Зміст
Введення
1. Основні поняття і методи оцінки безпеки інформаційних систем
2. "Помаранчева книга" Національного центру захисту комп'ютерів США (TCSEC)
2.1 Концепція безпеки системи захисту
2.2 Гарантованість системи захисту
3. Гармонізовані критерії Європейських країн (ITSEC)
4. Концепція захисту від НСД Держкомісії при Президентові РФ
5. Рекомендації X.800
6. Проектування системи захисту даних
Висновок
Список літератури
Введення
Інтерес до питань безпеки інформаційних систем останнім часом виріс, що пов'язують із зростанням ролі інформаційних ресурсів у конкурентній боротьбі, розширенням використання мереж, а, отже, і можливостей несанкціонованого доступу до збереженої і переданої інформації. Розвиток засобів, методів і форм автоматизації процесів зберігання і обробки інформації і масове застосування персональних комп'ютерів роблять інформацію набагато більш уразливою. Інформація, що циркулює в них, може бути незаконно змінена, викрадена або знищена.
Питання розробки способів і методів захисту даних в інформаційній системі є лише частиною проблеми проектування захисту системи і в даний час отримали велику актуальність. Цим питанням присвячено багато робіт, але найбільш повно і системно вони викладені в роботах Титоренко Г.А., Гайкович В., Першина А. і Левіна В.К.
Мета роботи - розкрити поняття безпеки інформаційних систем.
Відповідно до наміченої мети основними завдання будуть: визначення основних понять, вивчення теоретичних матеріалів з обраної теми і вироблення рекомендацій з проектування системи захисту даних.
1. Основні поняття і методи оцінки безпеки інформаційних систем
Щоб розробити систему захисту, необхідно, перш за все, визначити, що таке "загроза безпеці інформації", виявити можливі канали витоку інформації та шляхи несанкціонованого доступу до захищуваних даними. B літературі запропоновані різні визначення загрози в залежності від ee специфіки, середовища прояву, результату її впливу, принесеного збитку від неї і т. д. Так в роботі [2:32] під загрозою розуміється цілеспрямована дія, що підвищує уразливість нaкaплівaeмoй, xpaнімoй і oбpaбaтивaeмoй в системі інфopмaціі і призводить до її випадковому або навмисному зміни або знищення.
У роботі [5:67] пропонується під "загрозою безпеки інформації" розуміти "дія або подія, що може призвести до руйнування, спотворення чи несанкціонованого використання інформаційних ресурсів, включаючи збережену, передану і оброблювану інформацію, а також програмні і оброблювані кошти".
Під "несанкціонованим доступом" розуміється порушення встановлених правил розмежування доступу, що послідувало в результаті випадкових чи навмисних дій користувачів або інших суб'єктів системи розмежування, що є складовою частиною системи захисту інформації. З точки зору захисту інформації несанкціонований доступ може мати такі наслідки: витік оброблюваної конфіденційної інформації, а також її спотворення або руйнування в результаті навмисного руйнування працездатності системи.
Під "каналом несанкціонованого доступу" до інформації розуміється послідовність дій осіб та виконуваних ними технологічних процедур, які або виконуються несанкціоновано, або обробляються неправильно в результаті помилок персоналу або збою обладнання, що призводять до несанкціонованого доступу. Для забезпечення захисту даних, що зберігаються використовується кілька методів та механізмів їх реалізації. У літературі виділяють наступні способи захисту:
• фізичні (перешкода);
• законодавчі;
• управління доступом;
• криптографічне закриття.
Фізичні способи захисту засновані на створенні фізичних перешкод для зловмисника, перегороджують йому шлях до інформації, що захищається (сувора система пропуску на територію і в приміщення з апаратурою або з носіями інформації). Ці способи дають захист тільки від "зовнішніх" зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення.
Законодавчі засоби захисту становлять законодавчі акти, які регламентують правила використання і обробки інформації обмеженого доступу і встановлюють міри відповідальності за порушення цих правил.
