Uploaded by cisco.rna

All Lec (kszi)

advertisement
I.Формування вимог до КСЗІ та її завдань
1.Головні принципи та етапи захисту від загроз. Номативно-правове забезпечення захисту
інформації
1.1 Головні принципи та етапи захисту від загроз
1.2 Номативно-правові акти України, які визначають необхідність створення КСЗІ в ІТС
2. Нормативні документи ТЗІ, які визначають порядок створення КСЗІ в ІТС
2.1 Основні нормативно-правові акти України
2.2 Нормативні документи системи технічного захисту інформації
3. Етапи створення КСЗІ. Формування вимог до КСЗІ
3.1 Прийняття рішення про створення КСЗІ
3.2 Категоріювання ІТС
3.3 Обстеження середовищ функціонування ІТС
4. Положення про службу захисту інформації в ІТС
5. Модель порушника безпеки інформації в ІТС
6. Модель загроз для інформації в ІТС
7. Формування завдань та варіанту побудови КСЗІ
Останній крок 1-го етапу «Формування вимог до КСЗІ в ІТС» складається з таких робіт:
7.1. Формування завдання на створення КСЗІ в ІТС.
7.2. Аналіз ризиків реалізації загроз для інформації в ІТС.
7.3. Вибір варіанту побудови та складу КСЗІ в ІТС.
7.4. Оформлення звіту за результатами проведеної роботи.
II. Вимоги щодо захисту інформації від НСД
8. Основні вимоги до розробки комплексу засобів захисту
9. Побудова і структура послуг безпеки інформації
10. Побудова і структура гарантій реалізації послуг безпеки
11. Вимоги до захисту інформації від НСД в АС класу «1»
12. Додаткові вимоги до захисту секретної інформації в АС класу «1»
13. Вимоги щодо захисту інформації від НСД в АС класу «2»
III. Проектування КСЗІ в ІКС
14. 2-й етап. Розробка політики безпеки інформації в ІТС
15. План захисту інформації в ІТС
16. Вибір ОС, АВПЗ і КЗЗ
17. Опис функцій і можливостей КЗЗ від НСД
17.1 Системи захисту в АС класу «1»
17.1.1 Комплекс "Рубіж-РСО"
17.1.2 Система ЛОЗА-1
17.1.3 Комплекс "ГРИФ" версії 3
17.2 Системи захисту в АС класу «2»
17.2.1 Система ЛОЗА-2
17.2.2 Комплекс "Гриф-Мережа"
17.3 Системи захисту Web-ресурсів від НСД
17.3.1 Система "Megapolis. Portal Manager"
17.3.2 Комплекс "Тайфун-Web"
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 1. Головні принципи та етапи захисту від загроз. Номативноправове забезпечення захисту інформації
План:
1 Головні принципи та етапи захисту від загроз
2 Номативно-правові акти України, які визначають необхідність створення КСЗІ в ІТС
1 Головні принципи та етапи захисту від загроз
Загальний аналіз проблем організовування захисту від будь-яких загроз дає можливість
визначити 4 головні принципи та етапи заходів:
1) організація зовнішніх рубежів безпеки з метою своєчасного виявлення загроз;
2) організація протидії загрозам та їх блокування, тобто зупинення та локалізації загроз
під час їх реалізації;
3) забезпечення нейтралізації та ліквідації загроз, а також подолання наслідків загроз, які
не вдалося блокувати;
4) попередження загроз, тобто аналіз відомих загроз та впровадження відповідних
запобіжних заходів.
Стосовно автоматизованих (комп’ютерних) систем (далі - АС) ці принципи та етапи
дають можливість також визначити 4 етапи та види захисту від загроз для електронних
інформаційних ресурсів АС, які циклічно повторюються з метою постійного оновлення та
підвищення ефективності заходів і засобів захисту.
Виявлення ► Зупинення ► Нейтралізація ► Попередження
1. Етап виявлення
На організаційному рівні – це використання заходів розвідки та дезінформації.
На інженерно-технічному рівні – це впровадження засобів ТЗІ, які поділяються на:
- активні засоби захисту: охоронна сигналізація та відеоспостереження;
- пасивні засоби захисту: закриття вікон та встановлення на них грат, закриття та
опечатування дверей, системних блоків, роз’ємів технічних засобів АС тощо;
- комплексні засоби захисту (органічне поєднання всіх груп).
2. Етап зупинення
Ці заходи забезпечують апаратно-програмне блокування спроб несанкціонованого
доступу (далі - НСД) порушника (хакера) до інформації в АС або ураження системи вірусами за
допомогою спеціальних апаратних комплексів та програмних засобів захисту інформації. Для
цього в АС встановлюються міжмережові екрани, файерволи (брандмауери), антивірусні
програмні засоби та спеціальні комплекси засобів захисту інформації від НСД.
Зазначимо, що ці заходи можуть бути спрямовані на документування методів НСД до
АС для наступного дослідження їх; збереження слідів правопорушення; взаємодію (у разі
необхідності) з державними правоохоронними органами щодо виявлення та розкриття
правопорушення (в тому числі за готування до злочину і за замах на злочин); сприяння
притягненню винних до відповідної відповідальності (кримінальної, адміністративної,
цивільно-правової, дисциплінарної).
3. Етап нейтралізації
На організаційно-правовому рівні – це дисциплінарне або адміністративне (кримінальне)
розслідування правопорушення (злочину) та притягнення винних до відповідальності.
На апаратно-програмному рівні – це подолання наслідків реалізації загроз у разі
порушень:
- технологічих процесів - їх відновлення за допомогою плану аварійного відновлення та
проведення ремонтних заходів;
- операційної системи та програмних засобів - їх відновлення за допомогою
інсталяційних файлів (дисків);
- інформаійних ресурсів - їх відновлення за допомогою резервних і архівних копій, які
зберігаються на зовнішніх носіях.
4. Етап попередження
На організаційному рівні – це проведення аналізу відомих загроз, пошук нових
запобіжних заходів, оновлення політики безпеки, навчання та тренування персоналу.
На технічному рівні – це застосування пасивних засобів захисту: штор на вікнах, систем
екранування, заземлення та зашумлення, а також оновлення та впровадження нових систем і
засобів ТЗІ.
2 Номативно-правові акти України, які визначають необхідність створення КСЗІ в
ІТС
Історія ТЗІ в Україні розпочалася з Закону України «Про захист інформації в
автоматизованих системах», прийнятого постановою Верховної Ради України № 81/94-ВР від
5 липня 1994 року.
У тому же році постановою Кабінету Міністрів України (далі - ПКМУ) від 9 вересня
1994 року № 632 було затверджене «Положення про технічний захист інформації в Україні»
(далі - ТЗІ), згідно якого була створена Державна служба України з питань ТЗІ.
Через 3 роки постановою КМУ від 8 жовтня 1997 року № 1126 була
затверджена «Концепція ТЗІ в Україні». Вона визначає поняття ТЗІ таким чином: це
діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу,
цілісності та доступності інформації з обмеженим доступом, а також цілісності та доступності
відкритої інформації, важливої для особи, суспільства і держави.
А вже через 2 роки з’явилося нове «Положення про ТЗІ в Україні», затверджене
Указом Президента України від 27 вересня 1999 року № 1229. Пов’язане це було з тим, що
питання ТЗІ були покладені на Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України (скорочено - ДСТСЗІ СБУ), до складу якого і увійшла
Державна служба з питань ТЗІ. Старе положення втратило чинність згідно постанови КМУ від
13 березня 2002 року № 281.
«Положення про ТЗІ в Україні» визначає поняття ТЗІ таким чином: це діяльність,
спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та
доступності важливої для держави, суспільства і особи інформації.
Воно визначає також такі терміни:
- конфіденційність - властивість інформації бути захищеною від несанкціонованого
ознайомлення;
- цілісність - властивість інформації бути захищеною від несанкціонованого
спотворення, руйнування або знищення;
- доступність - властивість інформації бути захищеною від несанкціонованого
блокування;
- інформаційна система - автоматизована система, комп'ютерна мережа або система
зв'язку.
Тепер з'ясуємо, яку інформацію треба захищати:
Закон України «Про інформацію» (1992)
Стаття 20. Доступ до інформації
1. За порядком доступу інформація поділяється на відкриту інформацію та інформацію
з обмеженим доступом.
2. Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з
обмеженим доступом.
Стаття 21. Інформація з обмеженим доступом
1. Інформацією з обмеженим доступом (далі - ІзОД) є конфіденційна, таємна та службова
інформація.
2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої
обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень.
Закон України «Про доступ до публічної інформації» (2011)
Стаття 7. Конфіденційна інформація
1. Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або
юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у
визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.
2. Розпорядники інформації, які володіють конфіденційною інформацією, можуть
поширювати її лише за згодою осіб, які обмежили доступ до інформації, а за відсутності такої
згоди - лише в інтересах національної безпеки, економічного добробуту та прав людини.
Стаття 8. Таємна інформація
1. Таємна інформація - інформація, розголошення якої може завдати шкоди особі,
суспільству і державі. Таємною визнається інформація, яка містить державну, професійну,
банківську таємницю, таємницю досудового розслідування та іншу передбачену законом
таємницю.
Стаття 9. Службова інформація
1. До службової може належати така інформація:
1) що міститься в документах суб'єктів владних повноважень, які становлять
внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані
з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій
органами державної влади, процесом прийняття рішень і передують публічному обговоренню
та/або прийняттю рішень;
2) зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері
оборони країни, яку не віднесено до державної таємниці.
2. Документам, що містять інформацію, яка становить службову інформацію,
присвоюється гриф «для службового користування».
Закон України «Про захист персональних даних» (2010)
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є
інформацією з обмеженим доступом.
Закон України «Про електронні документи та електронний документообіг» (2003)
Стаття 15. Обіг електронних документів, що містять інформацію з обмеженим
доступом
В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які
забезпечують обмін електронними документами, що містять інформацію, яка є власністю
держави, або ІзОД, повинен забезпечуватися захист цієї інформації відповідно до
законодавства.
Таким чином, потрібно захищати ІзОД, яка складається з таємної, конфіденційної,
службової інформації та персональних даних, а також інформацію, яка є власністю держави
та циркулює в інформаційно-телекомунікаційних системах.
Види захисту інформації
1. Технічний (ТЗІ) - забезпечує обмеження доступу до носія інформації апаратнотехнічними засобами (антивіруси, фаєрволи, маршрутизатори, смарт-карти тощо):
- попередження витоку технічними каналами;
- попередження блокування;
2. Інженерний - попереджує руйнування носія внаслідок навмисних дій або природного
впливу інженерно-технічними засобами (обмежуючі конструкції, відеоспостереження,
охоронно-пожежна сигналізація тощо).
3. Криптографічний (КЗІ) - попереджує доступ до інформації за допомогою
математичних перетворень:
- попередження несанкціонованої модифікації ;
- попередження несанкціонованого розголошення.
4. Організаційний - попередження доступу на об'єкт інформаційної діяльності
сторонніх осіб за допомогою організаційних заходів (охорона, пропускний режим, регламетація
доступу тощо).
Закон України «Про захист інформації в автоматизованих системах» визначив термін
ЗАХИСТ ІНФОРМАЦІЇ: це сукупність організаційно-технічних заходів і правових норм для
запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються
інформацією. Разом з тим, у законі ще не застосовувалось таке поняття як комплексна система
захисту інформації.
Також він визначив термін АВТОМАТИЗОВАНА СИСТЕМА (далі - АС): це система, що
здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки
(засоби обчислювальної техніки та зв'язку), а також методи і процедури, програмне
забезпечення.
Згідно ДСТУ 2226-93 «Автоматизовані системи. Терміни та визначення»:
АС - організаційно-технічна система, що складається із засобів автоматизації певного
виду (чи кількох видів) діяльності людей та персоналу, що здійснює цю діяльність.
Згідно НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних
системах від несанкціонованого доступу»:
- АС - організаційно-технічна система, що реалізує інформаційну технологію та поєднує
у собі: обчислювальну систему, фізичне середовище, персонал та інформацію, яка
обробляється.
- ЗАХИСТ ІНФОРМАЦІЇ В АС - діяльність, спрямована на забезпечення безпеки
оброблюваної в АС інформації та системи у цілому, що дає змогу запобігти реалізації загроз
або унеможливити її, та зменшити ймовірність завдання збитків від реалізації загроз.
- КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ (далі - КСЗІ) - це сукупність
організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист
інформації в АС.
Наступним етапним документом став Закон України «Про захист інформації в
інформаційно-телекомунікаційних системах», який був прийнятий у 2005 році на заміну
Закону «Про захист інформації в АС». Він визначив багато нових термінів, зокрема, такі:
- КСЗІ - взаємопов'язана сукупність організаційних та інженерно-технічних заходів,
засобів і методів захисту інформації;
- захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим
діям щодо інформації в системі;
- інформаційна (автоматизована) система - організаційно-технічна система, в якій
реалізується технологія обробки інформації з використанням технічних і програмних засобів;
- телекомунікаційна система - організаційно-технічна система, що реалізує технологію
інформаційного обміну за допомогою технічних і програмних засобів шляхом передавання та
приймання інформації у вигляді сигналів, знаків, звуків, зображень чи іншим чином;
- інформаційно-телекомунікаційна система (далі - ІТС) - сукупність інформаційних та
телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
- інформаційний ресурс - будь-які дані в електронному вигляді, які обробляються або
зберігаються в інформаційно-телекомунікаційній системі.
Закон України «Про захист інформації в ІТС»
Стаття 2. Об'єкти захисту в системі
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне
забезпечення, яке призначено для обробки цієї інформації.
Стаття 8. Умови обробки інформації в системі
Інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена
законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю.
Підтвердження відповідності здійснюється за результатами державної експертизи в порядку,
встановленому законодавством.
Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої
встановлена законом, використовуються засоби захисту інформації, які мають сертифікат
відповідності або позитивний експертний висновок за результатами державної експертизи у
сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та
проведення державної експертизи цих засобів здійснюються в порядку, встановленому
законодавством.
Стаття 9. Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника
системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або
інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює
службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту
інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є
власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи
повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з
питань організації спеціального зв'язку та захисту інформації або підпорядкований йому
регіональний орган.
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Вимоги до забезпечення захисту інформації, яка є власністю держави, або ІзОД, вимога
щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.
Спеціально уповноважений центральний орган виконавчої влади з питань організації
спеціального зв'язку та захисту інформації:
- розробляє пропозиції щодо державної політики у сфері захисту інформації та
забезпечує її реалізацію в межах своєї компетенції;
- визначає вимоги та порядок створення КСЗІ, яка є власністю держави, або інформації з
обмеженим доступом, вимога щодо захисту якої встановлена законом;
- організовує проведення державної експертизи КСЗІ, експертизи та підтвердження
відповідності засобів технічного і криптографічного захисту інформації;
- здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або
ІзОД, вимога щодо захисту якої встановлена законом;
- здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від
несанкціонованих дій в ІТС та дає рекомендації з питань запобігання такій загрозі.
Державні органи в межах своїх повноважень за погодженням відповідно із спеціально
уповноваженим центральним органом виконавчої влади з питань організації спеціального
зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють
особливості захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої
встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність,
встановлюються Національним банком України.
Закон України «Про Державну службу спеціального зв'язку
та захисту інформації України» (2006)
Згідно цього закону ДСТСЗІ СБУ вийшов зі складу СБУ та був реорганізоваий у
Державну службу спеціального зв'язку та захисту інформації України (скорочено –
Держспецзв'язку).
Стаття 16. На Держспецзв'язку згідно визначених завдань покладаються такі обов'язки:
3) розроблення порядку та вимог щодо захисту державних інформаційних ресурсів* в
ІТС, криптографічного та технічного захисту інформації, яка є власністю держави, або
інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
*державні інформаційні ресурси - інформація, яка є власністю держави та
необхідність захисту якої визначено законодавством.
У «Положенні про Реєстр ІТС органів виконавчої влади, а також підприємств, установ
і організацій, що належать до сфери їх управління», затвердженому постановою Кабінету
Міністрів України від 03.08.2005 № 688:
державні електронні інформаційні ресурси - відображена та задокументована в
електронному вигляді інформація, необхідність захисту якої визначено законодавством.
У кандидатській дисертації Аблякимова - це впорядковані масиви даних та електронних
документів в ІТС, держателями або розпорядниками яких є органи державної влади, або
державні підприємства, установи та організації.
11) накопичення та аналіз даних про вчинення та/або спроби вчинення
несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, а також про їх наслідки,
інформування правоохоронних органів для вжиття заходів із запобігання та припинення
кримінальних правопорушень у зазначеній сфері; оцінка стану захищеності державних
інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційнотелекомунікаційних системах, надання відповідних рекомендацій;
13) погодження проектів створення ІТС, в яких оброблятиметься інформація, яка є
власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої
встановлена законом, проведення їх експертної оцінки і визначення можливості введення в
експлуатацію;
16) встановлення порядку і вимог щодо використання ІТС, у тому числі загального
користування, органами державної влади, органами місцевого самоврядування,
підприємствами, установами і організаціями незалежно від форм власності, які збирають,
обробляють, зберігають та передають інформацію, яка є власністю держави, або інформацію з
обмеженим доступом, вимога щодо захисту якої встановлена законом;
32) видача атестата відповідності комплексних систем захисту інформації ІТС, із
застосуванням яких обробляється інформація, яка є власністю держави, або інформація з
обмеженим доступом, вимога щодо захисту якої встановлена законом, вимогам нормативних
документів з питань технічного захисту інформації.
Інструкція про порядок обліку, зберігання і використання документів, справ,
видань та інших матеріальних носіїв інформації, які містять службову інформацію
(затверджена ПКМУ від 27.11.98 № 1893)
18. Використання ІТС для друкування документів з грифом «Для службового
користування» та обробки конфіденційної інформації, що є власністю держави, може
здійснюватися тільки після створення в ній КСЗІ та підтвердження відповідності створеної
системи вимогам нормативних документів з питань технічного захисту інформації в порядку,
встановленому законодавством.
Дозвіл на використання ІТС із зазначеною метою надається згідно з наказом керівника
організації за наявності атестата відповідності КСЗІ.
Основний керівний нормативно-правовий акт:
ПРАВИЛА
забезпечення захисту інформації в інформаційних, телекомунікаційних
та інформаційно-телекомунікаційних системах (далі – Правила 373)
(затверджені ПКМУ від 29.03.2006 № 373 з останніми змінами згідно № 938 від
07.09.2011)
3. У Правилах наведені нижче терміни вживаються у такому значенні:
- автентифікація - процедура встановлення належності користувачеві інформації в
системі (далі - користувач) пред'явленого ним ідентифікатора (пароль);
- ідентифікація - процедура розпізнавання користувача в системі як правило за
допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про
нього, яка сприймається системою (логін).
4. Захисту в системі підлягає:
- відкрита інформація, яка належить до державних інформаційних ресурсів, а також
відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка
оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або
передається телекомунікаційними мережами (далі - відкрита інформація);
- конфіденційна інформація, яка перебуває у володінні розпорядників інформації,
визначених Законом України "Про доступ до публічної інформації";
- службова інформація;
- інформація, яка становить державну або іншу передбачену законом таємницю (далі таємна інформація);
- інформація, вимога щодо захисту якої встановлена законом.
5. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що
забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її
випадкової або умисної модифікації чи знищення.
Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою
інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані
та автентифіковані користувачі, яким надано відповідні повноваження.
Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на
це повноважень, неідентифікованими користувачами або користувачами з не підтвердженою
під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
6. Під час обробки службової і таємної інформації повинен забезпечуватися її захист від
несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання,
поширення.
7. Доступ до службової інформації надається тільки ідентифікованим та
автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб
чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого
ідентифікатора повинні блокуватися.
У системі забезпечується можливість надання користувачеві права на виконання однієї
або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.
11. У системі здійснюється обов'язкова реєстрація:
- результатів ідентифікації та автентифікації користувачів;
- результатів виконання користувачем операцій з обробки інформації;
- спроб несанкціонованих дій з інформацією;
- фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
- результатів перевірки цілісності засобів захисту інформації.
Забезпечується можливість проведення аналізу реєстраційних даних виключно
користувачем, якого уповноважено здійснювати управління засобами захисту інформації і
контроль за захистом інформації в системі (адміністратор безпеки).
Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від
модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.
Реєстрація спроб несанкціонованих дій з інформацією, що становить державну
таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до
персональних даних, повинна супроводжуватися повідомленням про них адміністратора
безпеки.
12. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права
доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі
здійснюється автоматизованим способом.
13. Передача службової і таємної інформації з однієї системи до іншої здійснюється у
зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з
питань технічного та криптографічного захисту інформації.
14. Порядок підключення систем, в яких обробляється службова і таємна інформація, до
глобальних мереж передачі даних визначається законодавством.
15. У системі здійснюється контроль за цілісністю програмного забезпечення, яке
використовується для обробки інформації, запобігання несанкціонованій його модифікації та
ліквідація наслідків такої модифікації.
Контролюється також цілісність програмних та технічних засобів захисту інформації. У
разі порушення їх цілісності обробка в системі інформації припиняється.
Організаційні засади забезпечення захисту інформації
16. Для забезпечення захисту інформації в системі створюється комплексна система
захисту інформації (далі - КСЗІ), яка призначається для захисту інформації від:
- витоку технічними каналами, до яких належать канали побічних електромагнітних
випромінювань і наведень (далі - ПЕМВН), акустично-електричні та інші канали, що
утворюються під впливом фізичних процесів під час функціонування засобів обробки
інформації, інших технічних засобів і комунікацій;
- несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних
вірусів;
- спеціального впливу на засоби обробки інформації, який здійснюється шляхом
формування фізичних полів і сигналів та може призвести до порушення її цілісності та
несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли
в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення
щодо необхідності такого захисту прийнято розпорядником інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів,
забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки інформації забезпечується
в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.
17. Відповідальність за забезпечення захисту інформації в системі, своєчасне
розроблення необхідних для цього заходів та створення системи захисту покладається на
керівника організації, яка є власником (розпорядником) системи, та керівників її структурних
підрозділів, що забезпечують створення та експлуатацію системи.
18. Організація та проведення робіт із захисту інформації в системі здійснюється
службою захисту інформації (далі - СЗІ), яка забезпечує визначення вимог до захисту
інформації в системі, проектування, розроблення і модернізацію КСЗІ, а також виконання робіт
з її експлуатації та контролю за станом захищеності інформації.
СЗІ утворюється згідно з рішенням керівника організації, що є власником
(розпорядником) системи.
У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист
інформації може здійснюватися однією особою.
19. Захист інформації на всіх етапах створення та експлуатації системи здійснюється
відповідно до розробленого СЗІ плану захисту інформації в системі.
План захисту інформації в системі містить:
- завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології
обробки інформації;
- визначення моделі загроз для інформації в системі;
- основні вимоги щодо захисту інформації та правила доступу до неї в системі;
- перелік документів, згідно з якими здійснюється захист інформації в системі;
- перелік і строки виконання робіт службою захисту інформації.
20. Вимоги та порядок створення КСЗІ встановлюються Адміністрацією
Держспецзв'язку (далі - Адміністрація).
Вимоги до захисту інформації кожної окремої системи встановлюються технічним
завданням на створення системи або КСЗІ.
21. У складі системи захисту повинні використовуватися засоби захисту інформації з
підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження
відповідності на момент проектування системи захисту, відповідне оцінювання проводиться
під час державної експертизи системи захисту.
22. Порядок проведення державної експертизи системи захисту, державної експертизи
та сертифікації засобів технічного і криптографічного захисту інформації встановлюється
Адміністрацією.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з технічного
захисту інформації для власних потреб, вправі за згодою департаменту організовувати
проведення державної експертизи системи захисту на підприємствах, в установах та
організаціях, які належать до сфери їх управління.
Порядок проведення такої експертизи встановлюється органом виконавчої влади за
погодженням з Адміністрацією.
23. Виконавцем робіт із створення системи захисту може бути суб'єкт господарської
діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча
б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого
визначено технічним завданням на створення системи захисту.
Для проведення інших видів робіт з технічного захисту інформації, на провадження яких
виконавець не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.
Якщо для створення системи захисту необхідно провести роботи з криптографічного
захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері
криптографічного захисту інформації або залучати співвиконавців, що мають відповідні
ліцензії.
Контрольні питання:
1. Які є головні принципи та етапи захисту від загроз?
2. Як технічно вирішується перший етап захисту від загроз?
3. Як технічно вирішується другий етап захисту від загроз?
4. Як технічно вирішується третій етап захисту від загроз?
5. Яка інформація підлягає захисту?
6. Які властивості щодо ТЗІ має інформація?
7. Які є види захисту інформації?
8. Які були перші нормативні акти України з питань захисту інформації?
9. Які нормативні акти України визначають види інформації за порядком доступу?
10. Які нормативні акти України передбачають створення КСЗІ?
11. Для захисту від яких видів загроз створюється КСЗІ?
12. Яку інформацію від яких видів загроз треба захищати?
13. Які засоби захисту використовуються у складі КСЗІ?
14. Хто може бути виконавцем робіт із захисту інформації?
15. Хто є відповідальним за захист інформації в установі?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 2. Нормативні документи ТЗІ, які визначають порядок створення
КСЗІ в ІТС
План:
1 Основні нормативно-правові акти України
2 Нормативні документи системи технічного захисту інформації
1 Основні нормативно-правові акти України
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів
України від 29.03.2006 № 373 з останніми змінами згідно ПКМУ № 938 від 07.09.2011.
Державні стандарти України та Росії
ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення.
ДСТУ 2851-94. Програмні засоби ЕОМ. Документування результатів випробувань.
ДСТУ 2853-94. Програмні засоби ЕОМ. Підготовлення і проведення випробувань.
ДСТУ 3396.0-96. Технічний захист інформації. Основні положення.
ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.
ДСТУ 3396.2-97. Технічний захист інформації. Терміни та визначення.
ГОСТ 34.201-89 Виды, комплектность и обозначение документов при создании
автоматизированых систем
РД 50-34.698-90 Автоматизированные системы. Требования к содержанию документов
2 Нормативні документи системи технічного захисту інформації
Створення КСЗІ в автоматизованій системі
НД ТЗІ 3.7-003-2005. Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі, затверджений наказом ДСТСЗІ
СБ України від 08.11.2005 № 125 із змінами згідно наказу Адміністрації Держспецзв'язку від
28.12.2012 № 806.
НД ТЗІ 1.6-005-2013. Положення про категоріювання об’єктів, де циркулює інформація з
обмеженим доступом, що не становить державної таємниці, затверджений наказом
Адміністрації Держспецзв'язку від 15.04.2013 № 215
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в
автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 04.12.2000 № 53.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення
комплексної системи захисту інформації в автоматизованій системі, затверджений наказом
ДСТСЗІ СБ України від 28.04.99 № 22 із змінами згідно наказу Адміністрації Держспецзв'язку
від 28.12.2012 № 806.
Захист інформації в комп'ютерних системах від несанкціонованого доступу
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних
системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від
28.04.99 № 22.
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах
від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22.
НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від
несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22.
НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні
профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено
наказом ДСТСЗІ СБ України від 28.04.99 № 22.
НД ТЗІ 2.5-008-2002. Вимоги із захисту службової інформації від несанкціонованого
доступу під час оброблення в автоматизованих системах класу 2, затверджений наказом
ДСТСЗІ СБ України від 13.12.2002 № 84 із змінами згідно наказу Адміністрації
Держспецзв'язку від 28.12.2012 № 806.
НД ТЗІ 2.5-010-2003. Вимоги до захисту інформації WEB-сторінки від
несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 02.04.2003 № 33 із
змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.
Створення комплексів ТЗІ на об'єктах інформаційної діяльності
ТР ЕОТ - 95. Тимчасові рекомендації з технічного захисту інформації у засобах
обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних
електромагнітних випромінювань і наводок, затверджені наказом Державної служби України з
питань технічного захисту інформації від 09.06.95 № 25.
НД ТЗІ 1.1-005-2007. Створення комплексу технічного захисту інформації. Основні
положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.
НД ТЗІ 2.1-002-2007. Випробування комплексу технічного захисту інформації. Основні
положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.
НД ТЗІ 3.1-001-2007. Створення комплексу технічного захисту інформації.
Передпроектні роботи, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007
№ 232.
НД ТЗІ 3.3-001-2007. Створення комплексу технічного захисту інформації. Порядок
розроблення та впровадження заходів із захисту інформації, затверджений наказом
Адміністрації Держспецзв'язку від 12.12.2007 № 232.
Державна експертиза КСЗІ
Положення про державну експертизу в сфері технічного захисту інформації, затверджене
наказом Адміністрації Держспецзв'язку від 16.05.2007 № 93 та зареєстроване в Міністерстві
юстиції України 16.07.2007 за № 820/14087.
Порядок формування реєстру організаторів державної експертизи у сфері ТЗІ та реєстру
експертів з питань ТЗІ, затверджений наказом Адміністрації Держспецзв’язку від 16.04.2008 №
64
НД ТЗІ 2.6-001-2011. Порядок проведення робіт з державної експертизи засобів
технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту
інформації в інформаційно-телекомунікаційних системах, затверджений наказом Адміністрації
Держспецзв'язку від 25.03.2011 № 65 із змінами згідно наказу Адміністрації Держспецзв'язку
від 28.12.2012 № 806.
НД ТЗІ 2.7-009-2009. Методичні вказівки з оцінювання функціональних послуг безпеки в
засобах захисту інформації від несанкціонованого доступу, затверджений наказом
Адміністрації Держспецзв'язку від 24.07.2009 № 172 із змінами згідно наказу Адміністрації
Держспецзв'язку від 28.12.2012 № 806.
НД ТЗІ 2.7-010-2009. Методичні вказівки з оцінювання рівня гарантій коректності
реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого
доступу, затверджений наказом Адміністрації Держспецзв'язку від 24.07.2009 № 172.
Основний керівний документ – це НД ТЗІ 3.7-003-2005
«Порядок проведення робіт із створення КСЗІ в ІТС»
Він визначає порядок прийняття рішень щодо складу комплексної системи захисту
інформації в залежності від умов функціонування ІТС і видів оброблюваної інформації,
визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт
кожного етапу.
Побудований у вигляді керівництва, яке містить перелік робіт і посилання на діючі
нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з
етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами
вони повинні закінчуватись.
Дія цього НД ТЗІ поширюється тільки на ІТС, в яких здійснюється обробка інформації
автоматизованим способом. Відповідно, для таких ІТС чинні всі нормативно-правові акти та
нормативні документи щодо створення ІТС та щодо захисту інформації в АС. НД ТЗІ не
встановлює нових норм, а систематизує в одному документі вимоги, норми і правила, які
безпосередньо або непрямим чином витікають з положень діючих нормативних документів.
НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників
ІТС, користувачів), діяльність яких пов’язана з обробкою інформації, що підлягає захисту,
розробників комплексних систем захисту інформації в ІТС, для постачальників компонентів
ІТС, а також для фізичних та юридичних осіб, які здійснюють оцінку захищеності
оброблюваної інформації на відповідність вимогам ТЗІ.
Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в
Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких
обробляється інформація, яка належить до державних інформаційних ресурсів, належить до
державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено
законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього
нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.
Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС,
яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації
або модернізації вже створеної КСЗІ.
Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів,
спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку
інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у
сфері захисту інформації.
Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у
часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє
для КСЗІ, що створюється.
Створення КСЗІ повинно виконуватись у комплексі із заходами, щодо забезпечення
режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо
охорони інформації з обмеженим доступом, яка не є державною таємницею.
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми
захисту інформації від:
- витоку технічними каналами, до яких відносяться канали побічних електромагнітних
випромінювань і наведень, акустоелектричні та інші канали;
- несанкціонованих дій та несанкціонованого доступу до інформації, що можуть
здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під
зареєстрованого користувача, подолання заходів захисту з метою використання інформації або
нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання
комп’ютерних вірусів тощо;
- спеціального впливу на інформацію, який може здійснюватися шляхом формування
полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються
властивостями оброблюваної інформації, класом автоматизованої системи та умовами
експлуатації ІТС.
Створення комплексів технічного захисту інформації від витоку технічними
каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну
таємницю, або коли необхідність цього визначено власником інформації.
Створення комплексу засобів захисту від несанкціонованого доступу (далі – КЗЗ)
здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних
інформаційних ресурсів, належить до державної чи іншої таємниці або до окремих видів
інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така
необхідність визначена власником інформації.
Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на
інформацію приймається власником інформації в кожному випадку окремо.
Роботи зі створення КСЗІ виконуються організацією-власником (розпорядником) ІТС з
дотриманням вимог нормативно-правових актів щодо провадження діяльності у сфері захисту
інформації.
Для організації робіт зі створення КСЗІ в ІТС створюється Служба захисту інформації в
ІТС. Вона створюється після прийняття рішення про необхідність створення КСЗІ.
НД ТЗІ 3.7-003-2005 визначає такі етапи створення КСЗІ та її документів:
1. Формування вимог до КСЗІ в ІТС
1.1. Обґрунтування необхідності створення КСЗІ і призначення СЗІ:
- наказ про порядок проведення робіт зі створення КСЗІ
- наказ про створення СЗІ
- положення про СЗІ
- перелік інформації, що підлягає обробленню в ІТС та потребує захисту
1.2. Категоріювання ІТС:
- наказ про призначення комісії з категоріювання
- акт категоріювання
1.3. Обстеження середовищ функціонування ІТС:
- наказ про призначення комісії з обстеження
- акт обстеження
- формуляр ІТС
1.4. Опис моделі порушника політики безпеки інформації: модель порушника
1.5. Опис моделі загроз для інформації: модель загроз
1.6. Формування завдання на створення КСЗІ: звіт за результатами проведення аналізу
ризиків та формування завдань на створення КСЗІ
2. Розробка політики безпеки інформації в ІТС
2.1. Вибір варіанту КСЗІ
2.2. Складання політики безпеки
2.3. Складання плану захисту
2.4. Складання календарного плану робіт із захисту інформації
3. Розробка Технічного завдання на створення КСЗІ:
- складання технічного завдання та погодження його з органами Держспецзв’язку
4. Розробка проекту КСЗІ:
- складання документів ескізного проекту КСЗІ
- складання документів технічного проекту КСЗІ
- складання документів робочого проекту КСЗІ
5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
5.1. Підготовка КСЗІ до введення в дію:
- інструкція про порядок введення в експлуатацію КСЗІ
5.2. Навчання користувачів:
- інструкція адміністратора безпеки в ІТС
- інструкція системного адміністратора ІТС
- інструкція користувача ІТС
- правила управління паролями в ІТС
- правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів
розмежування доступу в ІТС
5.3. Комплектування КСЗІ
5.4. Будівельно-монтажні роботи:
- наказ про призначення комісії з приймання робіт
- акт приймання робіт
5.5. Пуско-налагоджувальні роботи:
- акт інсталяції та налагоджування АВПЗ і КЗЗ від НСД
- акт оцінки відповідності проведених робіт вимогам експлуатаційних документів
5.6. Попередні випробування КСЗІ:
- наказ про створення комісії з проведення випробувань
- програма та методика попередніх випробувань
- протокол про проведення попередніх випробувань
- акт про приймання КСЗІ у дослідну експлуатацію
5.7. Дослідна експлуатація КСЗІ:
- наказ про введення ІТС в дослідну експлуатацію
- акт про завершення дослідної експлуатації
- акт про завершення робіт зі створення КСЗІ
5.8. Державна експертиза КСЗІ:
- заявка на проведення державної експертиза КСЗІ
- експертний висновок щодо відповідності КСЗІ вимогам НД ТЗІ
- атестат відповідності КСЗІ вимогам НД ТЗІ
- наказ про дозвіл на обробку в ІТС інформації, яка підлягає захисту
6. Супровід КСЗІ:
- наказ про порядок забезпечення захисту інформації в ІТС
- інструкція щодо забезпечення правил обробки ІзОД в ІТС
- інструкція з антивірусного захисту інформації в ІТС
- інструкція про порядок використання засобів КЗІ в ІТС
- інструкція про порядок обліку та використання машинних носіїв інформації
- інструкція з правил управління паролями в ІТС
- інструкція про порядок створення і зберігання резервних копій інформаційних
ресурсів ІТС
- інструкція про порядок проведення контролю режиму обробки та захисту інформації в
ІТС
- інструкція про порядок супроводу та модернізації КСЗІ в ІТС
- інструкція про порядок відновлювальних та ремонтних робіт ІТС
- інші іструкції.
