Проектирование системы безопасности автоматизированных систем обработки информации

Данные виды угроз можно считать первичными или непосредственными, т.к. если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой наносит ущерб информационной системе, то реализация перечисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для нее «прозрачна», т.е. не существует никаких систем защиты или других препятствий.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Информация не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому чтобы угрожать, например, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид - угрозу раскрытия параметров АС, включающей в себя систему защиты. С точки зрения практики любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т.п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального ТС.

Угрозу раскрытия можно рассматривать как посредственную. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам, перечисленным выше. Введение данного вида угроз позволяет описывать с научно-методологической точки зрения отличия защищенных информационных систем от открытых. Для последних угроза разведки параметров системы считается реализованной.

К основным направлениям реализации злоумышленником информационных угроз на ОИ относятся:

· непосредственное обращение к объектам доступа;

· создание программных и ТС, выполняющих обращение к объектам доступа в обход средств защиты;

· модификация средств защиты, позволяющая реализовать угрозы ИБ;

· внедрение в ТС АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС.

К числу основных методов реализации угроз ИБ на ОИ относятся:

· определение злоумышленником типа и параметров носителей информации;

· получение злоумышленником информации о программно-аппаратной среде, типе и параметрах средств ВТ, типе и версии ОС, составе прикладного ПО;

· получение злоумышленником детальной информации о функциях, выполняемых АС;

· получение злоумышленником данных о применяемых системах защиты;

· определение способа представления информации;

· определение злоумышленником содержания данных, обрабатываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений);

· хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные;

· использование специальных ТС для перехвата ПЭМИН - конфиденциальные данные перехватываются злоумышленником путем выделения информативных сигналов из электромагнитного излучения и наводок по цепям питания средств ВТ, входящей в АС;

· уничтожение средств ВТ и носителей информации;

· хищение (копирование) носителей информации;

· НСД пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов;

· несанкционированное превышение пользователем своих полномочий;

· несанкционированное копирование ПО;

· перехват данных, передаваемых по каналам связи;

· визуальное наблюдение - конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т.п.;

· раскрытие представления информации (дешифрование данных);

· раскрытие содержания информации на семантическом уровне - доступ к смысловой составляющей информации, хранящейся в АС;

· уничтожение машинных носителей информации;

· внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные;

· установка и использование нештатного аппаратного или ПО;

· заражение программными вирусами;

· внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи;

· внедрение дезинформации;

· выведение из строя машинных носителей информации без уничтожения информации - выведение из строя электронных блоков накопителей на жестких дисках и т.п.;

· проявление ошибок проектирования и разработки аппаратных и программных компонентов АС;

· обход (отключение) механизмов защиты - загрузка злоумышленником нештатной ОС с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т.п.;

· искажение соответствия синтаксических и семантических конструкций языка - установление новых значений слов, выражений и т.п.;

· запрет на использование информации - имеющаяся информация по каким-либо причинам не может быть использована.

Распределение перечисленных методов реализации угроз ИБ на ОИ представлено в табл. 2.1.

Таблица 2.1

Методы реализации угроз ИБ на ОИ

Уровень доступа к информации в АС	Основные методы реализации угроз ИБ на ОИ
	Угроза раскрытия параметров системы	Угроза нарушения конфиденциальности	Угроза нарушения целостности	Угроза отказа служб (отказа) доступа к информации
Носителей информации	Определение типа и параметров носителей информации	Хищение (копирование) носителей информации. Перехват ПЭМИН	Уничтожение машинных носителей информации	Выведение из строя машинных носителей информации
Средств взаимодействия с носителем	Получение информации о программно-аппаратной среде. Получение детальной информации о функциях, выполняемых АС. Получение данных о применяемых системах защиты	НСД к ресурсам АС. Совершение пользователем НСД. Несанкционированное копирование ПО. Перехват данных, передаваемых по каналам связи	Внесение пользователем несанкционированных изменений в программы и данные. Установка и использование нештатного ПО. Заражение программными вирусами	Проявление ошибок проектирования и разработки программно-аппаратных компонент АС. Обход механизмов защиты АС
Представления информации	Определение способа представления информации	Визуальное наблюдение. Раскрытие представления информации (дешифрование)	Внесение искажения в представление данных. Уничтожение данных	Искажение соответствия синтаксических и семантических конструкций языка
Содержания информации	Определение содержания данных на качественном уровне	Раскрытие содержания информации	Внедрение дезинформации	Запрет на использование информации

Основными причинами утечки информации на ОИ являются:

· несоблюдение персоналом норм, требований, правил эксплуатации АС;

· ошибки в проектировании АС и систем защиты АС.

Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим НСД, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.

В соответствии с ГОСТ Р 52069.0-2003 рассматриваются два вида утечки информации:

· разглашение;

· НСД к информации.

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Под НСД понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим НСД к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей АС, или вне ее.

Применительно к АС выделяют следующие каналы утечки:

1. Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:

· радиоканал (высокочастотное излучение);

· низкочастотный канал;

· сетевой канал (наводки на сеть электропитания);

· канал заземления (наводки на провода заземления);

· линейный канал (наводки на линии связи между компьютерными системами).

2. Акустический (виброакустический) канал. Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС.

3. Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты системы. В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т.п.

4. Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к ПО (в том числе к ОС), а также с подключением к линиям связи. Информационный канал может быть разделен на следующие каналы:

· канал коммутируемых линий связи;

· канал выделенных линий связи;

· канал ЛВС;

· канал машинных носителей информации;

· канал терминальных и периферийных устройств.

2.8 МОДЕЛЬ ПОТЕНЦИАЛЬНОГО НАРУШИТЕЛЯ ОИ

В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и средств ВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и средствами ВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое ПО системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт ТС АС, вплоть до включения в состав средств ВТ собственных ТС с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС ОИ и, в частности, о системе и средствах ее защиты.

При разделении нарушителей безопасности по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.

Прежде всего, разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мы будем рассматривать в данном случае классическую пропорцию 80 к 20, т.к. факты многочисленных нарушений часто скрываются организациями или для поддержания имиджа приписываются внешним источникам.

Потенциально к внутренним нарушителям ОИ относятся сотрудники самого ОИ или сотрудники ОИ из сферы информационных технологий, предоставляющие организации телекоммуникационные и иные информационные услуги.

Среди внутренних нарушителей ОИ в первую очередь можно выделить:

· непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;

· администраторов вычислительных сетей и ИБ;

· прикладных и системных программистов;

· сотрудников службы безопасности;

· технический персонал по обслуживанию зданий и ВТ, от уборщицы до ремонтной бригады;

· вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников ОИ к неправомерным действиям, можно указать следующие:

· безответственность;

· ошибки пользователей и администраторов;

· демонстрация своего превосходства (самоутверждение);

· «борьба с системой»;

· корыстные интересы пользователей системы;

· недостатки используемых информационных технологий.

Для предотвращения нарушений необходимо проводить специальную подготовку персонала, поддерживать здоровый рабочий климат в коллективе, проводить тщательный отбор нанимаемых сотрудников, своевременно обнаруживать злоумышленников.

Группу внешних нарушителей ОИ могут составлять:

· клиенты;

· приглашенные посетители;

· представители конкурирующих организаций;

· сотрудники органов ведомственного надзора и управления;

· нарушители пропускного режима;

· наблюдатели за пределами охраняемой территории.

По рекомендации экспертов в области ИБ, особое внимание следует обращать на вновь принимаемых сотрудников в следующих профессиях: администраторы, программисты, специалисты в области компьютерной техники и ЗИ. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу хакера-одиночки или представителя хакерской группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководством подразделений и службы безопасности, а также с организованными преступными группами. В данном случае возможный ущерб и тяжесть последствий многократно увеличиваются.

Руководство организации, должно четко себе представлять, от каких видов нарушений необходимо защититься в первую очередь.

Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.

Далее классификацию можно проводить по следующим параметрам:

Используемые методы и средства:

· сбор информации и данных;

· пассивные средства перехвата;

· использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;

· активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя об организации информационной структуры:

· типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;

· высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;

· высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;

· обладание сведениями о средствах и механизмах защиты атакуемой системы;

· нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения ИБ.

Время информационного воздействия:

· в момент обработки информации;

· в момент передачи данных;

· в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

· удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;

· доступ на охраняемую территорию;

· непосредственный физический контакт с ВТ, при этом можно выделить:

Ш доступ к терминальным операторским станциям,

Ш доступ к важным сервисам предприятия (сервера),

Ш доступ к системам администрирования, контроля и управления информационной системой,

Ш доступ к программам управления системы обеспечения ИБ.