Управління доступом представляє спосіб захисту інформації шляхом регулювання доступу до всіх ресурсів системи (технічним, програмним, елементам баз даних). Управління доступом передбачає наступні функції захисту:
• ідентифікацію користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора: імені, коду, пароля і т. п.);
• аутентифікацію - впізнання (встановлення достовірності) об'єкта або суб'єкта по висунутій їм ідентифікатору;
• авторизацію - перевірку повноважень (перевірка відповідності дня тижня, часу доби, запрошуваних ресурсів і процедур встановленому регламенту);
• дозвіл і створення умов роботи в межах встановленого регламенту;
• реєстрацію (протоколювання) звернень до ресурсів, що захищаються;
• реагування (сигналізація, відключення, затримка робіт, відмова у запиті) при спробах несанкціонованих дій.
Для реалізації заходів безпеки використовуються різні способи шифрування (криптографії), суть яких полягає в тому, що відомості, що надсилаються на зберігання, або повідомлення, готові для передачі, зашифровуються і тим самим перетворюються в шифрограму або закритий текст. Санкціонований користувач отримує дані або повідомлення, дешифрує їх або розкриває за допомогою зворотного перетворення криптограми, в результаті чого виходить вихідний відкритий текст
Основні поняття, вимоги, методи і засоби проектування та оцінки системи інформаційної безпеки для інформаційних систем (ІС) відображені в наступних основних документах:
• "Помаранчева книга" Національного центру захисту комп'ютерів
США (TCSEC);
• "Гармонізовані критерії Європейських країн (ITSEC)";
• Рекомендації X.800;
• Концепція захисту від НСД Держкомісії при Президентові РФ.
Зупинимося на короткому розгляді складу основних понять і підходів до проектування та оцінки системи захисту інформації в ІС, викладених у цих документах.
2. "Помаранчева книга" Національного центру захисту комп'ютерів США (TCSEC)
"Помаранчева книга" - це назва документа, який був вперше опублікований в серпні 1983 р. в Міністерстві оборони США. У цьому документі дається пояснення поняття "безпечної системи", яка "керує за допомогою відповідних засобів доступом до інформації так, що тільки належним чином авторизовані особи або процеси, що діють від їхнього імені, отримують право читати, писати, створювати і видаляти інформацію". Очевидно, однак, що абсолютно безпечних систем не існує, і мова йде не про безпечні, а про надійних системах.
У "Помаранчевої книзі" надійна система визначається як "система, що використовує достатні апаратні і програмні засоби, щоб забезпечити одночасну обробку інформації різного ступеня секретності групою користувачів без порушення прав доступу". Ступінь довіри, або надійність проектованої або використовуваної системи захисту або її компонентів, оцінюється за двома основними критеріями:
1) концепція безпечний;
2) гарантованість.
2.1 Концепція безпеки системи захисту
Концепція безпеки розробляється системи - "це набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила визначають, у яких випадках користувач має право оперувати з певними наборами даних. Чим надійніше система, тим суворіше і різноманітніше повинна бути концепція безпеки. Залежно від сформульованої концепції можна вибирати конкретні механізми, що забезпечують безпеку системи.
Концепція безпеки - це активний компонент захисту, що включає в себе аналіз можливих загроз і вибір заходів протидії "[2:15].
Концепція безпеки розробляється системи відповідно до "Помаранчевої книзі" повинна включати в себе наступні елементи:
• довільне керування доступом;
• безпека повторного використання об'єктів;
• мітки безпеки;
• примусове управління доступом.
Розглянемо зміст перерахованих елементів.
Довільне керування доступом - це метод обмеження доступу до об'єктів, заснований на обліку особистості суб'єкта або групи, в яку суб'єкт входить. Довільність управління полягає в тому, що деякий особа (звичайно власник об'єкта) може на власний розсуд давати іншим суб'єктам господарювання чи відбирати у них права доступу до об'єкта.
