72191

Захист інформації та інформаційна безпека: посібник

Книга

Информатика, кибернетика и программирование

Інформація, будучи продуктом діяльності, виступає як власність держави, підприємств, установ, організацій, громадян, і, як об’єкт власності, вимагає захищеності. Проте проблема захисту інформації не зводиться тільки до захисту прав її власників, але і містить в собі такий важливий аспект...

Украинкский

2014-11-19

998.5 KB

23 чел.

Захист інформації

та інформаційна безпека

посібник

до вивчення дисципліни

ЗМІСТ

ВСТУП……………………………………………………………………………….5

1. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ……………………6

1.1  Інформаційна безпека і її місце в системі національноїбезпеки України…………………………………………………………………….……6

1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України. ………………………………………………………10

1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність………………………………….11

1.4. Питання для самоконтролю і співбесіди по  темі……….………….….13

2. Інформація як об’єкт захисту……………..….….……………….14

2.1. Поняття інформації. Властивості інформації..….….……………….….14

2.2. Класифікація інформації ……….….…….……..…….………….…..…..14

2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти. ……..17

2.4. Інформація як об'єкт прав…….….….……….…………………………..18

2.5. Режими доступу до інформації……….………….……………………...19

2.6. Інформація як об'єкт права власності..….………………..………….….13

2.7. Відповідальність за порушення законодавства про інформацію.……..20

2.8. Інформація як об'єкт захисту……….……………………………………21

2.9. Питання для самоконтролю і співбесіди по  темі ……….………….….22

3. Захист інформаційних систем……….……………………….….23

3.1. Джерела інформації ……….…….…….………….……………………...23

3.2. Інформаційна система як об’єкт захисту інформації ………………….25

3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації……….………………………….….……………………….….….27

3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації……….………….………….………………………………….…..28

3.5. Питання для самоконтролю і співбесіди по  темі……….………….….28

4. аналіз захищеності об’єкта захисту інформації .............30

4.1. Поняття погрози…………………………………………...………….….30

4.2. Класифікація погроз……….…………………….…………….………...30

4.3. Характер походження погроз……….………….………………………...31

4.4. Побудова моделі погроз ……….………….….…….…….……………..32

4.5. Методи та види НСД ………………………………..…….………….…34

4.6. Методи реалізації НСД ……….………….………………………………35

4.7. Канали витоку інформації ……….………….…………………………..39

4.8. Побудова моделі порушника …….…………….……………………….43

4.9. Потенційно можливі злочинні дії……….….……….………………….47

4.10. Питання для самоконтролю і співбесіди по  темі.……….……….….50

5. Огляд причин порушення безпеки ..……….…….….…….…51

5.1. Загальні причини порушення безпеки.……….……….………………..51

5.2. Ознаки функціонування ІС, які свідчать про наявність уразливих місць в інформаційній безпеці.……….……….……………………………………52

5.3. Питання для самоконтролю і співбесіди по  темі……….………….….53

6. Критерії безпеки інформаційних технологій …….…...….54

6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони США. «Жовтогаряча книга».………………….…….………….….53

6.2. Європейські критерії безпеки інформаційних технологій…….………60

6.3. Керівні документи Держтехкомісії при Президенті Російської Федерації…….………………………………………………………………...64

6.4. Федеральні критерії безпеки інформаційних технологій США………65

6.5. Нормативні документи технічного захисту інформації (НД ТЗІ) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу……………………………………………….….68

6.6. Загальні критерії безпеки інформаційних технологій. Міжнародний стандарт ISO 15408.……………………………………………………….….76

6.7. Питання для самоконтролю і співбесіди по  темі……….………….….84

7. комплексні системи захисту інформації……….………….85

7.1. Визначення комплексної система захисту інформації……….…….….85

7.2. Концепція створення захищених КС…………………….………….….93

7.3. Етапи створення комплексної системи захисту інформації…………..96

7.4. Науково-дослідна розробка КСЗІ………..……………….………….….96

7.5. Моделювання КСЗІ………………………………………………………..98

7.6. Вибір показників ефективності і критеріїв оптимальності КСЗІ.………..103

7.7. Підходи до оцінки ефективності КСЗІ………………………………….104

7.8. Питання для самоконтролю і співбесіди по  темі ………..….…….….106

8. Термінологія в області захисту інформації ………...……107

ЛІТЕРАТУРА …..……………………………………………………………..…112


ВСТУП

Дисципліна "Захист інформації" спрямована на ознайомлення магістрів із основами правового регулювання відносин в інформаційній сфері, конституційними гарантіями прав громадян, зокрема на одержання інформації, та механізмом їх реалізації, поняттям і видами інформації, що по законодавству України підлягає захисту. Розкриваються поняття та види комп’ютерних злочинів. Висвітлюються поняття конфіденційної інформації, а також аналізуються можливості її втрати. Розкриваються підходи та методи захисту інформації та побудові комплексних систем захисту інформації

Даний курс сприяє фундаменталізації освіти, укріпленню правосвідомості та розвитку системного мислення студентів, вивченню теоретичних, методологічних та практичних проблем формування, функціонування та розвитку систем захисту інформації.


1. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ.

Інформація, будучи продуктом діяльності, виступає як власність держави, підприємств, установ, організацій, громадян, і, як об'єкт власності, вимагає захищеності. Проте проблема захисту інформації не зводиться тільки до захисту прав її власників, але і містить в собі  такий важливий аспект, як захист прав громадян на вільний доступ до відомостей, гарантований конституцією. Основи захисту інформації розробляються органами державної влади, виходячи з умов забезпечення інформаційної безпеки зокрема і національної безпеки України в цілому.

1.1  Інформаційна безпека і її місце в системі національноїбезпеки України

Необхідною умовою нормального існування і розвитку кожного суспільства є захищеність від зовнішніх і внутрішніх загроз, стійкість до спроб зовнішнього тиску, як здатність протистояти таким спробам і нейтралізовувати  виникаючі загрози, так і забезпечувати такі внутрішні і зовнішні умови  існування  країни, які гарантують можливість стабільного і всебічного прогресу суспільства  і його громадян. Для характеристики цього стану використовується поняття національної безпеки.

Під національною безпекою слід розуміти стан захищеності життєво важливих національних інтересів від внутрішніх і зовнішніх загроз.

Система національних інтересів України визначається сукупністю основних інтересів особи, суспільства, держави і охоплює всі сфери їх діяльності: політичну, економічну, військову, екологічну, інформаційну, науково-технічну, соціальну та інші. Тому в змісті поняття  "Національна безпека"  можна виділити різні структурні елементи (компоненти), до основних з яких відносяться політична, економічна, військова, екологічна і інформаційна безпека.

Суть політичної безпеки полягає в здатності науки створити політичну систему, що забезпечує баланс інтересів  різних  соціальних груп; самостійно вирішувати питання державного устрою; проводити незалежну внутрішню і зовнішню політику.

Під економічною безпекою розуміється стан нації, при якому вона може суверенно, без  зовнішнього втручання  визначати шляхи і  форми свого економічного розвитку.

Військова безпека полягає в можливості забезпечення  національної безпеки засобами  озброєного насильства. Насамперед військова безпека характеризується здатністю нації стримувати агресію або протидіяти їй.

Екологічна  безпека полягає в наявності безпечного  місця  існування, що забезпечує нормальну життєдіяльність людини. Баланс компонентів у системі "населення – навколишнє середовище – природні ресурси" є гарантом життєздатності людського суспільства.

Інформаційна безпека - стан захищеності інформаційних ресурсів від внутрішніх і зовнішніх загроз, здатних завдати збитку інтересам особи, суспільства, держави (національним інтересам).

Оскільки в умовах інформатизації країни, розвитку  інформаційних технологій, інформаційні ресурси формуються у всіх сферах діяльності, і насамперед в політичній, військовій, економічній, науково - технічній , інформаційну безпеку слід розглядати як комплексний показник національної безпеки. Цим визначається її важливе місце і одна з провідних ролей в системі національної безпеки країни в сучасних умовах. Недарма існує ряд прислів'їв і виразів, що характеризують місце інформації в конкурентній боротьбі і в тактиці військових  дій: "Хто володіє інформацією - той володіє ситуацією", "перемагає той, хто більш інформований  про супротивника " та інші.

Основними загрозами інформаційній безпеці є просочування інформації і порушення її цілісності .

Забезпечення інформаційної безпеки здійснюється в рамках забезпечення національної безпеки.

Національна безпека досягається проведенням єдиної  державної політики в області забезпечення безпеки, системою заходів економічного, політичного  і  іншого характеру, адекватних загрозам життєво важливих інтересів особі, суспільства  і держави.

Політика України в області національної безпеки будується на основі Концепції, затвердженою Постановою Верховної Ради Україні  від 16.01.1997 №3/97.

Концепція національної безпеки України визначає:

  1.  місце України в світовій спільноті на сучасному етапі розвитку державності;
  2.  національні  інтереси  України у всіх сферах життєдіяльності;
  3.  загрози національній безпеки  України;
  4.  шляхи і сили забезпечення національної безпеки.

У Концепції зроблений акцент на :

  1.  національні інтереси України в  інформаційній сфері, що обумовлюють необхідність зосередження зусиль суспільства і громадян на вирішенні  таких завдань, як дотримання конституційних прав і свобод громадян в області отримання  інформації і обміну нею
  2.  захист національних духовних цінностей
  3.  пропаганда  національної культурної спадщини, норм моралі і суспільної моральності
  4.  забезпеченні права   громадян на отримання достовірної інформації
  5.  розвиток сучасних  телекомунікаційних  технологій.

В той же час неприпустиме використання інформації для маніпулювання масовою свідомістю. Необхідний захист державного інформаційного ресурсу від просочування важливої політичної, економічної, науково-технічної і військової інформації.

Концепція (або основи  державної політики) національної безпеки України закріплює основні  загрози і небезпеку в інформаційній сфері з боку:

  1.  Невивіреність державної політики і відсутність  необхідної інфраструктури в інформаційній сфері;
  2.  Сповільненість входження України в світовий інформаційний простір;
  3.  Відсутність у міжнародного співтовариства об'єктивного уявлення про Україну;
  4.  Інформаційна експансія з боку інших держав;
  5.  Просочування інформації, що становить державну і іншу передбачену законом таємницю;
  6.  Введення цензури .

У Концепції визначені найважливіші завдання в області інформатизації і захисту  інформації.

Законодавчу основу забезпечення національної безпеки представляють Конституція України, закони України, укази Президента України, ухвали і розпорядження Кабінету Міністрів України, інші нормативно-правові акти державних органів влади і управління, прийняті у межах їх компетенції в даній сфері; міжнародні договори і угоди, поміщені або визнані Україною.

Основні положення і правові основи забезпечення національної безпеки  закріплює Закон України "Про безпеку". Він також визначає систему безпеки і  її  функції, об'єкти і суб'єкти безпеки.

Основним суб'єктом забезпечення безпеки є  держава,  що здійснює  функції в цій області через органи законодавчих, виконавчих і судових властей.

До основних об'єктів безпеки відносяться: особа - її права і свободи;    суспільство - його матеріальні і духовні цінності; держава - її конституційний лад, суверенітет і територіальна цілісність.

Громадяни, суспільні і інші організації і об'єднання є суб'єктами безпеки, володіють правами і обов'язками по участі в забезпеченні безпеки.

Принципи забезпечення безпеки.

Основними принципами забезпечення безпеки є:

  1.  законність;
  2.  дотримання балансу життєво важливих інтересів особи, суспільства і держави;
  3.  взаємна відповідальність особи, суспільства і держави по забезпеченню  безпеки;
  4.  інтеграція з міжнародними системами безпеки.

Система безпеки України.

Систему національної безпеки утворюють:

  •  органи законодавчих, виконавчих і судових властей;
  •  державні, суспільні і інші організації і об'єднання;
  •  громадяни, що беруть участь в забезпеченні безпеки відповідно до закону;
  •  законодавство, що регламентує стосунки у сфері безпеки.
  •  сили забезпечення безпеки.

Для безпосереднього виконання функцій забезпечення національної безпеки в системі виконавчої влади створюються і діють сили і засоби забезпечення національної безпеки, в які входять:

Сили забезпечення безпеки включають:

а) Збройні  сили України;

Служба безпеки України;

Внутрішні війська

органи і підрозділи Міністерства внутрішніх справ України;

Прикордонні війська України;

військові підрозділи Міністерства України із питань надзвичайних ситуацій і в справі захисту населення від наслідків Чорнобильської катастрофи

інші військові формування, створені відповідно до Конституції України, які виконують свої функції в даній сфері згідно чинному законодавству;

б) Органи, що забезпечують безпечне ведення робіт в промисловості, енергетиці, на транспорті і в сільському господарстві;

служби забезпечення безпеки засобів зв'язку і інформації;

митні служби; природоохоронні служби;

органи охорони здоров'я населення і інші державні органи забезпечення безпеки, які діють згідно законодавству України.

Для розгляду питань внутрішньої і зовнішньої політики УКРАЇНИ в області забезпечення безпеки, стабільності і правопорядку створено Центральне управління Служби безпеки України, яке відповідає за стан державної безпеки, координує і контролює діяльність інших органів Служби безпеки України.

Центральне управління Служби безпеки України видає положення, накази, розпорядження, інструкції, дає вказівки, обов'язкові для виконання в системі Служби безпеки України. Вказані акти не підлягають виконанню, якщо в них встановлюються не передбачені законодавством додаткові повноваження органів і співробітників Служби безпеки України або антиконституційні обмеження прав і свобод громадян.

У межах своєї компетенції Центральне управління Служби безпеки України вносить Президентові України пропозиції про видання актів по питаннях збереження державної таємниці, обов'язкової для виконання органами державного управління, підприємствами, установами, організаціями і громадянами.

Забезпечення інформаційної безпеки здійснюється в рамках  забезпечення національної безпеки України. Воно передбачає наявність  державної системи захисту інформації і законодавства в цій області.

1.2 Державна політика інформаційної безпеки і її реалізація в Законодавстві України.

Державна політика інформаційної безпеки реалізується  в рамках  політики національної безпеки і політики інформатизації всіх сфер діяльності  держави і суспільства.

Вона здійснюється на основі Указу Президента України "Про  основи державної політики у сфері інформатизації", "Концепції національної безпеки України" і "Доктрини інформаційної безпеки України".

Основними напрямами цієї політики є:

  •  забезпечення умов для розвитку і захисту всіх форм власності на інформаційні ресурси;
  •  формування і захист державних інформаційних ресурсів;
  •  створення і розвиток регіональних інформаційних систем і мереж;
  •  забезпечення національної безпеки у сфері інформатизації, а також забезпечення  реалізації прав громадян, організацій в умовах інформатизації;
  •  розвиток законодавства  у сфері інформаційних  процесів, інформатизації  і захисту інформації.

Відповідно до цих напрямів в Концепції національної  безпеки визначені завдання в області інформаційної безпеки.

Найважливішими завданнями є:

  •  встановлення необхідного балансу між потребою у  вільному  обміні  інформацією і допустимими обмеженнями її розповсюдження;
  •  вдосконалення інформаційної структури, прискорення розвитку нових інформаційних технологій і їх широке розповсюдження, уніфікація засобів пошуку, збору, зберігання,  обробки і аналізу інформації з урахуванням входження України в глобальну  інформаційну  інфраструктуру;
  •  розробка відповідної нормативної правової бази діяльності органів державної влади і інших органів, щзавдання забезпечення інформаційної безпеки;
  •  розвиток вітчизняної індустрії телекомунікаційних і інформаційних засобів, їх пріоритетне в порівнянні із зарубіжними аналогами розповсюдження на внутрішньому ринку;
  •  захист державного інформаційного ресурсу.

Всі напрями  політики захисту інформації і інформаційних ресурсів  реалізовані в Законодавстві України.

 Законодавство в області захисту інформації включає:

  •  Закон України "Про  інформацію, інформатизацію та захист інформації";
  •  Закон України "Про державну таємницю".
  •  Закон України "Про  участь України в міжнародному інформаційному обміні";
  •  Закон України " Про авторське право та суміжні права";
  •  Закон України "Про правову охорону програм для  електронних обчислювальних машин і баз даних";
  •  Закон України"Про засоби масової інформації"
  •  Цивільний кодекс України (ч1  і 2);
  •  Кримінальний кодекс України;

В цілому розвиток законодавчої бази в області інформаційної безпеки йде по чотирьох основних напрямах:

  1.  захист відомостей, що складають державну таємницю;
  2.  захист конфіденційної інформації;
  3.  захист авторського права у сфері інформатизації;
  4.  захист права на доступ до інформації.

Oснову  законодавства складає закон "Про  інформацію, інформатизацію  і  захист інформації", який виражає основні напрями   політики  інформаційній безпеки, суть якої  в своїй основі зводиться до захисту державних інформаційних ресурсів, регулює стосунки, що виникають при формуванні і використанні інформаційних  ресурсів, створенні і використанні інформаційних  технологій, захисті інформації,  прав суб'єктів, що беруть участь в інформаційних процесах, а також визначає основні поняття, що використовуються в законодавстві.

1.3 Органи забезпечення інформаційної безпеки і захисту інформації, їх функції і завдання, нормативна діяльність

Органи забезпечення інформаційної безпеки в сукупності із  законодавством  утворюють державну систему інформаційної безпеки і захисту інформації.

 Державна система захисту інформації включає:

  •  органи законодавчих, виконавчих і судових властей;
  •  законодавство, що регулює відносини   в області захисту інформації і інформаційних ресурсів;
  •  нормативну правову базу по захисту інформації;
  •  служби (органи) захисту інформації підприємств, організацій, установ.

Органи законодавчої влади ( Верховна Рада) видають  закони, що регулюють стосунки в області захисту інформації.

Законодавство включає закони. Їх перелік буде розглянутий в ході вивчення тем дисципліни.

Нормативна база формується  на основі нормативних правових актів в області захисту інформації, видаваних органами різних гілок влади, міністерствами, відомствами.

Основу нормативної бази складають керівні документи Гостехкомісії і стандарти, що видаються Держстандартом .

Органи виконавчої влади (Уряд) виконують  закони.  Для цього  Уряд приймає відповідні ухвали в області захисту  інформації і  видає розпорядження, що є підзаконними нормативними правовими актами.

Міністерства і відомства відповідно до свого призначення  розробляють  і приймають ухвали і рішення, що є нормативними правовими актами свого  рівня. Крім того, вони розробляють і затверджують такі нормативні акти як: положення, інструкції, правила, методичні рекомендації.

До нормативних актів цього рівня відносяться також накази і листи керівників відомств і міністерств.

До відомств, регулюючих відносини в області захисту інформації, відносяться:

  •  Міжвідомча комісія із захисту державної таємниці;
  •  Агентство урядового зв'язку і інформації;
  •  Державна технічна комісія;
  •  Держстандарт;
  •  Служба безпеки України;

Окрім цього в забезпеченні інформаційної безпеки беруть участь Служба зовнішньої розвідки (СЗР), Федеральна прикордонна служба (ФПС) і МВС.

Основним органом управління державної системи захисту інформації є Гостехкомісія. Відповідно до своїх функцій вона здійснює:

  •  координацію діяльності органів і організацій в області захисту інформації, що обробляється технічними засобами;
  •  організаційно-методичне керівництво діяльністю по захисту інформації в КС;
  •  розробку і фінансування науково-технічних програм по захисту інформації;
  •  затвердження нормативно-технічної документації;
  •  функції державного органу по сертифікації продукції по вимогах  безпеки інформації;
  •  ліцензування діяльності підприємств по наданню послуг в області захисту інформації.

Для організації і здійснення захисту інформації в України Гостехкомісією  розроблені Керівні документи із захисту інформації. Перелік цих документів і їх зміст будуть вивчені при розгляді конкретних тем дисципліни.

Держстандарт розробляє стандарти в області захисту інформації.   

Органи СБУ виконують функції захисту державної таємниці.

Органи МВС  ведуть боротьбу з правопорушниками в інформаційній сфері і  комп'ютерними злочинами. Для цього в структурі МВС створено спеціальне управління для  запобігання і розкриття комп'ютерних злочинів і захисту авторських прав.

Органи Державного митного комітету зобов'язані  попереджати  незаконне ввезення і вивіз з України "піратської" продукції, забезпечуючи тим самим захист авторських і патентних прав.

Керівники підприємств, організацій, установ, відповідно до своїх посадових обов'язків, при діяльності пов'язаною з інформацією, що складає   державну або іншу таємницю, створюють службу (підрозділ) по захисту інформації. Для організації відповідної діяльності вони видають нормативні правові акти: накази, розпорядження; а також затверджують:  інструкції, положення, правила, методичні  рекомендації, пов'язані із захистом інформації і діяльністю служб захисту інформації.

Для діяльності, пов'язаної з державною таємницею, підприємство повинне мати  ліцензію на цей вид діяльності, в його структуру вводиться спеціальний відділ, всі  засоби захисту мають бути сертифіковані.

Судова влада здійснює нагляд і притягання до відповідальності  за  порушення законодавства в інформаційній сфері. У своїй діяльності суди керуються  відповідними статтями КК України, ЦК України.  Інформаційна безпека є важливою складовою національної безпеки  України.

1.4. Питання для самоконтролю і співбесіди по  темі:

  1.  Якими нормативними актами визначається система національної безпеки України?
  2.  Що розуміється  під "національною безпекою", які  структурні  елементи вона включає?
  3.  Що розуміється під "інформаційною безпекою", яке її місце в  системі  національной  безпеки України?
  4.  Основні напрями політики інформаційної безпеки України?
  5.  Найважливіші завдання в області інформаційної безпеки?
  6.  Які нормативні правові акти складають Законодавство в області захисту інфор мації ?
  7.  Які відомства регулюють правові стосунки в області захисту інформації?
  8.  Які види нормативних правових актів видаються і ким для регулювання стосунків  в області захисту інформації?
  9.  Які функції в області захисту інформації виконує  Державна технічна  комісія України?


2. Інформація як об’єкт захисту

2.1. Поняття інформації. Властивості інформації.

Розробка інформаційного законодавства пов'язана з подоланням труднощів, обумовлених специфікою такого продукту як інформація.

Інформація як правова категорія має ряд наступних особливостей, що відрізняють інформацію від інших товарів.

Особливості:

Нематеріальність. Інформація стає доступною людині, якщо вона міститься на матеріальному носієві. Тому об'єктами захисту є матеріальні носії інформації.

Невичерпність. Інформація не зникає при споживанні і може бути використана багато разів.

Зберигаємість. Інформаційний продукт з часом піддається тільки "моральному зносу", тобто відбувається процес "старіння" інформації.

Виробництво інформації, у відмінності від матеріального виробництва, вимагає значних витрат в порівнянні з витратами на тиражування.

При копіюванні (що не змінює інформаційні параметри носія) кількість інформації не міняється, а ціна знижується.

Законодавство в інформаційній сфері основується  на Конституції України і Законі України “Про інформацію”.

Під інформацією розуміємо документовані  або оприлюднені  відомості про події  та явища, які  відбуваються в суспільстві, державі і навколишньому середовищі. Інформація - може бути як в матеріалізованому, так і в не матеріалізованому (нефіксованому) вигляді. А без чітких меж, що визначають інформацію як об'єкт прав, застосування по відношенню до неї будь-яких законодавчих норм проблематично.

2.2. Класифікація інформації.

Інформація розділяється на наступні види:

Види інформації:

  1.  Статистична
  2.  Адміністративна
  3.  Масова
  4.  Інформація про діяльність державних органів влади і органів місцевого самоврядування
  5.  Правова інформація
  6.  Інформація про особу
  7.  Інформація довідково-енциклопедичного характеру
  8.  Соціологічна інформація.

Статистична  інформація  - це  офіційна  документована  державна інформація ,  яка дає   кількісну   характеристику  масових   явищ   та процесів , що  відбуваються  в економічній , соціальній , культурній  та інших  сферах  життя .  

Державна статистична    інформація   підлягає    систематичному відкритому  публікуванню .

Адміністратівна інформація (дані ) - це  офіційні  документовані  дані ,  що  дають  кількісну   характеристику  явищ   та  процесів ,  що  відбуваються  в економічній ,  соціальній ,  культурній  інших сферах життя  і збираються ,  використовуються , поширюються  та зберігаються  органами   державної    влади.

Масова інформація  -  це   публічно   поширювана   друкована   та аудіовізуальна  інформація.

     Друкованими засобами  масової  інформації  є періодичні  друковані  видання  (преса )  -  газети ,  журнали ,  бюлетеніі разові  видання  з визначеним  тиражем .

     Аудіовізуальними засобами  масової  інформації є : радіомовлення, телебачення , кіно , звукозапис , відеозапис.

 Порядок  створення   (заснування )  та  організації   діяльності  окремих   засобів   масової   інформації  визначаються   законодавчими  актами про ці  засоби .

 Інформація  державних   органів   та  органів     місцевого     і регіонального   самоврядування   -   це     офіційна     документована  інформація,  яка  створюється   в  процесі    поточної     діяльності  законодавчої ,

виконавчої  та судової   влади ,  органів   місцевого   і регіонального  самоврядування .

     Основними  джерелами   цієї   інформації  є:  законодавчі   акти  Україні,  інші акти , що  приймаються  Верховною Радою та її органами, акти  Президента Україні, підзаконні  нормативні  акти ,  ненормативні  акти  державних  органів , акти   органів   місцевого   і  регіонального  самоврядування .

    Інформація  державних   органів   та  органів     місцевого     і регіонального  самоврядування  доводитися до відома   заінтересованих  осіб  шляхом :

    опублікування   її  у  офіційних   друкованих    виданнях     або  поширення  інформаційними службами відповідних  державних  органів   і організацій ;      опублікування  її у друкованих  засобах  масової  інформації  або  публічного   оголошення   через  аудіо-   та  аудіовізуальні    засоби  масової  інформації;     безпосереднього  доведення  її до заінтересованих   осіб   (усно , письмово  чи  іншими способами);

    надання  можливості  ознайомлення  з архівними  матеріалами ;

    оголошення  її під  час публічних  виступів  посадових  осіб .

    Джерела  і  порядок  одержання ,  використання ,  поширення   та зберігання   офіційної   інформації  державних   органів   та  органів  місцевого     і    регіонального     самоврядування      визначаються  законодавчими  актами про ці  органи .

    Законодавчі та інші  нормативні   акти ,  що   стосуються   прав, свобод і законних  інтересів громадян , не  доведені   до  публічного  відома , не мають  юридичної  сили .

Правова  інформація  -  це   сукупність   документованих     або  публічно  оголошених  відомостей  про право, його   систему,  джерела , реалізацію ,  юридичні    факти ,    правовідносини ,    правопорядок, правопорушення  і боротьбу  з ними та їх профілактику.  

    Джереламі   правової    інформації   є   Констітуція   Україні, інші законодавчі  і підзаконні  нормативні  правові  акти ,  міжнародні  договори та угоди, норми  і принципи  міжнародного  прав,  а  також   ненормативні   правові  акти , повідомлення  засобів  масової   інформації,  публічні   виступи,  інші джерела  інформації з правових  питань .

Інформація про  особу  -  це   сукупність   документованих   або  публічно  оголошених  відомостей  про особу.

    Основними  даними   про  персону  (персональними    даними )    є:національність,  освіта ,  сімейний   стан,    релігійність ,    стан здоров'я , а також  адреса, дата і місце  народження .

    Джерелами документованої  інформації про персону є видані  на  її ім'я документи , підписані  нею документи ,  а  також   відомості   про персону, зібрані  державними  органами влади  та органами  місцевого   і регіонального  самоврядування  в межах  своїх  повноважень .

    Забороняється  збирання   відомостей   про   персону    без    її попередньої  згоди , за винятком  випадків , передбачених  законом.

    Кожна персона має  право на ознайомлення  з інформацією, зібраною  про неї .

    Інформація про персону охороняється  Законом.

    Соціологічна  інформація  -  це   документовані   або   публічно  оголошені  відомості  про ставлення  окремих   громадян   і  соціальних  груп  до суспільних  подій  та явищ , процесів , фактів .

    Основними джерелами  соціологічної  інформації є  документовані  або  публічно  оголошені  відомості , в  яких   відображено   результати  соціологічних   опитувань ,  спостережень   та  інших   соціологічних досліджень .

Інформація може відноситися до різних ступенів важливості:

Життєво необхідна незамінна інформація, наявність якої необхідна для функціонування організації.

Важлива інформація – інформація, яка може бути замінена або відновлена, але процес відновлення зв'язаний з великими витратами

Корисна інформація - інформація, яку важко відновити, але організація може ефективно функціонувати і без неї.

Несуттєва інформація- інформація, яка організації не потрібна.

На практиці  віднесення  інформації до однієї  з цих  категорій  є досить  складним  завданням , оскільки  одна й та ж інформація може  бути  використана  багатьма  підрозділами  організації , кожен  з яких  може  віднести  її до різних  категорій  важливості . Категорія важливості , як і цінність  інформації, звичайно , згодом  змінюється  й залежить  від  ставлення  до неї  різних  груп  споживачів  і потенційних  порушників .

