Подходы к оценке эффективности КСЗИ
Эффективность
КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В
оценке эффективности КСЗИ, в зависимости от используемых показателей и способов
их получения, можно выделить три подхода:
- классический;
- официальный;
- экспериментальный.
Классический подход
Под
классическим подходом к оценке эффективности понимается использование критериев
эффективности, полученных с помощью показателей эффективности. Значения
показателей эффективности получаются путем моделирования или вычисляются по
характеристикам реальной КС. Такой подход используется при разработке и
модернизации КСЗИ. Однако возможности классических методов комплексного
оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин.
Высокая степень неопределенности исходных данных, сложность формализации
процессов функционирования, отсутствие общепризнанных методик расчета
показателей эффективности и выбора критериев оптимальности создают значительные
трудности для применения классических методов оценки эффективности.
Официальный подход
Большую
практическую значимость имеет подход к определению эффективности КСЗИ, который
условно можно назвать официальным. Политика безопасности информационных
технологий проводится государством и должна опираться на нормативные акты. В
этих документах необходимо определить требования к защищенности информации
различных категорий конфиденциальности и важности.
Требования
могут задаваться перечнем механизмов защиты информации, которые необходимо
иметь в КС, чтобы она соответствовала определенному классу защиты. Используя
такие документы, можно оценить эффективность КСЗИ. В этом случае критерием
эффективности КСЗИ является ее класс защищенности.
Несомненным
достоинством таких классификаторов (стандартов) является простота
использования. Основным недостатком официального подхода к определению
эффективности систем зашиты, является то, что не определяется эффективность
конкретного механизма защиты, а констатируется лишь факт его наличия или
отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых
документах достаточно подробных требований к этим механизмам защиты.
Во всех
развитых странах разработаны свои стандарты защищенности компьютерных систем
критического применения. Так, министерстве обороны США используется стандарт
ТСSЕС (Department of Defence Trusted Computer System Evaluation Criteria) [42],
который известен как Оранжевая книга.
Согласно
Оранжевой книге для оценки информационных систем рассматривается четыре группы
безопасности: А, В, С, D. В некоторых случаях группы безопасности делятся
дополнительно на классы безопасности.
Группа А
(гарантированная или проверяемая защита) обеспечивает гарантированный уровень
безопасности. Методы защиты, реализованные в системе, могут быть проверены
формальными методами. В этой группе имеется только один класс - А1.
Группа В
(полномочная или полная защита) представляет полную защиту КС. В этой группе
выделены классы безопасности В1, В2 и В3.
Класс В1
(защита через грифы или метки) обеспечивается использованием в КС грифов
секретности, определяющих доступ пользователей к частям системы.
Класс В2
(структурированная защита) достигается разделением информации на защищенные и
незащищенные блоки и контролем доступа к ним пользователей.
Класс В3
(области или домены безопасности) предусматривает разделение КС на подсистемы с
различным уровнем безопасности и контролем доступа к ним пользователей.
Группа С
(избирательная защита) представляет избирательную защиту подсистем с контролем
доступа к ним пользователей. В этой группе выделены классы безопасности С1 и
С2.
Класс С1
(избирательная защита информации) предусматривает разделение в КС пользователей
и данных. Этот класс обеспечивает самый низкий уровень защиты КС.
Класс С2
(защита через управляемый или контролируемый доступ) обеспечивается раздельным
доступом пользователей к данным.
Группу D
(минимальной безопасности) составляют КС, проверенные на безопасность, но
которые не могут быть отнесены к классам А, В или С.
Организация
защиты информации в вычислительных сетях министерства обороны США
осуществляется в соответствии с требованиями руководства "The Trusted
Network Interpretation of Department of Defense Trusted Computer System
Evaluation Guidelines". Этот документ получил название Красная книга (как
и предыдущий - по цвету обложки).
Подобные
стандарты защищенности КС приняты и в других развитых странах. Так, в 1991 году
Франция, Германия, Нидерланды и Великобритания приняли согласованные
"Европейские критерии", в которых рассмотрено 7 классов безопасности
от Е0 до Е6.