Головне достоїнство довільного керування доступом - гнучкість, головні недоліки - розосередженість управління і складність централізованого контролю, а також відірваність прав доступу від даних, що дозволяє копіювати секретну інформацію в загальнодоступні файли.
Безпека повторного використання об'єктів - найважливіше на практиці додаток засобів управління доступом, що охороняє від випадкового або навмисного вилучення секретної інформації з "сміття". Безпека повторного використання повинна гарантуватися для областей оперативної пам'яті (зокрема, для буферів з образами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.
Мітки безпеки асоціюються з суб'єктами і об'єктами для реалізації примусового управління доступом.
Мітка суб'єкта описує його благонадійність, мітка об'єкта - ступінь закритості міститься в ньому інформації. Згідно з "Помаранчевої книзі" мітки безпеки складаються з двох частин - рівня секретності і списку категорій.
Головна проблема, яку необхідно вирішувати у зв'язку з мітками, - це забезпечення їх цілісності. По-перше, не повинно бути непозначених суб'єктів і об'єктів, інакше в меточной безпеки з'являться легко використовувані проломи. По-друге, при будь-яких операціях з даними мітки повинні залишатися правильними.
Одним із засобів забезпечення цілісності міток безпеки є поділ пристроїв на багаторівневі і однорівневі. На багаторівневих пристроях може зберігатися інформація різного рівня секретності (точніше, що лежить в певному діапазоні рівнів). Однорівневе пристрій можна розглядати як вироджений випадок багаторівневого, коли допустимий діапазон складається з одного рівня. Знаючи рівень пристрою, система може вирішити, чи припустимо записувати на нього інформацію з певною міткою.
Примусове управління доступом грунтується на зіставленні міток безпеки суб'єкта та об'єкта. Цей спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб'єктів (навіть системних адміністраторів). Примусове управління доступом реалізовано в багатьох варіантах операційних систем і СУБД, що відрізняються підвищеними заходами безпеки.
Якщо розуміти систему безпеки вузько, тобто як правила розмежування доступу, то механізм підзвітності є доповненням подібної системи. Мета підзвітності - у кожен момент часу знати, хто працює в системі і що він робить. Засоби підзвітності діляться на три категорії:
• ідентифікація та аутентифікація (перевірка дійсності);
• надання надійного шляху;
• аналіз реєстраційної інформації (аудит).
2.2 Гарантованість системи захисту
Гарантованість - "міра довіри, яка може бути надана архітектурі та реалізації системи. Гарантованість може виникати як з тестування, так і з перевірки (формальної чи ні) загального задуму і виконання системи в цілому та її компонентів.
Гарантованість показує, наскільки коректні механізми, що відповідають за проведення в життя обраної концепції безпеки.
Гарантованість можна вважати пасивним компонентом захисту, що наглядає за самими захисниками "[5:69].
Гарантованість - це міра впевненості, з якою можна стверджувати, що для проведення в життя сформульованої концепції безпеки обраний відповідний набір засобів і що кожен з цих коштів правильно виконує відведену йому роль. У "Помаранчевої книзі" розглядаються два види гарантованості - операційна і технологічна. Операційна гарантованість відноситься до архітектурних і реалізаційними аспектів системи, в той час як технологічна - до методів побудови і супроводу.
Операційна гарантованість - це спосіб переконатися в тому, що архітектура системи та її реалізація дійсно проводять в життя обрану концепцію безпеки і включає в себе перевірку наступних елементів:
• архітектури системи;
• цілісності системи;
• аналізу таємних каналів передачі інформації;
• надійного адміністрування;
• надійного відновлення після збоїв;
• операційної гарантованості.
Архітектура системи повинна сприяти реалізації заходів безпеки або прямо підтримувати їх.
Цілісність системи в даному контексті означає, що апаратні і програмні компоненти надійної обчислювальної бази працюють належним чином і що є апаратне і програмне забезпечення для періодичної перевірки цілісності.
Аналіз таємних каналів передачі інформації - тема, специфічна для режимних систем, коли головне - забезпечити конфіденційність інформації. Таємним називається канал передачі інформації, не призначений для звичайного використання.