Існують визначення  груп  осіб , пов’язаних  з обробкою  інформації: утримувач  - організація  або  персона - власник  інформації;

джерело  - організація  або  персона, що  постачає  інформацію;

порушник  - окрема  персона або  організація , що прагне  отримати  інформацію. Ставлення цих  груп  до значущості  однієї  й тієї  ж інформації може  бути  різним : для однієї  - важлива , для іншої - ні . Наприклад:

  •  важлива  оперативна інформація, така , наприклад , як список замовлень  на поточний  тиждень  і графік  виробництва , може  мати  високу  цінність  для користувача , тоді  як для джерела  (наприклад , замовника ) або  порушника  низьку ;
  •  персональна інформація, наприклад , медична , має  значно  більшу  цінність  для джерела  (особи, якої  стосується  інформація), ніж  для її користувача  або  порушника ;
  •  інформація, що  використовується  керівництвом  для розробки  і прийняття  рішень , наприклад , про перспективи  розвитку  ринку , може  бути  значно  ціннішою  для порушника , ніж  для джерела  або  її утримувача, який  вже  завершив аналіз  цих  даних .

Інформация може також класифікуватися на

  1.  державну
  2.  недержавну залежно від суб'єкта власності.

По рівню доступу інформація розділяється на:

  1.  Відкриту
  2.  інформацію з обмеженим доступом.

Інформація з обмеженим доступом розділяється

  1.  на таємну
  2.  конфіденційну.

2.3. Інформаційні стосунки. Основні принципи. Суб'єкти і об'єкти.

Основні принципи:

  1.  гарантованість  права на інформацію;
  2.  відкритість , доступність  інформації та свобода її обміну ;
  3.  об'єктивність , вірогідність  інформації;
  4.  повнота  і точність  інформації;
  5.  законність  одержання , використання , поширення   та  зберігання  інформації.

Суб'єкти інформаційних стосунків:

  1.  громадяни  Україні;
  2.  юридичні  особи;
  3.  держава.

Суб'єктамі інформаційних відносин  відповідно  до цього   Закону

  1.  можуть  бути  також  інші держави,  їх громадяни   та  юридичні особи
  2.  міжнародні  організації  та особи без громадянства .

Об'єкті інформаційних відносин 

Об'єктамі інформаційних відносин  є документована  або  публічно 

оголошена  інформація про  події   та  явища   в  галузі   політики , економіки ,  культури ,  охорони   здоров'я ,  а  також   у соціальній, екологічній ,  міжнародній   та інших сферах.

2.4. Інформація як об'єкт прав.

Всі громадяни  Україні, юридичні  особи і державні органи мають право на інформацію, що передбачає можливість вільного  одержання, використання, поширення та зберігання   відомостей ,  необхідних   їм для реалізації  ними  своїх   прав,  свобод  і  законних   інтересів, здійснення завдань  і функцій .

    Реалізація  права  на  інформацію  громадянами ,    юридичними  особами і державою не повинна  порушувати   громадські ,  політичні, економічні , соціальні , духовні , екологічні  та інші права,  свободи і  законні  інтереси інших громадян ,  права та  інтереси  юридичних  осіб .

    Кожному  громадянину   забезпечується   вільний     доступ    до інформації ,  яка  стосується   його   особисто ,    крім     випадків, передбачених  законами України.

Реалізація прав кожного на інформацію породжує обов'язок держави і інших суб'єктів правовідносин його забезпечити. Зміст і реалізація даного обов'язку мають бути регламентовані правовими нормами.

Стаття 10 Закону України  «Про інформацію» гарантує право на інформацію:

Право на інформацію забезпечується :

  1.  обов'язком органів державної влади, а також органів місцевого  регіонального  самоврядування  інформувати про свою діяльність   та прийняті  рішення ;
  2.  створенням   у  державних   органах  спеціальних   інформаційних служб або  систем,  що   забезпечували   б  у  встановленому   порядку доступ до інформації;
  3.  вільним   доступом  суб'єктів   інформаційних    відносин     до статистичних   даних ,  архівних ,  бібліотечних   і  музейних  фондів ;
  4.  обмеження  цього  доступу зумовлюються  лише  специфікою  цінностей   та особливими  умовами  їх охорони , що  визначаються  законодавством ;
  5.  створенням  механізму  здійснення  права на інформацію;
  6.  здійсненням  державного контролю за додержанням законодавства  про інформацію;
  7.  встановленням  відповідальності  за порушення  законодавства  про інформацію.

2.5. Режими доступу до інформації.

Режим доступу  до  інформації - це  передбачений правовими нормами порядок одержання, використання,  поширення  і  зберігання інформації.

За  режимом  доступу  інформація  поділяється  на відкриту інформацію та інформацію з обмеженим доступом.

Держава здійснює контроль за режимом доступу до інформації.

Доступ до відкритої інформації:

Доступ до відкритої  інформації забезпечується  шляхом :

  •  систематичної  публікації  її у офіційних   друкованих   виданнях, бюлетенях, збірниках;
  •  поширення  її  засобами  масової  комунікації ;
  •  безпосереднього   її  надання    заінтересованим     громадянам,  державним  органам та юридичним  персонам.

Порядок  і  умови  надання  громадянам,  державним   органам, юридичним  персонам  і  передставникам  громадськості  відомостей  за запитами встановлюються цим Законом або договорами (угодами), якщо надання інформації здійснюється на договірній основі.

Обмеження  права   на    одержання    відкритої    інформації забороняється законом.

Переважним  правом  на  одержання  інформації    користуються громадяни,  яким  ця  інформація  необхідна  для  виконання  своїх професійних обов'язків.

Інформація з обмеженим  доступом  за своїм  правовим  режимом поділяється на конфіденційну і таємну.

Конфіденційна  інформація  -  це відомості, які знаходяться у володінні,  користуванні  або  розпорядженні  окремих  фізичних чи юридичних  осіб  і  поширюються  за  їх  бажанням  відповідно   до передбачених ними умов.

Стосовно  інформації,  що є власністю держави і знаходиться в користуванні   органів державної влади  чи  органів  місцевого самоврядування,  підприємств,  установ та  організацій  усіх форм власності,  з  метою  її збереження може бути відповідно до закону встановлено  обмежений  доступ  -  надано  статус  конфіденційної.

Порядок  обліку,  зберігання  і  використання  документів та інших носіїв  інформації,  що містять зазначену інформацію, визначається Кабінетом  Міністрів  Україні.  

До  таємної  інформації  належить  інформація,  що    містить відомості, які становлять державну та іншу   передбачену   законом таємницю, розголошення якої  завдає  шкоди  особі,  суспільству  і державі .

2.6. Інформація як об'єкт права власності.

Право власності включає три складових:

  1.  Право володіння
  2.  Право використання
  3.  Право розпорядження.

Право володіння передбачає мати інформацію в незмінному вигляді.

Право використання передбачає використання інформації в своїх інтересах. В цьому випадку окрім суб'єкта права власності до інформації можуть мати доступ і інші суб'єкти.  

Суб'єкт права власності на інформацію може передати частину своїх прав (розпорядження), не втрачаючи при цьому їх сам.

Інформація – об'єкт права власності фіз. осіб, юр. осіб і держави.

Підставами виникнення прав власності на інформацію є:

  1.  створення інформації своїми силами і за свій рахунок;
  2.  договір на створення інформації;
  3.  договір,  що  містить  умови  переходу  прав власності   на інформацію до іншої особи.

Інформація,  створена  кількома  громадянами  або  юридичними персонами є колективною власністю її  творців.  Порядок  і  правила користування такою власністю визначаються договором, укладеним між співвласниками.

 Інформація, створена організаціями (юридичними  персонами)  або придбана  ними  іншим  законним  способом   є    власністю    цих організацій.

 Інформація, створена на кошти державного бюджету є державною власністю.  Інформацію,  створену  на    правах    індивідуальної власності, може бути віднесено до державної власності  у  випадках передачі її на зберігання у  відповідні  банки  даних,  фонди  або архіви на договірній основі.

 Власник інформації має право призначати персону,  яка  здійснює володіння, використання і розпорядження інформацією,  і  визначати правила обробки інформації та доступ до неї, а також встановлювати інші умови щодо інформації.

2.7. Відповідальність за порушення законодавства про інформацію.

 Порушення законодавства України про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну  або  кримінальну відповідальність згідно із законодавством України.

     Відповідальність за порушення  законодавства  про  інформацію несуть особи, винні у вчиненні таких порушень, як:

  1.  необгрунтована відмова від надання відповідної інформації;
  2.  надання інформації, що не відповідає дійсності;
  3.  несвоєчасне надання інформації;
  4.  навмисне приховування інформації;
  5.  примушення  до  поширення  або перешкоджання поширенню певної інформації,  а  також цензура;
  6.  поширення відомостей, що не відповідають дійсності, ганьблять честь і гідність особи;
  7.  безпідставна   відмова   від  поширення  певної  інформації;
  8.  використання і поширення інформації стосовно особистого життя громадянина без його згоди персоною,  яка  є  власником відповідної інформації внаслідок виконання своїх службових обов'язків;
  9.  розголошення державної або іншої  таємниці,  що  охороняється законом, персоною, яка повинна охороняти цю таємницю;
  10.  порушення порядку зберігання інформації;
  11.  навмисне знищення інформації;
  12.  необгрунтоване  віднесення  окремих  видів   інформації    до категорії відомостей з обмеженим доступом;
  13.  порушення   порядку   обліку,   зберігання   і   використання документів  та  інших носіїв інформації, які містять конфіденційну інформацію,  що  є  власністю  держави.

Звільнення від відповідальності:

Оціночними судженнями,  за  винятком  образи  чи  наклепу  є висловлювання,  які  не  містять фактичних даних, зокрема критика, оцінка  дій,  а також висловлювання, що не можуть бути витлумачені як   такі,   що  містять  фактичні  дані,  з  огляду  на  характер використання  мовних засобів, зокрема вживання гіпербол, алегорій сатири.  Оціночні судження не підлягають спростуванню та доведенню їх правдивості.

    Персона звільняється  від  відповідальності   за   розголошення інформації  з  обмеженим  доступом,  якщо  суд  встановить,  що ця інформація є суспільно значущою.

2.8.Інформація як об'єкт захисту.

Цілі і завдання захисту інформації

Актуальним завданням будь-якого підприємства, що створює або використовує в своїй діяльності продукти інтелектуальної праці, є вживання певних заходів по запобіганню витоку, розкраданню, втраті, спотворенню і іншим формам незаконного використання інформації.

Відповідно до цього закону захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати збитку її власникові, власникові, користувачеві і іншій особі.

Держава, володіючи інформацією, що представляє національне надбання або що містить відомості обмеженого доступу, неправомірне поводження з якою може завдати збитку її власникові, знаходить спеціальні заходи, що забезпечують контроль за її використанням і якістю захисту.

Режим захисту інформації встановлюється:

  1.  відносно відомостей, віднесених до державної таємниці, - уповноваженими органами на підставі Закону "Про державну таємницю";
  2.  відносно конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі закону;
  3.  відносно персональних даних -законом.

Організації, що обробляють інформацію з обмеженим доступом, яка є власністю держави, створюють спеціальні служби, що забезпечують захист інформації.

Власник інформаційних ресурсів має право здійснювати контроль за виконанням вимог по захисту інформації і забороняти або припиняти обробку інформації у разі невиконання цих вимог, а також звертатися в органи державної влади для оцінки правильності виконання норм і вимог по захисту його інформації.

Права і обов'язки суб'єктів в області захисту інформації

Власник документів або інформаційних систем відповідно до закону встановлює порядок надання користувачеві інформації.

Власник документів забезпечує необхідний рівень захисту інформації відповідно до законодавства України.

Ризик, зв'язаний з використанням несертифікованих інформаційних систем і засобів їх забезпечення, лежить на власнику цих систем і засобів.

Ризик, зв'язаний з використанням інформації, отриманої з не сертифікованої системи, лежить на споживачі інформації.

2.9. Питання для самоконтролю і співбесіди по  темі:

  1.  Що таке інформація?
  2.  Дайте визначення документованої інформації.
  3.  Як класифікуються інформаційні ресурси по доступності?
  4.  Які інформаційні ресурси забороняється відносити до інформації обмеженого доступу?
  5.  Яким чином здійснюється захист прав суб'єктів в інформаційній сфері?


3. Захист інформаційних систем

3.1 Джерела інформації

Джерело інформації - це матеріальний об'єкт, що володіє певними відомостями (інформацією), що представляють конкретний інтерес для сторонніх осіб.

В загальному плані джерелами конфіденційної інформації можна вважати наступні категорії:

  1.  Люди (співробітники, обслуговуючий персонал, продавці, клієнти та ін.).
  2.  Документи будь-якого призначення.
  3.  Публікації: доповіді, статті, інтерв'ю, проспекти, книги та ін.
  4.  Технічні носії інформації й документів.
  5.  Технічні засоби обробки інформації: автоматизовані засоби обробки інформації та засоби забезпечення виробничої і трудової діяльності, в тому числі засобу зв'язку.
  6.  Продукція, що випускається.
  7.  Виробничі й промислові відходи.

Люди, в якості джерел конфіденційної інформації займають особливе місце, як активні елементи, здатні виступати не тільки власниками конфіденційної інформації, але й суб'єктами зловмисних дій. Люди є і власниками і розповсюджувачами інформації в рамках своїх функціональних обов'язків. Крім того, що люди володіють важливою інформацією, вони ще здатні її аналізувати, узагальнювати, робити відповідні висновки, а також, за певних умов, приховувати, красти, продавати та виконувати інші кримінальні дії, аж до вступу в злочинні зв'язки зі зловмисниками.

Документи. Документи – це найпоширеніша форма обміну інформацією, її нагромадження та зберігання. Під документом розуміють матеріальний носій інформації (папір, кіно- і фотоплівка, магнітна стрічка й т.п.) із зафіксованої на ньому інформацією, призначеної для її використання в часі й просторі. Документа має досить різноманітне функціональне призначення. Він може бути представлений не тільки різним змістом, але й різними фізичними формами - матеріальними носіями.

По спрямованості розрізняють організаційно-розпорядницькі, планові, статистичні, бухгалтерські й науково-технічні документи, що містять, по суті, всю масу відомостей про склад, стан і діяльність будь-якої організаційної структури від державного до індивідуального рівня, про будь-який виріб, товар, задум, розробку.

Публікації. Публікації - це інформаційні носії у вигляді різноманітних видань, вони діляться на первинні і вторинні. До первинних відносять книги, статті, періодичні видання, збірники, науково-технічні звіти, дисертації, рекламні проспекти, доповіді та ін. До вторинних - інформаційні карти, реферативні журнали, експрес-інформація, огляди, бібліографічні покажчики, каталоги та ін.

Технічні носії. Інформація може бути фіксованою та нефіксованою. Фіксована інформація - це відомості, закріплені на якому-небудь фізичному носії, а нефіксована - це знання, якими володіють вчені, фахівці, працівники, які так чи інакше беруть участь у виробництві та здатні передавати ці знання іншим. Фіксована інформація різниться залежно від виду носія, на якому вона перебуває. До технічних носіїв інформації відносяться паперові носії, кіно- і фотоматеріали (мікро- і кінофільми), магнітні носії (дискети, жорсткі диски, стримери), відеозапис, інформація на екранах ПЭВМ, на табло колективного користування, на екранах промислових телевізійних установок і інших засобів.

Технічні засоби обробки інформації. Технічні засоби як джерела конфіденційної інформації є досить широкою і ємною в інформаційному плані групою джерел. По специфіці призначення й виконання їх можна розділити на дві великі групи:

  •  технічні засоби забезпечення  виробничої і трудової діяльності;
  •  технічні засоби автоматизованої обробки інформації.

До групи засобів забезпечення виробничої і трудової діяльності входять всілякі технічні засоби, такі, наприклад, як телефонні апарати й телефонний зв'язок; телеграфний, фототелеграфний і факсимільний зв'язок; системи радіозв'язку (автономні, територіальні, релейні, супутникові й ін.); телевізійні (у тому числі і засоби промислового телебачення); радіоприймачі та радіотрансляційні системи; системи гучномовного зв'язку, підсилювальні системи різного призначення; засоби магнітного та відеозапису; засоби неполіграфічного розмноження документів (друкарські машинки, ксерокопіювальні апарати, факси) та інші засоби і системи. Всі ці засоби можуть бути джерелами перетворення акустичних сигналів, що містять комерційні секрети, в електричні й електромагнітні поля, здатні утворити електромагнітні канали витоку охоронюваних відомостей.

Особливу групу технічних засобів становлять автоматизовані системи обробки інформації (АСОІ). Привабливість ПЕОМ і інформаційних систем як джерел конфіденційної інформації обумовлена рядом об'єктивних особливостей, до числа яких відносяться:

  •  різке розширення сфери застосування інформаційної й обчислювальної техніки (ПЕОМ, локальні й розподілені інформаційні мережі національного й міжнародного масштабу);
  •  збільшення обсягів оброблюваної й збереженої інформації в локальних і розподілених банках даних;
  •  збільшення числа користувачів ресурсами ПЕОМ та мереж: багатокористувальницький режим вилученого доступу до баз даних.

Привабливість полягає ще і в тому, що АСОІ містить досить значні асортименти інформації. У її базах даних є вся інформація про конкретне підприємство від досьє на співробітників до конкретної продукції, її характеристиках, вартості та інші відомості.

Продукція. Продукти праці виступають джерелами інформації, за якою досить активно полюють конкуренти. Особливу увагу звертають конкуренти на нову продукцію, що перебуває на стадії підготовки до виробництва. Виробництво будь-якої продукції визначається етапами «життєвого циклу»: ідеєю, макетом, досвідченим зразком, випробуваннями, серійним виробництвом, експлуатацією, модернізацією та зняттям з виробництва. Кожен із цих етапів супроводжується специфічною інформацією, що проявляється різними фізичними ефектами, які у вигляді характеристик (демаскуючих ознак) можуть розкрити охоронювані відомості про вироблений товар.

Промислові та виробничі відходи. Відходи виробництва, так званий непридатний матеріал, можуть багато чого розповісти про використовувані матеріали, їх склад, особливості виробництва, технології. До них можливий доступ через смітники, місця збору металобрухту, ящики відходів дослідницьких лабораторій, сміттєві кошики кабінетів. Не менш серйозними джерелами конфіденційної інформації є промислові відходи: стружка, обрізки, зіпсовані заготівлі, поламані комплектуючі і т.д. Аналіз відходів допоможе довідатися про особливості виробництва, технології.

Як кожне окремо, так і в сукупності джерела конфіденційної інформації містять досить повні відомості про склад, стан і напрямки діяльності підприємства.

3.2. Інформаційна система як об’єкт захисту інформації

Загалом, інформація являє собою незамінну сировину для вироблення будь-якого рішення, яку необхідно добути, переробити та поставити до закінчення терміну придатності тому, кому вона потрібна, тобто цінні відомості, що добуваються на превелику силу, повинні вчасно надійти тому, кому вони необхідні, оскільки інформація корисна тільки тоді, коли її можна використовувати для прийняття серйозних рішень. Все це визначає необхідність впровадження складних систем збору, обробки й аналізу різної інформації.

При вирішенні проблеми задоволення інформаційної потреби необхідно мати на увазі три компоненти: людину (споживача інформації), що формулює свої задачі; інформаційний фонд (інформаційний ресурс), у якому зосереджена необхідна людині інформація, і відповідний пристрій, що є посередником між споживачем і інформаційним масивом. Набір перелічених компонент і являє собою інформаційну систему.

Інформаційна система – це організаційно впорядкована сукупність інформаційних ресурсів, технічних засобів, технологій, що реалізують інформаційні процеси в традиційному або автоматизованому режимі для задоволення інформаційних потреб користувачів.

Інформаційна система, як і будь-яка інша, має певну структуру, склад, фахівців, засоби, обладнання і порядок функціонування.

Продуктом інформаційної системи є інформація, властивості якої змінюються відповідно до заданої технології за допомогою комплексу різних технічних засобів і людей, що виконують певні технологічні операції. Відомо, що технологічні операції - це сукупність дій, спрямованих на зміну стану предмета виробництва. В інформаційній системі предметом виробництва є інформація, що на виході системи набуває потрібного користувачу вигляду та змісту.

У структуру інформаційної системи входять наступні складові:

1. Користувачі

2. Інформаційні ресурси , документи та масиви документів в різних формах та видах (бібліотеки, архіви, фонди, бази даних, бази знань, а також інші форми  організації та зберігання інформації), які містять інформацію по всім напрямкам життєдіяльності суспільства

3. Носії інформації   

  •  На паперовій основі.
    •  Звуконосії
    •  Фотоносії
    •  Відеоносії
    •  Магнітні носії
    •  Спеціальні технічні носії

4. Засоби збору, зберігання та обробки інформ - традиційні технічні засоби (:телефон, радіо, звукопідсилювальні системи, поліграфія) та автоматизовані системи збору та обробки інформації.

5. Засоби передачі інформації (проводні, радіо, волоконно оптичні)

Вихідною матеріальною основою роботи інформаційної системи виступають інформаційні ресурси. Ресурсами, як відомо, називають елементи економічного потенціалу, які перебувають у власності суспільства і які при необхідності можуть бути використані для досягнення конкретних цілей господарського й соціального розвитку.

Під інформаційними ресурсами розуміють документи та масиви документів у різних формах і видах (бібліотеки, архіви, фонди, бази даних, бази знань, а також і інші форми організації, зберігання й пошуку інформації), що містять інформацію по всіх напрямках життєдіяльності суспільства.

Інформаційні ресурси можуть бути фіксованими й нефіксованими. Фіксовані інформаційні ресурси являють собою інформацію, закріплену на якому-небудь фізичному носії, а нефіксовані - знання, якими володіють люди (учені, фахівці, працівники), що беруть участь у суспільному виробництві та здатні передавати ці знання іншим учасникам виробничого процесу.

Функціональною основою будь-якої інформаційної системи є інформаційні процеси. Інформаційні процеси – це сукупність взаємозалежних і взаємообумовлених процесів виявлення, аналізу, введення і відбору інформації, видачі її споживачеві для ухвалення управлінського рішення за допомогою різних засобів.

Об’єктом захисту виступає інформаційна система, предметом захисту інформації в інформаційній системі є інформація.

Першим завданням, що стоїть перед вирішенням проблеми захисту інформації є аналіз можливих погроз та оцінки захищеності об’єкту захисту інформації.

3.3. Організація проведення обстеження об'єктів інформаційної діяльності підприємства, які виступають як об’єкти захисту інформації

Метою обстеження об'єктів інформаційної діяльності є виявлення загроз, їхній аналіз та побудова окремої моделі загроз.

У ході обстеження необхідно:

  •  провести аналіз умов функціонування об’єктів захисту інформації, розташування їх на місцевості (ситуаційного плану) для визначення можливих джерел загроз;
  •  дослідити засоби забезпечення інформаційної діяльності, які мають вихід за межі контрольованої території;
  •  вивчити схеми засобів і систем життєзабезпечення об’єктів інформаційної діяльності, що підлягають захисту (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій;
  •  дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, поширення й зберігання (далі — опрацювання) інформації і провести необхідні вимірювання;
  •  визначити наявність і технічний стан засобів забезпечення технічного захисту інформації;
  •  перевірити наявність на об’єкті інформаційної діяльності нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог технічного захисту інформації, а також нормативної та експлуатаційної документації, яка забезпечує інформаційну діяльність;
  •  виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
  •  визначити технічні засоби і системи, застосування яких не
    обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
  •  визначити технічні засоби, що потребують переобладнання (пе
    ремонтування) та встановлення засобів технічного захисту інформації.

Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна включати:

  •  генеральний та ситуаційний плани та схеми розташування засобів і систем забезпечення інформаційної діяльності, а також інженерних комунікацій, які виходять за межі контрольованої території;
  •  схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до інформації з обмеженим доступом (ІзОД);
  •  оцінку шкоди, яка передбачається від реалізації загроз.

3.4. Категоріювання об'єктів інформаційної діяльності, як об׳єктів захисту інформації

Категоріюванню підлягають об'єкти, в яких обговорюється, мається, пересилається, приймається, перетворюється, накопичується, опрацьовується, відображається й зберігається (далі — циркулює) інформація з обмеженим доступом.

До об'єктив, що підлягають категорiюванню, належать:

  •  інформаційні системи (ІС) та засоби обчислювальної техніки (ЗОТ), що діють і проектуються;
  •  технічні засоби, які призначені для роботи з інформацією з обмеженим доступом та не належать до ІС, крім тих, що засновані на криптографічних методах захисту;
  •  приміщення, призначені для проведення нарад, конференцій, обговорень тощо з використанням ІзОД;
  •  приміщення, в яких розміщені ІС, ЗОТ, інші технічні засоби, призначені для роботи з ІзОД, зокрема й засновані на криптографічних методах захисту.

Категоріювання проводиться з метою застосування обґрунтованих заходив щодо технічного захисту ІзОД, яка циркулює на об`єктах, виду витоку каналами побічних електромагнiтних випромінювань і наводок, а також акустичних (вiброакустичних) полів.

Установлюються чотири категорії об'єктів залежно вид правового режиму доступу до інформації, що циркулює в них:

  •  до першою категорії належать об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, і для якої встановлено гриф секретності «особливої важливості»;
  •  до другою категорії належать об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, для якої встановлено гриф секретностi «цілком таємно»;
  •  до третьою категорії належать об'єкти, в яких циркулює інформація, що містить відомості, які становлять державну таємницю, і для якої встановлено гриф секретностi «таємно», а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству й державі;
  •  до четвертою категорії належать об'єкти, в яких циркулює конфіденційна інформація.

3.5. Питання для самоконтролю і співбесіди по  темі:

  1.  Що таке джерело інформації?
  2.  Які існують категорії джерел конфіденційної інформації?
  3.  Дайте визначення інформаційної системи.
  4.  Які складові має інформаційна система?
  5.  Що прзуміють під інформаційними ресурсами?
  6.  Які є носії інформації?
  7.  Що є об’єктом та предметом захисту інфрмації?
  8.  Яка мета обстеження об’єктів інформаційної діяльності?
  9.  Етапи та складові процесу обстеження об’єктів інформаційної діяльності.
  10.   Які об’єкти підлягають категорированію?  
  11.  Вкажить категорії об'єктів залежно вид правового режиму доступу до інформації.

 


4. аналіз захищеності об’єкта захисту інформації

4.1 Поняття погрози

Погроза інформації - можливість виникнення на якому-небудь етапі життєдіяльності системи такого явища або події, наслідком якого можуть бути небажані впливи на інформацію.

Погроза інформації є основним поняттям інформаційної безпеки.

4.2 Класифікація погроз

З усієї множини способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатами їх впливу на інформацію. Як відомо, основними властивостями інформації, що визначають її цінність, є конфіденційність, цілісність, доступність і спостереженість (керованість). Отже, з цього погляду в АС розрізняються такі класи (види) загроз інформації:

  •  порушення конфіденційності (руйнування захисту, зменшення ступеня захищеності інформації);
  •  порушення логічної  цілісності (порушення логічних зв’язків);
  •  порушення фізичної цілісності (винищення, порушення елементів);
  •  порушення змісту (зміна блоків інформації, зовнішнє нав'язування помилкової інформації);
  •  порушення доступності чи відмовлення в обслуговуванні;
  •  порушення спостереженості чи керованості;
  •  порушення прав власності на інформацію (несанкціоноване копіювання, використання).

Зафіксовано, що для забезпечення кожної з виділених основних властивостей захищеної інформації встановлено певний набір послуг.

Це дозволяє ввести наступний рівень загроз, трактуючи реалізацію яких-небудь послуг у неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як деякі загрози. Цей рівень може включати такі загрози:

  •  порушення конфіденційності:
  1.  загрози при керуванні потоками інформації;
  2.  загрози існування безконтрольних потоків інформації (наявність схованих каналів);
  3.  порушення конфіденційності при обміні - загрози при експорті/імпорті інформації через незахищене середовище;
  •  порушення цілісності:
  1.  загрози при керуванні потоками інформації;
  2.  неможливість відкату - повернення захищеного об'єкта у вихідний стан;
  3.  порушення цілісності при обміні - загрози при експорті/імпорті інформації через незахищене середовище;
    •  порушення доступності чи відмова в обслуговуванні:
      1.  порушення при керуванні послугами і ресурсами користувача;
      2.  порушення стійкості до відмов;
      3.  порушення при гарячій заміні;
      4.  порушення при відновленні після збоїв;
        •  порушення спостереженості чи керованості:
          1.  порушення при реєстрації небезпечних дій;
          2.  порушення при ідентифікації та автентифікації;
            •  несанкціоноване використання інформаційних ресурсів.

