Защита информации в автоматизированных системах обработки данных

В мире произошло переосмысление подходов к решению проблемы обеспечения  информационной безопасности. С момента  принятия международного стандарта ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.

До недавнего времени нормативной  основой решения задач защиты информации являлись стандарты ISO 7498-2:1989 «Архитектура безопасности ВОС» и ISO/IEC 10181:1996 «Основы положения безопасности открытых систем». Эти документы  определяли взгляды специалистов на теоретические подходы обеспечения  защиты информации.

Общую логику построения систем защиты информации можно представить следующим  образом:

Сфера действий стандарта ISO 7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен  на все открытые системы обработки, передачи и хранения информации принятием  в 1996 году международного стандарта ISO/IEC 10181.

Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы  к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к  тому, что существующая модель обеспечения  информационной безопасности «Угроза  безопасности услуга безопасности механизм безопасности» перестала удовлетворять  как потребителя ИТ-систем, так и их разработчика.

 

По типу основных классов угроз  выделяют пять основных целевых задач  безопасности ИТ-систем.

1. Обеспечение доступности предполагает, что обладающий соответствующими  правами пользователь может использовать  ресурс в соответствии с правилами  установленными политикой безопасности. Эта задача направлена на предотвращение  преднамеренных или непреднамеренных  угроз неавторизованного удаления  данных или необоснованного отказа  в доступе к услуге, попыток  использования системы и данных  в неразрешенных целях.

2. Обеспечение целостности системы  и данных рассматривается в  двух аспектах. Во-первых, это целостность  данных означает, что данные не  могут быть модифицированы неавторизованным  пользователем или процессом  во время их хранения, передачи  и обработки. Во-вторых, целостность  заключается в том, что ни  один компонент системы не  может быть удален, модифицирован  или добавлен.

3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи.

4. Обеспечение наблюдаемости направлено  на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия.

5. Обеспечение гарантий - это совокупность  требований, составляющих некоторую  шкалу оценки для определения  степени уверенности в том,  что:

- функциональные требования действительно сформулированы и корректно реализованы;

- принятые меры защиты обеспечивают адекватную защиту ИТ-системы;

- обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.

 

6.Критерии оценки безопасности информационных технологий в европейских странах

Следуя по пути интеграции, Европейские  страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC). Версия 1.2 этих Критериев опубликована в июне 1991 года от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех - и для производителей, и для потребителей, и для самих органов сертификации.

Принципиально важной чертой Европейских  Критериев является отсутствие априорных  требований к условиям, в которых  должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, то есть описывает условия, в которых  должна работать система, возможные  угрозы ее безопасности и предоставляемые  ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются  поставленные цели, то есть насколько  корректны и эффективны архитектура  и реализация механизмов безопасности в описанных спонсором условиях. Таким образом, Европейские Критерии относятся к гарантированности  безопасной работы системы. Требования к политике безопасности и к наличию  защитных механизмов не являются составной  частью Критериев. Впрочем, чтобы облегчить  формулировку цели оценки, Критерии содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных  и коммерческих систем.

Основные понятия

Европейские Критерии рассматривают  следующие составляющие информационной безопасности:

· конфиденциальность, то есть защиту от несанкционированного получения  информации;

· целостность, то есть защиту от несанкционированного изменения информации;

 

· доступность, то есть защиту от несанкционированного удержания информации и ресурсов.

В Критериях проводится различие между  системами и продуктами. Система - это конкретная аппаратно-программная  конфигурация, построенная с вполне определенными целями и функционирующая  в известном окружении. Продукт - это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки  зрения информационной безопасности основное отличие между системой и продуктом  состоит в том, что система  имеет конкретное окружение, которое  можно определить и изучить сколь  угодно детально, а продукт должен быть рассчитан на использование  в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер. Относительно угроз продукту можно лишь строить  предположения.

Из практических соображений важно  обеспечить единство критериев оценки продуктов и систем - например, чтобы  облегчить и удешевить оценку системы, составленной из ранее сертифицированных  продуктов. В этой связи для систем и продуктов вводится единый термин - объект оценки. В соответствующих  местах делаются оговорки, какие требования относятся исключительно к системам, а какие - только к продуктам.

Каждая система и предъявляет  свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы  удовлетворить эти требования, необходимо предоставить соответствующий набор  функций (сервисов) безопасности, таких  как идентификация и аутентификация, управление доступом или восстановление после сбоев.