Надійне адміністрування в трактуванні "Помаранчевої книги" означає, що повинні бути логічно виділені три ролі - системного адміністратора, системного оператора та адміністратора безпеки.
Надійне відновлення після збоїв - метод забезпечення гарантованості, при якому повинна бути збережена цілісність інформації і, зокрема, цілісність міток безпеки.
Технологічна гарантованість охоплює весь життєвий цикл системи, тобто етапи проектування, реалізації, тестування, впровадження та супроводу. Усі перераховані дії повинні виконуватися відповідно до жорстких стандартів, щоб убезпечитися від витоку інформації і нелегальних "закладок".
Критерії, викладені в "Помаранчевої книзі", дозволили фахівцям ранжувати інформаційні системи захисту інформації за ступенем надійності. У цьому документі визначається чотири рівня безпеки (надійності) - D, C, B і A. Рівень D призначений для систем, визнаних незадовільними. В даний час він містить дві підсистеми управління доступом. У міру переходу від рівня C до A до надійності систем пред'являються все більш жорсткі вимоги. Рівні C і B поділяються на класи (C1, C2, B1, B2, B3) з поступовим зростанням надійності. Таким чином, всього є шість класів безпеки - C1, C2, B1, B2, B3, A1. Щоб система в результаті процедури сертифікації могла бути віднесена до певного класу, її концепція безпеки і гарантованість повинні задовольняти розробленій системі вимог, відповідної цього класу.
3. Гармонізовані критерії Європейських країн (ITSEC)
Слідуючи по шляху інтеграції, Європейські країни взяли погоджені (гармонізовані) критерії оцінки безпеки інформаційних технологій (Information Technology Security Evaluation Criteria, ITSEC) [5:7], опублікованих у червні 1991 р. від імені відповідних органів чотирьох країн - Франції, Німеччини, Нідерландів і Великобританії.
Принципово важливою рисою європейських критеріїв є відсутність апріорних вимог до умов, в яких повинна працювати інформаційна система. Організація, яка запитує сертифікаційні послуги, формулює мету оцінки, тобто описує умови, в яких повинна працювати система, можливі загрози її безпеки і надані нею захисні функції. Завдання органу сертифікації - оцінити, наскільки повно досягаються поставлені цілі розробленими функціями, тобто наскільки коректні і ефективні архітектура і реалізація механізмів безпеки в описаних розробником умовах.
Європейські критерії розглядають такі основні поняття становлять базу інформаційної безпеки:
• конфіденційність, тобто захист від несанкціонованого отримання інформації;
• цілісність, тобто захист від несанкціонованого зміни інформації;
• доступність, тобто захист від несанкціонованого утримання інформації і ресурсів.
Критерії рекомендують виділити в специфікаціях реалізованих функцій забезпечення безпеки більш розширений, у порівнянні з "Помаранчевої книгою", склад розділів або класів функцій.
• Ідентифікація та автентифікація.
• Управління доступом.
• Підзвітність.
• Аудит.
• Повторне використання об'єктів.
• Точність інформації.
• Надійність обслуговування.
• Обмін даними.
Щоб полегшити формулювання мети оцінки, європейські критерії містять в якості додатку опис десяти примірних класів функціональності, типових для урядових і комерційних систем.
Крім того, в умовах визначено три рівні потужності механізмів захисту - базовий, середній і високий.
4. Концепція захисту від НСД Держкомісії при Президентові РФ
У 1992 р. Гостехкомиссией при Президентові РФ опублікувала п'ять керівних документів, присвячених проблемі захисту від несанкціонованого доступу (НСД) до інформації [6:78]. Ідейною основою набору керівних документів є "Концепція захисту СВТ і АС від НСД до інформації". Концепція "викладає систему поглядів, основних принципів, які закладаються в основу проблеми захисту інформації від несанкціонованого доступу (НСД), що є частиною загальної проблеми безпеки інформації".