Контрольні питання:
1. Який документ визначає етапи створення КСЗІ?
2. Яку послідовність та назву мають етапи створення КСЗІ?
3. Які документи визначають порядок проведення першого етапу створення КСЗІ?
4. З якого обсягу робіт складається перший етап створення КСЗІ?
5. З якого обсягу робіт складається передостанній етап створення КСЗІ?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 3. Етапи створення КСЗІ. Формування вимог до КСЗІ
План:
1 Прийняття рішення про створення КСЗІ
2 Категоріювання ІТС
3 Обстеження середовищ функціонування ІТС
1 Прийняття рішення про створення КСЗІ
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного
законодавства, які встановлюють обов’язковість обмеження доступу до певних видів інформації
або забезпечення її цілісності чи доступності, або прийняте власником інформації рішення
щодо цього, якщо нормативно-правові акти надають йому право діяти на власний розсуд.
Вихідні дані для обґрунтування необхідності створення КСЗІ у загальному випадку
одержуються за результатами:
- аналізу нормативно-правових актів (державних, відомчих та таких, що діють в межах
установи, організації, підприємства), на підставі яких може встановлюватися обмеження
доступу до певних видів інформації чи заборона такого обмеження, або визначатися
необхідність забезпечення захисту інформації згідно з іншими критеріями;
- визначення наявності у складі інформації, яка підлягає автоматизованій обробці, таких
її видів, що потребують обмеження доступу до неї або забезпечення цілісності чи доступності
відповідно до вимог нормативно-правових актів;
- оцінки можливих переваг (фінансово-економічних, соціальних тощо) експлуатації ІТС
у разі створення КСЗІ.
На підставі НД ТЗІ 2.5-005-99 «Класифікація АС і стандартні функціональні профілі
захищеності оброблюваної інформації від НСД» за сукупністю характеристик ІТС виділено
три ієрархічні класи, вимоги до функціонального складу КЗЗ яких істотно відрізняються.
Клас «1» - одномашинний однокористувачевий комплекс, який обробляє інформацію
однієї або кількох категорій конфіденційності. Особливості такого класу:
- в кожний момент часу з комплексом може працювати тільки один користувач, хоч у
загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони
повинні мати однакові повноваження (права) щодо доступу до інформації, яка оброблюється;
- технічні засоби (носії інформації і засоби У/В ) з точки зору захищеності відносяться до
однієї категорії і всі можуть використовуватись для збереження і У/В всієї інформації.
Приклад - автономна ПЕОМ, доступ до якої контролюється з використанням
організаційних заходів.
Клас «2» - локалізований багатомашинний багатокористувачевий комплекс, який
обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього
класу - наявність користувачів з різними повноваженнями по доступу і/або технічних засобів,
які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності.
Приклад - ЛОМ.
Клас «3» - розподілений багатомашинний багатокористувачевий комплекс, який
обробляє інформацію різних категорій конфіденційності. Істотна відміна від попереднього
класу - необхідність передачі інформації через незахищене середовище або, в загальному
випадку, наявність вузлів, що реалізують різну політику безпеки. Приклад - глобальна мережа.
На підставі проведеного аналізу приймається рішення про необхідність створення КСЗІ.
Після прийняття такого рішення відповідальний за ТЗІ організації-власника (розпорядника) ІТС
готує для керівника організації 3 накази:
1) про створення Служби захисту інформації в ІТС (далі - СЗІ), порядок створення,
завдання, функції, структура та повноваження якої визначено в НД 1.4-001-2000 «Типове
положення про СЗІ в АС»;
2) про призначення комісії з категоріювання ІТС, завдання та повноваження якої
визначено в НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює
інформація з обмеженим доступом, що не становить державної таємниці»;
3) про призначення комісії з обстеження середовищ функціонування ІТС, завдання та
повноваження якої визначено в ДСТУ 3396.1-96 «Технічний захист інформації. Порядок
проведення робіт».
До складу СЗІ, який визначається наказом, повинні призначатися спеціалісти з таких
питань:
- захисту інформації від витоку технічними каналами;
- захисту каналів зв’язку і комутаційного обладнання,
- налагодження і адміністрування засобів захисту інформації,
- керування базами даних захисту інформації;
- налагодження і керування активним мережевим обладнанням;
- захищених технологій обробки інформації.
За функціональними обов’язками особовий склад СЗІ поділяється на такі категорії (за
рівнем ієрархії):
- керівник СЗІ та його заступник;
- системний адміністратор ІТС;
- мережевий адміністратор ІТС;
- адміністратор безпеки інформації в ІТС;
- адміністратор КСЗІ в ІТС.
Після призначення СЗІ складає «Положення про СЗІ в ІТС», що має бути оформлене у
вигляді окремого документа згідно рекомендацій НД ТЗІ 1.4-001-2000 та затверджене
керівником організації-власника (розпорядника) ІТС.
Положення повинно складатись з таких розділів:
- загальні положення;
- завдання СЗІ;
- функції СЗІ;
- повноваження та відповідальність СЗІ;
- взаємодія СЗІ з іншими підрозділами організації та зовнішніми підприємствами,
установами, організаціями;
- штатний розклад та структура СЗІ;
- організація та фінансування робіт СЗІ.
В залежності від конкретних завдань і умов функціонування СЗІ дозволяється, у разі
необхідності, поєднувати окремі розділи в один, вводити нові розділи або вилучати розділи, що
не є актуальними.
До Положення у вигляді додатків можуть включатися нормативні документи, таблиці,
схеми, графіки, необхідні для визначення заходів захисту інформації, плани об’єктів захисту з
вказанням робочих місць та встановлених на них технічних засобів передачі, прийому,
зберігання, обробки інформації, що підлягає захисту та ін. документи.
Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби
безпеки, РСО, підрозділу ТЗІ) організації.
Зміни суттєвого характеру вносяться до Положення на підставі наказу керівника
організації (підрозділу, до якого структурно входить СЗІ).
2 Категоріювання ІТС
Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або
озвучуватиметься інформація з обмеженим доступом (далі – ІзОД) підлягають обов’язковому
категоріюванню. Об’єктами категоріювання є об’єкти інформаційної діяльності (далі – ОІД), в
тому числі об’єкти електронно-обчислювальної техніки (далі – ЕОТ) ІТС. ОІД – це інженернотехнічна споруда (приміщення), транспортний засіб, де здійснюється озвучення та/або обробка
технічними засобами ІзОД.
Категоріювання ІТС здійснюється комісією організації-власника (розпорядника) ІТС для
визначення необхідного рівня захисту інформації, що обробляється на об’єктах ЕОТ ІТС, згідно
вимог НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з
обмеженим доступом, що не становить державної таємниці»
Категоріювання здійснюється за ознакою ступеня обмеження доступу до інформації, що
обробляється технічними засобами та/або озвучується на ОІД. Згідно ТПКО-95 «Тимчасове
положення про категоріювання об'єктів» установлюються 4 категорії об'єктів, на яких
обробляється технічними засобами та/або озвучується ІзОД, що:
- становить державну таємницю, для якої встановлено гриф секретності «особливої
важливості» - перша (І);
- становить державну таємницю, для якої встановлено гриф секретності «цілком таємно»
- друга (ІІ);
- становить державну таємницю, для якої встановлено гриф секретності «таємно», а
також інформація, що містить відомості, які становлять іншу передбачену законом таємницю –
третя (ІІІ);
- не становить державної таємниці – четверта (ІV).
Категоріювання може бути первинним, черговим або позачерговим. Первинне
категоріювання здійснюється у разі створення ІТС, де буде оброблятися ІзОД. Чергове – не
рідше ніж один раз на 5 років. Позачергове – у разі зміни ознаки, за якою була встановлена
категорія ІТС.
Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка
оброблятиметься в ІТС, та з урахуванням цього ступеня встановлює категорію ІТС.
Встановлена категорія зазначається в Акті категоріювання ІТС, який складається комісією за
результатами її роботи. Акт категоріювання є чинним протягом 5 років з моменту проведення
категоріювання, якщо не змінилась ознака, за якою була встановлена категорія об’єкта.
В акті зазначається:
1. Підстава для категоріювання (рішення про створення КСЗІ, закінчення терміну дії акта
категоріювання, зміна ознаки, за якою була встановлена категорія, та реквізити наказу про
призначення комісії з категоріювання.
2. Вид категоріювання: первинне, чергове, позачергове (у разі чергового або
позачергового категоріювання вказується категорія, що була встановлена до цього
категоріювання, та реквізити акту, яким було встановлено цю категорію).
3. В ІТС здійснюється обробка ІзОД.
4. Ступінь обмеження доступу до ІзОД, що обробляється в ІТС (передбачена законом
таємниця; службова інформація; конфіденційна інформація, яка перебуває у володінні
розпорядників інформації, інша конфіденційна інформація, вимога щодо захисту якої
встановлена законом).
5. Встановлена комісією категорія.
ІТС, яким комісія встановила відповідну категорію, вносяться до «Переліку
категорійованих об’єктів», який ведеться власником (розпорядником, користувачем) ОІД.
3 Обстеження середовищ функціонування ІТС
Метою обстеження є підготовка засадничих даних для формування вимог до КСЗІ у
вигляді опису кожного середовища функціонування ІТС та виявлення в ньому елементів, які
безпосередньо чи опосередковано можуть впливати на безпеку інформації, виявлення
взаємного впливу елементів різних середовищ, документування результатів обстеження для
використання на наступних етапах робіт.
До об'єктів, що підлягають інвентаризації, можуть бути віднесені:
обладнання - ЕОМ та їхні складові частини (процесори, монітори, термінали,
робочі станції та ін.), периферійні пристрої;
програмне забезпечення - вихідні, завантажувальні модулі, утиліти, СКБД,
операційні системи та інші системні програми, діагностичні і тестові програми тощо;
дані - тимчасового і постійного зберігання, на магнітних носіях, друковані, архівні
і резервні копії, системні журнали, технічна, експлуатаційна і розпорядча документація та ін.;
персонал і користувачі ІТС.
При обстеженні обчислювальної системи ІТС повинні бути проаналізовані й описані:
- клас, загальна структурна схема і склад (перелік і склад обладнання, технічних і
програмних засобів, їхні зв'язки, особливості конфігурації, архітектури й топології, програмні і
програмно-апаратні засоби захисту інформації, взаємне розміщення засобів тощо);
- види і характеристики каналів зв'язку;
- особливості взаємодії окремих компонентів, їх взаємний вплив один на одного;
- можливі обмеження щодо використання засобів тощо.
Мають бути виявлені компоненти обчислювальної системи, які містять і які не містять
засобів і механізмів захисту інформації, потенційні можливості цих засобів і механізмів, їхні
властивості і характеристики, в тому числі ті, що встановлюються за умовчанням тощо.
Повинні бути зафіксовані всі активні і пасивні об’єкти, які беруть участь у
технологічному процесі обробки і тим чи іншим чином впливають на безпеку інформації. Для
кожного активного об’єкту ІТС має бути визначено перелік пасивних об’єктів, які з ним
взаємодіють.
Окрім компонентів ІТС, необхідно дати опис технології обробки інформації в ІТС, що
потребує захисту, тобто способів і методів застосування засобів обчислювальної техніки під час
виконання функцій збору, зберігання, обробки, передачі і використання даних, або алгоритмів
окремих процедур.
При цьому рекомендується розробити структурну схему інформаційних потоків в ІТС,
яка б відображала інформаційну взаємодію між основними компонентами ІТС (завданнями,
об’єктами) з прив’язкою до кожного елемента схеми категорій інформації та визначених
політикою безпеки рівнів доступу до неї.
Метою такого аналізу є надання загального уявлення про наявність потенційних
можливостей щодо забезпечення захисту інформації, виявлення компонентів ІТС, які
вимагають підвищених вимог до захисту інформації і впровадження додаткових заходів
захисту.
При обстеженні інформаційного середовища аналізу підлягає вся інформація, що
обробляється, а також зберігається в ІТС (дані і програмне забезпечення). Під час аналізу
інформація повинна бути класифікована за режимом доступу, за правовим режимом, за типом
їхнього представлення в ІТС, визначені й описані види її представлення в ІТС. Класифікація є
підставою для визначення власником (розпорядником) інформації або ІТС методів і способів
захисту кожного окремого виду інформації.
За режимом доступу інформація в АС має бути поділена на відкриту та з обмеженим
доступом. Відкриту інформацію слід поділити на відкриту, яка не потребує захисту, або захист
якої забезпечувати недоцільно, та відкриту, яка такого захисту потребує. До другої слід
відносити інформацію, важливу для особи, суспільства і держави (відповідно до Концепції
технічного захисту інформації в Україні), важливі для організації відомості, порушення
цілісності або доступності яких може призвести до моральних чи матеріальних збитків.
За правовим режимом інформація з обмеженим доступом повинна бути поділена на
таємну, службову та конфіденційну. До таємної інформації має бути віднесена інформація, що
містить відомості, які становлять державну, а також іншу, передбачену законом таємницю.
Правила доступу до службової та конфіденційної інформації, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні, юридичні особи або держава, встановлює
законодавство та її власник.
Конфіденційна інформація може мати велику цінність для її власника, втрата або
передача якої іншим особам може завдати організації (власнику) значних збитків. З метою
встановлення правил розмежування доступу до конфіденційної інформації необхідно
класифікувати її, поділивши на декілька категорій за ступенем цінності (критерії розподілу
можуть бути визначені під час оцінки ризиків).
Для встановлення правил взаємодії активних і пасивних об’єктів ІТС інформація
повинна бути класифікована за типом її представлення в ІТС (для кожної з визначених
категорій встановлюються типи пасивних об’єктів комп’ютерної системи, якими вона може
бути представлена). Для кожного виду інформації і типу об’єкта, в якому вона міститься,
ставляться у відповідність властивості захищеності інформації (конфіденційність, цілісність,
доступність) чи ІТС (спостережність), яким вони повинні задовольняти.
Аналіз технології обробки інформації повинен виявити особливості обігу електронних
документів, мають бути визначені й описані інформаційні потоки і середовища, через які вони
передаються, джерела утворення потоків та місця їх призначення, принципи та методи
керування інформаційними потоками, складені структурні схеми потоків. Фіксуються види
носіїв інформації та порядок їх використання під час функціонування ІТС.
Для кожного структурного елемента схеми інформаційних потоків фіксуються склад
інформаційних об’єктів, режим доступу до них, можливий вплив на нього (елементу) елементів
середовища користувачів, фізичного середовища з точки зору збереження властивостей
інформації.
За результатами обстеження інформаційного середовища складається «Перелік
інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», який
оформлюється як окремий документ, затверджений керівником організації-власника
(розпорядника) відповідної інформації, або як розділ у інших документах (Політика безпеки,
План захисту, Технічне завдання на створення КСЗІ тощо).
У переліку має бути наведено перелік інформаційних ресурсів (видів інформації), що
підлягають обробленню в ІТС, класифікований за такими ознаками:
- назва відповідного інформаційного ресурсу, який визначається цільовим
призначенням відповідної інформації;
- характеристики інформації відповідно до встановленого законодавством правового
режиму та режиму доступу (ІДТ, КІВД, КІ, ВІВД, ВІ);
- вищий ступінь обмеження доступу (для ІДТ) до інформації (ступінь секретності)
відповідно до вимог Зводу відомостей, що становлять державну таємницю;
- критичні властивості інформації з погляду забезпечення її захищеності, визначені з
урахуванням вимог Правил 373 і вимог власника (розпорядника) інформації;
- вимоги (за наявності) щодо обмеження доступу до інформації користувачів ІТС різних
категорій, визначені з урахуванням, наприклад, вимог «Положення про забезпечення режиму
секретності під час обробки інформації, що становить державну таємницю, в АС» або
«Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших
матеріальних носіїв інформації, які містять службову інформацію».
Окрім зазначених вище, можуть бути використані додаткові класифікаційні ознаки,
корисні з погляду подальшого формулювання політики безпеки інформації, оброблюваної в
ІТС, наприклад, вид подання відповідних інформаційних ресурсів тощо.
При обстеженні середовища користувачів здійснюється аналіз:
- функціонального та кількісного складу користувачів, їхніх функціональних обов’язків
та рівня кваліфікації;
- повноважень користувачів щодо допуску до відомостей, які обробляються в ІТС,
доступу до ІТС та її окремих компонентів;
- повноважень користувачів щодо управління КСЗІ;
- рівня можливостей різних категорій користувачів, що надаються (можуть бути
доступними) їм засобами ІТС.
За результатами обстеження вище зазначених середовищ складається «Формуляр ІТС»,
який оформлюється як окремий документ і складається з таких розділів:
- загальні відомості про ІТС;
- склад технічних засобів ІТС;
- склад програмного забезпечення;
- відомості про програмно-апаратний КЗЗ від НСД;
- відомості про впровадження, випробування та приймання в експлуатацію;
- посадові особи, відповідальні за технічне обслуговування;
- посадові особи, відповідальні за забезпечення захисту інформації;
- реєстрація проведених робіт (технічне обслуговування, ремонт, модернізація тощо);
- відмітки про проведення перевірок КСЗІ;
- перелік технічних та експлуатаційних документів КСЗІ.
У разі обробки в ІТС таємної інформації здійснюється також обстеження фізичного
середовища, під час якого аналізується взаємне розміщення засобів обробки інформації ІТС на
ОІД, комунікацій, систем життєзабезпечення і зв’язку, а також режим функціонування цих
об’єктів.
Порядок проведення обстеження повинен відповідати ДСТУ 3396.1-96 «Технічний
захист інформації. Порядок проведення робіт», а в частині, що стосується захисту інформації
від витоку технічними каналами, - НД ТЗІ 3.1-001-07 «Створення комплексу технічного захисту
інформації. Передпроектні роботи».
Аналізу підлягають такі характеристики фізичного середовища:
- характеристика об’єктів, де розташовані компоненти ІТС (дані про інженерно-технічну
споруду, її частину або декілька споруд, приміщення тощо);
- архітектурно-будівельні особливості приміщень: огороджувальні будівельні
конструкції: стеля, підлога, стіни, перегородки (матеріал, товщина); підвісна стеля
(конструкція, матеріал); вікна, двері, інші отвори (кількість, матеріал, розміри).
- дані про складові об’єктів, що можуть впливати на показники ефективності
захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні
комунікації, обладнання, оргтехніка, телебачення, електроживлення, заземлення, газо-,
водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації,
технологічне обладнання, огороджувальні будівельні конструкції, світлопроникні отвори
приміщень, будинків, споруд тощо).
- наявність систем безпеки в установі, до яких може бути інтегрована КСЗІ
(відеоспостереження, пожежна та охоронна сигналізації, системи зв’язку);
- схеми розміщення комунікацій, обладнання систем електроживлення, у тому числі
трансформаторної підстанції;
- дані про складові об’єктів, які виходять за межу КЗ або її перетинають, застосування
яких не обґрунтовано виробничою необхідністю і які підлягають демонтуванню, у подальшому
застосуванні яких відсутня необхідність);
- опис систем заземлення (дані про перелік технічних засобів ІТС, що підлягають
заземленню);
- результати аналізу фізичного середовища та пропозиції щодо необхідності отримання
додаткових даних про можливі місця розміщення засобів технічної розвідки; проведення
випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД);
застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів
оброблення ІзОД, інших технічних засобів у захищеному виконанні).
За результатами комісія складає «Акт обстеження середовищ функціонування ІТС»,
який затверджується керівником організації-власника (розпорядника) ІТС і складається з таких
розділів:
- клас і склад обчислювальної системи,
- перелік і характеристики інформаційних ресурсів,
- перелік і повноваження користувачів,
- опис фізичного середовища (до акту додаються генеральний і ситуаційний плани,
схеми систем життєзабезпечення та заземлення).
Контрольні питання:
1. На які класи поділяються автоматизовані системи?
2. Які заходи здійснюються на першому етапі створення КСЗІ?
3. Які є категорії об’єктів інформаційної діяльності?
4. Які складові ІТС підлягають обстеженню?
5. Які документи складаються під час першого етапу?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 4. Положення про службу захисту інформації в ІТС
НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в АС»
встановлює вимоги до структури та змісту нормативного документу, що регламентує діяльність
служби захисту інформації (далі - СЗІ) - «Положення про СЗІ в ІТС».
В загальному випадку Положення повинно складатись з таких розділів:
- загальні положення;
- завдання служби захисту інформації;
- функції служби захисту інформації;
- повноваження і відповідальність служби захисту інформації;
взаємодія служби захисту інформації з іншими підрозділами організації та
зовнішніми підприємствами, установами, організаціями;
- штатний розклад та структура служби захисту інформації;
- організація робіт служби захисту інформації;
- фінансування служби захисту інформації.
В залежності від конкретних завдань і умов функціонування служби захисту інформації
дозволяється, у разі необхідності, поєднувати окремі розділи в один, вводити нові розділи
(підрозділи) або вилучати розділи, що не є актуальними.
До Положення у вигляді додатків можуть включатися нормативні документи, таблиці,
схеми, графіки, необхідні для визначення заходів захисту інформації, плани об’єктів захисту з
вказанням робочих місць та встановлених на них технічних засобів передачі, прийому,
зберігання, обробки інформації, що підлягає захисту та ін. документи.
Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби
безпеки, РСО, підрозділу ТЗІ) організації. Положення затверджується наказом керівника
організації або підрозділу, до якого структурно входить СЗІ.
У 1-му розділі «Загальні положення» викладаються правові та організаційні питання:
1. Положення є нормативним документом організації та визначає завдання, функції,
штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з
іншими підрозділами організації та зовнішніми організаціями.
2. СЗІ є штатним або позаштатним підрозділом організації. СЗІ є самостійним
структурним підрозділом з безпосередньою підпорядкованістю керівнику організації або
структурною одиницею іншого підрозділу (РСО, ТЗІ, служби безпеки) організації.
В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо
забезпечення захисту інформації в ІТС здійснюють призначені наказом керівника організації
окремі працівники. У цьому випадку посадові (функціональні) обов’язки цих працівників
повинні включати положення, які б передбачали виконання ними вимог щодо діяльності СЗІ.
3. Метою створення СЗІ є організаційне забезпечення завдань керування КСЗІ в ІТС та
здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення
вимог з захисту інформації в ІТС, проектування, розроблення і модернізації КСЗІ, а також з
експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності
інформації в ІТС.
4. Правову основу для створення і діяльності СЗІ становлять Закон України «Про захист
інформації в ІТС», «Правила забезпечення захисту інформації в ІТС», НД ТЗІ і накази
Адміністрації Держспецзв’язку.
5. СЗІ у своїй діяльності керується Конституцією України, законами України,
нормативно-правовими актами Президента України і Кабінету Міністрів України, іншими
нормативно-правовими актами з питань захисту інформації, державними і галузевими
стандартами, розпорядчими та іншими документами організації, а також цим Положенням.
СЗІ здійснює діяльність відповідно до «Плану захисту інформації в ІТС», календарних,
перспективних та інших планів робіт, затверджених керівником організації.
6. Для проведення окремих заходів з захисту інформації в АС, які пов’язані з напрямком
діяльності інших підрозділів організації, керівник організації своїм наказом визначає перелік,
строки виконання та підрозділи для виконання цих робіт.
7. У своїй роботі СЗІ взаємодіє з підрозділами організації (РСО, ТЗІ, служби безпеки), а
також з державними органами, установами та організаціями, що займаються питаннями
захисту інформації.
У разі потреби, до виконання робіт можуть залучатися зовнішні організації, що мають
ліцензії на відповідний вид діяльності у сфері захисту інформації.
У 2-му розділі «Завдання СЗІ» наводиться перелік таких завдань СЗІ:
захист законних прав щодо безпеки інформації організації, окремих її
структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою,
а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;
дослідження технології обробки інформації в ІТС з метою виявлення можливих
каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення
політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;
організація та координація робіт, пов’язаних з захистом інформації в ІТС,
необхідність захисту якої визначається її власником або чинним законодавством, підтримка
необхідного рівня захищеності інформації, ресурсів і технологій;
розроблення проектів нормативних і розпорядчих документів, чинних у межах
організації, згідно з якими повинен забезпечуватися захист інформації в ІТС;
організація робіт зі створення і використання КСЗІ на всіх етапах життєвого
циклу ІТС;
участь в організації професійної підготовки і підвищенні кваліфікації персоналу
та користувачів ІТС з питань захисту інформації;
формування у персоналу і користувачів розуміння необхідності виконання вимог
нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери
захисту інформації;
- організація забезпечення виконання персоналом і користувачами вимог нормативноправових актів, нормативних і розпорядчих документів з захисту інформації в ІТС та
проведення контрольних перевірок їх виконання.
3-й розділ «Функції СЗІ» складається з 3-х таких підрозділів:
- функції під час створення КСЗІ;
- функції під час експлуатації КСЗІ;
- функції з організації навчання персоналу з питань забезпечення захисту
інформації.
3.1. Функції під час створення КСЗІ:
визначення переліків відомостей, які підлягають захисту в процесі обробки, інших
об’єктів захисту в ІТС, класифікація інформації за вимогами до її конфіденційності або
важливості для організації, необхідних рівнів захищеності інформації, визначення порядку
введення (виведення), використання та розпорядження інформацією в ІТС;
розробка та коригування моделі порушника безпеки інформації та моделі загроз
для інформації, політики безпеки інформації та плану захисту інформації в ІТС;
визначення і формування вимог до КСЗІ, організація і координація робіт з
проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;
підготовка технічних пропозицій, рекомендацій щодо запобігання витоку
інформації технічними каналами та попередження спроб несанкціонованого доступу до
інформації під час створення КСЗІ;
організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;
вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за
дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з
підрозділом ТЗІ (РСО, службою безпеки) погодження основних технічних і розпорядчих
документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий
проекти, програма і методика випробувань, плани робіт тощо);
участь у розробці нормативних документів, чинних у межах організації і ІТС, які
встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та
встановлених правил експлуатації КСЗІ;
участь у розробці нормативних документів, чинних у межах організації і ІТС, які
встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми,
правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень,
наказів, рекомендацій тощо).
3.2. Функції під час експлуатації КСЗІ:
організація процесу керування КСЗІ;
розслідування випадків порушення політики безпеки, небезпечних та
непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку
даних таких подій;
вжиття заходів у разі виявлення спроб НСД до ресурсів ІТС, порушенні правил
експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
забезпечення контролю цілісності засобів захисту інформації
та швидке
реагування на їх вихід з ладу або порушення режимів функціонування;
організація керування доступом до ресурсів ІТС (розподілення між
користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів тощо);
супроводження та актуалізація бази даних захисту інформації (матриці доступу,
класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);
спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за
функціонуванням КСЗІ та її компонентів;
підготовка пропозицій щодо удосконалення порядку забезпечення захисту
інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;
організація та проведення заходів з модернізації, тестування, оперативного
відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;
участь в роботах з модернізації ІТС - узгодженні пропозицій з введення до складу
ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни
засобів обробки інформації тощо;
забезпечення супроводження і актуалізації еталонних, архівних і резервних копій
програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;
проведення аналітичної оцінки поточного стану безпеки інформації в ІТС
(прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення
необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої
політики безпеки поточній моделі загроз тощо);
інформування власників інформації про технічні можливості захисту інформації в
ІТС і типові правила, встановлені для персоналу і користувачів ІТС;
негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ,
проведення у таких випадках робіт з викриття порушника;
регулярне подання звітів керівництву організації-власника (розпорядника) АС
про виконання користувачами ІТС вимог з захисту інформації;
аналіз відомостей щодо технічних засобів захисту інформації нового покоління,
обгрунтування пропозицій щодо придбання засобів для організації;
контроль за виконанням персоналом і користувачами ІТС вимог, норм, правил,
інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому
числі контроль за забезпеченням режиму секретності у разі обробки в ІТС інформації, що
становить державну таємницю;
контроль за забезпеченням охорони і порядку зберігання документів (носіїв
інформації), які містять відомості, що підлягають захисту;
розробка і реалізація спільно з РСО (підрозділом ТЗІ, службою безпеки)
організації комплексних заходів з безпеки інформації під час проведення заходів з науковотехнічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під
час проведення нарад, переговорів тощо, здійснення їхнього технічного та інформаційного
забезпечення.
3.3. Функції з організації навчання персоналу з питань забезпечення захисту інформації:
розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та
персоналу ІТС;
розроблення спеціальних програм навчання, які б враховували особливості
технології обробки інформації в організації (ІТС), необхідний рівень її захищеності тощо;
участь в організації і проведенні навчання користувачів і персоналу ІТС правилам
роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;
взаємодія з державними органами, учбовими закладами, іншими організаціями з
питань навчання та підвищення кваліфікації;
участь в організації забезпечення навчального процесу необхідною матеріальною
базою, навчальними посібниками, нормативно-правовими актами, нормативними документами,
методичною літературою тощо.
4-й розділ «Повноваження та відповідальність СЗІ» складається з 3-х таких
підрозділів: права, обов’язки та відповідальність СЗІ.
4.1. СЗІ має право:
- здійснювати контроль за діяльністю будь-якого структурного підрозділу організації
(ІТС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з
захисту інформації;
- подавати керівництву організації пропозиції щодо призупинення процесу обробки
інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень
політики безпеки або у випадку виникнення реальної загрози порушення безпеки;
- складати і подавати керівництву організації акти щодо виявлених порушень політики
безпеки, готувати рекомендації щодо їхнього усунення;
- проводити службові розслідування у випадках виявлення порушень;
- отримувати доступ до робіт та документів структурних підрозділів організації (ІТС),
необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо
їхнього подальшого удосконалення;
- готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту
інформації інших організацій;
- готувати пропозиції щодо забезпечення ІТС (КСЗІ) необхідними технічними і
програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для
використання в Україні з метою забезпечення захисту інформації;
- виходити до керівництва організації з пропозиціями щодо подання заяв до відповідних
державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів
захисту інформації;
- узгоджувати умови включення до складу ІТС нових компонентів та подавати
керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту
політику безпеки або рівень захищеності ресурсів АС;
- надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для
здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено,
інших проектів, що потребують технічної підтримки з боку співробітників СЗІ;
- виходити до керівництва організації з пропозиціями щодо узгодження планів і
регламенту відвідування ІТС сторонніми особами;
- інші права, які надані СЗІ у відповідності з специфікою та особливостями діяльності
організації (ІТС).
4.2. СЗІ зобов’язана:
організовувати забезпечення повноти та якісного виконання організаційнотехнічних заходів з захисту інформації в ІТС;
вчасно і в повному обсязі доводити до користувачів і персоналу ІТС інформацію
про зміни в галузі захисту інформації, які їх стосуються;
перевіряти відповідність прийнятих в ІТС (організації) правил, інструкцій щодо
обробки інформації, здійснювати контроль за виконанням цих вимог;
здійснювати контрольні перевірки стану захищеності інформації в ІТС;
забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного
обслуговування засобів захисту інформації, встановлених в ІТС (організації);
сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими
органами перевірок стану захищеності інформації в ІТС;
сприяти (технічними та організаційними заходами) створенню і дотриманню умов
збереження інформації, отриманої організацією на договірних, контрактних або інших
підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
періодично, не рідше одного разу на місяць, подавати керівництву організації звіт
про стан захищеності інформації в ІТС і дотримання користувачами та персоналом АС
встановленого порядку і правил захисту інформації;
негайно повідомляти керівництво ІТС (організації) про виявлені атаки та
викритих порушників;
інші обов’язки, покладені на керівника та співробітників СЗІ у відповідності з
специфікою та особливостями діяльності ІТС (організації).
4.3. Відповідальність
1. Керівництво та співробітники СЗІ за невиконання або неналежне виконання
службових обов’язків, допущені ними порушення встановленого порядку захисту інформації в
ІТС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність
згідно з законодавством України.
Персональна відповідальність керівника та співробітників СЗІ визначається посадовими
(функціональними) інструкціями.
2. Відповідальність за діяльність СЗІ покладається на її керівника, який відповідає за:
організацію робіт з захисту інформації в ІТС, ефективність захисту інформації
відповідно до діючих нормативно-правових актів;
своєчасне розроблення і виконання «Плану захисту інформації в ІТС»;
якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених
у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації,
затверджених керівником організації;
координацію планів діяльності підрозділів та служб ІТС (організації) з питань
захисту інформації;
створення системи навчання співробітників, користувачів, персоналу ІТС з питань
захисту інформації;
виконання особисто та співробітниками СЗІ розпоряджень керівника організації,
правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та
протипожежної охорони.
3. Співробітники СЗІ відповідають за:
додержання вимог нормативних документів, що визначають порядок організації
робіт з захисту інформації, інформаційних ресурсів та технологій;
повноту та якість розроблення і впровадження організаційно-технічних заходів з
захисту інформації в ІТС, точність та достовірність отриманих результатів і висновків з питань,
що належать до компетенції СЗІ;
дотримання термінів проведення контрольних, інспекційних, перевірочних та
інших заходів з оцінки стану захищеності інформації в ІТС, які включені до плану робіт СЗІ;
якість та правомірність документального оформлення результатів робіт окремих
етапів створення КСЗІ, документального оформлення результатів перевірок;
інші питання персональної відповідальності, які покладені на керівника та
співробітників СЗІ у відповідності з специфікою та особливостями діяльності ІТС (організації).
У 5-му розділі «Взаємодія служби захисту інформації з іншими підрозділами
організації та зовнішніми організаціями» викладаються такі питання:
1. СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими
організаціями, державними органами та установами, що займаються питаннями захисту
інформації.
2. Заходи щодо захисту інформації в ІТС повинні бути узгоджені СЗІ з заходами
охоронної та режимно-секретної діяльності інших підрозділів організації.
СЗІ взаємодіє, узгоджує свою діяльність та встановлює зв’язки з:
РСО організації;
підрозділом ТЗІ організації;
підрозділом інформаційних технологій та іншими підрозділами організації,
виробнича діяльність яких пов’язана з захистом інформації або її автоматизованою обробкою;
службою безпеки організації;
зовнішніми організаціями, які є партнерами, користувачами, постачальниками,
виконавцями робіт;
підрозділами служб безпеки іноземних фірм (що є для організації партнерами,
користувачами, постачальниками, виконавцями робіт), їхніми представництвами (на договірних
або інших засадах);
іншими суб’єктами діяльності у сфері захисту інформації.
3. СЗІ координує свою діяльність з регіональним органом Держспецзв’язку під час
проведення перевірок стану захисту інфомації в ІТС.
