Текст книги "Правовые аспекты системы безопасности"

* Руководство по управлению паролями («Password management guideline») [5].

* Руководство по применению Критериев безопасности компьютерных систем в специфических средах («Guidance for applying the Department of Defence Trusted Computer System Evaluation Criteria in specific environment») [6].

* Руководство по аудиту в безопасных системах («Guide to Under-standing Audit in Trusted Systems») [7].

* Руководство по управлению конфигурацией в безопасных системах («Guide to understanding configuration management in trusted systems) [8].

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 году Национальным центром компьютерной безопасности США был опубликован документ под названием «Пояснения к критериям безопасности компьютерных систем», объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, объединивший все изменения и дополнения к «Оранжевой книге», сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.

Выводы: «Критерии безопасности компьютерных систем» министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точной для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам (грифам секретности) и правилам экспорта секретной информации.

При этом критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.

Высший класс безопасности, требующий осуществления верификации средств защиты, построен на доказательстве соответствия программного обеспечения его спецификациям с помощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает корректность и адекватность реализации политики безопасности.

«Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.

Вопрос 2. Европейские критерии по обеспечению ИБ

Проблемы информационной безопасности актуальны не только для Соединенных Штатов. Вслед за выходом «Оранжевой книги» страны Европы совместно разработали общие «Критерии безопасности информационных технологий» («Information Technology Security Evaluation Criteria», далее «Европейские критерии») [9]. Данный обзор основывается на версии 1.2, опубликованной в июне 1991 года от имени соответствующих органов четырех стран: Франции, Германии, Нидерландов и Великобритании.

Основные понятия

«Европейские критерии» рассматривают следующие задачи средств информационной безопасности:

• защита информации от несанкционированного доступа с целью обеспечения конфиденциальности;

• обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;

• обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, необходимо реализовать соответствующий набор функций безопасности, таких, как идентификация и аутентификация, управление доступом, восстановление после сбоев и т. п. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в «Европейских критериях» впервые вводится понятие адекватности (assurance) средств защиты.

Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функционирования. Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты – их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надежность реализации функций безопасности.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Функциональные критерии

В «Европейских критериях» средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. На первом уровне рассматриваются цели, которые преследует обеспечение безопасности, второй уровень содержит спецификации функций защиты, а третий – реализующие их механизмы. Спецификации функций защиты предлагается рассматривать с точки зрения следующих требований:

• идентификация и аутентификация;

• управление доступом;

• подотчетность;

• аудит;

• повторное использование объектов;

• целостность информации;

• надежность обслуживания;

• безопасность обмена данными.

Большинство из перечисленных требований совпадает с аналогичными требованиями «Оранжевой книги». Остановимся лишь на специфичных для «Европейских критериев» моментах.

Требования безопасности обмена данными регламентируют работу средств, обеспечивающих безопасность данных, передаваемых по каналам связи, и включают следующие разделы:

• аутентификация;

• управление доступом;

• конфиденциальность данных;

• целостность данных:

• невозможность отказаться от совершенных действий.

Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В «Европейских критериях» таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги» с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.

Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Его описание основано на концепции «ролей», соответствующих видам деятельности пользователей, и предоставлении доступа к определенным объектам только посредством доверенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выполнение объектов.

Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно. например, для систем управления технологическими процессами. В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компонента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное время реакции системы на внешние события.

Класс F-DI ориентирован на распределенные системы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информации. Знание алгоритма обнаружения искажений не должно позволять злоумышленнику производить нелегальную модификацию передаваемых данных. Должны обнаруживаться попытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации. Информация по каналам связи должна передаваться в зашифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.

Класс F-DX предъявляет повышенные требования и к целостности и к конфиденциальности информации. Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика. Должен быть ограничен доступ к ранее переданной информации, которая, в принципе может способствовать проведению криптоанализа.

Критерии адекватности

«Европейские критерии» уделяют адекватности средств защиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось адекватность складывается из двух компонентов – эффективности и корректности работы средств защиты. Для оценки степени адекватности используются следующие критерии (рисунок 2).

Рисунок 2. Критерии адекватности

«Европейские критерии» определяют семь уровней адекватности – от Е0 до Е6 (в порядке её возрастания). Уровень Е0 обозначает минимальную адекватность (аналог уровня D «Оранжевой книги»). При проверке адекватности анализируется весь жизненный цикл системы – от начальной фазы проектирования до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.

Степень безопасности системы определяется самым слабым из критически важных механизмов защиты. В «Европейских критериях» определены три уровня безопасности – базовый, средний и высокий. Безопасность считается базовой, если средства защиты способны противостоять отдельным случайным атакам. Безопасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями. Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией. набор возможностей и ресурсов которого выходит за рамки разумного.

Выводы: «Европейские критерии безопасности информационных технологий», появившиеся вслед за «Оранжевой книгой», оказали существенное влияние на стандарты безопасности и методику сертификации.

Главное достижение этого документа – введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. Как уже упоминалось, «Европейские критерии» придают адекватности средств защиты даже большее значение, чем их функциональности. Этот подход используется во многих появившихся позднее стандартах информационной безопасности. Необходимо отметить, что «Европейские критерии» тесно связаны с «Оранжевой книгой», что делает их не вполне самостоятельным документом. На первый взгляд довольно странным выглядит тот факт, что «Европейские критерии» признают возможность наличия недостатков в сертифицированных системах (критерий возможности использования недостатков защиты), однако на самом деле это свидетельствует о трезвом взгляде на существующее положение и признании того очевидного факта, что реальные системы еще весьма несовершенны и далеки от идеала.

«Европейские критерии» безопасности информационных технологий, наряду с «Оранжевой книгой» легли в основу многих стандартов безопасности компьютерных систем.

Лекция 4. Организационно-правовые аспекты деятельности службы безопасности предприятия

Учебные вопросы:

1. Создание концепции зашиты.

2. Правовые основы деятельности Службы безопасности.

3. Функции, задачи и особенности деятельности Службы безопасности Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах.

Введение

Обеспечение комплексной защиты объектов является индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты (стадии разработки, внедрения, эксплуатации), и рядом других обстоятельств. В предыдущих занятиях на основе анализа современного состояния проблемы защиты были сформулированы основные принципы защиты хозяйствующих субъектов. Необходимо обобщить их на концептуальном уровне для того, чтобы определить общую структуру службы безопасности (СБ), которая в конечном счете и создает СЗ. Поэтому в данной главе изложена концептуальная сторона проблемы обеспечения безопасной деятельности коммерческих предприятий и фирм на примере обеспечения безопасности банка.

Вопрос. 1. Создание концепции зашиты

Во всех своих действиях и делах любое предприятие подчинено одному общему принципу – выживай. Наградой за действия, способствующие выживанию, является стабилизация или увеличение прибыли, наказанием за разрушительные действия (внутренние или внешние) становится уменьшение прибыли или прекращение коммерческой деятельности банка.

Выживание любого объекта защиты зависит от двух составляющих:

1) экономической деятельности;

2) экономической безопасности.

Оптимальным решением любой проблемы, стоящей перед объектом защиты, в первою очередь банком, является то, которое приносит максимальную пользу обеим составляющим. Что могло бы служите оптимальной характеристикой выживания различных банков? Они должны иметь различные фундаментальные основы, которые были бы неодинаковы у разных банков, так же, как одна окружающая среда отличается от другой. Однако в одной среде существует некоторое количество банков. Поэтому между ними существует борьба за выживание – конкуренция. Аналогией вышесказанному является экологический "закон Гаузе", формулировка которого следующая: никакие два вида, имеющие сходные экологические потребности, не могут в течение длительного времени сосуществовать в одном и в том же местообитании. Если два вида идентичны (или если один представитель одного вида идентичен представителям другого вида по нескольким характеристикам), то ни одна экосистема, в которую входят оба эти вида, не может быть устойчивой.

Таким образом, деятельность СБ направлена на поддержание выживания банка путем сохранения или получения максимальной прибыли за счет минимизации ущерба от внешних и внутренних разрушительных воздействий. Это может достигаться только при активном противодействии внешним и внутренним угрозам безопасности, т. е. формированию внешней и внутренней благоприятной атмосферы безопасности коммерческой деятельности в условиях конкуренции.

Прежде чем приступить к созданию СЗ, необходимо определить объекты защиты, чье уничтожение, модификация или несанкционированное использование может привести к уменьшению прибыли. Определив объекты защиты, следует выявить среды их существования и возможные формы. Данный анализ позволяет определить множество угроз безопасности защищаемых объектов. Зная возможные угрозы, можно предположить частоту данных угроз, а затем выбрать адекватные средства и методы защиты. Данный алгоритм показан на рис 1.

Рис. 1. Подход к созданию СБ

Предложенный алгоритм обусловлен тем, что в подавляющем числе случаев в процессе защиты присутствуют два субъекта: нападающий и обороняющийся, причем второй находится в состоянии неопределенности о возможных действиях первого в большей степени, т. к. он не является инициирующей стороной. Кроме того, процесс защиты еще более осложняется наличием «человеческого фактора» с обеих сторон. Конечной целью создания СЗ является разработка защищенных технологий, обеспечивающих заданный уровень защиты при минимальной стоимости средств и методов защиты для всех функциональных подразделений объекта защиты.

Проведем оценку угроз безопасности.

Для того, чтобы риск деятельности банка из-за внешней и внутренней обстановки был бы минимальным, необходимо выполнить оценку степени возможных преднамеренных и непреднамеренных угроз, которая должна производиться из учета следующих факторов:

1) возможного ущерба, вызванного действием угрозы;

2) использования результатов отечественной и мировой статистики;

3) внешней и внутренней обстановки;

4) результатами собственной статистики. Определенная объективность в оценке степени угроз может быть достигнута путем детального анализа функционирования банка и использования независимых экспертных оценок экспертов, специализированных государственных учреждений (предприятий) или частных экспертных фирм. Существенным моментом является международная практика. Так, например, западноевропейские фирмы-производители оборудования для банковских СЗ придерживаются следующих критериев оценки угроз, согласно которым для сейфовых комнат-хранилищ ценностей и компьютерной информации определены следующие приоритеты:

– защита от чрезвычайных обстоятельств (пожары, аварии, стихийные бедствия, терроризм и т. п.);

– несанкционированное проникновение в сейфовую комнату (кража ценностей или информации).

Однако для операционных залов распределение критериев другое:

– защита от несанкционированной записи или считывания информации;

– защита от чрезвычайных обстоятельств.

Данный подход позволяет дифференцировано и оптимально подойти к распределению ресурса, выделенного для СЗ.

В основе разработки различных СЗ и организации ее функционирования лежит принцип создания замкнутых, последовательных, начинающихся за пределами контролируемой зоны и концентрически стягивающихся к особо важным выделенным помещениям рубежей (рис. 2.).

Рис. 2 Рубежная модель СЗИ (в скобках указаны рубежи защиты)

На каждом рубеже угрозы нарушению безопасности должны быть обнаружены и по возможности ликвидированы, а в случае невозможности ликвидации, их распространению должны препятствовать последующие рубежи. Основу планирования и оборудования контролируемых зон (организованных рубежами) составляют принципы равномощности и комплексности.

Использование рубежной СЗ обусловлено тем, что она позволяет обеспечить безопасность: при наличии широкого спектра разнородных угроз (от терроризма до изощренных попыток проникновения в вычислительную систему банка); при использовании различных технологий обработки информации путем глобального контроля; за счет оптимального распределения ресурсов СЗ с учетом приоритета угрозы.

Следует отметить, что чем сложнее защита каждого рубежа, тем больше времени потребуется ЗЛ для его преодоления и тем вероятнее его обнаружение. Из этого следует, что защита каждого рубежа должна взаимно дополнять друг друга и эффективность всей СЗ будет оцениваться как минимальное время, которое ЗЛ должен затратить на преодоление всех ее рубежей. За это время (безопасное время) он должен быть обнаружен и обезопасен сотрудниками СБ.

Ранее было показано, что при наличии преднамеренных угроз их источником в конечном счете является человек. Нарушение безопасности коммерческой деятельности банка зависит от целей, возможностей и уровня подготовки ЗЛ. Поэтому классифицировать ЗЛ можно исходя из:

– неопределенности процесса защиты, вызванной наличием человеческого фактора;

– рубежной СЗ;

– возможности ЗЛ повлиять на коммерческую деятельность банка.

При сочетании этих принципов возможна следующая классификация ЗЛ (см. рис. 2. и рис. 3.):

1) ЗЛ находится за пределами контролируемой зоны;

2) ЗЛ находится в пределах контролируемой зоны, но без доступа в выделенные помещения;

3) ЗЛ имеет доступ в выделенные помещения и работает в них;

4) ЗЛ – сотрудник банка, имеет доступ в выделенные помещения и работает в них;

5) ЗЛ – сотрудник СБ.

Резюмируя, можно сказать, что, зная возможные угрозы, виды ЗЛ, можно предположить, каким образом каждый вид ЗЛ может нарушить безопасность объектов защиты на том или ином ее рубеже. Это позволяет дифференцировано подходить к комплексу средств и методов защиты, определяя необходимые мероприятия и средства защиты применительно для каждого вида ЗЛ.