Таким чином, при переході до рівня послуг отримано новий рівень загроз  – розширений і більш конкретний. Якщо рухатися в цьому напрямку далі, тобто перейти, наприклад, на рівень реалізації кожної з послуг, то можна одержати ще конкретніший набір загроз, оскільки, для реалізації кожної з послуг необхідно здійснити ще більш конкретні умови і дії. Тобто фактично вийде повний перелік послуг.

4.3 Характер походження погроз

Навмисні фактори:

  •  розкрадання носіїв інформації;
  •  підключення до каналів зв'язку;
  •  перехоплення електромагнітних випромінювань;
  •  несанкціонований доступ;
  •  розголошення інформації;
  •  копіювання даних.

Природні фактори:

  •  нещасні випадки (пожежі, аварії, вибухи);
  •  стихійні лиха (урагани, повені, землетруси);
  •  помилки в процесі обробки інформації (помилки користувача, помилки оператора, збої апаратури).

Отже, на будь-якому об'єкті будь-якої ІС можуть здійснюватися певні обставини, події чи фактори, що будуть перешкоджати реалізації конкретних захисних механізмів і заходів, створюючи тим самим відзначені вище загрози. При цьому вони будуть безпосередньо пов'язані з цими загрозами і будуть, власне кажучи, їхніми причинами. Ці обставини, події чи фактори можна охарактеризувати в такий спосіб:

  •  вони об'єктивно існують і можуть реалізуватися в будь-який момент часу на будь-якому об'єкті ІС, де обробляється інформація, що підлягає захисту;
  •  вони не зводяться до загроз; один і той самий процес чи подія в одному випадку призводить до загроз, а в іншому не являє собою ніякої небезпеки для інформації;
  •  їх можна явно описати і класифікувати;
  •  для кожного такого фактора існує можливість явно установити, з якими видами загроз він пов'язаний;
  •  для кожного такого фактора існує можливість визначити канали витоку інформації;
  •  виникає можливість здійснювати конкретні дії з метою протидії загрозам.

Таким чином, виявляється, що загрози виникають унаслідок реалізації цих факторів, тобто є їх результатом. Надалі ці фактори будемо називати дестабілізуючими (ДФ). Як показує подальший аналіз, введення поняття ДФ допомагає одержати дуже просту, зрозумілу і наочну схему для створення моделі загроз.

4.4 Побудова моделі погроз

ДФ - це такі явища чи події, що можуть з'являтися на будь-якому етапі життєвого циклу ІС і наслідком яких можуть бути загрози інформації. Упродовж ЖЦ АС може виникати багато ДФ різноманітної природи.

На основі аналізу архітектури, технології й умов функціонування ІС і всіх можливих у принципі ДФ можна ввести поняття типу ДФ, що дає підставу класифікувати ДФ за способами їх реалізації.

Існують такі типи ДФ:

  •  кількісна недостатність - фізична недостача компонентів ІС для забезпечення необхідного рівня захищеності оброблюваної інформації;
  •  якісна недостатність - недосконалість конструкції чи організації компонентів ІС, унаслідок чого не забезпечується необхідний рівень захищеності оброблюваної інформації;
  •  відмова елементів ІС - порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій;
  •  збій елементів ІС - тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій;
  •  помилки елементів ІС - неправильне (одноразове чи систематичне) виконання елементами своїх функцій унаслідок специфічного (постійного і/або тимчасового) їхнього стану;
  •  стихійні лиха - випадкові неконтрольовані явища, що призводять до фізичних руйнувань;
  •  злочинні дії - дії людей, що спеціально спрямовані на порушення захищеності інформації;
  •  побічні явища - явища, що супроводжують виконання елементом АС своїх функцій.

Звідси видно, що ДФ можуть мати об'єктивну природу (наприклад, відмови, збої і т. д.) чи суб'єктивну (наприклад, дії зловмисників). В останньому випадку ДФ можуть бути випадковими чи навмисними. Характеристика випадковості чи навмисності може бути відносною. Наприклад, іноді свідомо додані в програмне забезпечення функції можуть заздалегідь визначати можливість ненавмисних дій (приміром, при дистанційному налагодженні чи настроюванні систем).

Подальший аналіз ДФ показує, що важливо класифікувати ДФ за джерелами їх виникнення.

Джерелами ДФ можуть бути як компоненти ІС, так і зовнішнє середовище.

Виділяються такі джерела ДФ:

  •  персонал - люди, що мають яке-небудь відношення до функціонування АС;
  •  технічні засоби;
  •  моделі, алгоритми, програми;
  •  технологія функціонування - сукупність засобів, прийомів, правил, заходів і угод, що використовуються в процесі обробки інформації;
  •  зовнішнє середовище - сукупність елементів, що не входять до складу ІС, але здатні впливати на захищеність інформації в ІС.

Спільний розгляд типів ДФ і їхніх джерел показує, що формально може бути 40 різних сполучень «тип-джерело» ДФ. Однак фактично їх може бути менше, оскільки, звичайно, деякі з таких сполучень не мають практичного змісту. Справді, наприклад, на якісну недостатність компонентів ІС для захисту інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести у таблицю, кожна клітинка якої відповідає ДФ певного типу з певного джерела (див. табл. 1).

Таблиця 1 – Відповідність типів та джерел ДФ

Типи ДФ

Джерела ДФ

Персонал

Технічні пристрої

Моделі, алгоритми, програми

Технологія функціонування

Зовнішнє середовище

Якісна недостатність

Кількісна недостатність

Відмови

Збої

Помилки

Стихійні лиха

Злочинні дії

Побічні явища

11

21

31

41

51

61

71

81

12

22

32

42

52

62

-

82

13

23

33

43

53

63

-

83

14

24

34

44

54

64

-

84

-

-

-

-

-

65

75

85

У кожній клітинці таблиці 1 проставлено номери рядка і стовпця. Відсутність чисел означає, що таке сполучення принципово не може реалізуватися (отже, усього можливих сполучень - 32). Варто особливо звернути увагу на те, що в дійсності кожна клітинка містить не один ДФ певного типу з певного джерела, а цілу їх множину.

Зауважимо також, що перший стовпець і сьомий рядок табл. 1 містять множину ДФ, що пов'язані з діяльністю людини. Опис дій (помилкових чи злочинних) людини є змістом моделі порушника. Цей тип ДФ принципово відрізняється від усіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються з участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ.

Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоча б один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС.

Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинках табл. 1) необхідно використовувати додаткові їхні особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними.

4.5 Методи та види НСД

Несанкціонований доступ (НСД) - доступ до інформації з використанням засобів, включених до складу комп’ютерної системи, що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу комп’ютерної системи розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затверджену конфігурацію комп’ютерної системи, так і з використанням програмно-апаратних засобів, включених до складу комп’ютерної системи зловмисника.

Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання правил розмежування доступу шляхом створення і підтримки в дієздатному стані системи заходів із захисту інформації.

До основних способів НСД належать:

  •  безпосереднє звернення до об'єктів з метою одержання певного виду доступу;
  •  створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;
  •  модифікація засобів захисту, що дозволяє здійснити НСД;
  •  впровадження в комп’ютерну систему програмних або апаратних механізмів, що порушують структуру і функції комп’ютерної системи і дають можливість здійснити НСД.

Можна виділити такі узагальнені категорії методів захисту від НСД:

  •  організаційні;
  •  технологічні;
  •  правові.

До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями організації. Приклад такого захисту - присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщенні, і контроль доступу до них персоналу.

Другу категорію становлять механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад систем ідентифікації і автентифікації або охоронної сигналізації.

Третя категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і удосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, об'єднують у собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (установка замків і систем сигналізації) способів захисту.

4.6 Методи реалізації НСД

Серед методів реалізації НСД до інформації в ІС виділимо такі.

Обхідний шлях (Люк) - це блок, вбудований у велику програму, який зазвичай керується простими командами ЕОМ, що дає можливість здійснювати її обробку засобами ОС, а це в свою чергу дає змогу обійти систему захисту або реєстрацію в системному журналі. Звичайно ділянки програми, в яких реалізовано обхідний шлях (люк), вбудовуються в процесі розробки великих програмних комплексів, що призначені для виконання трудомістких функцій. Можливе також виявлення обхідних шляхів, вбудованих в ОС, що допомогає зловмиснику здійснювати НСД.

Троянський кінь - програма, яка реалізує функції знищення файлів і зміни їх захисту. "Троянський кінь" використовує по суті обман, щоб спонукати користувача запустити програму з прихованою в середині погрозою. Звичайно для цього стверджується, що така програма виконує деякі досить корисні функції. Зокрема, такі програми маскуються під які-небудь корисні утиліти.

Небезпека "троянського коня" полягає в додатковому блоці команд, вставленому у вихідну нешкідливу програму, яка надається користувачам АС. Цей блок команд може спрацьовувати при настанні якої-небудь умови (дати, стану системи) або по команді ззовні. Користувач, що запустив таку програму, наражає на небезпеку як свої файли, так і АС в цілому. Приведемо для приклада деякі деструктивні функції, реалізовані "троянськими кіньми".

  •  Знищення інформації. Вибір об'єктів і способів знищення визначається фантазією автора шкідливої програми.
  •  Перехоплення й передача інформації. Зокрема, відома програма, що здійснює перехоплення паролів, які набираються на клавіатурі.
  •  Цілеспрямована модифікація тексту програми, що реалізує функції безпеки й захисту системи.

Складний троянський кінь може бути запрограмований таким чином, що при зміні захисту може подавати зловмиснику умовний сигнал про можливість доступу до файлів. Після подачі сигналу троянський кінь деякий час очікує, а потім повертає файл у початковий стан. Отже, такий алгоритм дозволяє програмі зловмисника будь-які несанкціоновані дії з файлами без їх реєстрації.

Загалом, "троянські коні" завдають шкоди АС за допомогою розкрадання інформації і явного руйнування програмного забезпечення системи. "Троянський кінь" є однієї з найнебезпечніших погроз безпеки АС. Радикальний спосіб захисту від цієї погрози полягає в створенні замкнутого середовища виконання програм, які повинні зберігатися й захищатися від несанкціонованого доступу.

Логічна бомба - програма або частина програми, яка реалізує деяку функцію при виконанні певної умови. Логічні бомби використовуються для модифікації або знищення інформації, рідше для крадіжки або шахрайства.

Атака - використання вразливостей програмного забезпечення автоматизованої системи для досягнення цілей, що виходять за межі допуску даного суб'єкта в автоматизовану систему. Наприклад, якщо користувач не має права на читання деяких даних, то він здійснює ряд відомих йому нестандартних маніпуляцій, які або забезпечують йому доступ до них, або завершуються невдачею. Тут мається на увазі також незаконне використання привілеїв. Більшість систем захисту встановлюють певні набори привілеїв для виконання заданих функцій. Кожний користувач одержує свій набір привілеїв: звичайні користувачі-мінімальний, адміністратор-максимальний. Несанкціонований захват привілеїв, приводить до можливості виконання порушником певних дій в обхід системи захисту. Слід зазначити, що незаконний захват привілеїв можливий або при наявності помилок у системі захисту, або через недбалість адміністратора при керуванні системою й призначенні привілеїв.

Між рядків - підключення до лінії зв'язку і впровадження зловмисником у комп'ютерну систему з використанням проміжків часу між діями законного користувача.

Аналіз трафіка - аналіз частоти і методів контактів користувачів в автоматизованій системі. При цьому виявляються правила підключення користувачів до зв'язку, після чого зловмисником здійснюється спроба НСД під виглядом законного користувача.

Розрив лінії - переключення лінії зв'язку від законного користувача по закінченні його сеансу зв'язку або через розрив лінії; при цьому дана подія не реєструється і автоматизована система працює зі зловмимником, як із законним користувачем.

Маскарад це виконання яких-небудь дій одним користувачем від імені іншого користувача, що володіє відповідними повноваженнями. Метою "маскараду" є приписування яких-небудь дій іншому користувачеві або присвоєння повноважень і привілеїв іншого користувача.

Прикладами реалізації "маскараду" є:

  •  вхід в систему під іменем і паролем іншого користувача (цьому "маскараду" передує перехоплення пароля);
  •  передача повідомлень у мережі від імені іншого користувача.
  •  "Маскарад" особливо небезпечний у банківських системах електронних платежів, де неправильна ідентифікація клієнта через "маскарад" зловмисника може привести до більших збитків законного клієнта банку.

Підкладений свині - підключення до лінії зв'язку й імітація роботи системи з мстою отримання інформації про ідентифікацію користувача. Наприклад, зловмисник може імітувати підвисання системи і процедуру повторного входу до неї. Користувач, нічого не підозрюючи про це, знову вводить свій ідентифікатор і пароль, після чого зловмисник повертає йому управління з нормально працюючою системою.

Повторне використання ресурсів - зчитування остаточної інформації, що призначена для знищення. Як об'єкти атаки можуть виступати не тільки блоки файлів, а й різного виду буфери, кадри сторінок пам'яті, сектори магнітних дисків, зони магнітних стрічок, реєстри пам'яті і т. д. Для зчитування даних прямо з пам'яті іноді достатньо створити невелику програму, яка робить запит під час виконання динамічного виділення пам'яті великого об'єму. Потім у результаті навмисної помилки ця програма може аварійно завершитися з видачею «посмертного» дампа, який якраз і містить інформацію всіх ділянок пам'яті, яка використовувалася перед цим.

Використання комп'ютерного вірусу - використання набору команд ЕОМ, який виробляє і розповсюджує свої копії в мережах і навмисно виконує дії, що небажані для законних користувачів.

Програми-віруси володіють рядом властивостей: вони народжуються, розмножуються та умирають.

Ключовими поняттями у визначенні комп'ютерного вірусу є здатність вірусу до саморозмноження і здатність до модифікації обчислювального процесу. Вірус зазвичай розробляється зловмисниками таким чином, щоб як можна довше залишатися невиявленим у комп'ютерній системі. Вірус проявляється повною мірою в конкретний момент часу, коли відбувається деяка подія виклику, наприклад п'ятниця 13-го, відома дата й т.п.

Комп'ютерний вірус намагається таємно записати себе на комп'ютерні диски. Спосіб функціонування більшості вірусів полягає в такій зміні системних файлів комп'ютера, щоб вірус починав свою діяльність при кожному завантаженні. Наприклад, віруси, що вражають завантажувальний сектор, намагаються інфікувати частину дискети або жорсткого диска, зарезервовану, тільки для операційної системи та зберігання файлів запуску. Ці віруси особливо підступні, тому що вони завантажуються в пам׳ять при кожному включенні комп'ютера. Такі віруси мають найбільшу здатність до розмноження й можуть постійно поширюватися на нові диски.

Інша група вірусів намагається інфікувати виконувані файлы, щоб залишитися невиявленими. Звичайно віруси віддають перевагу ЕХЕ- або Сом-файлам. Деякі віруси використовують для інфікування комп'ютерної системи як завантажувальний сектор, так і метод зараження файлів. Це ускладнює виявлення та ідентифікацію таких вірусів спеціальними програмами і веде до їхнього швидкого поширення. Існують і інші різновиди вірусів. Комп'ютерні віруси завдають шкоди системі за рахунок розмноження і руйнування середовища перебування.

Мережний "черв" являє собою різновид програми-вірусу, що поширюється по глобальній мережі й не залишає своєї копії на магнітному носії.

Спочатку "черви" були розроблені для пошуку в мережі інших комп'ютерів з вільними ресурсами, щоб одержати можливість виконати розподілені обчислення. При правильному використанні технологія "черв" може бути досить корисної. Однак "черв" легко перетворюється в шкідливу програму. "Черв" використовує механізми підтримки мережі для визначення вузла, що може бути уражений. Потім за допомогою цих же механізмів передає своє тіло в цей вузол і або активізується, або чекає підходящих умов для активізації.

Мережні "черви" є самим небезпечним видом шкідливих програм, тому що об'єктом їхньої атаки може стати кожен з мільйонів комп'ютерів, підключених до глобальної мережі Internet. Для захисту від "черв" необхідно вжити заходів обережності проти несанкціонованого доступу до внутрішньої мережі. Слід зазначити, що "троянські коні", комп'ютерні віруси й мережні "черви" відносяться до найнебезпечніших погроз АС. Для захисту від вказаних шкідливих програм необхідне застосування ряду заходів:

  •  виключення несанкціонованого доступу до виконуваних файлів;
  •  тестування нових програмних засобів;
  •  контроль цілісності файлів, що виконуються, і системних областей;
  •  створення замкнутого середовища виконання програм.

Використання програми-імітатора - імітація роботи того чи іншого елемента мережі і створення у користувача автоматизованої системи ілюзії взаємодії з системою з метою, наприклад, перехоплення інформації користувачів. Зокрема, екранний імітатор дозволяє заволодіти паролями або кодами користувачів.

Зокрема операція перехоплення паролів здійснюється наступним чином. При спробі законного користувача ввійти в систему програма-перехоплювач імітує на екрані дисплея введення імені та пароля користувача, які відразу пересилаються власникові програми-перехоплювача, після чого на екран виводиться повідомлення про помилку та управління  повертається операційній системі. Користувач припускає, що припустився помилки при введенні пароля. Він повторює введення і одержує доступ до системи. Власник програми-перехоплювача, що одержав ім'я й пароль законного користувача, може тепер використовувати їх у своїх цілях.

Наведені методи можуть застосовуватися для реалізації таких найбільш поширених сценаріїв НСД:

  •  перегляд інформації;
  •  копіювання програм та даних;
  •  читання даних з лінії зв'язку;
  •  зміна потоку повідомлень;
  •  закладки;
  •  зміна алгоритмів програм; ,
  •  зміна апаратної частини автоматизованої системи;
  •  зміна режиму обслуговування або умов експлуатації;
  •  перерва функціонування автоматизованої системи або її компонентів;
  •  перерва потоку повідомлень;
  •  перерва компонент програмного забезпечення;
  •  перерва процесу функціонування або його складових;
  •  фізичне руйнування апаратних засобів мережі;
  •  підробка;
  •  додавання фальшивих процесів і підміна справжніх процесів фальшивими;
  •  додавання фальшивих апаратних засобів;
  •  імітація роботи апаратно-програмних компонент мережі з боку суб'єктів загрози.

Звичайно, можуть використовуватися різні комбінації наведених сценаріїв, що дуже ускладнює організацію захисту від НСД.

4.7 Канали витоку інформації

У попередньому розділі розглядалися канали витоку інформації з суто технічного боку. Зараз розглянемо це питання докладніше.

При обробці інформації в АС завжди маємо обмін інформацією між об'єктами АС, отже, можемо говорити про наявність каналів обміну або каналів витоку інформації.

Канал витоку інформації - сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе вказану інформацію, і засобу виділення інформації з сигналу або носія.

З точки зору захисту інформації канали та інформаційні потоки бувають законними або незаконними. Незаконні інформаційні потоки створюють витік інформації і тим самим можуть порушувати конфіденційність даних, тобто через канал витоку реалізуються загрози конфіденційності інформації в автоматизованій системі або НСД до даних. Зрозуміло, що система захисту інформації повинна контролювати по можливості всі відомі канали витоку. Однак, по-перше, навіть відомі канали іноді важко контролювати, а, по-друге, ще складніше виявити всі існуючі в автоматизованій системі канали витоку. Таким чином, у будь-якій автоматизованій системі можна виділити відкриті канали витоку (тобто канали, які вдалося ідентифікувати і які контролюються засобами захисту) і приховані (covert channel), коли витік відбувається шляхом, який не контролюється засобами захисту.

Отже, далі розглядаємо канали витоку інформації (channel of information leakage) як можливість неконтрольованого поширення інформації, що призводить до несанкціонованого отримання і/або модифікації інформації.

Найбільш загальною класифікацією каналів витоку може бути така:

  •  несанкціонований доступ (НСД) - канал спеціального впливу порушника, який, використовуючи штатні засоби доступу до інформаційних ресурсів, порушує встановлені правила розмежування доступу з метою реалізації будь-яких з основних видів загроз для інформації;
  •  канал спеціального недопустимого регламентом впливу на параметри середовища функціонування, здійснюваного з метою порушення доступності в АС;
  •  канал спеціального впливу нештатними програмними і/або програмно-технічними засобами на елементи обладнання, програми, дані та процеси в АС, що встановлюються в процесі її експлуатації, з метою реалізації будь-яких з основних видів загроз для інформації;
  •  канал спеціального впливу на компоненти АС за допомогою закладних пристроїв і/або програмних закладок, впроваджених у середовище функціонування АС на передексплуата-ційних стадіях її життєвого циклу, що здійснюється з метою реалізації будь-яких з основних видів загроз для інформації;
  •  канал витоку інформації, утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень (ПЕМВН) з метою порушення конфіденційності;
  •  канал витоку інформації, утворений за допомогою використання побічних акусто-електричних перетворень інформативних сигналів у кінцевому обладнанні з метою порушення конфіденційності;
  •  канал реалізації будь-яких з основних видів загроз для інформації, утворений за рахунок використання випадкових збоїв та відмов у роботі обладнання;
  •  канал спеціального впливу на компоненти АС за допомогою впровадження комп'ютерних вірусів.

Представлену класифікацію можна деталізувати на основі такого показника, як ступінь взаємодії зловмисника з елементами об'єкта обробки інформації та самою інформацією.

До першого класу відносяться канали від джерела інформації при НСД до нього.

  1.  Розкрадання носіїв інформації.
  2.  Копіювання інформації з носіїв (матеріально-речовинних, магнітних і т.д.).
  3.  Підслуховування розмов (у тому числі аудиозаписів).
  4.  Встановлення закладних пристроїв в приміщення та знімання інформації з їхньою допомогою.
  5.  Вивідування інформації обслуговуючого персоналу на об'єкті.
  6.  Фотографування або відеозйомка носіїв інформації всередині приміщення.

До другого класу відносяться канали із засобів обробки інформації при НСД до них.

  1.  Зняття інформації із пристроїв електронної пам'яті.
  2.  Встановлення закладних пристроїв у системи обробки інформації.
  3.  Введення програмних продуктів, що дозволяють зловмисникові одержувати інформацію.
  4.  Копіювання інформації з технічних пристроїв відображення (фотографування з моніторів і ін.).

До третього класу відносяться канали від джерела інформації.

  1.  Одержання інформації з акустичних каналів (у системах вентиляції, теплопостачання, а також за допомогою направлених мікрофонів).
  2.  Одержання інформації з виброакустичних каналів (з використанням акустичних датчиків, лазерних пристроїв).
  3.  Використання технічних засобів оптичної розвідки (біноклів, підзорних труб і т.д.).
  4.  Використання технічних засобів оптико-електронної розвідки (зовнішніх телекамер, приладів нічного бачення й т.д.).
  5.  Огляд відходів і сміття.
  6.  Вивідування інформації в обслуговуючого персоналу за межами об'єкта.
  7.  Вивчення вихідної за межі об'єкта відкритої інформації (публікацій, рекламних проспектів і т.д.).

До четвертого класу відносяться канали із засобів обробки інформації без НСД до них.

  1.  Електромагнітні випромінювання системи обробки інформації (паразитні електромагнітні випромінювання (ПЕМВ), паразитна генерація підсилювальних каскадів, паразитна модуляція високочастотних генераторів низькочастотним сигналом, що містить конфіденційну інформацію).
  2.  Електромагнітні випромінювання ліній зв'язку.
  3.  Підключення до ліній зв'язку.
  4.  Зняття наведень електричних сигналів з ліній зв'язку.
  5.  Зняття наведень із системи живлення.
  6.  Зняття наведень із системи заземлення.
  7.  Зняття наведень із системи теплопостачання.
  8.  Використання високочастотного нав'язування.
  9.  Зняття з ліній, що виходять за межі об'єкта, сигналів, утворених на технічних засобах за рахунок акустоелектричних перетворень.
  10.  Зняття випромінювань оптоволоконних ліній зв'язку.
  11.  Підключення до баз даних і ПЕОМ по комп'ютерних мережах.

З точки зору способу реалізації можна виділити фізичні та інформаційні канали витоку інформації. Звичайно, всі канали витоку з попередньої класифікації можуть реалізуватися за допомогою фізичних та інформаційних каналів витоку інформації. Зазначимо, що іноді дуже важко віднести конкретний канал до певної групи, тобто наведені класифікації мають досить умовний характер.

Виділяють такі фізичні канали витоку:

  1.  Електромагнітний канал. Причиною його виникнення є електромагнітне поле, пов'язане з проходженням електричного струму в технічних засобах АС. Електромагнітне поле може індукувати струми в близько розміщених провідних лініях (наводки). Електромагнітний канал, у свою чергу, ділиться на такі канали: радіоканал (високочастотне випромінювання); низькочастотний канал; мережевий канал (наводки на мережу електроживлення); канал заземлення (наводки на проводи заземлення); лінійний канал (наводки на лінії зв'язку між ПЕОМ).
  2.  Акустичний (віброакустичний) канал. Він пов'язаний з розповсюдженням звукових хвиль у повітрі або пружних коливань в інших середовищах, які виникають при роботі засобів відображення інформації АС.
  3.  Оптичний канал. Він пов'язаний з можливістю отримання інформації за допомогою оптичних засобів.

Серед інформаційних каналів витоку найбільш розповсюдженим є канал за пам'яттю (storage covert channel), тобто канал, що виникає за рахунок використання доступу до спільних об'єктів системи (як правило, спільна пам'ять). Графічно канал за пам'яттю можна зобразити так:

Користувач U1 активізує (ехе) деякий процес S, за допомогою якого може отримати доступ на читання (r) до спільного з користувачем U2 ресурсу О, при цьому U2 може писати (w) в О, а U1 може читати з О за допомогою S. Наприклад, у каталог О внесено імена файлів. Доступ до самих файлів для користувача U1, закритий, а доступ до каталогу можливий. Якщо користувач U2 створив закриті файли, то інформація про файлову структуру стала доступною для U1. Отже, виник витік частини інформації, що належить користувачеві U2, зокрема, існування чи неіснування конкретного файла - 1 біт інформації. Захист здійснюється шляхом контролю доступу.

Наступним інформаційним каналом витоку є часовий канал (timing covert channel). Часовий канал є каналом, що передає ЗЛ інформацію не про увесь процес, а тільки про його модулювання цінною закритою інформацією. Графічно часовий канал можна зобразити схемою

Тут U1, - зловмисник; U2 - користувач, що оперує цінною інформацією; Sc - процес, інформація про який цікава для U1; Sm - процес, що модулюється інформацією процесу Sc ; S - процес від імені користувача U1, який дозволяє спостерігати процес Sm. Захист організується за допомогою контролю доступу та організаційних заходів.

Відмінність даного каналу витоку від каналу за пам'яттю полягає в тому, що зловмисник отримує не саму конфіденційну інформацію, а дані про операції над нею. Як правило, він використовується з метою подальшого вилучення інформації з каналу за пам'яттю. Отже, часовий канал є слабшим каналом витоку, тобто менш інформативним, порівнюючи з каналом за пам'яттю.

Інформативність такого каналу визначається тою часткою цінної інформації про процес Sc , яка отримується за рахунок його модуляції. Нехай, наприклад, процес Sc використовує принтер для друку чергового циклу обробки цінної інформації. Процес Sm визначається роботою принтера, який є спільним ресурсом U1 і U2. Тоді в одиницях частоти роботи принтера U1 отримує інформацію про періоди обробки процесом Sc цінної інформації, а це уже є витоком інформації.

Іншим каналом витоку інформації за часом є канал зв'язку. За рахунок безпосереднього доступу до процесу обробки (передачі) цінної інформації вона знімається, накопичується і відновлюється. Такий канал перекривається за допомогою криптографії.

Більш загальним поняттям порівняно з каналом витоку є канал дії на АС. Він може включати зміни компонент АС - активну дію -загрозу властивості цілісності. Справа в тому, що основна загроза для конфіденційності - це незаконне ознайомлення з інформацією, тобто на саму інформацію активної дії немає. Виявляється, що для опису такої загрози достатньо поняття каналу витоку. Для цілісності ж основна загроза - це незаконна модифікація інформації, тобто активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність. Основою захисту цілісності є своєчасне регулярне копіювання цінної інформації.

Інший клас механізмів захисту цілісності, який базується на ідеї перешкодозахищеного кодування інформації (введення надмірності в інформацію), становить основу контролю цілісності. Він будується на автентифікації, тобто підтвердженні справжності, цілісності інформації. Підтвердження справжності зберігає цілісність інтерфейсу, а використання кодів автентифікації дає змогу контролювати цілісність файлів і повідомлень. Введення надмірності в мови і формальне задания специфікації дають можливість контролювати цілісність програм.

Крім того, до механізмів контролю і захисту цілісності інформації слід віднести створення системної надмірності. У військовій практиці такі заходи називають підвищенням «живучості» системи. Використання таких механізмів дозволяє також розв'язувати задачі стійкості до помилок і задачі захисту від порушень доступності.

Додамо, що будь-які канали витоку можуть бути контактними (коли здійснюється безпосередній доступ до елементів АС) або безконтактними (коли відбувається візуальне перехоплення інформації або перехоплення за рахунок випромінювань).