4. Взаємодію з іншими підрозділами організації з питань, що безпосередньо не пов’язані
з захистом інформації, СЗІ здійснює у відповідності з наказами керівника організації.
У 6-му розділі «Штатний розклад та структура СЗІ» викладаються такі питання:
1. СЗІ є штатним або позаштатним підрозділом організації, безпосередньо
підпорядкованим керівнику організації або його заступнику, що відповідає за забезпечення
безпеки інформації. Або СЗІ є структурною (штатною або позаштатною) одиницею підрозділу
ТЗІ (РСО або служби безпеки) організації.
2. Структура СЗІ, її склад і чисельність визначається фактичними потребами ІТС для
виконання вимог політики безпеки інформації та затверджується керівництвом організації.
Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань щодо захисту
інформації в ІТС.
3. З метою ефективного функціонування та керування захистом інформації в ІТС СЗІ має
штатний розклад, який включає перелік функціональних обов’язків усіх співробітників,
необхідних вимог до рівня їхніх знань та навичок.
4. Безпосереднє керівництво роботою СЗІ здійснює її керівник. У випадку, коли СЗІ є
структурною одиницею підрозділу ТЗІ (РСО або служби безпеки) – керівник цього підрозділу.
Призначення та звільнення з посади керівника СЗІ здійснюється керівництвом організації за
узгодженням з особами, що відповідають за забезпечення безпеки інформації.
На час відсутності керівника СЗІ (у зв’язку з відпусткою, службовим відрядженням,
хворобою тощо) його обов’язки тимчасово виконує заступник керівника СЗІ, а у разі
відсутності такої посади – найбільш кваліфікований співробітник СЗІ або керівник підрозділу
ТЗІ (РСО або служби безпеки). Призначення на цю посаду позаштатних або тимчасово
працюючих співробітників забороняється.
5. Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту або
спеціальні курси підвищення кваліфікації у галузі ТЗІ та практичний досвід роботи, володіють
навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також
реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням
застосовувати нормативно-правові документи у сфері захисту інформації.
6. Функціональні обов’язки співробітників визначаються переліком і характером
завдань, які покладаються на СЗІ керівництвом ІТС (організації).
7. В залежності від обсягів і особливостей завдань СЗІ до її складу можуть входити
спеціалісти різного фаху з таких питань:
захисту інформації від витоку технічними каналами;
захисту каналів зв’язку і комутаційного обладнання;
налагодження і керування активним мережевим обладнанням;
керування базами даних захисту;
адміністрування засобів захисту;
захищених технологій обробки інформації.
8. За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії):
керівник СЗІ та його заступник;
адміністратори - системний, мережевий, безпеки, КСЗІ тощо;
спеціалісти служби захисту.
9. Зміна структури СЗІ здійснюється за рішенням керівництва організації та
затверджується наказом керівника організації.
У 7-му розділі «Організація роботи СЗІ» викладаються такі питання:
1. Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням
положень статуту організації, правил внутрішнього трудового розпорядку та встановлених в
організації норм техніки безпеки праці, гігієни і санітарії, інших розпорядчих документів
організації.
2. СЗІ здійснює реалізацію основних організаційних та організаційно-технічних заходів
щодо створення та забезпечення функціонування КСЗІ у відповідності з планами робіт.
Підставою для розроблення планів робіт є «План захисту інформації в ІТС».
До планів включаться такі основні заходи:
разові (які виконуються за умови перегляду прийнятих рішень з захисту
інформації або виникнення певних змін в ІТС чи зовнішньому середовищі);
періодичні (які виконуються з заданим інтервалом часу);
постійні (які виконуються бесперервно або дискретно у випадковий чи заданий
час).
Основними видами планів робіт СЗІ можуть бути:
календарний план робіт (щодо реалізації заходів з проектування, реалізації,
оцінювання, впровадження, технічного обслуговування, експлуатації КСЗІ та інших питань);
план заходів з оперативного реагування на непередбачені ситуації (в тому числі
надзвичайні та аварійні) та поновлення функціонування ІТС;
поточний план робіт (на місяць, квартал, рік);
перспективний план розвитку та удосконалення діяльності СЗІ з питань захисту
інформації (до 5 років);
план заходів з забезпечення безпеки інформації під час виконання окремих
важливих робіт, при проведенні нарад, укладенні договорів, угод тощо.
Плани робіт складаються керівником СЗІ після обговорення на виробничій нараді СЗІ
організаційно-технічних питань, що належать до її компетенції, і затверджуються керівником
організації або керівником підрозділу, до складу якого входить СЗІ.
3. Реорганізація або ліквідація СЗІ здійснюється за рішенням керівництва організації.
Реорганізаційна або ліквідаційна процедура здійснюється відповідною комісією, яка
створюється за наказом керівника організації.
4. З метою забезпечення конфіденційності робіт, які виконуються співробітниками СЗІ,
при прийомі на роботу (звільненні з роботи) вони дають письмові зобов’язання щодо
нерозголошення відомостей, що становлять службову, комерційну або іншу таємницю, і які
стали їм відомими в період роботи в організації.
5. Матеріально-технічну базу для забезпечення діяльності СЗІ складають належні їй на
правах власності (оперативного управління, повного господарського відання) засоби захисту
інформації, ПЗ, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна
документація, а також інші засоби і обладнання, які необхідні для виконання СЗІ покладених на
неї завдань.
Співробітники СЗІ відповідають за збереження майна, що є власністю або знаходиться у
розпорядженні служби.
Засоби захисту інформації та захищені засоби, що використовуються співробітниками
СЗІ при виконанні своїх службових обов’язків, повинні мати, одержаний у встановленому
порядку документ, що засвідчує їхню відповідність вимогам НД ТЗІ.
Матеріально–технічне та інше спеціальне забезпечення СЗІ здійснюється відповідними
підрозділами організації у встановленому порядку.
У 8-му розділі «Фінансування СЗІ» вказується, що СЗІ фінансується за рахунок:
коштів, що виділяються в організації на утримання органів управління;
прибутку організації (ІТС) та інших коштів за рішенням керівництва організації
або рішенням загальних зборів акціонерів;
коштів, отриманих за виконання СЗІ договірних робіт та надання послуг;
інших джерел фінансування, не заборонених законодавством.
Контрольні питання
1. Який документ визначає зміст і оформлення положення про СЗІ?
2. З яких розділів складається Положення про СЗІ в ІТС?
3. Які функції виконує СЗІ під час створення КСЗІ?
4. Які функції виконує СЗІ під час експлуатації КСЗІ?
5. Які права має СЗІ?
6. Які обов’язкі покладються на СЗІ?
7. Яку структуру та штатний розклад має СЗІ?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 5. Модель порушника безпеки інформації в ІТС
На підставі Акту обстеження та визначення загроз для ІТС СЗІ розробляє «Модель
порушника безпеки інформації в ІТС», яка затверджується керівником організації-власника
(розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту.
Модель порушника - це абстрактний формалізований або неформалізований опис дій
порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та
місце дії тощо. Як порушник розглядається особа, яка може одержати несанкціонований доступ
(далі - НСД) до роботи з включеними до складу ІТС засобами.
Модель порушника повинна визначати:
- можливі цілі порушника та їх градація за ступенями небезпечності для ІТС та
інформації, що потребує захисту;
- категорії персоналу, користувачів ІТС та сторонніх осіб, із числа яких може бути
порушник;
- припущення про кваліфікацію порушника;
- припущення про характер його дій.
Метою порушника можуть бути:
- отримання необхідної інформації у потрібному обсязі та асортименті;
- мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми
намірами (інтересами, планами);
- нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.
Порушники спочатку поділяються на дві основні групи: зовнішні та внутрішні.
Зовнішніх порушників можна розділити на:
- добре озброєну та технічно оснащену групу, що діє зовні швидко і напролом;
- поодиноких порушників, що не мають допуску на об'єкт і намагаються діяти потайки й
обережно, так як вони усвідомлюють, що сили реагування мають перед ним переваги.
Сторонні особи, що можуть бути порушниками:
- клієнти (представники організацій, громадяни);
- відвідувачі (запрошені з якого-небудь приводу);
- представники організацій, взаємодіючих з питань забезпечення систем життєдіяльності
організації (енерго-, водо-, теплопостачання тощо);
- представники конкуруючих організацій (іноземних служб) або особи, що діють за їх
завданням;
- особи, які випадково або навмисно порушили пропускний режим (без мети порушити
безпеку);
- будь-які особи за межами контрольованої зони.
Потенціальних внутрішніх порушників можна розділити на:
- допоміжний персонал об'єкту, що допущений на об'єкт, але не допущений до життєво
важливого центру ІТС;
- основний персонал, що допущений до життєво важливого центру (найбільш
небезпечний тип порушників);
- співробітників служби безпеки, які часто формально не допущені до життєво
важливого центру ІТС, але реально мають достатньо широкі можливості для збору необхідної
інформації і скоєння акції.
Серед внутрішніх порушників можна виділити такі категорії персоналу:
- користувачі (оператори) системи;
- персонал, що обслуговує технічні засоби (інженери, техніки);
- співробітники відділів розробки та супроводження програмного забезпечення
(прикладні та системні програмісти);
- технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та
інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти
ІТС);
- співробітники служби безпеки;
- керівники різних рівнів та посадової ієрархії.
Можна виділити також 3 основних мотиви порушень: безвідповідальність,
самоствердження та з корисною метою.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або
випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У більшості випадків
це наслідок некомпетентності або недбалості. Деякі користувачі вважають одержання доступу
до системних наборів даних значним успіхом, затіваючи свого роду гру заради
самоствердження або у власних очах, або в очах колег.
Порушення безпеки ІТС може бути викликано корисливим інтересом користувача ІТС.
У цьому випадку він буде цілеспрямовано намагатися подолати систему захисту для
несанкціонованого доступу до інформації в ІТС.
Усіх порушників можна класифікувати за рівнем знань про ІТС:
- знає функціональні особливості ІТС, основні закономірності формування в ній масивів
даних і потоків запитів до них, уміє користуватися штатними засобами;
- має високий рівень знань і досвід роботи з технічними засобами системи і їх
обслуговуванням;
- має високий рівень знань в області програмування й обчислювальної техніки,
проектування й експлуатації автоматизованих інформаційних систем;
- знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.
За рівнем можливостей (методам та засобам, що використовуються):
- застосовує чисто агентурні методи отримання відомостей;
- застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів
системи);
- використовує тільки штатні засоби та недоліки системи захисту для її подолання
(несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії
інформації, які можуть бути тайком пронесені крізь пости охорони;
- застосовує методи та засоби активного впливу (модифікація та підключення
додаткових технічних засобів, підключення до каналів передавання даних, впровадження
програмних закладок та використання спеціальних інструментальних та технологічних
програм).
За часом дії:
- у процесі функціонування (під час роботи компонентів системи);
- у період неактивності системи (у неробочий час, під час планових перерв у її роботі,
перерв для обслуговування та ремонтів і т.д.);
- як у процесі функціонування, так і в період неактивності системи.
За місцем дії:
- без доступу на контрольовану територію організації;
- з контрольованої території без доступу до будівель та споруджень;
- усередині приміщень, але без доступу до технічних засобів;
- з робочих місць кінцевих користувачів (операторів);
- з доступом у зону даних (баз даних, архівів тощо);
- з доступом у зону управління засобами забезпечення безпеки.
Враховуються також такі обмеження та припущення про характер дій можливих
порушників:
- робота з підбору кадрів і спеціальні заходи утруднюють можливість створення коаліцій
порушників, тобто злочинного угрупування (змови) і цілеспрямованих дій по подоланню
системи захисту двох і більше порушників;
- порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших
співробітників;
- НСД може бути наслідком помилок користувачів, адміністраторів, а також хиб
прийнятої технології обробки інформації тощо.
Припускається, що в своєму рівні порушник - це фахівець вищої кваліфікації, який має
повну інформацію про ІТС і засоби захисту. Така класифікація порушників є корисною для
використання в процесі оцінки ризиків, аналізу вразливості системи, ефективності існуючих і
планових заходів захисту.
За результатами формування моделі порушника обов'язково повинні бути визначені:
імовірність реалізації загрози, своєчасність виявлення та відомості про порушення.
Слід зауважити, що всі злочини, зокрема і комп’ютерні, здійснюються людиною.
Користувачі ІТС, з одного боку, є її складовою частиною, а з іншого - основною причиною і
рухаючою силою порушень і злочинів. Отже, питання безпеки захищених ІТС фактично є
питанням людських відносин та людської поведінки.
Модель порушників можна відобразити у вигляді таблиці, наприклад:
Для побудови моделі використовуються усі можливі категорії, ознаки та характеристики
порушників для більш точного їх аналізу, причому рівень загрози кожної з них вказується в
дужках і оцінюється за 4-бальною шкалою.
Таблиця 1 - Категорії порушників, визначених у моделі
Позначення
ПВ1
ПВ2
ПВ3
ПВ4
ПВ5
ПЗ1
ПЗ2
ПЗ3
ПЗ4
Визначення категорії
Внутрішні по відношенню до ІТС
Технічний персонал, який обслуговує будови та приміщення
(електрики, прибиральники тощо), в яких розташовані компоненти ІТС
Персонал, який обслуговує технічні засоби ІТС (інженери, техніки)
Користувачі (оператори) ІТС
Адміністратори ІТC, співробітники служби захисту інформації
Співробітники служби безпеки установи та керівники різних рівнів
Зовнішні по відношенню до ІТС
Відвідувачі (запрошені з будь-якого приводу)
Представники організацій, що взаємодіють з питань технічного
забезпечення (енерго-, водо-, теплопостачання і таке інше)
Хакери
Агенти конкурентів або закордонних спецслужб «під прикриттям»
Рівень
загрози
1
2
2
3
4
1
2
3
4
Таблиця 2 - Специфікація моделі порушника за мотивами здійснення порушень
Позначення
М1
М2
М3
М4
Мотив порушення
Безвідповідальність
Самоствердження
Корисливий інтерес
Професійний обов’язок (ПЗ4)
Рівень
загрози
1
2
3
4
Таблиця 3 - Специфікація моделі порушника за рівнем кваліфікації та обізнаності
щодо ІТС
ПознаОсновні кваліфікаційні ознаки порушника
Рівень
чення
загрози
К1
Володіє низьким рівнем знань, але вміє працювати з технічними
1
засобами ІТС
К2
Володіє середнім рівнем знань та практичними навичками роботи з
2
технічними засобами ІТС та їх обслуговування
К3
Володіє високим рівнем знань у галузі програмування та
3
обчислювальної техніки, проектування та експлуатації ІТС
К4
Знає структуру, функції й механізми дії засобів захисту інформації в
4
ІТС, їх недоліки та можливості
Таблиця 4 - Специфікація моделі порушника за показником можливостей
використання засобів та методів подолання системи захисту
ПознаХарактеристика можливостей порушника
Рівень
чення
загрози
З1
Може лише підслуховувати розмови у приміщеннях та підглядати у
1
документи на робочих місцях
З2
Використовує пасивні технічні засоби перехвату без модифікації
2
інформації та компонентів ІТС
З3
Використовує лише штатні засоби та недоліки системи захисту для її
3
подолання (несанкціоновані дії з використанням дозволених засобів), а
також компактні машинні носії інформації, які можуть бути приховано
пронесено крізь охорону
З4
Використовує технічні засоби активного впливу з метою модифікації
4
інформації та компонентів ІТС, дезорганізації систем обробки
інформації
Таблиця 5 - Специфікація моделі порушника за часом дії
Позначення
Ч1
Ч2
Ч3
Ч4
Характеристика можливостей порушника
Рівень
загрози
Під час повної бездіяльності ІТС з метою відновлення та ремонту
1
Під час призупинки компонентів ІТС з метою технічного
2
обслуговування та модернізації
Під час функціонування ІТС (або компонентів системи)
3
Як у процесі функціонування ІТС, так і під час призупинки
4
компонентів системи
Таблиця 6 - Специфікація моделі порушника за місцем дії
Позначення
Д1
Д2
Д3
Д4
Характеристика місця дії порушника
Усередині приміщень, але без доступу до технічних засобів ІТС
З робочих місць користувачів (операторів) ІТС
З доступом у зону зберігання баз даних, архівів тощо
З доступом у зону керування засобами забезпечення безпеки ІТС
Рівень
загрози
1
2
3
4
безпека
адмініс
корист
технік
електр
прибир
Посада
Виведемо два варіанти сумарного рівня загроз для окремих категорій можливих
порушників:
1) внутрішній порушник «ПВ» - варіант мінімальних загроз з причини
безвідповідального ставлення до виконання своїх посадових обов’язків;
2) зовнішній порушник «ПЗ4» (агент конкурентів або закордонних спецслужб «під
прикриттям») - варіант максимальних загроз з причини цілеспрямованих несанкціонованих дій
з метою модифікації або викрадення інформації.
Категорія
порушника
Мотив
порушення
Рівень
обізнаності
щодо ІТС
Можливості
щодо подолання
системи захисту
Можливості за
часом дії
Можливості за
місцем дії
Сума
загроз
ПВ1
1
ПЗ4
4
ПВ1
1
ПЗ4
4
ПВ2
2
ПЗ4
4
ПВ3
2
ПЗ4
4
ПВ4
3
ПЗ4
4
ПВ5
4
ПЗ4
4
М1
1
М4
4
М1
1
М4
4
М1
1
М4
4
М1
1
М4
4
М1
1
М4
4
М1
1
М4
4
К1
1
К4
4
К1
1
К4
4
К2
2
К4
4
К2
2
К4
4
К4
4
К4
4
К1
1
К4
4
З1
1
З4
4
З1
1
З4
4
З1
1
З4
4
З1
1
З4
4
З1
1
З4
4
З1
1
З4
4
Ч4
4
Ч4
4
Ч1
3
Ч1
3
Ч4
4
Ч4
4
Ч3
3
Ч3
3
Ч4
4
Ч4
4
Ч4
4
Ч4
4
Д1
1
Д1
1
Д1
1
Д1
1
Д3
2
Д3
2
Д2
2
Д2
2
Д4
4
Д4
4
Д3
3
Д3
3
9
21
8
20
12
22
11
21
17
24
14
23
Після зведення усіх даних 1-го варіанту в одну таблицю отримаємо таку табличну
«Модель внутрішнього порушника політики безпеки інформації»:
Категорія
порушника
«ПВ»
Служба
безпеки
Адміністратор ІТС
Користувач
Технік ІТС
Електрик
Прибиральник
Мотив
порушення
Рівень
обізнаності
щодо ІТС
Можливості
щодо подолання
системи захисту
Можливості за
часом дії
Можливості за
місцем дії
Сума
загроз
М1
К1
З1
Ч4
Д3
14
М1
К4
З1
Ч4
Д4
17
М1
М1
М1
К2
К2
К1
З1
З1
З1
Ч3
Ч4
Ч1
Д2
Д3
Д1
11
12
8
М1
К1
З1
Ч4
Д1
9
Висновок: з останньої таблиці видно, що найбільшу загрозу, що має відношення до
проблеми захисту інформації становить адміністратор ІТС. Тому організація роботи цієї особи
повинна бути найбільш контрольованою.
Те, що основною загрозою є персонал ІТС, підтверджують і дані, опубліковані у 2010
році американським інститутом комп′ютерної безпеки (Сан-Франциско, штат Каліфорнія),
згідно з якими порушення захисту комп'ютерних систем відбувається з таких причин:
- несанкціонований доступ - 2 %
- ураження вірусами - 3 %;
- технічні відмови апаратури мережі - 20 %;
- цілеспрямовані дії персоналу - 20 %;
- помилки персоналу (недостатній рівень кваліфікації) - 55%.
Таким чином, основною потенційною загрозою для інформації в ІТС слід вважати
цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони становлять 75 % усіх
випадків.
Контрольні питання:
1. Що повинна визначити Модель порушника безпеки інформації?
2. За якими ознаками класифікуються порушники безпеки інформації?
3. Як є основні групи порушників по відношенню до ІТС?
4. Як класифікуються порушники за рівнем знань і можливостей?
5. Як класифікуються порушники за місцем і часом дії?
6. Які порушники становлять найбільшу загрозу для безпеки інформації?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 6. Модель загроз для інформації в ІТС
Після проведення обстеження середовищ ІТС необхідно визначити всі можливі
потенційні загрози для ІТС.
Походження загроз може бути випадковим і навмисним. Випадкове походження
обумовлюється спонтанними і не залежними від волі людей обставинами, що виникають в ІТС
в процесі її функціонування. Найбільш відомими подіями цього плану є відмови, збої, помилки,
стихійні лиха та побічні впливи. Сутність перерахованих подій (окрім стихійних лих, сутність
яких незрозуміла) визначається таким чином:
- відмова - порушення працездатності якого-небудь елемента системи, що призводить до
неможливості виконання нею основних своїх функцій;
- збій - тимчасове порушення працездатності якого-небудь елемента системи, наслідком
чого може бути неправильне виконання ним у цей момент своєї функції;
- помилка - неправильне (разове або систематичне) виконання елементом однієї або
декількох функцій, що відбувається внаслідок специфічного (постійного або тимчасового) його
стану;
- побічний вплив - негативний вплив на систему в цілому або окремі її елементи,
чиниться будь-якими явищами, що відбуваються всередині системи або у зовнішньому
середовищі.
Навмисне походження загроз обумовлюється зловмисними діями людей.
Передумови появи загроз можуть бути об'єктивними (кількісна або якісна
недостатність елементів системи) і суб'єктивними. До останніх відносяться діяльність
розвідувальних органів іноземних держав, промислове шпигунство, діяльність кримінальних
елементів, дії недобросовісного персоналу ІТС.
Перераховані різновиди передумов інтерпретуються таким чином:
- кількісна недостатність - фізична нестача одного або декількох елементів системи, що
викликає порушення технологічного процесу обробки даних і / або перевантаження наявних
елементів.
- якісна недостатність - недосконалість конструкції (організації) елементів системи, в
силу цього можуть з'являтися можливості випадкового або навмисного негативного впливу на
оброблювану або збережену інформацію.
Джерело загрози - це безпосередній їх генератор або носій. Таким джерелом можуть
бути люди, технічні засоби, моделі (алгоритми), а також - програми, технологічні схеми
обробки, зовнішнє середовище.
Спробуємо тепер, спираючись на наведену системну класифікацію загроз безпеки
інформації, визначити повне безліч погроз, потенційно можливих у сучасних автоматизованих
системах. При цьому ми повинні врахувати не лише всі відомі (раніше проявлялися) загрози,
але й такі загрози, які раніше не виявлялися, але потенційно можуть виникнути при
застосуванні нових концепцій архітектурного побудови АС і технологічних схем обробки
інформації.
Всі можливі канали витоку інформації (далі - КВІ) можна класифікувати за двома
критеріями: необхідністю доступу до елементів ІТС для реалізації того чи іншого КВІ і
залежністю появи КВІ від стану ІТС.
За першим критерієм КВІ можуть бути розділені на такі, що:
- не вимагають доступу, тобто дозволяють отримувати необхідну інформацію
дистанційно (наприклад, шляхом візуального спостереження через вікна приміщень ІТС),
- вимагають доступу в приміщення ІТС. У свою чергу, такі канали можуть не залишити
слідів в ІТС (наприклад, візуальний перегляд зображень на екранах моніторів або документів на
паперових носіях), а можуть і залишити ті чи інші сліди (наприклад, розкрадання документів
або машинних носіїв інформації).
За другим критерієм КВІ можуть бути розділені на:
- потенційно існуючі незалежно від стану ІТС (наприклад, викрадати носії інформації
можна незалежно від того, в робочому стані знаходяться кошти АС чи ні);
- існуючі тільки в робочому стані ІТС (наприклад, побічні електромагнітні
випромінювання та наведення).
Наведемо орієнтовну характеристику каналів несанкціонованого отримання інформації
виділених нами класів:
1-го класу - канали, які проявляються безвідносно до обробки інформації і без доступу
зловмисника до елементів системи. Сюди може бути віднесено підслуховування розмов, а
також провокування на розмови осіб, що мають відношення до ІТС, і використання
зловмисником візуальних, оптичних та акустичних засобів.
2-го класу - канали, які у процесі обробки інформації без доступу зловмисника до
елементів ІТС. Сюди можуть бути віднесені електромагнітні випромінювання різних пристроїв
ІТС, апаратури та ліній зв'язку, паразитні наведення в ланцюгах харчування, телефонних
мережах, системах теплопостачання, вентиляції тощо.
3-го класу - канали, які проявляються безвідносно до обробки інформації з доступом
зловмисника до елементів ІТС, але без зміни останніх. До них відносяться всілякі види
копіювання носіїв інформації і документів, а також розкрадання виробничих відходів.
4-го класу - канали, які у процесі обробки інформації з доступом зловмисника до
елементів ІТС, але без зміни останніх. Сюди може бути віднесено запам'ятовування і
копіювання інформації в процесі обробки, використання програмних пасток тощо.
5-го класу - канали, які проявляються безвідносно до обробки інформації з доступом
зловмисника до елементів ІТС і зі зміною програмних або апаратних засобів. Серед цих
каналів: підміна і розкрадання носіїв інформації й апаратури, включення до програм блоків
типу троянський кінь, комп'ютерний черв'як тощо.
6-го класу - канали, які у процесі обробки інформації з доступом зловмисника до
елементів ІТС і зі зміною останніх. Сюди може бути віднесено незаконне підключення до
апаратури та ліній зв'язку, а також зняття інформації на шинах живлення різних елементів ІТС.
На підставі Акту обстеження та Моделі порушника політики безпеки СЗІ розробляє
«Модель загроз для інформації в ІТС», яка затверджується керівником організації-власника
(розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та
Технічного завдання на створення КСЗІ. Модель загроз має містити абстрактний
формалізований або неформалізований опис методів і засобів здійснення загроз для інформації,
яка потребує захисту.
Модель загроз повинна визначити:
- перелік можливих типів загроз, класифікований за результатом впливу на інформацію,
тобто на порушення яких її властивостей вони спрямовані (конфіденційності, цілісності або
доступності інформації);
- перелік можливих способів реалізації загроз певного типу (способів атак) відносно
різних інформаційних об’єктів ІТС у різному стані класифікований, наприклад, за такими
ознаками, як компонент обчислювальної системи ІТС або програмний засіб, уразливості яких
експлуатуються порушником, причини виникнення відповідної уразливості тощо.
Загрози для інформації, що обробляється в ІТС, залежать від характеристик ОС,
апаратного складу, програмних засобів, фізичного середовища, персоналу, технологій обробки
та інших чинників і можуть мати об'єктивну або суб'єктивну природу.
Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та
навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути
реалізовані стосовно ІТС і повинні враховуватись у моделі загроз, наприклад:
- зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа
або інші випадкові події);
- збої та відмови у роботі технічних або програмних засобів (далі - ПЗ) ІТС;
- наслідки помилок під час проектування та розробки компонентів ІТС (технічних
засобів, технології обробки інформації, ПЗ, засобів захисту, структур даних тощо);
- помилки персоналу (користувачів) ІТС під час експлуатації;
- навмисні дії (спроби) потенційних порушників.
Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або
користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть
бути:
- дії, що призводять до відмови ІТС (окремих компонентів), руйнування апаратних,
програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм
тощо);
- ненавмисне пошкодження носіїв інформації;
- неправомірна зміна режимів роботи ІТС (окремих компонентів, обладнання, ПЗ тощо),
ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у
системі (наприклад, форматування носіїв інформації);
- неумисне зараження ПЗ комп’ютерними вірусами;
- невиконання вимог до організаційних заходів захисту чинних в ІТС розпорядчих
документів;
- помилки під час введення даних в систему, виведення даних за невірними адресами
пристроїв, внутрішніх і зовнішніх абонентів тощо;
- будь-які дії, що можуть призвести до розголошення конфіденційних відомостей,
атрибутів розмежування доступу, втрати атрибутів тощо;
- неправомірне впровадження та використання заборонених політикою безпеки ПЗ
(наприклад, навчальні та ігрові програми, системне і прикладне забезпечення тощо);
- наслідки некомпетентного застосування засобів захисту тощо.
Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи
ІТС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання
можливості несанкціонованого доступу до її ресурсів, можуть бути:
- порушення фізичної цілісності ІТС (окремих компонентів, пристроїв, обладнання,
носіїв інформації);
- порушення режимів функціонування (виведення з ладу) систем життєзабезпечення ІТС
(електроживлення, заземлення, охоронної сигналізації, кондиціонування тощо.);
- порушення режимів функціонування ІТС (обладнання і ПЗ);
- впровадження та використання комп’ютерних вірусів, закладних (апаратних і
програмних) і підслуховуючих пристроїв, інших засобів розвідки;
- використання (шантаж, підкуп тощо) з корисливою метою персоналу ІТС;
- крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
- несанкціоноване копіювання носіїв інформації;
- читання залишкової інформації з оперативної пам’яті ЕОТ, зовнішніх накопичувачів;
- одержання атрибутів доступу з наступним їх використанням для маскування під
зареєстрованого користувача;
- неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються,
аналіз трафіку тощо;
- впровадження та використання забороненого політикою безпеки ПЗ або
несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної
інформації (наприклад, аналізаторів безпеки мереж);
- інші.
Перелік суттєвих загроз має бути максимально повним і деталізованим.
Для кожної з загроз необхідно визначити:
1) на порушення яких властивостей інформації або ІТС вона спрямована:
- загрози конфіденційності - несанкціоноване ознайомлення з інформацією;
- загрози цілісності - несанкціонована модифікація (спотворення, фальсифікація,
викривлення) інформації;
- загрози доступності - порушення можливості використання ІТС або оброблюваної
інформації (відмова в обслуговуванні користувача);
- загрози спостережності та керованості ІТС - відмова в ідентифікації, автентифікації та
реєстрації небезпечних дій;
2) джерела виникнення (які суб’єкти ІТС або суб’єкти, зовнішні по відношенню до неї,
можуть ініціювати загрозу);
- персонал ІТС;
- технічні засоби ІТС;
- моделі, алгоритми, програми ІТС;
- технологія функціонування ІТС;
- зовнішнє середовище.
3) можливі способи здійснення (механізм реалізації) загроз:
- шляхом підключення до апаратури та ліній зв’язку,
- маскування під зареєстрованого користувача,
- подолання заходів захисту з метою використання інформації або нав’язування хибної
інформації,
- застосування закладних пристроїв чи програм, вкорінення комп’ютерних вірусів.
Опис моделі загроз (у частині, що стосується переліку можливих способів реалізації
загроз та їх класифікації), має бути викладений настільки детально, щоб дозволяти (на етапі
аналізу ризиків, пов’язаних з реалізацією загроз для інформації в ІТС) однозначне визначення
як збитків, що завдаються у випадку успішної реалізації загрози, так і ймовірності реалізації
загрози (здійснення атаки) в певний спосіб.
Модель загроз можна відобразити у вигляді таблиці, наприклад:
№
№
1.1.
1.2.
1.3.
1.4.
1.5.
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.6
2.3
2.3.1
2.4.2
Потенційні загрози для інформації в ІТС
1. Загрози об’єктивної природи
Стихійні явища (пожежа, аварії)
Збої та відмови системи електроживлення
Збої та відмови обчислювальної техніки
Збої, відмови та пошкодження носіїв інформації
Збої та відмови програмного забезпечення
2. Загрози суб’єктивної природи
Зовнішні загрози
Несанкціоноване підключення до технічних засобів
Несанкціоноване підключення до каналів звязку
Читання даних, що виводяться на екран, роздруковуються, читання
залишених без догляду документів
Несанкціоноване перехоплення інформації за рахунок витоку
інформації за рахунок ПЕМВН
Несанкціонований перегляд інформації за рахунок візуальнооптичного каналу
Порушення нормальних режимів роботи
Зараження системи комп’ютерними вірусами
Втрата (розголошення) засобів розмежування доступу (паролів),
магнітних носіїв інформації та резервних копій
Несанкціоноване внесення змін у технічні засоби, програмне
забезпечення, компоненти інформаційного забезпечення тощо
Використання недозволеного програмного забезпечення або
модифікація компонентів програмного та інформаційного
забезпечення
Пошкодження носіїв інформації
Вхід у систему недопущених осіб (подолання систем захисту)
Помилки персоналу
Помилки користувачів (впровадження і використання програм, що
не є необхідними для виконання службових обов’язків; запуск
програм, здатних викликати критичні зміни в системі)
Помилки адміністраторів (неправильне конфігурування та
адміністрування системи захисту, операційної системи;
неправомірне відключення засобів захисту).
Ризики для
К Ц Д С
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
2.3.3 Порушення технології обробки, введення та виведення інформації,
роботи з МНІ (резервними копіями, еталонами та дистрибутивами)
2.3.4 Недбале зберігання та облік документів, носіїв інформації, баз
даних
2.3.5 Отримання сторонньою особою інформації у персоналу ІТС
+
+
+
+
+
+
+
Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків:
- високий - якщо реалізація загрози надає великих збитків (3 бали);
- середній - якщо реалізація загрози надає помірних збитків (2 бали);
- низький - якщо реалізація загрози надає незначних збитків (1 бал).
