизм объекта реагирует на некоторый мандат, и субъект должен иметь набор мандатов для доступа ко всем Необходимым ему объектам, т.е. схема основана на домене субъекта.При разделении функций адресации и защиты удобно разбить память на области или сегменты, каждый из которых снабжен своим идентификатором и имеет непересекающийся с другими сегментами диапазон адресов. Реализация механизма защиты памяти на той или иной ЭВМ существенно влияет на построение схемы контроля доступа.Например, в ЭВМ фирмы Burroughs, системе Multics фирмы Honey well, "Минск-32", ПЭВМ с процессорами, обеспечивающими защиту памяти, адресные дескрипторы в равной степени принадлежат всем пользователям и не содержат атрибутов доступа - они состоят только из базы и границ памяти. Данный механизм наиболее пригоден для реализации мандатной схемы контроля доступа. Мандатом здесь может являться находящееся в памяти значение дескриптора защиты.В то же время на ЭВМ типа IВМ Р4 в процессоре содержатся регистры для дескрипторов защиты, в состав которых включены атрибуты доступа. Доступ к этим регистрам возможен только привилегированными командами процессора. Данный механизм наиболее подходит для реализации схемы контроля доступа со списками доступа. Причем списки могут быть как "индивидуальными", так и "групповыми" для сокращения объемов матриц доступа, если это возможно.Обычно необходимость контроля доступа возникает при разделении пользования каким-либо ресурсом многими субъектами. При этом разнообразие предлагаемых схем и механизмов контроля доступа к информации в программной реализации весьма велико. Рассмотрим только некоторые из них.1. Системы без схем защиты. В некоторых системах полностью отсутствуют механизмы, препятствующие определенному пользователю получить доступ к информации, хранимой в системе. Хотя на современном этапе развития СЗИ эти системы уже не представляют интереса, о них следует упомянуть потому, что до сих пор некоторые из них широко использовались и используются. Это, например, DOS для IBM 360/370, MS и PC DOS для ПЭВМ.2. Системы, построенные по принципу "виртуальной машины". В таких системах обеспечивается взаимная изоляция пользователей, за исключением только некоторого количества общей информации. Система из числа доступных ей ресурсов выделяет некоторые в полное распоряжение пользователя, который может считать, что имеет в своем распоряжении собственную ЭВМ. Здесь разграничение доступа реализовано путем полного изолирования пользователей друг от друга. Данная схема в чистом виде делает затруднительным взаимодействие пользователей, поэтому иногда здесь приходится вводить помимо изолирования элементы разграничения доступа, например парольный доступ к некоторым ресурсам совместного использования. К числу подобных систем относятся, VM/370 для IBM, СВМ для ЕС ЭВМ и некоторые другие.3. Системы с единой схемой контроля доступа. Для обеспечения прямого контроля доступа к отдельным ресурсам в системе необходимы более сложные схемы, чем до сих пор рассматривались. В таких системах с каждым информационным элементом может быть связан "список авторизованных пользователей", причем владелец элемента может различным пользователям предписать различные режимы его использования - для чтения, для записи или для выполнения. Среди функционально полных систем такого рода можно отметить систему ADEPT-50.4. Системы с программируемыми схемами разграничения доступа. Часто необходимость разграничения доступа может определяться смысловым содержанием информационного элемента или контекстом, в котором этот элемент используется. Сложность в прямой реализации подобных механизмов разграничения приводит к механизму разграничения, основанному на понятии "доверенной" программной среды. При этом выделяются защищенные объекты и защищенные подсистемы. Защищенная подсистема представляет собой совокупность программ и данных, обладающих тем свойством, что правом доступа к данным (т.е. защищенным объектам) наделены только входящие в подсистему программы. В итоге программы подсистемы полностью контролируют доступ к данным и могут реализовать любой необходимый алгоритм их обработки и разграничения доступа. Пользователь же имеет возможность получения только опосредованного доступа к данным, только через программы защищенной подсистемы, доступ к которым может быть предоставлен уже традиционными способами. Здесь из общеизвестных можно привести системы Multics и UNIX.5. Системы динамического распределения прав. Большинство из представленных выше схем разграничения основаны на статической модели разграничения доступа, когда каждый из имеющихся объектов уже внесен вматрицу разграничения доступа перед началом обработки. Проблемы возникают в момент порождения новых объектов: где, на каких носителях их можно размещать, какие права давать пользователям на доступ к этим объектам и т.д. В вычислительных системах реализация подобных схем носит фрагментарный характер вследствие своей сложности. Например, в системе ADEPT-50 прослеживается уровень секретности всех документов, помещаемых в файл, и при выдаче содержимого из файла автоматически присваивается максимальный уровень секретности из числа использованных.Лекция 7. Организация работ по защите информации, обрабатываемой техническими средствамиВопросы:Организационно-технические мероприятия по защите информации.