Требования гостехкомиссии по защите конфиденциальной информации

Перечень организационно-распорядительных документов

Приказ на выполнение работ по защите конфиденциальной информации (персональных данных)

Приказ о назначении ответственных лиц по информационной безопасности подразделений

Положение о порядке организации и проведения работ по защите конфиденциальной информации

Перечень сведений конфиденциального характера

Перечень защищаемых информационных ресурсов

Разрешительная система доступа персонала к сведениям конфиденциального характера

Перечень лиц, имеющих доступ к штатным средствам информационной системы персональных данных

Матрица доступа субъектов к защищаемым информационным ресурсам системы с указанием режима обработки данных

РД АС п. 1.5 и п. 2.17

Инструкция пользователя услугами электронной почты и Internet

Инструкция по организации парольной защиты

Инструкция по организации антивирусной защиты

Комплект организационно-распорядительных и технических документов разработан в МУЗ «Гатчинская ЦРКБ» в соответствии с требованиями «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства РФ от 17 ноября 2007 г. N 781 и методических документов ФСТЭК (Гостехкомиссии) России («Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и СТР-К).

Условные обозначения к таблице 1:

По внут. форме – оформляется в соответствии с формой, установленной в ОРГАНИЗАЦИИ

«СТР-К» – оформляется в соответствии НМД Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»

152-ФЗ — Федеральный закон «О персональных данных» N 152-ФЗ от 27.07.2006

Постановл 781- Постановление Правительства РФ от 17.11.07 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Квалиф характеристики — приказ Министерства здравоохранения и социального развития Российской Федерации от 22 апреля 2009 г. N 205).

РД АС – оформляется в соответствии документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»

Защита конфиденциальной информации

На сегодняшний день конфиденциальная информация хранится и обрабатывается в автоматизированных системах практически каждого предприятия. Подобная информация нуждается в использовании специализированных средств защиты, которые должны отвечать целому ряду требований: надежность, масштабируемость, интеграция и соответствие законодательству РФ.

Встроенные средства безопасности операционных систем не имеют гибкого и надёжного механизма защиты конфиденциальной информации, которые бы удовлетворяли требованиям РД ГостехКомиссии и специальные требования и рекомендации по технической защите (СТР-К). Предприятиям необходимо обеспечивать безопасность коммерческой информации с помощью дополнительных специальных аппаратных и программных средств защиты. При этом их надежность и соответствие техническим параметрам должны подтверждаться сертификацией ФСТЭК.

«Контур-Безопасность» является поставщиком сертифицированных программных и аппаратных средств защиты конфиденциальной информации. Эти средства представляют собой готовые подсистемы информационной безопасности для автоматизированной системы, подлежащей аттестации.

Комплексная защита конфиденциальной информации имеет целью решение двух задач:

  • защиту права предприятия на конфиденциальную информацию, в том числе относящуюся к категории интеллектуальной собственности предприятия;
  • предотвращение угроз информационной безопасности предприятия, их выявление и существенное ослабление.

Система защиты конфиденциальной информации дает возможность укрепления экономической безопасности предприятия, что способствует созданию условий для долгосрочного устойчивого функционирования предприятия и повышения доверия к деловой репутации со стороны партнеров.

В результате внедрения решений по защите конфиденциальной информации специалистами «Контур-Безопасность» Вы сможете:

  • обеспечить безопасность коммерческой тайны
  • защитить информацию от изъятия или кражи конкурентами
  • объединить территориально-распределенную структуру организации в единую информационную базу

Компьютерная безопасность.
Требования к функциональной безопасности системных средств и средств защиты информации

Д.т.н., проф. А.Ю.Щеглов
(ЗАО «НПП «Информационные технологии в бизнесе»)
www.npp-itb.spb.ru

Компьютерная безопасность (уровень функциональной безопасности системного средства или средства защиты) на сегодняшний день может быть оценена только путем экспертного анализа реализованных технологий и решений по защите информации, т.к., к сожалению, каких-либо формализованных оценок не существует.