Варіант Моделі загроз з урахуванням рівня ризиків та збитків:
1. Загрози конфіденційності інформації
№
К.1
К.2
К.3
К.4
К.5
К.6
К.7
Механізм реалізації
Ненавмисне ознайомлення з ІзОД під час співбесід
персоналу ІТС зі сторонніми особами
Втрата носіїв ІзОД з причини безвідповідального
ставлення до виконання обв’язків
Перегляд ІзОД на екранах моніторів або робочих
місцях користувачів ІТС сторонніми особами
Копіювання ІзОД на зовнішні носії з метою
несанкціонованого ознайомлення сторонніх осіб
Роздрукування ІзОД з метою несанкціонованого
ознайомлення сторонніх осіб
Викрадення носіїв ІзОД з метою несанкціонованого
ознайомлення сторонніх осіб
Безпосередній доступ до ІзОД будь-яким способом
сторонніх осіб
Рівень
Сума
ризиків збитків загроз
середній високий
5
2
3
низький високий
4
1
3
середній високий
5
2
3
високий високий
6
3
3
середній високий
5
2
3
низький високий
4
1
3
низький високий
4
1
3
2. Загрози цілісності інформації
№
Ц.1
Ц.2
Ц.3
Ц.4
Ц.5
Ц.6
Ц.7
Механізм реалізації
Помилки (ненавмисні) користувачів ІТС, які призвели
до модифікації або втрати інформації на жорсткому
диску або зовнішніх носіях
Несанкціонована (навмисне) модифікація або
знищення інформації персоналом ІТС на жорсткому
диску або зовнішніх носіях
Ненавмисне пошкодження носіїв інформації
користувачами АС, яке призвело до модифікації або
втрати інформації
Навмисне пошкодження носіїв інформації
користувачами ІТС, яке призвело до модифікації або
втрати інформації
Помилки (ненавмисні) адміністраторів ІТС при
налагодженні засобів захисту та системного ПЗ, в
наслідок яких стала можливою модифікація ІзОД
Прояви помилок системного ПЗ, в наслідок яких стала
можливою модифікація інформації або її знищення
користувачами
Безпосередній доступ до інформації будь-яким
способом сторонніми особами
Рівень
ризиків
збитків
середній
2
середній
2
4
середній
2
середній
2
4
середній
2
середній
2
4
низький
1
середній
2
3
середній
2
середній
2
4
середній
2
середній
2
4
низький
1
середній
2
3
Сума
загроз
3. Загрози доступності інформації
№
Д.1
Д.2
Д.3
Д.4
Д.5
Д.6
Д.7
Механізм реалізації
Помилки (ненавмисні) користувачів ІТС, які призвели
до втрати доступності
Помилки (ненавмисні) адміністраторів ІТС, які
призвели до втрати доступності
Некоректне налагодження засобів захисту АБ, яке
призвело до втрати доступності
Ненавмисне пошкодження парольних носіїв
персоналом ІТС, що призвело до втрати доступності
Навмисне пошкодження парольних носіїв персоналом
ІТС, яке призвело до втрати доступності
Прояви помилок системного ПЗ, яке призвело до
втрати доступності
Безпосередній доступ до ІТС будь-яким способом
сторонніх осіб
Рівень
Сума
ризиків збитків загроз
середній середній
4
2
2
середній середній
4
2
2
середній середній
4
2
2
середній середній
4
2
2
середній середній
4
2
2
середній середній
4
2
2
низький середній
3
1
2
4. Загрози спостережності ІТС
№
Н.1
Н.2
Н.3
Н.4
Н.5
Н.6
Н.7
Механізм реалізації
Помилки (ненавмисні) персоналу ІТС, які призвели до
втрати спостережності
Помилки (ненавмисні) адміністраторів ІТС, які
призвели до втрати спостережності
Некоректне налагодження засобів захисту
адміністраторами ІТС, яке призвело до втрати
спостережності
Порушення спостережності користувачами ІТС
внаслідок навмисного переповнення протоколів аудиту
Порушення спостереженості внаслідок пошкодження, у
тому числі навмисного, поточних протоколів аудиту,
архівів та носіїв з архівами протоколів аудиту
Прояви помилок системного ПЗ, яке призвело до
втрати спостережності
Безпосередній доступ до ІТС будь-яким способом
сторонніх осіб
Рівень
Сума
ризиків збитків загроз
низький середній
3
1
2
середній високий
5
2
3
низький
1
високий
3
4
середній
2
середній
2
4
низький
1
високий
3
4
середній
2
низький
1
високий
3
високий
3
5
4
Модель загроз з розрахунком сумарного рівня ризиків та збитків:
№
Види загроз
1
2
3
4
5
6
7
1
2
3
4
конфіденційності
спостережності
доступності
цілісності
5
3
4
4
4
5
4
4
5
4
4
4
6
4
4
3
5
4
4
4
4
5
4
4
4
4
3
3
Сума
загроз
33
29
27
25
Варінт Моделі загроз для розподілених обчислювальних мереж (Матов О.Я.,
Василенко В.С. Модель загроз у розподілених мережах):
№
Вид загроз
Ймовір
-ність
Що порушує
Рівень
шкоди
висока
к, ц, д
відсутня
Механізм реалізації
Моніторинг (розвідка) мережі
1
Розвідка, аналіз трафіка
Перехоплення інформації,
що пересилається, у
незашифрованому вигляді
в широкомовному
середовищі передачі даних,
відсутність виділеного
каналу зв’язку між
об’єктами РОМ
Несанкціонований доступ до інформаційних ресурсів
1
Підміна (імітація)
довіреного об’єкта або
суб’єкта РОМ із підробкою
мережних адрес тих
об’єктів, що атакують
висока
к, ц, д
середній
2
Зміна маршрутизації
неприпустимо
висока
к, ц, д
низький
3
Селекція потоку інформації
висока
та збереження її шляхом
впровадження в розподілену
обчислювальну систему
хибних об’єктів (атаки типу
«людина всередині»)
Подолання систем
висока
адміністрування доступом
до робочих станцій,
локальних мереж і
захищеного інформаційного
об’єкта, заснованих на
атрибутах робочих станцій
чи засобів управління
доступом і маршрутизації
(маскування) відповідних
мереж — (файрволів, проксісерверів, маршрутизаторів
тощо)
к, ц, д
високий
к, ц, д
високий
4
Фальсифікація (підробка
мережних адрес ІР-адреси,
повторне відтворення
повідомлень при
відсутності вір туального
каналу, недостатні
ідентифікації та
автентифікації при
наявності віртуального
каналу
Зміна параметрів
маршрутизації й змісту
інформації, що
передається, внаслідок
відсутності контролю за
маршрутом повідомлень чи
відсутності фільтрації
пакетів із невірною
адресою
Використання недоліків
алгоритмів віддаленого
пошуку
Використання недоліків
систем ідентифікації та
автентифікації, заснованих
на атрибутах користувача
(ідентифікатори, паролі,
біометричні дані та т.ін.).
Недостатні ідентифікації та
автентифікації об’єктів
РОМ, зокрема, адреси
відправника
Специфічні загрози інформаційним об’єктам
1
Подолання криптографічної
захищеності інформаційних
об’єктів, що перехоплені
низька
к
високий
2
Подолання криптографічної
захищеності інформаційних
об’єктів робочих станцій
низька
к
високий
3
Модифікація переданих
даних, даних чи
програмного коду, що
зберігаються в елементах
обчислювальних систем
висока
ц, д
високий
4
Блокування сервісу чи
перевантаження запитами
системи управління
доступом (відмова в
обслуговуванні)
висока
д
високий
Використання витоків
технічними каналами,
вилучення із мережі
специфічних вірусних атак
шляхом впровадження
програм-шпигунів
(spyware) із розкриттям
ключових наборів
Несанкціонований доступ
до інформаційних об’єктів
із використанням недоліків
систем ідентифікації та
автентифікації, заснованих
на атрибутах користувача
(ідентифікатори, паролі,
біометричні дані та т.ін.) із
розкриттям ключових
наборів
Модифікація чи підміна
інформаційних об’єктів
(програмних кодів) чи їхніх
частин шляхом
впровадження руйнуючих
програмних засобів чи
зміни логіки роботи
програмного файлу із
використанням
спеціальних типів вірусних
атак, спроможних
здійснити те чи інше
порушення цілісності
Використання атак типу
«спрямований шторм» (Syn
Flood), передачі на об’єкт,
що атакується,
некоректних, спеціально
підібраних запитів
Використання анонімних
(чи із модифікованими
адресами) запитів на
обслуговування типу
електронної пошти (spam)
чи вірусних атак
спеціального типу
Контрольні питання:
1. Що повинна визначити Модель загроз для інформації в ІТС?
2. Які можуть бути випадкові загрози суб’єктивної природи?
3. Які можуть бути навмисні загрози суб’єктивної природи?
4. Які складові кожної з загроз необхідно визначити в Моделі?
5. Які можуть бути загрози конфіденційності інформації?
6. Які можуть бути загрози цілісності інформації?
7. Які можуть бути загрози доступності інформації?
8. Які можуть бути загрози спостережності ІТС?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 7. Формування завдань та варіанту побудови КСЗІ
Останній крок 1-го етапу «Формування вимог до КСЗІ в ІТС» складається з таких
робіт:
1. Формування завдання на створення КСЗІ в ІТС.
2. Аналіз ризиків реалізації загроз для інформації в ІТС.
3. Вибір варіанту побудови та складу КСЗІ в ІТС.
4. Оформлення звіту за результатами проведеної роботи.
1. Формування завдання на створення КСЗІ
Під час цього кроку визначаються завдання захисту інформації та відповідні ним
напрями забезпечення її захисту, в результаті чого визначається конкретний варіант
забезпечення безпеки інформації.
Завданнями захисту інформації можуть бути:
- забезпечення необхідних властивостей інформації (конфіденційності, цілісності,
доступності) під час створення та експлуатації ІТС;
- своєчасне виявлення та знешкодження загроз для ресурсів ІТС, причин та умов, які
спричиняють (можуть привести до) порушення її функціонування та розвитку;
- створення механізму та умов оперативного реагування на загрози для безпеки
інформації, інші прояви негативних тенденцій у функціонуванні ІТС;
- ефективне знешкодження (попередження) загроз для ресурсів ІТС шляхом
комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних
та інших заходів забезпечення безпеки;
- керування засобами захисту інформації, керування доступом користувачів до ресурсів
ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби
НСД до ресурсів ІТС;
- реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають
відношення до безпеки інформації;
- створення умов для максимально можливого відшкодування та локалізації збитків, що
завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом
зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків
порушення безпеки на функціонування ІТС.
Концепція безпеки інформації розкриває основні напрями забезпечення безпеки
інформації. Розроблення концепції здійснюється після вибору варіанту концепції створюваної
ІТС і виконується на підставі аналізу таких чинників:
- правових і (або) договірних засад;
- вимог до забезпечення безпеки інформації згідно з завданнями і функціями ІТС;
- загроз, яким зазнають впливу ресурси ІТС, що підлягають захисту.
За результатами аналізу мають бути сформульовані загальні положення безпеки, які
стосуються або впливають на технологію обробки інформації в ІТС:
- мета і пріоритети, яких необхідно дотримуватись в ІТС під час забезпечення безпеки
інформації;
- загальні напрями діяльності, необхідні для досягнення цієї мети;
- аспекти діяльності у галузі безпеки інформації, які повинні вирішуватися на рівні
організації в цілому;
- відповідальність посадових осіб та інших суб’єктів взаємовідносин в ІТС, їхні права і
обов'язки щодо реалізації завдань безпеки інформації.
Вибір основних рішень щодо забезпечення безпеки інформації розглядається на 3-х
рівнях:
- правовому;
- організаційному;
- технічному.
На правовому рівні повинні бути вироблені підходи щодо:
- підтримки керівництвом організації заходів з забезпечення безпеки інформації в ІТС,
виконання правових вимог з захисту інформації, визначення відповідальності посадових осіб,
організаційної структури, комплектування і розподілу обов'язків співробітників СЗІ;
- процедур доведення до персоналу і користувачів ІТС основних положень політики
безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;
- системи контролю за своєчасністю, ефективністю і повнотою реалізації в ІТС рішень з
захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.
На організаційному рівні повинні бути вироблені підходи щодо:
- застосування режимних заходів на об’єктах ІТС;
- забезпечення фізичного захисту обладнання ІТС, носіїв інформації, інших ресурсів;
- порядку виконання робіт з захисту інформації, взаємодії з цих питань з іншими
суб’єктами системи ТЗІ в Україні;
- виконання робіт з модернізації ІТС (окремих компонентів);
- регламентації доступу сторонніх користувачів до ресурсів ІТС;
- регламентації доступу власних користувачів і персоналу до ресурсів ІТС;
- здійснення профілактичних заходів (наприклад, попередження ненавмисних дій, що
призводять до порушення політики безпеки, попередження появи вірусів тощо);
- реалізації окремих положень політики безпеки, найбільш критичних з точки зору
забезпечення захисту аспектів (наприклад, організація віддаленого доступу до ІТС,
використання мереж передачі даних загального користування, зокрема Интернет тощо).
На технічному рівні повинні бути вироблені підходи щодо застосування технічних і
програмно-технічних засобів, які реалізують задані вимоги з захисту інформації. Під час
розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:
- інженерно-технічне обладнання приміщень, в яких розміщуються компоненти ІТС;
- реєстрація санкціонованих користувачів ІТС, авторизація користувачів в системі;
- керування доступом до інформації і механізмів, що реалізують послуги безпеки,
включаючи вимоги до розподілу ролей користувачів і адміністраторів;
- виявлення та реєстрація небезпечних подій з метою здійснення повсякденного
контролю;
- перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в
ІТС;
- забезпечення конфіденційності інформації, у тому числі
використання
криптографічних засобів;
- резервне копіювання критичних даних, супроводження архівів даних і ПЗ;
- відновлення роботи ІТС після збоїв, відмов, особливо для систем із підвищеними
вимогами до доступності інформації;
- захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих
доповнень і змін;
- забезпечення функціонування засобів контролю.
2. Аналіз ризиків реалізації загроз
Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей
загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої
заподіяної ними шкоди) і визначається перелік суттєвих загроз для ІТС.
Аналіз ризиків полягає в моделюванні картини появи несприятливих умов за допомогою
обліку всіх можливих чинників, що визначають ризик, які можна назвати вхідними
параметрами:
- активи - ключові компоненти інфраструктури ІТС, що залучені в технологічний процес
і мають певну цінність;
- вразливості - слабкість в засобах захисту, викликана помилками або недосконалістю в
процедурах, проекті, реалізації, яка може бути використана для проникнення в ІТС;
- загроза, реалізація якої можлива за допомогою використання вразливості;
- збиток, який оцінюється з урахуванням витрат на відновлення ІТС після можливого
інциденту інформаційної безпеки.
Процес аналізу ризиків включає:
- оцінку можливих втрат з-за успішно проведених атак на ІТС;
- оцінку вірогідності виявлення вразливостей системи, що впливає на оцінку можливих
втрат;
- вибір оптимальних за витратами заходів і засобів захисту, які скорочують ризик до
прийнятного рівня.
З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
- для об'єктів ІТС;
- для процесів, процедур і програм обробки інформації;
- для каналів зв'язку;
- для побічних електромагнітних випромінювань і наведень;
- для механізмів керування системою захисту.
Керування ризиками – це процес, що складається в послідовному виконанні з 3-х
основних етапів:
- визначення ризиків в незахищеній ІТС;
- застосування засобів захисту для скорочення ризиків;
- оцінка залишкових ризиків.
Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які
піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті
реалізації загроз. По завершенні аналізу уточнюються допустимі залишкові ризики та витрати
на заходи, пов'язані з захистом інформації.
На даний час процес керування ризиками описує міжнародний стандарт ISO/IEC 270052011 «Інформаційна технологія. Методи забезпечення безпеки. Керування ризиками
інформаційної безпеки».
Згідно вимог цього стандарту на етапі планування складається з 4-х кроків:
1) визначення критеріїв;
2) аналіз ризиків;
3) обробка ризиків;
4) прийняття ризиків.
Кінцевою метою керування ризиком є мінімізація ризику. Мета мінімізації ризику
полягає в тому, щоб застосувати ефективні заходи захисту таким чином, щоб залишковий ризик
в ІТС став прийнятний. Мінімізація ризику складається з трьох частин: визначення тих
областей, де ризик неприпустимо великий; вибору найбільш ефективних засобів захисту;
оцінювання заходів захисту і визначення, чи прийнятний залишковий ризик в ІТС. Дамо
коротку характеристику кроків керування ризиком.
2.1. Визначення критеріїв
На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою
визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю
повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії
оцінки ризиків, впливу на активи та прийняття ризиків.
Критерії оцінки ризику повинні розроблятися, враховуючи наступне:
- стратегічна цінність обробки інформації;
- критичність інформаційних активів;
- нормативно-правові вимоги та договірні зобов'язання;
- важливість доступності, конфіденційності та цілісності інформації.
Крім того, критерії оцінки ризиків можуть використовуватися для визначення
пріоритетів для обробки ризиків.
Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:
- цінність інформаційного активу, на який виявлений вплив;
- порушення властивості інформації (втрата конфіденційності, цілісності або
доступності);
- погіршення бізнес-операції;
- втрата цінності бізнесу та фінансової цінності;
- порушення планів і кінцевих термінів;
- збиток для репутації;
- порушення нормативно-правових вимог або договірних зобов'язань.
Критерії прийняття ризику повинні встановлюватися з урахуванням:
- критеріїв якості бізнес-процесів;
- нормативно-правових і договірних аспектів;
- операцій;
- технологій;
- фінансів;
- соціальних і гуманітарних чинників.
При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:
- включати багато порогових значень з бажаним рівнем ризику, але за умови, що при
певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;
- визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для
бізнесу;
- включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути
прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного
періоду часу.
2.2. Аналіз ризиків складається з наступних заходів:
- ідентифікація ризиків;
- вимір ризиків;
- оцінювання ризиків.
2.2.1. Ідентифікація ризиків
Метою ідентифікації ризику є визначення випадків нанесення потенційної шкоди та
отримання уявлень про те, як, де і чому могла статися ця шкода. Для цього необхідно виконати
ідентифікацію наявних засобів захисту, вразливостей і можливих наслідків реалізації загроз.
Ідентифікація ризиків складається з наступних заходів:
- ідентифікація об’єктів і засобів захисту;
- ідентифікація вразливостей системи;
- ідентифікація наслідків реалізації загроз.
Ідентифікація об’єктів і засобів захисту
Ідентифікація усіх наявних засобів захисту має бути зроблена для того, щоб уникнути їх
дублювання або непотрібної роботи. Одночасно слід провести перевірку справності і
правильності функціонування засобів захисту.
Будь-який дефект засобів захисту може стати причиною вразливості. Одним із способів
кількісно оцінити дії засобу захисту - подивитися, як він зменшує вірогідність загрози та
використання вразливості.
Наявний або запланований засіб захисту можна ідентифікувати як неефективний,
недостатній або необгрунтований. Якщо його визнали необгрунтованим або недостатнім,
необхідно визначити, чи потрібно засіб захисту вилучити, замінити ефективнішим або
залишити без змін, наприклад, із-за нестачі грошей на новий.
Ідентифікація вразливостей системи
Необхідно ідентифікувати всі вразливості, які можуть бути використані потенційними
загрозами для нанесення збитку. Навіть та вразливість, яка не відповідає ніякій загрозі і тому не
вимагає засобів захисту, повинна знаходитися під контролем на предмет можливих змін.
Зрозуміло, що аналіз загроз повинен розглядатися у тісному зв'язку з уразливостями ІТС.
Завданням даного етапу управління ризиками є складання переліку можливих уразливостей
системи і класифікація цих уразливостей з урахуванням їх «сили».
Градацію вразливостей можна розбити по таких рівнях:
- високий;
- середній;
- низький.
Джерелами складання такого переліку уразливостей можуть стати:
- загальнодоступні, регулярно друковані списки уразливостей ;
- списки уразливостей, що друкуються виробниками ПЗ;
- результати тестів на проникнення (проводяться адміністратором безпеки);
- аналіз звітів сканерів уразливостей (проводяться адміністратором безпеки).
У загальному випадку уразливості можна класифікувати таким чином:
- уразливості ОС і ПЗ (помилки коди), виявлені виробником або незалежними
експертами;
- уразливості системи, пов'язані з помилками в адмініструванні (наприклад, незакриті
міжмережевим екраном порти з уразливими сервісами, загальнодоступні незаблоковані
мережеві ресурси тощо);
- уразливості, джерелами яких можуть стати інциденти, не передбачені політикою
безпеки, а також події стихійного характеру.
Як яскравий приклад поширеної уразливості ОС і ПЗ можна привести переповнювання
буфера. До речі, абсолютну більшість з нині існуючих шкідливих програм реалізують клас
уразливостей на переповнювання буфера.
Ідентифікація наслідків реалізації загроз
Мають бути ідентифіковані усі можливі наслідки реалізації загроз. Наслідком може бути
втрата інформації, ресурсів ІТС, несприятливі операційні умови, втрата бізнесу, збиток,
нанесений репутації тощо. Наслідки можуть бути тимчасовими або постійними, як у разі
руйнування активів.
2.2.2. Вимір ризиків
Вимір ризиків складається з наступних заходів:
- розробка методології виміру ризиків;
- оцінка наслідків реалізації загроз;
- оцінка вірогідності ризиків;
- вимір рівня ризиків.
Розробка методології виміру ризиків
Методологія виміру ризиків може бути якісною або кількісною, або їх комбінацією,
залежно від обставин. На практиці якісна оцінка часто використовується першою для
отримання загальних відомостей про рівень ризиків і виявлення їх основних значень. Надалі
може виникнути необхідність в здійсненні кількісного аналізу значень ризиків, оскільки він є
швидшим і менш витратним.
Якісна оцінка - використовує шкалу кваліфікації атрибутів для опису величини
можливих наслідків (наприклад, низький, середній і високий) і вірогідності виникнення цих
наслідків. Перевага якісної оцінки полягає в простоті її розуміння усім персоналом, а недоліком
є залежність від суб'єктивного підходу.
Кількісна оцінка - використовує шкалу з числовими значеннями наслідків і вірогідностей
з урахуванням отримання даних з різних джерел. Якість аналізу залежить від точності та
повноти числових значень і обгрунтованості використовуваних моделей. У більшості випадків
кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому,
що вона може бути безпосередньо пов'язана з цілями захисту інформації і проблемами
організації.
При розробці методології виміру ризику використовуються методи системного аналізу, в
результаті виходять оцінки гранично допустимого та реального ризику здійснення загроз
протягом деякого часу.
Оцінка наслідків реалізації загроз
Оцінці наслідків реалізації загроз повинне передувати визначення цінності ресурсів ІТС.
У свою чергу, визначення цінності ресурсів ІТС розпочинається з їх класифікації залежно від
первинної вартості та важливості для бізнес-цілей організації. Потім визначається
відновлювальна вартість ресурсів ІТС з урахуванням вартості:
- відновлення та заміни ресурсів;
- бізнес-втрат або компрометації ресурсів.
Оцінка збитків, який може завдати діяльності організації реалізація загроз безпеки,
здійснюється з урахуванням можливих наслідків порушення конфіденційності, цілісності,
доступності інформації та спостережності ІТС.
Оцінка вірогідності ризиків
Використовуючи якісні або кількісні методи оцінки необхідно також оцінити
вірогідність кожного сценарію реалізації загрози. Необхідно розглянути, як часто виникають
загрози та наскільки легко можуть бути використані вразливості, з урахуванням наступного:
- наявний досвід і статистика вірогідності загроз;
- для джерел умисних загроз: мотивація, можливості та доступні ресурси для можливих
порушників, а також сприйняття привабливості та вразливості активів можливим порушником;
- для джерел випадкових загроз: географічні чинники, наприклад, близькість до
підприємства зі шкідливим виробництвом, можливість екстремальних кліматичних умов і
чинники, які можуть вплинути на помилки персоналу та збої устаткування;
- властивості окремих вразливостей та їх сукупності;
- наявні засоби контролю і те, наскільки ефективно вони знижують вразливості.
В ідеалі для кожної із загроз повинно бути отримано значення вірогідності її здійснення
протягом деякого часу. Це допоможе співвіднести оцінку можливого збитку з витратами на
захист. На практиці для більшості загроз неможливо отримати достовірні дані про вірогідність
реалізації загрози та доводиться обмежуватися якісними оцінками.
Вимір рівня ризиків
При вимірі ризиків визначаються значення вірогідності та наслідків ризиків. Ці значення
можуть бути якісними або кількісними. Вимір ризиків грунтується на оцінених наслідках і
вірогідності. Виміряний ризик є комбінацією вірогідності небажаного сценарію реалізації
загрози та його наслідків.
Для прикладу ідентифікуємо значення цінності активів, використовуючи числову шкалу
від 0 до 4. Наступним кроком ідентифікуємо кожен вид загрози, кожного активу, з яким
пов'язаний цей вид загрози, щоб зробити можливою оцінку рівнів загроз і вразливостей.
Цінність ресурсів ІТС, рівні загроз і вразливостей приводимо до табличної форми
(матриці), щоб для кожної комбінації ідентифікувати відповідну міру ризику на основі шкали
від 0 до 8. Значення заносяться в матрицю структурованим чином.
Рівень загрози
Рівень вразливості
Значення
ресурсів ІТС
0
1
2
3
4
Низька (Н)
Н С В
0
1
2
1
2
3
2
3
4
3
4
5
4
5
6
Середня (С)
Н С В
1
2
3
2
3
4
3
4
5
4
5
6
5
6
7
Висока (В)
Н
С
В
2
3
4
3
4
5
4
5
6
6
7
5
6
7
8
Для кожного активу розглядаються вразливості та загрози, що відповідають їм. Тепер
відповідний рядок в таблиці встановлює значення цінності ресурсів ІТС, а відповідна колонка вірогідність виникнення загрози та уразливості. Наприклад, якщо актив має цінність 3, загроза є
«високою», а уразливість «низької», то міра ризику дорівнюватиме 5.
Аналогічна матриця є результатом розгляду вірогідності реалізації загрози з
урахуванням впливу на ресурси ІТС. Отриманий в результаті ризик вимірюється за шкалою від
0 до 8 і може бути оцінений по відношенню до критеріїв прийняття ризику.
Вірогідність
реалізації загрози
Дуже низьке
Вплив на Низьке
Середнє
ресурси
ІТС
Високе
Дуже високе
Дуже
низька
0
1
2
3
4
Низька
Середня
Висока
1
2
3
4
5
2
3
4
5
6
3
4
5
6
7
Дуже
висока
4
5
6
7
8
Таблиця може бути використана також, щоб зв'язати чинники наслідків для ресурсів ІТС
з вірогідністю виникнення загрози (враховуючи аспекти вразливості). Перший крок полягає в
оцінюванні наслідків для ресурсів ІТС за заздалегідь визначеною шкалою, наприклад, від 1 до
5, для кожного ресурсу (колонка 2), що знаходиться під загрозою. Другий крок полягає в
оцінюванні вірогідності виникнення загрози за заздалегідь визначеною шкалою, наприклад, від
1 до 5, для кожної загрози (колонка 3).
Третій крок полягає в обчисленні міри ризику шляхом множення значень колонок 2 і 3.
Нарешті, загрози можуть бути ранжирувані в порядку відповідної міри ризику. Відмітимо, що
значення «1» в колонках 2 і 3 відповідає найменшим наслідкам і вірогідності загрози, а в
колонці 5 - найбільшій небезпеці.
Вид
загрози
1
А
Б
В
Г
Д
Е
Наслідки
для активів
2
5
2
3
1
4
2
Вірогідність
загрози
3
2
4
5
3
1
4
Міра
ризику
4
10
8
15
3
4
8
Ранг
небезпеки
5
2
3
1
5
4
3
У широкому сенсі міра ризику може розглядатися як опис видів несприятливих дій,
впливу яких може зазнати система, і ймовірностей того, що ці дії можуть відбутися. Результат
цього процесу повинен визначити ступінь ризику для певних цінностей. Цей результат
важливий, оскільки є основою для вибору засобів захисту і рішень по мінімізації ризику.
2.2.3. Оцінювання ризиків
Рівні ризиків повинні порівнюватися з критеріями оцінки ризику та критеріями
прийняття ризику. Для оцінювання ризиків повинні порівнюватися виміряні ризики з
прийнятими в організації критеріями їх оцінки.
Критерії оцінки ризику, які використовуються для ухвалення рішень, повинні
враховувати цілі організації, характер бізнесу, думки зацікавлених сторін тощо. Рішення,
пов'язані з оцінкою ризику, зазвичай грунтуються на його прийнятному рівні. Сукупність
безлічі ризиків низького та середнього рівня може дати у результаті загальний ризик більш
високого рівня.
Оцінювання ризиків грунтується на розумінні суті ризику, отриманому на етапі його
аналізу, для ухвалення рішень про майбутні дії. Рішення повинні включати наступне:
- чи мають бути зроблені якісь дії;
- пріоритети при обробці ризиків з урахуванням їх виміряних рівнів.
Оцінка ризиків проводиться за допомогою різноманітних інструментальних засобів, а
також методів моделювання процесів захисту інформації. На підставі результатів аналізу
виявляються найбільш високі ризики, що переводять потенційну загрозу в розряд реально
небезпечних і, отже, вимагають прийняття додаткових заходів захисту.
Коли намічені заходи прийняті, необхідно перевірити їх дієвість, наприклад, зробити
автономне та комплексне тестування програмно-технічного механізму захисту. Якщо перевірка
виявила, що в результаті проведеної роботи залишкові ризики знизилися до прийнятного рівня,
то можна визначити дату найближчої переоцінки, якщо ні - слід проаналізувати допущені
помилки і провести повторну оцінку ризиків.
2.3. Обробка ризиків
Обробка ризиків складається з наступних заходів:
- пошук рішень щодо зменшення рівня ризику;
- вибір варіанту обробки на підставі критерія оцінки ризиків;
- реалізація дій з обробки ризику;
- ідентифікація та оцінка залишкового ризику.
Для обробки ризиків є 4 варіанти:
1) зниження ризиків;
2) збереження ризиків;
3) уникнення ризиків;
4) перенесення ризиків.
Зниження ризиків
Рівень ризику можна понизити шляхом вибирання таких засобів захисту, щоб
залишковий ризик міг бути повторно оцінений як допустимий.
Засоби захисту можуть забезпечувати один або декілька варіантів захисту: виключення,
попередження, зменшення впливу, стримування, виправлення негативних дій. Під час
вибирання засобів важливо «зважувати» вартість їх придбання, реалізації, функціонування,
адміністрування та технічної підтримки по відношенню до цінності активів.
Існують обмеження, які можуть впливати на вибирання засобів захисту. Наприклад, вони
можуть понизити продуктивність роботи системи. Тому необхідно приймати таке рішення, яке
задовольняє вимогам продуктивності і в той же час гарантує достатній рівень захисту.
Результатом цього кроку є перелік можливих засобів захисту з їх вартістю, перевагами та
пріоритетом реалізації.
Збереження ризиків
Якщо рівень ризику відповідає критеріям прийняття ризику, то немає необхідності
реалізовувати додаткові засоби захисту і ризик може бути збережений.
Уникнення ризиків
Якщо рівень ризику вважається занадто високим або витрати на реалізацію інших
варіантів обробки ризику перевищують бюджет, може бути прийняте рішення про відмову від
діяльності або зміну умов, при яких проводиться ця діяльність. Наприклад, відносно ризиків,
що викликаються стихійними лихами, найбільш вигідною альтернативою може бути фізичне
переміщення засобів обробки інформації туди, де цей ризик не існує.
Перенесення ризиків
Ризик має бути переданий (перенесений) сторонній організації, яка може
найефективніше здійснювати його обробку, залежно від оцінки ризику. Перенесення може бути
здійснене за допомогою системи страхування, яке підтримуватиме наслідки, або укладення
договору із сторонньою організацією для проведення зовнішнього моніторингу системи та
запобігання загрозі, перш ніж вона приведе до збитку.
2.4. Прийняття ризиків
В організації керівництвом повинно бути прийнято та задокументовано рішення про
прийняття ризиків і відповідальності за це рішення.
В деяких випадках рівень залишкового ризику може не відповідати критеріям прийняття
ризику, оскільки вживані критерії не враховують усіх обставин. У таких випадках керівництво
може прийняти ризики, але зобов'язано їх прокоментувати та включити обгрунтування для
рішення, пов’язаного з перевищенням стандартного критерію прийняття ризику.
Рішення щодо прийняття ризику можуть внести поправки до вибору засобів захисту.
Коли властивості запропонованих заходів і засобів захисту відомі, можна повторно провести
перевірку прийнятності ризику та визначити, чи досягнуто рівень залишкового ризику або
необхідно змінити рішення щодо його прийнятності, щоб відобразити інформацію про
властивості пропонованих засобів захисту.
Після того, як всі засоби захисту реалізовані, перевірені та знайдені прийнятними,
результати перевірки прийнятності ризику повинні бути повторно вивчені. Ризик, пов'язаний зі
співвідношенням загроза/вразливість, повинен тепер бути скорочений до прийнятного рівня або
усунуто. Якщо ці умови не дотримані, то рішення, прийняті на попередніх кроках, повинні бути
переглянуті, щоб визначити належні заходи захисту.
3. Вибір варіанту побудови КСЗІ
Після завершення аналізу всіх можливих ризиків необхідно здійснити вибір варіанту
побудови КСЗІ в залежності від ступеня обмеження доступу до інформації, яка обробляється в
ІТС, рівня її критичності, величини можливих збитків від реалізації загроз, матеріальних,
фінансових та інших ресурсів, які є у розпорядженні власника ІТС. Можливі такі варіанти:
- досягнення необхідного рівня захищеності інформації за мінімальних затрат і
допустимого рівня обмежень на технологію її обробки в ІТС;
- досягнення необхідного рівня захищеності інформації за допустимих затрат і заданого
рівня обмежень на технологію її обробки в ІТС;
- досягнення максимального рівня захищеності інформації за необхідних затрат і
мінімального рівня обмежень на технологію її обробки в ІТС.
Після цього необхідно здійснити первинне (попереднє) оцінювання допустимих витрат
на блокування загроз, виходячи з вибраного варіанту побудови КСЗІ і виділених на це коштів.
На етапі проектування КСЗІ, після формування пропозицій щодо складу заходів і засобів
захисту, здійснюється оцінка залишкового ризику для кожної пропозиції (наприклад, за
критерієм «ефективність/вартість»), вибирається найбільш оптимальна серед них і первинна
оцінка уточнюється. Якщо залишковий ризик перевищує гранично допустимий, вносяться
відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються
повторно до одержання прийнятного результату.
На підставі визначених завдань і функцій ІТС, результатів аналізу її середовищ
функціонування, моделей загроз і порушників та результатів аналізу ризиків визначаються
компоненти ІТС (наприклад, ЛОМ, спеціалізований АРМ, Інтернет-вузол тощо), для яких
необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної
політики безпеки в ІТС.
Визначаються загальна структура та склад КСЗІ, вимоги до можливих заходів, методів та
засобів захисту інформації, обмеження щодо середовищ функціонування ІТС та використання її
ресурсів для реалізації завдань захисту, припустимі витрати на створення КСЗІ, умови
створення, введення в дію і функціонування КСЗІ (окремих її підсистем, компонентів), загальні
вимоги до застосування в ІТС (окремих її підсистемах, компонентах) організаційних, технічних,
криптографічних та інших заходів захисту інформації, що ввійдуть до складу КСЗІ.
Для ІТС формується перелік необхідних функціональних послуг захисту (далі - ФПЗ) від
НСД та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг.
Визначені вимоги складають профіль захищеності інформації в ІТС або її компоненті.
ФПЗ є ієрархічними в тому розумінні, що їх реалізація забезпечує зростаючу
захищеність від загроз відповідного типу (конфіденційності - К, цілісності - Ц і доступності Д). Зростання ступеня захищеності може досягатись як підсиленням певних послуг, тобто
включенням до профілю більш високого рівня послуги, так і включенням до профілю нових
послуг.
Кожна послуга є набором функцій, які дозволяють протистояти певній множині
загроз. Чим вище рівень послуги, тим більш повно забезпечується захист від певного
виду загроз. Рівні послуг мають ієрархію за повнотою захисту, хоча й не є точними
підмножинами один одного. Рівні починаються з першого й зростають до певного
значення, унікального для кожного виду послуг.
4. Оформлення звіту за результатами проведеної роботи
Останній етап формування завдання на створення КСЗІ завершується оформленням
«Звіту за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ»,
який затверджується керівником організації-власника (розпорядника) ІТС.
Звіт повинен містити 2 розділи:
- формалізований або неформалізований опис результатів аналізу ризиків, пов’язаних з
реалізацією загроз для інформації в ІТС;
- формулювання, з урахуванням результатів виконаного аналізу ризиків, завдань на
створення КСЗІ в ІТС.
Контрольні питання
1. Які є завдання захисту інформації?
2. Які повинні бути підходи на організаційному рівні щодо безпеки інформації?
3. Які повинні бути підходи на технічному рівні щодо безпеки інформації?
4. З яких 4-х кроків складається етап планування керування ризиками?
5. З яких 3-х заходів складається аналіз ризиків?
6. Які 3 складові має ідентифікація ризиків?
7. Які 4 складові має вимір ризиків?
8. З яких 4-х заходів складається обробка ризиків?
9. Які 4 варіанти має обробка ризику?
10. Які є можливі варіанти побудови КСЗІ?
11. Який документ складається після формування завдань на створення КСЗІ?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 8. Основні вимоги до розробки комплексу засобів захисту
Почнемо лекцію з питання ліцензування такого виду господарської діяльності як
надання послуг у галузі технічного захисту інформації (далі - ТЗІ).
