Стандарты безопасности информационных систем

При создании корпоративных экономических информационных систем возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализированными организациями на соответствие международным и национальным стандартам. В этом случае повышаются эффективность и качество разрабатываемых систем защиты данных и возрастает степень доверия заказчиков к внедряемым информационным системам [1-4, 8-10].

Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для экономических информационных систем отражены в следующих основополагающих документах:

  • ? «Оранжевая книга»Национального центра защиты компьютеров США (TCSEC);
  • ? Гармонизированные критерии Европейских стран (ITSEC);
  • ? Рекомендации Х.800;
  • ? Концепция защиты от несанкционированного доступа Госкомиссии при Президенте РФ.

Знание критериев оценки информационной безопасности, изложенных в этих документах, способно помочь проектировщикам при выборе и комплектовании аппаратно-программной конфигурации экономической информационной системы. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени будет претерпевать изменения, и нужно, во-первых, оценивать целесообразность модификаций и их последствия, во-вторых, соответствующим образом корректировать технологию пользования и администрирования системой. При этом целесообразно знать, на что обращают внимание при сертификации, поскольку это позволяет сконцентрироваться на анализе критически важных аспектов, повышая качество защиты.

Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в информационных системах, изложенных в этих документах.

«Оранжевая книга»Национального центра защиты компьютеров США (TCSEC)

«Оранжевая книга»— это название документа, который был впервые опубликован в августе 1983 г. в Министерстве обороны США. В этом документе дается пояснение понятия «безопасная системам, которая «управляет посредством соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

В «Оранжевой книге»надежная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность проектируемой или используемой системы защиты или ее компонентов, оценивается по двум основным критериям:

  • 1. концепция безопасности:
  • 2. гарантированность.

Концепция безопасности разрабатываемой системы — «это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Концепция безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия».

Концепция безопасности разрабатываемой системы согласно «Оранжевой книге»должна включать в себя следующие элементы:

  • ? произвольное управление доступом;
  • ? безопасность повторного использования объектов;
  • ? метки безопасности;
  • ? принудительное управление доступом.

Рассмотрим содержание перечисленных элементов.

Произвольное управление доступом — это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

С концептуальной точки зрения текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту (например, чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.).

Очевидно, прямолинейное представление подобной матрицы невозможно, поскольку она очень велика и разрежена (т.е. большинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владелец/группа/прочие), или на механизме списков управления доступом, т.е. на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.

Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге»метки безопасности состоят из двух частей — уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

  • ? совершенно секретно;
  • ? секретно;
  • ? конфиденциально;
  • ? несекретно.

Главная проблема, которую необходимо решать в связи с метками, — это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легкоиспользуемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными.

Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на принтере общего пользования с уровнем «несекретно»потерпит неудачу.

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов).

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, конфиденциальный субъект может писать в секретные файлы, но нс может в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

После того как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользователя У». Конечно, можно изменить метку безопасности пользователя У, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На практике произвольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

Если понимать систему безопасности узко, т.с. как правила разграничения доступа, то механизм подотчетности является дополнением подобной системы. Цель подотчетности — в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

  • ? идентификация и аутентификация;
  • ? предоставление надежного пути;
  • ? анализ регистрационной информации.

Идентификация и аутентификация. Прежде чем получить право совершать какие-либо действия в системе, каждый пользователь должен идентифицировать себя. Обычный способ идентификации — ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользователя, т.е. что он является именно тем, за кого себя выдаст. Стандартное средство проверки подлинности (аутентификации) — пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование роговицы или отпечатков пальцев) или их комбинация.

Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной базой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы.

Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным терминалом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «троянским конем».

Анализ регистрационной информации аудит имеет дело с действиями (событиями), затрагивающими безопасность системы. К таким событиям относятся:

? вход в систему (успешный или нет);

  • ? выход из системы;
  • ? обращение к удаленной системе;
  • ? операции с файлами (открыть, закрыть, переименовать, удалить);
  • ? смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной системы безопасности и от специфики информационной системы. Протоколирование помогает следить за пользователями и реконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая информация:

  • ? дата и время события;
  • ? уникальный идентификатор пользователя — инициатора действия;
  • ? тип события;
  • ? результат действия (успех или неудача);
  • ? источник запроса (например, имя терминала);
  • ? имена затронутых объектов (например, открываемых или удаляемых файлов);
  • ? описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);
  • ? метки безопасности субъектов и объектов события.

Необходимо подчеркнуть важность нс только сбора информации, но и ее регулярного и целенаправленного анализа. В плане анализа выгодное положение занимают средства аудита СУБД, поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следовательно, появляется возможность для выявления подозрительных действий применять сложные эвристики.