Вопросы проектирования, внедрения и эксплуатации АС и их систем зашиты информации.1 Организационно-технические мероприятия по защите информацииОрганизация работ по защите информации, составляющей государственную и служебную тайну, при ее обработке техническими средствами определяется в целом "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от се утечки по техническим каналам".Мероприятия по защите информации, обрабатываемой техническими средствами, осуществляются во взаимосвязи с другими мерами по обеспечению установленного законами Российской Федерации "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную *) тайну.В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны проводиться в установленном нормативными документами порядке в виде системы защиты секретной информации (СЗСИ).Право на проведение работ со сведениями, составляющими государственную тайну, на разработку СЗИ и осуществление мероприятий по защите тайны предоставляется учреждениям и предприятиям в соответствии с "Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, оказанием услуг по защите государственной тайны" [19], а при оказании услуг в области защиты информации - и с "Положением о государственном лицензировании деятельности в области защиты информации" [20] по видам деятельности, являющимся компетенцией Гостехкомиссии России и ФАПСИ.В соответствии с требованиями указанных документов право на обработку информации, составляющей государственную тайну, техническими средствами предоставляется только предприятиям, получившим лицензию на право проведения работ со сведениями соответствующей степени секретности, а на оказание услуг сторонним учреждениям и предприятиям - предприятиям, имеющим лицензию Гостехкомиссии России или ФАПСИ на право осуществления соответствующих видов деятельности в области защиты информации. Перечень таких предприятий с указанием конкретных видов деятельности публикуется Гостехкомиссией России и ФАПСИ.Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, за счет несанкционированного доступа к ней, предупреждения преднамеренных программно-технических воздействий с целью уничтожения или искажения информации в процессе ее обработки, передачи и хранения.*) Вопросы обращения со служебной информацией, в т. ч. машинными носителями информации, определяются "Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденным постановлением Правительства Российской Федерации от 03.11 94 № 1233.Основными организационно-техническими мероприятиями по защите информации являются:лицензирование деятельности предприятий в области защиты информации;разработка средств защиты информации и контроля за ее эффективностью и их использование;сертификация средств защиты информации и контроля за ее эффективностью;создание и применение автоматизированных информационных систем в защищенном исполнении;аттестация объектов и систем информатизации на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени секретности.Конкретные средства и меры защиты информации разрабатываются и применяются в зависимости от уровня секретности и ценности информации и от степени возможного ущерба в случае ее утечки, уничтожения, модификации.Прежде чем перейти к вопросам непосредственной организации в учреждении, на предприятии работ по защите информации, обрабатываемой техническими средствами, проектирования, внедрения и эксплуатации систем информатизации, остановимся более подробно на проблеме обеспечения качества разрабатываемой, выпускаемой серийно и используемой потребителями защищенной техники и средств защиты информации, защищенных систем информатизации, а также оказываемых в области защиты информации услуг, имеющей ключевое значение в процессе информатизации и особенно защиты информации.Проблему обеспечения качества продукции и услуг в области защиты информации можно условно разделить на три направления, взаимодополняющих друг друга:лицензирование деятельности по оказанию услуг в области защиты информации;сертификация средств и систем вычислительной техники и связи, СЗИ по требованиям безопасности информации;аттестация объектов информатики по требованиям безопасности информации.Каждое из этих направлении преследует свои цели, имеет свои отличительные особенности, занимает свою "нишу" в общей проблеме обеспечения качества продукции и услуг в области защиты информации. Они призваны стимулировать разработку на современном уровне и внедрение качественных средств и систем и защитить потребителя продукции и услуг от недобросовестной работы исполнителя (продавца).Первостепенное значение в решении этой проблемы имеют требования по защите информации, изложенные в виде стандартов, иных нормативных и методических документов, которым должны отвечать эти средства и системы.Для воплощения законодательных положений в жизнь необходим механизм их реализации в виде организационной структуры систем лицензирования деятельности в области защиты информации, сертификации продукции и аттестации объектов информатики по требованиям безопасности информации, возглавляемой органами государственного управления в пределах компетенции, определенной законодательством Российской Федерации, выполняющими организационную и координирующую деятельность в этом направлении, необходимы подзаконные нормативные акты, определяющие порядок создания и функционирования этих систем, стандарты и иные нормативные документы по безопасности информации, на соответствие требованиям которых проверяются средства и системы информатизации и услуги в этой области.Необходимо также взаимодействие и объединение этих систем в рамках единой системы защиты информации, поддержанной в организационно-правовом, техническом и финансовом отношении на государственном уровне.