Данный подход широко используется на практике, как в нашей стране, так и зарубежом. Однако исследование функциональной безопасности может быть сколько-нибудь объективным лишь в том случае, когда однозначно и четко сформулированы требования к механизмам защиты системного средства, при условии, что они актуальны.

Но вот в чем противоречие: основополагающие нормативные документы, содержащие требования к механизмам защиты системных средств, призванным обеспечивать компьютерную безопасность , практически в неизменном виде действуют в нашей стране уже более десяти лет (созданы еще в прошлом веке).

Можно предположить, что при столь бурном развитии ИТ-технологий , которое имеет место в последнее десятилетие, не могли не измениться и требования к механизмам защиты, не могли не потерять своей актуальности и некоторые из существующих требований.

В настоящее время во всевозможных форумах специалисты и энтузиасты делают попытки сравнения представленных на рынке средств защиты информации . Но вот в чем вопрос, как получить сколько-нибудь актуальную оценку их эффективности, если требования «морально» устарели? Не следует ли сначала определиться с тем, как должны быть построены средства защиты, а уж потом их сравнивать?

На взгляд автора, недопустимо в принципе вести разговор о решении каких-либо отдельных задач защиты информации, например, противодействие только внутренним, либо только внешним ИТ-угрозам, антивирусное противодействие и т.д. Средство защиты должно решать все эти задачи в комплексе, в противном случае, в нем мало толку – необходимо перекрывать все возможные каналы несанкционированного доступа к информации, только так может быть обеспечена компьютерная безопасность! Попытаемся в данной работе сформулировать ключевые требования к средствам защиты информации в современных условиях, призванных решать задачи защиты информации в комплексе.

Использование данных требований, надеемся, поможет читателю получить более или менее объективную оценку средств защиты информации, представленных на рынке а, как следствие, и оценку их потребительской стоимости (или целесообразности практического использования).

Состав и назначение требований к механизмам защиты. Общий подход к оцениванию компьютерной безопасности .

Уровень функциональной безопасности системного средства определяется тем, в какой мере достаточен набор механизмов защиты, применительно к условиям его конкретного использования, и тем, насколько корректно данные механизмы реализованы (естественно, что как недостаточность механизмов, так и некорректность их реализации, обусловливают уязвимость системного средства, как следствие, угрозу потенциальной возможности осуществления успешной атаки на данную уязвимость). Заметим, что именно такой подход к оцениванию функциональной безопасности системных средств реализуется действующими сегодня нормативными документами в области защиты информации.

Требования к корректности реализации механизмов защиты сформулированы в действующем сегодня нормативном документе «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации», который используется при сертификации средств защиты.

Требования к достаточности – полноте набора механизмов защиты, применительно к условиям использования системного средства, сформулированы в действующем сегодня нормативном документе «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации», используемом при аттестации объекта информатизации.

Наверное, подобный подход к оцениванию функциональной безопасности всецело оправдан. Действительно, при сертификации средства защиты должна оцениваться корректность реализуемых им механизмов защиты, при аттестации, достаточность набора корректно реализованных механизмов защиты (при недостаточности набора в одном средстве – достаточность их набора, достигаемая соответствующей совокупностью средств защиты), применительно к условиям использования, т.е. применительно к аттестуемой АС.

Естественно, что при подобном подходе к защите АС необходимо наличие сертифицированных средств защиты, т.к. сертификация – это проверка корректности реализации механизмов защиты в системном средстве.

Требования по защите информации и созданию системы защиты информации

12.1. Организация работ по ТКЗИ

Организация работ по ТКЗИ возлагается на руководителей организации, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) организации.