4.8 Побудова моделі порушника

Для подальшої організації надійного захисту інформації організації повинні не тільки оцінити весь спектр можливих погроз, але й спробувати виявити категорії порушників і ті методи, які вони використовують.

Розглянемо тепер модель порушника. Порушник (user violator) - користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, то цілком зрозуміло, що створення його формалізованої моделі - дуже складне завдання. Тому, звичайно, мова може йти тільки про неформальну або описову модель порушника. Отже, нижче подається опис можливого для даного класу ІСБ порушника.

Зазначемо, що існує визначення: хакер (hacker) і кракер (cracker). Основна відмінність складається в постановці цілей злому комп'ютерних систем: перші ставлять дослідницькі задачі по оцінці та знаходженню слабких місць з метою подальшого підвищення надійності комп'ютерної системи. Кракери виконують вторгнення в систему з метою руйнування, крадіжки, псування, модифікації інформації та роблять правопорушення з корисливими намірами швидкого збагачення. Але ці два поняття зводяться до одного поняття - порушник.

Порушник - це особа, яка може отримати доступ до роботи з включеними до складу АС засобами. Вона може помилково, унаслідок необізнаності, цілеспрямовано, свідомо чи несвідомо, використовуючи різні можливості, методи та засоби, здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.

В кожному конкретному випадку для кожного об'єкта визначаються імовірні загрози і моделі потенційних порушників – «провідників» цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки вимагається для кожного об'єкта вибрати з кількох можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документа «Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.- НД Т31 1.1-002-99, ДСТСЗІ СБ України, Київ, 1998» модель порушника - це абстрактний формалізований або неформалізований опис порушника.

Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.

При розробці моделі порушника визначаються:

  •  припущення щодо категорії осіб, до яких може належати порушник;
  •  припущення щодо мотивів дій порушника (цілей, які він має);
  •  припущення щодо рівня кваліфікації та обізнаності порушника і його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
  •  обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).

Припускається, що за своїм рівнем порушник - це фахівець вищої кваліфікації, який має повну інформацію про систему.

Звичайно розглядаються 5 типів порушників. Спочатку їх поділяють на дві групи:

  •  зовнішні;
  •  внутрішні порушники.

Серед зовнішніх порушників виділяють такі:

  •  добре озброєна й оснащена силова група, що діє іззовні швидко і напролом;
  •  поодинокий порушник, що не має допуску на об'єкт і намагається діяти потайки й обережно, оскільки він усвідомлює, що сили реагування мають перед ним переваги.

Серед потенційних внутрішніх порушників можна відзначити:

  •  допоміжний персонал об'єкта, що допущений на об'єкт, але не допущений до життєво важливого центру АС;
  •  основний персонал, що допущений до життєво важливого центру (найбільш небезпечний тип порушників);
  •  співробітників служби безпеки, які часто формально і не допущені до життєво важливого центру, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинення акції.

Має також розглядатися можливість змови між порушниками різних типів, що ще більше ускладнює задачу формалізації моделей порушника.

Але слід відзначити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС.

Серед внутрішніх порушників можна виділити такі категорії персоналу:

  •  користувачі (оператори) системи;
  •  персонал, що обслуговує технічні засоби (інженери, техніки);
  •  співробітники відділів розробки та супроводження ПЗ (прикладні та системні програмісти);
  •  технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти АС);
  •  співробітники служби безпеки;
  •  керівники різних рівнів та посадової ієрархії.

Сторонні особи, що можуть бути порушниками:

  •  клієнти (представники організацій, громадяни);
  •  відвідувачі (запрошені з якого-небудь приводу);
  •  представники організацій, що займаються забезпеченням життєдіяльності організації (енерго-, водо-, теплопостачання і т. ін.);
  •  представники конкуруючих організацій (іноземних служб) або особи, що діють за їхнім завданням;
  •  особи, які випадково або навмисно порушили пропускний режим (не маючи на меті порушити безпеку);
  •  будь-які особи за межами контрольованої зони.

Можна виділити також три основні мотиви порушень:

  •  безвідповідальність;
  •  самоствердження
  •  з корисною метою.

При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково здійснює руйнівні дії, які не пов'язані, проте, зі злим умислом. У більшості випадків - це наслідок некомпетентності, недбалості або невдоволення.

Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру «користувач - проти системи» заради самоствердження або у власних очах, або в очах колег.

Порушення безпеки АС може бути викликане корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо.

Усіх порушників можна класифікувати за рівнем знань про АС:

  •  знає функціональні особливості АС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;
  •  має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням;
  •  має високий рівень знань у галузі програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем;
  •  знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.

За рівнем можливостей (методами та засобами, що використовуються):

  •  застосовує суто агентурні методи отримання відомостей;
  •  застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонент системи);
  •  використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути потайки пронесені через пости охорони;
  •  застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).

За часом дії:

  •  у процесі функціонування (під час роботи компонент системи);
  •  у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т. д.);
  •  як у процесі функціонування, так і в період неактивності компонент системи.

За місцем дії:

  •  без доступу на контрольовану територію організації;
  •  з контрольованої території без доступу до будівель та споруд;
  •  усередині приміщень, але без доступу до технічних засобів;
  •  з робочих місць кінцевих користувачів (операторів);
  •  з доступом у зону даних (баз даних, архівів і т. п.);
  •  з доступом у зону управління засобами забезпечення безпеки.

Враховуються також наступні обмеження і припущення про характер дій можливих порушників:

  •  робота з підбору кадрів і спеціальні заходи ускладнюють можливість створення коаліцій порушників, тобто об'єднання (змови) і цілеспрямованих дій з подолання системи захисту двох і більше порушників;
  •  порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших співробітників;
  •  НСД може бути наслідком помилок користувачів, системних адміністраторів, а також хиб прийнятої технології обробки інформації і т. д.

Визначення конкретних характеристик можливих порушників є значною мірою суб'єктивним. Модель порушника, що побудована з урахуванням особливостей конкретної предметної галузі і технології обробки інформації, може бути подана перелічуванням кількох варіантів його образу. Кожний вид порушника має бути схарактеризований згідно з класифікаціями, наведеними вище. Всі значення характеристик мають бути оцінені (наприклад, за 5-бальною системою) і зведені до відповідних форм.

Однак при формуванні моделі порушника на її виході обов'язково повинні бути визначені: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення.

Слід звернути увагу на те, що всі злочини, зокрема і комп'ютерні, здійснюються людиною. Користувачі АС є її складовою, необхідним елементом. З іншого ж боку, вони є основною причиною і рушійною силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки.

4.9 Потенційно можливі злочинні дії

Для здійснення несанкціонованого доступу в інформаційну систему порушнику потрібно, як правило, провести два підготовчих етапи:

  •  зібрати відомості про систему;
  •  виконати пробні спроби входження в систему.

Збір відомостей. Залежно від особистості зломщика і його прихильностей можливі різні напрямки збору відомостей:

  •  підбор співучасників;
  •  аналіз періодичних видань, відомчих бюлетенів і документації;
  •  перехоплення повідомлень електронної пошти;
  •  підслуховування розмов, телексів, телефонів;
  •  перехоплення інформації та електромагнітного випромінювання;
  •  організація крадіжок;
  •  вимагання і хабарі.

Багато власників систем часто не уявляють, яку кропітку підготовчу роботу повинен провести порушник, щоб проникнути в ту або іншу комп'ютерну систему. Тому вони самовпевнено думають, єдине, що необхідно зробити, - це захистити файл паролем, і забувають, що будь-яка інформація про ті або інші слабкі місця системи може допомогти зловмиснику знайти лазійку та обійти пароль, одержавши доступ до файлу. Таким чином, інформація стає легкодоступної, якщо зломщик знає, де й що дивитися. Так, навіть проста брошура, що описує можливості системи, може виявитися досить корисною зловмиснику, що не знайомий із системою, і може послужити ключем для входження в систему.

Повна картина вимальовується в процесі поступового й ретельного збору інформації. І якщо починаючі зловмисники повинні прикласти до цього все своє вміння, то професіонали досягають результатів набагато швидше.

Підбір співучасників. Підбір співучасників базується на підслуховуванні розмов у барах, фойє готелів, ресторанах, таксі, підключенні до телефонів і телексів, вивченні вмісту загублених портфелів і документів. Більшу та корисну інформацію можна витягти, якщо є можливість підсісти до групи програмістів, наприклад у барі. Цей спосіб часто використовують репортери й професійні агенти.

Витяг інформації з періодичних видань. Зломщики можуть почерпнути багато корисної інформації з газет і інших періодичних видань.

Перехоплення повідомлень електронної пошти. Звичайно для підключення до електронної пошти використовується побутовий комп'ютер з модемом для зв'язку з державною телефонною мережею.

Телефонний канал доступу в таку систему зазвичай вільний, хоча останнім часом системні оператори вимагають встановлення пристроїв реєстрації користувачів електронної пошти.

Зараз немає нічого незвичайного в тім, що блоки, встановлені кракерами, можуть бути зашифровані і лише окремі члени злочинних угрупувань можуть зчитувати з них інформацію.

Зав'язування знайомств. Для встановлення контактів з метою одержати інформацію про обчислювальну систему або виявити службові паролі зломщики можуть використовувати різноманітні прийоми. Наприклад, знайомлячись, вони представляються менеджерами; використовують анкети, роздаючи їх у фойє фірми і детально розпитуючи співробітників про комп'ютерну систему; дзвонять операторові ЕОМ в обідній час із проханням нагадати нібито забутий пароль; прогулюються по будинку, спостерігаючи за доступом до системи; встановлюють контакти з незайнятими в цей момент службовцями охорони, яким відвідувачі при вході в будинок фірми повинні пред'являти ідентифікаційний код або пароль.

Найбільше зловмисним, але, можливо, і найбільш успішним є метод «полювання за мозками», коли на фірму приходить людина, що нібито бажає працювати системним програмістом або інженером по лініях зв'язку, і просить дати йому консультацію. Дуже багато інформації може передати зовні службовець, що не має перспективи росту, але вважає себе гідним більше важливої й високооплачуваної посади; він може розкрити коди користувачів, паролі, указати слабкі місця в мережах зв'язку.

Аналіз роздруківок. Деякі зловмисники одержали доступ до ЕОМ просто вивчаючи роздруківки, і це один з найбільш ефективних і найменш ризикованих шляхів одержання конфіденційної інформації. Численні фірми усе ще втрачають інформацію зі своїх комп'ютерних систем, по-перше, помилково думаючи, що вона не містить конфіденційної інформації, і, по-друге, помилково думаючи, що всі чорнові роздруківки сумлінно знищуються. Саме таким способом зломщики змогли одержати досить повну картину організації комп'ютерної системи, використовуючи викинуті роздруківки й незатребувані протоколи роботи системи, які співробітникам обчислювального центра представлялися необразливими папірцями.

Перехоплення повідомлень у каналах зв'язку. Довгий час вваважалося, що про перехоплення повідомлень може іти мова лише у зв'язку з діяльністю військових або секретних служб. Завдяки тому, що число фірм, оснащених обчислювальною технікою, постійно росте, перехоплення повідомлень стало досить реальною погрозою і для комерційного світу. Спектр можливих перехоплень досить широкий - перехоплення усних повідомлень із використанням радіопередавачів, мікрофонів і мікрохвильових пристроїв; підслуховування повідомлень, переданих по телефоні, телексу та іншим каналам передачі даних; контроль за електромагнітним випромінюванням від дисплеїв; перехоплення супутникових або мікрохвильових передач.

Установкою радіопередавачів, мікрофонів і мікрохвильових пристроїв або прослуховуванням ліній зв'язку звичайно займаються професійні зломщики, а також заповзятливі аматори й фахівці зі зв'язку. Останнім часом число випадків встановлення таких пристроїв зросло. Улюбленими точками безконтрольного доступу є телефонні лінії.

Існує ризик при використанні трьохрівневих систем зв'язку, оскільки абонент не в змозі контролювати роботу інженерів і доступ у будинок та до обладнання. Передача даних з комутацією пакетів або з використанням широкополосних ліній зв'язку зі швидкостями в тисячу й мільйони бод викликає інтерес у зловмисників і може бути перехоплена для того, щоб викрасти передані повідомлення, модифікувати їхній зміст, затримати або видалити.

Не слід недооцінювати ті труднощі, які виникають при перехопленні великих потоків слабозв׳язаної інформації та при спробах об'єднати її в певне вихідне повідомлення. Для цього може знадобитися досить потужний міні-комп'ютер, пристрій для виділення сигналів окремих каналів і термінал, на який надходять двійкові цифрові сигнали; хоча це досить складно, але можливо.

Крадіжки. Адміністратори й менеджери фірм одержали можливість брати роботу додому або при необхідності зв'язуватися й передавати інформацію з телефонних каналів у банк дані фірми. Комівояжери можуть робити угоди, використовуючи термінали в номерах готелів, або одержувати доступ до інформації безпосередньо із салону автомобіля. Це створює ґрунт для здійснення крадіжок у будинках, автомобілях, готелях з метою одержати інформацію для наступного входження в обчислювальну систему.

Хабарі та вимагання. Злочинний світ традиційно грає на людських слабкостях і нещастях, таких, як надмірне захоплення азартними іграми, сімейні негаразди, фінансові проблеми, борги, оплата медичних рахунків і т.п.

Часто відвідуючи бари, казино, перегони, інформатори, найняті кракерами, швидко виявляють людей, готових іти на контакт. На жаль, більшість фірм не передбачає ні штату співробітників по безпеці, ні яких-небудь дисциплінарних процедур, щоб виявити, перешкодити або знизити ризик від дій службовців, що потрапили під вплив кракеров.

Одержавши необхідний обсяг попередньої інформації, комп'ютерний кракер робить наступний крок - здійснює безпосереднє вторгнення в систему. Використовувані ним при цьому засобу будуть залежати від кількості інформації, наявної в його розпорядженні. Щоб здійснити несанкціоноване входження в систему, кракеру потрібно знати номер телефону або мати доступ до лінії зв'язку, мати протоколи роботи, опису процедур входу в систему, код користувача й пароль. Якщо кракер не знає телефонної адреси порту, він повинен або довідатися його, зав'язуючи знайомства, або скористатися автонабирачем.

4.10. Питання для самоконтролю і співбесіди по  темі:

  1.  Що таке погроза інформації ?  
  2.  Які є основні властивості інформації ?
  3.  Які класи (види) загроз розрізняються в АС ?
  4.  Які загрози відносяться до рівня порушення конфіденційності ?
  5.  Які загрози відносяться до рівня порушення цілісності ?
  6.  Які загрози відносяться до рівня порушення доступності чи відмова в обслуговуванні ?
  7.  Які загрози відносяться до спостереженості чи керованості?
  8.  Перелічить навмисні фактори погроз.
  9.  Перелічить природні фактори.
  10.   Що таке дестабілізуючі фактори ?
  11.   Перелічить типи дестабілізуючих факторів.
  12.   Які є джерела дестабілізуючих факторів.
  13.   Відповідність типів та джерел ДФ
  14.   Дайте визначення несанкціонованого доступу (НСД)?
  15.   Основні способи НСД.
  16.   Укажить категорії методів захисту від НСД.
  17.   Перелічить методи захисту від НСД.
  18.   Дайте визначення каналу витоку інформації.
  19.   Кваліфікація каналів витоку інформації.
  20.   Дайте характеристику електромагнітного каналу витоку інформації.
  21.   Дайте характеристику акустичного каналу витоку інформації.
  22.   Дайте характеристику оптичного каналу витоку інформації.
  23.   Дайте визначення порушника.
  24.   Що відображає модель порушника?
  25.   Які є типи порушників?
  26.   Опишить потенційно можливі злочинні дії порушника


5
. Огляд причин порушення безпеки

5.1 Загальні причини порушення безпеки

Аналіз і статистика показують, що всі випадки порушення безпеки АС відбуваються з однієї або кількох наступних причин:

1. Вибір моделі безпеки, що не відповідає призначенню чи архітектурі АС. Модель безпеки повинна відповідати вимогам безпеки, запропонованим для АС. Сьогодні спостерігається певна невідповідність між моделями безпеки та архітектурою АС. Фактично формальні моделі безпеки існують тільки у вигляді теорії, а розробники АС змушені піддавати їх певній інтерпретації, щоб пристосувати до конкретної АС. При цьому доводиться йти на певні компроміси, і може виявитися, що модель безпеки в ході реалізації була істотно спотворена. Це означає, що при виборі моделі безпеки не можна не враховувати специфіки архітектури, інакше, незважаючи на всі переваги моделі, гарантованого нею рівня безпеки досягти не вдасться.

2. Неправильне впровадження моделі безпеки. Незважаючи на цілком адекватний вибір моделі безпеки, її реалізація і застосування до архітектури конкретної ОС через властивості самої моделі чи ОС були проведені невдало. Це означає, що в ході реалізації були втрачені всі теоретичні досягнення, отримані при формальному доведенні безпеки моделі. Звичайно неправильне впровадження моделі безпеки в систему виражається в недостатньому обмеженні доступу до найбільш важливих для безпеки систем служб і об'єктів, а також у введенні різних винятків з передбачених моделлю правил розмежування доступу типу привілейованих процесів, утиліт і т. д.

3. Відсутність ідентифікації і/або автентифікації суб'єктів і об'єктів. У багатьох сучасних ОС ідентифікація та автентифікація суб'єктів і об'єктів взаємодії знаходяться на дуже примітивному рівні - суб'єкт (ЗЛ) може порівняно легко видати себе за іншого суб'єкта і скористатися його повноваженнями доступу до інформації.

4. Відсутність контролю цілісності засобів забезпечення безпеки. У багатьох ОС контролю цілісності самих механізмів, що реалізують функції захисту, приділяється слабка увага. Багато систем допускають прозору для служб безпеки підміну компонентів. З погляду безпеки таке становище є неприпустимим.

5. Помилки, яких припустилися в ході програмної реалізації засобів забезпечення безпеки. Ця група причин порушення безпеки буде існувати доти, доки не з'являться технології програмування, що гарантують виробництво безпомилкових програм. Оскільки, як відомо, програми завжди мають помилки, то, очевидно, такі технології не з'являться взагалі, і помилки такого роду будуть виникати завжди.

6. Наявність засобів налагодження і тестування в кінцевих продуктах. Багато розробників залишають у комерційних продуктах так звані «люки», «діри», налагоджувальні можливості і т. д. Причини, з яких це відбувається, цілком зрозумілі - програмні продукти стають усе складнішими, і налагодити їх у лабораторних умовах просто неможливо. Отже, для визначення причин збоїв і помилок уже в процесі експлуатації розробникам доводиться залишати у своїх продуктах можливості для налагодження і діагностики в ході експлуатації.

7. Помилки адміністрування. Наявність найсучасніших засобів захисту не гарантує від можливих порушень безпеки, тому що в безпеці будь-якої системи завжди присутній людський фактор - адміністратор, який керує засобами забезпечення безпеки, може зробити помилку, і всі зусилля розробників будуть зведені нанівець. Помилки адміністрування є досить поширеною причиною порушень безпеки, але часто списуються на помилки розробників засобів захисту.

Наведені причини порушення безпеки зручно подати у вигляді схеми (рисунок 1).

Рис.1 – Схема причин порушення безпеки

5.2 Ознаки функціонування ІС, які свідчать про наявність уразливих місць в інформаційній безпеці

Для прикладу приведемо ознаки функціонування інформаційної системи можуть свідчити про наявність уразливих місць в інформаційній безпеці.

  1.  Не розроблено положень про захист інформації або вони не дотримуються. Не призначений відповідальний за інформаційну безпеку.
  2.  Паролі пишуться на комп'ютерних терміналах, містяться в загальнодоступних місцях, ними діляться з іншими, або вони з'являються на комп'ютерному екрані при їх введенні
  3.  Вилучені термінали та мікрокомп'ютери залишаються без догляду як в робочий так і в неробочий час. Дані відображаються на комп'ютерних екранах, що залишилися без догляду.
  4.  Не існує обмежень на доступ до інформації, або на характер її використання. Всі користувачі мають доступ до всієї інформації та можуть використовувати всі функції системи.
  5.  Не ведеться системних журналів, і не зберігається інформація про те, хто й для чого використовує комп'ютер.
  6.  Зміни в програми можуть вноситися без їх попереднього затвердження керівництвом.
  7.  Відсутня документація або вона не дозволяє виконувати наступне: розуміти одержувані звіти та формули, по яких отримуються результати, модифікувати програми, готовити дані для введення, виправляти помилки, робити оцінку ступенів захисту, розуміти самі дані - їх джерела, формат зберігання, взаємозв'язки між ними.
  8.  Виконуються численні спроби увійти в систему з неправильними паролями.
  9.  Дані, що вводяться, не перевіряються на коректність і точність, або при їхній перевірці багато даних відкидається через помилки в них, потрібно зробити багато виправлень у даних, не робиться записів у журналах про відкинуті трансакції.
  10.  Мають місце виходи з ладу системи, що приносять великі збитки.
  11.  Не виконувався аналіз інформації, оброблюваної в комп'ютері, з метою визначення необхідного для неї рівня безпеки
  12.  Мало уваги приділяється інформаційній безпеці. Хоча політика безпеки існує, більшість людей вважає, що насправді вона не потрібна.

5.3. Питання для самоконтролю і співбесіди по  темі:

  1.  Вкажить найбільш поширені причини порушення безпеки.
  2.  До яких порушень призводить некоректний вибір моделі безпеки.
  3.  Які порушення відносяться до групи помилок організації системи забезпечення?
  4.  Що відноситься до помилок адміністрування?
  5.  Які є ознаки функціонування інформаційних систем?.


6. Критерії безпеки інформаційних технологій

В цій главі розглядаються головні положення нормативних документів, що регламентують проектування, розробку і сертифікацію захищених автоматизованих систем. Крім діючих вітчизняних і міжнародних документів, розглянуто також ретроспективу розвитку стандартів, що відображає еволюцію поглядів на вимоги до побудови захищених автоматизованих систем.

  •  Огляд історії розвитку стандартів інформаційної безпеки

- Критерії оцінки захищених комп'ютерних систем Міністерства оборони США («Жовтогаряча книга»), 1983 р.

- Європейські критерії безпеки інформаційних технологій, 1991 р.

- Керівні документи Держтехкомісії при Президенті Російської Федерації, 1992 р.

- Федеральні критерії безпеки інформаційних технологій США, 1992 р.

  •  Діючі стандарти України – НД ТЗІ по захисту інформації в комп'ютерних системах від НСД
  •  Міжнародний стандарт ISO 15408 (Загальні критерії безпеки інформаційних технологій)

Призначення стандартів інформаційної безпеки полягає в створені основи для взаємодії між виробниками, споживачами й експертами по кваліфікації.

6.1. Критерії оцінки захищених комп'ютерних систем Міністерства оборони США. «Жовтогаряча книга».

Мета розробки

"Критерії оцінки захищених комп'ютерних систем" (Trusted Computer System Evaluation Criteria [CSC-STD-001-83]) були розроблені й опубліковані Міністерством оборони США в 1983 році з метою визначення вимог безпеки, що висуваються до апаратного, програмного і спеціального програмного й інформаційного забезпечення комп'ютерних систем і вироблення методології і технології аналізу ступеня підтримки політики безпеки в комп'ютерних системах, головним чином військового призначення. Документ одержав неформальну назву «Жовтогаряча книга», під якою став відомим широкому колу спеціалістів.

Визначення безпечної системи

У даному документі були вперше формально (хоча і не цілком строго) визначені такі поняття, як «політика безпеки», «коректність» і інші. Згідно "Жовтогарячій книзі" безпечна КС – це система, що підтримує керування доступом до оброблюваної в ній інформації таким чином, що тільки відповідним чином авторизовані користувачі чи процеси (суб'єкти), що діють від їхнього імені, одержують можливість читати, записувати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування всіх стандартів безпеки, що згодом з'явилися.

Загальна структура вимог безпеки

У "Жовтогарячій книзі" запропоновані три категорії вимог безпеки – політика безпеки, аудит і коректність, у рамках яких сформульовані шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, а дві останніх – на якість самих засобів захисту. Розглянемо ці вимоги докладніше.

Політика безпеки

Вимога 1. Політика безпеки. Система повинна підтримувати точно визначену політику безпеки. Можливість здійснення суб'єктами доступу до об'єктів повинна визначатися на підставі їхньої ідентифікації і набору правил керування доступом. Там, де це необхідно, повинна використовуватися політика мандатного керування доступом, що дозволяє ефективно реалізувати розмежування доступу до інформації різного рівня конфіденційності.

Вимога 2. Мітки. З об'єктами повинні бути асоційовані мітки безпеки, що використовуються як вихідна інформація для процедур контролю доступу. Для реалізації мандатного керування доступом система повинна забезпечувати можливість присвоювати кожному об'єкту мітку чи набір атрибутів, що визначають ступінь конфіденційності (гриф таємності) об'єкта і режими доступу до цього об'єкта.

Аудит

Вимога 3. Ідентифікація й автентифікація. Усі суб'єкти повинні мати унікальні ідентифікатори. Контроль доступу повинен здійснюватися на підставі результатів ідентифікації суб'єкта й об'єкта доступу, підтвердження дійсності їхніх ідентифікаторів (автентифікації) і правил розмежування доступу. Дані, що використовуються для ідентифікації й автентифікації, повинні бути захищені від несанкціонованого доступу, модифікації і знищення і повинні бути асоційовані з всіма активними компонентами комп'ютерної системи, функціонування яких критично з погляду безпеки.

Вимога 4. Реєстрація й облік. Для визначення ступеня відповідальності користувачів за дії в системі всі події, які відбуваються в ній, що мають значення з погляду безпеки, повинні відслідковуватися і реєструватися в захищеному протоколі. Система реєстрації повинна здійснювати аналіз загального потоку подій і виділяти з нього тільки ті події, що впливають на безпеку, для скорочення обсягу протоколу і підвищення ефективності його аналізу. Протокол подій повинен бути надійно захищеним від несанкціонованого доступу, модифікації і знищення.

Коректність

Вимога 5. Контроль коректності функціонування засобів захисту. Засоби захисту повинні містити незалежні апаратні і/чи програмні компоненти, що забезпечують працездатність функцій захисту. Це означає, що всі засоби захисту, що забезпечують політику безпеки, керування атрибутами і мітками безпеки, ідентифікацію й автентифікацію, реєстрацію й облік, повинні знаходитися під контролем засобів, що перевіряють коректність їхнього функціонування. Основний принцип контролю коректності полягає в тому, що засоби контролю повинні бути цілком незалежні від засобів захисту.

Вимога 6. Безперервність захисту. Усі засоби захисту (у т.ч. і ті, що реалізують дану вимогу) повинні бути захищені від несанкціонованого втручання і/чи відключення, причому цей захист повинний бути постійним і безупинним у будь-якому режимі функціонування системи захисту і КС у цілому. Дана вимога поширюється на весь життєвий цикл комп'ютерної системи. Крім того, його виконання є однією з ключових аксіом, що використовуються для формального доказу безпеки системи.

Таксономія критеріїв

Політика безпеки

  •  Дискреційне керування доступом (Discretionary Access Control)
  •  Мандатне керування доступом (Mandatory Access Control)
  •  Повторне використання об'єктів (Object Reuse)
  •  Інкапсуляція ресурсів (Resource Encapsulation)
  •  Мітки безпеки (Labels)
  •  Цілісність міток безпеки (Labels Integrity)
  •  Експорт міток (Export Human-Readable Labels)
  •  Експорт позначеної інформації (Export Machine Readable Output)
  •  Мітки повноважень суб'єктів (Working Label)
  •  Мітки пристроїв (Labels Frequency)

Аудит

  •  Ідентифікація й автентифікація (Identification & Authentication)
  •  Пряма взаємодія з КСЗ (Trusted Path)
  •  Реєстрація й облік подій (Audit)

Коректність

  •  Коректність функціонування

Архітектура системи (System Architecture)

Цілісність системи (System Integrity)

Аналіз прихованих каналів (Covert Channel Analysis)

Керування безпекою (Trusted Facility Management)

Довірене відновлення (Trusted Recovery)

  •  Коректність розробки

Тестування безпеки (Security Testing)

Розробка і верифікація специфікацій (Design Specification and Verification)

Керування конфігурацією (Configuration Management)

Довірена дистрибуція (Trusted Distribution)

Документація

  •  Посібник користувача (Users Guide)
  •  Керівництво адміністратора безпеки (Facility Manual)
  •  Документування процесу тестування (Test Documentation)
  •  Документування процесу розробки (Design Documentation)

Класи безпеки комп'ютерних систем

"Жовтогаряча книга" передбачає чотири групи, що відповідають різному ступеню захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна група включає один чи кілька класів. Групи D і А містять по одному класу (класи D1 і А1, відповідно), група С – класи C1, C2, а група В три класи – B1, B2, В3, що характеризуються різними наборами вимог безпеки. Рівень безпеки зростає при русі від групи D до групи А, а всередині групи – зі зростанням номера класу.