Основными нормативными актами системы, работающей под управлением Гостехкомиссии России, являются "Положение об обязательной сертификации продукции по требованиям безопасности информации" [22] и "Положение по аттестации объектов информатики по требованиям безопасности информации" 123].Уместно заметить, что в соответствии с первым из них предложена обязательная сертификация, которой подлежат технические средства, в том числе иностранных) производства, предназначенные для обработки (передачи) информации, составляющей государственную тайну, для использования в управлении экологически опасными объектами, а также средства защиты и контроля защищенности такой информации. Об этом же говорится в ст.27 "Положения о государственной системе защиты информации...". Затраты на проведение обязательной сертификации продукции относятся на ее себестоимость и оплачиваются заявителями.Несколько отличны требования по защите информации от НСД в АС.Их отличие порождено тем, что СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем проектируется АС, поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации, которая собственно и подлежит защите. Следовательно, защищенность СВТ представляет собой потенциальную защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации, обрабатываемой в АС, построенной с использованием защищенных СВТ.Но если защита СВТ обеспечивается только комплексом программно-технических средств, то защита АС обеспечивается как комплексом программно-технических средств, так и поддерживающих их организационных мер. Указанные отличия обусловили создание самостоятельных технических требований по защите информации, обрабатываемой в АС, от НСД в виде руководящего документа по стандартизации "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации" [6], который должен использоваться заказчиками и разработчиками АС при формировании и реализации требований по защите.Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации.Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.К числу определяющих признаков, по которым производится группировка АС по классам, относятся: наличие в АС информации различного уровня конфиденциальности, уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации и режим обработки данных в АС, коллективный или индивидуальный.Устанавливается девять классов защищенности АС от НСД к информации. Классы подразделяются на группы, отличающиеся особенностями обработки информации в АС.Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровнейконфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.Документом предусмотрено, что комплекс программно-технических средств и организационных решений по защите информации от НСД в общем случае реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: управления доступом, регистрации и учета, криптографической и обеспечения целостности (см. приложение).Наличие и условия реализации требований в зависимости от класса АС приведены в табличном виде и представлены по группам классов.В документе приведены условия использования в АС, предназначенной для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, СВТ, защищенность которых определяется по РД "Показатели защищенности СВТ".Кроме того, вопросы защиты информации и оценки качества в той или иной мере затрагивались в общем виде в ГОСТах серии В на проектирование, испытания и приемку, а также постановку на производство военной техники (ГОСТ В 15.210-78 "Испытания опытных образцов изделий", ГОСТ В 15.307-77 "Испытания и приемка серийных изделий" и ГОСТ В 15.211-78 "Порядок разработки программ и методик испытаний опытных образцов изделий. Общие положения".В части сертификации программных средств с 1990 г. действует ГОСТ 28195-89 "Оценка качества программных средств".Таким образом, при введении в действие систем сертификации качество продукции в рассматриваемой области будет оцениваться в соответствии с приведенными выше стандартами и иными нормативными документами по защите информации.2. Вопросы проектирования, внедрения и эксплуатации АС и их систем зашиты информацииРассматривая в предыдущей главе вопросы организационно-правового обеспечения безопасности информации, обрабатываемой техническими средствами и системами, имелось в виду прежде всего правовое регулирование на государственном уровне. Хотя отдельные аспекты права, организации работ захватывали и нижний уровень - уровень учреждений, а также предприятий различных форм собственности, использующих в своей деятельности технические средства для обработки информации, подлежащей защите, на котором возникает потребность в решении проблем безопасности информации, составляющей как государственную, служебную, так и коммерческую тайну, секреты производства (ноу-хау), а также безопасности самих автоматизированных систем, используемых, например, в управлении экологически опасными объектами.Поэтому рассмотрим, как и с помощью каких организационных мероприятий и процедур могут решаться проблемы безопасности информации на всех этапах проектирования и эксплуатации автоматизированных систем и их систем защиты секретной (или иной подлежащей защите) информации (СЗСИ).Организация защиты информации, обрабатываемой техническими средствами, возлагается на руководителей учреждений и предприятий, руководителей подразделений, разрабатывающих и эксплуатирующих системы информатизации, а методическое руководство и контроль за обеспечением защиты информации - на руководителей подразделений по защите информации службы безопасности предприятия-заказчика.