Гарантированность системы защиты

Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной или ист) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выбранной концепции безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за сам и м и защити иками».

Гарантированность — это мера уверенности, с которой можно утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книгс»рас- сматриваются два вида гарантированности — операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая к методам построения и сопровождения.

Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и включают в себя проверку следующих элементов:

  • ? архитектуры системы:
  • ? целостности системы;
  • ? анализа тайных каналов передачи информации;
  • ? надежного администрирования;

? надежного восстановления после сбоев.

Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подобных архитектурных решений в рамках аппаратуры и операционной системы — разделение команд по уровням привилегированности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему достаточно принципиальной возможности дополнительной установки защитных продуктов надежности компонентов.

Целостность системы в данном контексте означает, что аппаратные и программные компоненты надежной вычислительной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки целостности.

Анализ тайных каналов передачи информации - тема, специфичная для режимных систем, когда главное — обеспечить конфиденциальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются нс столько для передачи информации от одного злоумышленника к другому, сколько для получения злоумышленником сведений от внедренного в систему «троянского коня>.

Надежное администрирование в трактовке «Оранжевой книги»озна- чает, что должны быть логически выделены три роли — системного администратора, системного оператора и администратора безопасности. Физически эти обязанности может выполнять один человек, но в соответствии с принципом минимизации привилегий в каждый момент времени он должен выполнять только одну из трех ролей. Конкретный набор обязанностей администраторов и оператора зависит от специфики организации.

Надежное восстановление после сбоев метод обеспечения гарантированности, при котором должна быть сохранена цслоетность информации, в частности целостность меток безопасности. Надежное восстановление включает в себя два вида деятельности — подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою — это и регулярное выполнение резервного копирования, и выработка планов действий в экстренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур.

Технологическая гарантированность охватывает весь жизненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы обезопаситься от утечки информации и нелегальных «закладок».

Критерии, изложенные в «Оранжевой книге», позволили специалистам ранжировать информационные системы защиты информации по степени надежности. В этом документе определяются четыре уровня безопасности (надежности) — D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления доступом. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1, С2, В1, В2, ВЗ) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности — Cl, С2, Bl, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее концепция безопасности и гарантированность должны удовлетворять разработанной системе требований, соответствующей этому классу.

Гармонизированные критерии Европейских стран (ITSEC)

Следуя по пути интеграции, Европейские страны приняли согласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 г. от имени соответствующих органов четырех стран — Франции, Германии, Нидерландов и Великобритании.

Принципиально важной чертой европейских критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации — оценить, насколько полно достигаются поставленные цели разработанными функциями, т.е. насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях.

Таким образом, в терминологии «Оранжевой книги»европейские критерии относятся к оценке степени гарантированности безопасной работы спроектированной системы.

Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности:

  • ? конфиденциальность, т.е. защиту от несанкционированного получения информации;
  • ? целостность, т.е. защиту от несанкционированного изменения информации;
  • ? доступность, т.е. защиту от несанкционированного удержания информации и ресурсов.

В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т.е. здесь выявляется, какая функциональность на самом деле обеспечивается. На третьем уровне содержится информация о механизмах безопасности, показывающих, как реализуется указанная функция.

Критерии рекомендуют выделить в спецификациях реализуемых функций обеспечения безопасности более расширенный по сравнению с «Оранжевой книгой»состав разделов или классов функций.

Идентификация и аутентификация:

? Управление доступом.

В Подотчетность.

В Аудит.

В Повторное использование объектов.

В Точность информации.

В Надежность обслуживания.

В Обмен данными.

Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем. Пять из них (F-Cl, F-C2, F-Bl, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».

Кроме того, в критериях определены три уровня мощности механизмов защиты — базовый, средний и высокий. Согласно критериям мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Наконец, мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, информирующие персонал о переходе объекта в небезопасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя).

Эффективность защиты признается неудовлетворительной, если выявляются слабые места, они не исправляются до окончания процесса оценки. В таком случае объекту оценки присваивается уровень гарантированности ЕО.

При проверке корректности объекта оценки — разработанной системы защиты применяются две группы критериев. Первая группа относится к конструированию и разработке системы или продукта, вторая — к эксплуатации разработанной системы.

Концепция защиты от НСД Госкомиссии при Президенте РФ

В 1992 г. Гостехкомиссия при Президенте РФ опубликовала пять руководящих документов, посвященных проблеме защиты от несанкционированного доступа к информации [1,2]. Идейной основой набора руководящих документов является «Концепция защиты систем вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Концепция «излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа, являющейся частью общей проблемы безопасности информации».

Выделяют различные способы покушения на информационную безопасность — радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системой. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения систем вычислительной техники или автоматизированных систем.