Создание модели нарушителя или определения значений параметров нарушителя в большой мере субъективно. Модель необходимо строить с учетом технологий обработки информации и особенностей предметной области.

Рассмотрим более подробно возможные схемы действий злоумышленника на ОИ, использующего удаленное проникновение в информационную систему.

Самый простой вариант - это хакер-одиночка, обладающий стандартным ПЭВМ, с модемным (реже выделенным) выходом в Internet. Данный тип злоумышленников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Internet, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы организации. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой, недоступными и неиспользуемыми простыми пользователями Internet. Характер действия - скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.

Для борьбы с подобными «исследователями» администраторам безопасности необходимо четко выполнять правила, предписанные политикой безопасности организации. Устанавливать самые последние версии используемых программных продуктов и ОС, а также выпускаемые к ним патчи и расширения. Отслеживать публичные списки обнаруживаемых уязвимостей в аппаратных и программных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.

Следующий по опасности тип злоумышленника - это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Internet. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы, троянские кони и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных ведомств, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть (сети) с Internet.

Описанные действия позволяют им производить мощные атаки на информационные системы в сети Internet. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты. Спектр их действий - от подделки суммы на счете (модификация данных) до получения или уничтожения критичных данных по заказу. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта НСД. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.

Для противостояния действиям подобных групп необходимо использовать последние достижения в области обеспечения ИБ объекта.

Следующий тип - предприятие-конкурент. Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Internet; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых. Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.

Служба безопасности должна быть начеку и сама вести наблюдение за компаниями, со стороны которых возможно проявление недобросовестной конкуренции. Может применяться сбор информации, другие разведывательные действия, подкуп и «перевербовка» сотрудников.

Самым серьезным соперником для службы безопасности являются коррумпированные представители различных структур ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Internet. На их службе состоят самые высокопрофессиональные компьютерные специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности. Эти специалисты участвуют в разработке стандартов по БИ, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.

Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в данном секторе экономики или оказывающих воздействие на различные направления деятельности государства.

Борьба с этой группой требует организации ЗИ на очень высоком уровне, что подразумевает существенные издержки. Кроме этого, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных, но такой поворот событий чреват вступлением в открытое противостояние с этими органами.

В табл. 2.2. сгруппирована сравнительная характеристика рассмотренных моделей типового злоумышленника на ОИ.

Таблица 2.2

Сравнительная характеристика моделей типового злоумышленника на ОИ

Характеристика	Хакер-одиночка	Группа хакеров	Конкуренты	Сотрудники ведомств
Вычислительная мощность	ПЭВМ	ЛВС, использование чужих ЛВС	Мощные вычислительные сети	Неограниченная
Выход в Internet	Модем или выделенная линия	Чужие каналы с высокой пропускной способностью	Собственные каналы с высокой пропускной способностью	Самостоятельный контроль над маршрутизацией трафика
Финансовые возможности	Сильно ограничены	Ограниченные	Большие	Практически неограниченны
Компьютерные знания	Невысокие	Высокие	Высокие	Высокие, разработчики стандартов
Используемые технологии	Готовые программы, известные уязвимости	Поиск новых уязвимостей, изготовление вредоносных программ	Современные методы проникновения в информационные системы и воздействия на потоки данных в ней	Доскональные знания компьютерных технологий, возможных уязвимостей и недостатков
Знания о построении системы безопасности ОИ	Вряд ли обладает достаточными знаниями о построении системы ИБ ОИ	Могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты ОИ	Могут предпринимать серьезные усилия для получения сведений о функционировании системы защиты, в том числе внедрить своего сотрудника в службу безопасности	В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении
Преследуемые цели	Эксперимент, любопытство	Подделка счетов, внесение искажений в работу системы	Блокировка функционирования системы, подрыв имиджа, разорение	Непредсказуемый разнообразный характер
Характер действий	Скрытый, в меру своих способностей	Предпринимает все возможные усилия для сокрытия факта НСД	Могут носить как скрытый, так и открытый, демонстрационный характер	Могут не утруждать себя сокрытием своих действий
Глубина проникновения	Чаще всего останавливается после проведения первого успешного воздействия	До момента достижения поставленной цели или наступления непреодолимых препятствий для проведения дальнейшего вторжения	При осуществлении своих намерений конкурирующая сторона будет идти до победного конца	Практически ничто не способно их остановить

Рассмотрим следующую классификацию нарушителей по целям, преследуемым злоумышленником:

· хакеры - собственное удовлетворение, без материальной выгоды;

· шпионы - получение информации, которая может быть использована для каких-либо политических целей;

· террористы - с целью шантажа;

· промышленные шпионы - кража промышленных защищаемых сведений, материальная выгода конкурентов;

· профессиональные преступники - получение личной финансовой выгоды.