Система защиты секретной информации АС включает комплекс организационных, технических и программных (в т. ч. криптографических) средств и мероприятий по защите информации. Научно-техническое руководство и непосредственную организацию работ по созданию СЗСИ АС осуществляет главный конструктор этой системы или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой системы информатизации.Разработка СЗСИ производится подразделением, разрабатывающим на предприятии АС, либо специализированным предприятием, имеющим лицензию на этот вид деятельности в области защиты информации.В случае разработки СЗСИ или ее отдельных компонент специализированным предприятием, имеющим лицензию на этот вид деятельности, на предприятии (в учреждении), для которого разрабатывается АС (предприятие-заказчик), определяется подразделение (или отдельные специалисты), ответственные за осуществление (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную тайну.Разработка и внедрение СЗСИ АС проходит во взаимодействии с подразделениями по защите информации службы безопасности предприятия-заказчика, которые осуществляют на предприятии методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания СЗСИ, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации, участвуют в согласовании технических заданий на проведение работ, в аттестации АС по требованиям безопасности информации.Организация в учреждении, на предприятии работ по созданию и эксплуатации АС и их СЗСИ приводится в "Положении о порядке организации и проведения на предприятии работ по защите информации, обрабатываемой техническими средствами", с учетом конкретных условий определяющем: - подразделения и отдельных специалистов, в том числе специализированных предприятий, участвующих в разработке и эксплуатации СЗСИ АС, их задачи и функции на различных стадиях создания СЗСИ; - вопросы взаимодействия всех задействованных в этой работе подразделений и специалистов: - ответственность должностных лиц за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработок СЗСИ.Устанавливаются следующие стадии создания СЗСИ:1) предпроектная стадия, включающая обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗСИ и раздела технического задания на создание АС по разработке СЗСИ;2) стадия разработки проектов, включающая разработку СЗСИ в составе АС;3) стадия ввода в действие СЗСИ, включающая опытную эксплуатацию и приемочные испытания средств защиты информации, а также аттестацию АС по требованиям безопасности информации.В комплексе работ по созданию АС должна предусматриваться опережающая разработка и внедрение СЗСИ. Поясним, что это такое. Система защиты секретной информации реализуется в виде подсистемы АС и включает комплекс организационных, программно-технических (в том числе криптографических) средств, систем и мероприятий по защите информации. СЗСИ состоит из системной и функциональной частей. Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства задач АС, функциональная часть обеспечивает защиту информации при решении конкретной задачи и специфична для нее. Поэтому от своевременной постановки и правильного решения вопросов системной части СЗСИ зависит своевременность разработки и эффективность самой автоматизированной системы.1. На предпроектной стадии по обследованию объекта информатизации:устанавливается необходимость обработки секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;определяется категория СВТ;определяется класс АС;определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации;оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;определяются мероприятия по защите секретной информации на стадии разработки АС;на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗСИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗСИ.Результаты предпроектного обследования в части наличия подлежащей защите информации и оценки ее уровня конфиденциальности и ценности базируются только на документально оформленных перечнях сведений, будет ли этот перечень сведений, подлежащих засекречиванию или перечень сведений, составляющих служебную или коммерческую тайну.Наличие таких перечней является необходимым условием, но недостаточным для решения вопроса об уровне конфиденциальности информаций, обрабатываемой в АС. В целях решения этого вопроса необходимо проанализировать структуру информационного обеспечения системы, необходимость наличия в ней защищаемых интегрированных сведений, объемы и формы представления информации для пользователей и другие составляющие.Степень секретности (конфиденциальность) обрабатываемой информации определяется заказчиком АС и документально за подписью соответствующего руководителя представляется разработчику СЗСИ.Предпроектное обследование может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности, но и в этом случае анализ информационного обеспечения в части секретной информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.На основании результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗСИ и раздел ТЗ на ее разработку."Аналитическое обоснование необходимости создания СЗСИ" должно содержать:информационную характеристику и организационную структуру объекта информатизации;характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;предлагаемые к использованию сертифицированные средства защиты информации;оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗСИ;ориентировочные сроки разработки и внедрения СЗСИ;обоснование необходимости привлечения специализированных предприятий для разработки СЗСИ;перечень мероприятий по защите секретной информации на стации разработки АС.