В Российской
Федерации аналогичный стандарт разработан в 1992 году Государственной
технической комиссией (ГТК) при Президенте РФ. Этим стандартом является
руководящий документ ГТК "Концепция защиты средств вычислительной техники
и автоматизированных систем от НСД к информации" [14].
Устанавливается
семь классов защищенности средств вычислительной техники (СВТ) от НСД к
информации (табл. 2). Самый низкий класс - седьмой, самый высокий - первый.
Классы
подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- первая группа содержит только
один седьмой класс;
- вторая группа характеризуется
дискреционной защитой и содержит шестой и пятый классы;
- третья группа характеризуется
мандатной защитой и содержит четвертый, третий и второй классы;
- четвертая группа
характеризуется верифицированной защитой и содержит только первый класс.
Таблица 2
Показатели защищенности по классам СВТ
|
Наименование показателя
|
Класс защищенности
|
|||||
|
6
|
5
|
4
|
3
|
2
|
1
|
|
|
1.
Дискреционный принцип контроля доступа
|
+
|
+
|
+
|
=
|
+
|
=
|
|
2.
Мандатный принцип контроля доступа
|
-
|
-
|
+
|
=
|
=
|
=
|
|
3. Очистка
памяти
|
-
|
+
|
+
|
+
|
=
|
=
|
|
4.
Изоляция модулей
|
-
|
-
|
+
|
=
|
+
|
=
|
|
5.
Маркировка документов
|
-
|
-
|
+
|
=
|
=
|
=
|
|
6. Защита
ввода и вывода на отчуждаемый физический носитель информации
|
-
|
-
|
+
|
=
|
=
|
=
|
|
7.
Сопоставление пользователя с устройством
|
-
|
-
|
+
|
=
|
=
|
=
|
|
8.
Идентификация и аутентификация
|
+
|
=
|
+
|
=
|
=
|
=
|
|
9.
Гарантия проектирования
|
-
|
+
|
+
|
+
|
+
|
+
|
|
10.
Регистрация
|
-
|
+
|
+
|
+
|
=
|
=
|
|
11.
Взаимодействие пользователя с КСЗ
|
-
|
-
|
-
|
+
|
=
|
=
|
|
12.
Надежное восстановление
|
-
|
-
|
-
|
+
|
=
|
=
|
|
13.
Целостность КСЗ
|
-
|
+
|
+
|
+
|
=
|
=
|
|
14.
Контроль модификации
|
-
|
-
|
-
|
-
|
+
|
=
|
|
15.
Контроль дистрибуции
|
-
|
-
|
-
|
-
|
+
|
=
|
|
16.
Гарантии архитектуры
|
-
|
-
|
-
|
-
|
-
|
+
|
|
17.
Тестирование
|
+
|
+
|
+
|
+
|
+
|
=
|
|
18.
Руководство пользователя
|
+
|
=
|
=
|
=
|
=
|
=
|
|
19.
Руководство по КСЗ
|
+
|
+
|
=
|
+
|
+
|
=
|
|
20.
Текстовая документация
|
+
|
+
|
+
|
+
|
+
|
=
|
|
21.
Конструкторская (проектная) документация
|
+
|
+
|
+
|
+
|
+
|
+
|
Обозначения:
"-" - нет требований к данному классу; "+" - новые или
дополнительные требования; "=" - требования совпадают с требованиями
к СВТ предыдущего класса; КСЗ - комплекс средств защиты.
Седьмой
класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к
информации, но при оценке защищенность СВТ оказалась ниже уровня требований
шестого класса.
Кроме
требований к защищенности отдельных элементов СВТ, в Руководящем документе
приведены требования к защищенности автоматизированных систем (АС) [14]. В
отличие от СВТ автоматизированные системы являются функционально
ориентированными. При создании АС учитываются особенности пользовательской
информации, технология обработки, хранения и передачи информации, конкретные
модели угроз.
Устанавливается
девять классов защищенности АС от НСД к информации. Классы подразделяются на
три группы, отличающиеся особенностями обработки информации в АС. Третья группа
классифицирует АС, с которыми работает один пользователь, допущенный ко всей
информации АС, размещенной на носителях одного уровня конфиденциальности.