Среди целей, преследуемых нарушителями, отмечаются:

· любопытство,

· вандализм,

· месть,

· финансовая выгода,

· конкурентная выгода,

· сбор информации,

· военная или политическая выгода.

2.9 АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ АС ОИ

Анализ информационных рисков - процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск - это вероятный ущерб, который зависит от защищенности системы. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем системы ЗИ.

Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами ИБ. Отечественные аналитики начали использовать различные методики на практике. Несколькими российскими организациями были разработаны собственные методики анализа и управления рисками, разработано собственное ПО, которое, наряду с зарубежным, имеется на отечественном рынке.

Конкретизация существующих методик зависит от многих системообразующих факторов уровня развитости организации, квалификации персонала, масштабов и специфики ее деятельности и некоторых других факторов. Таким образом, невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками.

Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками, и возможные подходы к их решению.

Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть разной «силы», выбор той или иной шкалы зависит как от свойств измеряемой величины, так и от имеющихся в наличии измерительных инструментов.

Рассмотрим варианты выбора шкалы для измерения характеристического свойства «ценность информационного ресурса». Она может измеряться посредственно в шкалах отношений, таких как стоимость восстановления ресурса, время восстановления ресурса и др. Другой вариант - определить ранговую шкалу для получения экспертной оценки, имеющую три возможных значения лингвистической переменной:

· малоценный информационный ресурс: от него не зависят критически важные задачи, и он может быть восстановлен с небольшими затратами времени и денег;

· ресурс средней ценности: от него зависит ряд важных задач, но в случае его утраты он может быть восстановлен за время не менее, чем критически допустимое, стоимость восстановления высокая;

· ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое, либо стоимость чрезвычайно высока.

Для измерения рисков не существует абсолютной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПЭВМ за определенный промежуток времени. Примером субъективного критерия является оценка администратора информационного ресурса риска выхода из строя ПЭВМ. Для этого обычно разрабатывается ранговая шкала с несколькими градациями: низкий, средний, высокий уровни.

Существует ряд подходов к измерению рисков. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = Pпроисшествия Ч ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами, риск - это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Сначала должны быть определены значения лингвистической переменной вероятности событий такой шкалы:

· A - событие практически никогда не происходит;

· B - событие случается редко;

· C - вероятность события за рассматриваемый промежуток времени - около 0,5;

· D - скорее всего, событие произойдет;

· E - событие почти обязательно произойдет.

Кроме того, определяется цена потери - лингвистическая переменная серьезности происшествий:

· N (Negligible) - воздействием можно пренебречь;

· Mi (Minor) - незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;

· Mo (Moderate) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи;

· S (Serious) - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач;

· C (Critical) - происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, высокий риск.

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен как показано в табл. 2.3.

Таблица 2.3

Определение риска в зависимости от двух факторов

	Negligible	Minor	Moderate	Serious	Critical
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
B	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
C	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
D	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
E	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие возможности:

· значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;

· требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Подобная методика широко применяется при проведении анализа рисков базового уровня.

Вероятность происшествия на ОИ оценивается в зависимости от частоты появления как показано в табл. 2.4. Оценка цены потери приведена в табл. 2.5.