Раздел "Технического задания на создание АС" на разработку СЗСИ должен содержать:основание для разработки;исходные данные создаваемой АС в техническом, программном, информационном и организационном аспектах;категорию СВТ;класс защищенности АС;ссылку на государственные нормативные документы, с учетом которых будет разрабатываться СЗСИ и аттестовываться АС;конкретизацию требований к СЗСИ на основе государственных нормативных документов и установленных категории и класса защищенности;перечень предполагаемых к использованию сертифицированных средств защиты информации;обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;состав и содержание работ по этапам разработки и внедрения, сроки и объемы финансирования работ;перечень предъявляемой заказчику научно-технической продукции и документации.Важным, с экономической точки зрения, является принятие решения исходя из требований к АС в целом и СЗСИ, в частности, о выборе из имеющихся на рынке сертифицированных средств защиты информации, привлечении лицензированного предприятия или о разработке специализированных средств собственными силами. Однако при этом не следует забывать об их последующей сертификации при необходимости обработки секретной информации.В целях дифференцированного подхода к защите информации производится категорирование средств и систем вычислительной техники, предназначенных для обработки, передачи и хранения секретной информации, и классификация АС, предназначенных для обработки секретной и иной конфиденциальной информации.Категория средств и систем вычислительной техники устанавливается в соответствии с действующим "Положением по категорированию объектов ЭВТ на территории СССР" (ПКО ЭВТ).Класс защищенности АС от несанкционированного доступа к информации устанавливаются в соответствии с требованиями руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".Па основании требований п.2.18. этого РД устанавливается следующий порядок классификации АС в зависимости от степени секретности обрабатываемой информации:АС, обрабатывающие информацию с грифом "секретно", должны быть отнесены по степени защищенности к классам ЗА, 2А и не ниже 1В;АС, обрабатывающие информацию с грифом "совершенно секретно", должны быть защищены по классам ЗА, 2А и не ниже 1Б;АС, обрабатывающие информацию с грифом "особой важности", должны быть защищены по классам ЗА, 2А, 1 А.2. На стадии проектирования АС и СЗСИ в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:разработка задания и проекта на строительство или реконструкцию объекта информатизации в соответствии с требованиями ТЗ на разработку СЗСИ:разработка раздела технического проекта на АС в части СЗСИ;строительно-монтажные работы по оборудованию (переоборудованию) объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;разработка организационно-технических мероприятий по защите объекта информатизации в соответствии с предъявляемыми требованиями;закупка сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;закупка и специальные исследования на побочные электромагнитные излучения и наводки несертифицированных технических средств с выдачей предписаний на их эксплуатацию;специальная проверка импортных технических средств на предмет возможно внедренных в эти средства специальных электронных устройств ("закладок");размещение и монтаж технических средств АС;закупка сертифицированных серийно выпускаемых технических и программных (в том числе криптографических) СЗИ и их адаптация;разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;объектовые исследования технических средств АС на побочные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств;организация охраны и физической защиты объекта информатизации и отдельных технических средств;разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемом в виде раздела "Положения о разрешительной системе допуска исполнителей к документам и сведениям в учреждении (на предприятии)";определение заказчиком подразделений и лиц, ответственных за эксплуатацию СЗСИ, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;выполнение генерации пакета прикладных программ в комплексе с программными средствами зашиты информации;разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).Для эффективной и надежной с точки зрения обеспечения безопасности информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той информацией, которая необходима им для выполнения своих функциональных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и оформить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа,регламентирующие права доступа субъектов к объектам, т.е. не только кто из пользователей АС и их программ допускается к тем или иным, программам, файлам, записям, но и какие действия при этом они могут осуществлять (читать, писать, выполнять). Все это оформляется службой безопасности информации или администратором АС в виде матрицы доступа или иных правил разграничения доступа.Среди организационных мероприятий по обеспечению безопасности информации - охрана объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи.Следует отметить, что в последнее время в направлении физической защиты помещений, самих СВТ, информационных носителей наблюдается смещение акцентов в сторону использования в этих целях средств защиты, основанных на новых принципах. Например, доступ в помещения разрешается и контролируется с помощью АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различных физических принципах, с помощью которых осуществляется разграничение доступа в помещения, вход в систему и т.