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка системы защиты информации может осуществляться как подразделением организации, так и специализированным предприятием, имеющим лицензии ФСТЭК на соответствующий вид деятельности в области защиты информации. Во втором случае в организации, для которой создается система защиты информации, определяются подразделения (или отдельные должностные лица), ответственные за организацию и проведение мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение системы защиты информации (СЗИ) осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

  • порядок определения защищаемой информации;
  • порядок привлечения подразделений, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
  • порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
  • порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
  • ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
Смотрите так же:  Вестник следственного комитета российской федерации

В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

12.2. Требования по защите информации, содержащейся в информационной системе (на объекте информатизации)

Формирование требований к защите информации осуществляется обладателем информации (заказчиком) с учетом требований действующих нормативных правовых актов и методических документов для конкретного объекта информатизации. Здесь и далее в качестве объекта информатизации будет рассматриваться информационная система.

Требования по защите информации определены в руководящих документах ФСТЭК и ФСБ России. Документы можно разделить на ряд направлений:

  1. Защита конфиденциальной информации (в том числе персональных данных);
  2. Защита государственной тайны;
  3. Защита информации в ключевых системах информационной инфраструктуры (защита информации криптографическими методами).

В рамках данного курса будут рассмотрены требования первой группы.

Одним из основополагающих документов в рамках защиты от утечки по техническим каналам утечки является методический документ Гостехкомиссии «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее СТР-К).

Документ определяет следующие основные вопросы защиты информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Рассмотрим основные требования и рекомендации СТР-К.

12.3. Требования и рекомендации по защите акустической речевой информации

  1. Документально определенный перечень защищаемых помещений (далее ЗП) и лиц, ответственных за их эксплуатацию; технический паспорт на ЗП (форма паспорта приведена в приложениях СТР-К);
  2. ЗП должны быть в пределах контролируемой зоны (далее КЗ). Рекомендуется:
    • Размещать ЗП на удалении от границ КЗ.
    • Ограждающие конструкции не должны быть смежными с помещениями других организаций.
    • Не располагать ЗП на первых этажах.
    • Оборудовать окна ЗП шторами или жалюзи.

В случае если перечисленные меры недостаточны, рекомендуется применять сертифицированные средства активной защиты, которые будут рассмотрены позже.

Помимо перечисленных мер необходимо предусмотреть организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена. При необходимости такой передачи следует использовать защищенные линии связи, устройства скремблирования или криптографической защиты. В СТР-К также предусмотрены меры по защите информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов и меры по защите информации при проведении звукозаписи.

12.4. Требования и рекомендации по защите информации, обрабатываемой техническими средствами, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)

Как уже отмечалось в предыдущих лекциях, основными направлениями защиты информации в автоматизированной системе (далее АС ) является обеспечение безопасности от несанкционированного доступа (НСД) и от утечки по техническим каналам утечки.

В качестве основных мер защиты информации в СТК-К рекомендуется:

Требования гостехкомиссии по защите конфиденциальной информации

ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

На сегодняшний день системы защиты информации, представленные на рынке, сильно различаются, как по набору механизмов защиты, так и по подходам к реализации (реализованным возможностям) отдельных механизмов, причем базовых, требования к которым формализованы в нормативных документах (речь не идет о дополнительных возможностях защиты). Это вводит в заблуждение потребителя, не имеющего профессиональной подготовки в данной области знаний, т.к. формально для него подобные системы равноценны – выполняют требования одних и тех же документов. Естественно, что подобное возможно либо при недостаточно жесткой (либо недостаточно корректной) формализации требований, либо при неоднозначном трактовании формализованных требований разработчиками средств защиты информации. В данной работе мы попытаемся разобраться в данном вопросе — выявим причины возможного неоднозначного трактования формализованных требований и соответствующим образом попытаемся их уточнить (не изменить).