Основним нормативно-правовим актом України визначає види господарської
діяльності, що підлягають ліцензуванню, порядок їх ліцензування, встановлює державний
контроль у сфері ліцензування, відповідальність суб'єктів господарювання та органів
ліцензування за порушення законодавства у сфері ліцензування є Закон України «Про
ліцензування певних видів господарської діяльності».
У Законі вживаються терміни, які мають таке значення:
- ліцензіат - суб'єкт господарювання, який одержав ліцензію на провадження певного
виду господарської діяльності, що підлягає ліцензуванню;
- ліцензія - документ державного зразка, який засвідчує право ліцензіата на
провадження зазначеного в ньому виду господарської діяльності протягом визначеного
строку у разі його встановлення Кабінетом Міністрів України за умови виконання
ліцензійних умов;
- ліцензійні умови - установлений з урахуванням вимог законів вичерпний перелік
організаційних, кваліфікаційних та інших спеціальних вимог, обов'язкових для виконання
при провадженні видів господарської діяльності, що підлягають ліцензуванню;
- ліцензування - видача, переоформлення та анулювання ліцензій, видача дублікатів
ліцензій, ведення ліцензійних справ та ліцензійних реєстрів, контроль за додержанням
ліцензіатами ліцензійних умов, видача розпоряджень про усунення порушень ліцензійних
умов, а також розпоряджень про усунення порушень законодавства у сфері ліцензування.
Згідно статті 8 Закону суб'єкт господарювання зобов'язаний провадити ліцензовану
господарську діяльність згідно встановлених для цього виду діяльності ліцензійних умов.
Згідно статті 9 Закону надання послуг у сфері захисту інформації ліцензується згідно
з переліками, що визначаються Кабінетом Міністрів України.
Відповідно до цього Закону ліцензуванню підлягають такі види господарської
діяльності:
12) надання послуг у галузі технічного захисту інформації.
Згідно статті 10 Закону суб'єкт господарювання, який має намір провадити певний
вид господарської діяльності, що ліцензується, особисто або через уповноважений ним
орган чи особу звертається до відповідного органу ліцензування із заявою встановленого
зразка про видачу ліцензії.
У заяві про видачу ліцензії повинні міститися такі дані:
1) відомості про суб'єкта господарювання - заявника:
- найменування, місцезнаходження, банківські реквізити, ідентифікаційний код - для
юридичної особи;
- прізвище, ім'я, по батькові, дані паспорта громадянина України (серія, номер
паспорта, ким і коли виданий, місце проживання),
- ідентифікаційний номер фізичної особи - платника податків та інших обов'язкових
платежів - для фізичної особи;
2) вид господарської діяльності, вказаний згідно з частиною третьою статті 9 цього
Закону (повністю або частково), на провадження якого заявник має намір одержати ліцензію.
У разі наявності у заявника - юридичної особи філій, інших відокремлених
підрозділів, за місцем яких буде провадитися заявлена діяльність, а у заявника - фізичної
особи - підприємця місць провадження заявленої діяльності у заяві зазначається їх
місцезнаходження.
Згідно статті 13 Закону на території України органи ліцензування використовують
бланки ліцензії єдиного зразка. Бланк ліцензії єдиного зразка затверджений постановою
Кабінету Міністрів України від 20 листопада 2000 року № 1719.
Згідно статті 14 Закону орган ліцензування повинен оформити ліцензію не пізніше
ніж за три робочі дні з дня надходження документа, що підтверджує внесення плати за
видачу ліцензії.
Ліцензія на провадження певного виду господарської діяльності видається на
необмежений строк. Кабінет Міністрів України за поданням спеціально уповноваженого
органу з питань ліцензування може обмежити строк дії ліцензії на провадження певного виду
господарської діяльності, але цей строк не може бути меншим, ніж п'ять років.
За видачу копії ліцензії справляється плата в розмірі одного неоподатковуваного
мінімуму доходів громадян. Плата за видачу копії ліцензії зараховується до Державного
бюджету України.
Згідно статті 15 Закону за видачу ліцензії справляється плата, розмір та порядок
зарахування якої до Державного бюджету України встановлений постановою Кабінету
Міністрів України від 29 листопада 2000 року № 1755. Плата за видачу ліцензії вноситься
після прийняття рішення про видачу ліцензії.
Спеціально уповноважений орган з питань ліцензування веде Єдиний ліцензійний
реєстр, який містить відомості ліцензійних реєстрів та ідентифікаційні коди органів
ліцензування.
Інформація, що міститься в Єдиному ліцензійному реєстрі та ліцензійних реєстрах, є
відкритою та розміщується на офіційному веб-сайті спеціально уповноваженого органу
влади з питань ліцензування, крім інформації про ліцензіатів щодо їх даних паспорта
громадянина України, адреси місця проживання, банківських реквізитів, ідентифікаційних
кодів юридичних осіб або ідентифікаційних номерів фізичних осіб - платників податків та
інших обов'язкових платежів.
14 листопада 2000 року постановою Кабінету Міністрів України № 1698 (у
редакції постанови Кабінету Міністрів України від 27 липня 2011 року № 798) був
затверджений «Перелік органів ліцензування»:
Орган ліцензування
Адміністрація Держспецзв'язку
Вид господарської діяльності
надання послуг у галузі ТЗІ
4 липня 2001 року постановою Кабінету Міністрів України № 756 був затверджений
«Перелік документів, які додаються до заяви про видачу ліцензії для окремого виду
господарської діяльності»:
№
12.
Вид господарської
діяльності
Надання послуг у
галузі технічного
захисту інформації
(згідно з переліком,
що визначається
Кабінетом Міністрів
України)
Документи, які додаються до заяви про видачу ліцензії для
окремого виду господарської діяльності
відомості за підписом заявника - суб'єкта господарювання (за
формою, встановленою ліцензійними умовами) про наявність:
спеціалістів із зазначенням їх освітнього і кваліфікаційного
рівня та стажу роботи, необхідних для провадження
відповідного виду господарської діяльності;
засобів вимірювальної техніки та контролю, допоміжних засобів
та обладнання, що забезпечують надання відповідних видів
послуг, із зазначенням їх найменування, типу, заводського
номера, дати проведення останньої повірки;
атестованих приміщень та/або об'єктів електроннообчислювальної техніки із зазначенням їх найменування та
категорії, а також ким і коли проведена атестація (у разі
потреби);
нормативно-правових актів та нормативних документів з питань
технічного захисту інформації, необхідних для провадження
відповідного виду господарської діяльності;
спеціального дозволу на провадження діяльності, пов'язаної з
державною таємницею
Постанова Кабінету Міністрів України від 29 листопада 2000 року № 1755 «Про
термін дії ліцензії на провадження певних видів господарської діяльності, розміри і
порядок зарахування плати за її видачу» визначає, що:
- строк дії ліцензії на провадження певних видів господарської діяльності, визначених
частиною третьою статті 9 Закону України «Про ліцензування певних видів господарської
діяльності», є необмеженим, крім видів господарської діяльності, зазначених в абзаці
другому пункту 1-1 та пункті 3 цієї постанови.
- плата за її видачу справляється у розмірі 1 мінімальної заробітної плати (1147 грн.),
виходячи з її розміру, що діє на дату прийняття органом ліцензування рішення про видачу
ліцензії, крім плати, розмір якої встановлений законами.
9 червня 2011 року постановою Кабінету Міністрів України № 626 був затверджений
«Перелік платних адміністративних послуг, що надаються Адміністрацією
Держспецзв'язку», який визначає такі послуги: 1. Видача ліцензій на провадження
господарської діяльності з надання послуг у галузі ТЗІ.
26 грудня 2008 року наказом Адміністрації Держспецзв’язку № 221 був затверджений
«Стандарт надання адміністративної послуги з видачі, переоформлення ліцензій,
видачі дублікатів та копій ліцензій на провадження господарської діяльності з
розроблення, виробництва, впровадження, обслуговування, дослідження ефективності
систем і засобів ТЗІ, надання послуг у галузі ТЗІ».
Одержувач
Адміністрація Держспецзв’язку
18 травня 2011 року № 517 постановою Кабінету Міністрів України був
затверджений «Перелік послуг у галузі ТЗІ, господарська діяльність щодо надання яких
підлягає ліцензуванню», який визначає такі види надання послуг у галузі ТЗІ:
1. Оцінювання захищеності інформації.
2. Виявлення закладних пристроїв.
Ліцензія
Найменування ліцензіата
Товариство з обмеженою
АВ № 611910
відповідальністю
15.02.2012
«Спецтелеком»
Юридична адреса
Вид
послуги
88099, м. Ужгород, вул.
Грушевського, буд. 70,
кв.65
1, 2
«Ліцензійні умови провадження господарської діяльності з розроблення,
виробництва, впровадження, обслуговування, дослідження ефективності систем і
засобів ТЗІ, надання послуг у галузі ТЗІ» були затверджені наказом Адміністрації
Держспецз’язку та Держкомпідприємництва від 20 січня 2009 року № 5/9, зареєстрованим в
Міністерстві юстиції України 11 лютого 2009 року за № 130/16146,
Роділ 3 Ліцензійних умов визначає види робіт, які виконуються в межах
господарської діяльності у галузі ТЗІ, що підлягають ліцензуванню:
1. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах
інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є
акустичні поля, надання консультативних послуг.
2. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах
інформаційної діяльності комплексів (систем) ТЗІ, носіями якої є електромагнітні поля та
електричні сигнали, надання консультативних послуг.
3. Розроблення, виробництво, впровадження, дослідження ефективності,
супроводження засобів та комплексів ТЗІ в інформаційних системах, інформаційних
технологій із захистом інформації від несанкціонованого доступу, надання консультативних
послуг.
4. Виявлення та блокування витоку мовної та видової інформації через закладні
пристрої на об'єктах інформаційної діяльності, надання консультативних послуг.
5. Виробництво засобів забезпечення ТЗІ, носіями якої є акустичні поля.
6. Виробництво засобів забезпечення ТЗІ, носіями якої є електромагнітні поля та
електричні сигнали.
7. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах
інформаційної діяльності комплексів (систем) ТЗІ, носіями якої є хімічні речовини, надання
консультативних послуг.
Суб'єкт господарювання повинен мати штатних або найманих за договором
спеціалістів, що відповідають заявленому виду діяльності та обсягу робіт за кількістю,
освітою, стажем роботи.
Спеціалісти, для виконання видів робіт, визначених пунктами 1-4, 7, повинні мати
повну чи базову вищу освіту за напрямом підготовки «Інформаційна безпека» або
інженерно-технічну освіту фахового спрямування відповідного обраному виду роботи з
додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з
питань ТЗІ чи стажем роботи у галузі ТЗІ за обраним видом роботи не менше 5 років.
Наявність у суб'єкта господарювання ліцензії Адміністрації Держспецзв'язку на види
робіт у галузі ТЗІ, визначені у пунктах 1, 2, 7 Ліцензійних умов, надає йому право проводити
атестацію комплексів ТЗІ від витоку технічними каналами на об'єктах інформаційної
діяльності.
У разі виявлення закладних пристроїв на об'єктах інформаційної діяльності, на яких
циркулює секретна інформація, а також у державних установах ліцензіат зобов'язаний:
- терміново (телефонним зв'язком та не пізніше наступного дня письмово)
інформувати про це СБУ;
- до початку подальших дій, які будуть визначені СБУ, забезпечувати схоронність
закладних пристроїв у стані, в якому вони були на час виявлення;
- надати до Адміністрації Держспецзв'язку письмовий звіт у тижневий термін після
завершення робіт.
Разом з тим, згідно «Положення про дозвільний порядок проведення робіт з ТЗІ
для власних потреб», затвердженого наказом ДСТСЗІ СБУ від 23 лютого 2002 року № 9,
зареєстрованим в Міністерстві юстиції України 13 березня 2002 року за № 245/6533, органи
державної влади та місцевого самоврядування, які мають намір проводити роботи у галузі
ТЗІ для власних потреб, можуть отримати такий дозвіл від Адміністрації Держспецз’язку у
разі виконання вимог цього Положення. За відсутності у державного органу такого дозволу
ці роботи повинні виконуватись тільки установою, що має ліцензію на право провадження
діяльності у галузі ТЗІ.
Згідно статті 8 Закону України «Про захист інформації в інформаційнотелекомунікаційних системах» для створення КСЗІ, яка є власністю держави, або
інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом,
використовуються засоби захисту інформації, які мають сертифікат відповідності або
позитивний експертний висновок за результатами державної експертизи у сфері захисту
інформації.
Тобто розроблений КЗЗ повинен пройти процедуру сертифікації в Українській
державній системі сертифікації продукції (УкрСЕПРО) і отримати сертифікат відповідності,
після чого він вноситься до Реєстру УкрСЕПРО. Здійснюється це згідно «Правил
проведення робіт із сертифікації засобів захисту інформації», затверджених наказом
Адміністрації Держспецз’язку та Державного комітету України з питань регуляторної
політики підприємництва від 25.04.2007 № 75/91 і зареєстрованих у Міністерстві юстиції
України 14.05.2007 за № 498/13765.
Для того, щоб розроблений КЗЗ отримав сертифікат відповідності до нього згідно НД
ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в КС від НСД»
висуваються такі вимоги:
1. Безперервний захист
2. Наявність атрибутів доступу
3. Довірче та адміністративне керування доступом
4. Реєстрація дій користувачів
5. Функції і механізми захисту
6. Реалізація КЗЗ
7. Концепція диспетчера доступу
8. Забезпечення послуг безпеки (функцій захищеності)
9. Забезпечення гарантій реалізації послуг безпеки
1. Безперервний захист
КЗЗ повинен забезпечити захист інформації в ІТС повинен забезпечуватись протягом
всього періоду її існування. З моменту створення об'єкта ІТС або його імпорту до системи і
аж до його знищення або експорту з системи всі запити на доступ до об'єкта і об'єкта на
доступ до інших об'єктів мають контролюватися КЗЗ.
Перший аспект, що випливає з цього принципу, - це необхідність того, щоб абсолютно
всі запити на доступ до об'єктів контролювались КЗЗ і не існувало можливості обминути цей
контроль (одержати доступ в обхід КЗЗ). Для захисту об'єктів КЗЗ повинен в першу чергу
забезпечувати свою цілісність і керованість.
Другим аспектом є те, що особливе значення набуває визначення діючих за
умовчанням правил, які визначають початкові умови, за яких починається існування об'єкта
всередині ІТС.
2. Наявність атрибутів доступу
Для реалізації політики безпеки КЗЗ повинен забезпечити ізоляцію об'єктів всередині
сфери управління та гарантувати розмежування запитів доступу і керування потоками
інформації між об'єктами. Для цього з об'єктами ІТС має бути пов'язана інформація, що
дозволяла б КЗЗ iдентифікувати об'єкти і перевіряти легальність запитів доступу. Як така
інформація є атрибути доступу.
Кожний об'єкт ІТС повинен мати певний набір атрибутів доступу, який включає
унікальний iдентифікатор та іншу інформацію, що визначає його права доступу і/або права
доступу до нього. Атрибут доступу - термін, що використовується для опису будь-якої
інформації, яка використовується при керуванні доступом і зв'язана з користувачами,
процесами або пасивними об'єктами. Відповідність атрибутів доступу і об'єкта може бути як
явною, так і неявною. Атрибути доступу об'єкта є частиною його подання в ІТС.
Коли користувачі або процеси намагаються одержати доступ до пасивних об'єктів,
механізми, що реалізують керування доступом, на підставі політики безпеки і перевірки
атрибутів доступу можуть «прийняти рішення» про легальність запиту. Використовуючи
набір атрибутів доступу відповідно до прийнятої політики безпеки, можна реалізувати
довірче та адміністративне керування доступом, контроль за цілісністю та інші види
керування доступом.
Для відображення функціональностi ІТС у простір, в якому не розглядаються права
власності, використовується концепція матриці доступу. Матриця доступу являє собою
таблицю, уздовж кожного виміру якої відкладені iдентифікатори об'єктів ІТС, а в якості
елементів матриці виступають дозволені або заборонені режими доступу.
Матриця доступу може бути:
- двомірною (наприклад, користувачі/пасивні об'єкти або процеси/пасивні об'єкти);
- тримірною (користувачі/процеси/пасивні об'єкти);
- повною, тобто містити вздовж кожної з осей iдентифікатори всіх існуючих на даний
час об'єктів ІТС даного типу, або частковою. Повна тримірна матриця доступу дозволяє
точно описати, хто (iдентифікатор користувача), через що (iдентифікатор процесу), до чого
(iдентифікатор пасивного об'єкта), який вид доступу може одержати.
3. Довірче та адміністративне керування доступом
Довірче керуванням доступом - це таке керування, при якому засоби захисту
дозволяють звичайним користувачам управляти (довіряють керування) потоками інформації
між іншими користувачами і об'єктами свого домену (наприклад, на підставі права володіння
об'єктами), тобто призначення та передача повноважень не вимагають адміністративного
втручання.
Адміністративне керуванням доступом - це таке керування, при якому засоби захисту
дозволяють управляти потоками інформації між користувачами і об'єктами тільки спеціально
авторизованим користувачам. Прикладом реалізації адміністративного керування доступом
може служити механізм, коли у вигляді атрибутів доступу використовуються мітки, що
відображають міру конфіденційності інформації (об'єкта) і рівень допуску користувача.
Таким чином, КЗЗ на підставі порівняння міток об'єкта і користувача може визначити, чи є
користувач, що запитує інформацію, авторизованим користувачем.
Система, що реалізує адміністративне керування, повинна гарантувати, що потоки
інформації всередині системи установлюються адміністратором і не можуть бути змінені
звичайним користувачем. З іншого боку, система, що реалізує довірче керування доступом,
дозволяє звичайному користувачеві модифікувати, в т. ч. створювати нові потоки інформації
всередині системи.
Створення додаткових потоків інформації може бути зумовлене:
- модифікацією атрибутів доступу користувача, процесу або пасивного об'єкта;
- створенням нових об'єктів (включаючи копіювання існуючих);
- експортом або імпортом об'єктів.
Сталість атрибутів доступу
Якщо система реалізує адміністративне керування доступом, то звичайний користувач
не повинен мати можливості ні за яких умов змінювати атрибути доступу об'єкта. Таким
чином, якщо політика потоків інформації, створена адміністратором, визначає, що два
користувача не можуть розділяти (спільно використовувати) інформацію, то жоден з них не
спроможний передати іншому користувачеві свої повноваження щодо доступу до існуючого
об'єкта.
І навпаки, система, що реалізує довірче керування доступом, може, наприклад,
відповідно до політики безпеки надати звичайному користувачеві можливість змінювати
атрибути доступу об'єкта, що належить йому.
Створення нових об'єктів
Якщо система реалізує адміністративне керування доступом і політика потоків
інформації, створена адміністратором, визначає, що два користувачі не можуть розділяти
інформацію, то жоден з них не повинен бути спроможний створити об'єкт, доступний
іншому. Додатково повинні існувати правила для визначення (завдання) атрибутів доступу,
що мають присвоюватись об'єкту, одержаному копіюванням існуючого.
І навпаки, система, що реалізує довірче керування доступом, може відповідно до
політики безпеки надати звичайному користувачеві можливість влаштовувати атрибути
доступу для знову створеного об'єкту. Наприклад, система може дозволяти творцю об'єкта
зазначати користувачів, що можуть мати права доступу до об'єкта.
Експорт і імпорт об'єктів
Якщо система реалізує адміністративне керування доступом, то атрибути доступу
об'єкта мають зберігатись під час його експорту на зовнішній носiй. Додатково повинні
існувати правила для присвоєння атрибутів доступу імпортованому об'єкту.
І навпаки, система, що реалізує довірче керування доступом, може надати можливість
експортувати об'єкт без збереження атрибутів доступу. Додатково може існувати можливість
імпорту звичайним користувачем об'єкта з наступним присвоєнням йому атрибутів доступу
на розсуд користувача. Проте, навіть відповідно до політики довірчого керування доступом,
атрибути доступу об'єкта під час виконання деяких операцій, наприклад, під час його
резервного копіювання, мають зберігатися. Якщо об'єкт буде коли-небудь відновлено з
резервної копії, то його атрибути доступу також мають бути відновлені.
4. Реєстрація дій користувачів
Коли користувач працює з ІТС, то система розглядає його не як фізичну особу, а як
об'єкт, якому притаманні певні атрибути і поводження. КЗЗ повинен забезпечувати
реєстрацію дій об'єктів-користувачів щодо використання ресурсів системи, а також інших
дій і подій, які так або інакше можуть вплинути на дотримання реалізованої ІТС політики
безпеки.
Система повинна надавати користувачам, що мають адміністративні повноваження,
можливість проглядати та аналізувати дані реєстрації, що представляються у вигляді
журналів реєстрації, виявляти небезпечні з точки зору політики безпеки події, встановлювати
їх причини і користувачів, відповідальних за порушення політики безпеки.
5. Функції і механізми захисту
Основними завданнями КЗЗ є ізоляція об'єктів ІТС всередині сфери керування,
перевірка всіх запитів доступу до об'єктів і реєстрація запитів і результатів їх перевірки і/або
виконання. З одного боку, будь-яка елементарна функція будь-якої з послуг, що реалізуються
КЗЗ, може бути віднесена до функцій ізоляції, перевірки або реєстрації. З іншого боку, будьяка з функцій, що реалізуються КЗЗ, може бути віднесена до функцій забезпечення
конфіденційності, цілісності і доступності інформації або керованостi ІТС і спостережностi
дій користувачів.
Кожна функція може бути реалізована одним або більше внутрішніми механізмами, що
залежать від конкретної ІТС. Водночас одні й ті ж самі механізми можуть використовуватись
для реалізації кількох послуг. Наприклад, слушно реалізувати і адміністративне, і довірче
керування доступом єдиним набором механізмів.
Реалізація механізмів може бути абсолютно різною. Для реалізації функцій захисту
можуть використовуватись програмні або апаратні засоби, криптографічні перетворення,
різні методи перевірки повноважень тощо. Головною вимогою залишається те, щоб функції
захисту були реалізовані відповідно до декларованої політики безпеки і вимог гарантій.
Для реалізації певних послуг можуть використовуватись засоби криптографічного
захисту. Криптографічні перетворення можуть використовуватись безпосередньо для захисту
певної інформації (наприклад, при реалізації послуг конфіденційності) або підтримувати
реалізацію послуги (наприклад, при реалізації послуги iдентифікації і автентифікації).
6. Реалізація КЗЗ
КЗЗ повинен мати модульну структуру. На рівні розгляду архітектури ІТС
«модульність» означає, що КЗЗ має бути реалізований як набір відносно незалежних частин.
Кожна з цих частин повинна взаємодіяти з іншими тільки через добре визначені iнтерфейси.
На рівні розгляду архітектури КЗЗ «модульність» означає, що КЗЗ має функціонувати
як сукупність логічних груп програмного та апаратного забезпечення так, щоб кожна група
вирішувала певні завдання. Для ПЗ, наприклад, в простішому випадку під цим слід розуміти,
що подібні функції мають бути зосереджені в певних вихідних файлах.
Під більш жорсткими вимогами слід розуміти використання приховання даних та
інших механізмів, що дозволяють мати впевненість, що кожний модуль вирішує єдине
завдання. Будь-яка взаємодія між компонентами повинна здійснюватись тільки через відомі і
описані канали (iнтерфейси).
7. Концепція диспетчера доступу
При реалізації КЗЗ використовується
характеризується 3 атрибутами:
- забезпечує безперервний і повний захист;
- достовірний (захищений від модифікації);
концепція
диспетчера
доступу,
який
- має невеликі розміри.
Це означає, що диспетчер доступу має бути завжди активним і повинен контролювати
всі запити на доступ до будь-якого захищеного об'єкта, який піддається впливу. Диспетчер
доступу має бути захищений від модифікацiї, що для програмної реалізації звичайно
вважається ізоляцією домену КЗЗ від доменів інших процесів.
Диспетчер доступу не повинен складати весь КЗЗ, а повинен включати мінімально
необхідний набір механізмів, що безпосередньо реалізують перевірку легальностi запитів на
доступ і, можливо, реєстрацію цих запитів.
Головна мета диспетчера доступу - забезпечення відомої точки проходження всіх
запитів всередині ІТС і досягнення гарантії того, що потоки інформації між об'єктамикористувачами, об'єктами-процесами і пасивними об'єктами відповідають вимогам політики
безпеки.
Класичний погляд на диспетчер доступу полягає в тому, що він служить бар'єром між
інформацією, до якої хоче одержати доступ користувач, і самим користувачем. Диспетчер
доступу дозволяє або забороняє доступ відповідно до того, чи є запит авторизованим.
Рішення приймається на підставі перевірки атрибутів доступу користувача, процесу і
пасивного об'єкта.
Узагальненням концепції диспетчера доступу є ідея герметизації, коли кожний об'єкт
як би герметизовано диспетчером доступу, що утворює навкруги нього непрониклу
оболонку. Кількість захищених (що знаходяться всередині оболонки) об'єктів може
змінюватись від одного об'єкта до всіх об'єктів системи.
Диспетчер доступу повинен забезпечити неможливість доступу до об'єкта в обхід
механізмів захисту, перевірку наявності у користувача і/або процесу прав доступу до об'єкта
і реєстрації подій, що відбуваються.
8. Забезпечення послуг безпеки (функцій захищеності)
З точки зору забезпечення безпеки інформації ІТС або КЗЗ можна розглядати як набір
функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють
протистояти деякій множині загроз.
Існує певний перелік послуг, які на підставі практичного досвіду визнані «корисними»
для забезпечення безпеки інформації. Вимоги до реалізації даних послуг наведені в НД ТЗІ
2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».
Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш
повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за
повнотою захисту, проте не обов'язково являють собою точну підмножину один одного.
Рівні починаються з першого (1) і зростають до значення n, де n - унікальне для кожного
виду послуг.
Функціональні послуги розбиті на 4 групи, кожна з яких описує вимоги до послуг, що
забезпечують захист від загроз одного із 4-х основних типів: конфіденційність (К), цілісність
(Ц), доступність (Д) і спостережність (Н).
1. Реалізація послуг конфіденційності дозволяє забезпечити захист інформації від
несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується
такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне
використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи,
що лежать в основі реалізації послуг, визначаються політикою конфіденційності.
2. Реалізація послуг цілісності дозволяє забезпечити захист інформації від
несанкціонованої модифікації (включаючи її знищення). Цілісність забезпечується такими
послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.
Принципи, що лежать в основі реалізації послуг, визначаються політикою цілісності.
3. Реалізація послуг доступності забезпечується в ІТС такими послугами:
використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
4. Реалізація послуг спостережності забезпечується в ІТС такими послугами:
реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків,
цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація
відправника, автентифікація отримувача.
Всі послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто
реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як
необхідні умови для даної послуги (або її рівня). За винятком послуги «аналіз прихованих
каналів» залежність між функціональними послугами безпеки та гарантіями відсутня.
9. Забезпечення гарантій реалізації послуг безпеки
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в
ІТС, є також критерії гарантій, які дозволяють оцінити коректність реалізації цих послуг.
Вводиться 7 рівнів гарантій, які є iєрархічними. Iєрархiя рівнів гарантій відбиває поступово
наростаючу міру упевненості в тому, що послуги, які надаються, дозволяють протистояти
певним загрозам, а механізми, що їх реалізують, в свою чергу, коректно реалізовані, і можуть
забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації ІТС.
Гарантії повинні забезпечуватися як в процесі розробки КСЗІ, так і в процесі її оцінки.
В процесі розробки гарантії забезпечуються діями розробника щодо забезпечення
правильності (коректностi) розробки. В процесі оцінки гарантії забезпечуються шляхом
перевірки додержання розробником вимог критеріїв, аналізу документації, процедур
розробки і постачання.
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки,
послідовностi розробки, випробування КЗЗ, середовища функціонування і експлуатаційної
документації. Для того, щоб ІТС одержала певний рівень гарантій реалізації необхідних
послуг безпеки (якщо вона не може одержати більш високий), повинні бути задоволені всі
вимоги, визначені для даного рівня в кожному з розділів вимог.
1. Вимоги до архітектури забезпечують гарантії того, що КЗЗ у змозі повністю
реалізувати політику безпеки.
2. Вимоги до середовища розробки забезпечують гарантії того, що процеси розробки та
супроводження КЗЗ є повністю керованими з боку розробника.
3. Вимоги до процесу проектування (послідовності розробки) забезпечують гарантії
того, що на кожній стадії розробки (проектування) існує точний опис КЗЗ і його реалізація
точно відповідає вимогам політики безпеки.
4. Вимоги до середовища функціонування забезпечують гарантії того, що КЗЗ
поставляється замовнику без несанкціонованих модифікацій, а також інсталюється і
ініціюється замовником так, як це передбачається розробником.
5. Вимоги до документації є загальними для всіх рівнів гарантій.
Таким чином, КЗЗ повинен реалізувати модель системи захисту інформації в ІТС
від загроз НСД, яка складається з підсистем організаційних, профільних і гарантійних
послуг безпеки, цілісності інформаціних ресурсів та закриття сервісної інформації.
Підсистема організаційних послуг безпеки включає в себе:
- захист від неконтрольованого і несанкціонованого ознайомлення з інформацією, її
розмноження розповсюдження, копіювання, відновлення та модифікації;
- облік дій усіх користувачів;
- контроль облікованих подій;
- своєчасний доступ користувачів.
Підсистема профільних послуг безпеки визначає такі послуги:
- підвищені вимоги до конфіденційності інформації, тобто реалізація ІТС підкласу К;
- підвищені вимоги до цілісності інформації, тобто реалізація ІТС підкласу Ц;
- підвищені вимоги доступності інформації, тобто реалізація ІТС підкласу К;
- підвищені вимоги до конфіденційності і цілісності інформації, тобто реалізація ІТС
підкласу КЦ;
- підвищені вимоги до конфіденційності і доступності інформації, тобто реалізація ІТС
підкласу КД;
- підвищені вимоги до цілісності і доступності інформації, тобто реалізація ІТС
підкласу ЦД;
- підвищені вимоги до конфіденційності, цілісності і доступності інформації, тобто
реалізація КС, ІТС підкласу КЦД.
Підсистема гарантійних послуг безпеки визначає множину послуг безпеки рівня
гарантії безпеки від Г-1 до Г-7.
Підсистема цілісності інформації і ресурсів визначає такі послуги безпеки:
- програмні засоби забепечення цілісності інформації і ресурсів ІТС;
- адміністрування дотримання обраної політики безпеки;
- періодичні тести політики безпеки;
- засоби відновлення послуг безпеки.
Підсистема закриття сервісної інформації визначає послуги безпеки щодо таких
чинників:
- оброблювана інформація ІзОД;
- суб’єкти доступу;
- групи суб’єктів доступу;
- адміністратор безпеки.
Контрольні питання
1. Яку назву має документ, що визначає вимоги до розробки КЗЗ від НСД?
2. Які 9 основних вимог висуваються до КЗЗ від НСД?
3. Що таке атрибути доступу?
4. Що таке матриця доступу?
5. Що таке довірче керування доступом?
6. Що таке адміністративне керування доступом?
7. Як адміністративне керування доступом впливає на атрибути доступу?
8. Як довірче керування доступом впливає на атрибути доступу?
9. Які вимоги висуваються до диспетчера доступу?
10. Що повинен контролювати диспетчер доступу?
11. Які гарантії повинен надавати диспетчер доступу?
12. В чому полягає класичний погляд на диспетчер доступу?
13. На підставі чого приймає рішення диспетчер доступу?
14. Яка ідея є узагальненням концепції диспетчера доступу?
15. З яких 4 груп складаються функціональні послуги безпеки КЗЗ?
16. Що включає в себе підсистема організаційних послуг безпеки?
17. Які послуги у галузі ТЗІ повинні ліцензуватися?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 9. Побудова і структура послуг безпеки інформації
Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне
позначення наведені в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в
комп’ютерних системах від несанкціонованого доступу».
1. Послуги конфіденційності
Послуги конфіденційності та цілісності, а також деякою мірою - використання
ресурсів, є класичними послугами, що безпосередньо реалізують ту частину політики
безпеки, яка складає ПРД.
Послуги конфіденційності забезпечують можливість керування потоками інформації
від захищених пасивних об'єктів до об'єктів-користувачів з метою захисту пасивних об'єктів
від несанкціонованого ознайомлення з їх умістом (компрометації).
Механізмами, що забезпечують реалізацію послуг конфіденційності, є механізми
керування доступом, тобто надання можливості доступу до ресурсу згідно зі спеціально
визначеними правилами. Як основні схеми, на підставі яких може здійснюватися керування
доступом, можуть використовуватися такі:
- на підставі списків керування доступом (під списком керування доступом слід
розуміти пов'язаний із запитуваним ресурсом набір атрибутів доступу у вигляді сукупностей
ідентифікаторів ініціаторів запиту та атрибутів, що визначають дозволені види доступу або
операції над запитуваним ресурсом);
- на підставі списків повноважень (під списком повноважень слід розуміти пов'язаний з
ініціатором запиту набір атрибутів доступу у вигляді сукупності операцій, дозволених над
заданою множиною запитуваних ресурсів);
- на підставі міток безпеки (під мітками слід розуміти атрибути доступу, пов'язані як з
ініціатором запиту, так і з запитуваним ресурсом, рішення про надання доступу приймається
на підставі оброблення міток ініціатора і ресурсу за заданими правилами).
Для прийняття рішення про можливість надання доступу ці механізми можуть
використовувати, наприклад:
- ідентифікатори відповідних об'єктів;
- ідентифікатори груп відповідних об'єктів;
- інформацію про права доступу до пасивних об'єктів у вигляді міток доступу, списків
керування доступом або списків повноважень;
- інформацію про права володіння пасивним об'єктом;
- інформацію про час спроби доступу;
- інформацію про маршрут запиту доступу в розподілених системах;
- інформацію про тривалість сеансу доступу до ресурсу.
В цьому розділі зібрані послуги, реалізація яких дозволяє забезпечити захист
інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність
забезпечується
такими
послугами:
довірча
конфіденційність,
адміністративна
конфіденційність, повторне використання об'єктів, аналіз прихованих каналів,
конфіденційність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються
політикою конфіденційності.
1.1. Довірча конфіденційність (КД)
Система, яка реалізує адміністративне керування доступом, повинна гарантувати, що
потоки інформації всередині системи встановлюються адміністратором і не можуть бути
змінені звичайним користувачем. З іншого боку, система, яка реалізує довірче керування
доступом, дозволяє звичайному користувачеві модифікувати, в т. ч. створювати нові потоки
інформації всередині системи.
Послуга довірча конфіденційність дозволяє користувачеві керувати потоками
інформації від захищених об'єктів, що належать його домену, до інших користувачів. Як
правило, під об'єктами, що належать домену користувача, маються на увазі об'єкти,
власником яких є користувач (створені користувачем).
Для відображення функціональності ІТС у простір, в якому не розглядаються права
власності, використовується концепція матриці доступу. Матриця доступу являє собою
таблицю, уздовж кожного виміру якої відкладені ідентифікатори об'єктів ІТС, а як елементи
матриці виступають дозволені або заборонені режими доступу.
Рівні послуги «довірча конфіденційність» ранжируются на підставі повноти захисту і
вибірковості керування.
Мінімальна довірча конфіденційність (КД-1).