Таблица 2.4

Оценка вероятности события на ОИ

Вероятность события	Средняя частота появления события	Коэффициент вероятности события
A - событие практически никогда не происходит	Реже чем один раз в год	1
B - событие случается редко	Раз в год	2
C - вероятность события за рассматриваемый промежуток времени - 0,5	Раз в месяц	3
D - скорее всего, событие произойдет	Раз в неделю	4
E - событие почти обязательно произойдет	Раз в день	5

Таблица 2.5

Оценка цены потери на ОИ

Цена потери	Коэффициент цены потери
N - воздействием можно пренебречь	1
Mi - незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно	2
Mo - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи	3
S - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач	4
C - происшествие приводит к невозможности решения критически важных задач	5

Анализ рисков ОИ позволяет решить следующие задачи:

· выявить угрозы, вероятность реализации которых необходимо уменьшить или исключить;

· оценить общую защищенность системы;

· оценить эффективность внедряемой системы защиты.

Таблица 2.6

Оценка информационных рисков ОИ

№ п/п	Событие	Коэффициент вероятности события	Коэффициент цены потери	Информационный риск
1	Копирование машинных носителей с защищаемой информацией	2	3	6
2	Использование специальных ТС для перехвата ПЭМИН	1	2	2
3	Уничтожение средств ВТ и машинных носителей с защищаемой информацией	2	5	10
4	НСД пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов	3	2	6
5	Несанкционированное разглашение защищаемой информации	2	3	6
6	Несанкционированное копирование ПО	3	2	6
7	Визуальное наблюдение	2	2	4
8	Раскрытие представления защищаемой информации (дешифрование данных)	2	4	8
9	Внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные	1	4	4
10	Установка и использование нештатного аппаратного или ПО	3	2	6
11	Заражение программными вирусами	4	3	12
12	Искажение или перехват защищаемой информации при передаче по линиям связи	3	3	9
13	Внедрение дезинформации	3	4	12
14	Проявление ошибок проектирования и разработки аппаратных и программных компонентов АС	2	3	6
15	Запрет на использование защищаемой информации	3	2	6
16	Сбои, отказы, аварии ТС и систем	1	5	5
17	Сбои, отказы ПО	2	3	6
Итого	114

Применительно к данному проекту, анализ рисков ОИ позволил выявить следующие наиболее опасные угрозы:

· уничтожение средств ВТ и машинных носителей с защищаемой информацией;

· раскрытие представления защищаемой информации (дешифрование данных);

· заражение программными вирусами;

· искажение или перехват защищаемой информации при передаче по линиям связи;

· внедрение дезинформации.

Итоговый коэффициент информационных рисков показывает, что уровень защищенности АС недостаточно высок.

Общая схема воздействий на информацию приведена на рис. 2.8.

Размещено на http://www.allbest.ru/

Рис. 2.8 Схема воздействия на информацию

В модели выделяются внутренние (предотвращение угроз, исходящих из внутренних источников) и внешние (предотвращение угроз, исходящих извне) средства ЗИ.

Источниками угроз на ОИ во внешней среде являются:

· естественные системы - астрокосмические, планетарные, физические, химические, биологические;

· искусственные системы - организационно-экономические и технические системы, а также имеющие смешанный характер
(например, биотехнические);

· абстрактные системы - символические (модели, алгоритмы, программы, технологические карты и т.д.) и описательные (например, в виде учений религиозного или этнического характера).

Источниками угроз внутри систем ОИ являются ее подсистемы и элементы:

· люди;

· технические устройства и системы;

· технологические схемы обработки;

· применяемые в системах обработки данных модели, алгоритмы, программы.

Проектирование системы ЗИ для ОИ должно способствовать снижению возможных негативных последствий, связанных с использованием информационных технологий, и обеспечить возможность выполнения основных целей и задач предприятия.

Одним из эффективных способов является интеграция системы управления рисками в систему управления жизненным циклом информационной системы (табл. 2.7).

Таблица 2.7

Управление рисками на различных стадиях жизненного цикла системы ИБ

Фаза жизненного цикла информационной технологии	Соответствие фазе управления рисками
Предпроектная стадия системы ИБ (концепция данной информационной системы: определение целей и задач и их документирование)	Выявление основных классов рисков для данной системы ИБ, вытекающих из целей и задач, концепция обеспечения ИБ
Проектирование системы ИБ	Выявление рисков, специфичных для данной системы ИБ (вытекающих из особенностей архитектуры системы ИБ)
Создание системы ИБ: поставка элементов, монтаж, настройка и конфигурирование	До начала функционирования системы ИБ должны быть идентифицированы и приняты во внимание все классы рисков
Функционирование системы ИБ	Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации системы ИБ
Прекращение функционирования системы ИБ (информационные и вычислительные ресурсы более не используются по назначению)	Соблюдение требований ИБ по отношению к выводимым информационным ресурсам

2.10 ХАРАКТЕРИСТИКА АС ОИ

АС ОИ представляет собой ЛВС стандарта Fast Ethernet со скоростью 100 Мбит/с. Топология сети - типа «звезда» с использованием кабеля витая пара UTP-5. Сетевые концентраторы с целью оптимизации кабельной системы расположены в помещении с серверами.