Группа содержит два класса - 3Б и 3А. Во вторую группу сведены АС, пользователи
которых имеют одинаковые права доступа ко всей информации АС. Группа содержит
два класса - 2Б и 2А. Первую группу составляют многопользовательские АС, в
которых пользователи имеют разные права доступа к информации. Группа включает
пять классов - 1Д, 1Г, 1В, 1Б, 1А.
Требования
ко всем девяти классам защищенности АС сведены в табл. 3.
Таблица
3 Требования к защищенности
автоматизированных систем
|
Подсистемы и требования
|
Классы
|
||||||||
|
3Б
|
3А
|
2Б
|
2А
|
1Д
|
1Г
|
1В
|
1Б
|
1А
|
|
|
1.
Подсистема управления доступом
|
|
|
|
|
|
|
|
|
|
|
1.1.
Идентификация, проверка подлинности и контроль доступа субъектов в систему
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
к
терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ
|
|
|
|
+
|
+
|
+
|
+
|
+
|
|
|
к
программам
|
|
|
|
+
|
+
|
+
|
+
|
+
|
|
|
к томам,
каталогам, файлам, записям, полям записей
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
1.2.
Управление потоками информации
|
|
|
|
+
|
|
|
+
|
+
|
+
|
|
2.
Подсистема регистрации и учета
|
|
|
|
|
|
|
|
|
|
|
2.1.
Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети)
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
выдачи
печатных (графических) выходных документов
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
запуска/завершения
программ и процессов (заданий, задач)
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
доступа
программ субъектов к защищаемым файлам, включая их создание и удаление,
передачу по линиям и каналам связи
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
доступа
программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи,
внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям
записей
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
изменения
полномочий субъектов доступа
|
|
|
|
|
|
|
+
|
+
|
+
|
|
создаваемых
защищаемых объектов доступа
|
|
|
|
+
|
|
|
+
|
+
|
+
|
|
2.2. Учет
носителей информации
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
2.3.
Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти
ЭВМ и внешних накопителей
|
|
|
|
+
|
|
+
|
+
|
+
|
+
|
|
2.4.
Сигнализация попыток нарушения защиты
|
|
|
|
|
|
|
+
|
+
|
+
|
|
3.
Криптографическая подсистема
|
|
|
|
|
|
|
|
|
|
|
3.1.
Шифрование конфиденциальной информации
|
|
|
|
+
|
|
|
|
+
|
+
|
|
3.2.
Шифрование информации, принадлежащей различным субъектам доступа (группам
субъектов) на разных ключах
|
|
|
|
|
|
|
|
|
+
|
|
3.3.
Использование аттестованных (сертифицированных) криптографических средств
|
|
|
|
+
|
|
|
|
+
|
+
|
|
4.
Подсистема обеспечения целостности
|
|
|
|
|
|
|
|
|
|
|
4.1.
Обеспечение целостности программных средств и обрабатываемой информации
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.2.
Физическая охрана средств вычислительной техники и носителей информации
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.3.
Наличие администратора (службы) защиты информации в АС
|
|
|
|
+
|
|
|
+
|
+
|
+
|
|
4.4.
Периодическое тестирование СЗИ НСД
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.5.
Наличие средств восстановления СЗИ НСД
|
|
|
+
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.6.
Использование сертифицированных средств защиты
|
|
|
|
+
|
|
|
+
|
+
|
+
|
Обозначения:
"+" - есть требования к данному классу; СЗИ НСД - система зашиты
информации от несанкционированного доступа.
Для примера
целесообразно рассмотреть подробно требования к одному из представительных
классов защищенности, а именно - к классу 1В.
В подсистеме
управления доступом автоматизированной системы должны осуществляться:
- идентификация и проверка
подлинности субъектов доступа при входе в систему по идентификатору (коду)
и паролю условно-постоянного действия длиной не менее шести
буквенно-цифровых символов;
- идентификация терминалов, ЭВМ,
узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или
адресам;
- идентификация программ, томов,
каталогов, файлов, записей, полей записей по именам;
- контроль доступа субъектов к
защищаемым ресурсам в соответствии с матрицей доступа;
- управление потоками информации
с помощью меток конфиденциальности. При этом уровень конфиденциальности
накопителей должен быть не ниже уровня конфиденциальности записываемой на
него информации.