Методологическая основа формализации требований к средствам защиты информации

Прежде, чем приступить к нашему исследованию, определимся с тем, что же является признаком защищенности вычислительной системы, как следствие, что должно быть положено в основу формализации требований к средствам защиты. Для этого определим основные термины, которые часто используются на практике, и будут использованы нами далее в материале: “уязвимость”, “угроза” и “атака”. Под уязвимостью системы защиты нами понимается такое ее свойство (архитектурный, либо иной недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Другими словами, уязвимость – это «канал» НСД к защищаемой информации. При этом любая уязвимость системы защиты несет в себе угрозу осуществления злоумышленником НСД к информации, посредством реализации атаки (либо атак, которые в общем случае могут принципиально различаться) на уязвимость в системе защиты.

Таким образом, именно уязвимость системы защиты – это признак системы, а наличие (отсутствие) уязвимостей является характеристикой защищенности системы.

Проиллюстрируем сказанное примером. В ОС Windows в общем случае не представляется возможным запретить возможность модификации системного диска и системных областей реестра ОС пользователю System , с правами которого могут запускаться приложения (например, клиент-серверные). Это архитектурная уязвимость соответствующего механизма защиты ОС (не для всех пользователей корректно разграничиваются права доступа к ресурсам), которая несет в себе угрозу возможного получения полного управления над защищаемым компьютером злоумышленником при несанкционированном получении им прав пользователя System (что составляет «канал» НСД к информационным ресурсам). Эта уязвимость породила целую группу атак на расширение привилегий, к которым могут быть отнесены атаки на переполнение буферов приложений (запущенных с правами System ), атаки на сервисы олицетворения и др. На первый взгляд, все эти атаки основаны на использовании ошибок программирования приложений, однако, ошибка приложения, не несущего в себе функций защиты, не должна приводить к преодолению защиты механизма ОС – это уязвимость (в данном случае, архитектурный недостаток) именно соответствующего механизма ОС.

Вывод. Именно уязвимость системы защиты – это признак системы, а наличие (отсутствие) уязвимостей является характеристикой защищенности системы. Следовательно, именно обеспечение отсутствия уязвимостей защиты должно быть положено в основу формализации требований к средствам защиты информации.

Очевидно, что в общем случае причиной уязвимости (существования «канала» НСД) может являться либо некорректность реализации механизма защиты, либо недостаточность набора механизмов для условий использования защищаемого объекта информатизации. Вообще говоря, свойства корректности реализации и полноты (достаточности для условий использования) являются основополагающими свойствами любой технической системы, в том числе, и свойствами системы защиты информации.

Поскольку причиной уязвимости защиты может являться либо некорректность реализации механизма защиты, либо недостаточность набора механизмов защиты для условий использования защищаемого объекта информатизации, методологической основой формализации требований к средствам защиты информации следует считать определение требований к корректности реализации механизмов защиты и требований к достаточности (полноте набора) механизмов защиты для условий использования защищаемого объекта информатизации.

Замечание. На практике сегодня, отчасти, это и имеет место – используются два основополагающих нормативных документа — это требования к средствам вычислительной техники (требования к корректности реализации механизмов защиты, используемые при сертификации средств защиты информации), и требования к автоматизированным системам (требования к достаточности (полноте набора) механизмов защиты для условий использования защищаемого объекта информатизации, используемые при аттестации защищенных автоматизированных систем обработки информации).

Вопросы формализации требований к корректности реализации механизмов защиты информации

Рассмотрим вопросы формализации требований к корректности реализации механизмов защиты на примере механизмов контроля (разграничения прав) доступа к ресурсам (это ключевые механизмы защиты, используемые для реализации разграничительной политики доступа к ресурсам предприятия).