Для хранения большинства данных и организации к ним общего доступа в ЛВС служит файловый сервер. Файловый сервер работает под управлением ОС Novell Netware 5.0. Рабочие станции работают под управлением ОС Windows 2000/XP.

Структурная схема ЛВС ОИ представлена на рис. 2.9.

Для выполнения работниками служебных обязанностей используется следующее прикладное ПО:

· 1С: Бухгалтерия;

· Microsoft Word/Excel 2000;

· Microsoft Internet Explorer 5.5;

· The Bat! v.3.

АС классифицирована по классу защищенности 1Г. Акт классификации представлен в Приложении 5.

В АС обрабатываются персональные данные, финансовая информация и другие сведения конфиденциального характера, которые более подробно изложены в Приложении 1.

Данные о существующей АС свидетельствуют о недостаточном уровне ЗИ с ограниченным доступом. Таким образом, возникает задача совершенствования системы ЗИ, действующей на ОИ.



Размещено на http://www.allbest.ru/

Рис. 2.9 Структурная схема ЛВС ОИ

2.11 ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА РАЗРАБОТКУ СИСТЕМЫ БЕЗОПАСНОСТИ АС ОИ

1. Общие сведения

Заказчик проекта: ОИ

Основание для проектирования: договор подряда на проектирование системы безопасности АС

Генеральная проектная организация: организация-разработчик

Срок проектирования: 02.2006 - 06.2006

Стадия проектирования: рабочий проект

При проектировании проектно-сметной документации следует руководствоваться действующими нормативными документами по разработке, а также ведомственными и прочими документами, представляемыми заказчиком:

· План помещений ОИ, экспликация помещений (Приложение 1);

· ФЗ от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и ЗИ» (с изменениями от 10 января 2003 г.);

· ФЗ от 10 января 2003 г. № 1-ФЗ «Об ЭЦП»;

· Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ для ЭВМ и баз данных» (с изменениями от 24 декабря 2002 г.);

· Доктрина ИБ РФ от 9 сентября 2000 г. № ПР-1895;

· Приказ ФАПСИ от 23 сентября 1999 г. № 158 «Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической ЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

· Приказ МНС России от 2 апреля 2002 г. № БГ-3-32/169 «О порядке представления налоговой декларации в электронном виде по телекоммуникационным каналам связи»;

· Приказ МНС России от 10 декабря 2002 г. № БГ-3-32/705 «Методические рекомендации об организации и функционирование системы представления налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи»;

· Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

· Указ Президента РФ от 12 мая 2004 г. № 611 «О мерах по обеспечению ИБ РФ в сфере международного обмена»;

· Постановление Правительства РФ от 26 июня 1995 г. № 608 «О сертификации средств ЗИ» (с изменениями от 23 апреля 1996 г., 29 марта 1999 г.);

· ГОСТ Р 52069.0-2003 «ЗИ. Система стандартов. Основные положения»;

· РД. Защита от НСД к информации. Термины и определения;

· РД. Концепция защиты средств ВТ и АС от НСД к информации;

· РД. АС. Защита от НСД к информации. Классификация АС и требования по ЗИ;

· РД. Средства ВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации;

· РД. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств ЗИ от НСД в АС и средствах ВТ;

· РД. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации;

· РД. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов;

· Специальные требования и рекомендации по технической защите конфиденциальной информации.

Система безопасности АС должна быть спроектирована на базе современных серийно выпускаемых программных средств, сертифицированных по требованиям ФАПСИ РФ и Гостехкомиссии РФ.

2. Технические требования к проектируемой системе

Система должна обеспечивать:

· Защиту от НСД к конфиденциальной информации;

· Антивирусную защиту конфиденциальной информации;

· Защиту конфиденциальной информации при передаче по каналам связи;

· Защиту от НСД к элементам управления параметрами;

· Санкционированный доступ ко всем элементам в аварийной ситуации;

· Удобство обслуживания.

3. Исходные данные для проектирования

При проектировании системы руководствоваться:

· План расположения рабочих мест в здании (Приложение 1);

· Перечень информации, подлежащей защите (Приложение 2);

· Конфигурация сети.

4. Перечень документации, представляемой организацией-разработчиком организации-заказчику

Организация-разработчик представляет организации-заказчику:

· Комплект проектно-сметной документации;

· Задания, выдаваемые организацией-разработчиком организации-заказчику:

Ш задание на защиту конфиденциальной информации от НСД;

Ш задание на антивирусную защиту;

Ш задание на защиту конфиденциальной информации при передаче по каналам связи;

Ш задание на защиту конфиденциальной информации в аварийной ситуации.

3. КОНСТРУКТОРСКАЯ ЧАСТЬ

3.1 ИССЛЕДОВАНИЕ РЫНКА И ВЫБОР ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗИ ОТ НСД

Выявив основные направления по снижению рисков ИБ, можно провести анализ рынка предлагаемых продуктов. Все приведенные программные и программно-аппаратные комплексы защиты от НСД являются продуктами, получившие сертификат на соответствие определенному классу защищенности. Основным критерием отбора было наличие у продукта следующих характеристик:

· контроль целостности информации;

· контроль и разграничение доступа;

· наличие подсистемы аудита;

· возможность шифрования трафика сети;

· дополнительная идентификация пользователей;

· затирание остатков информации в системе.

1. Программно-аппаратные комплексы «Аккорд» (разработчик ОКБ «САПР»).

Программно-аппаратные комплексы «Аккорд» позволяют реализовать ЗИ от НСД с применением персональных идентификаторов пользователей, выполненных на базе устройств памяти Touch Memory (TM-идентификаторов) как для автономных ПЭВМ, так и для ПЭВМ, объединенных в ЛВС. Комплексы «Аккорд» базируются на аппаратном контролере, обеспечивающем работу с Touch Memory и ПО, с помощью которого обеспечивается настройка и интерфейс в ОС.

Программно-аппаратный комплекс ЗИ от НСД «Аккорд-АМДЗ 2.0» предназначен для применения на ПЭВМ, рабочих станциях ЛВС типа IBM PC, функционирующих под управлением ОС Windows 2000/NT 4.0 (с Service Pack 4 и выше), с целью обеспечения защиты от НСД к ПЭВМ и АС на их основе, при многопользовательском режиме эксплуатации.

Комплекс системы ЗИ поставляется в программно-аппаратном исполнении и включает:

· программно-аппаратный комплекс системы ЗИ от НСД для ПЭВМ «Аккорд-АМДЗ»;

· специальное ПО разграничения доступа в среде Windows NT/2000 - СПО «Аккорд NT/2000 2.0».

Защитные функции комплекса реализуются применением:

· дисциплины защиты от НСД ПЭВМ, включая:

Ш идентификацию пользователя по уникальному ТМ - идентификатору;

Ш аутентификацию с учетом необходимой длины пароля и времени его жизни;

Ш аппаратный (до загрузки ОС) контроль целостности ТС ПЭВМ, программ и данных на жестком диске (в том числе и системных областей диска);

Ш ограничение времени доступа субъекта к ПЭВМ в АС в соответствии с установленным режимом работы пользователей;

Ш блокировку несанкционированной загрузки ПЭВМ с отчуждаемых носителей (FDD,CD-ROM, ZIP-drive).

· процедур блокирования экрана и клавиатуры по команде пользователя или по истечению установленного интервала неактивности пользователя;

· дисциплины разграничения доступа к ресурсам ПЭВМ в соответствии с установленными правилами разграничения доступа и определяемыми атрибутами доступа, которые устанавливаются администратором безопасности в соответствие каждой паре субъект доступа - объект доступа при регистрации пользователей, при этом комплекс системы защиты позволяет администратору использовать как дискреционный, так и мандатный методы разграничения доступа;

· дисциплины управления процедурами ввода/вывода на отчуждаемые носители информации;

· контроля целостности критичных с точки зрения ИБ программ и данных (дисциплины защиты от несанкционированных модификаций), кроме процедур, выполняемых контроллером комплекса, в программной части комплекса возможна проверка целостности программ и данных по индивидуальному списку для каждого пользователя;

· средств функционального замыкания информационных систем за счет использования защитных механизмов комплекса;

· других механизмов защиты в соответствии с требованиями нормативных документов по БИ.