Найбільш слабкою мірою гарантії захисту від несанкціонованого ознайомлення є
накладення обмеження на одержання інформації процесами. На цьому рівні дозволені
потоки інформації від об'єкта тільки до певних процесів. Хоч і не існує обмеження на те, хто
може активізувати процес, тобто, хто може одержувати інформацію, КЗЗ обмежує потоки
інформації фіксованому списку процесів, грунтуючись на атрибутах доступу об'єктів і
процесів. Користувач, домену якого належить об’єкт, може змінювати список процесів, які
можуть одержувати інформацію від об'єкта. Для такої системи можна побудувати часткову
або повну матрицю доступу процесів до захищених об'єктів.
Базова довірча конфіденційність (КД-2).
Атрибути доступу об'єктів і користувачів повинні містити інформацію, що
використовується КЗЗ для розмежування доступу до об'єктів з боку конкретного
користувача. Додатково повинна існувати можливість встановлювати, які користувачі
можуть активізувати конкретний процес, що дозволяє одержати можливість обмеженого
керування потоками інформації. Керування правами доступу на даному рівні має невисоку
вибірковість. Користувач, домену якого належить об'єкт (процес) може вказати, які групи
користувачів і, можливо, які конкретні користувачі мають право одержувати інформацію від
об'єкта (ініціювати процес). Для такої системи можна побудувати часткову матрицю доступу
користувачів до захищених об'єктів і процесів.
Повна довірча конфіденційність (КД-3).
Основна відміна від попереднього рівня це те, що КЗЗ повинен забезпечувати більш
високу вибірковість керування тим, які користувачі можуть одержати інформацію від об'єкта
або ініціювати процес. Користувач, домену якого належить об'єкт, може вказати права
доступу для кожного конкретного користувача і групи користувачів. Є можливим включати
або вилучати користувачів із списку доступу. Для такої системи можна побудувати повну
матрицю доступу користувачів до захищених об'єктів і процесів. Така вибірковість
керування може бути одержана, наприклад, за рахунок використання списків доступу.
Абсолютна довірча конфіденційність (КД-4).
Даний рівень забезпечує повне керування потоками інформації в ІТС. Атрибути
доступу користувача, процесу і об'єкта повинні містити інформацію, що використовується
КЗЗ для визначення користувачів, процесів і пар процес/користувач, які можуть отримати
інформацію від об'єкта. Таким чином гарантується, що інформація надсилається об’єктом
потрібному користувачеві через авторизований процес. Вимоги до вибірковості керування
залишаються такими ж самими, як і для попереднього рівня. Для такої системи можна
побудувати повну матрицю доступу користувачів, процесів і пар користувач/процес до
захищених об'єктів і процесів.
Для всіх рівнів даної послуги необхідною умовою є реалізація рівня НИ-1 послуги
«ідентифікація і автентифікація». Для рівнів КД-3 і КД-4 необхідною умовою є реалізація
рівня КО-1 послуги «повторне використання об'єктів», оскільки, якщо при виділенні об'єкта
користувачеві в цьому об'єкті міститься інформація, що залишилась від попереднього
користувача, то це може призвести до витоку інформації, і всі зусилля щодо реалізації даних
рівнів послуги будуть марні.
1.2. Адміністративна конфіденційність (КА)
Послуга адміністративна конфіденційність дозволяє адміністратору або спеціально
авторизованому користувачу керувати потоками інформації від захищених об'єктів до
користувачів.
Згідно з політикою адміністративної конфіденційності об'єкту присвоюються атрибути
доступу, що визначають домен, якому повинні належати ті користувачі або процеси, які
намагаються одержати інформацію. Найбільше розповсюдження отримав механізм, коли у
вигляді атрибутів доступу використовуються мітки, що визначають рівень конфіденційності
інформації (об'єкта) і рівень допуску користувача. Таким чином КЗЗ на підставі порівняння
міток об'єкта і користувача може визначити, чи є користувач, що здійснює запит на доступ
до інформації, авторизованим користувачем.
Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування
повністю аналогічне рівням послуги довірча конфіденційність з тією відміністю, що тільки
адміністратор або авторизований адміністратором користувач має право включати і вилучати
користувачів, процеси і об'єкти до/з конкретних доменів або піддоменів. Наприклад:
Мінімальна адміністративна конфіденційність (КА-1).
Політика адміністративної конфіденційності повинна визначати множину об'єктів ІТС,
до яких вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі
атрибутів доступу процесу і захищеного об'єкта. КЗЗ повинен надавати можливість
адміністратору для кожного захищеного об'єкта шляхом керування належністю користувачів,
процесів і об'єктів до відповідних доменів визначити конкретні процеси і/або групи процесів,
які мають право одержувати інформацію від об'єкта
Абсолютна адміністративна конфіденційність (КА-4).
Політика адміністративної конфіденційності, що реалізується КЗЗ, повинна
відноситись до всіх об'єктів ІТС. КЗЗ повинен здійснювати розмежування доступу на
підставі атрибутів доступу користувача, процесу і захищеного об'єкта. КЗЗ повинен надавати
можливість адміністратору для кожного захищеного об'єкта шляхом керування належністю
користувачів, процесів і об'єктів до відповідних доменів визначити конкретних користувачів
і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права
одержувати інформацію від об'єкта.
Як і для послуги «довірча конфіденційність», для всіх рівнів даної послуги необхідною
умовою є реалізація рівня НИ-1 послуги «ідентифікація і автентифікація», а для рівнів КА-3 і
КА-4 - рівня КО-1 послуги «повторне використання об'єктів». Додатковою необхідною
умовою для всіх рівнів даної послуги є реалізація рівня НО-1 послуги розподіл обов'язків,
оскільки в системі повинні бути визначені ролі звичайного користувача і адміністратора.
1.3. Повторне використання об'єктів (КО-1)
Послуга «Повторне використання об'єктів» дозволяє забезпечити коректність
повторного використання поділюваних ресурсів, гарантуючи, що у випадку, якщо
поділюваний ресурс виділяється новому користувачу або процесу, він не містить інформації,
що залишилася від попереднього користувача або процесу. Реалізація даної послуги дозволяє
забезпечити захист від атак типу «збирання сміття».
Механізмами, що забезпечують реалізацію послуги, є механізми:
- ініціалізації (заповнення наперед заданими або випадковими даними) вмісту
поділюваних ресурсів, використовуваних для збереження пасивних об'єктів;
- ініціалізації (видалення) атрибутів доступу пасивних об'єктів, що видаляються.
Ці механізми можуть бути реалізовані або в компонентах КЗЗ, що входять до складу
ядра КЗЗ і в яких здійснюється оброблення запитів на видалення пасивних об'єктів і
звільнення займаних об'єктами поділюваних ресурсів, або в компонентах КЗЗ, у яких
здійснюється оброблення запитів на створення нових пасивних об'єктів і виділення
необхідних для їх збереження поділюваних ресурсів.
Залежно від реалізованих механізмів можна виконувати очищення об'єкта під час його
звільнення користувачем або безпосередньо перед його наданням наступному користувачу.
Повторне використання об'єкта може бути реалізовано також шляхом шифрування
інформації, що міститься в об'єктах, і використання керування криптографічними ключами
замість знищення інформації.
1.4. Аналіз прихованих каналів (КК)
Аналіз прихованих каналів виконується з метою виявлення і вилучення потоків
інформації, що існують, але не контролюються іншими функціональними послугами
безпеки. Рівні даної послуги ранжируються на підставі того, чи виконується тільки
виявлення, контроль або перекриття прихованих каналів.
Виявлення прихованих каналів (КК-1)
Всі приховані канали, які існують в апаратному і програмному забезпеченні повинні
бути документовані. Має бути документована максимальна пропускна здатність кожного
знайденого прихованого каналу, одержана на підставі теоретичної оцінки або вимірів. Для
прихованих каналів, які можуть використовуватися спільно, повинна бути документована
сукупна пропускна здатність.
Контроль прихованих каналів (КК-2)
КЗЗ, крім вище вказаних, повинен забезпечувати реєстрацію використання знайдених
прихованих каналів.
Перекриття прихованих каналів (КК-3)
Всі знайдені під час аналізу приховані канали повинні бути усунені.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня КО-1
послуги «повторне використання об'єктів», оскільки можливість одержання інформації, що
залишилась в об'єкті від попереднього користувача, сама собою може розглядатися як
прихований канал.
1.5. Конфіденційність при обміні (КВ)
Конфіденційність при обміні дозволяє забезпечити захист об'єктів від
несанкціонованого ознайомлення з інформацією, що міститься в них, при їх передачі
(експорті / імпорті) через незахищене середовище.
КЗЗ розглядає ресурси ІТС в якості об'єктів і управляє взаємодією цих об'єктів
відповідно до реалізованої політики безпеки інформації. Як об'єкти ресурси
характеризуються двома аспектами: логічне подання (вміст) і фізичне подання (форма).
Об'єкт характеризується своїм станом (вмістом), що в свою чергу характеризується
атрибутами, і поводженням, яке визначає засоби зміни стану.
Локалізований КЗЗ (наприклад, ОС з функціями захисту) розглядає тільки логічне
подання об'єктів. Фізичне подання об'єктів захищене тільки від внутрішніх об'єктів, а не від
впливу з боку зовнішніх сутностей (агентів). Захист від зовнішніх щодо ІТС загроз
реалізується організаційними заходами і заходами фізичного захисту. До зовнішніх впливів
схильні об'єкти, що зберігаються в енергонезалежній пам'яті (зовнішніх носіях).
У розподіленому оточенні не можна гарантувати, що зовнішній агент не може
отримати доступ до фізичного подання об'єктів. Особливо це відноситься до ліній зв'язку
(каналів взаємодії). Таким чином, необхідно, щоб об’єкти були захищені під час їх експорту
із фізично безпечного оточення.
Функціонування механізмів, що забезпечують реалізацію послуги, може ґрунтуватися
на одному з принципів забезпечення конфіденційності таких шляхом:
- керування маршрутом передачі пасивних об'єктів з метою унеможливлення
несанкціонованого ознайомлення з їх умістом;
- приховування семантики (вмісту) переданих пасивних об'єктів з використанням
шифрування;
- заповнення трафіка методом доповнення хибних даних;
- заповнення трафіка методом генерації хибних повідомлень;
- використання змінного надання даних;
- розподілу каналів для передачі різних частин повідомлення (розподілу спектра);
- організації прихованого каналу передачі усередині іншого відкритого каналу (принцип
стеганографії).
Найчастіше дана послуга реалізується з використанням криптографічних перетворень.
Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування. Під
повнотою захисту в даному випадку розуміють множину
типів загроз, від яких
забезпечується захист. Під ступенем захищеності об'єктів, що експортуються, як правило,
розуміють криптостійкість використовуваних алгоритмів шифрування.
Мінімальна конфіденційність при обміні (КВ-1).
КЗЗ забезпечує захист від несанкціонованого ознайомлення за рахунок пасивного
спостереження за лініями зв'язку або розкрадання носіїв інформації. Прикладом реалізації
може служити програмне шифрування файлів перед їх передачею каналами зв'язку або
прозоре шифрування файлів перед їх записуванням на диск.
Базова конфіденційність при обміні (КВ-2).
КЗЗ дозволяє керувати засобами експорту і імпорту об'єктів і додатково забезпечує
захист від помилок користувача та інших випадкових помилок, а також від витоку
інформації при підключенні несанкціонованих користувачів.
Повна конфіденційність при обміні (КВ-3).
КЗЗ дозволяє забезпечити криптографічне розділення каналів обміну і є необхідною
для забезпечення взаємодії КЗЗ, що підтримують обробку інформації рівня секретної або
реалізують різні політики безпеки.
Абсолютна конфіденційність при обміні (КВ-4).
КЗЗ дозволяє забезпечити захист від компрометації за рахунок аналізу трафіку і від
витоку інформації прихованими каналах обміну, що існують. Для реалізації даного рівня від
розробника вимагається виконання аналізу прихованих каналів.
2. Послуги цілісності
Цілісність забезпечується дотриманням вимог політики безпеки щодо переміщення
інформації до об’єкта з боку користувача або процесу. Правильне (допустиме) переміщення
визначається як переміщення інформації до об’єкта від авторизованого користувача або
процесу
В даному розділі Критеріїв зібрані послуги, реалізація яких дозволяє забезпечити
захист інформації від несанкціонованої модифікації (включаючи її знищення). Цілісність
забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат,
цілісність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються
політикою цілісності.
2.1. Довірча цілісність (ЦД)
Дана послуга дозволяє користувачу керувати потоками інформації від інших
користувачів до захищених об'єктів, що належать його домену. Рівні даної послуги
ранжируються на підставі повноти захисту і вибірковості керування.
Мінімальна довірча цілісність (ЦД-1)
На даному рівні користувач, домену якого належить об'єкт, може накладати обмеження
на доступ до об'єктів з боку інших користувачів. Керування правами має грубу вибірковість
(на рівні розподілу потоків інформації між групами користувачів). Для такої системи можна
побудувати часткову матрицю доступу користувачів до захищених об'єктів.
Базова довірча цілісність (ЦД-2)
Більш сильним методом запобігання неавторизованій модифікації є накладення
обмежень на те, який процес або група процесів може модифікувати об’єкт. Користувач,
домену якого належить об'єкт, може накладати обмеження на доступ до об'єктів з боку
процесів і груп процесів. Для такої системи можна побудувати часткову матрицю доступу
процесів до захищених об'єктів.
Повна довірча цілісність (ЦД-3)
Основна відмінність між рівнями ЦД-2 і ЦД-3 полягає в тому, що на даному рівні
надається більш висока вибірковість керування тим, які процеси можуть або не можуть
модифікувати об'єкт. Для такої системи можна побудувати повну матрицю доступу процесів
до захищених об'єктів.
Абсолютна довірча цілісність (ЦД-4)
Реалізація послуги на даному рівні забезпечує повне керування потоками інформації
всередині системи. Атрибути доступу користувача, процесу і об'єкта повинні містити
інформацію, що використовується КЗЗ для визначення користувачів, процесів і пар
процес/користувач, які можуть модифікувати об'єкт. Це гарантує, що модифікація об'єкта
здійснюється авторизованим користувачем за допомогою авторизованого процесу. Для такої
системи можна побудувати повну матрицю доступу користувачів, процесів і пар користувач/
процес до захищених об'єктів і процесів.
Для всіх рівнів даної послуги необхідною умовою є реалізація рівня НИ-1 послуги
ідентифікація і автентифікація, що цілком очевидно. Для рівнів ЦД-3 і ЦД-4 необхідною
умовою є реалізація рівня КО-1 послуги «повторне використання об'єктів», оскільки її
відсутність може привести до того, що під час подання об'єкта користувачеві в цьому об'єкті
вже міститься деяка інформація, джерело якої не визначено.
2.2. Адміністративна цілісність (ЦА)
Ця послуга дозволяє адміністратору чи спеціально авторизованому користувачу
керувати потоками інформації від користувачів і процесів до захищених об'єктів. Згідно з
політикою адміністративної цілісності (в повній аналогії з адміністративною
конфіденційністю) об'єкту привласнюються атрибути доступу, що визначають домен, якому
повинні належати ті користувачі чи процеси, які намагаються модифікувати об’єкт. Рівні
даної послуги ранжируються на підставі повноти захисту і вибiрковості керування
аналогічно рівням послуги довірча цілісність з тією відмінністю, що тільки адміністратор або
авторизований адміністратором користувач має право включати і вилучати користувачів,
процеси і об'єкти до/з конкретних доменів або піддоменів.
Мінімальна адміністративна цілісність (ЦА-1)
Реалізація послуги на даному рівні повинна визначати множину об'єктів КС, до яких
вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів
доступу користувача і захищеного об'єкта.
Абсолютна адміністративна цілісність (ЦА-4)
Реалізація послуги на даному рівні повинна відноситись до всіх об'єктів КС. КЗЗ
повинен здійснювати розмежування доступу на підставі атрибутів доступу процесу,
користувача і захищеного об'єкта. КЗЗ повинен надавати можливість адміністратору для
кожного процесу шляхом керування належністю користувачів і процесів до відповідних
доменів визначити конкретних користувачів, які мають, а також тих, які не мають права
ініціювати процес.
Як і для послуги довірча цілісність для всіх рівнів даної послуги необхідною умовою є
реалізація рівня НИ-1 послуги ідентифікація і автентифікація, а для рівнів КА-3 і КА-4 рівня КО-1 послуги «повторне використання об'єктів». Додатковою необхідною умовою для
всіх рівнів даної послуги є реалізація рівня НО-1 послуги «розподіл обов'язків», оскільки в
системі повинні бути визначені ролі звичайного користувача і адміністратора.
2.3. Відкат (ЦО)
Відкат є багатосторонньою послугою, що дозволяє відновлюватися після помилок
користувача, збоїв програмного забезпечення або апаратури і підтримувати цілісність баз
даних, додатків, побудованих на транзакціяхтощо. Дана послуга забезпечує можливість
відмінити операцію або послідовність операцій і повернути (відкатити) захищений об’єкт до
попереднього стану. Якщо система реалізує дану послугу, то її використання має
фіксуватись в журналі. Відміна операції не повинна приводити до видалення з журналу
запису про операцію, яка пізніше була відмінена. Рівні даної послуги ранжируються на
підставі множини операцій, для яких забезпечується відкат.
Обмежений відкат ЦО-1
Повинні існувати автоматизовані засоби, які дозволяють авторизованому користувачу
або процесу відкатити або відмінити певний набір (множину) операцій, виконаних над
захищеним об'єктом за певний проміжок часу.
Повний відкат ЦО-2
Повинні існувати автоматизовані засоби, які дозволяють авторизованому користувачу
або процесу відкатити або відмінити всі операції, виконані над захищеним об'єктом за
певний проміжок часу.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НИ-1
послуги «ідентифікація і автентифікація».
2.4. Цілісність при обміні (ЦВ)
Дана послуга дозволяє забезпечити захист об'єктів від несанкціонованої модифікації
інформації, що міститься в них, під час їх експорту/імпорту через незахищене середовище.
Найчастіше ця послуга реалізується з використанням таких механізмів криптографічного
захисту, як цифровий підпис і коди автентифікації повідомлень. Рівні даної послуги
ранжируються на підставі повноти захисту і вибірковості керування. Під повнотою захисту,
як і для послуги конфіденційність при обміні, треба розуміти множину типів загроз, від яких
забезпечується захист. Під ступенем захищеності об'єктів, що експортуються, як правило,
слід розуміти криптостійкість використовуваних алгоритмів шифрування.
Мінімальна цілісність при обміні (ЦВ-1)
Рівень даної послуги забезпечує мінімальний захист. На включення даного рівня в свій
рейтинг може претендувати система, що дозволить на підставі цифрового підпису перевіряти
цілісність функціонуючого в ІТС ПЗ, або система електронної пошти, що забезпечує
цифровий підпис повідомлень.
Базова цілісність при обміні (ЦВ-2)
Реалізація даної послуги додатково дозволяє керувати засобами експорту і імпорту
об'єктів і додатково забезпечує захист від помилок користувача та інших випадкових
помилок, а також від модифікації інформації у разі підключенні несанкціонованих
користувачів.
Повна цілісність при обміні (ЦВ-3)
Реалізація даної послуги додатково дозволяє забезпечити виявлення випадкових або
навмисних порушень цілісності не тільки окремих повідомлень, але і потоків повідомлень в
цілому.
3. Послуги доступності
Для того, щоб ІТС могла бути оцінена на відповідність критеріям доступності, КЗЗ КС,
що оцінюється, повинен надавати послуги щодо забезпечення можливості використання КС
в цілому, окремих функцій або оброблюваної інформації, на певному проміжку часу і
гарантувати спроможність КС функціонувати в разі відмови її компонентів. Доступність
може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов,
гаряча заміна, відновлення після збоїв.
3.1. Використання ресурсів (ДР)
Дана послуга дозволяє забезпечити доступність послуг і ресурсів ІТС шляхом
керування обсягом ресурсів, що виділяються користувачам.
Як приклади поділюваних ресурсів, використовуваних для збереження, оброблення або
передачі пасивних об'єктів різних типів, можна навести:
- дисковий простір (для збереження об'єктів у вигляді файлів);
- табличний простір системи керування базами даних (для збереження об'єктів у
вигляді записів таблиць системи керування базами даних);
- мережеві з'єднання (для передачі пасивних об'єктів);
- процесорний час, що виділяється певному користувачу для виконання ініційованих
ним процесів, тощо.
Рівні даної послуги ранжируються на підставі повноти захисту і вибiрковості керування
доступністю послуг ІТС.
Квоти (ДР-1)
Це найслабкіша форма контролю за використанням ресурсів. Всі захищені об'єкти ІТС
(наприклад, дисковий простір, тривалість сеансу, час використання центрального процессора
тощо) повинні iдентифікуватись і контролюватись диспетчером доступу шляхом накладення
обмежень на максимальний обсяг даного ресурсу, що може бути виділений користувачу. На
даному рівні послуги немає гарантій, що користувач не зможе повністю захопити решту
певного ресурсу, обмежуючи тим самим доступ до нього інших користувачів.
Недопущення захоплення ресурсів (ДР-2)
Квоти використовуються таким чином, щоб гарантувати, що жоден користувач не
зможе захопити решту певного ресурсу, дозволяючи виділяти менші обсяги ресурсів, ніж
максимальна квота користувача, гарантуючи таким чином іншому користувачеві доступ до
розділюваного ресурсу.
Пріоритетність використання ресурсів (ДР-3)
КЗЗ додатково дозволяє управляти пріоритетністю використання ресурсів. Користувачі
групуються адміністратором так, щоб визначити пріоритетні групи. Таким чином, у разі
високого завантаження КС може знаходитись в стані, коли тільки користувачі, які мають
високий приорітет, можуть мати доступ до системи за рахунок інших користувачів.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НО-1
послуги «розподіл обов'язків» (і як наслідок, - рівня НИ-1 послуги «iдентифікація і
автентифікація»).
3.2. Стійкість до відмов (ДС)
Послуга "Стійкість до відмов" дозволяє забезпечити доступність послуг і ресурсів ІТС
шляхом забезпечення використання її окремих функцій або ІТС в цілому після відмови його
компонента. Рівні даної послуги ранжируються на підставі спроможності КЗЗ забезпечити
можливість ІТС продовжувати функціонування залежно від кількості відмов і послуг,
доступних після відмови.
Стійкість при обмежених відмовах (ДС-1)
КЗЗ повинний визначати множину компонентів ІТС, до яких вона відноситься, і типи їх
відмов, після яких ІТС в змозі продовжувати функціонування. Відмова одного захищеного
компонента не повинна призводити до недоступності всіх послуг, а має в гіршому випадку
проявлятися в зниженні характеристик обслуговування.
Стійкість без погіршення характеристик обслуговування (ДС-3)
Політика стійкості до відмов повинна відноситися до всіх компонентів ІТС. Відмова
одного захищеного компонента не повинна призводити до недоступності всіх послуг або до
зниження характеристик обслуговування.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НО-1
послуги «розподіл обов'язків» (і, як наслідок, - рівня НИ-1 послуги «iдентифікація і
автентифікація»).
3.3. Гаряча заміна (ДЗ)
Ця послуга дозволяє гарантувати доступність ІТС (можливість використання
інформації, окремих функцій або ІТС в цілому) в процесі заміни окремих компонентів.
Основна мета реалізації даної послуги полягає в тому, що встановлення нової версії системи,
відмова або заміна захищеного компонента не повинні призводити до того, що система
потрапить до стану, коли політика безпеки, що реалізується нею, стане скомпрометованою.
Рівні даної послуги ранжируються на підставі повноти захисту.
Модернізація (ДЗ-1)
Політика КЗЗ повинна визначати політику проведення модернізації ІТС. Адміністратор
або користувачі, яким надані відповідні повноваження, повинні мати можливість провести
модернізацію ІТС. Модернізація не повинна призводити до необхідності ще раз проводити
інсталяцію ІТС або до переривання виконання КЗЗ функцій захисту
Гаряча заміна будь-якого компонента (ДЗ-3)
Політика КЗЗ повинна забезпечувати можливість заміни будь-якого компонента без
переривання обслуговування. Адміністратор повинен мати можливість замінити будь-який
захищений компонент.
Необхідною умовою для реалізації всіх рівнів даної послуги, є реалізація рівня НО-1
послуги «розподіл обов'язків» (і, як наслідок, - рівня НИ-1 послуги «ідентифікація і
автентифікація»), а для рівнів ДЗ-2 і ДЗ-3 - рівня ДС-1 послуги стійкість до відмов, оскільки
для того, щоб забезпечити можливість гарячої заміни компонента, система повинна
забезпечувати свою працездатність у разі відмови даного компонента.
3.4 Відновлення після збоїв (ДВ)
Дана послуга дозволяє забезпечити доступність послуг і ресурсів ІТС шляхом її
переведення у відомий захищений стан після відмови або переривання обслуговування.
Відновлення може вимагати втручання оператора, а для її більш високих рівнів реалізації
КЗЗ може продукувати відновлення працездатності автоматично. Якщо відновлення
неможливе, то КЗЗ повинен переводити систему до стану, з якого її може повернути до
нормального функціонування тільки адміністратор.
Рівні даної послуги ранжируються на підставі міри автоматизації процесу відновлення.
Ручне відновлення (ДВ-1)
Після відмови ІТС або переривання обслуговування КЗЗ повинен перевести її до стану,
із якого повернути її до нормального функціонування може тільки адміністратор.
Вибіркове відновлення (ДВ-3)
Після будь-якої відмови ІТС або переривання обслуговування, що не призводить до
необхідності заново інсталювати ІТС, КЗЗ повинен бути здатним виконати необхідні
процедури і безпечним чином повернути її до нормального функціонування. Якщо
автоматизовані процедури не можуть бути використані, то КЗЗ повинен перевести ІТС до
стану, з якого повернути її до нормального функціонування може тільки адміністратор.
Необхідною умовою для реалізації всіх рівнів даної послуги - реалізація рівня НО-1
послуги «розподіл обов'язків» (і, як наслідок, - рівня НИ-1 послуги «ідентифікація і
автентифікація»).
4. Послуги спостереженості
Для того, щоб ІТС могла бути оцінена на відповідність критеріям спостереженості, КЗЗ
повинен надавати послуги щодо забезпечення відповідальності користувача за свої дії і щодо
підтримки спроможності КЗЗ виконувати свої функції. Спостережність забезпечується в ІТС
такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал,
розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при
обміні, автентифікація відправника, автентифікація отримувача.
4.1. Реєстрація (НР)
Реєстрація - це процес розпізнавання, фіксування і аналізу дій і подій, що пов'язані з
дотриманням політики безпеки інформації. Використання засобів перегляду і аналізу
журналів, а особливо засобів налагодження механізмів фіксування подій, має бути
прерогативою спеціально авторизованих користувачів.
Під можливістю реєстрації подій слід розуміти наявність засобів, що дозволяють, як
мінімум, виконувати такі дії:
- виявляти (реєструвати) факти виникнення подій;
- генерувати записи в журналі реєстрації;
- накопичувати і зберігати дані журналів реєстрації або передавати їх в інші системи.
Під подіями, що мають відношення до безпеки, слід розуміти події, пов'язані зі
спробами або фактами певних дій, які стосуються виконання функціональними модулями
ОЕ, що входять до складу КЗЗ, операцій згідно з вимогами політики різних функціональних
послуг безпеки.
Чіткого визначення поняття події, що має безпосереднє відношення до безпеки, не
існує, однак, зазвичай під такою подією слід розуміти подію, пов'язану зі звертанням до
засобів КЗЗ, які реалізують будь-яку функціональну послугу безпеки, наприклад:
- надання доступу;
- відмова в доступі;
- виконання автентифікації;
- зміна атрибутів доступу;
- створення об'єкта;
- модифікація об'єкта;
- видалення об'єкта;
- використання привілеїв тощо.
Під подіями, що мають непряме відношення до безпеки, слід розуміти події, які, хоча
прямо і не пов'язані з функціонуванням засобів КЗЗ, що реалізують будь-яку функціональну
послугу безпеки, але можуть призвести до порушення безпеки оброблюваної інформації.
Для забезпечення контролю реєстраційних подій можуть використовуватися такі
підходи:
- порівняння результатів дій деякого користувача або об'єкта-процесу із заздалегідь
заданим набором правил (профілем);
- виявлення факту виникнення подій одного або декількох типів протягом заданого
періоду часу;
- виявлення факту відсутності подій одного або декількох типів протягом заданого
періоду часу.
Вибір фізичного носiя, що використовується для зберігання даних реєстрації, повинен
відповідати способу використання і обсягу даних. Будь-яке переміщення таких даних має
виконуватись способом, що гарантує їх безпеку. Одним із найбезпечніших, хоч і досить
дорогих рішень, є використання носіїв з одноразовим записом. В будь-якому випадку рівень
захищеності даних реєстрації має бути не нижче, ніж рівень захищеності даних користувачів,
яку забезпечують реалізовані послуги конфіденційності і цілісності. Повинні бути вироблені
угоди щодо планування і ведення архівів даних реєстрації.
Для реалізації найбільш високих рівнів даної послуги необхідна наявність засобів
аналізу журналу реєстрації. Засоби аналізу - це засоби, що виконують більш складну, ніж
перегляд, оцінку журналу реєстрації з метою виявлення можливих порушень політики
безпеки. Ці засоби повинні надавати адміністратору можливість виконання сортування,
фільтрації за певними критеріями та інших подібних операцій. КЗЗ повинен надавати
адміністратору можливість вибирати події, що реєструються.
Рівні даної послуги ранжируються залежно від повноти і вибірковості контролю,
складності засобів аналізу даних журналів реєстрації і спроможності виявлення потенційних
порушень.
Зовнішній аналіз (НР-1)
КЗЗ повинен бути здатним здійснювати реєстрацію подій, що мають безпосереднє
відношення до безпеки.
Захищений журнал (НР-2)
КЗЗ повинен додатково забезпечувати захист журналу реєстрації від несанкціонованого
доступу, модифікації або руйнування. Адміністратори повинні мати в своєму розпорядженні
засоби перегляду і аналізу журналу реєстрації.
Сигналізація про небезпеку (НР-3)
КЗЗ має бути здатним контролювати одиничні або повторювані реєстраційні події, які
можуть свідчити про прямі (істотні) порушення політики безпеки ІТС. КЗЗ має бути здатним
негайно інформувати адміністратора про перевищення порогів безпеки і, якщо реєстраційні
небезпечні події повторюються, здійснити неруйнівні дії щодо припинення повторення цих
подій.
Детальна реєстрація (НР-4)
КЗЗ повинен додатково здійснювати реєстрацію подій, що мають безпосереднє або
непряме відношення до безпеки.
Аналіз у реальному часі (НР-5)
КЗЗ повинен додатково здійснювати аналіз даних реєстрації у реальному часі.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НИ-1
послуги «ідентифікація і автентифікація», а для рівнів вище НР-1 - рівня НО-1 послуги
«розподіл обов'язків».
4.2. Ідентифікація і автентифікація (НИ)
Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особистість
користувача (фізичної особи), який намагається одержати доступ до ІТС. Хоч поняття
ідентифікація і автентифікація відрізняються, на практиці обидва ці процеси важко буває
поділити. Важливо, щоб в кінцевому підсумку були підстави стверджувати, що система має
справу з конкретним відомим їй користувачем. За результатами ідентифікації і
автентифікації користувача система (КЗЗ), по-перше, приймає рішення про те, чи дозволено
даному користувачеві ввійти в систему, і, по-друге, використовує одержані результати надалі
для здійснення розмежування доступу на підставі атрибутів доступу користувача, що
увійшов.
Функціонування механізмів автентифікації може ґрунтуватися на одному з таких
принципів:
1) принцип «знання чогось» (наприклад, паролів або криптографічних ключів);
2) принцип «володіння чимось» (карткою з магнітною смугою, смарт-карткою,
переносним ідентифікатором тощо);
3) принцип «притаманність невід'ємних характеристик» (рукописний підпис, відбиток
пальця, голосові параметри, характеристики сітківки ока, динамічні характеристики при
роботі з клавіатурою тощо).
Перший тип автентифікації є простим у реалізації і достатньо ефективним. Проте його
ефективність обмежена простотою його повторення: достатньо просто обчислити або
вгадати інформацію автентифікації, а для її дублювання не вимагається спеціального
устаткування чи можливостей.
Основною перевагою другого типу автентифікації є складність або висока вартість
дублювання інформації автентифікації. З іншого боку, втрата пристрою автентифікації може
стати причиною потенційної компрометації. Проте, в більшості випадків достатньо просто
установити факт втрати такого пристрою і попередити адміністратора безпеки про
необхідність зміни інформації автентифікації.
Реалізація третього типу автентифікації повинна забезпечувати значно сильнішу
автентифікацію, ніж два попередніх типи. Основною перешкодою для використання даного
механізму є висока вартість пристроїв автентифікації. Крім того, використання цих
достатньо дорогих засобів автентифікації не гарантує безпомилкової роботи. Рівень
(ймовірність) помилок першого і другого роду для таких пристроїв може стати непридатним
для деяких застосувань.
Рівні даної послуги ранжируються залежно від числа задіяних механізмів
автентифікації.
Зовнішня ідентифікація і автентифікація (НИ-1)
Перш ніж дозволити будь-якому користувачу виконувати будь-які дії, КЗЗ повинен з
використанням захищеного механізму одержати від деякого зовнішнього джерела
автентифікований ідентифікатор цього користувача.
Одиночна ідентифікація і автентифікація (НИ-2)
КЗЗ повинен автентифікувати цього користувача з використанням захищеного
механізму. КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого
доступу, модифікації або руйнування.
Множинна ідентифікація і автентифікація (НИ-3)
КЗЗ повинен автентифікувати цього користувача з використанням захищених
механізмів двох або більше типів різних типів автентифікації, наприклад, введеного з
клавіатури пароля і зовнішнього ідентифікатора.
Для реалізації рівнів НИ-2 і НИ-3 даної послуги необхідною умовою є реалізація рівня
НК-1 послуги «достовірний канал».
4.3. Достовірний канал (НК)
Дана послуга дозволяє гарантувати, що користувач взаємодіє безпосередньо з КЗЗ і
ніякий інший користувач або процес не може втручатись у взаємодію (підслухати або
модифікувати інформацію, що передається). Зазначена можливість, ініційована
користувачем, повинна забезпечувати захист від шкідливих програмних засобів типу
«троянський кінь». Рівні даної послуги ранжируються в залежності від того, чи має КЗЗ
можливість ініціювати захищений обмін, чи це є прерогативою користувача.
Однонаправлений достовірний канал (НК-1)
Достовірний канал повинен використовуватися для початкової ідентифікації і
автентифікації. Зв'язок з використанням даного каналу повинен ініціюватися виключно
користувачем.
Двонаправлений достовірний канал (НК-2)
Достовірний канал повинен використовуватися також у випадках, коли необхідний
прямий зв'язок користувач/КЗЗ або КЗЗ/користувач. Зв'язок з використанням даного каналу
повинен ініціюватися користувачем або КЗЗ. Обмін з використанням достовірного каналу,
що ініціює КЗЗ, повинен бути однозначно ідентифікований як такий і має відбутися тільки
після позитивного підтвердження готовності до обміну з боку користувача.
Реалізація даної послуги є необхідною умовою для реалізації рівнів НИ-2 і НИ-3
послуги «ідентифікація і автентифікація».
4.4. Розподіл обов'язків (НО)
Дана послуга дозволяє зменшити ймовірність навмисних або помилкових дій
користувачів і обмежити авторитарність керування. Рівні даної послуги ранжируються на
підставі вибірковості керування можливостями користувачів і адміністраторів.
Виділення адміністратора (НО-1)
Політика розподілу обов'язків, що реалізується КЗЗ, повинна визначати ролі
адміністратора і звичайного користувача і притаманні їм функції.