Група D. Мінімальний захист

Клас D1. Мінімальний захист. До цього класу відносяться всі системи, що не задовольняють вимогам інших класів.

Група С. Дискреційний захист

Група С характеризується наявністю довільного керування доступом і реєстрацією дій суб'єктів.

Клас С1. Дискреційний захист. Системи цього класу задовольняють вимогам забезпечення розділу користувачів і інформації і включають засоби контролю і керування доступом, які дозволяють задавати обмеження для індивідуальних користувачів, що дає їм можливість захищати свою приватну інформацію від інших користувачів. Клас С1 розрахований на багатокористувацькі системи, у яких здійснюється спільна обробка даних одного рівня конфіденційності.

Клас С2. Керування доступом. Системи цього класу здійснюють більш гнучке керування доступом, чим системи класу С1, за допомогою застосування засобів індивідуального контролю за діями користувачів, реєстрації, обліку подій і виділення ресурсів.

Група В. Мандатний захист

Основні вимоги цієї групи – нормативне (мандатне) керування доступом з використанням міток безпеки, підтримка моделі і політики безпеки, а також наявність специфікацій на функції комплексу засобів захисту (в термінології “Жовтогарячої книги” – довіреної обчислювальної бази, trusted computing base). Для систем цієї групи монітор взаємодій повинний контролювати всі події (потоки) у системі.

Клас В1. Захист із застосуванням міток безпеки. Системи класу В1 повинні відповідати усім вимогам, пропонованим до систем класу С2, і, крім того, повинні підтримувати визначену неформально модель безпеки, маркірування даних і нормативне керування доступом. При експорті із системи інформація повинна піддаватися маркіруванню. Виявлені в процесі тестування недоліки повинні бути усунуті.

Клас В2. Структурований захист. Для відповідності класу В2 КЗЗ КС повинен підтримувати формально визначену і чітко документовану модель безпеки, яка передбачає довільне і нормативне керування доступом, що поширюється в порівнянні із системами класу В1 на всі суб'єкти. Крім того, повинен здійснюватися контроль прихованих каналів витоку інформації. У структурі ядра захисту повинні бути виділені елементи, критичні з погляду безпеки. Інтерфейс КЗЗ повинен бути чітко визначеним, а її архітектура і реалізація повинні бути виконані з урахуванням можливості проведення тестових іспитів. У порівнянні з класом В1 повинні бути посилені засоби автентифікації. Керування безпекою здійснюється адміністраторами системи. Повинні бути передбачені засоби керування конфігурацією.

Клас В3. Домени безпеки. Для відповідності цьому класу ядро захисту системи повинне включати монітор взаємодій, що контролює всі типи доступу суб'єктів до об'єктів, що неможливо обійти (тобто потрібно гарантування заданої ПБ). Крім того, ядро захисту повинне бути структуроване з метою виключення з нього підсистем, що не відповідають за реалізацію функцій захисту, і бути досить компактним для ефективного тестування й аналізу. У ході розробки і реалізації ядра захисту повинні застосовуватися методи і засоби, спрямовані на мінімізацію його складності. Засобу аудита повинні включати механізми оповіщення адміністратора при виникненні подій, що мають значення для безпеки системи. Потрібно наявність засобів відновлення працездатності системи.

Група А. Верифікований захист

Дана група характеризується застосуванням формальних методів верифікації коректності роботи механізмів керування доступом (довільного і нормативного). Потрібна додаткова документація, що демонструє, що архітектура і реалізація ядра захисту відповідають вимогам безпеки.

Клас А1. Формальна верифікація. Системи класу А1 функціонально еквівалентні системам класу В3, і до них не пред'являється ніяких додаткових функціональних вимог. На відміну від систем класу В3 у ході розробки повинні застосовуватися формальні методи верифікації, що дозволяє з високою впевненістю одержати коректну реалізацію функцій захисту. Процес доказу адекватності реалізації починається на ранній стадії проектування з побудови формальної моделі політики безпеки. Для забезпечення ефективності застосування методів верифікації системи класу А1 повинні містити більш могутні засоби керування конфігурацією і захищеною процедурою дистрибуції (установки і поширення).

Інтерпретація і розвиток "Жовтогарячої книги"

Опублікування "Жовтогарячої книги" стало важливим етапом як у постановці, так і у вказівці напрямку рішення основних теоретичних проблем комп'ютерної безпеки. Наведені класи безпеки надовго визначили основні концепції безпеки і хід розвитку засобів захисту. Проте в ході застосування її основних положень з'ясувалося, що частина практично важливих питань залишилася за рамками даного стандарту і, крім того, з часом ряд положень застарів і зажадав перегляду.

Коло специфічних питань по забезпеченню безпеки комп'ютерних мереж і систем керування базами даних знайшло відображення в окремих документах, виданих Національним центром комп'ютерної безпеки США у вигляді доповнень до "Жовтогарячої книги" – «Інтерпретація «Жовтогарячої книги» для комп'ютерних мереж» (Trusted Network Interpretation [NCSC-TG-005]) і «Інтерпретація «Жовтогарячої книги» для систем керування базами даних» (Trusted Database Management System Interpretation [NCSC-TG-021]). Ці документи містять трактування основних положень "Жовтогарячої книги" стосовно до відповідних класів систем обробки інформації.

Старіння ряду положень "Жовтогарячої книги" обумовлено насамперед інтенсивним розвитком комп'ютерних технологій і переходом з централізованих обчислювальних комплексів на базі мейнфреймів (в США на той час найпоширенішими були IBM-360/370, в Радянському Союзі – їхні аналоги, результат копіювання, – машини серії ЄС) до робочих станцій, високопродуктивних персональних комп'ютерів і розподіленої обробки інформації. Саме для того, щоб виключити некоректність деяких положень "Жовтогарячої книги", що виникла в зв'язку зі зміною апаратної платформи, адаптувати їх до сучасних умов і зробити адекватними потребам розробників і користувачів програмного забезпечення, і була здійснена значна робота з інтерпретації і розвитку положень цього стандарту. В результаті виник цілий ряд супутніх "Жовтогарячій книзі" документів, багато з яких стали її невід'ємною частиною. До тих, що їх згадують найчастіше, відносяться:

Посібник з дискреційного керування доступом у захищених системах (A guide to understanding discretionary access control in trusted systems [NCSC-TG-003]).

Посібник з керування паролями (Password management guideline [CSC-STD-002-85]).

Посібник із застосування «Критеріїв безпеки комп'ютерних систем» у специфічних середовищах (Guidance for applying the Department of Defence Trusted Computer System Evaluation Criteria in specific environment [CSC-STD-003-85]).

Посібник з аудита в безпечних системах (A Guide to Understanding Audit in Trusted Systems [NCSC-TG-001]).

Посібник з керування конфігурацією в безпечних системах (Guide to understanding configuration management in trusted systems [NCSC-TG-006-88]).

Кількість подібних допоміжних документів, коментарів і інтерпретацій значно перевищило обсяг первісного документа, і в 1995 році Національним центром комп'ютерної безпеки США був опублікований документ за назвою "Інтерпретація критеріїв безпеки комп'ютерних систем" [NCSC-TG-007-95], що поєднує всі доповнення і роз'яснення. При його підготовці склад питань, що підлягають розгляду і тлумаченню, обговорювався на спеціальних конференціях розробників і користувачів захищених систем обробки інформації. У результаті відкритого обговорення була створена база даних, що включала всі спірні питання, що потім у повному обсязі були пророблені спеціально створеною робочою групою. У підсумку з'явився документ, що проінтегрував усі зміни і доповнення до "Жовтогарячої книги", зроблені з моменту її опублікування, що привело до відновлення стандарту і дозволило застосовувати його в сучасних умовах.

Висновки

"Критерії оцінки захищених комп'ютерних систем" Міністерства оборони США являють собою першу спробу створити єдиний стандарт безпеки, що розрахований на проектувальників, розроблювачів, споживачів і фахівців із сертифікації систем безпеки комп'ютерних систем. У свій час цей документ став значним кроком в області безпеки інформаційних технологій і послужив відправною точкою для численних досліджень і розробок. Основною рисою цього документа, як уже відзначалося, є його орієнтація на системи військового застосування, причому в основному на операційні системи. Це визначило домінування вимог, спрямованих на забезпечення конфіденційності оброблюваної інформації і виключення можливостей її розголошення. Велика увага приділена міткам конфіденційності (грифам таємності) і правилам експорту секретної інформації.

Вимоги по гарантуванню політики безпеки відображені досить поверхово, відповідний розділ фактично обмежується вимогами контролю цілісності засобів захисту і підтримки їхньої працездатності, чого згідно сучасних поглядів явно недостатньо.

Вищий клас безпеки (А1) побудований на доказі відповідності ПЗ його специфікаціям , однак цей доказ не підтверджує коректність і адекватність реалізації політики безпеки.

"Жовтогаряча книга" послужила основою для розробників всіх інших стандартів інформаційної безпеки і до останнього часу використовувалась в США як керівний документ при сертифікації комп'ютерних систем обробки інформації.

6.2. Європейські критерії безпеки інформаційних технологій

Слідом за виходом "Жовтогарячої книги" країни Європи розробили погоджені "Критерії безпеки інформаційних технологій" (Information Technology Security Evaluation Criteria, далі – "Європейські критерії"). Даний огляд ґрунтується на версії 1.2 цього документа, опублікованої в червні 1991 року від імені відповідних органів чотирьох країн: Франції, Німеччини, Нідерландів і Великобританії [ ].

Основні поняття

"Європейські критерії" розглядають такі задачі засобів інформаційної безпеки:

  •  захист інформації від несанкціонованого доступу з метою забезпечення її конфіденційності (підтримка конфіденційності);
  •  забезпечення цілісності інформації за допомогою захисту від її несанкціонованої модифікації чи знищення (підтримка цілісності);
  •  забезпечення працездатності систем за допомогою протидії загрозам відмовлення в обслуговуванні (підтримка приступності).

Для того щоб задовольнити вимогам конфіденційності, цілісності і доступності, необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, відновлення після збоїв і т.д. Щоб засоби захисту можна було визнати ефективними, потрібен високий ступінь впевненості в правильності їхнього вибору і надійності функціонування. Для рішення цієї проблеми в "Європейських критеріях" уперше вводиться поняття адекватності (assurance) засобів захисту.

Адекватність містить у собі два аспекти: ефективність, що відбиває відповідність засобів безпеки розв'язуваним задачам, і коректність, що характеризує процес їхньої розробки і функціонування. Ефективність визначається відповідністю між задачами, поставленими перед засобами безпеки, і реалізованим набором функцій захисту – їхньою функціональною повнотою і погодженістю, простотою використання, а також можливими наслідками використання зловмисниками слабких місць захисту. Під коректністю розуміється правильність і надійність реалізації функцій безпеки (у прийнятій термінології – гарантування обраної ПБ).

У "Європейських критеріях" засоби, що мають відношення до інформаційної безпеки, розглядаються на трьох рівнях деталізації. На першому рівні розглядаються цілі, які переслідує забезпечення безпеки, другий рівень містить специфікації функцій захисту, а третій – механізми, що їх реалізують.

Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їхньої реалізації.

Функціональні критерії

Специфікації функцій захисту пропонується розглядати з точки зору таких вимог:

  •  ідентифікація й автентифікація;
  •  керування доступом;
  •  підзвітність;
  •  аудит;
  •  повторне використання об'єктів;
  •  цілісність інформації;
  •  надійність обслуговування;
  •  безпека обміну даними.

Більшість з названих вимог збігається з аналогічними вимогами "Жовтогарячої книги". Зупинимося лише на специфічних для "Європейських критеріїв" моментах.

Вимоги безпеки обміну даними регламентують роботу засобів, що забезпечують безпеку даних, переданих по каналах зв'язку, і включають такі розділи:

  •  автентифікація;
  •  керування доступом;
  •  конфіденційність даних;
  •  цілісність даних;
  •  неможливість відмовитися від зроблених дій.

Набір функцій безпеки може специфікуватись з використанням посилань на заздалегідь визначені класи-шаблони. У "Європейських критеріях" таких класів десять. П'ять з них (F-C1, F-C2, F-B1, F-B2, F-B3) відповідають класам безпеки "Жовтогарячої книги" з аналогічними позначеннями. Інші п'ять класів розглянемо докладніше, тому що саме їхні вимоги відбивають точку зору розробників стандарту на проблему безпеки.

Клас F-IN призначений для систем з високими вимогами в забезпеченні цілісності, що типово для систем керування базами даних. Його опис заснований на концепції "ролей", що відповідають видам діяльності користувачів, і наданні доступу до визначених об'єктів тільки за допомогою довірених процесів. Повинні розрізнятися наступні види доступу: читання, запис, додавання, видалення, створення, перейменування і виконання об'єктів (мається на увазі породження суб'єкта з відповідного об'єкта-джерела).

Клас F-AV характеризується підвищеними вимогами до забезпечення працездатності системи. Це суттєво, наприклад, для систем керування технологічними процесами. У вимогах цього класу вказується, що система повинна відновлюватися після відмови окремого апаратного компонента таким чином, щоб усі критично важливі функції постійно залишалися доступними. У такому ж режимі повинна відбуватися і заміна компонентів системи. Незалежно від рівня завантаження, повинен гарантуватися визначений максимальний час реакції системи на зовнішні події.

Клас F-DI орієнтований на розподілені системи обробки інформації. Перед початком обміну і при одержанні даних сторони повинні мати можливість провести ідентифікацію учасників взаємодії і перевірити її дійсність. Повинні використовуватися засоби контролю і виправлення помилок. Зокрема, при пересиланні даних повинні виявлятися усі випадкові чи навмисні перекручування адресної і користувальницької інформації. Знання алгоритму виявлення перекручувань не повинне дозволяти зловмиснику робити нелегальну модифікацію переданих даних. Повинні виявлятися спроби повторної передачі раніше переданих повідомлень.

Клас F-DC приділяє особливу увагу вимогам до конфіденційності переданої інформації. Інформація повинна передаватися по каналам зв'язку тільки в зашифрованому вигляді. Ключі шифрування повинні бути захищені від несанкціонованого доступу.

Клас F-DX висуває підвищені вимоги і до цілісності і до конфіденційності інформації. Його можна розглядати як функціональне об'єднання класів FDI і F-DC з додатковими можливостями шифрування і захисту від аналізу трафіка. Повинен бути обмеженим доступ до раніше переданої інформації.

Критерії адекватності

"Європейські критерії" приділяють адекватності засобів захисту значно більше уваги, чим функціональним вимогам. Адекватність складається з двох компонентів – ефективності і коректності роботи засобів захисту.

Критерії ефективності

  •  Відповідність набору засобів захисту проголошеним цілям
  •  Взаємна погодженість різних засобів і механізмів захисту
  •  Здатність засобів захисту протистояти атакам
  •  Можливість практичного використання недоліків архітектури засобів захисту
  •  Простота використання засобів захисту
  •  Можливість практичного використання функціональних недоліків засобів захисту

Критерії коректності

  •  Процес розробки

Специфікація вимог безпеки

Розробка архітектури

Створення робочого проекту

Реалізація

  •  Середовище розробки

Засобу керування конфігурацією

Використовувані мови програмування і компілятори

Безпека середовища розробки

  •  Експлуатаційна документація

Керівництво користувача

Керівництво адміністратора

  •  Середовище розробки

Доставка й установка

Запуск і експлуатація

"Європейські критерії" визначають сім рівнів адекватності – від Е0 до Е6 (у порядку зростання). Рівень Е0 позначає мінімальну адекватність. При перевірці адекватності аналізується весь життєвий цикл системи – від початкової фази проектування до експлуатації і керування. Рівні адекватності від Е1 до Е6 вишикувані по наростанню вимог старанності контролю. Так, на рівні Е1 аналізується лише загальна архітектура системи, а адекватність засобів захисту підтверджується функціональним тестуванням. На рівні Е3 до аналізу залучаються вихідні тексти програм і схеми апаратного забезпечення. На рівні Е6 потрібен формальний опис функцій безпеки, загальної архітектури, а також політики безпеки.

Ступінь безпеки системи визначається самим слабким з критично важливих механізмів захисту. У "Європейських критеріях" визначені три рівні безпеки – базовий, середній і високий. Безпека вважається:

  •  базовою, якщо засоби захисту здатні протистояти окремим випадковим атакам (зловмисник – фізична особа);
  •  середньою, якщо засоби захисту здатні протистояти зловмисникам, що володіють обмеженими ресурсами і можливостями (корпоративний зловмисник);
  •  високою, якщо є впевненість, що засоби захисту можуть бути подолані тільки зловмисником з високою кваліфікацією, набір можливостей і ресурсів якого виходить за рамки можливого (зловмисник – державна спецслужба).

Висновки

"Європейські критерії безпеки інформаційних технологій", що з'явилися слідом за "Жовтогарячою книгою", суттєво вплинули на стандарти безпеки інформаційних технологій і методику сертифікації комп’ютерних систем.

Головне досягнення цього документа – введення поняття адекватності (assurance) засобів захисту і визначення окремої шкали для критеріїв адекватності. Адекватність складається з ефективності та коректності. Ефективність – відповідність між задачами захисту і реалізованим набором функцій (повнота і узгодженість), коректність – правильність і надійність реалізації функцій.

Необхідно відзначити, що "Європейські критерії" тісно зв'язані з "Жовтогарячою книгою", що робить їх не цілком самостійним документом.

У порівнянні з "Жовтогарячою книгою" важливою новацією "Європейських критеріїв" є відмовлення від єдиної універсальної шкали ступеня захищеності, замість якої пропонуються класи-шаблони, що не утворюють єдиної ієрархії.

У "Європейських критеріях" висуваються додаткові вимоги по безпеці обміну даними в розподілених системах.

"Європейські критерії" визнають можливість наявності недоліків у сертифікованих на деякий клас захищених системах (критерій можливості використання недоліків захисту). Такий підхід свідчить про реалістичний погляд на існуючий стан справ.

6.3. Керівні документи Держтехкомісії при Президенті Російської Федерації

  •  Концепція захисту засобів обчислювальної техніки (ЗОТ, Рос. – СВТ) від несанкціонованого доступу до інформації
  •  Засоби обчислювальної техніки. Захист від НСД до інформації. Показники захищеності від НСД до інформації
  •  Автоматизовані системи. Захист від НСД до інформації. Класифікація АС і вимоги по захисту інформації

Класи ЗОТ і АС

  •  ЗОТ: 7 класів від 7 до 1
  •  АС: 3 групи, 9 класів

Група 3

АС, у яких працює один користувач, допущений до всієї інформації. Класи 3Б и 3А

Група 2

АС, у яких користувачі мають однакові повноваження доступу до всієї інформації. Класи 2Б и 2А

Група 1

Багатокористувацькі АС, в яких обробляється інформація різних рівнів конфіденційності, користувачі мають різні права доступу. Класи 1Д, 1М, 1В, 1Б, 1А

Висновки

  •  Подібно «Жовтогарячій книзі», документи орієнтовані на системи військового застосування.
  •  Поняття «Політика безпеки» трактується винятково як підтримка режиму таємності і відсутність НСД. Засоби захисту орієнтуються винятково на протидію зовнішнім загрозам.
  •  Відсутні вимоги до захисту від загроз працездатності і до адекватності реалізації політики безпеки. До структури самої системи і до її функціонування вимоги не пред'являються.
  •  Використовується єдина універсальна шкала ступеня захищеності. Ранжирування вимог по класах максимально спрощене.

6.4. Федеральні критерії безпеки інформаційних технологій США

Цілі розробки

  •  Визначення універсального і відкритого для подальшого розвитку набору основних вимог безпеки, пропонованих до сучасних інформаційних технологій.
  •  Удосконалення існуючих вимог і критеріїв безпеки.
  •  Приведення у відповідність між собою прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.
  •  Нормативне закріплення основних принципів інформаційної безпеки.

Етапи розробки продукта ІТ

Пояснення термінології

В “Федеральних критеріях”, а також в деяких наступних стандартах застосовується термін “продукт інформаційних технологій” (продукт ІТ, або ІТ-продукт). За значенням цей термін близький до терміну “Комп’ютерна система” (КС) згідно діючого в Україні НД ТЗІ 1.1-003-99, а саме: сукупність програмних і апаратних засобів, що представлена для кваліфікаційного аналізу (експертизи). В керівних документах ДТК Росії використовується термін “Засіб обчислювальної техніки” (Рос. – “Средство вычислительной техники”, СВТ). Слід зазначити, що термін з “Федеральних критеріїв” є більш гнучким.

Розробка й аналіз профілю захисту

Вимоги, викладені в профілі захисту, визначають функціональні можливості продуктів ІТ по забезпеченню безпеки й умови експлуатації, при дотриманні яких гарантується відповідність пропонованим вимогам. Профіль захисту аналізується на повноту, несуперечність і технічну коректність.

Розробка і кваліфікаційний аналіз продуктів ІТ

Розроблені продукти ІТ піддаються незалежному аналізу, мета якого – визначення ступеня відповідності характеристик продукту вимогам профілю захисту.

Компонування і сертифікація системи обробки інформації в цілому

Отримана в результаті система повинна задовольняти заявленим у профілі захисту вимогам.

Структура профілю захисту

Опис

Класифікаційна інформація, необхідна для ідентифікації профілю в спеціальній картотеці.

Обґрунтування

Опис середовища експлуатації, передбачуваних загроз безпеки і методів використання продукта ІТ.

Функціональні вимоги

Реалізація політики безпеки

  •  Політика аудита

Ідентифікація й автентифікація

Реєстрація в системі

Забезпечення прямої взаємодії з КЗЗ

Реєстрація й облік подій

  •  Політика керування доступом

Дискреційне керування доступом

Мандатне керування доступом

Контроль прихованих каналів

  •  Політика забезпечення працездатності

Контроль за розподілом ресурсів

Забезпечення стійкості до відмов

  •  Керування безпекою

Моніторинг взаємодій

Логічний захист КЗЗ

Фізичний захист КЗЗ

Самоконтроль КЗЗ

Ініціалізація і відновлення КЗЗ

Обмеження привілеїв при роботі з КЗЗ

Простота використання КЗЗ

Вимоги до технології розробки

Процес розробки

  •  Визначення множини функцій КЗЗ відповідно до функціональних вимог
  •  Реалізація КЗЗ

Визначення складу функціональних компонентів КЗЗ

Визначення інтерфейсу КЗЗ

Декомпозиція КЗЗ на функціональні модулі

Структуризація КЗЗ на домени безпеки

Мінімізація функцій і структури КЗЗ

  •  Адекватність реалізації КЗЗ
  •  Тестування й аналіз КЗЗ

Тестування функцій КЗЗ

Аналіз можливостей порушення безпеки

Аналіз прихованих каналів

Середовище розробки

  •  Інструментальні засоби
  •  Засоби керування процесом розробки
  •  Процедура дистрибуції

Документування

  •  Документування функцій КЗЗ
  •  Повна документація на продукт ІТ (інтерфейси, компоненти, модулі, структура КЗЗ, методика проектування, а також вихідні тексти і специфікація апаратних засобів)
  •  Документування тестування й аналізу продукта ІТ

Документування процесу тестування функцій

Документування аналізу можливостей порушення безпеки

Документування аналізу схованих каналів

  •  Документування середовища і процесу розробки

Супровід

  •  Користувальницька документація
  •  Посібник з адміністрування системи безпеки
  •  Процедура відновлення версій і виправлення помилок
  •  Процедура інсталяції

Вимоги до процесу кваліфікаційного аналізу

Аналіз

  •  Аналіз архітектури
  •  Аналіз реалізації

Контроль

  •  Контроль середовища розробки
  •  Контроль процесу супроводу продукта ІТ

Тестування

  •  Тестування функцій КЗЗ виробником
  •  Незалежне тестування функцій КЗЗ

Висновки

  •  Вперше запропонована концепція профілю захисту.
  •  У стандарті визначаються три незалежні групи вимог: функціональні вимоги безпеки, вимоги до технології розробки, вимоги до процесу кваліфікаційного аналізу.
  •  Функціональні вимоги безпеки добре структуровані.
  •  Вимоги до технології розробки спонукають виробників застосовувати сучасні технології програмування, що дозволяють підтвердити безпеку продукту.
  •  Вимоги до процесу кваліфікаційного аналізу носять загальний характер і не містять конкретних методик.
  •  Відкидається оцінка рівня безпеки за допомогою універсальної шкали, пропонується незалежне ранжирування вимог кожної групи.

6.5. Нормативні документи технічного захисту інформації (НД ТЗІ) України по захисту інформації в комп'ютерних системах від несанкціонованого доступу

Затверджені наказом Департаменту спеціальних телекомунікаційних систем і захисту інформації СБ України від 28.04.99 р. №22

Введені в 1999 році

Склад документів:

  •  НД ТЗІ 1.1-002-99: Загальні положення по захисту інформації в комп'ютерних системах від несанкціонованого доступу.
  •  НД ТЗІ 1.1-003-99: Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу.
  •  НД ТЗІ 1.4-001-2000: Типове положення про службу захисту інформації в автоматизованій системі.
  •  НД ТЗІ 2.1-001-2001: Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення.
  •  НД ТЗІ 2.5-004-99: Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
  •  НД ТЗІ 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
  •  НД ТЗІ 2.5-008-02: Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.
  •  НД ТЗІ 2.5-010-03: Вимоги до захисту інформації WEB – сторінки від несанкціонованого доступу.
  •  НД ТЗІ 3.6-001-2000: Технічний захист інформації. Комп'ютерні системи. Порядок створення, упровадження, супроводи і модернізації засобів технічного захисту інформації від несанкціонованого доступу.
  •  НД ТЗІ 3.7-001-99: Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (зі зміною №1, затвердженою наказом ДСТСЗІ СБУ 18.06.02 №37).

Законодавча і нормативна база України

  •  Закон України “Про інформацію”
  •  Закон України “Про захист інформації в автоматизованих системах”
  •  Закон України “Про державну таємницю”
  •  Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.97 р. № 1126
  •  Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. №1229
  •  Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16.02.98 р. № 180

Сфера дії нормативних документів

Відповідно до закону України "Про інформацію", вся інформація поділяється на відкриту й інформацію з обмеженим доступом. Такий розподіл по режимах доступу здійснюється винятково на підставі ступеня конфіденційності інформації. Поряд з конфіденційністю важливими характеристиками інформації є її цілісність і приступність, проте на сьогоднішній день іншої класифікації інформації, крім приведеної, не впроваджено.

Положення документів поширюються на державні органи, Збройні Сили, інші військові формування, МВС, Рада Міністрів Автономної Республіки Крим і органи місцевого самоврядування, а також підприємства, установи й організації усіх форм власності, що володіють, користаються і розпоряджаються інформацією, що є власністю держави, чи інформацією, захист якої гарантується державою.

Власники (користувачі) інформації, що не є власністю чи держави захист якої не гарантується державою, положення документів застосовують за своїм розсудом.

Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (НД ТЗІ 1.1-003-99)

Термінологія в області захисту інформації в комп’ютерних системах від НСД, що запропонована в даному стандарті, розроблена на основі “Канадських критеріїв”, і має певні особливості, які не були підтримані сучасним міжнародним стандартом ISO 15408.

Суб’єкти й об’єкти

Термін “суб’єкт” в цьому стандарті не використовується. Використовуються терміни об’єкт-користувач і об’єкт-процес (ці терміни вже було розкрито нами Главі 1). Здійснення доступу розглядається за схемою:

Така схема має переваги перед традиційним розглядом взаємодії суб’єкт-об’єкт, оскільки вона конкретизує особливості доступу.

Однак, в деяких випадках така конкретизація неадекватна. Згідно цього документу, об’єкт-користувач – це представлення в КС фізичної особи (користувача). Якщо узагальнити це на псевдокористувачів (SYSTEM, daemon, ftp, …) ще до певної міри можливо, то деякі КС, які взагалі (принципово) не розрізняють користувачів, дуже складно описувати в термінах НД ТЗІ. Прикладом таких систем є мережні комутатори 2-го чи 3-го рівня. Вони отримують пакети даних, які ідентифікуються МАС-адресою джерела (2-й рівень) чи ІР-адресою джерела і номером порту відправлення (3-й рівень). Саме такий приклад наводили в [Зегжда, Івашко] як недолік “Канадських критеріїв”, і цей недолік в повній мірі властивий українським НД ТЗІ.

Керування доступом

Замість традиційних (починаючи з “Жовтогарячої книги”) дискреційної й мандатної політик керування доступом, в цьому документі введено інші терміни: довірче керування доступом й адміністративне керування доступом.

Довірче керування доступом:

користувачам дозволено керувати доступом до об'єктів свого домена (наприклад, на підставі права володіння об'єктами).

Адміністративне керування доступом:

керувати доступом до об'єктів дозволено тільки спеціально уповноваженим користувачам (адміністраторам).