Формализованные требования к корректности реализации разграничительной политики доступа к ресурсам определены действующим сегодня нормативным документом (Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации), в части защиты конфиденциальной информации (5 класс СВТ), следующим образом:

· КСЗ (комплекс средств защиты, в терминологии РД) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

· Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Смотрите так же:  407 федеральный закон

· КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

· Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

· Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

· Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

Проблема возможной неоднозначности трактования данных требований состоит в том, что подобные требования (по большому счету, являющиеся «законом» для разработчика средств защиты) не могут быть в документе сформулированы детально, с учетом архитектурных особенностей различных системных средств — как любые требования, они должно носить общий характер, а любое обобщение приводит к возможности неоднозначного толкования.

Попытаемся сформулировать уточняющие требования, детализирующие исходные базовые требования, применительно к современным системным средствам.

1. Данные требования носят общий характер, применительно к любому механизму контроля доступа к ресурсам (при разграничении прав доступа к любому ресурсу СВТ). Это следует не только из здравого смысла, но и из обобщающей фразы «…т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

2. Данные требования предполагают исключение сущности «Владелец объекта» как таковой (под «Владельцем объекта» в современных ОС понимается пользователь, создавший объект, которому предоставляется право устанавливать разграничения прав доступа к этому объекту). Это следует из требования «Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.)».

3. Данные требования определяют реализацию разрешительной разграничительной политики доступа к ресурсам «Все что не разрешено – явно не указано, то запрещено». Это следует из требований: «Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта…». Только при реализации данной политики доступа к ресурсам контролируется доступ к вновь создаваемым объектам в системе (доступ «по умолчанию» запрещается, если для объекта не заданы ПРД).

4. Данные требования определяют возможность задать ПРД для любого пользователя (включая пользователей System и root ) к любому объекту (включая системный диск, системные объекты реестра ОС и т.д.), причем для любых типов доступа (включая их модификацию). Это следует из требования «Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.)…».

5. Данные требования определяют возможность разделить любой объект между всеми пользователями (в системе не должно быть объектов, в частности, файловых, которые невозможно разделить между пользователями средством защиты). Это следует из требования «Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов)». Заметим, к таким объектам, например, можно отнести папку: “ All Users ” на системном диске для ОС Windows . Некоторые приложения должны сохранять данные в одной папке, вне зависимости от того, под какой учетной записью они запущены. Невыполнение данного требования делает уязвимой информацию при многопользовательском режиме ее обработки.

6. Ну и, наконец, корректность реализации механизма может быть обеспечена только при корректной (однозначной) идентификации субъекта и объекта доступа, в противном случае контроль доступа в соответствии с заданными ПРД становится невозможен в принципе. Это очевидное требование определяется следующим образом “ КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.)».

Казалось бы, на данном требовании не следует и заострять своего внимания, настолько оно очевидно, однако за внешней очевидностью, кроются серьезные архитектурные особенности, в частности современных ОС, которые должны быть учтены при создании средств защиты. Проиллюстрируем сказанное примерами.

В общем случае файловый объект может быть идентифицирован различными способами. Рассмотрим эти способы, на примере NTFS :

· Файловый объект идентифицируется именем, при этом:

Ø Файловые объекты, задаваемые длинными именами, характеризуются той отличительной особенностью, что к ним можно обращаться, как по длинному, так и по короткому имени, например к каталогу “\Program files\” можно обратиться по короткому имени “\Progra

Ø Файловые объекты, задаваемые русскими (либо в иной кодировке) буквами, также имеют короткое имя, которое формируется с использованием кодировки Unicode (внешне они могут существенно различаться), например, короткое имя для каталога “C:\Documents and Settings\USER1\Главное меню” выглядит как “C:\Docume

1\”. К этим объектам также можно обратиться, как по длинному, так и по короткому имени;

· Файловый объект идентифицируется не только именем, но и своим идентификатором ( ID ) – индекс объекта в таблице MFT , причем некоторые программы обращаются к файловым объектам не по имени, а именно по ID .

· Файловый объект может адресоваться не напрямую, а с использованием ссылок (ссылки бывают жесткие и символьные). При этом один файловый объект может содержать в себе ссылку на другой объект, тогда при обращении к первому объекту, осуществляется доступ, в соответствии с находящейся в первом объекте ссылкой, ко второму объекту.