Розподіл обов'язків адміністраторів (НО-2)
Політика повинна визначати мінімум дві адміністративні ролі: адміністратора безпеки
та іншого адміністратора. Функції, притаманні кожній із ролей, повинні бути мінімізовані
так, щоб включати тільки ті функції, які необхідні для виконання даної ролі. Ролі не
обов’язково мають бути абсолютно взаємовиключними, оскільки деякі функції або команди
можуть знадобитись і адміністратору, і користувачу, або різним адміністраторам тощо.
Розподіл обов'язків на підставі привілеїв (НО-3)
Політика додатково повинна визначати множину ролей користувачів.
4.5. Цілісність комплексу засобів захисту (НЦ)
Дана послуга визначає міру здатності КЗЗ захищати себе і гарантувати свою здатність
керувати захищеними об'єктами. Жодна ІТС не може вважатися захищеною, якщо самі
засоби захисту є об'єктом для несанкціонованого впливу.
Під захистом цілісності компонентів КЗЗ слід розуміти або виявлення фактів
порушення цілісності компонентів з подальшим її відновленням, або запобігання самій
можливості порушення цілісності компонентів КЗЗ. Функціонування механізмів, що
забезпечують реалізацію послуги, в частині, яка стосується виявлення фактів порушення
цілісності компонентів КЗЗ, може ґрунтуватися на одному з таких принципів:
- порівняння із заздалегідь створеною еталонною копією;
- вироблення/перевірки криптографічних (таких, що обчислюються з використанням
ключових даних) кодів контролю цілісності (кодів автентифікації повідомлень);
- вироблення/перевірки некриптографічних кодів контролю цілісності з їх подальшим
зашифруванням / розшифруваннням;
- вироблення/перевірки електронного цифрового підпису.
Функціонування механізмів, що забезпечують реалізацію послуги, в частині, яка
стосується запобігання самій можливості порушення цілісності компонентів КЗЗ, може
ґрунтуватися на одному з таких принципів:
- з використанням механізму керування доступом для захисту компонентів КЗЗ, що
знаходяться у стані зберігання;
- на підставі апаратно реалізованих засобів обмеження доступної різним процесам
оперативної пам'яті (кільця захисту, захищені сегменти пам'яті, захищені комірки пам'яті)
для захисту компонентів КЗЗ, що знаходяться у стані виконання.
КЗЗ з контролем цілісності (НЦ-1)
Рівень даної послуги є необхідною умовою для абсолютно всіх рівнів усіх інших
послуг. КЗЗ повинен мати можливість перевіряти свою цілісність і у разі виявлення її
порушення переводити систему в стан, з якого її може вивести тільки адміністратор.
КЗЗ з гарантованою цілісністю (НЦ-2)
КЗЗ повинен підтримувати власний домен виконання, відмінний від доменів виконання
всіх інших процесів, захищаючи себе від зовнішніх впливів. Дана вимога є однією з вимог до
реалізації диспетчера доступу. Як правило, реалізація даної вимоги повинна забезпечуватися
можливостями апаратного забезпечення ОС.
КЗЗ з функціями диспетчера доступу (НЦ-3)
КЗЗ повинен забезпечити керування захищеними ресурсами таким чином, щоб не
існувало можливості доступу до ресурсів, минаючи КЗЗ. Дана вимога є другою
функціональною вимогою до реалізації диспетчера доступу.
Необхідною умовою для реалізації рівня НЦ-1 даної послуги є реалізація рівнів НО-1
послуги «розподіл обов'язків» і НР-1 послуги «реєстрація», оскільки КЗЗ повинен мати
можливість ставити до відома адміністратора про факти порушення своєї цілісності.
4.6. Самотестування (НТ)
Самотестування дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність
функціонування і цілісність певної множини функцій ІТС. Рівні даної послуги ранжируються
на підставі можливості виконання тестів за ініціативою користувача, в процесі запуску або
штатної роботи.
Самотестування за запитом (НТ-1)
КЗЗ має бути здатним виконувати набір тестів з метою оцінки правильності
функціонування своїх критичних функцій за запитом користувача, що має відповідні
повноваження.
Самотестування в реальному часі (НТ-3)
КЗЗ має бути здатним виконувати набір тестів з метою оцінки правильності
функціонування своїх критичних функцій за запитом користувача, що має відповідні
повноваження, а також при ініціалізації КЗЗ і в процесі штатного функціонування.
Необхідною умовою для всіх рівнів даної послуги є реалізація рівня НО-1 послуги
«розподіл обов'язків».
4.7. Ідентифікація і автентифікація при обміні (НВ)
Дана послуга дозволяє КЗЗ (компонентам КЗЗ) установити і перевірити ідентичність
іншого КЗЗ (компонента КЗЗ) перед початком або у процесі взаємодії. Функціонування
засобів, що забезпечують реалізацію послуги, повинно обов'язково передбачати виконання
таких дій:
- одержання інформації автентифікації, необхідної для генерації/перевірки запитів
автентифікації сторонами взаємодії (ініціатором і верифікатором);
- генерація і передача запитів автентифікації стороною-ініціатором;
- перевірка та оброблення запитів автентифікації стороною-верифікатором.
При цьому функціонування механізмів, що реалізують послугу, може ґрунтуватися на
одному з таких принципів:
- знання загального секрету;
- підтвердження довіреною третьою стороною;
- контекст запиту автентифікації.
Рівні даної послуги ранжируються на підставі повноти реалізації.
Автентифікація вузла (НВ-1)
КЗЗ дозволяє виключити можливість несанкціонованого зовнішнього підключення і є
необхідною умовою для реалізації високих рівнів послуг конфіденційності і цілісності при
обміні.
Автентифікація джерела даних (НВ-2)
КЗЗ дозволяє виключити можливість несанкціонованого використання встановленого
авторизованого підключення.
Автентифікація з підтвердженням (НВ-3)
КЗЗ дозволяє виключити можливість деяких видів внутрішнього шахрайства.
4.8. Автентифікація відправника (НА)
Ця послуга дозволяє однозначно встановити приналежність певного об'єкта певному
користувачу, тобто той факт, що об'єкт був створений або відправлений цим користувачем.
Функціонування засобів, що забезпечують реалізацію послуги, повинно обов'язково
передбачати виконання таких дій:
- генерація підтверджень авторства (маркерів причетності), однозначно пов'язаних з
переданими об'єктами (повідомленнями);
- передача і збереження підтверджень авторства (маркерів причетності);
- перевірка підтверджень авторства (маркерів причетності).
При цьому обов'язковим є застосування механізмів, заснованих на використанні
криптографічних перетворень. Використовуваний вигляд підтверджень (маркерів
причетності) визначається типом використовуваних криптографічних алгоритмів і містить:
- захищені конверти повідомлень, у процесі генерації та перевірки яких
використовуються симетричні криптографічні алгоритми;
- електронні цифрові підписи повідомлень, у процесі генерації та перевірки яких
використовуються несиметричні криптографічні алгоритми.
Рівні даної послуги ранжируються на підставі можливості підтвердження результатів
перевірки незалежною третьою стороною.
Базова автентифікація відправника (НА-1)
Встановлення належності має виконуватися на підставі затвердженого протоколу
автентифікації.
Автентифікація відправника з підтвердженням (НА-2)
Використовуваний протокол автентифікації повинен забезпечувати можливість
однозначного підтвердження належності об'єкта незалежною третьою стороною.
Найширше для реалізації даної послуги, як і послуги автентифікації одержувача,
використовується
цифровий
підпис,
оскільки
використання
несиметричних
криптоалгоритмів (на відміну від симетричних) дозволяє забезпечити захист від
внутрішнього шахрайства і автентифікацію за взаємної недовіри сторін.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НИ-1
послуги «ідентифікація і автентифікація».
4.9. Автентифікація одержувача
Дана послуга дозволяє однозначно установити факт одержання певного об'єкта певним
користувачем. Функціонування засобів, що забезпечують реалізацію послуги, повинно
обов'язково передбачати виконання таких дій:
- генерація підтверджень одержання (маркерів причетності), однозначно пов'язаних з
отриманими об'єктами (повідомленнями);
- передача і збереження підтверджень одержання (маркерів причетності);
- перевірка підтверджень одержання (маркерів причетності).
При цьому обов'язковим є застосування механізмів, заснованих на використанні
криптографічних перетворень. Використовуваний вигляд підтверджень (маркерів
причетності) визначається типом використовуваних криптографічних алгоритмів і містить:
- захищені конверти повідомлень про одержання, у процесі генерації та перевірки яких
використовуються симетричні криптографічні алгоритми;
- електронні цифрові підписи повідомлень про одержання, у процесі генерації та
перевірки яких використовуються несиметричні криптографічні алгоритми.
Рівні даної послуги ранжируються на підставі можливості підтвердження результатів
перевірки незалежною третьою стороною.
Базова автентифікація отримувача (НП-1)
Встановлення одержувача має виконуватися на підставі затвердженого протоколу
автентифікації.
Автентифікація отримувача з підтвердженням (НП-2)
Використовуваний протокол автентифікації повинен забезпечувати можливість
однозначного підтвердження незалежною третьою стороною факту одержання об'єкта.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня НИ-1
послуги ідентифікація і автентифікація.
Контрольні питання
1. Яку назву має документ, що визначає вимоги до послуг безпеки інформації?
2. Які є послуги конфіденційності ФПЗ?
3. Яку функцію забезпечує послуга «Довірча конфіденційність»?
4. Яку функцію забезпечує послуга «Адміністративна конфіденційність»?
5. Яку функцію забезпечує послуга «Повторне використання об'єктів»?
6. Яку функцію забезпечує послуга «Аналіз прихованих каналів»?
7. Яку функцію забезпечує послуга «Конфіденційність при обміні»?
8. Які є послуги цілісності ФПЗ?
9. Яку функцію забезпечує послуга «Довірча цілісність»?
10. Яку функцію забезпечує послуга «Адміністративна цілісність»?
11. Яку функцію забезпечує послуга «Відкат»?
12. Яку функцію забезпечує послуга «Цілісність при обміні»?
13. Які є послуги доступності ФПЗ?
14. Яку функцію забезпечує послуга «Використання ресурсів»?
15. Яку функцію забезпечує послуга «Стійкість до відмов»?
16. Яку функцію забезпечує послуга «Гаряча заміна»?
17. Яку функцію забезпечує послуга «Відновлення після збоїв»?
18. Які є послуги спостережності ФПЗ?
19. Яку функцію забезпечує послуга «Реєстрація»?
20. Яку функцію забезпечує послуга «Ідентифікація і автентифікація»?
21. Яку функцію забезпечує послуга «Достовірний канал»?
22. Яку функцію забезпечує послуга «Розподіл обов'язків»?
23. Яку функцію забезпечує послуга «Цілісність КЗЗ»?
24. Яку функцію забезпечує послуга «Розподіл обов'язків»?
25. Яку функцію забезпечує послуга «Самотестування»?
26. Яку функцію забезпечує послуга «Ідентифікація і автентифікація при обміні»?
27. Яку функцію забезпечує послуга «Автентифікація відправника»?
28. Яку функцію забезпечує послуга «Автентифікація одержувача»?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 10. Побудова і структура гарантій реалізації послуг безпеки
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки,
послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. В цих
критеріях вводиться 7 рівнів гарантій, які є ієрархічними. Для того, щоб ІТС одержала
певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути
задоволені всі вимоги, визначені для даного рівня в кожному з розділів.
1. Вимоги до архітектури
Вимоги до архітектури забезпечують гарантії того, що КЗЗ у змозі повністю
реалізувати політику безпеки і більшою мірою відносяться до архітектури ПЗ. Додержання
цих вимог забезпечується розробником на стадіях проектування КЗЗ. Передусім, вимоги до
архітектури покликані забезпечити структурованість КЗЗ відповідно до принципів якісного
проектування ПЗ (модульність, iнкапсуляція і приховування даних).
Для самих низьких рівнів критеріїв гарантій від розробника вимагається просто
описати складові компоненти КЗЗ та їх призначення.
Для більш високих (проміжних) рівнів вимагається логічне поділення вихідного коду
на окремі незалежні компоненти (модулі), що ідентифікуються, та ізоляція компонентів КЗЗ,
критичних для безпеки. Внутрішні деталі і дані, використовувані всередині кожного модуля,
повинні бути приховані від усіх зовнішніх об'єктів. Послуги КЗЗ повинні бути доступні
тільки через зовнішній документований інтерфейс.
Для самих верхніх рівнів Розробник під час проектування ПЗ повинен зосередити
зусилля на зменшенні обсягу КЗЗ до мінімального набору компонентів. Мінімізація обсягу є
однією з вимог концепції диспетчера доступу і дозволяє виділити у складі КЗЗ ядро захисту.
Програмне забезпечення, призначене для реалізації КЗЗ, повинне максимальним чином
будуватися за модульним принципом.
Склад послуг безпеки, а також механізмів захисту, що реалізують кожну з послуг,
визначається політикою безпеки інформації в ІТС і повинен відповідати її вимогам. Якщо не
всі вимоги політики безпеки реалізуються КЗЗ, то вони повинні підтримуватися
організаційними та іншими заходами захисту КСЗІ. У складі КЗЗ не повинні міститися
послуги та використовуватися засоби, які мають не передбачені політикою безпеки функції.
Використання таких засобів можливе за умови вилучення цих функцій або гарантування
неможливості їх активізації.
Мають бути описані особливості архітектури компонентів КСЗІ та їх призначення.
Стиль опису – неформалізований, вимоги щодо детального опису не висуваються.
2. Середовище розробки
Вимоги до середовища розробки забезпечують гарантії того, що процеси розробки і
супроводження оцінюваної ІТС є повністю керованими з боку розробника.
Процес розробки. Від розробника вимагається визначити всі стадії життєвого циклу
ІТС, розробити, запровадити і підтримувати в робочому стані документально оформлені
методики своєї діяльності на кожній стадії.
ІТС
–
–
ІТС
Крім того, повинні бути документовані стандарти, які використовувались під час
розробки ПЗ. Використовувані мови програмування і компілятори мають відповідати
вимогам національних, міждержавних або міжнародних стандартів. В іншому випадку слід
надати повне визначення і опис мови, яка використовувалась. Додатково має бути
документовано використання залежних від реалізації або апаратури опцій мови
програмування.
Для більш високих рівнів гарантій вимоги до середовища розробки включають вимоги
необхідності документування використовуваних методик фізичної, технічної, організаційної
і кадрової безпеки.
Керування конфігурацією. Керування конфігурацією є необхідною і невід'ємною
частиною будь-якої спроби розробки, а особливо захищених ІТС. Додержання вимог даного
розділу критеріїв гарантій дозволяє забезпечити впевненість Експертної комісії в тому, що
розробник може повністю керувати конфігурацією оцінюваної ІТС.
Розробник повинен розробити, запровадити і підтримувати в дієздатному стані
документовані методики керування конфігурацією КС на всіх стадіях її життєвого циклу.
При цьому Розробник може розробити і використати систему керування конфiгурацією, що
найкраще відображає і складність КС, і розміри організації Розробника. Критерії керування,
можливе використання засобів автоматизації і належний рівень формалізації процедур і
перевірок визначаються Розробником (і підтверджуються Експертною комісією) таким
чином, щоб бути настільки сумісним з іншими компонентами середовища розробки,
наскільки це можливо. Важливо, щоб усі процедури, ролі і відповідальність всього
персоналу, задіяного в керуванні конфiгурацією, були чітко визначені і документовані.
Система керування конфігурацією повинна бути орієнтована на вирішення чотирьох
основних завдань: визначення конфігурації, регулювання конфiгурації, облік стану і
перевірка якості конфігурації
Визначення конфігурації. КС повинна ідентифікуватися в термінах своєї
конфiгурації: апаратне забезпечення, програмне забезпечення і документація на ІТС
(наприклад, функціональні специфікації, технічний і робочий проекти, документація з
тестування). Кожний елемент конфігурації одержує унікальне і значиме ім'я (ідентифікатор),
під яким він існує в ІТС протягом всього її життєвого циклу. Повинні використовуватися
загальні для всього проекту угоди щодо позначення, маркірування, нумерації і каталогізації
елементів конфігурації Особливу увагу слід приділяти угодам щодо ПЗ (наприклад, для
визначення того, є елемент вихідним чи об'єктним кодом).
Розмір елементів конфігурації може варіюватися відповідно до їх складності та
очікуваної частоти зміни. Шляхом ретельного вибору розміру кожного елемента
конфігурації система керування конфігурацією може краще ізолювати ті елементи, що
змінюються частіше від тих, що змінюються рідше, ізолювати ті елементи, що є критичними
для безпеки від тих, що не є такими, і групувати окремі малі елементи ІТС в єдиний великий
елемент конфігурації для зменшення загального числа елементів конфігурації Ефективність
контролю за змінами залежить від вдалого виділення елементів конфiгурації: має досягатись
рівновага між керуванням великим числом малих елементів конфігурації і групуванням
надто великого числа елементів ІТС в один елемент конфігурації
Регулювання конфігурації. Керування (контроль за) внесенням будь-яких змін до ІТС
є основною функцією системи керування конфігурацією Керування внесенням змін до
конфігурації ІТС слід здійснювати протягом всього життєвого циклу ІТС. Процес внесення
змін і набір використовуваних процедур мають бути визначені і документовані. Необхідно
мати відповідальних осіб, роль і відповідальність яких має бути документована, які
відповідали б за оцінку і затвердження запропонованих змін і безпосередньо за їх внесення.
Це дозволяє гарантувати, що в разі необхідності елементи конфігурації можуть бути
зафіксовані в певному стані і що ефекти від пропонованих змін будуть враховані раніше, ніж
будуть затверджені дані зміни.
Облік стану. Завдання керування конфігурацією щодо обліку стану включає в себе
фіксування інформації за статусом кожного елемента конфігурації Вона включає і вихідне
визначення елемента, і будь-які зміни, внесені до елемента (наприклад, поширення, усунення
помилок) протягом всього життєвого циклу. При збереженні записів за кожним елементом
конфігурації поточний стан (статус) кожного елемента може бути доступним зацікавленому
персоналу, а також можуть бути одержані історичні дані для використання в процесі
перевірки конфігурації
Перевірка якості конфігурації. Контроль за конфiгурацiєю здійснюється шляхом
взаємозв'язаних переглядів і перевірок інформації за станом всіх елементів конфігурації з
метою одержання впевненості, що система керування конфігурацією працює належним
чином. Контроль за конфігурацією робить можливим наступну адаптацію і настроювання
процесу керування конфігурацією відповідно до умов, що змінюються (вхідними вимогами).
Перегляди і перевірки також дають гарантію того, що стандарти, політика і процедури,
прийняті в організації, присутні і в системі керування конфігурацією
Відповідно до Критеріїв система керування конфігурацією включає в себе технічні та
організаційні заходи. Система керування конфігурацією повинна охоплювати розробку і
супроводження програмного, апаратного, програмно-апаратного забезпечення, розробку
документації, тестів і т.ін.
Для найнижчих рівнів критеріїв гарантій у розробника має бути базова система
керування конфiгурацією, що дозволяє ідентифікувати оцінювану ІТС, керувати внесенням
змін і вести архів цих змін. Система керування конфігурацією повинна включати технічні
або організаційні документовані методики керування програмним, апаратним, програмноапаратним забезпеченням, опрацюванням документації і тестів в необхідному обсязі.
Для більш високих рівнів критеріїв гарантій система керування конфігурацією повинна
додатково мати можливість генерувати версію КЗЗ із вихідного коду і відзначати будь-які
відмінності. Частиною системи мають бути засоби генерації звітів про помилки та інші
проблеми, а також про їх усунення. Для даних рівнів система керування конфігурацією
повинна використовувати засоби автоматизації та організаційні процедури, що їх
доповнюють.
Для найбільш високих рівнів критеріїв гарантій система керування конфігурацією
повинна додатково забезпечувати керування всіма засобами (наприклад, мовами
програмування, компіляторами, бібліотеками часу виконання тощо), які використовувались
в процесі розробки КС.
3. Послідовність розробки
Вимоги до процесу проектування забезпечують гарантії того, що на кожній стадії
розробки (проектування) існує точний опис ІТС і її реалізація точно відповідає вихідним
вимогам (політиці безпеки).
ІТС
Рівні деталізації. Вимоги до гарантій передбачають наявність чотирьох основних
рівнів деталізації КС у процесі її створення: функціональна специфікація, проект
архітектури, детальний проект, реалізація. Експертна комісія виконує аналіз для визначення
коректності опису КС для кожного рівня деталізації і його відповідності опису попереднього
рівня. Для кожної конкретної КС розробник можуть спільно визначити необхідні рівні
деталізації процесу розробки, які можна розглядати як функціональну специфікацію, проект
архітектури і детальний проект. В документах, в яких наведені описи для кожного рівня
деталізації, можуть використовуватись посилання на інші документи.
Стиль специфікації. В залежності від рівня гарантій і рівня деталізації передбачається
можливість використання трьох способів (стилів) специфікації: неформалiзований, частково
формалізований і формалізований. Неоднозначність специфікацій зменшується з
використанням більш високого рівня формалізації.
Неформалiзована специфікація має стиль текстового документа мовою повсякденного
спілкування (російська, українська). Для неформалiзованої специфікації вимагається
представити визначення термінів, що використовуються в контексті, які відрізняються від
звичайних, що використовуються у повсякденній мові.
Частково формалізована специфікація складається мовою з обмеженим синтаксисом і
доповнюється поясненнями, написаними мовою повсякденного спілкування. Мова з
обмеженим синтаксисом може являти собою повсякденну мову з жорсткою структурою
речення і ключовими словами, що мають спеціальне значення, або бути дiаграматичною
(наприклад, діаграми потоків даних, станів або переходу). Для побудови частково
формалізованої специфікації як на базі діаграм, так і на базі мови повсякденного
спілкування, необхідно сформулювати набір угод, що визначають обмеження синтаксису.
Формалізовані специфікації мають представлення, яке базується на добре встановлених
математичних концепціях, і супроводжуються поясненнями звичайною мовою. Ці
математичні концепції використовуються для визначення синтаксису і семантики подань і
несуперечливих правил доказу, які підтримуються логічними посиланнями. Властивості,
критичні для безпеки, повинні виражатися мовою формалізованої специфікації.
Формалізовані представлення повинні дозволяти описати і ефект (результат) виконання
функції, і всі зв'язані з нею виняткові або помилкові умови. Якщо використовуються
ієрархічні специфікації, то необхідно показати, що кожний рівень включає властивості,
встановлені для попереднього рівня.
Вимоги до відповідності специфікацій рівня. Критерії гарантій включають вимоги
до відповідності специфікацій рівня деталізації. Рівень зусиль, необхідних для досягнення
такої відповідності, зростає разом з рівнем гарантій. Для його характеристики
використовують терміни "показати", “продемонструвати" або "довести".
Якщо від розробника вимагається показати повну відповідність між представленнями
КС, це означає, що є необхідністю наявність відповідності тільки між основними елементами
кожної специфікації. Прикладом може бути використання таблиці, елементи якої
відображають відповідність, або використання належного представлення діаграми проекту.
Якщо від розробника вимагається продемонструвати повну відповідність між
представленнями КС, то вимагається наявність відповідності між більш дрібними
елементами кожної специфікації. Демонстрація відповідності виконується на основі аналізу з
використанням структурованого наукового підходу, що дає переконливі аргументи на
користь того, що існує повна відповідність між елементами двох специфікацій.
Якщо від розробника вимагається довести повну відповідність між представленнями
КС, то необхідним є наявність відповідності між ще більш дрібними елементами кожної
специфікації. Відповідність між елементами має бути виражена формально.
Функціональні специфікацїi.
ІТС
Політика безпеки описує ІТС як набір послуг безпеки. Кожна послуга описується
відповідно до вимог функціональних критеріїв для певного рівня даної послуги і з
урахуванням необхідних умов. Для всіх рівнів гарантій політика безпеки подається у стилі
неформалiзованої специфікації і показується її відповідність більш деталізованій
специфікації. Фактично, політика безпеки може бути визначена в технічному завданні на КС.
Модель політики безпеки дозволяє точніше виразити вимоги політики безпеки. Стиль
специфікації моделі політики безпеки варіюється залежно від рівнів гарантій від
неформалiзованого до формалізованого. Для всіх рівнів гарантій показується відповідність
моделі політики безпеки більш деталізованій специфікації.
ІТС
ІТС
ІТС
ІТС
Проект архітектури. Проект архітектури є старшим або верхнім рівнем специфікації
проекту, який відображає функціональну специфікацію в основні компоненти проекту КС.
Для кожного з основних компонентів КС проект архітектури описує його призначення і
функції, визначає послуги безпеки, що реалізуються ним. Взаємодія всіх компонентів також
визначається на даному етапі. Ця взаємодія представляється на рівні зовнішніх інтерфейсів,
потоків даних, керування і т. ін. Проект архітектури описує, яку функцію виконує кожний
компонент. Опис того, як компонент виконує свої функції всередині, не вимагається.
Детальний проект. Детальний проект є нижнім і найбільш детальним рівнем
специфікації, який поділяє проект архітектури на менші за обсягом проекти його компонент.
Детальний проект повинен мати достатню міру деталізації, щоб дозволити почати
реалізацію. Для кожного компонента детальний проект повинен містити опис його
призначення і функцій. Має бути визначений порядок взаємодії всіх компонентів. Ця
взаємодія представляється на рівні зовнішніх інтерфейсів потоків даних, керування і т. ін.
Детальний проект описує і те, яку функцію виконує кожний компонент, і те, як він це робить,
включаючи алгоритми і внутрішні інтерфейси. Для детального проекту допускається
наявність деяких проміжних специфікацій, кожна з яких характеризується більшою рівнем
деталізації порівняно з попередніми.
Реалізація. Реалізація є завершальним представленням ІТС, що складаються з
програмного, програмно-апаратного і апаратного забезпечення. Кожний компонент
реалізації повинен бути створений і документований відповідно до вимог процесу
проектування. Інтерфейси та інші компоненти, що згадуються, повинні бути описані в
документації. Для найбільш високих рівнів гарантій вимагається представлення обраних
дільниць вихідного коду.
4. Середовище функціонування
Вимоги до середовища функціонування забезпечують гарантії того, що ІТС
поставляється замовнику без несанкціонованих модифікацій, а також інсталюється і
iніціалiзується замовником так, як це передбачається розробником. Оцінка ІТС забезпечує
гарантії того, що ІТС правильно реалізує політику безпеки і правильно функціонує, і
будується на припущенні, що функціонування ІТС починається з безпечного стану.
Дотримання вимог даного розділу критеріїв гарантій дозволяє забезпечити впевненість, що
це припущення є правильним для всіх оцінюваних ІТС.
-
По-перше, розробник повинен гарантувати, що конфігурація, яка поставляється
замовнику даної ІТС, є сертифікованою конфігурацією.
По-друге, під час постачання розробник повинен забезпечити захист ІТС від
несанкціонованої модифікації. Цей захист за своєю природою може бути технічний,
організаційний або фізичний. Технічний захист може полягати, наприклад, у використанні
шифрування або криптографічних контрольних сум, паролів, що відкривають доступ до
критичного ПЗ, перевірок на відповідність ПЗ еталону і т. ін. Організаційний захист може
полягати, наприклад, у перевірці конфігурації для досягнення впевненості в тому, що
замовнику поставлена потрібна версія, для чого можуть застосовуватися процедури
керування якістю, задіяні розробником при пакуванні ІТС. Фізичний захист може полягати,
наприклад, у використанні вакуумної упаковки компонент ПЗ і документації і використанні
інших оболонок, що запобігають або фіксують спроби фізичного доступу.
По-третє, коли ІТС доставлена і її цілісність перевірена, замовнику необхідні інструкції
з інсталяції і ініціалізації ІТС. Наведені вказівки повинні описувати всі параметри
конфiгурування і можливі обмеження.
5. Документація
Для того, щоб замовник зміг повною мірою використати послуги безпеки, що
надаються ІТС для реалізації політики безпеки, встановленої в його організації, йому
необхідна відповідна документація, в якій були б описані ці послуги і дані вказівки щодо їх
використання.
У складі експлуатаційної документації розробник повинен подати опис послуг безпеки,
що реалізуються КЗЗ оцінюваної ІТС, настанови адміністратору щодо послуг безпеки і
настанови користувачу щодо послуг безпеки. Зміст цих документів залежить від політики
безпеки, що реалізується ІТС. Ніяких особливих вимог до назв, формату або структур
документів дані критерії не ставлять.
Документація може бути загальною або в ній можуть бути явно виділені документи
(розділи), призначені для адміністратора безпеки і для звичайного користувача. В будьякому випадку наведеної в документації інформації повинно бути достатньо для того, щоб і
адміністратор, і звичайні користувачі мали змогу виконувати свої функції.
6. Випробування комплексу засобів захисту
В плані випробувань повинна бути викладена стратегія випробувань розробника. План
повинен надавати детальний опис всіх тестованих частин КЗЗ. Сюди входять зовнішні
інтерфейси КЗЗ, всі політики, привілеї, механізми послуг захисту і специфічних викликів
системних функцій, бібліотечного ПЗ тощо. План має також відображати середовище
випробувань, будь-які особливі умови, що створюються для проведення випробувань, і
засоби випробувань. Повинні бути наведені аргументи на користь повноти тестового
покриття.
Програма і методика випробувань повинна визначати процедури тестування кожного
елемента, визначеного у плані випробувань (наприклад, системних викликів). Для кожного
окремого тесту має бути докладно описано використання засобів випробувань, необхідне
оточення і особливі умови. Рівень деталізації процедур випробувань має бути достатнім для
наступного повторення випробувань Експертною комісією. Розробник повинен також
описати очікувані результати кожного тесту.
Для демонстрації того, що КЗЗ оцінюваної ІТС піддавався випробуванням, і доказу
повноти цих випробувань розробник повинен надати Експертній комісії документально
оформлені результати випробувань. Вимоги до випробувань визначають такі основні
елементи планування і проведення випробувань розробником: план випробувань, програма і
методика випробувань і результати випробувань (журнал випробувань, звіт, протокол
випробувань).
.
«
»
та
Інформація, що міститься в документах, які представляють результати випробувань,
дозволяє Експертній комісії оцінити реальну ефективність і повноту проведених
випробувань, їх відповідність плану, програмі і методиці, а також організувати проведення
сертифікаційних випробувань.
В межах кожного класу ІТС класифікуються на підставі вимог до забезпечення
певних властивостей інформації.
З точки зору безпеки інформація характеризується трьома властивостями:
конфіденційністю, цілісністю і доступністю. Виходячи з цього, кожний клас ІТС (х = 1, 2, 3)
поділяється на підкласи, які визначають підвищені вимоги до забезпечення:
- конфіденційності оброблюваної інформації (підклас «х. К»);
- цілісності оброблюваної інформації (підклас «х.Ц»);
- доступності оброблюваної інформації (підклас «х.Д»);
- конфіденційності і цілісності оброблюваної інформації (підклас «х.КЦ»);
- конфіденційності і доступності оброблюваної інформації (підклас «х.КД»);
- цілісності і доступності оброблюваної інформації (підклас «х.ЦД»).
- конфіденційності, цілісності і доступності оброблюваної інформації (підклас
«х.КЦД»).
НД ТЗІ 2.5-005-99 «Класифікація АС і стандартні функціональні профілі
захищеності оброблюваної інформації від НСД» вводить таке поняття як «стандартний
функціональний профіль захищеності» (далі - СФПЗ). Він являє собою перелік мінімально
необхідних рівнів послуг, які повинен реалізовувати КЗЗ обчислювальної системи ІТС, щоб
задовольняти певні вимоги щодо захищеності інформації, яка обробляється в даній ІТС.
Для кожного з підкласів кожного класу вводиться деяка кількість ієрархічних
стандартних функціональних профілів, яка може бути різною для кожного класу і підкласу
ІТС. Профілі є ієрархічними в тому розумінні, що їх реалізація забезпечує наростаючу
захищеність від загроз відповідного типу (К, Ц і Д). Зростання ступеня захищеності може
досягатись як підсиленням певних послуг, тобто включенням до профілю більш високого
рівня послуги, так і включенням до профілю нових послуг.
Така класифікація корисна для полегшення вибору переліку функцій, які повинен
реалізовувати КЗЗ проектованої або існуючої ІТС. Цей підхід дозволяє мінімізувати витрати
на початкових етапах створення КСЗІ ІТС. Проте слід визнати, що для створення КЗЗ, який
найповніше відповідає характеристикам і вимогам до конкретної ІТС, необхідно проведення
в повному обсязі аналізу загроз і оцінки ризиків.
СФПЗ будуються на підставі існуючих вимог щодо захисту певної інформації від
певних загроз і відомих на сьогоднішній день функціональних послуг, що дозволяють
протистояти даним загрозам і забезпечувати виконання вимог, які висуваються. Політика
безпеки ІТС, що реалізує певний СФПЗ, має бути «успадкована» з документів, що
встановлюють вимоги до порядку обробки певної інформації в ІТС.
НД ТЗІ 2.5-005-99 визначає стандартний підхід до визначення ФПЗ ІТС шляхом вибору
з множини СФПЗ, який базується на таких припущеннях:
- усі ІТС можна віднести до одного з трьох класів за наступними ознаками:
конфігурація апаратних засобів, їх фізичне розміщення, кількість категорій оброблюваної
інформації, кількість користувачів і категорій користувачів;
- у межах класу ІТС можна віднести до одного з підкласів, що визначені за критерієм
необхідності забезпечення К, Ц і Д.
Таким чином кількість сполучень з трьох властивостей зумовлює наявність 7 підкласів
ІТС (таблиця 1);
- вимоги до безпеки ІТС різних класів суттєво відрізняються, що дозволяє сформувати
для їх підкласів множини СФПЗ, що знаходяться у ієрархічній залежності;
- для створення КЗЗ, який найповніше відповідає характеристикам і вимогам до
конкретної ІТС, необхідно проведення в повному обсязі аналізу загроз і оцінки ризиків.
Клас
ІТС
1
2
3
Кількість СФПЗ для підкласів ІТС
К
Ц
Д
КЦ КД ЦД КЦД
2
2
4
2
4
4
4
6
5
4
6
4
4
5
6
5
4
6
4
4
5
Загальна
кількість СФПЗ
22
34
34
Визначено такі етапи застосування стандартного підходу для визначення ФПЗ ІТС:
1. Визначення класу ІТС.
2. Визначення яке сполучення вимог конфіденційності, цілісності, доступності
висувається до ІТС.
3. Визначення призначення ІТС та вибір підказки, яку треба використовувати у цьому
випадку для вибору одного зі СФПЗ, використовуючи довідковий додаток «А» з НД ТЗІ
2.5-005-99. Якщо призначення ІТС відрізняється від наведених у НД ТЗІ 2.5-005-99
необхідно власноруч обрати підмножину СФПЗ відповідно до класу ІТС.
4. Аналіз сутності вимог, відібраних СФПЗ.
5. Вибір одного зі СФПЗ, який найбільш відповідає політиці безпеки.
6. У випадку, коли жоден із СФПЗ не підходить повною мірою, необхідно змінити
рівень послуги, що міститься у СФПЗ, або додати нову послугу.
Така властивість інформації як «спостережність» не використовується для розбиття
ІТС на підкласи. Цей факт пояснюється тим, що послуги спостережності є необхідною
умовою для реалізації інших послуг, а з іншого боку завжди важлива для ІТС.