Незважаючи на те, що ці терміни позиціонуються як тотожні згаданим міжнародним термінам, насправді вони мають дещо інші значення. Так, дискреційне керування доступом може здійснюватись і як довірче керування, і як адміністративне керування (в останньому випадку керування доступом довірено лише адміністратору, але без використання міток безпеки). Більше того, засобами розповсюдженої операційної системи Windows 2000 можна здійснити обидві схеми керування, однак ця система не підтримує мандатне керування доступом.

Фактично, мандатне керування доступом є окремим випадком адміністративного керування доступом.

Критерії захищеності інформації в комп’ютерних системах від несанкціонованого доступу (НД ТЗІ 2.5-004-99)

Розглядаються 5 груп критеріїв:

  •  Критерії конфіденційності
  •  Критерії цілісності
  •  Критерії доступності
  •  Критерії спостереженості
  •  Критерії гарантій.

Перші чотири групи складають функціональні критерії, які визначають, які послуги безпеки здатна надавати система, що оцінюється. До надання кожної з послуг безпеки висувається ряд вимог, за якими визначається рівень надання цієї послуги. Множина послуг безпеки, які надає система, складає так званий функціональний профіль захищеності.

Остання група критеріїв – критерії гарантій – визначає рівень адекватності і коректності реалізації послуг безпеки, тобто фактично визначає рівень довіри до реалізації ціх функцій.

Критерії конфіденційності

КЗЗ оцінюваної КС повинен надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.

  •  Довірча конфіденційність (КД-1...4)

Ця послуга дозволяє користувачу керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.

Мінімальна довірча конфіденційність (КД-1)

Базова довірча конфіденційність (КД-2)

Повна довірча конфіденційність (КД-3)

Абсолютна довірча конфіденційність (КД-4)

  •  Адміністративна конфіденційність (КА-1...4)

Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від захищених об'єктів до користувачів. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості управління.

Мінімальна адміністративна конфіденційність (КА-1)

Базова адміністративна конфіденційність (КА-2)

Повна адміністративна конфіденційність (КА-3)

Абсолютна адміністративна конфіденційність (КА-4)

  •  Повторне використання об'єктів (КО-1)

Ця послуга дозволяє забезпечити коректність повторного використання розділюваних об'єктів, гарантуючи, що в разі, якщо розділюваний об'єкт виділяється новому користувачу або процесу, то він не містить інформації, яка залишилась від попереднього користувача або процесу.

  •  Аналіз прихованих каналів (КК-1…3)

Аналіз прихованих каналів виконується з метою виявлення і усунення потоків інформації, які існують, але не контролюються іншими послугами. Рівні даної послуги ранжируються на підставі того, чи виконується тільки виявлення, контроль або перекриття прихованих каналів.

Виявлення прихованих каналів (КК-1)

Контроль прихованих каналів (КК-2)

Перекриття прихованих каналів (КК-3)

  •  Конфіденційність при обміні (КВ-1…4)

Ця послуга дозволяє забезпечити захист об'єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, під час їх експорту/імпорту через незахищене середовище. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.

Мінімальна конфіденційність при обміні (КВ-1)

Базова конфіденційність при обміні (КВ-2)

Повна конфіденційність при обміні (КВ-3)

Абсолютна конфіденційність при обміні (КВ-4)

Критерії цілісності

КЗЗ оцінюваної КС повинен надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.

  •  Довірча цілісність (ЦД-1...4)

Ця послуга дозволяє користувачу керувати потоками інформації від інших користувачів до захищених об'єктів, що належать його домену. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.

Мінімальна довірча цілісність (ЦД-1)

Базова довірча цілісність (ЦД-2)

Повна довірча цілісність (ЦД-3)

Абсолютна довірча цілісність (ЦД-4)

  •  Адміністративна цілісність (ЦА-1...4)

Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від користувачів до захищених об'єктів. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.

Мінімальна адміністративна цілісність (ЦА-1)

Базова адміністративна цілісність (ЦА-2)

Повна адміністративна цілісність (ЦА-3)

Абсолютна адміністративна цілісність (ЦА-4)

  •  Відкат (ЦО-1...2)

Ця послуга забезпечує можливість відмінити операцію або послідовність операцій і повернути (відкатити) захищений об'єкт до попереднього стану. Рівні даної послуги ранжируються на підставі множини операцій, для яких забезпечується відкат.

Обмежений відкат (ЦО-1)

Повний відкат (ЦО-2)

  •  Цілісність при обміні (ЦВ-1…4)

Ця послуга дозволяє забезпечити захист об'єктів від несанкціонованої модифікації інформації, що міститься в них, під час їх експорту/імпорту через незахищене середовище. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.

Мінімальна цілісність при обміні (ЦВ-1)

Базова цілісність при обміні (ЦВ-2)

Повна цілісність при обміні (ЦВ-3)

Критерії доступності

КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.

  •  Використання ресурсів (ДР-1...3)

Ця послуга дозволяє користувачам керувати використанням послуг і ресурсів. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування доступністю послуг КС.

Квоти (ДР-1)

Недопущення захоплення ресурсів (ДР-2)

Пріоритетність використання ресурсів (ДР-3)

  •  Стійкість до відмов (ДС-1...3)

Стійкість до відмов гарантує доступність КС (можливість використання інформації, окремих функцій або КС в цілому) після відмови її компонента. Рівні даної послуги ранжируються на підставі спроможності КЗЗ забезпечити можливість функціонування КС в залежності від кількості відмов і послуг, доступних після відмови.

Стійкість при обмежених відмовах (ДС-1)

Стійкість з погіршенням характеристик обслуговування (ДС-2)

Стійкість без погіршення характеристик обслуговування (ДС-3)

  •  Гаряча заміна (ДЗ-1…3)

Ця послуга дозволяє гарантувати доступність КС (можливість використання інформації, окремих функцій або КС в цілому) в процесі заміни окремих компонентів. Рівні даної послуги ранжируються на підставі повноти реалізації.

Модернізація (ДЗ-1)

Обмежена гаряча заміна (ДЗ-2)

Гаряча заміна будь-якого компонента (ДЗ-3)

  •  Відновлення після збоїв (ДВ-1…3)

Ця послуга забезпечує повернення КС у відомий захищений стан після відмови або переривання обслуговування. Рівні даної послуги ранжируються на підставі міри автоматизації процесу відновлення.

Ручне відновлення (ДВ-1)

Автоматизоване відновлення (ДВ-2)

Вибіркове відновлення (ДВ-3)

Критерії спостереженості

КЗЗ оцінюваної КС повинен надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача.

  •  Реєстрація (НР-1...5)

Реєстрація дозволяє контролювати небезпечні для КС дії. Рівні даної послуги ранжируються залежно від повноти і вибірковості контролю, складності засобів аналізу даних журналів реєстрації і спроможності вияву потенційних порушень.

Зовнішній аналіз (НР-1)

Захищений журнал (НР-2)

Сигналізація про небезпеку (НР-3)

Детальна реєстрація (НР-4)

Аналіз в реальному часі (НР-5)

  •  Ідентифікація й автентифікація (НИ-1...3)

Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особистість користувача, що намагається одержати доступ до КС. Рівні даної послуги ранжируються залежно від числа задіяних механізмів автентифікації.

Зовнішня ідентифікація і автентифікація (НИ-1)

Одиночна ідентифікація і автентифікація (НИ-2)

Множинна ідентифікація і автентифікація (НИ-3)

  •  Достовірний канал (НК-1...2)

Ця послуга дозволяє гарантувати користувачу можливість безпосередньої взаємодії з КЗЗ. Рівні даної послуги ранжируються залежно від гнучкості надання можливості КЗЗ або користувачу ініціювати захищений обмін.

Однонаправлений достовірний канал (НК-1)

Двонаправлений достовірний канал (НК-2)

  •  Розподіл обов'язків (НО-1...3)

Ця послуга дозволяє зменшити потенційні збитки від навмисних або помилкових дій користувача і обмежити авторитарність керування. Рівні даної послуги ранжируються на підставі вибірковості керування можливостями користувачів і адміністраторів.

Виділення адміністратора (НО-1)

Розподіл обов'язків адміністраторів (НО-2)

Розподіл обов'язків на підставі привілеїв (НО-3)

  •  Цілісність комплексу засобів захисту (НЦ-1...3)

Ця послуга визначає міру здатності КЗЗ захищати себе і гарантувати свою спроможність керувати захищеними об'єктами.

КЗЗ з контролем цілісності (НЦ-1)

КЗЗ з гарантованою цілісністю (НЦ-2)

КЗЗ з функціями диспетчера доступу (НЦ-3)

  •  Самотестування (НТ-1...3)

Самотестування дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій КС. Рівні даної послуги ранжируються на підставі можливості виконання тестів у процесі запуску або штатної роботи.

Самотестування за запитом (НТ-1)

Самотестування при старті (НТ-2)

Самотестування в реальному часі (НТ-3)

  •  Ідентифікація й автентифікація при обміні (НВ-1...3)

Ця послуга дозволяє одному КЗЗ ідентифікувати інший КЗЗ (встановити і перевірити його ідентичність) і забезпечити іншому КЗЗ можливість ідентифікувати перший, перш ніж почати взаємодію. Рівні даної послуги ранжируються на підставі повноти реалізації.

Автентифікація вузла (НВ-1)

Автентифікація джерела даних (НВ-2)

Автентифікація з підтвердженням (НВ-3)

  •  Автентифікація відправника (НА-1…2)

Ця послуга дозволяє забезпечити захист від відмови від авторства і однозначно встановити належність певного об'єкта певному користувачу, тобто той факт, що об'єкт був створений або відправлений даним користувачем. Рівні даної послуги ранжируються на підставі можливості підтвердження результатів перевірки незалежною третьою стороною.

Базова автентифікація відправника (НА-1)

Автентифікація відправника з підтвердженням (НА-2)

  •  Автентифікація отримувача (НП-1…2)

Ця послуга дозволяє забезпечити захист від відмови від одержання і дозволяє однозначно встановити факт одержання певного об'єкта певним користувачем. Рівні даної послуги ранжируються на підставі можливості підтвердження результатів перевірки незалежною третьою стороною.

Базова автентифікація отримувача (НП-1)

Автентифікація отримувача з підтвердженням (НП-2)

Критерії гарантій (Г-1…7):

  •  архітектура
  •  середовище розробки:

процес розробки

керування конфігурацією

  •  послідовність розробки:

функціональні специфікації (політика безпеки)

функціональні специфікації (модель політики безпеки)

проект архітектури

детальний проект

реалізація

  •  середовище функціонування
  •  документація
  •  іспити комплексу засобів захисту

Для реалізації деяких послуг безпеки необхідною умовою є реалізація інших послуг безпеки. Послуга безпеки НЦ (цілісність КЗЗ) є абсолютно необхідною. КС, в якій не реалізована послуга НЦ-1, не може вважатись захищеною, і профіль захищеності для такої системи взагалі не розглядається.

Класифікація АС і стандартні функціональні профілі захищеності інформації в комп’ютерних системах (НД ТЗІ 2.5-005-99)

Документ визначає три класи автоматизованих систем.

  •  Клас 1: одномашинний багатокористувальницький комплекс
  •  Клас 2: локалізований багатомашинний багатокористувальницький комплекс
  •  Клас 3: розподілений багатомашинний багатокористувальницький комплекс

Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в АС (НД ТЗІ 3.7-001-99)

В документі викладено вимоги до порядку розробки, складу і змісту технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі, призначеної для обробки інформації з обмеженим чи доступом інформації, захист якої гарантується державою. Зміни мір, прийнятих раніше відповідно вимогам діючих керівних документів, не потрібно. Нормативний документ розроблений на додаток до діючих нормативних документів щодо створення об'єктів інформатики.

Висновки

  •  Функціональні вимоги до засобів захисту чітко структуровані й описують всі аспекти функціонування КЗЗ.
  •  Вимоги до гарантій реалізації політики безпеки дозволяють визначити ступінь довіри до засобів забезпечення безпеки.
  •  Відкидається підхід до оцінки рівня безпеки за допомогою універсальної шкали, використовується незалежне ранжирування вимог по кожній послузі безпеки.
  •  Вимоги до технології розробки виражені слабко і недостатньо конкретизовані.

6.6. Загальні критерії безпеки інформаційних технологій. Міжнародний стандарт ISO 15408.

Основні відомості

  •  Регламентують усі стадії розробки, кваліфікаційного аналізу й експлуатації продуктів інформаційних технологій
  •  Пропонують досить складну і бюрократичну концепцію процесу розробки і кваліфікаційного аналізу продуктів ІТ.

Базові поняття

Задачі захисту

Потреба споживачів продукта ІТ в протистоянні заданій множині загроз безпеці чи в необхідності реалізації політики безпеки

Профіль захисту

Спеціальний нормативний документ, що представляє собою сукупність задач захисту, функціональних вимог, вимог адекватності і їхнього обґрунтування. Служить керівництвом для розроблювача при створенні проекту захисту.

Проект захисту

Спеціальний нормативний документ, що представляє собою сукупність задач захисту, функціональних вимог, вимог адекватності, загальних специфікацій засобів захисту і їхніх обґрунтувань. У ході кваліфікаційного аналізу служить як опис продукта ІТ.

Процес розробки і кваліфікаційного аналізу

Матеріали для проведення кваліфікаційного аналізу

  •  Проект захисту, що описує функції захисту продукта ІТ і вимоги безпеки, що відповідають вимогам Профілю захисту, на реалізацію якого претендує продукт ІТ.
  •  Докази можливостей продукта ІТ представлені його розроблювачем.
  •  Продукт ІТ.
  •  Додаткові відомості, отримані шляхом проведення різних експертиз.

Три стадії процесу кваліфікаційного аналізу

  1.  Аналіз профілю захисту на предмет його повноти, несуперечності, можливості реалізації і можливості використання як набір вимог для продукту, що аналізують.
  2.  Аналіз проекту захисту на предмет його відповідності вимогам профілю захисту, а також повноти, несуперечності, можливості реалізації і можливості використання як опису продукта ІТ.
  3.  Аналіз продукта ІТ на предмет відповідності проекту захисту.

Структура профілю захисту

Введення

Інформація, необхідна для пошуку профілю в бібліотеці профілів.

Ідентифікатор

Унікальне ім'я, придатне для пошуку серед подібних профілів і для посилань на нього.

Огляд змісту

Коротка анотація профілю захисту, на підставі якої споживач може зробити висновок про придатність даного профілю для його потреб.

Опис продукта ІТ

Коротка характеристика, функціональне призначення, принципи роботи, методи використання і т.д. Ця інформація не підлягає аналізу і сертифікації

Середовище експлуатації

Опису всіх аспектів функціонування продукта ІТ, пов'язаних з безпекою.

Загрози безпеці

Опис загроз безпеці, яким повинний протистояти захист. Для кожної загрози: джерело, метод впливу, об'єкт.

Політика безпеки

Визначення і пояснення (при необхідності) правил політики безпеки.

Умови експлуатації

Вичерпна характеристика середовища експлуатації з погляду безпеки.

Задачі захисту

Потреби користувачів у протидії зазначеним загрозам безпеці і/або в реалізації політики безпеки.

Задачі захисту продукта ІТ

Інші задачі захисту

Вимоги безпеки

Вимоги безпеки, яким повинний задовольняти продукт ІТ для рішення задач захисту.

Функціональні вимоги

Тільки типові вимоги, передбачені відповідними розділами «Загальних критеріїв». Можуть наказувати чи забороняти використання конкретних методів і засобів.

Вимоги адекватності

Також тільки типові вимоги.

Вимоги до середовища експлуатації

Необов'язковий розділ. Функціональні вимоги і/або вимоги адекватності до середовища експлуатації. Використання типових вимог є бажаним, але не обов'язковим.

Додаткові відомості

Необов'язковий розділ.

Обґрунтування

Демонстрація того, що профіль захисту містить повну і зв'язну множину вимог, і що задовольняючий їм продукт ІТ буде ефективно протистояти загрозам безпеці середовища експлуатації.

Обґрунтування задач захисту

Демонстрація того, що задачі захисту, запропоновані в профілі, відповідають властивостям середовища експлуатації.

Обґрунтування вимог безпеки

Демонстрація того, що вимоги безпеки дозволяють вирішити задачі захисту, тому що:

  •  Сукупність цілей, переслідуваних окремими функціональними вимогами, відповідає встановленим задачам захисту.
  •  Вимоги безпеки є погодженими (не суперечать один одному).
  •  Усі взаємозв'язки між вимогами враховані або за допомогою їхньої вказівки у вимогах, або за допомогою встановлення вимог до середовища експлуатації.
  •  Обраний набір вимог і рівень адекватності можуть бути обґрунтовані

Структура проекту захисту

Введення

Інформація, необхідна для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту.

Ідентифікатор

Унікальне ім'я, необхідне для пошуку й ідентифікації проекту захисту і відповідного йому продукта ІТ.

Огляд змісту

Докладна анотація проекту захисту, на підставі якої споживач може зробити висновок про придатність продукта ІТ для рішення його задач.

Заявка на відповідність «Загальним критеріям»

Опис усіх властивостей продукта ІТ, що підлягають кваліфікаційному аналізу на основі «Загальних критеріїв».

Опис продукта ІТ

Середовище експлуатації

Загрози безпеці

Політика безпеки

Умови експлуатації

Задачі захисту

Задачі захисту продукта ІТ

Інші задачі захисту

Вищезазначені розділи збігаються з однойменними розділами профілю захисту.

Вимоги безпеки

Вимоги безпеки, якими керувався розроблювач продукта ІТ, що дозволяє йому заявляти про успішне рішення задач захисту.

Функціональні вимоги

На відміну від відповідного розділу профілю захисту, допускається використання крім типових вимог «Загальних критеріїв» інших, специфічних для даного продукту і середовища його експлуатації.

Вимоги адекватності

Може включати рівні адекватності, не передбачені в «Загальних критеріях».

Вимоги до середовища експлуатації

Необов'язковий розділ.

Загальні специфікації продукта ІТ

Відображення реалізації продуктом ІТ вимог безпеки за допомогою визначення високорівневих специфікацій функцій захисту.

Специфікації функцій захисту

Опис функціональних можливостей засобів захисту продукта ІТ, що заявлені розроблювачем як ті, що реалізують вимоги безпеки. Форма представлення специфікацій повинна дозволяти визначати відповідності між функціями захисту і вимогами безпеки.

Специфікації рівня адекватності

Визначення заявленого рівня адекватності захисту продукта ІТ і його відповідність вимогам адекватності у вигляді подання параметрів технології проектування і створення продукта ІТ.

Заявка на відповідність профілю захисту

Необов'язковий пункт. Проект захисту претендує на задоволення вимог одного чи декількох профілів захисту, для кожного з яких цей розділ повинний містити таку інформацію:

Посилання на профіль захисту

Однозначно ідентифікує профіль захисту, на реалізацію якого претендує проект захисту. Реалізація профілю захисту передбачає коректну реалізацію всіх його вимог без винятку.

Відповідність профілю захисту

Можливості продукта ІТ, що реалізують задачі захисту і вимоги, що містяться в профілі захисту.

Удосконалення профілю захисту

Можливості продукта ІТ, що виходять за рамки профілю.

Обґрунтування

Демонстрація того, що проект захисту містить повну і зв'язну множину вимог, що реалізуючий його продукт ІТ буде ефективно протистояти загрозам безпеці середовища експлуатації і що загальні специфікації функцій захисту відповідають вимогам безпеки.

Обґрунтування задач захисту

Демонстрація того, що задачі захисту, запропоновані в проекті захисту, відповідають властивостям середовища експлуатації.

Обґрунтування вимог безпеки

Демонстрація того, що вимоги безпеки дозволяють вирішити задачі захисту, тому що:

  •  Функціональні вимоги безпеки відповідають задачам захисту.
  •  Вимоги адекватності відповідають функціональним вимогам і підсилюють їх.
  •  Сукупність усіх функціональних вимог забезпечує рішення задач захисту.
  •  Усі взаємозв'язки між вимогами «Загальних критеріїв» враховані або за допомогою зазначення їх у вимогах, або за допомогою встановлення вимог до середовища експлуатації.
  •  Усі вимоги безпеки успішно реалізовані.
  •  Заявлений рівень адекватності може бути підтверджений.

Обґрунтування функцій захисту

Демонстрація того, що функції захисту відповідають функціональним вимогам безпеки і задачам захисту. Повинно бути показано, що:

  •  Зазначені функції захисту відповідають заявленим задачам захисту.
  •  Сукупність зазначених функцій захисту забезпечує ефективне рішення сукупності задач захисту.
  •  Заявлені можливості функцій захисту відповідають дійсності.

Обґрунтування рівня адекватності

Підтвердження, що заявлений рівень безпеки відповідає вимогам адекватності.

Обґрунтування відповідності профілю захисту

Демонстрація того, що вимоги проекту захисту підтримують усі вимоги профілю захисту. Повинно бути показане:

  •  Всі удосконалення задач захисту в порівнянні з профілем захисту здійснені коректно й у напрямку їхнього розвитку і конкретизації.
  •  Всі удосконалення вимог безпеки в порівнянні з профілем захисту здійснені коректно й у напрямку їхнього розвитку і конкретизації.
  •  Усі задачі захисту профілю захисту успішно вирішені і усі вимоги профілю захисту задоволені.
  •  Ніякі додатково введені в проект захисту спеціальні задачі захисту і вимоги безпеки не суперечать профілю захисту.

Таксономія вимог

Функціональні вимоги

Захист інформації

  •  Політика керування доступом
  •  Засоби керування доступом
  •  Ініціалізація атрибутів безпеки об'єктів
  •  Експорт інформації
  •  Політика керування інформаційними потоками
  •  Засоби керування інформаційними потоками
  •  Імпорт інформації
  •  Захист інформації при передачі по внутрішніх каналах
  •  Знищення залишкової інформації
  •  Відкат
  •  Правила модифікації атрибутів безпеки
  •  Доступ до атрибутів безпеки
  •  Цілісність інформації в процесі зберігання
  •  Захист інформації при передачі по зовнішніх каналах
  •  Цілісність інформації при передачі по зовнішніх каналах

Безпека захисту

  •  Тестування апаратно-програмної платформи
  •  Захист від збоїв
  •  Забезпечення взаємодії засобів захисту
  •  Забезпечення конфіденційності при взаємодії засобів захисту
  •  Забезпечення цілісності при взаємодії засобів захисту
  •  Захист інформаційного обміну між засобами захисту
  •  Фізичний захист
  •  Безпека відновлення після збоїв
  •  Відкликання атрибутів безпеки
  •  Розпізнавання повторних передач інформації й імітації подій
  •  Моніторинг взаємодій
  •  «Старіння» атрибутів безпеки
  •  Поділ доменів
  •  Забезпечення синхронізації
  •  Відлік часу
  •  Модифікація ПЗ засобів захисту
  •  Поділ інформації
  •  Реплікація інформації
  •  Керування безпекою
  •  Керівництво безпекою
  •  Самотестування
  •  Захист засобів керування безпекою

Ідентифікація й автентифікація

  •  Керування параметрами автентифікації користувачів
  •  Захист параметрів автентифікації користувачів
  •  Реакція на невдалі спроби автентифікації
  •  Керування атрибутами безпеки користувачів
  •  Набір атрибутів безпеки користувачів
  •  Генерація і перевірка ключів і паролів
  •  Автентифікація користувачів
  •  Ідентифікація користувачів
  •  Відповідність атрибутів безпеки користувачів і суб'єктів, що представляють їх у системі

Аудит

  •  Автоматичне реагування на вторгнення в систему
  •  Реєстрація й облік подій
  •  Керування аудитом
  •  Виявлення відхилень від штатного режиму роботи
  •  Розпізнавання вторгнень у систему
  •  Преобробка протоколу аудита
  •  Захист протоколу аудита
  •  Постобробка протоколу аудита
  •  Аналіз протоколу аудита
  •  Контроль доступу до протоколу аудита
  •  Добір подій для реєстрації й обліку
  •  Виділення ресурсів під протокол аудита

Контроль за використанням ресурсів

  •  Стійкість до відмов
  •  Обслуговування на основі пріоритетів
  •  Розподіл ресурсів

Забезпечення прямої взаємодії

  •  Пряма взаємодія між компонентами продукта ІТ
  •  Пряма взаємодія з користувачами

Контроль доступу до системи

  •  Обмеження на використання користувачами атрибутів і суб'єктів
  •  Обмеження числа одночасних сеансів
  •  Блокування сеансу роботи
  •  Оголошення, попередження, запрошення і підказки
  •  Протокол сеансів роботи користувачів
  •  Керування параметрами сеансів
  •  Обмеження на сеанси роботи

Конфіденційність доступу до системи

  •  Анонімність сеансів роботи із системою
  •  Використання псевдонімів
  •  Невиводимість характеристик користувачів
  •  Неспостережність сеансів роботи із системою

Інформаційний обмін

  •  Неможливість для джерела відректися від факту передачі інформації
  •  Неможливість для приймача відректися від факту одержання інформації

Вимоги адекватності

Керування конфігурацією

  •  Автоматизація керування конфігурацією
  •  Можливості керування конфігурацією
  •  Область застосування керування конфігурацією

Дистрибуція

  •  Постачання
  •  Установка, настроювання, запуск

Адекватність реалізації

  •  Загальні функціональні специфікації
  •  Архітектура захисту
  •  Форма реалізації
  •  Внутрішня структура засобів захисту
  •  Приватні специфікації функцій захисту
  •  Відповідність специфікацій і архітектури всіх рівнів вимогам безпеки

Документація

  •  Керівництва адміністратора
  •  Керівництва користувача

Процес розробки

  •  Безпека середовища розробки
  •  Виправлення помилок і ліквідація вад
  •  Технологія розробки
  •  Засоби розробки

Тестування

  •  Повнота тестування
  •  Глибина тестування
  •  Методика тестування
  •  Незалежне тестування

Оцінка вразливості

  •  Аналіз прихованих каналів
  •  Аналіз можливостей неправильного використання засобів захисту
  •  Аналіз можливостей подолання засобів захисту
  •  Аналіз продукту на наявність вад захисту

6.7. Питання для самоконтролю і співбесіди по  темі:

  1.  Як проходив розвіток міжнародних стандартів в галузі інформаційної системи?
  2.  Опишить критерії оцінки захищених комп’ютерних систем.
  3.  Чим характеризуються Європейські критерії безпеки інформаційних технологій?
  4.  Перелічить основні керівні документи Держтехкомісії при Президенті Російської Федерації?
  5.  Особливості федеральних крітерієв безпеки інформаційних технологій.
  6.  Опишить діючі стандарти України – НД ТЗІ по захисту інформації в комп'ютерних системах від НСД
  7.   Надайте характеристику загальним критеріям безпеки інформаційних технологій.

 


7. комплексні системи захисту інформації

7.1. Визначення комплексної система захисту інформації

Комплексні системи захисту інформації - сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації.

До складу комплексних систем захисту інформації включаються технічні засоби, призначені для побудови систем охоронної і пожежної сигналізації, систем управління протипожежною автоматикою, телевізійного спостереження, контролю і управління доступом, і що володіють технічною, інформаційною, експлуатаційною сумісністю і зв'язаних єдиною програмою, що управляє (системою збору і обробки інформації).

Будь-яка комплексна система захисту інформації (КСЗІ) є складною системою. Основні підсистеми КСЗІ:

  •  Система контролю управління доступом;
  •  Система відеоспостереження;
  •  Система збору та обробки інформації;
  •  Система протидії економічному шпигунству;
  •  Система пожежної сигналізації;
  •  Система автоматичного пожежогасіння.

Cистема охоронної сигналізації

Cистема охоронної сигналізації призначена для своєчасного сповіщення служби охорони, служби відділу позавідомчої охорони – у разі охорони об'єкту співробітниками позавідомчої охорони або здачі сигналізації на Пульт Централізованого Спостереження позавідомчої охорони – про проникнення (спробі проникнення), в будівлю або її окремі приміщення.

Як правило, дана система складається з:

  •  центрального комп'ютера;
  •  приймально-контрольних панелей;
  •  засобів виявлення;
  •  лінійної частини.

Система охоронної сигналізації повинна забезпечувати наступні функції:

  •  фіксацію факту і часу порушення рубежу охоронної сигналізації при його подоланні порушником (під подоланням рубежу охоронної сигналізації мається на увазі проникнення порушника на територію об'єкту, що охороняється, шляхом відкриття більш ніж на 100 мм або пролому дверей, відкриття або розбиття вікон при проникненні через віконні отвори, руйнування інших будівельних конструкцій, що підлягають устаткуванню засобами охоронної сигналізації, переміщення порушника в зоні дії приладів об'ємного виявлення) з одночасним відображенням інформації на пультах управління і на поетажних планах на моніторі персонального комп'ютера з вказівкою місця рубежу сигналізації, що спрацьовує;
  •  постановку і зняття зон з охорони:
    1.  особистими паролями користувачів з пультів управління "встановлених" в своїх розділах;
    2.  особистими паролями служби охорони з пультів, встановлених в приміщенні охорони;
    3.  особистим паролем оператора системи охоронної сигналізації з автоматизованого робочого місця в приміщенні охорони.
  •  контроль стану шлейфів, датчиків, приладів з відображенням несправностей на моніторі комп'ютера;
  •  довготривале зберігання інформації для подальшого її відображення, роздруки на принтері;
  •  відображення вхідних сигналів: "злом"; "пожежа"; "напад", "відновлення"; "тест"; "закриття"; "відкриття"; "несправність батареї";
  •  відображення несправностей системи: відсутність мережі, несправність батареї, несправність телефонної лінії, несправність принтера;
  •  комп'ютер повинен працювати з сертифікованим програмним забезпеченням;
  •  ·контроль наявності на робочому місці оператора автоматизованого робочого місця з періодичним введенням особистого пароля.