Существует и проблема возможной неоднозначности идентификации субъекта доступа. Это обусловливается тем, что непосредственно к объекту обращается поток, порождаемый процессом, который запускается пользователем. Современные ОС реализованы таким образом, что любой запускаемый пользователем процесс наследует маркер безопасности (в общем случае – SID пользователя), то же происходит и с потоком, при его порождении процессом. Однако в общем случае поток, осуществляющий доступ к ресурсу, может обладать маркером безопасности, отличным от маркера пользователя, соответственно, при его доступе к ресурсу уже будут действовать ПРД другого пользователя. Рассмотрим эту возможность на примере.

Система предоставляет разработчикам приложений сервисы олицетворения. Олицетворение ( impersonation ) предоставляет возможность отдельному потоку выполняться в контексте защиты, отличном от контекста защиты процесса, его запустившего, т.е. действовать от лица другого пользователя. Олицетворение, например, применяется в модели программирования «клиент-сервер». При заимствовании прав сервер временно принимает профиль защиты клиента, «от лица» которого обращается к ресурсу. Тогда сервер может работать с ресурсом от имени клиента, а система защиты проводить проверку его прав доступа. Обычно серверу доступен более широкий круг ресурсов, чем клиенту, и при олицетворении поток теряет часть исходных прав доступа, запустившего его процесса. И, напротив, при олицетворении соответствующий поток может получить дополнительные права.

1. Формализованные требования, в том виде, как они сформулированы в нормативных документах (в общем виде), в полном объеме формулируют требования к корректности механизмов защиты.

2. Формализованные требования носят общий характер, не предполагают детализации, применительно к архитектурным особенностям конкретного системного средства, что делает возможным неоднозначное их толкование в каждом конкретном случае.

3. Применительно к конкретным областям приложений, имеет смысл определять уточняющие требования к корректности реализации механизмов защиты. Целью уточняющих требований является устранение неоднозначности интерпретации общих требований при построении средств защиты для альтернативных приложений.

Невыполнение любого из сформулированных уточняющих требований привносит в средство защиты уязвимость (архитектурный недостаток средства защиты) – «канал» НСД, как следствие, угрозу возможности получения злоумышленником НСД к защищаемым ресурсам. Если в системе присутствует подобная уязвимость, то, рано или поздно, подобная угроза будет реализована злоумышленником – найдется способ атаки на известную ему уязвимость.

Рассмотренные формализованные требования (как основные, так и уточняющие) должны быть обязательными для реализации разработчиком, вне зависимости от способа формализации требований к средству защиты, т.к. их невыполнение несет в себе уязвимость механизма защиты, т.е., по существу, делает практическое использование данного механизма во многом бесполезным.

При подобной формализации требований (однозначная формализация требований к корректности реализации механизмов защиты, за счет включения уточняющих требований) унифицируются базовые свойства средств защиты. Сравнительный анализ альтернативных решений потребителю уже нужно будет осуществлять, посредством сравнения исключительно дополнительных возможностей защиты, предоставляемых этими средствами, а не заботиться о том, насколько эффективно реализованы базовые механизмы.

Вопросы формализации требований к полноте (достаточности для условий использования) механизмов защиты информации

Здесь также ограничимся исследованиями только механизмов контроля доступа к ресурсам, понимая общность выводов, применительно к остальным механизмам защиты.

Формализованные требования к достаточности (полноте) реализации разграничительной политики доступа к ресурсам, определены действующим сегодня нормативным документом (Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации), в части защиты конфиденциальной информации (класс АС 1Г) следующим образом:

· Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);

· Должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Сразу, в порядке замечания, отметим, что требования к иным группам АС (2 и 3) в современных условиях теряют свою актуальность. Это обусловлено тем, что в современных системах (например, ОС Windows и Unix ) всегда должны быть заведены, по крайней мере, две учетные записи – администратора и пользователя, права доступа к ресурсам для которых принципиально различаются (работа пользователя под учетной записью администратора принципиально недопустима, если мы говорим о защите информации).