Виділяють різні способи замаху на інформаційну безпеку - радіотехнічні, акустичні, програмні і т.п.
Серед них НСД виділяється як доступ до інформації, що порушує встановлені правила розмежування доступу, з використанням штатних засобів, що надаються засобами обчислювальної техніки (ЗОТ) або автоматизованою системою (АС). Під штатними засобами розуміється сукупність програмного, мікропрограмного і технічного забезпечення СВТ або АС.
У Концепції формулюються такі основні принципи захисту від НСД до інформації:
• захист АС забезпечується комплексом програмно-технічних засобів і підтримуючих їх організаційних заходів;
• захист АС повинна забезпечуватися на всіх технологічних етапах обробки інформації і в усіх режимах функціонування, у тому числі при проведенні ремонтних і регламентних робіт;
• програмно-технічні засоби захисту не повинні суттєво погіршувати основні функціональні характеристики АС (надійність, швидкодію, можливість зміни конфігурації АС);
• невід'ємною частиною робіт по захисту є оцінка ефективності засобів захисту, що здійснюється за методикою, що враховує всю сукупність технічних характеристик оцінюваного об'єкта, включаючи технічні рішення і практичну реалізацію засобів захисту;
• захист АС повинна передбачати контроль ефективності засобів захисту від несанкціонованого доступу. Цей контроль може бути або періодичним, або ініціюватися в міру необхідності користувачем АС або контролюючими органами.
Функції системи розмежування доступу і забезпечують коштів, пропоновані в Концепції, за суттю близькі до аналогічних положень "Помаранчевої книги".
У запропонованій Гостехкомиссией при Президентові РФ класифікації автоматизованих систем (АС) за рівнем захищеності від несанкціонованого доступу до інформації встановлюється дев'ять класів захищеності АС від НСД до інформації. Кожен клас характеризується певною мінімальної сукупністю вимог щодо захисту. Класи поділяються на три групи, що відрізняються особливостями обробки інформації в АС. У межах кожної групи дотримується ієрархія вимог по захисту в залежності від цінності (конфіденційності) інформації і, отже, ієрархія класів захищеності АС.
Третя група класифікує АС, в яких працює один користувач, допущений до всієї інформації АС, розміщеної на носіях одного рівня конфіденційності. Група містить два класи - 3Б і 3А.
Друга група класифікує АС, в яких користувачі мають однакові права доступу (повноваження) до всієї інформації АС, оброблюваної і (або) зберігається на носіях різного рівня конфіденційності. Група містить два класи - 2Б і 2А.
Перша група класифікує багатокористувацькі АС, в яких одночасно обробляється та (або) зберігається інформація різних рівнів конфіденційності і не всі користувачі мають право доступу до всієї інформації АС. Група містить п'ять класів - 1Д, 1Г, 1В, 1Б і 1А.
5. Рекомендації X.800
"Помаранчева книга" Міністерства оборони США і Керівні документи Гостехкомиссии при Президентові РФ створювалися в розрахунку на централізовані конфігурації, основу яких складають великі машини. Розподілена організація сучасних інформаційних систем вимагає внесення суттєвих змін і доповнень як у політику безпеки, так і в способи впровадження її в життя. З'явилися нові загрози, для протидії яким потрібні нові функції і механізми захисту. Основоположним документом у сфері захисту розподілених систем стали рекомендації X.800 [5:95]. У цьому документі перераховані основні сервіси (функції) безпеки, характерні для розподілених систем, і ролі, які вони можуть грати. Крім того, тут вказано перелік основних механізмів, за допомогою яких можна реалізувати ці сервіси.
6. Проектування системи захисту даних
Для розробки системи захисту інформації проектувальникам необхідно виконати наступні види робіт:
• на передпроектної стадії визначити особливості інформації, що зберігається, виявити види загроз і витоку інформації та оформити ТЗ на розробку системи;
• на стадії проектування вибрати концепцію і принципи побудови системи захисту і розробити функціональну структуру системи захисту;
• вибрати механізми - методи захисту, що реалізують вибрані функції;
• розробити програмне, інформаційне та технологічне і організаційне забезпечення системи захисту;
• провести налагодження розробленої системи;
• розробити пакет технологічної документації;
• здійснити впровадження системи;
• проводити комплекс робіт з експлуатації та адміністрування системи захисту.