Чтобы объект оценки можно было признать надежным, необходима определенная степень  уверенности в наборе функций  и механизмов безопасности. Степень  уверенности мы будем называть гарантированностью. Гарантированность может быть большей  или меньшей в зависимости  от тщательности проведения оценки.

Гарантированность затрагивает два  аспекта - эффективность и корректность средств безопасности. При проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма).

Определяется три градации мощности: базовая, средняя и высокая.

Под корректностью понимается правильность реализации функций и механизмов безопасности. В Критериях определяется семь возможных уровней гарантированности  корректности -- от E0 до E6 (в порядке возрастания). Уровень E0 обозначает отсутствие гарантированности. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения.

Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности  корректности. Теоретически эти два  аспекта независимы, хотя на практике нет смысла проверять правильность реализации "по высшему разряду", если механизмы безопасности не обладают даже средней мощностью.

Функциональность

В Европейских Критериях средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный  взгляд касается лишь целей безопасности. На этом уровне мы получаем ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности. Мы узнаем, какая  функциональность на самом деле обеспечивается. Наконец, на третьем уровне содержится информация о механизмах безопасности. Мы видим, как реализуется декларированная  функциональность.

Спецификации функций безопасности -- важнейшая часть описания объекта оценки.

Идентификация и аутентификация

Под идентификацией и аутентификацией  понимается не только проверка подлинности  пользователей в узком смысле, но и функции для регистрации  новых пользователей и удаления старых, а также функции для  генерации, изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.

Средства управления доступом также  трактуются Европейскими Критериями достаточно широко. В этот раздел попадают, помимо прочих, функции, обеспечивающие временное  ограничение доступа к совместно  используемым объектам с целью поддержания  целостности этих объектов -- мера, типичная для систем управления базами данных. В этот же раздел попадают функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных (что также типично для СУБД).

Под точностью в Критериях понимается поддержание определенного соответствия между различными частями данных (точность связей) и обеспечение  неизменности данных при передаче между  процессами (точность коммуникаций). Точность выступает как один из аспектов целостности  информации.

Функции надежности обслуживания должны гарантировать, что действия, критичные  по времени, будут выполнены ровно  тогда, когда нужно - не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных  действий. Должна быть гарантия, что  авторизованные пользователи за разумное время получат запрашиваемые  ресурсы. Сюда же относятся функции  для обнаружения и нейтрализации  ошибок, необходимые для минимизации  простоев, а также функции планирования, позволяющие гарантировать время  реакции на внешние события.

К области обмена данными относятся  функции, обеспечивающие коммуникационную безопасность, то есть безопасность данных, передаваемых по каналам связи.

Гарантированность эффективности

Для получения гарантий эффективности  средств безопасности рассматриваются  следующие вопросы:

 

· Соответствие набора функций безопасности провозглашенным целям, то есть их пригодность  для противодействия угрозам, перечисленным  в описании объекта оценки;

· Взаимная согласованность различных  функций и механизмов безопасности;

· Способность механизмов безопасности противостоять прямым атакам;

· Возможность практического использования  слабостей в архитектуре объекта  оценки, то есть наличие способов отключения, обхода, повреждения и обмана функций  безопасности;

· Возможность небезопасного конфигурирования или использования объекта оценки при условии, что администраторы и/или пользователи имеют основание  считать ситуацию безопасной;

· Возможность практического использования  слабостей в функционировании объекта  оценки.

Важнейшей частью проверки эффективности  является анализ слабых мест в защите объекта оценки. Цель анализа - найти  все возможности отключения, обхода, повреждения, обмана средств защиты. Оценивается также способность  всех критически важных защитных механизмов противостоять прямым атакам - мощность механизмов. Защищенность системы или  продукта не может быть выше мощности самого слабого из критически важных механизмов, поэтому в Критериях  имеется в виду минимальная гарантированная  мощность.

Для нее определены три уровня: базовый, средний и высокий.

Согласно Критериям, мощность можно  считать базовой, если механизм способен противостоять отдельным случайным  атакам.

Мощность можно считать средней, если механизм способен противостоять  злоумышленникам с ограниченными  ресурсами и возможностями.

Наконец, мощность можно считать  высокой, если есть уверенность, что  механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности.

 

Важной характеристикой является простота использования продукта или  системы. Должны существовать средства, информирующие персонал о переходе объекта в небезопасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя). Ситуации, когда в процессе функционирования объекта оценки появляются слабости, допускающие практическое использование, в то время как администратор  об этом не знает, должны быть исключены.