д.3. На стадии ввода в действие АС и СЗСИ в ее составе осуществляются:опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными программами в целях проверки их работоспособности и отработки технологического процесса обработки информации;приемочные испытания СЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном порядке органом по аттестации в соответствии с "Положением по аттестации объектов информатики по требованиям безопасности информации", действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением Гостехкомиссии России.При положительных результатах аттестации владельцу АС выдается "Аттестат соответствия АС требованиям безопасности информации". Эксплуатация АС осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписаниями на эксплуатацию технических средств.Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы защиты информации от НСД (СЗИ НСД) как комплекса программно-технических средств и организационных (процедурных) решений, предусматривающей учет, хранение и выдачу пользователям информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗСИ, контроль соответствия общесистемной программной среды эталону и приемку включаемых в АС новых программных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.Перечисленные составляющие являются функциональной направленностью службы безопасности информации, администратора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспечению безопасности информации ("Положение о порядке организации и проведения на предприятии работ по защите информации в АС", "Инструкция по защите информации, обрабатываемой в АС предприятия", разделе "Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии", определяющем особенности системы допуска в процессе разработки и функционирования AQ, а с другой стороны, в проектной документации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от НСД и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации в АС, какими бы совершенными эти программно-технические средства не были.Контроль состояния и эффективности защиты информации осуществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.Лекция 8. Комплекс технических средств, программного обеспечения, технологического процесса обработки информации при использовании системы электронного документооборота с ОПФР1. Информационная характеристика предприятия, экономическое обоснование необходимости внедрения системы электронного документооборота с ОПФР.2. Характеристика комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации.3. Перечень подготавливаемых документов при использовании системы электронного документооборота с ОПФР. Характеристика СКЗИ "Верба", порядок работы с ней при использовании системы электронного документооборота с ОПФР.1.В соответствии с законом РФ 1-ФЗ от 10.01.2002 года в Государственном Учреждении - Отделении Пенсионного фонда по Краснодарскому краю создана система электронного документооборота с применением электронной цифровой подписи.В настоящее время индивидуальные сведения о стаже и заработке застрахованных лиц представляются в органы Пенсионного фонда РФ на магнитном и бумажном носителях, каждое заверенное личной подписью руководителя и печатью предприятия. Это приводит к значительным затратам времени и расходных материалов.Внедрение в эксплуатацию технологии приема индивидуальных сведений, заверенных электронной цифровой подписью, позволит произвести экономию трудовых и материальных ресурсов.Управление Пенсионного фонда РФ в Западном административном округе города Краснодара предлагает рассмотреть вопрос о подключении предприятия к системе электронного документооборота ПФ РФ для представления индивидуальных сведений о стаже и заработке застрахованных лиц в электронном виде с ЭЦП.Требования по обеспечению информационной безопасности в сэд опфр.Информационная безопасность в СЭД ОПФР должна обеспечиваться системой, включающей в себя комплекс организационных, инженерно-технических мер защиты информации на этапах подготовки, обработки, передачи, приема, хранения и уничтожения электронных документов.Технологические процессы подготовки, ввода и обработки электронных документов, а также установки, настройки, эксплуатации и восстановления средств обработки должны быть регламентированы и обеспечены инструктивными и методическими материалами.Готовность абонента к ведению защищенного электронного документооборота должна подтверждаться пакетом документов, перечисленных в п. п.3.4 Временного Регламента.Обмен электронными документами должен проводится с использованием специализированных АРМ АС, оборудованных СКЗИ "Верба-ОW" и средствами защиты информации от несанкционированного доступа.Работа абонентов в СЭД ОПФР с использованием средств криптографической защиты информации должна осуществляться в соответствии с требованиями законодательства Российской Федерации, ФАПСИ и Гостехкомиссии России, инструкциями и методическими рекомендациями ПФР, ОПФР, а также эксплуатационной документацией на средства криптографической защиты информации.Право доступа к АРМ АС должны иметь только уполномоченные установленным порядком лица, прошедшие соответствующую подготовку, изучившие требования ФАПСИ, инструкции и методические рекомендации Отделения ПФР, а также эксплуатационную документацию на средства криптографической защиты информации.