Смотрите так же:  Адвокат по статье 189 ук рф

Как следует из данных требований, системой защиты в общем случае должны идентифицироваться не только файловые объекты (соответственно, на жестком диске и накопителях), но и объекты реестра ОС (для ОС Windows , для ОС Unix – это файлы), все устройства (как локальные, так и сетевые), т.е. все компьютерные и сетевые ресурсы, которые подлежат защите при обработке конфиденциальной информации, а механизмом контроля доступа должна предоставляться возможность разграничить к ним права доступа.

Частный же случай применения средства защиты определяется условием его использования, что в формализованных требованиях определяется следующим образом «Должен осуществляться контроль доступа субъектов к защищаемым ресурсам…»

1. Условием выполнения требований к полноте реализации разграничительной политики доступа к ресурсам в общем виде является возможность контроля доступа средствами защиты ко всем локальным и сетевым ресурсам, в том числе, к локальным и разделенным файловым объектам и устройствам, к портам, к устройствам, к локальным и сетевым принтерам, к реестру ОС, к удаленным компьютерам (функция персонального межсетевого экрана) и т.д.

2. Условием возможности использования средства защиты, не реализующего в общем виде формализованных требований к полноте разграничений, без применения, наряду с ним, еще дополнительных средств защиты, в части выполнения непокрытых требований, является отключение (либо не использование) в системе тех локальных и сетевых ресурсов, к которым средство защиты не обеспечивает контроль доступа – по сути, этим реализуется изменение условий использования средства защиты.

3. Никакие подмены технических возможностей контроля доступа к ресурсам средства защиты организационными мерами – недопустимы. Единственно возможная в этом случае организационная мера – это отключение ресурса, доступ к которому средством защиты не контролируется, причем она допустима, если подобная возможность технически реализуема (невозможно отключить реестр ОС, и т.д.).

В качестве замечания отметим, что организационные меры защиты информации от НСД для АС также формализованы и для класса АС 1Г состоят в следующем:

· должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещение АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещение АС и хранилище носителей информации, особенно в нерабочее время;

· должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

Видим, что в этих требованиях возможность подмены технических возможностей средства защиты организационными мерами не просматривается.

Принципиальным отличием условий применения защищенного вычислительного средства сегодня является автономное использование, либо использование в составе сети (в частности, ЛВС).

Сформулируем соответствующие уточняющие требования к достаточности механизмов защиты (к полноте разграничительной политики доступа к ресурса) в рассматриваемых приложениях. Будем делить эти требования на базовые (должны быть реализованы всегда) и дополнительные к базовым (в случае защиты вычислительного средства в составе сети).

Базовые требования (автономное использование компьютера) к набору механизмов контроля доступа к ресурсам (выполнение данных требований должно быть обязательным для системы защиты при любых условиях использования защищаемого компьютера):

· Контроль доступа к файловым объектам на жестком диске;

· Контроль доступа ко всем внешним накопителям и к файловым объектам на отчуждаемых носителях информации (дискета, Flash -устройство, CD — ROM диск и т.д.);

· Контроль доступа к объектам реестра ОС;

· Контроль доступа к устройствам (включая их иерархию – порты, подключаемые к портам устройства, носители), т.е. ко всем объектам, интерпретируемые ОС, как устройства.

Естественно, что невыполнение какого-либо из данных требований открывает «канал» НСД к информации, т.е. делает средство защиты уязвимым, в части угрозы использования данного «канала» НСД злоумышленником.

Средство защиты, не реализующее базовые требования, не является достаточным для защиты конфиденциальной информации, обрабатываемой вычислительным средством.