Подсистема
регистрации и учета должна обеспечивать:
- регистрацию входа/выхода
субъектов доступа в систему из системы, либо регистрацию загрузки и
инициализации операционной системы и ее программного останова;
- регистрацию выдачи печатных
(графических) документов на "твердую" копию;
- регистрацию запуска/завершения
программ и процессов (заданий, задач), предназначенных для обработки защищаемых
файлов;
- регистрацию попыток доступа
программных средств к следующим дополнительным защищаемым объектам
доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним
устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
- регистрацию изменений
полномочий субъектов доступа и статуса объектов доступа;
- автоматический учет создаваемых
защищаемых файлов с помощью их дополнительной маркировки, используемой в
подсистеме управления доступом. Маркировка должна отражать уровень
конфиденциальности объекта;
- учет всех защищаемых носителей
информации с помощью их любой маркировки;
- очистку (обнуление,
обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних
накопителей. Очистка осуществляется путем записи последовательности 1 и 0
в любую освобождаемую область памяти, использованную для хранения
защищаемой информации;
- сигнализацию попыток нарушения
защиты.
Подсистема
обеспечения целостности предусматривает:
- обеспечение целостности
программных средств СЗИ НСД, а также неизменность программной среды.
Целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам
компонент СЗИ, а целостность программной среды обеспечивается
использованием трансляторов с языков высокого уровня и отсутствием средств
модификации объектного кода программ при обработке и (или) хранении
защищаемой информации;
- охрану СВТ (устройств и
носителей информации), что предполагает охрану территории и здания, где
размещается АС, с помощью технических средств и специального персонала, строгий
пропускной режим, специальное оборудование помещений АС;
- наличие администратора (службы)
защиты информации, ответственного за ведение, нормальное функционирование
и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и
необходимые средства оперативного контроля и воздействия на безопасность
АС;
- периодическое тестирование всех
функций СЗИ НСД с помощью специальных программ не реже одного раза в год;
- наличие средств восстановления
СЗИ НСД (ведение двух копий программных средств СЗИ НСД и их периодическое
обновление и контроль работоспособности);
- использование сертифицированных
средств защиты.
Представленный
перечень является тем минимумом требований, которым необходимо следовать, чтобы
обеспечить конфиденциальность защищаемой информации.
Стандарт
требований ТСSЕС соответствует информационным системам с применением ЭВМ общего
пользования (main frame) и мини ЭВМ. Для персональных ЭВМ (ПЭВМ) и локальных
сетей ПЭВМ требования безопасности должны быть несколько иными. Такие требования изложены [42] в стандарте The Trusted
Network Interpretation of Department of Defense Trusted Computer System
Evaluation Guidelines, получившем название Красная книга. Неофициальные названия стандартов
США Оранжевая книга и Красная книга связаны с соответствующим цветом обложек
этих документов.
Экспериментальный подход
Под
экспериментальным подходом понимается организация процесса определения
эффективности существующих КСЗИ путем попыток преодоления защитных механизмов
системы специалистами, выступающими в роли злоумышленников. Такие исследования
проводятся следующим образом. В качестве условного злоумышленника выбирается
один или несколько специалистов в области информационной борьбы наивысшей
квалификации. Составляется план проведения эксперимента. В нем определяются
очередность и материально-техническое обеспечение проведения экспериментов по
определению слабых звеньев в системе защиты. При этом могут моделироваться действия
злоумышленников, соответствующие различным моделям поведения нарушителей: от
неквалифицированного злоумышленника, не имеющего официального статуса в
исследуемой КС, до высококвалифицированного сотрудника службы безопасности.
Служба
безопасности до момента преодоления защиты "злоумышленниками" должна
ввести в КСЗИ новые механизмы защиты (изменить старые), чтобы избежать
"взлома" системы защиты.
Такой подход
к оценке эффективности позволяет получать объективные данные о возможностях
существующих КСЗИ, но требует высокой квалификации исполнителей и больших
материальных и временных затрат. Для проведения экспериментов необходимо иметь
самое современное оборудование (средства инженерно-технической разведки,
аппаратно-программные и испытательные комплексы (стенды) и т. п.)
Комментариев нет:
Отправить комментарий