Створення базової системи захисту інформації в ІС має грунтуватися на головних принципах:
• Комплексний підхід до побудови системи захисту, що означає оптимальне поєднання програмних, апаратних засобів та організаційних заходів захисту.
• Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедурам обробки.
• Повнота контролю і реєстрація спроб несанкціонованого доступу.
• Забезпечення надійності системи захисту, тобто неможливість зниження рівня надійності при виникненні в системі збоїв, відмов, навмисних дій порушника або ненавмисних помилок користувачів і обслуговуючого персоналу.
• "Прозорість" системи захисту інформації для загального, прикладного програмного забезпечення і користувачів інформаційною системою.
Технологічний процес функціонування системи захисту інформації від несанкціонованого доступу, як комплексу програмно-технічних засобів і організаційних (процедурних) рішень, передбачає виконання наступних процедур:
• облік, зберігання і видачу користувачам інформаційних носіїв, паролів, ключів;
• ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу);
• оперативний контроль функціонування систем захисту секретної інформації;
• контроль відповідності загальносистемного програмного середовища еталону;
• контроль ходу технологічного процесу обробки інформації шляхом реєстрації аналізу дій користувачів.
Висновок
Вибір засобів захисту інформації в інформаційній системі - складна оптимізаційна задача, при розв'язанні якої потрібно враховувати можливості різноманітних загроз інформації, вартість реалізації різних способів захисту і наявність різних зацікавлених сторін. У загальному випадку для знаходження оптимального варіанту вирішення такого завдання необхідно застосування теорії ігор, зокрема теорії біматрічних ігор з ненульовою сумою, що дозволяють вибрати таку сукупність засобів захисту, яка забезпечить максимізацію міри безпеки інформації при даних витратах або мінімізацію витрат при заданому рівні безпеки інформації.
Після вибору методів і механізмів необхідно здійснити розробку програмного забезпечення для системи захисту. Програмні засоби, що реалізують вибрані механізми захисту, повинні бути піддані комплексному тестуванню. Слід зазначити, що без відповідної організаційної підтримки програмно-технічних засобів захисту інформації від несанкціонованого доступу і точного виконання передбачених проектною документацією механізмів і процедур не можна вирішити проблему забезпечення безпеки інформації, що зберігається в інформаційній системі.
Завдання, сформульовані у вступі, вирішені, мета роботи досягнута.
Список літератури
Автоматизація управління підприємством / Баронів В.В., Калянов Г.Н., Попов Ю.Н, Рибников А.І., Тітовський І. М. - М.: ИНФРА-М, 2000.
Атре Ш. Структурний підхід до організації баз даних. - М.: «Фінанси та статистика», 2003.
Благодатскіх В.А., Енгибарян М.А., Ковалевська Є.В. Економіка, розробка і використання програмного забезпечення ЕОМ. - М.: Фінанси і статистика, 1997.
Вендров А.М. CASE - технології. Сучасні методи і засоби проектування інформаційних систем. - М.: Фінанси і статистика, 1998 .- 176 с.
Гайкович В., Першин О. Безпека електронних банківських систем. - М.: "Єдина Європа", 1994.
Гост 19.001-77. Єдина система програмної документації. Загальні положення .- М.: Видавництво стандартів, 1994.
Гостехкомиссией Росії. Керівний документ. Концепція захисту СВТ і АС від НСД до інформації. - М.: Воениздат, 1992.
Левін В.К. Захист інформації в інформаційно-обчислювальних
системах і мережах. / Програмування, 2004 .- № 5 - 5-16 с.
Титоренко Г.А. - Автоматизовані інформаційні технології в економіці. Підручник .- М.: ЮНИТИ, 2001.