При эксплуатации СКЗИ и работе в СЭД ОПФР должна быть обеспечена:тайна конфиденциальной информации;тайна ключей шифрования и электронной цифровой подписи и защита их от компрометации;тайна паролей абонентов системы.Порядок регистрации и подключения к СЭД ОПФРЮридические и физические лица направляют на имя Управляющего ОПФР по Краснодарскому краю письменное заявление о подключении его к СЭД ОПФР.Получив письменное заявление от юридического, физического лица на его подключение к СЭД ОПФР, Отделение ПФР направляет в его адрес следующий пакет документов:соглашение об обмене электронными документами в СЭД ОПФР;номер ключевой серии, выделенной ОПФР по Краснодарскому краю;номера ключей шифрования и электронной цифровой подписи из данной ключевой серии, выделенные Управлению ПФР, с которым будет осуществлять электронный документооборот юридическое или физическое лицо;акт о готовности к работе в СЭД ОПФР;Порядок действий юридического и физического лица:проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим лицам, на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации;назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя, проведение их обучения правилам пользования средствами криптографической защиты информации.Физическое лицо, как самостоятельный участник СЭД ОПФР, является администратором информационной безопасности в одном лице.Юридическое или физическое лицо направляет в Отделение ПФР по Краснодарскому краю следующий комплект документов:подписанное Соглашение об обмене электронными документами в СЭД ОПФР;акт о готовности к работе в СЭД ОПФР (1 экз);контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист физического лица также представляется с образцом его личной подписи) заверенные нотариусом;копию приказа о назначении администратора информационной безопасности и его заместителя у юридического лица, заверенную печатью и подписью руководителя;акт о готовности к эксплуатации программно-аппаратного комплекса, защищенного СКЗИ (1 экз).Государственное учреждение - Отделение ПФР по Краснодарскому краю изготавливает криптографические ключи абонента. Уполномоченные должностные лица ОПФР оформляют Акт об изготовлении криптографических ключей в трех экземплярах. Два экземпляра направляются другой стороне, один остается в ГУ-ОПФР.При соблюдении юридическим или физическим лицом всех вышеуказанных условий Отделение подписывает Соглашение об обмене электронными документами в системе электронного документооборота ОПФР. После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ОПФР.Абонент направляет своего администратора информационной безопасности либо прибывает самостоятельно в отдел по защите информации ОПФР по Краснодарскому краю для:проведения регистрации в системе СЭД ОПФР;получения открытых ключей шифрования и электронной цифровой подписи согласно Акту об изготовлении криптографических ключей;получения справочников открытых ключей шифрования и ЭЦП;получения паролей для организации системы оповещения о компрометации ключей по телефонной сети общего пользования.2. Организация ключевой системыКлючевая система СКЗИ построена по принципу открытого распределения ключей и обеспечивает защищенную связь между абонентами системы по принципу “каждый с каждым” в одной ключевой серии.Закрытые ключи должны храниться в тайне. Открытые ключи не являются секретными и публикуются в справочниках открытых ключей шифрования и электронной цифровой подписи абонентов системы (далее - справочники). Знание открытого ключа шифрования и ЭЦП не дает практической возможности определить закрытый ключ.Ключевая система состоит из:действующего комплекта ключей шифрования и ЭЦП;резервного комплекта ключей шифрования и ЭЦП;справочников открытых ключей шифрования;справочников открытых ключей ЭЦП.Действующий и резервный комплект ключей состоит из закрытых и открытых ключей шифрования и ЭЦП.Действующий комплект ключей предназначен для работы в СЭД ОПФР с использованием СКЗИ.Резервный комплект ключей предназначен для работы в СЭД ОПФР с использованием СКЗИ при компрометации действующего комплекта ключей.Ключевые носители и срок их действияНосителями ключевой информации являются гибкие магнитные диски (дискеты 3,5", формата МS DOS, емкостью 1,44 Мб, далее - магнитный носитель ключевой информации (МНКИ).Порядок обращения, учета, хранения ключей и их регистрационных карточек.Общее управление информационной безопасностью в СЭД ОПФР осуществляется отделом по защите информации ОПФР по Краснодарскому краю.Обеспечение абонентов СЭД ОПФР магнитными носителями ключевой информации осуществляется администратором защиты информации ОПФР через отдел по защите информации.Выдача МНКИ и их регистрационных карточек абонентам системы осуществляется администратором по журналу учета магнитных носителей ключевой информации.Учет ключей и их регистрационных карточек имеет целью обеспечить контроль за их наличием, движением, обращением и исключить обезличенное пользование ими. В органах ПФР контроль за учетом ключей, регистрационных карточек и за обращением с ними возлагается на администратора защиты информации ОПФР.Все МНКИ с действующими и резервными комплектами ключей шифрования и ЭЦП и их регистрационные карточки должны быть учтены в описи (журнале) учета магнитных носителей информации.Администратор защиты информации ОПФР не позднее чем за два месяца до плановой смены ключей в СЭД ОПФР изготавливает действующие и резервные комплекты ключей шифрования и электронной цифровой подписи, регистрационные карточки и регистрирует их в журнале учета магнитных носителей ключевой информации.