Приймально-контрольні прилади

Ємкість і кількість панелей вибирається відповідно до кількості охоронних зон і розділів залежно від умов доступу і функціонального призначення приміщень (по поверхах і по групах приміщень на поверсі).

Тривожні сповіщення про проникнення поступають на приймально-контрольні панелі, після чого окремі сповіщення передаються на пульт централізованого спостереження (ПЦС) відділу позавідомчої охорони ВВО по телефонних лініях.

Типи детекторів, найбільш часто використовуваних для блокування приміщень і будівельних конструкцій:

для блокування засклених поверхонь на розбиття – акустичні оповіщувачі, можливе застосування пасивних інфрачервоних оповіщувачів;

для блокування вікон і дверей на відкриття – магніто-контактні оповіщувачі;

для блокування дверей на пролом – пасивні інфрачервоні оповіщувачі, аналізатори удару;

для блокування об'ємів – пасивні інфрачервоні, ультразвукові комбіновані оповіщувачі;

для блокування вентиляційних коробів – дріт НВ-0,2 мм, пропустивши його у фальшрешітках, виготовлених із сталевих труб діаметром 8 мм з осередком 100 х 100 мм;

для блокування стін на пролом – сейсмічні детектори.

Система контролю доступу

Система контролю і управління доступом (СКУД) використовується для посилення охорони об'єкту і контролю допуску співробітників в службові і технічні приміщення об'єкту, а також управління евакуаційними дверима у разі аварійних ситуацій.

Вхід і вихід співробітників в дозволені зони доступності здійснюється по персоніфікованих електронних картах-пропусках в автоматичному режимі в дозволений час. Постійні (особисті) карти-пропуску виготовляються для співробітників і видаються їм в особисте користування. Код, записаний на карту-пропуск, є незмінним особистим кодом співробітника, з використанням якого він має можливість проходити в дозволені зони доступу і виділені приміщення, і на підставі якого ведеться автоматична реєстрація проходів.

При втраті карти-пропуску вводиться заборона на її використання.

Всі приміщення, залежно від призначення і характеру здійснюваних в них операцій, розділяються на зони по доступності.

Система контролю доступу об'єкту повинна забезпечувати:

доступ в приміщення – по електронній карті-пропуску ;

доступ в приміщення – по електронній карті-пропуску і коду, що набирає на клавіатурі зчитувача;

вихід з приміщень з використанням карти-пропуску або кнопки виходу;

видачу сигналу тривоги в приміщення охорони (пультову) у разі несанкціонованого проникнення в зони доступу (злом, незакриття дверей; спроба підбору коду);

примусове розблокування (з обов'язковим розбиванням захисного скла або автоматичне з пульта оператора) на випадок пожежі або іншій екстреній ситуації дверей евакуаційних виходів, якщо вони оснащуються засобами контролю доступу з реєстрацією цих фактів на сервері СКУД;

облік, реєстрацію і документування фактів проходу співробітників в місцях установки пристроїв СКУД з вказівкою дати і часу проходу;

створення і ведення бази даних на всіх співробітників, з введенням в неї паспортних і інших даних, кольорових фотографій, а також її оперативне коректування;

доступ до бази даних і архіву, а також видачу довідок по ним з документуванням на принтері і екрані монітора оператора системи на вимогу користувача залежно від рівня доступу. Рівні доступу до бази даних і архіву системи визначаються замовником і можуть змінюватися в ході експлуатації системи;

облік, реєстрацію і документування дій оператора;

резервування журналу подій і бази даних співробітників на накопичувачі на магнітній стрічці.

До складу устаткування системи контролю доступу як правило входить наступне устаткування:

робоче місце оператора СКУД (комп'ютер з монітором і принтером);

дистанційні або інші зчитувачі;

кнопки ручного розблокування дверей при виході з приміщень;

локальні контроллери управління і збору інформації;

електромагнітні, електромеханічні замки;

блоки живлення контроллерів і замків;

устаткування і програмне забезпечення для процесу виготовлення карт-пропусків і ведення бази даних;

електронні ключі (картки).

Периметрові системи охорони

В даний час на ринку систем охоронної сигналізації існує широкий вибір периметрових засобів виявлення як вітчизняного, так і імпортного виробництва, що використовують самі різні фізичні принципи і вірогідності, що дозволяють визначити факт вторгнення людини в зону, що охороняється.

Той або інший тип периметрової сигналізації (а можливо і поєднання декількох типів) вибирається залежно від типу загороди, рослинності, рельєфу місцевості, кліматичних умов, різних інших чинників.

Найчастіше використовуються системи із застосуванням:

ємкісних датчиків;

інфрачервоних датчиків;

ультразвукових датчиків;

мікрохвильових датчиків;

вібраційних датчиків;

датчиків тиску;

сенсорного кабелю.

Система охоронної сигнализации

Система охоронної сигналізації призначена для сповіщення служби охорони про розбійний напад, а також передачі повідомлень тривоги на пульт центрального спостереження.

Можливе використання дротяних або радіоканальних оповіщувачів тривоги.

Всі оповіщувачі охоронної сигналізації мають бути запрограмовані на роботу в 24 годинному режимі (без права відключення).

Пристрої для включення охоронної сигналізації як правило розміщуються в місцях, непомітних для відвідувачів і забезпечуючих передачу сигналу тривоги в будь-якій ситуації і таких, що виключають мимовільні спрацьовування.

Інформація про спрацьовування охоронної сигналізації повинна поступати у вигляді звукового і світлового сигналу.

Система відео спостереження

Система відеоспостереження призначена для візуального контролю обстановки по периметру об'єкту і в його внутрішніх приміщеннях засобами телевізійної техніки.

Система як правило включає:

внутрішні і зовнішні (поворотні і стаціонарні) відеокамери для отримання відеозображення;

пристрої обробки і перетворення відеозображення;

апаратуру відеозапису і відтворення;

апаратуру управління і комутації відеосигналів.

Система повинна забезпечувати запис візуальної і службової інформації від відеокамер на відеомагнітофони і проглядання цієї інформації як на телевізійних моніторах.

Типова модель функціонування системи відеоспостереження

Все устаткування системи повинно працювати цілодобово. Телевізійні сигнали від відеокамер зовнішньої і внутрішньої установки через апаратуру обробки і перетворення відеозображення, що включає мультиплексори (пристрої, що дозволяють переглядати на екрані монітора одночасно до 16 телекамер), квадратори (перегляд до 4 телекамер), детектори руху, поступають на вхід матричного комутатора.

Перегляд телекамер здійснюється на моніторах в режимах: повноекранне зображення, послідовне перемикання відеокамер, перемикання відеокамер за програмою, квадрозображення, поліекранне зображення. Перемикання відеокамер здійснюється з системної клавіатури контроллера.

Поточний відеозапис всіх відеокамер ведеться в 24-годинному мультиплексному режимі за допомогою відеомагнітофонів. При цьому частина відеокамер записується із зниженою частотою вибірки кадру, але при активізації діяльності в зоні їх спостереження, періодичність запису збільшується. Запис відеокамер, що працюють від джерела тривог, ведеться в 3-годинному режимі в перебігу певного часу. Запис по тривозі може бути припинена уручну, або автоматично після закінчення певного проміжку часу.

Оператори основного посту охорони можуть контролювати будь-яку відеокамеру. З інших постів охорони контролюються відеокамери, закріплені за цим постом.

Система збору і обробки інформації

Система збору і обробки інформації як правило виконується у вигляді інтегрованої системи, призначеної для управління системами безпеки будівлі і отримання інформації про стан всіх вхідних в неї підсистем. Система збору і обробки інформації повинна забезпечувати:

інтеграцію всіх підсистем;

зв'язок з підсистемами;

автоматичне управління роботою підсистем;

виконання команд оператора в безпечній для всіх технічних засобів і навколишніх осіб послідовності;

прийом, реєстрацію і відповідну обробку тривожних сповіщень і сигналів, що поступають від підсистем;

управління з робочих місць користувачів відповідно до функцій робочих місць;

ієрархічний доступ операторів до функцій, ресурсів і інформації системи;

внесення змін, модернізацію, заміну версій.

Система збору і обробки інформації складається з комп'ютерів автоматизованих робочих місць (АРМ) системи безпеки, серверів (основного і резервного) і, для підвищення надійності системи, окремої локальної обчислювальної мережі.

Програмне забезпечення системи збору і обробки інформації дозволяє здійснити виведення інформації про стан кожної вхідної в комплекс системи в графічному вигляді, з вказівкою поетажних планувань, місць розташування елементів системи і їх поточного стану в реальному масштабі часу.

Система протидії економічному шпигунству

Система протидії економічному шпигунству повинна забезпечувати виявлення і локалізацію закладних пристроїв, вогнепальної холодної зброї, вибухових речовин, радіоактивних речовин і пристроїв, що містять речовини, які приховано проносяться на людині та її ручній поклажі.

До складу системи як правило входять пункти огляду і контролю на входах в будівлю (в'їздах на територію), які обладналися:

стаціонарними металошукачами;

стаціонарними пристроями детектування системи виявлення радіоактивних забруднень;

ручними металошукачами;

ручними дозиметрами;

переносними рентгено-телевізійними інтроскопами;

пристроєм локалізації вибухових речовин;

комплектом для візуального огляду автомобілів.

Система повинна забезпечувати світлову і звукову сигналізацію виявлення небезпечних предметів.

Пункти огляду і контролю додатково обладнуються засобами зв'язку з черговою частиною і засобами охоронної сигналізації.

Система пожежної сигналізації

Устаткуванню пожежною сигналізацією із забезпеченням цілодобової роботи системи підлягають всі пожежонебезпечні приміщення будівлі за винятком приміщень з мокрими процесами або інженерним устаткуванням, в яких відсутні матеріали (венткамери, насосні, бойлерні і тому подібне). Система автоматичної пожежної сигналізації призначена для:

виявлення осередку пожежі;

повідомлення про конкретне місце виникнення пожежі черговому персоналу, що проводить цілодобове чергування в приміщенні охорони;

повідомлення про пожежу в будівлі (загальний сигнал " пожежа" – звуковий і світловий) в приміщення охорони і чергової служби);

формування імпульсу на управління системами будівлі при пожежі.

Система пожежної сигналізації як правило включає:

робоче місце оператора пожежної сигналізації з комп'ютером, монітором і принтером для відображення інформації у вигляді поетажних планів на моніторі комп'ютера і друку текстової інформації на принтері;

станції пожежної сигналізації;

пожежних оповіщувачів (димові оптичні, теплові максимальні, комбіновані, ручні);

лінійну частину.

Тип оповіщувачів визначається виходячи з первинних ознак виникнення пожежі, категорії приміщень і устаткування, що знаходиться в них, меблів, матеріалів згідно вимог СНІП.

Станція пожежної сигналізації повинна забезпечити формування імпульсу при пожежі згідно вимог СНІП для:

  •  відключення систем кондиціонування і вентиляції з механічним управлінням;
  •  спрацьовування протипожежних клапанів;
  •  автоматичного пуску пожежних насосів;
  •  включення систем підпору повітря в сходові клітки, ліфтові шахти і тамбури-шлюзи;
  •  опускання ліфтів будівлі на 1 поверх;
  •  включення системи димовидалення, автоматичного відкриття клапанів;
  •  включення табло " Вихід";
  •  включення сповіщення про пожежу;
  •  розблокування дверей, обладнаних системою контролю доступу.

Перелік протипожежних систем, кількість необхідних для управління релейних модулів і їх розміщення уточнюється при проектуванні розділів інженерних систем.

Система автоматичного пожежогасіння

Автоматична система пожежогасіння (АСПГ) призначена для створення на об'єкті ефективної автоматичної системи пожежогасіння із застосуванням сучасних засобів.

Система забезпечує автоматичне виявлення пожежі за допомогою датчиків пожежної сигналізації, видачу звукових і світлових сигналів сповіщення, відключення виробничого устаткування і управління подачею пожежогасільної речовини в приміщення, що захищаються, в автоматичному, дистанційному і ручному режимі управління.

До складу системи АСПГ як правило входять:

  •  пристрій газового пожежогасіння;
  •  сигнально-пускові пристрої;
  •  пристрої управління;
  •  оповісники світлові;
  •  оповісники звукові;
  •  джерела живлення;
  •  пристрої ручного пуску.

Системи автоматичного пожежогасіння можуть бути класифіковані за наступними основними ознаками, що визначають варіанти технічної реалізації:

  •  за типом пожежогасільної речовини;
  •  за структурою побудови;
  •  за способом подачі пожежогасільної речовини в зону пожежі;
  •  за можливістю гасіння пожежі в одній зоні або одночасно в декількох зонах.

Залежно від типу пожежогасільної речовини системи можуть бути реалізовані за наступними варіантами:

  •  водяна;
  •  пінна;
  •  аерозольна;
  •  газова.

Кожен з вказаних варіантів, класифікованих за типом пожежогасільної речовини може бути реалізований різними способами:

  1.  З централізованим зберіганням пожежогасільної речовини, подачею її в зону пожежі за системою трубопроводів.
  2.  З децентралізованним зберіганням пожежогасільної речовини в потенційно пожежнонебезпечних приміщеннях, обладнаних автоматичною системою пожежогасіння .


7.2. Концепція створення захищених КС

При розробці і побудові комплексної системи захисту інформації в комп'ютерних системах необхідно дотримуватися певних методологічних принципів проведення досліджень, проектування, виробництва, експлуатації і розвитку таких систем. Системи захисту інформації відносяться до класу складних систем і для їх побудови можуть використовуватися основні принципи побудови складних систем з урахуванням специфіки вирішуваних завдань:

  •   паралельна розробка КС і СЗІ;
  •  системний підхід до побудови захищених КС;
  •   багаторівнева структура СЗІ;
  •   ієрархічна система управління СЗІ;
  •   блокова архітектура захищених КС;
  •   можливість розвитку СЗІ;
  •   дружній інтерфейс захищених КС з користувачами і обслуговуючим персоналом.

Перший з приведених принципів побудови СЗІ вимагає проведення одночасної паралельної розробки КС і механізмів захисту. Тільки в цьому випадку можливо ефективно забезпечити реалізацію решти всіх принципів. Причому в процесі розробки захищених КС повинен дотримуватися розумний компроміс між створенням вбудованих нероздільних механізмів захисту і блокових уніфікованих засобів і процедур захисту. Тільки на етапі розробки КС можна повністю врахувати взаємний вплив блоків і пристроїв власне КС і механізмів захисту, добитися системності захисту оптимальним чином.

Принцип системності є одним з основних концептуальних і методологічних принципів побудови захищених КС. Він припускає:

  •   аналіз всіх можливих загроз безпеці інформації;
  •   забезпечення захисту на всіх життєвих циклах КС;
  •   захист інформації у всіх ланках КС;
  •   комплексне використання механізмів захисту.

Потенційні загрози виявляються в процесі створення і дослідження моделі загроз. В результаті досліджень мають бути отримані дані про можливі загрози безпеці інформації, про ступінь їх небезпеки і вірогідності реалізації. При побудові СЗІ враховуються потенційні загрози, реалізація яких може привести до істотного збитку і вірогідність таких подій не є дуже близькою до нуля.

Захист ресурсів КС повинен здійснюватися на етапах розробки, виробництва, експлуатації і модернізації, а також по всьому технологічному ланцюжку введення, обробки, передачі, зберігання і видачі інформації. Реалізація цих принципів дозволяє забезпечити створення СЗІ, в якій відсутні слабкі ланки як на різних життєвих циклах КС, так і в будь-яких елементах і режимах роботи КС.

Механізми захисту, які використовуються при побудові захищених систем, мають бути взаємопов'язані по місцю, часу і характеру дії. Комплексність припускає також використання в оптимальному поєднанні різних методів і засобів захисту інформації: технічних, програмних, криптографічних, організаційних і правових. Будь-яка, навіть проста СЗІ є комплексною.

Система захисту інформації повинна мати декілька рівнів, що перекривають один одного, тобто такі системи доцільно будувати за принципом побудови матрьошок. Щоб дістатися до закритої інформації, зловмисникові необхідно «зламати» всі рівні захисту.

Наприклад, для окремого об'єкту КС можна виділити 6 рівнів (рубежів) захисту:

1) охорона по периметру території об'єкту;

2) охорона по периметру будівлі;

3) охорона приміщення;

4) захист апаратних засобів;

5) захист програмних засобів;

6) захист інформації.

Комплексні системи захисту інформації завжди повинні мати централізоване управління. У розподілених КС управління захистом може здійснюватися за ієрархічним принципом. Централізація управління захистом інформації пояснюється необхідністю проведення єдиної політики в області безпеки інформаційних ресурсів в рамках підприємства, організації, корпорації, міністерства. Для здійснення централізованого управління в СЗІ мають бути передбачені спеціальні засоби дистанційного контролю, розподілу ключів, розмежування доступу, виготовлення атрибутів ідентифікації та інші.

Одним з важливих принципів побудови захищених КС є використання блокової архітектури. Застосування даного принципу дозволяє отримати цілий ряд переваг:

  •   спрощується розробка, відладка, контроль і верифікація пристроїв (програм, алгоритмів);
  •   допускається паралельність розробки блоків;
  •   використовуються уніфіковані стандартні блоки;
  •   спрощується модернізація систем;
  •   зручність і простота експлуатації.

Ґрунтуючись на принципі блокової архітектури захищеної КС, можна представити структуру ідеальної захищеної системи. У такій системі є мінімальне ядро захисту, що відповідає нижній межі захищеності систем певного класу (наприклад, ПЕВМ). Якщо в системі необхідно забезпечити вищий рівень захисту, то це досягається за рахунок узгодженого підключення апаратних блоків або інсталяції додаткових програмних засобів (аналог режиму «Plug and Play» в ОС Windows 98).

У разі потреби можуть бути використані досконаліші блоки КС, щоб не допустити зниження ефективності застосування системи по прямому призначенню. Це пояснюється споживанням частини ресурсів КС блоками захисту, що вводяться.

Стандартні вхідні і вихідні інтерфейси блоків дозволяють спростити процес модернізації СЗІ, альтернативно використовувати апаратні або програмні блоки. Тут є видимою аналогія з семирівневою моделлю OSI.

При розробці складної КС, наприклад, обчислювальній мережі, необхідно передбачати можливість її розвитку в двох напрямах: збільшення числа користувачів і нарощування можливостей мережі у міру вдосконалення інформаційних технологій.

З цією метою при розробці КС передбачається певний запас ресурсів в порівнянні з потребами на момент розробки. Найбільший запас продуктивності необхідно передбачити для найбільш консервативної частини складних систем - каналів зв'язку. Частина резерву ресурсів КС може бути затребувана при розвитку СЗІ. На практиці резерв ресурсів, передбачений на етапі розробки, вичерпується вже на момент повного введення в експлуатацію складних систем. Тому при розробці КС передбачається можливість модернізації системи. У цьому сенсі складні системи мають бути такими, що розвиваються або відкритими. Термін відвертості в цьому трактуванні відноситься і до захищених КС. Причому механізми захисту, постійно удосконалюючись, викликають необхідність нарощування ресурсів КС. Нові можливості, режими КС, а також появу нових загроз у свою чергу стимулюють розвиток нових механізмів захисту. Важливе місце в процесі створення відкритих систем грають міжнародні стандарти в області взаємодії пристроїв, підсистем. Вони дозволяють використовувати підсистеми різних типів, що мають стандартні інтерфейси взаємодії.

Комплексна система захисту інформації має бути дружньою по відношенню до користувачів і обслуговуючого персоналу. Вона має бути максимально автоматизована і не повинна вимагати від користувача виконувати значний об'єм дій, пов'язаних з СЗІ. Комплексна СЗІ не повинна створювати обмежень у виконанні користувачем своїх функціональних обов'язків. У СЗІ необхідно передбачити заходи зняття захисту з пристроїв, що відмовили, для відновлення їх працездатності.


7.3. Етапи створення комплексної системи захисту інформації

Система захисту інформації повинна створюватися спільно із створюваною комп'ютерною системою. При побудові системи захисту можуть використовуватися існуючі засоби захисту, або ж вони розробляються спеціально для конкретної КС. Залежно від особливостей комп'ютерної системи, умов її експлуатації і вимог до захисту інформації процес створення КСЗІ може не містити окремих етапів, або зміст їх може декілька відрізнятися від загальноприйнятих норм при розробці складних апаратно-програмних систем. Але зазвичай розробка таких систем включає наступні етапи:

  •  розробка технічного завдання;
  •  ескізне проектування;
  •  технічне проектування;
  •  робоче проектування;
  •  виробництво дослідного зразка.

Одним з основних етапів розробки КСЗІ є етап розробки технічного завдання. Саме на цьому етапі вирішуються практично всі специфічні завдання, характерні саме для розробки КСЗІ.

Процес розробки систем, що закінчується виробленням технічного завдання, називають науково-дослідною розробкою, а решту частини роботи із створення складної системи називають дослідно-конструкторською розробкою. Опитноконструкторськая розробка апаратно-програмних засобів ведеться із застосуванням систем автоматизації проектування, алгоритми проектування добре вивчені і відпрацьовані. Тому особливий інтерес представляє розгляд процесу науково-дослідного проектування.

7.4. Науково-дослідна розробка КСЗІ

Метою цього етапу є розробка технічного завдання на проектування КСЗІ. Технічне завдання містить основні технічні вимоги до КСЗІ, що розробляється, а також узгоджені взаємні зобов'язання замовника і виконавця розробки. Технічні вимоги визначають значення основних технічних характеристик, виконувані функції, режими роботи, взаємодія із зовнішніми системами і так далі

Апаратні засоби оцінюються наступними характеристиками: швидкодія, продуктивність, ємкість пристроїв, що запам'ятовують, розрядність, вартість, характеристики надійності і ін. Програмні засоби характеризуються необхідним об'ємом оперативної і зовнішньої пам'яті, системою програмування, в якій розроблені ці засоби, сумісністю з ОС і іншими програмними засобами, часом виконання, вартістю і так далі

Набуття значень цих характеристик, а також складу виконуваних функцій і режимів роботи засобів захисту, порядку їх використання і взаємодії із зовнішніми системами складають основний зміст етапу науково-дослідної розробки. Для проведення досліджень на цьому етапі замовник може привертати виконавця або науково-дослідну установу, або організовує спільну їх роботу.

Науково-дослідна розробка починається з аналізу загроз безпеці інформації, аналізу КС, що захищається, і аналізу конфіденційності і важливості інформації в КС.

Перш за все проводиться аналіз конфіденційності і важливості інформації, яка повинна оброблятися, зберігатися і передаватися в КС. На основі аналізу робиться вивід про доцільність створення КСЗІ. Якщо інформація не є конфіденційною і легко може бути відновлена, то створювати КСЗІ немає необхідності. Не має сенсу також створювати КСЗІ в КС, якщо втрата цілісності і конфіденційності інформації пов'язана з незначними втратами.

У цих випадках досить використовувати штатні засоби КС і, можливо, страхування від втрати інформації.

При аналізі інформації визначаються потоки конфіденційної інформації, елементи КС, в яких вона обробляється і зберігається. На цьому етапі розглядаються також питання розмежування доступу до інформації окремих користувачів і цілих сегментів КС. На основі аналізу інформації визначаються вимоги до її захищеності. Вимоги задаються шляхом привласнення певного грифа конфіденційності, встановлення правил розмежування доступу.

Дуже важлива початкова інформація для побудови КСЗІ виходить в результаті аналізу КС, що захищається. Оскільки КСЗІ є підсистемою КС, та взаємодія системи захисту з КС можна визначити як внутрішнє, а взаємодія із зовнішнім середовищем – як зовнішнє.

Внутрішні умови взаємодії визначаються архітектурою КС. При побудові КСЗІ враховуються:

  •  географічне положення КС;
  •  тип КС (розподілена або зосереджена);
  •  структури КС (технічна, програмна, інформаційна і т. д.);
  •  продуктивність і надійність елементів КС;
  •  типи використовуваних апаратних і програмних засобів і режими їх роботи;
  •  загрози безпеці інформації, які породжуються усередині КС (відмови апаратних і програмних засобів, алгоритмічні помилки і тому подібне).

Враховуються наступні зовнішні умови:

  •  взаємодія із зовнішніми системами;
  •  випадкові і навмисні загрози.

Аналіз загроз безпеці є одним з обов'язкових умов побудови КСЗІ. За наслідками проведеного аналізу будується модель загроз безпеці інформації в КС. Модель загроз безпеці інформації в КС містить систематизовані дані про випадкові і навмисні загрози безпеці інформації в конкретній КС. Систематизація даних моделі припускає наявність відомостей про всі можливі загрози, їх небезпеку, тимчасові рамки дії, вірогідність реалізації. Часто модель загроз розглядається як композиція моделі зловмисника і моделі випадкових загроз. Моделі представляються у вигляді таблиць, графів або на вербальному рівні. При побудові моделі зловмисника використовуються два підходи:

  1.  модель орієнтується тільки на висококваліфікованого зловмисника-професіонала, оснащеного всім необхідним і що має легальний доступ на всіх рубежах захисту;
  2.  модель враховує кваліфікацію зловмисника, його оснащеність (можливості) і офіційний статус в КС.

Перший підхід простіше реалізується і дозволяє визначити верхню межу навмисних загроз безпеці інформації.

Другий підхід відрізняється гнучкістю і дозволяє враховувати особливості КС повною мірою. Градація зловмисників по їх кваліфікації може бути різною. Наприклад, може бути виділено три класи зловмисників:

  1.  висококваліфікований зловмисник-професіонал;
  2.   кваліфікований зловмисник-непрофесіонал;
  3.   некваліфікований зловмисник-непрофесіонал.

Клас зловмисника, його оснащеність і статус на об'єкті КС визначають можливості зловмисника по несанкціонованому доступу до ресурсів КС.

Загрози, пов'язані з ненавмисними діями, добре вивчені, і велика частина їх може бути формалізована. Сюди слід віднести загрози безпеки, які пов'язані з кінцевою надійністю технічних систем. Загрози, що породжуються стихією або людиною, формалізувати складніше. Але з іншого боку, по ним накопичений великий об'єм статистичних даних. На підставі цих даних можна прогнозувати прояв загроз цього класу.

Модель зловмисника і модель випадкових загроз дозволяють отримати повний спектр загроз і їх характеристик. В сукупності з початковими даними, отриманими в результаті аналізу інформації, особливостей архітектури проектованої КС, моделі загроз безпеці інформації дозволяють отримати початкові дані для побудови моделі КСЗІ.

7.5. Моделювання КСЗІ

Оцінка ефективності функціонування КСЗІ є складним науково-технічним завданням. Комплексна СЗІ оцінюється в процесі розробки КС, в період експлуатації і при створенні (модернізації) СЗІ для вже існуючих КС. При розробці складних систем поширеним методом проектування є синтез з подальшим аналізом. Система синтезується шляхом узгодженого об'єднання блоків, пристроїв, підсистем і аналізується (оцінюється) ефективність отриманого рішення. З безлічі синтезованих систем вибирається краща за наслідками аналізу, який здійснюється за допомогою моделювання.

Моделювання КСЗІ полягає в побудові образу (моделі) системи, з певною точністю відтворюючого процеси, що відбуваються в реальній системі. Реалізація моделі дозволяє отримувати і досліджувати характеристики реальної системи.

Для оцінки систем використовуються аналітичні і імітаційні моделі. У аналітичних моделях функціонування досліджуваної системи записується у вигляді математичних або логічних співвідношень. Для цих цілей використовується могутній математичний апарат: алгебра, функціональний аналіз, різницеві рівняння, теорія вірогідності, математична статистика, теорія множин, теорія масового обслуговування і так далі.

При імітаційному моделюванні модельована система представляється у вигляді деякого аналога реальної системи. В процесі імітаційного моделювання на ЕОМ реалізуються алгоритми зміни основних характеристик реальної системи відповідно до еквівалентних реальним процесам математичними і логічними залежностями.

Моделі діляться також на детермінованих і стохастичних. Моделі, які оперують з випадковими величинами, називаються стохастичними. Оскільки на процеси захисту інформації основний вплив роблять випадкові чинники, то моделі систем захисту є стохастичними.