В Концепции формулируются следующие основные принципы защиты от несанкционированного доступа к информации:

Ш защита автоматизированных систем обеспечивается комплексом программнотехнических средств и поддерживающих их организационных мер;

Я защита автоматизированных систем должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;

  • ? программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики автоматизированных систем (надежность, быстродействие, возможность изменения конфигурации автоматизированных систем);
  • ? неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты;
  • ? защита автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированной системы или контролирующими органами.

Функции системы разграничения доступа и обеспечивающих средств, предлагаемые в Концепции, по сути близки к аналогичным положениям «Оранжевой книги».

В предлагаемой Гостехкомиссией при Президенте РФ классификации автоматизированных систем по уровню защищенности от несанкционированного доступа к информации устанавливаются девять классов защищенности автоматизированных систем от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в автоматизированной системе. В пределах каждой группы соблюдается иерархия требований но защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности автоматизированной системы.

Третья группа классифицирует автоматизированные системы, в которых работает один пользователь, допущенный ко всей информации системы, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.

Вторая группа классифицирует автоматизированные системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — и 2А.

Первая группа классифицирует многопользовательские автоматизированные системы, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов 1Д, 1Г, 1В, 1Б и 1А.

В многих отечественных научных работах излагаются требования к достаточно представительному классу защищенности — 1В по следующим подсистемам:

Подсистема управления доступом:

Ш идентификация и проверка подлинности субъектов доступа при

входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

  • ? идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и (или) адресам;
  • ? идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
  • ? контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

Ш управление потоками информации с помощью меток конфиденциальности (уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации).

Подсистема регистрации и учета:

Ш регистрация входа/выхода субъектов доступа в систему/из системы или регистрация загрузки и инициализации операционной системы и ее программного останова.;

  • ? регистрация выдачи печатных (графических) документов на «твер- дую»копию;
  • ? регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
  • ? регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
  • ? регистрация изменений полномочий субъектов доступа и статуса объектов доступа;
  • ? автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом (маркировка должна отражать уровень конфиденциальности объекта);
  • ? учет всех защищаемых носителей информации с помощью их любой маркировки;
  • ? очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;
  • ? сигнализация попыток нарушения защиты.

Подсистема обеспечения целостности:

  • ? целостность программных средств системы защиты информации от несанкционированного доступа, а также неизменность программной среды (целостность системы защиты информации от несанкционированного доступа проверяется при загрузке системы по контрольным суммам компонентов системы защиты информации, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации);
  • ? физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещаются информационные системы, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений экономических информационных систем;
  • ? назначение администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы системы защиты информации от несанкционированного доступа с предоставлением терминала и необходимых средств оперативного контроля и воздействия на безопасность информационной системы;
  • ? периодическое тестирование всех функций системы защиты информации от несанкционированного доступа с помощью специальных программных средств не реже одного раза в год;
  • ? наличие средств восстановления систем защиты информации, предусматривающих ведение двух копий программных средств системы защиты информации и их периодическое обновление и контроль работоспособности;

Ш использование сертифицированных средств защиты.

Перечисленные требования составляют минимум, которому необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.

Рекомендации Х.800

«Оранжевая книга»Министерства обороны США и Руководящие документы Гостехкомиссии при Президенте РФ создавались в расчете на централизованные конфигурации, основу которых составляют большие машины. Распределенная организация современных информационных систем требует внесения существенных изменений и дополнений как в политику безопасности, так и в способы проведения их в жизнь. Появились новые угрозы, для противодействия которым нужны новые функции и механизмы защиты. Основополагающим документом в области защиты распределенных систем стали Рекомендации Х.800. В этом документе перечислены основные сервисы (функции) безопасности, характерные для распределенных систем, и роли, которые они могут играть. Кроме того, здесь указан перечень основных механизмов, с помощью которых можно реализовать эти сервисы. Согласно рекомендациям Х.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик.

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.

Согласно рекомендациям Х.800, усилия администратора средств безопасности должны распределяться по трем направлениям:

  • ? администрирование информационной системы в целом;
  • ? администрирование сервисов безопасности;
  • ? администрирование механизмов безопасности.

Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:

  • ? управление ключами (генерация и распределение);
  • ? управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;
  • ? администрирование управления доступом (распределение информации, необходимой для управления — паролей, списков доступа и т.п.);
  • ? управление аутентификацией (распределение информации, необходимой для аутентификации — паролей, ключей и т.п.);
  • ? управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений — частоту отправки, размер и т.н.);
  • ? управление маршрутизацией (выделение доверенных путей);

Ш управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).

В рекомендациях Х.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >