Безопасность информационных технологий

* участие человека в управлении процессом требует от него слишком высокой квалификации;

* процесс, которым надо управлять, переживает критическую или аварийную ситуацию.

Автоматизированная информационная технология предполагает существование комплекса соответствующих технических средств, реализующих информационный процесс, и системы управления этим комплексом технических средств (как правило, это программные средства и организационно-методическое обеспечение, увязывающее действия персонала и технических средств в единый технологический процесс). Поскольку существенную часть технических средств для реализации информационных технологий занимают средства компьютерной техники, то часто под информационными технологиями, особенно под новыми информационными технологиями, понимаются компьютерные информационные технологии, хотя понятие «информационная технология» относится ко всякому преобразованию информации, в том числе и на бумажной основе.

 

Глава 2. Основополагающие документы основных понятий, методов, требований системы информационной безопасности

 2.1 "Оранжевая книга" Национального центра защиты компьютеров США (TCSEC)

   "Оранжевая книга" - это название документа, который был впервые опубликован в августе 1983 г. в Министерстве обороны США⁷. В этом документе дается пояснение понятия "безопасной системы", которая "управляет посредством соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию". Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.⁸

   В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа". Степень доверия, или надежность проектируемой или используемой системы защиты или ее компонентов, оценивается по двум основным критериям:

1) концепция безопасносности;

2) гарантированность.

Концепция безопасности системы защиты

   Концепция безопасности разрабатываемой системы - "это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

   Концепция безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия".

Концепция безопасности разрабатываемой  системы согласно "Оранжевой книге" должна включать в себя следующие  элементы:

* произвольное управление доступом;

* безопасность повторного использования  объектов;

* метки безопасности;

* принудительное управление доступом.

   Рассмотрим содержание перечисленных элементов.

     Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

   Главное достоинство произвольного управления доступом - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования  объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного  извлечения секретной информации из "мусора".

   Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

   Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом.

   Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге" метки безопасности состоят из двух частей - уровня секретности и списка категорий.

   Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными.

   Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой.⁹

   Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.

   Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является дополнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

*идентификация и аутентификация (проверка подлинности);

* предоставление надежного пути;

* анализ регистрационной информации (аудит).

Гарантированность системы защиты.

  Гарантированность - "мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной или нет) общего замысла и исполнения системы в целом и ее компонентов.

   Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выбранной концепции безопасности.

Гарантированность можно считать  пассивным компонентом защиты, надзирающим за самими защитниками".

   Гарантированность - это мера уверенности, с которой можно утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств и что каждое из этих средств правильно исполняет отведенную ему роль. В "Оранжевой книге" рассматриваются два вида гарантированности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая - к методам построения и сопровождения.

   Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и включает в себя проверку следующих элементов:

* архитектуры системы;

* целостности системы;

* анализа тайных каналов передачи  информации;

* надежного администрирования;

* надежного восстановления после  сбоев;

* операционной гарантированности.

   Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их.

   Целостность системы в данном контексте означает, что аппаратные и программные компоненты надежной вычислительной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки целостности.

   Анализ тайных каналов передачи информации - тема, специфичная для режимных систем, когда главное - обеспечить конфиденциальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования.

   Надежное администрирование в трактовке "Оранжевой книги" означает, что должны быть логически выделены три роли - системного администратора, системного оператора и администратора безопасности.

Надежное восстановление после  сбоев - метод обеспечения гарантированности, при котором должна быть сохранена  целостность информации и, в частности, целостность меток безопасности.

   Технологическая гарантированность охватывает весь жизненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы обезопаситься от утечки информации и нелегальных "закладок".

   Критерии, изложенные в "Оранжевой книге", позволили специалистам ранжировать информационные системы защиты информации по степени надежности. В этом документе определяется четыре уровня безопасности (надежности) - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления доступом. По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1,C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3,A1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее концепция безопасности и гарантированность должны удовлетворять разработанной системе требований, соответствующей этому классу.

Возможности

Наличие доверенной среды для аутентификации, контроля целостности и настройки СЗИ вне защищаемой операционной системы. Усиление аутентификации с помощью так называемого "пароля на загрузку". В этом случае доверенная среда СЗИ зашифрована на данном пароле и без него загрузка любого пользователя невозможна.

Многоуровневый контроль целостности  информационных объектов вычислительной системы. Контроль целостности объектов файловой системы и реестра до загрузки защищаемой ОС, в том числе  на прозрачно шифрованных дисках. Возможность настройки реакции  СЗИ на нарушение контроля целостности.

Контроль доступа к устройствам, файлам и папкам;

Управление печатью, автоматическая маркировка и учет документов. Возможность  создания своего шаблона для маркировки печатаемых документов.

Прозрачное кодирование (шифрование) жёстких дисков, съемных носителей и виртуальных дисков. Экспорт/импорт ключей кодирования на электронный ключ или внешний носитель.

Достоверное уничтожение информационных объектов. Возможность гибкой настройки  метода затирания (выбор байта заполнения- определённое значение, случайный; количество проходов; настройка затирания с учётом особенностей файловой системы.)

Регистрация действий пользователя и  событий в системных журналах;

Идентификация и аутентификация пользователей в доверенной среде с применением электронных устройств Rutoken.

Блокировка консоли по таймауту, извлечению электронного ключа, при  загрузке защищаемой операционной системы. Разблокировка по электронному ключу  или паролю.

2.2 Гармонизированные критерии Европейских стран (ITSEC)

   Следуя по пути интеграции, Европейские страны приняли согласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованных в июне 1991 г. от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании.

   Принципиально важной чертой европейских критериев является отсутствие априорных¹⁰ требований к условиям, в которых должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функциями, т.е. насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях.

   Европейские критерии рассматривают следующие основные понятия составляющие базу информационной безопасности:

* конфиденциальность, т.е. защиту  от несанкционированного получения  информации;

* целостность, т.е. защиту от  несанкционированного изменения  информации;

* доступность, т.е. защиту от  несанкционированного удержания  информации и ресурсов.

    Критерии рекомендуют выделить в спецификациях реализуемых функций обеспечения безопасности более расширенный, по сравнению с "Оранжевой книгой", состав разделов или классов функций.