Администратор защиты информации ОПФР после изготовления комплектов ключей для всех абонентов формирует справочники открытых ключей шифрования и электронной цифровой подписи, подписывает (сертифицирует) их своим ключом электронной цифровой подписи и записывает на магнитные носители ключевой информации, подготовленные для абонента системы.Администратор защиты информации ОПФР не позднее чем за месяц до плановой смены ключей извещает абонентов системы о предстоящей смене ключей.Администратор защиты информации Отделения не позднее чем за две недели до плановой смены ключей выдает новые действующие и резервные комплекты ключей шифрования и электронной цифровой подписи. При получении ключей представитель абонента проверяет их номера, серии и расписывается в журнале учета магнитных носителей ключевой информации и регистрационной карточке.Администратор безопасности абонента системы не позднее чем за неделю до плановой смены ключей самостоятельно устанавливает и конфигурирует справочники открытых ключей шифрования и электронной цифровой подписи на АРМ АС в соответствии с эксплуатационной документацией на средства криптографической защиты информации.Во избежание потери ключевой информации при выходе из строя магнитных носителей ключевой информации, не имеющем отношения к фактам компрометации, администратор защиты информации ОПФР изготавливает их рабочие копии (второй комплект).По получению МНКИ с действующими ключами ЭЦП и шифрования администратор безопасности абонента использует один комплект МНКИ. Этот комплект хранится у администратора безопасности в отдельных, опечатанных конвертах в металлическом шкафу (сейфе, либо в отдельной ячейке сейфа). Один ключ от металлического шкафа (сейфа, ячейки сейфа) находится у руководителя предприятия (организации) - абонента системы, второй ключ хранится у администратора безопасности.При убытии администратора безопасности в длительную командировку (более 2-х суток), в отпуск, на лечение и т.д. комплект МНКИ администратора решением руководителя передается во временное пользование другому ответственному лицу. Передача МНКИ осуществляется под роспись в описи (журнале) учета магнитных носителей информации.Второй комплект (рабочие копии МНКИ) хранится в отдельном опечатанном конверте (пенале) в сейфе (отдельной ячейке сейфа) у руководителя предприятия (организации) - абонента СЭД ОПФР.Порядок обработки электронных документов с использованием СКЗИ “ВЕРБА-OW”Порядок обработки исходящих электронных документов.Подготовить файл, предполагаемый к подписанию ЭЦП, шифрованию и отправке.Загрузить программу “Файловый криптоменеджер Верба-ОW".Поместить файл на узел функции СКЗИ, которой предполагается воспользоваться (ЭЦП, шифрование, ЭЦП + шифрование).Выбрать получателя (без выбора получателя функция шифрования не работает).Выполнить необходимую функцию СКЗИ (при этом копия преобразованного файла автоматически помещается в электронный архив).Поместить файл на узел функции СКЗИ - Проверка и убедиться в правильности выполнения функции СКЗИ и выбора получателя.Завершить работу с программой.Отправить файл адресату.Порядок обработки входящих электронных документовПри поступлении подписанного ЭЦП и зашифрованного файла, загрузить программу “Файловый криптоменеджер Верба-О”.Поместить файл на узел функции СКЗИ - Проверка. После чего будет выведена информация о данном файле. В том случае если файл был адресован Вам, появится сообщение “Файл можно расшифровать”. В противном случае сообщение “Файл нельзя расшифровать".Выполнить необходимую функцию СКЗИ (перед выполнением функции СКЗИ копия исходного файла автоматически помещается в электронный архив).Список рекомендуемой литературыИсточники:1. Конституция Российской Федерации.2. Гражданский кодекс Российской Федерации ч.1, ч.2.3. Уголовный кодекс Российской Федерации.4. Федеральный закон "Об информации, информационных технологиях и о защите информации". (27 июля 2006 г. N 149-ФЗ).5. Закон Российской Федерации "О государственной тайне" от 31.07.93 г. № 5485-1 // Собрание законодательства Российской Федерации. 1997. № 41.8. Патентный закон РФ (от 23.09.92г. N3517-I).10. Закон "О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92г. N3523-I).11. Закон " О коммерческой тайне " (от 29 июля 2004 г. N 98-ФЗ).12. Закон"Об авторском праве и смежных правах", (от 9.07.93 г. N5351-I).14. Закон "О связи" (от 16.02.95 г. N15-ФЗ).15. Закон “Об участии в международном информационном обмене".Основная литература:16. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Книга1. Москва, Энергоатомиздат, 1994.17. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Книга2. Москва, Энергоатомиздат, 1994.18. Герасименко В.А. Малюк А.А. Основы защиты информации. Москва, 1997.19. Шиверский А.А. Защита информации: проблемы теории и практики. Москва, Юрист, 1999.20. Шлыков В.В. Безопасность предприятия в условиях рынка Рязань, Горизонт, 1999.21. Межведомственная комиссия по защите информации. Нормативно-правовые акты по защите государственной тайны. Часть 1, Москва 1998.22. Межведомственная комиссия по защите информации. Нормативно-правовые акты по защите государственной тайны. Часть 2, Москва 1998.23. Соловьев Э.Я. Коммерческая тайна и ее защита. М.: ИВФ. Антал. 1999.24. Комментарий к Уголовному кодексу Российской Федерации.25. Комментарий к Конституции Российской Федерации.26. Комментарий к Кодексу РСФСР об административных правонарушениях.27. Материалы Международной конференции "Безопасность информации", проведенной в Москве 14-18 апреля 1997 года, 394с.Страницы: 1, 2 |
|
© 2007 |
|