Комплекс системы ЗИ может применяться в произвольной и функционально замкнутой среде, обеспечивая при этом:

· защиту от НСД к ПЭВМ в АС и их ресурсам;

· разграничение доступа к ресурсам ПЭВМ, внешним устройствам в соответствии с уровнем полномочий пользователей;

· защиту от несанкционированных модификаций программ и данных, внедрения разрушающих программных воздействий;

· защиту от несанкционированного изменения конфигурации технических и программных средств ПЭВМ;

· функциональное замыкание информационных систем с исключением возможности несанкционированного входа в ОС и загрузки с внешнего носителя;

· регистрацию действий пользователей в системном журнале, доступ к которому предоставляется только администратору безопасности.

В комплексе системы ЗИ используются и некоторые дополнительные механизмы защиты от НСД к ПЭВМ в АС. Так, в частности, для пользователя администратор БИ может установить:

· время жизни пароля и его минимальную длину, практически исключив тем самым возможность быстрого его подбора;

· временные ограничения использования ПЭВМ для пользователей путем определения и установки администратором безопасности интервала времени по дням недели (с дискретностью 30 мин), в котором разрешена работа для данного пользователя;

· параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), возможность продолжения работы предоставляется только после проведения повторной идентификации по персональному ТМ - идентификатору пользователя;

· подачу соответствующих звуковых и визуальных сигналов при попытках НСД к ПЭВМ в АС и к их ресурсам.

Класс защищенности системы ЗИ от НСД - 4 в соответствии с РД Гостехкомиссии РФ «Средства ВТ. ЗИ от НСД к информации. Показатели защищенности от НСД к информации».

Класс защищенности для АС - 1В в соответствии с РД Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».

Контроллеры типа «Аккорд-4.5» устанавливается в шину ISA компьютера, а «Аккорд-5» устанавливается в шину PCI компьютера. В составе контроллеров энергонезависимая память объемом до 1 Мб. На базе контроллеров типа «Аккорд-4.5», «Аккорд-5» разработаны и распространяются комплексы «Аккорд-АМДЗ», являющиеся средством идентификации и аутентификации пользователей (с применением индивидуальных TM-идентификаторов пользователей) и средством контроля целостности программной среды для файловых систем FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD. Под доверенной загрузкой понимается, что ОС загружается только после идентификации и аутентификации пользователя, а также проверки целостности программных и ТС компьютера.

Комплексы «Аккорд-АМДЗ» сертифицированы по требованиям РД Гостехкомиссии РФ «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ» и имеют сертификаты Гостехкомиссии РФ о соответствии классу защищенности 1Д:

· № 246/1 от 26.10.2000 г. (комплекс на базе контроллера «Аккорд-5»)

· № 246/3 от 10.07.2001 г. (комплекс на базе контроллера «Аккорд-4.5»).

Комплексы «Аккорд-АМДЗ» сертифицированы по требованиям ФАПСИ к устройствам типа «электронный замок» и имеют сертификаты ФАПСИ:

· № СФ/527-0542 от 22.04.2002 г. (комплекс на базе контроллера «Аккорд-5»);

· № СФ/527-0543 от 22.04.2002 г. (комплекс на базе контроллера «Аккорд-4.5»).

Контроллер типа «Аккорд-RS» конструктивно выполнен вместе со съемником информации с Touch Memory и предназначен для установки на последовательный порт (RS232) ПЭВМ, объединенных в ЛВС Novell Netware, Windows 95/NT Server 4.0.

На базе контроллера типа «Аккорд-RS» может быть реализован «электронный замок» для входа в компьютер с использованием индивидуальных TM-идентификаторов пользователей. При этом Flash-память помимо расширения BIOS должна содержать также встроенное ПО, выполняющее регистрацию и аутентификацию пользователей до загрузки ОС, и аутентифицирующие данные пользователей.

2. Программные комплексы «Dallas Lock» (разработчик ООО «Конфидент»).

Комплексы Dallas Lock предназначены для защиты от НСД к ресурсам персонального компьютера и ЛВС, разграничения прав зарегистрированных пользователей по доступу к ресурсам...