Казалось бы, данные требования вполне очевидны, полностью вытекают из требований, сформулированных в соответствующем нормативном документе и не требуют дополнительных уточнений. Однако на практике это не всегда так. Например, относительно недавно на рынке появилось средство добавочной защиты, не имеющее в своем составе механизма контроля доступа к объектам реестра ОС. Естественно, никакими организационными мерами эту техническую задачу не решить. Какова же потребительская стоимость данного средства, при каких условия оно достаточно для защиты конфиденциально информации? А как могли разработчики данного средства защиты не отнести объекты реестра ОС к защищаемым ресурсам на основании существующих формализованных требований?

Дополнительные требования (сетевое использование защищаемого компьютера), выполнение данных требований должно быть обязательным для системы защиты, при использовании компьютера в составе сети:

· Контроль доступа удаленных пользователей к разделенным на компьютере в сети файловым объектам, накопителям и устройствам;

· Контроль доступа пользователей к удаленным разделенным на компьютерах сети файловым объектам, накопителям и устройствам;

· Контроль доступа к удаленным хостам и сетевым устройствам (имеющим свой IP адрес, например, к сетевым принтерам), соответственно, с удаленных хостов и сетевых устройств.

Средство защиты, не реализующее дополнительные к базовым требования, не является достаточным для защиты конфиденциальной информации, обрабатываемой вычислительным средством в составе сети (в частности, ЛВС).

1. Средство защиты информации может быть использовано как самодостаточное средство защиты (без использования, помимо него, дополнительных средств) только при условии выполнения в полном объеме всех требований к корректности реализации и к полноте набора (достаточности для области использования) механизмов защиты.

2. Сформулированные в рассматриваемых нормативных документах требования (в частности, уточняющие требования, сформулированные в работе) позиционируются нами, как обязательные для выполнения разработчиком средств защиты. Данные требования должны учитываться вне зависимости от способа формализации требований к средству защиты (при любом способе формализации требований, эти требования должны присутствовать), т.к. их даже частичное невыполнение несет в себе уязвимость средства защиты информации – формирует «канал» НСД к информации, как следствие, угрозу преодоления злоумышленником защиты информации.

3. В случае если какой-либо механизм не выполняет требований к корректности реализации, он не должен использоваться и учитываться в составе средства защиты информации, т.к. этот механизм несет в себе уязвимость, как следствие, угрозу быть преодоленным злоумышленником.

4. В случае если набор механизмов средства защиты не выполняет требований к полноте (достаточности для области использования), данное средство защиты не является самодостаточным для заданных условий его использования. При этом возможны два подхода к решению задачи защиты – либо изменять условия использования защищаемого вычислительного средства (если технически это возможно – использование организационных мер для решения этой задачи недопустимо), либо дополнять систему защиты другими средствами, с целью выполнения ими в совокупности формализованных требований к полноте набора механизмов защиты.

5. Базовыми и дополнительными к базовым требованиями к полноте набора механизмов защиты определяется возможность использования средства защиты в возможных альтернативных приложениях защищаемого вычислительного средства (автономный компьютер, компьютер в составе сети). Следовательно, любое из возможных условий использования вычислительного средства подпадает под данную совокупность требований к полноте набора механизмов защиты.

Требования к техническим средствам защиты, используемым в составе сети

С учетом всего сказанного ранее, получим набор требований к защите конфиденциальной информации в АС, реализованной на базе ОС Windows (для других платформ данные требования, не теряя своей общности, должны быть модифицированы с учетом архитектурных особенностей ОС, например, в ОС Unix настроечные файлы ОС находятся не в реестре ОС, в файлах, устройства монтируются к файловой системе и т.д.).

Требования получим на основе требований к АС класса защищенности 1Г (защита конфиденциальной информации). Требования к АС первой группы (включающие требования к техническим средствам защиты информации) представлены в Табл.1 .

Обозначения, использованные в Табл.1.