Моделювання КСЗІ є складним завданням, тому що такі системи відносяться до класу складних організаційно-технічних систем, яким властиві наступні особливості:

складність формального представлення процесів функціонування таких систем, головним чином, із-за складності формалізації дій людини;

різноманіття архітектури складної системи, яке обумовлюється різноманіттям структур її підсистем і множинністю шляхів об'єднання підсистем в єдину систему;

велике число взаємозв'язаних між собою елементів і підсистем;

складність функцій, що виконуються системою;

функціонування систем в умовах неповної визначеності і випадковості процесів, що надають дію на систему;

наявність безлічі критеріїв оцінки ефективності функціонування складної системи;

існування інтегрованих ознак, властивих системі в цілому, але не властивих кожному елементу окремо (наприклад, система з резервуванням є надійною, при ненадійних елементах);

наявність управління, що часто має складну ієрархічну структуру;

розгалуженість і висока інтенсивність інформаційних потоків.

Для подолання цих складнощів застосовуються:

спеціальні методи неформального моделювання;

декомпозиція загального завдання на ряд окремих завдань;

макромоделювання.

7.5.1. Спеціальні методи неформального моделювання

Спеціальні методи неформального моделювання засновані на застосуванні неформальної теорії систем. Основними складовими частинами неформальної теорії систем є:

  •  структуризація архітектури і процесів функціонування складних систем;
  •  неформальні методи оцінювання;
  •  неформальні методи пошуку оптимальних рішень.

Структуризація є розвитком формального опису систем, поширеного на організаційно-технічні системи.

Прикладом структурованого процесу є конвеєрне виробництво. У основі такого виробництва лежать два принципи:

  •  •строга регламентація технологічного процесу виробництва;
  •  •спеціалізація виконавців і устаткування.

Передбачається,  що конструкція  вироблюваної  продукції відповідає наступним вимогам:

  •  виріб складається з конструктивних ієрархічних елементів (блоків, вузлів, схем, деталей і тому подібне);
  •  максимальна простота, уніфікованість і стандартність конструктивних рішень і технологічних операцій.

В даний час процес виробництва технічних засобів КС достатньо повно структурований. Структурне програмування також вписується в рамки структурованих процесів. На основі узагальнення принципів і методів структурного програмування можуть бути сформульовані умови структурованого опису систем, що вивчаються, і процесів їх функціонування:

  •  повнота відображення основних елементів;
  •  адекватність;
  •  простота внутрішньої організації елементів опису і взаємозв'язків елементів між собою;
  •  стандартність і уніфікованість внутрішньої структури елементів і структури взаємозв'язків між ними;
  •  модульність;
  •  гнучкість, під якою розуміється можливість розширення і зміни структури одних компонентів моделі без істотних змін інших компонентів;
  •  доступність вивчення і використання моделі будь-якому фахівцеві середньої кваліфікації відповідного профілю.

В процесі проектування систем необхідно отримати їх характеристики. Деякі характеристики можуть бути отримані шляхом вимірювання. Інші виходять з використанням аналітичних співвідношень, а також в процесі обробки статистичних даних. Проте існують характеристики складних систем, які не можуть бути отримані приведеними методами. До таких характеристик СЗІ відноситься вірогідність реалізації деяких загроз, окремі характеристики ефективності систем захисту та інші.

Вказані характеристики можуть бути отримані єдино доступними методами – методами неформального оцінювання. Суть методів полягає в залученні для отримання деяких характеристик фахівців-експертів у відповідних галузях знань.

Найбільшого поширення з неформальних методів оцінювання набули методи експертних оцінок. Методом експертних оцінок є алгоритм підбору фахівців-експертів, завдання правил отримання незалежних оцінок кожним експертом і подальшої статистичної обробки отриманих результатів. Методи експертних оцінок використовуються давно, добре відпрацьовані. В деяких випадках вони є єдино можливими методами оцінювання характеристик систем.

Неформальні методи пошуку оптимальних рішенні можуть бути розподілені по двох групах:

  •  методи неформального зведення складного завдання до формального опису і рішення задачі формальними методами;
  •  неформальний пошук оптимального рішення.

Для моделювання систем захисту інформації доцільно використовувати наступні теорії і методи, що дозволяють звести рішення задачі до формальних алгоритмів:

  •  теорія нечітких множин;
  •  теорія конфліктів;
  •  теорія графів;
  •  формально-евристичні методи;
  •  еволюційне моделювання.

Методи теорії нечітких множин дозволяють отримувати аналітичні вирази для кількісних оцінок нечітких умов приналежності елементів до тієї або іншої множини. Теорія нечітких множин добре узгоджується з умовами моделювання систем захисту, оскільки багато початкових даних моделювань (наприклад, характеристики загроз і окремих механізмів захисту) не є строго визначеними.

Теорія конфліктів є відносно новим напрямом дослідження складних людино-машинних систем. Конфлікт між зловмисником і системою захисту, що розгортається на тлі випадкових загроз, є класичним для застосування теорії конфлікту. Дві протиборчі сторони переслідують строго протилежні цілі. Конфлікт розвивається в умовах неоднозначності і слабкої передбаченості процесів, здатності сторін оперативно змінювати цілі. Теорія конфліктів є розвитком теорії ігор. Теорія ігор дозволяє:

  •  структурувати завдання, представити його в осяжному вигляді, знайти області кількісних оцінок, впорядкувань, переваг, виявити домінуючі стратегії, якщо вони існують;
  •  до кінця вирішити завдання, які описуються стохастичними моделями.

Теорія ігор дозволяє знайти рішення, оптимальне або раціональне в середньому. Вона виходить з принципу мінімізації середньої риски. Такий підхід не цілком адекватно відображає поведінку сторін в реальних конфліктах, кожен з яких є унікальним. У теорії конфліктів зроблена спроба подолання цих недоліків теорії ігор. Теорія конфліктів дозволяє вирішувати ряд практичних завдань дослідження складних систем. Проте вона ще не набула широкого поширення і відкрита для подальшого розвитку.

З теорії графів для дослідження систем захисту інформації найбільшою мірою застосуємо апарат мереж Петрі. Управління умовами у вузлах мережі Петрі дозволяє моделювати процеси подолання захисту зловмисником. Апарат мереж Петрі дозволяє формалізувати процес дослідження ефективності СЗІ.

До формально-евристичних методів віднесені методи пошуку оптимальних рішень не на основі строгих математичних, логічних співвідношень, а ґрунтуючись на досвіді людини, наявних знаннях і інтуїції. Отримувані рішення можуть бути далекі від оптимальних, але вони завжди будуть кращі за рішення, що отримуються без евристичних методів.

Найбільшого поширення з евристичних методів набули лабіринтові і концептуальні методи.

Відповідно до лабіринтової моделі завдання представляється людині у вигляді лабіринту можливих шляхів рішення. Передбачається, що людина володіє здатністю швидкого відсікання безперспективних шляхів руху по лабіринту. В результаті серед шляхів, що залишилися, з великою вірогідністю знаходиться шлях, ведучий до рішення поставленої задачі.

Концептуальний метод припускає виконання дій з концептами. Під концептами розуміються узагальнені елементи і зв'язки між ними. Концепти виходять людиною, можливо і неусвідомлено, в процесі побудови структурованої моделі. Відповідно до концептуального методу набір концепт універсальний і йому відповідають механізми обчислення, трансформації і формування стосунків, що є у людини. Чоловік проводить уявний експеримент із структурованою моделлю і породжує обмежену ділянку лабіринту, в якому вже нескладно знайти рішення.

Еволюційним моделюванням є різновид імітаційного моделювання. Особливість його полягає в тому, що в процесі моделювання удосконалюється алгоритм моделювання.

Суть неформальних методів безпосереднього пошуку оптимальних рішень полягає в тому, що людина бере участь не тільки в побудові моделі, але і в процесі її реалізації.

7.5.2. Декомпозиція задачі по оцінці ефективності функціонування КСЗІ

Складність виконуваних функцій, значна частка нечітко певних початкових даних, велика кількість механізмів захисту, складність їх взаємних зв'язків і багато інших чинників роблять практично нерозв'язною проблему оцінки ефективності системи в цілому за допомогою одного якого-небудь методу моделювання.

Для вирішення цієї проблеми застосовується метод декомпозиції (розділення) загального завдання оцінки ефективності на ряд окремих завдань.

Досить просто вирішується окреме завдання оцінки ефективності методу шифрування за умови, що атака на шифр можлива тільки шляхом перебору ключів, і відомий метод шифрування.

Головна складність методу декомпозиції при оцінці систем полягає в обліку взаємозв'язку і взаємного впливу окремих завдань оцінювання і оптимізації. Цей вплив враховується як при рішенні задачі декомпозиції, так і в процесі отримання інтегральних оцінок. Наприклад, при рішенні задачі захисту інформації від електромагнітних випромінювань використовується екранування металевими екранами, а для підвищення надійності функціонування системи необхідне резервування блоків, у тому числі і блоків, що забезпечують безперебійне живлення. Вирішення цих двох окремих завдань взаємозв'язане, наприклад, при створенні КСЗІ на літаючих апаратах, де існують строгі обмеження на вагу. При декомпозиції завдання оптимізації комплексної системи захисту доводиться всякий раз враховувати загальний ліміт ваги устаткування.

7.5.3. Макромоделювання

При оцінці складних систем використовується також макромоделювання. Таке моделювання здійснюється для загальної оцінки системи. Завдання при цьому спрощується за рахунок використання при побудові моделі тільки основних характеристик. До макромоделювання вдаються в основному для отримання попередніх оцінок систем.

На макрорівні можна, наприклад, досліджувати необхідне число рівнів захисту, їх ефективність по відношенню до передбачуваної моделі порушника з урахуванням особливостей КС і фінансових можливостей проектування і побудови КСЗІ.

7.6. Вибір показників ефективності і критеріїв оптимальності КСЗІ

Ефективність систем оцінюється за допомогою показників ефективності. Іноді використовується термін – показник якості. Показниками якості, як правило, характеризують ступінь досконалості якого-небудь товару, пристрою, машини. Відносно складних людино машинних систем переважно використання терміну показник ефективності функціонування, який характеризує ступінь відповідності оцінюваної системи своєму призначенню.

Прикладом показника ефективності є криптостійкість шифру, яка виражається часом або вартістю злому шифру. Цей показник для шифру DES, наприклад, залежить від однієї характеристики – розрядності ключа. Для методів заміни кріптостійкість залежить від кількості використовуваних алфавітів заміни, а для методів перестановок – від розмірності таблиці і кількості використовуваних маршрутів Гамільтона.

Для того, щоб оцінити ефективність системи захисту інформації або порівняти системи по їх ефективності, необхідно задати деяке правило переваги. Таке правило або співвідношення, засноване на використанні показників ефективності, називають критерієм ефективності. Для отримання критерію ефективності при використанні деякої множини до показників використовують ряд підходів.

Методи, засновані на ранжируванні показників поважливості. При порівнянні систем однойменні показники ефективності зіставляються в порядку убування їх важливості за визначеними  алгоритмами.

Прикладами таких методів можуть служити лексикографічний метод і метод послідовних поступок.

Лексикографічний метод доцільний, якщо ступінь відмінності показників по важливості великий. Дві системи порівнюються спочатку по найбільш важливому показнику. За оптимальну вважається така система, у якої краще цей показник. При рівності найважливіших показників порівнюються показники, які займають по рангу другу позицію. При рівності і цих показників порівняння триває до отримання переваги в i-м показнику

Оцінка ефективності СЗІ може здійснюватися також методом Парето. Суть методу полягає в наступному. При використанні п показників ефективності системі відповідає крапка в n-мерном просторі. У n-мірному просторі будується область парето-оптимальных рішень. У цій області розташовуються незрівняні рішення, для яких поліпшення якого-небудь показника неможливе без погіршення інших показників ефективності. Вибір якнайкращого рішення з числа парето-оптимальных може здійснюватися по різних правилах

7.7. Підходи до оцінки ефективності КСЗІ

Ефективність КСЗІ оцінюється як на етапі розробки, так і в процесі експлуатації. У оцінці ефективності КСЗІ, залежно від використовуваних показників і способів їх отримання, можна виділити три підходи:

  •  класичний;
  •  офіційний;
  •  експериментальний.

7.7.1. Класичний підхід

Під класичним підходом до оцінки ефективності розуміється використання критеріїв ефективності, отриманих за допомогою показників ефективності. Значення показників ефективності виходять шляхом моделювання або обчислюються по характеристиках реальної КС. Такий підхід використовується при розробці і модернізації КСЗІ. Проте можливості класичних методів комплексного оцінювання ефективності стосовно КСЗІ обмежені через низку обставин. Високий ступінь невизначеності початкових даних, складність формалізації процесів функціонування, відсутність загальновизнаних методик розрахунку показників ефективності і вибору критеріїв оптимальності створюють значні труднощі для застосування класичних методів оцінки ефективності.

7.7.2. Офіційний підхід

Велику практичну значущість має підхід до визначення ефективності КСЗІ, який умовно можна назвати офіційним. Політика безпеки інформаційних технологій проводиться державою і повинна спиратися на нормативні акти. У цих документах необхідно визначити вимоги до захищеності інформації різних категорій конфіденційності і важливості.

Вимоги можуть задаватися переліком механізмів захисту інформації, які необхідно мати в КС, щоб вона відповідала певному класу захисту. Використовуючи такі документи, можна оцінити ефективність КСЗІ. В цьому випадку критерієм ефективності КСЗІ є її клас захищеності.

Безперечною перевагою таких класифікаторів (стандартів) є простота використання. Основним недоліком офіційного підходу до визначення ефективності систем захисту є те, що не визначається ефективність конкретного механізму захисту, а констатується лише факт його наявності або відсутності. Цей недолік в якійсь мірі компенсується завданням в деяких документах достатньо докладних вимог до цих механізмів захисту.

У всіх розвинених країнах розроблені свої стандарти захищеності комп'ютерних систем критичного застосування. Так, в міністерстві оборони США використовується стандарт TCSEC (Department of Defence Trusted Computer System Evaluation Criteria), який відомий як Оранжева книга.

Згідно Оранжевій книзі для оцінки інформаційних систем розглядається чотири групи безпеки: А, В, З, D. В деяких випадках групи безпеки діляться додатково на класи безпеки.

Група А (гарантований або такий, що перевіряється захист) забезпечує гарантований рівень безпеки. Методи захисту, реалізовані в системі, можуть бути перевірені формальними методами. У цій групі є тільки один клас – А1.

Група В (повноважний або повний захист) представляє повний захист КС. У цій групі виділені класи безпеки В1,В2 і В3.

Клас В1 (захист через грифи або мітки) забезпечується використанням в КС грифів секретності, що визначають доступ користувачів до частин системи.

Клас В2 (структурований захист) досягається розділенням інформації на захищені і незахищені блоки і контролем доступу до них користувачів.

Клас ВЗ (області або домени безпеки) передбачає розділення КС на підсистеми з різним рівнем безпеки і контролем доступу до них користувачів.

Група З (виборчий захист) представляє вибірковий захист підсистем з контролем доступу до них користувачів. У цій групі виділені класи безпеки С1 і С2.

Клас С1 (виборчий захист інформації) передбачає розділення в КС користувачів і даних. Цей клас забезпечує найнижчий рівень захисту КС.

Клас С2 (захист через керований або контрольований доступ) забезпечується роздільним доступом користувачів до даних.

Групу D (мінімальній безпеці) складають КС, перевірені на безпеку, але які не можуть бути віднесені до класів А, В або З.

Організація захисту інформації в обчислювальних мережах міністерства оборони США здійснюється відповідно до вимог керівництва «The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines». Цей документ отримав назву Червона книга (як і попередній – за кольором обкладинки).

Подібні стандарти захищеності КС прийняті і в інших розвинених країнах. Так, в 1991 році Франція, Німеччина, Нідерланди і Великобританія прийняли узгоджені «Європейські критерії», в яких розглянуто 7 класів безпеки від ЕО до Е6.

Класи підрозділяються на чотири групи, що відрізняються якісним рівнем захисту:

  •  перша група містить тільки один сьомий клас;
  •  друга група характеризується дискреційним захистом і містить шостий і п'ятий класи;
  •  третя група характеризується мандатним захистом і з тримає четвертий, третій і другий класи;
  •  четверта група характеризується веріфіцированной защитой і містить тільки перший клас.

7.8. Питання для самоконтролю і співбесіди по  темі:

  1.  Надайте визначення комплексної система захисту інформації.
  2.  Опишить концепцію створення захищених КС.
  3.  Які є єтапи створення комплексної системи захисту інформації ?
  4.  В чому полягає науково-дослідна розробка КСЗІ ?
  5.  Що таке моделювання КСЗІ ?
  6.  Як проходить вибір показників ефективності і критеріїв оптимальності КСЗІ.
  7.  Опішіть підходи до оцінки ефективності КСЗІ


8. Термінологія в області захисту інформації
 

Терміни та їх тлумачення наведено у відповідності до НД ТЗІ 1.1-003-99 “Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу”. Наведено також переклад термінів російською (Рос.) і англійською (Англ.)

Обчислювальна система (ОС):

сукупність програмно-апаратних засобів, призначених для обробки інформації.

Рос.: Вычислительная система (ВС), Англ.: Computer System

Обчислювальна система поєднує в собі технічні засоби обробки і передачі даних (засоби обчислювальної техніки і зв’язку), а також методи і алгоритми обробки даних, що реалізовані у вигляді відповідного програмного забезпечення.

Автоматизована система (АС):

організаційно-технічна система, що поєднує (див. рис.):

  •  обчислювальну систему (ОС);
  •  фізичне середовище;
  •  персонал;
  •  оброблювану інформацію.

Рос.: Автоматизированная система (АС), Англ.: Automated System

Об’єкт системи:

Елемент ресурсів обчислювальної системи, який характеризується визначеними атрибутами й поведінкою.

Розрізняють такі види об’єктів:

  •  пасивні об’єкти
  •  об’єкти-користувачі
  •  об’єкти-процеси

Об’єкти-користувачі й об’єкти-процеси є активними об’єктами. Активні об’єкти можуть виконувати дії над пасивними об’єктами.

В зарубіжних стандартах, в тому числі в сучасному міжнародному стандарті ISO 15408, пасивні об’єкти називаються просто “об’єкт” (Англ.: object), а активні об’єкти – “суб’єкт” (Англ.: subject). Як правило, слід розуміти, що суб’єкт – це об’єкт-процес, що діє від імені певного об’єкта-користувача.

Об’єкт-користувач:

представлення фізичного користувача в ОС, що утворюється в процесі входу користувача в систему і характеризується своїм контекстом (обліковий запис, псевдонім, ідентифікаційний код, повноваження і т.і.).

Рос.: Объект-пользователь, Англ.: User object

Об’єкт-процес:

задача, процес, потік, що виконується в поточний момент в ОС (абстракція програми, що виконується) і характеризується своїм контекстом (стан регістрів, адресний простір, повноваження і т.і.)

Рос.: Объект-процесс, Англ.: Process object

Ідентифікація:

Процес розпізнавання об’єктів системи на основі міток – ідентифікаторів.

Також: процедура присвоювання ідентифікаторів об’єктам.

Рос.: Идентификация, Англ.: Identification

Автентифікація:

Перевірка запропонованого ідентифікатора на відповідність об’єкту, встановлення або перевірка справжності.

Рос.: Аутентификация, Англ.: Authentication

Авторизація:

Процедура надання користувачу визначених повноважень у системі. У захищених системах авторизації користувача обов'язково передують його ідентифікація і автентифікація. Іноді ідентифікацію і автентифікацію розглядають як складову частину процесу авторизації.

Також: процедура визначення для повідомлення (пасивного об’єкта) його джерела (користувача або процеса, тобто, активного об’єкта).

Рос.: Авторизация, Англ.: Authorization

Доступ:

Взаємодія двох об’єктів ОС, в ході якої один з об’єктів (той, що здійснює доступ) виконує дії над іншим об’єктом (тим, до якого здійснюється доступ). Результатом доступу є зміна стану системи (наприклад, запуск програми на виконання) та/або утворення інформаційного потоку від одного з об’єктів до іншого (наприклад, читання або запис інформації). В разі, коли утворюється інформаційний потік, кажуть, що здійснюється доступ до інформації.

Рос.: Доступ, Англ.: Access

Політика безпеки [інформації]:

сукупність законів, правил, обмежень, рекомендацій, інструкцій і т.д., що регламентують порядок обробки інформації.

Рос.: Политика безопасности, Англ.: Information security policy

Правила розмежування доступу (ПРД):

Частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів.

Рос.: Правила разграничения доступа, Англ.: Access mediation rules

Безпека інформації:

стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації

Рос.: Безопасность информации, Англ.: Information security

Властивості інформації:

  •  конфіденційність
  •  цілісність
  •  доступність

Конфіденційність:

тільки уповноважені користувачі можуть ознайомитися з інформацією

Рос.: Конфиденциальность, Англ.: Confidentiality

Цілісність:

тільки уповноважені користувачі можуть модифікувати інформацію

Рос.: Целостность, Англ.: Integrity

Доступність:

уповноважені користувачі можуть одержати доступ до інформації згідно з правилами, що встановлені політикою безпеки, не очікуючи довше заданого (малого) проміжку часу

Рос.: Доступность, Англ.: Availability

Несприятливий вплив:

вплив, що приводить до зниження цінності інформаційних ресурсів.

Рос.: Неблагоприятное воздействие.

Загроза:

будь-які обставини чи події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитку АС.

Загроза – будь-який потенційно можливий несприятливий вплив.

Рос.: Угроза, Англ.: Threat

Атака:

спроба реалізації загрози

Рос.: Атака, Англ.: Attack

Вразливість системи:

нездатність системи протистояти реалізації визначеної загрози чи сукупності загроз.

Рос.: Уязвимость системы, Англ.: System vulnerability

Захищена АС:

АС, що здатна забезпечувати захист оброблюваної інформації від визначених загроз.

Рос.: Защищенная АС, Англ.: Trusted computer system

Захист інформації в АС:

діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації й АС у цілому, що дозволяє запобігти чи утруднити можливість реалізації загроз, а також знизити величину потенційного збитку в результаті реалізації загроз.

Рос.: Защита информации в АС, Англ.: Information protection, information security, computer system security

Захист інформації в АС полягає в створенні і підтримці в працездатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти чи утруднити можливість реалізації загроз, а також знизити потенційний збиток.

Система зазначених заходів називається комплексною системою захисту інформації

Комплексна система захисту інформації (КСЗІ):

сукупність організаційних, інженерних мір, програмно-апаратних засобів, що забезпечують захист інформації в АС

Рос.: Комплексная система защиты информации (КСЗИ)

Комплекс засобів захисту (КЗЗ):

сукупність програмно-апаратних засобів, що забезпечують реалізацію політики безпеки інформації

Рос.: Комплекс средств защиты (КСЗ), Англ.: Trusted computing base (TCB)

Гарантії:

Показник ступеню впевненості в тому, що АС коректно реалізує політику безпеки.

Рос.: Гарантии, Англ.: Assurance

В перекладах зарубіжних стандартів російською мовою замість терміну “гарантії”, як правило, вживається термін “адекватність”.

Адекватність:

Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їхніх відповідностей поставленим задачам.

Рос.: Адекватность, Англ.: Assurance

Кваліфікаційний аналіз:

Аналіз АС (чи ОС) з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки

Рос.: Квалификационный анализ, Англ.: Evaluation

Модель [політики] безпеки:

Абстрактний формалізований чи неформалізований опис політики безпеки

Рос.: Модель политики безопасности, Англ.: Security policy model

Модель загроз:

Абстрактний формалізований чи неформалізований опис методів і засобів здійснення загроз

Рос.: Модель угроз, Англ.: Model of threats

Модель порушника:

Абстрактний формалізований чи неформалізований опис порушника

Рос.: Модель нарушителя, Англ.: User violator model


ЛІТЕРАТУРА

  1.  Богуш В.М., Юдін О.К.  Інформаційна безпека держави / - К.: МК-Прес, 2005.
  2.  Буряк В.Я. Основи права України / Буряк В.Я., Грищук В.К., Грищук О.В. та ін. / За ред. Ортинського В.Л. - Львів: Оріяна-Нова, 2005.
  3.  Правове забезпечення інформаційної діяльності в Україні / За загальною редакцією Шемшученка Ю.С. та Чижа І.С. - К.: ТОВ «Видавництво «Юридична думка», 2006.
  4.  Основи інформаційної бечзпеки. Посібник. /В.А.Лужецький, О.П.Войнович.,  А.Д.Кожухівський, Л.І.Северин, І.Б.Трегубенко – Черкаси, ЧДТУ, 2008р. – 243 с. – ISBN 978-966-402-035-7
  5.  Основи інформаційної безпеки. Методичні вказівки до виконання курсової роботи для студентів напряму „Інформаційна безпека” /Укл. І.Б.Трегубенко, О.В. Коваль – Черкаси, ЧДТУ, 2008р. – 44 с.
  6.  Антонюк А. О. Основи захисту інформації в автоматизованих системах: Навч. посіб. – К: Видавничий дім «KM Академія», 2003.– 243 с.
  7.  Домарев В.В. Безопасность информационніх технологий. Системній подход.– К.: ООО «ТИД «ДС», 2004.– 992 с.
  8.  Основы информационной безопасности: Учебн. пособ. для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. – М.: Горячая линия - Телеком, 2006. – 544 с: ил.
  9.  Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебн. пособ.– М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.– 264 с:ил.
  10.  Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В. Ф. Шаньгина.– 2-е изд., перераб. и доп.– М.: Радио и связь, 2001.– 376 с: ил. 
  11.  В.Зима, А.Молдовян, Н.Молдовян. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2001. – 320 с.
  12.  А.Лукацкий. Обнаружение атак. СПб.: БХВ-Петербург, 2001. – 624 с.
  13.  Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: издатель Молгачева С. В., 2001, 352 с.
  14.  Трегубенко І.Б. Безпека корпоративних мереж. Служба каталогів Active Directory : навчальний посібник. гриф МОНУ N1/11-7932 від 17.08.10 [Текст] / І.Б.Трегубенко, О.В.Коваль; М-во освіти і науки України, Черкаський державний технологічний ун-т. - Черкаси : ЧДТУ, 2010. - 320 с. - ISBN 978-966-402-067-8
  15.  Комплексні системи захисту інформації. Методичні вказівки до курсового проектування спеціальності напрямку „Інформаційна безпека”/Укл. Трегубенко І.Б., Панаско О.М. – Черкаси, ЧДТУ, 2008р. – 44 с.
  16.  Правові основи охорони інформації. Навчально-методичні матеріали до вивчення дисципліни для студентів спеціальності «Захист інформації в комп’ютерних системах та мережах» /Укл. Трегубенко І.Б., Панаско О.М. – Черкаси, ЧДТУ, 2008р. – 77 с.

  1.  
  2.  

ПРИЧИНИ ПОРУШЕННЯ БЕЗПЕКИ

Помилки адміністрування

Стадія розробки вимог

Принципи організації системи забезпечення

Стадія реалізації

Вибір моделі безпеки

Неправильне впровадження моделі

Відсутність І/А

Відсутність контролю цілісності

Програмна реалізація

Наявгість засобів налагодження та тестування

  1.  

 

А также другие работы, которые могут Вас заинтересовать

47659. Технологическое проектирование автотранспортного производства 665 KB
  Цель курсового проекта – формирование научных, профессиональных знаний и навыков в области технической эксплуатации подвижного состава автомобильного транспорта. При изучении дисциплины студенты получают знания о современных технологических процессах технического обслуживания и текущего ремонта автомобилей, об особенностях проектирования и реализации технологических процессов технической эксплуатации на предприятиях автомобильного транспорта
47660. Методичні вказівки. Чисельні методи в інформатиці 1.52 MB
  У тому випадку, коли заздалегідь невідомий ступінь багаточлена Лагранжа, який необхідно використовувати для забезпечення необхідної точності, уживають підхід, заснований на рекурентній схемі організації обчислень, яка звісна, як схема Ейткена
47661. Оптимизация распределения нагрузки электроэнергетической системы между работающими в ней электростанциями и их энергоблоками 208.5 KB
  Методические указания к выполнению лабораторной работы «Оптимизация распределения нагрузки электроэнергетической системы между работающими в ней электростанциями и их энергоблоками» по дисциплине «Автоматизация энергосистем» для студентов
47664. Методические рекомендации. Мировая экономика 572 KB
  Экономика профиль Мировая экономика: общие требования по организации выполнения работы требования по ее оформлению внедрению результатов работы рекомендации при подготовке к защите работы. Организация выполнения выпускной квалификационной работы дипломной работы
47667. Элементы и системы автоматизированного пневмогидропривода 3.55 MB
  В качестве задания даны основные схемы пневматических и гидравлических линейных и поворотных модулей приводов. Представлены инженерные методики расчета конструктивных и динамических параметров привода. Представлена методика построения пневматической системы управления. Приведены основные необходимые для расчетов справочные данные.