Алгоритм з'ясування необхідності та рівня послуги безпеки можна викласти у
табличному вигляді:
Відповіді
Гру- Варіанти
па
відповіді
Так. Ця можливість має бути
Чи повинні
надана користувачам (не
користувачі (не
адміністраторам) стосовно
адміністратори)
окремих захищених об’єкті
мати можливість
Так. Ця можливість має бути надакерувати потокаа)
на користувачам (не
ми інформації
адміністраторам) стосовно всіх
від
захищених об’єктів
захищених об'єктів ІТС до інших
Ні. Таку можливість має бути
користувачів?
виключено
№
Запитання
№
1
2
Захист від якого
рівня загроз має
забезпечувати
КСЗІ?
а)
Результат
Пере- Група
відпоРівень
Тип хід
до
відей
послуги
*
КД-1 або 2
П
п.2
а)
КД-3 або 4
П
п.2
б)
Послуга не
потрібна
О
НСД до захищеного об’єкту із
застосуванням неавторизованого
процесу
КД-1
О
НСД до захищеного об’єкту з боку
неавторизованого користувача
КД-2
О
наступної
таблиці наступної
таблиці наступної
таблиці -
б)
НСД до захищеного об’єкту з боку
неавторизованого користувача
КД-3
О
наступної
таблиці -
НСД до захищеного об’єкту з боку
неавторизованого/ авторизованого
користувача із застосуванням
неавторизованого процесу та/або
авторизованого користувача із
застосуванням неавторизованого
процесу
КД-4
О
наступної
таблиці -
*Примітка: «О» - остаточний результат, «П» - проміжний результат.
Згідно НД ТЗІ 2.5-005-99 кожний профіль має свій буквено-числовий ідентифікатор,
який включає:
- номер класу ІТС (1 - ПЕОМ, 2 - ЛОМ, 3 - РОМ),
- букви, що характеризує види загроз, від яких забезпечується захист (К, Ц, Д),
- номер профілю.
Всі частини ідентифікатора відділяються один від одного крапкою.
Наприклад, СФПЗ ІТС класу «2» номер 1 з підвищеними вимогами до забезпечення
конфіденційності інформації виглядає таким чином:
2.К.1 = { КД-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1 }
А СФПЗ ІТС класу «1» номер 2 з підвищеними вимогами до забезпечення
конфіденційності, цілісності і доступності інформації виглядає таким чином:
1.КЦД.2 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
Версія може служити, зокрема, для вказівки на підсилення певної послуги всередині
профілю. Наприклад, нарощування можливостей реєстрації приведе до появи нової версії.
Тим не менше, при внесенні деяких істотних змін, особливо додання нових послуг, може або
привести до появи нового профілю, або до того, що профіль буде відноситись до іншого
класу чи підкласу ІТС.
Найбільш складним профілем є профіль КЦД, до якого включається 22 послуги,
причому це взагалі максимально можлива для профілів кількість послуг. Але не завжди є
необхідність підтримувати відразу всі властивості інформації, що захищається, - іноді
достатньо підтримувати лише деякі з них залежно від конкретної мети та завдань
захисту інформації, а також очікуваних загроз інформації. Наприклад, у деяких
випадках достатньо підтримувати властивість конфіденційності, яка може реалізуватися
таким механізмом, як криптографія. Іноді, особливо в мережевих конфігураціях, найбільш
важливою може бути підтримка властивості доступності.
ФПЗ по суті є варіантом технічної реалізації системи захисту інформації. За рахунок
реалізації певного ФПЗ забезпечується виконання політики безпеки ІТС й зменшення
збитку, що завдається ІТС впливом загроз. Рішення задачі вибору оптимального ФПЗ
включає формування множини припустимих варіантів ФПЗ, визначення сукупності
показників якості, завдання критерію оптимальності, а також вибір варіантів ФПЗ,
оптимальних за цим критерієм.
Таким чином, завданням розробника КСЗІ є обстеження властивостей конкретної ІТС,
як об'єкта захисту та вибір необхідного СФПЗ із списку, наведеного у НД ТЗІ 2.5-005-99. У
випадку, коли жоден з наявних СФПЗ не підходить до конкретної ІТС, розробник має
створити свій, найбільш придатний для нього ФПЗ, обґрунтувати й затвердити його.
Контрольні питання
1. Які є критерії гарантій реалізації послуг безпеки?
2. На які підкласи поділяється кожний клас ІТС?
3. Запишіть умовне позначення ФПЗ для підвищених вимог другої версії до цілісності
та доступності інформацій в АС класу 1?
4. Запишіть умовне позначення ФПЗ для підвищених вимог першої версії до
конфіденційності, цілісності та доступності інформацій в АС класу 2?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 11. Вимоги до захисту інформації від НСД в АС класу «1»
Згідно НД ТЗІ 2.5-005-99 до АС класу «1» (далі – АС-1) відносяться системи, створені
на базі одномашинного обчислювального комплексу (автономної ПЕОМ), який кожного
моменту може забезпечувати роботу тільки одного користувача.
Типові умови функціонування АС-1
1. Характеристика обчислювальної системи
У загальному випадку обчислювальна система АС-1 складається з:
- автономної ПЕОМ зі стандартними (штатними) засобами введення, накопичення та
відображення інформації (клавіатура, маніпулятор, магнітні та оптичні приводи,
накопичувач на жорстких магнітних дисках, монітор, порти введення-виведення інформації
тощо);
- периферійних пристроїв, які використовуються для введення, виведення та
накопичення інформації (принтери, сканери, пристрої зовнішньої пам’яті тощо);
- системного програмного забезпечення (операційна система та драйвери периферійних
пристроїв), під управлінням якого працює ПЕОМ;
- комплексу технічних, програмних, програмно-апаратних та апаратних засобів захисту
інформації;
- функціонального та спеціалізованого програмного забезпечення, що використовується
для оброблення інформації.
Склад апаратного та програмного забезпечення АС вказується у «Формулярі АС-1».
Типові режимні умови функціонування АС-1 стосовно обчислювальної системи
визначають таке:
- ПЕОМ та додаткові периферійні пристрої повинні мати оформлений, згідно з діючими
нормативними документами системи ТЗІ в Україні, документ встановленого зразка, який
свідчить про проведення комплексу організаційних та інженерно-технічних заходів із
захисту інформації від витоку технічними каналами відповідно до встановленої ступені
секретності інформації, що обробляється в АС;
- програмні або програмно-апаратні засоби захисту, які входять до складу КЗЗ, повинні
мати відповідним чином оформлені документи (експертні висновки, допуски до експлуатації,
сертифікати), які свідчать про відповідність цих засобів вимогам із захисту інформації.
2. Характеристика фізичного середовища
До фізичного середовища АС-1 відноситься:
- приміщення, в яких розташовано АС-1 з усіма її компонентами (обчислювальна
система, сховище носіїв інформації та програмного забезпечення, робочі місця користувача
та обслуговуючого персоналу тощо);
- засоби енергопостачання, заземлення, життєзабезпечення та сигналізації;
- допоміжні технічні засоби та засоби зв’язку.
Типові режимні умови розміщення та функціонування АС-1 стосовно фізичного
середовища визначають таке:
- приміщення, в яких розташовано АС-1 з усіма її компонентами, пропускний та
внутрішній режими роботи у цих приміщеннях повинні відповідати режимним вимогам, які
визначені у відповідних нормативних документах;
- приміщення, в яких розташовано АС-1 з усіма її компонентами, засоби
енергопостачання, заземлення, життєзабезпечення та сигналізації, допоміжні технічні засоби
та засоби зв’язку, які знаходяться в цих приміщеннях, повинні відповідати вимогам
нормативних документів щодо забезпечення захисту інформації від витоку технічними
каналами (у разі оброблення таємної інформації).
3. Характеристика середовища користувачів
За рівнем повноважень щодо доступу до службової інформації, характером та змістом
робіт, які виконуються в процесі функціонування АС-1, суб’єкти, що мають доступ до АС,
поділяються на такі групи:
- користувачі, які мають певні повноваження щодо оброблення службової інформації;
- користувачі, які мають повноваження щодо встановлення та керування комплексом
засобів захисту інформації (системний адміністратор та адміністратор безпеки);
- технічний персонал, який забезпечує працездатність АС-1 та порядок у робочих
приміщеннях АС-1.
Повноваження користувачів з першої та другої груп повинні бути фізично розділені,
тобто виконуватися різними особами.
Допускається
виконання
адміністратором
безпеки
функцій
системного
адміністратора.
Типові режимні умови стосовно доступу користувачів АС до службової інформації
визначають таке:
- усі користувачі АС та технічний персонал, який забезпечує працездатність АС-1,
повинні бути допущені до службової інформації;
- доступ користувачів до службової інформації дозволяється лише у разі необхідності
виконання покладених на них службових обов’язків.
4. Характеристика інформації, яка обробляється
Інформація, яка обробляється в АС-1, за змістом вимог щодо захисту поділяється на
наступні групи:
- дані та програмні коди у вигляді файлів різних форматів, записів баз даних та інших
структур машинного представлення (далі – дані), які містять службову інформацію;
- дані, які не містять службову інформацію;
- бази даних захисту (списки зареєстрованих користувачів, їх ідентифікаторів,
повноважень користувачів, матриці доступу, журнали реєстраційних подій КЗЗ тощо);
- дані, захищені ліцензійними умовами використання та розповсюдження, або такі, що
належать деяким групам та окремим користувачам;
- дані загального користування.
Типові режимні умови щодо інформації, яка обробляється в АС-1, визначають таке:
- реєстрація, обіг, зберігання, та знищення даних, що містять службову інформацію,
повинні здійснюватися згідно з вимогами нормативно-правових актів;
- дані, що входять до бази даних захисту, повинні мати гриф обмеження доступу.
Реєстрація, обіг, зберігання та знищення цих даних повинні здійснюватися згідно з
експлуатаційною документацією з урахуванням вимог нормативно-правових актів.
5. Характеристика технології обробки інформації
Інформація зберігається на з’ємних та нез’ємних магнітних, оптичних та флеш носіях
інформації. Усі користувачі, які мають доступ до носія інформації, мають однакові
повноваження щодо доступу до всіх даних, які розміщені на носії інформації, на весь час
функціонування КСЗІ.
Прикладом такої технології можуть бути випадки, коли:
- середовище користувачів складається з одного звичайного користувача та
адміністратора безпеки;
- кожний з користувачів працює тільки зі своїм носієм інформації, до якого тільки він
має доступ.
Визначення ФПЗ АС-1
Для умов середовищ АС-1 можна визначити мінімальний перелік функціональних
послуг безпеки, які, за умови впровадження комплексу необхідних організаційних заходів, є
функціонально достатніми для виконання завдань захисту службової інформації при її
обробленні в АС. Сукупність цих послуг забезпечує підтримання програмно-апаратними
засобами АС процедур автентифікації користувачів АС, адміністративного розмежування
доступу користувачів до даних, що зберігаються на носіях інформації, а також процедур
контролю за діями користувачів із цими об’єктами.
На даний час у системі НД ТЗІ відсутній документ, що встановлює вимоги до КЗЗ від
НСД в АС-1, де обробляється відкрита або конфіденційна інформація. Тому вихідним
документом для визначення ФПЗ АС-1 будуть «Правила забезпечення захисту в ІТС»,
затверджені ПКМУ від 29.03.2006 № 373 (далі - Правила).
Так, пункт 5 Правил висуває такі вимоги:
1. Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою
інформацією, що вимагає наявності послуги використання ресурсів» (ДР).
2. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та
автентифіковані користувачі, яким надано відповідні повноваження. Це вимагає наявності
послуг ідентифікації і автентифікації (НИ) і довірчої чи адміністративної цілісності (ЦД і
ЦА).
3. Спроби модифікації чи знищення відкритої інформації користувачами, які не мають
на це повноважень або не підтверджені під час автентифікації пред'явленим ідентифікатором
повинні блокуватися. Це вимагає наявності послуги «одиночна ідентифікація і
автентифікація» (НИ-2), для якої потрібна також послуга «однонаправлений достовірний
канал» (НК-1).
Пункт 11 Правил висуває такі вимоги:
1. У системі здійснюється обов'язкова автоматична реєстрація небезпечних для ІТС
подій, що вимагає наявності послуги реєстрації (НР).
2. Реєстраційні дані захищаються від модифікації та знищення користувачами, які не
мають повноважень адміністратора безпеки, що вимагає наявності послуги «захищений
журнал» (НР-2).
3. Забезпечується можливість проведення аналізу реєстраційних даних виключно
користувачем, якого уповноважено здійснювати управління засобами захисту інформації і
контроль за захистом інформації в системі, що вимагає наявності послуги «виділення
адміністратора» (НО-1).
Пункт 15 Правил висуває такі вимоги:
1. У системі здійснюється контроль за цілісністю програмного забезпечення, яке
використовується для обробки інформації, запобігання несанкціонованій його модифікації
та ліквідація наслідків такої модифікації. Це вимагає наявності послуг самотестування (НТ),
відкату (ЦО) і відновлення після збоїв (ДВ).
2. Контролюється також цілісність програмних та технічних засобів захисту інформації,
а у разі порушення їх цілісності обробка інформації в системі припиняється. Це вимагає
наявності послуги «КЗЗ з контролем цілісності» (НЦ-1).
За умови наявності тільки користувачів з однаковими повноваженнями щодо роботи з
відкритою інформацією послуги безпеки базуються на довірчому принципі розмежування
доступу (ЦД).
Виходячи з вище зазначеного, виписуємо всі визначені послуги безпеки в один рядок і
вибираємо схожий СФПЗ із НД ТЗІ 2.5-005-99 для АС-1. В результаті отримаємо необхідний
СФПЗ для оброблення в АС-1 відкритої інформації з мінімальними вимогами до
забезпечення її цілісності та доступності:
1.ЦД.1 = { ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
А СФПЗ у разі оброблення службової інформації повинен мати мінімальні вимоги до
забезпечення не тільки цілісності та доступності інформації, а ще її конфіденційності.
Пункт 6 Правил висуває такі вимоги:
Під час обробки службової інформації повинен забезпечуватися її захист від
несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання,
поширення. У системі забезпечується можливість надання користувачу права на виконання
однієї або кількох операцій з обробки службової інформації або позбавлення його такого
права.
Це вимагає вже наявності послуг безпеки, які базуються на адміністративному
принципі розмежування доступу (КА і ЦА). Виходячи з вище зазначеного, додаємо до СФПЗ
1.ЦД.1а послуги адміністративної конфіденційності та цілісності в результаті отримаємо
необхідний ФПЗ для оброблення в АС-1 службової інформації з мінімальними вимогами до
забезпечення її конфіденційності, цілісності та доступності:
{ КД-2, КА-1, ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
Політика послуг безпеки ФПЗ АС-1
1. Послуги конфіденційності
1.1. Базова довірча конфіденційність КД-2
Політика реалізації послуги повинна розповсюджуватися на файли службової
інформації користувачів, що зберігаються на з’ємних магнітних, оптичних та флеш носіях
інформації.
Розмежування доступу користувачів до об’єктів захисту повинно здійснюватися на
підставі атрибутів об’єктів, що характеризують обмеження доступу даних, які в них
зберігаються або знаходяться, та атрибутів користувачів, що характеризують їх права
доступу (повноваження стосовно доступу).
КЗЗ повинен надавати користувачам АС права доступу лише до тих процесів, які
необхідні для оброблення даних, що зберігаються на носії інформації.
1.2. Мінімальна адміністративна конфіденційність КА-1
Політика реалізації послуги повинна розповсюджуватися на файли даних системи
захисту, файли ведення захищеного журналу реєстрації подій, функціональні програми КЗЗ.
КЗЗ повинен надавати спеціально виділеному користувачеві (адміністратору безпеки)
права доступу до процесів, що обслуговують ведення бази даних системи захисту
(псевдоніми та паролі користувачів, повноваження щодо доступу тощо);
КЗЗ повинен надавати адміністратору безпеки права доступу до процесів, що
обслуговують ведення та аналіз захищеного журналу, в якому реєструються події, визначені
політикою безпеки послуги НР-2.
Доступ до файлів даних системи захисту, файлів ведення захищеного журналу, в якому
реєструються події, визначені політикою безпеки, повинен мати тільки адміністратор.
2. Послуги цілісності
2.1. Мінімальна адміністративна цілісність ЦА-1
Повинно бути реалізовано розмежування доступу користувачів до об’єктів захисту на
підставі атрибутів об’єктів, що характеризують рівень чутливості об’єктів до модифікації, та
атрибутів користувачів, що характеризують рівень їх повноважень щодо модифікації
об’єктів.
Запити на зміну повноважень щодо модифікації об’єктів, які захищаються, повинні
оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора безпеки.
Права доступу щодо модифікації об’єкта, який захищається, повинні встановлюватися в
момент його створення.
2.2. Обмежений відкат ЦО-1
-
-
Факт використання користувачем послуги має реєструватись в системному журналі.
Відміна операції не повинна призводити до видалення в журналу запису про операцію, яка
пізніше була відмінена, якщо остання підлягала реєстрації відповідно до вимог послуги НР2.
3. Послуги доступності
3.1. Квоти ДР-1
-
-
3.2. Ручне відновлення після збоїв ДВ-1
До переліку подій, після яких КЗЗ має переводити АС у стан блокування подальшої
роботи, повинні бути внесені відмови або переривання процесів завантаження АС,
ініціалізації та перевірки цілісності КЗЗ, процедур автентифікації користувачів, процедур
ведення журналу реєстрації подій.
Повернення АС до нормального функціонування може бути здійснено тільки після
втручання адміністратора безпеки або користувачів, яким надані відповідні повноваження.
Повторна інсталяція КЗЗ можлива після копіювання адміністратором безпеки журналу
подій на носій інформації для проведення аналізу можливих фактів порушень політики
безпеки. За результатами робіт складається відповідний акт.
4. Послуги спостереженості
4.1. Захищений журнал НР-2
КЗЗ повинен бути здатним здійснювати реєстрацію таких подій, що мають
безпосереднє відношення до безпеки:
- вхід і вихід користувача в систему (псевдонім користувача, дата, час);
- реєстрацію та видалення із системи користувачів (псевдонім користувача, дата, час);
- зміну пароля (псевдонім користувача, дата, час);
- виведення документа на принтер (псевдонім користувача, ідентифікатор файлу,
серійний номер носія інформації, дата, час);
- створення, доступ та знищення файлів, які зберігаються на носії інформації
(псевдонім користувача, ідентифікатор файлу, серійний номер носія інформації, дата, час);
- виявлення фактів порушення цілісності КЗЗ (код порушення, псевдонім користувача,
дата, час).
КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого
ознайомлення, модифікації або знищення.
Адміністратор безпеки повинен мати в своєму розпорядженні засоби перегляду і
аналізу журналу реєстрації.
4.2. Одиночна ідентифікація і автентифікація НИ-2
Кожний користувач повинен однозначно ідентифікуватися КЗЗ на підставі введеного
імені (псевдоніму). Перш ніж дозволити будь-якому користувачу виконувати будь-які інші,
контрольовані КЗЗ дії, КЗЗ повинен автентифікувати цього користувача на підставі
введеного ним пароля.
Для визначення псевдоніму та пароля повинна використовуватися буквено-цифрова
клавіатура. Кількість символів у паролі повинно бути не менше 8. КЗЗ повинен
забезпечувати захист даних автентифікації від несанкціонованого ознайомлення, модифікації
або знищення.
4.3. Однонаправлений достовірний канал НК-1
Достовірний канал повинен використовуватися для початкової ідентифікації і
автентифікації користувача. Зв’язок з використанням цього каналу повинен ініціюватися
виключно користувачем.
4.4. Виділення адміністратора НО-1
Повинні бути визначені ролі адміністратора і звичайного користувача. Роль
адміністратора повинна забезпечувати виконання функцій, визначених політикою послуги
«мінімальна адміністративна конфіденційність». Роль звичайного користувача повинна бути
обмежена функціями, необхідними для роботи із службовими даними, що містяться на носії
інформації.
Функції, притаманні кожній з ролей, повинні бути мінімізовані так, щоб містити лише
ті функції, які необхідні для виконання цієї ролі. Фізична особа повинна мати можливість
виступати в певній ролі лише в тому разі, якщо у процесі автентифікації вона визначена як
особа, якій притаманна ця роль.
4.5. КЗЗ з контролем цілісності НЦ-1
Повинен бути визначений склад КЗЗ і механізми контролю цілісності програмних та
апаратних компонентів, що входять до складу КЗЗ.
Контроль цілісності програм та даних, що входять до КЗЗ, повинен здійснюватися при
кожному включенні АС або завантаженні операційної системи. Контроль полягає у перевірці
наявності всіх зазначених компонентів та відповідності їх контрольних характеристик
еталонним значенням.
У разі виявлення порушення цілісності будь-якого із своїх компонентів КЗЗ повинен
зареєструвати цю подію у журналі реєстрації і (або) автоматично відновити відповідність
компонента еталону або привести АС до стану, з якого повернути її до нормального
функціонування може лише адміністратор безпеки.
З метою недопущення порушення політики безпеки необхідно унеможливити
використання в АС програмного забезпечення, яке не має відповідного дозволу та не
призначене для обробки службової інформації, зокрема засобів налагодження програмного
забезпечення, засобів моніторингу за процесами та ресурсами АС тощо.
4.6. Самотестування за запитом НТ-1
Повинні бути реалізовані процедури, які призначені для оцінки правильності
функціонування КЗЗ. КЗЗ має бути здатним виконувати набір тестів з метою оцінки
правильності функціонування своїх критичних функцій. Тести повинні виконуватися за
запитом адміністратора безпеки.
За певних обставин в КСЗІ вимоги до політики реалізації окремих послуг безпеки
можуть частково забезпечуватися організаційними або іншими заходами захисту. Якщо ці
заходи у повному обсязі відповідають встановленим НД ТЗІ 2.5-004-99 «Критерії оцінки
захищеності інформації в КС від НСД» специфікаціям для певного рівня послуги безпеки, то
рівень такої послуги, що входить до ФПЗ, може бути знижений на відповідну величину.
Як виняток, послуга безпеки, що входить до ФПЗ, може не реалізовуватись, якщо її
політика у повному обсязі відповідно до моделі захисту інформації спрямована на
нейтралізацію лише несуттєвих загроз, визначених моделлю загроз для інформації в АС.
Розподіл завдань захисту інформації між ФПЗ, організаційними (ОЗ) та інженернотехнічними заходами (ІТЗ), що можуть бути застосовані в АС, наведено в таблиці. Знаком
«+» позначено необхідність впровадження заходів, визначених відповідними нормативноправовими актами щодо захисту інформації, знаком «=» позначено необхідність
впровадження заходів, визначених в експлуатаційній документації, що супроводжує
впроваджений в АС КЗЗ. Для порівняння взяті дві ОС «Windows», які на даний час мають
позитивний експертний висновок відповідності вимогам НД ТЗІ.
Загальні вимоги щодо
захисту інформації
ІТЗ
ОЗ
ФПЗ
Windows Windows
Seven Server
EE SP1 2008 R2
Захист ІзОД від несанкціонованого
ознайомлення
+
=
КД-2
КА-1
ДВ-1
КД-2
ДВ-2
КД-2
ДВ-2
=
ЦА-1
-
-
Надання доступу до ІзОД за умови
достовірного розпізнавання користувачів
з урахуванням наданих згідно з
службовою необхідністю повноважень
=
3.
Надання можливості своєчасного доступу
зареєстрованих користувачів АС до ІзОД
=
4.
Контроль цілісності КЗЗ, а у разі її
порушення припиняти обробку
інформації
Забезпечення реєстрації дій всіх
користувачів АС щодо обробки ІзОД
Забезпечення захисту реєстраційних
даних від модифікації користувачами, які
не мають адміністративних повноважень
Блокування доступу до ІзОД у разі
порушення політики безпеки
Встановлення ступеня обмеження ІзОД
під час її обробки в АС
Встановлення адміністратором обмежень
на використання ресурсів користувачами
Можливість модифікації та знищення
ІзОД користувачами, яким надано
відповідні повноваження
Контроль цілісності ПЗ, що забезпечує
обробку ІзОД, запобігання його
несанкціонованій модифікації та
ліквідація наслідків такої модифікації
Забезпечення рівня гарантій реалізації ПБ
=
НК-1
НИ-2
КД-2
КА-1
НО-1
НЦ-1
НТ-1
ДВ-1
НЦ-1
НК-1
НИ-2
КД-2
НО-3
НЦ-2
НТ-2
ДВ-1
НЦ-2
НК-1
НИ-2
КД-2
НО-3
НЦ-2
НТ-2
ДВ-1
НЦ-1
=
НР-2
НР-2
НР-2
=
НР-2
НО-1
НР-2
НО-3
НР-2
НО-3
=
НК-1
НИ-2
НК-1
НИ-2
НК-1
НИ-2
=
ДР-1
ДР-1
ДР-1
=
ЦА-1
НИ-2
НИ-2
НИ-2
=
НТ-1
ЦО-1
ДВ-1
НТ-2
ЦО-1
ДВ-2
НТ-2
ЦО-1
ДВ-2
Г2
Г2
Г2
№
1.
розмноження
+
розповсюдження
+
+
копіювання
+
+
відновлення
модифікації
2.
5.
6.
7.
8.
9.
10.
12.
+
+
=
+
Здійснивши порівняльний аналіз послуг безпеки ФПЗ АС-1 та механізмів захисту ОС
«Windows 7 Enterprise Edition SP1» і «Windows Server 2008 R2 Enterprise Edition SP1», можна
зробити такі висновки:
- КЗЗ обох ОС «Windows» нічим не відрізняються;
- КЗЗ ОС «Windows» може забезпечити захист відкритої інформації за умов
впровадження ІТЗ і ОЗ;
- КЗЗ ОС «Windows» може забезпечити обрану політику безпеки ФПЗ ІзОД тільки з
використанням додаткового КЗЗ (для забезпечення послуг КА-1 і ЦА-1).
Контрольні питання
1. Як характеризується обчислювальна система АС-1?
2. Як характеризується фізичне середовище АС-1?
3. Як характеризується середовище користувачів АС-1?
4. Як характеризується інформація, що обробляється в АС-1?
5. Як характеризується технологія обробки інформації в АС-1?
6. Які послуги безпеки в АС вимагає п.5 Правил-373?
7. Які послуги безпеки в АС вимагає п.11 Правил-373?
8. Які послуги безпеки в АС вимагає п.15 Правил-373?
9. Які послуги безпеки в АС вимагає п.6 Правил-373?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 12. Додаткові вимоги до захисту секретної інформації в АС класу «1»
Інформація, що становить державну таємницю, згідно вимог НД ТЗІ підлягає захисту
від витоку технічними каналами на ОІД. Захист іншої ІзОД від витоку технічними каналами
на ОІД здійснюється за рішенням розпорядника цієї інформації.
Забезпечення захисту секретної інформації забезпечується за допомогою комплексу
ТЗІ, який має сертифікат відповідності Системи УкрСЕПРО вимогам НД ТЗІ або позитивний
висновок державної експертизи у сфері ТЗІ.
Застосування імпортних засобів забезпечення захисту інформації можливе лише за
умови відсутності вітчизняних аналогів при наявності відповідних техніко-економічних
обґрунтувань і проведення їх сертифікації або одержання позитивного експертного висновку.
Типовий комплект обладнання для комплексу ТЗІ в АС класу «1»
Найменування обладнання
Генератор електромагнітних завад «Базальт-5ГЕШ»
Вартість
5 040 грн.
Мережевий завадозаглушувальний фільтр «ФЗП 103-2»
2 340 грн.
Засіб захисту інформації від НСД «Лоза-1» версія 3
2 820 грн.
Разом 10 200 грн.
Основні вимоги до порядку створення комплексу ТЗІ виписані у НД ТЗІ 1.1-005-07
«Захист інформації на об’єктах інформаційної діяльності. Створення комплексу
технічного захисту інформації. Основні положення».
Підрозділ-заявник створення комплексу ТЗІ разом із СЗІ готує та подає на
затвердження керівнику установи-замовника:
- протокол про визначення вищого ступеня обмеження доступу до інформації;
- проект рішення щодо створення комплексу ТЗІ.
Ступінь обмеження
Прим. № __
ЗАТВЕРДЖЕНО
Керівник установи-замовника
_________________________
____. ____. 20__
ПРОТОКОЛ
про визначення вищого ступеня обмеження доступу до інформації
(назва, належність структурного підрозділу установи, де буде створюватися комплекс ТЗІ)
1. Відомості про інженерно-технічну споруду (належність, склад, дислокація), в межах
якої планується створення комплексу ТЗІ, опис ОІД (межі об’єкта, схеми тощо).
2. Результати проведення аналізу особливостей функціонування ОІД:
Найменування приміщень,
де ІзОД обробляється
технічними засобами ІКС
Характеристика ІзОД
(сфера діяльності, зміст
відомостей, засоби
оброблення тощо)
Стаття,
пункт ЗВДТ,
ВДТ, ВДСК
Ступінь
обмеження
доступу до
інформації
Примітки.
1. Ступінь обмеження доступу до інформації встановлюється згідно з даними:
- Зводу відомостей, що становлять державну таємницю (ЗВДТ), або затверджених розгорнутих відомчих
переліків відомостей, які за режимом доступу віднесені до державної таємниці (ВДТ);
- затверджених відомчих переліків відомостей, які за режимом доступу належать до службової
інформації (ВДСК).
2. Протокол підписують представники від підрозділу-заявника на створення комплексу ТЗІ. У разі
необхідності, протокол також підписують представники підрозділу ТЗІ, служби захисту інформації в АС,
режимно-секретного органу, секретаріату (канцелярії).
Створення комплексу ТЗІ на ОІД передбачає такі основні етапи:
1) виконання передпроектних робіт;
2) розроблення та впровадження заходів із захисту інформації;
3) випробування та атестація комплексу ТЗІ.
1 етап. Виконання передпроектних робіт
Він здійснюється згідно вимог НД ТЗІ 3.1-001-07 «Захист інформації на об’єктах
інформаційної діяльності. Створення комплексу технічного захисту інформації.
Передпроектні роботи».
На першому етапі здійснюються такі заходи:
- проведення обстеження на діючому ОІД;
- розроблення моделі загроз для ІзОД або доповнення до діючої моделі загроз;
- розроблення технічного завдання (ТЗ) на створення комплексу ТЗІ (технічних вимог з
питань ТЗІ).
Розроблення ТЗ є обов’язковим для комплексів ТЗІ, які будуть створюватися під час
нового будівництва споруди, а також для створення комплексів ТЗІ на особливо важливих
об’єктах.
У загальному випадку до складу ТЗ входять такі розділи:
1. Загальні відомості.
2. Вихідні дані для виконання робіт.
3. Технічні вимоги до комплексу ТЗІ:
- загальні вимоги;
- вимоги щодо стійкості до зовнішніх впливів;
- вимоги з безпеки експлуатації;
- вимоги до метрологічного забезпечення;
- вимоги щодо забезпечення охорони державної таємниці;
- вимоги щодо технічного забезпечення виконання робіт;
- вимоги щодо забезпечення безпеки при виконанні робіт.
4. Вимоги до документації.
5. Етапи виконання робіт та порядок їх приймання.
1. Розділ «Загальні відомості» містить:
- короткий опис, дислокацію ОІД;
- підстави для виконання робіт;
- мету проведення робіт та головні завдання;
- дані про замовника і виконавців робіт;
- терміни виконання робіт.
2. У розділі «Вихідні дані для виконання робіт» наводять:
- відомості про результати проведення обстеження на ОІД, визначення загроз безпеці
ІзОД, проведення категоріювання об'єктів, ступінь обмеження доступу до ІзОД, що
оброблятиметься технічними засобами ІТС;
- основні технологічні, будівельні та архітектурно-планувальні рішення щодо ОІД;
- схеми (опис) систем опалення, вентиляції, електроживлення, інших систем
життєзабезпечення, комунікацій, що виходять за межі контрольованої зони (КЗ) тощо.
3. У розділі «Технічні вимоги до комплексу ТЗІ» наводять основні вимоги до захисту
ІзОД на ОІД, вимоги до проведення випробувань і атестації комплексу ТЗІ.
3.1. У підрозділі «Загальні вимоги» наводять:
- перелік основних нормативно-правових актів і НД з питань ТЗІ, за вимогами яких
розроблятиметься комплекс ТЗІ;
- вимоги до вибору засобів забезпечення ТЗІ, в тому числі забезпечення їх
безперебійного електроживлення та заземлення;
- перелік ІКС (АС, систем телефонного зв'язку, телебачення тощо), засобів та систем
життєзабезпечення (систем електроживлення, освітлення, заземлення, сигналізації, опалення,
кондиціювання), що функціонуватимуть на ОІД;
- встановлені межі КЗ, межі зон безпеки ІзОД на ОІД для кожного можливого
технічного каналу витоку інформації;
- вимоги щодо взаємодії з іншими комплексами (системами) інформаційної безпеки
установи.
3.2. У підрозділах «Вимоги щодо стійкості до зовнішніх впливів», «Вимоги з безпеки
експлуатації», «Вимоги до метрологічного забезпечення» вказують відповідні вимоги
чинних в Україні нормативних документів (НД ТЗІ, ДСТУ тощо).
3.3. У підрозділі «Вимоги щодо забезпечення охорони державної таємниці» вказують
вимоги відповідних нормативно-правових документів.
3.4. У підрозділі «Вимоги щодо технічного забезпечення виконання робіт» вказується,
що роботи проводяться виконавцем із застосуванням власної матеріально-технічної бази,
необхідної для виконання робіт, або інше.
3.5. У підрозділі «Вимоги щодо забезпечення безпеки при виконанні робіт» вказують
про обов'язковість дотримання вимог охорони праці та пожежної безпеки при виконанні
робіт.
4. У розділі «Вимоги до документації» наводять перелік документів, які необхідно
розробити для створення комплексу ТЗІ, наприклад:
- пояснювальна записка з ТЗІ;
- завдання на розроблення інженерно-технічного забезпечення споруди з урахуванням
вимог з ТЗІ;
- проектна документація щодо заходів ТЗІ;
- план розміщення засобів захисту;
- кошторис на впровадження заходів з ТЗІ, а також проведення випробувань і атестації
комплексу ТЗІ;
- проект технічного паспорта на комплекс ТЗІ, форми паспортів на приміщення, де
ІзОД обробляється технічними засобами ІКС, інструкції з експлуатації комплексу ТЗІ (за
необхідності).
5. У розділі «Етапи виконання робіт та порядок їх приймання» наводять етапи
виконання робіт (у т.ч. проведення випробувань і атестації комплексу ТЗІ), терміни
виконання робіт, порядок їх приймання та здійснення будівельно-монтажних та
налагоджувальних робіт.
2 етап. Розроблення та впровадження заходів із захисту інформації
Він здійснюється згідно вимог НД ТЗІ 3.3-001-07 «Захист інформації на об’єктах
інформаційної діяльності. Створення комплексу технічного захисту інформації.
Порядок розроблення та впровадження заходів із захисту інформації».
На цьому етапі виконавець робіт з ТЗІ відповідно до вимог затвердженого ТЗ на
створення комплексу ТЗІ організовує розроблення пояснювальної записки з ТЗІ, де зазначає
перелік, зміст, терміни виконання робіт щодо цього створення, склад документів, що
розробляються під час його створення тощо.
Також можуть бути зазначені:
- результати розгляду варіантів заходів із захисту від витоку інформації технічними
каналами та орієнтовні техніко-економічні показники щодо цього захисту;
- схеми комплексу ТЗІ;
- пропозиції щодо визначення співвиконавців робіт з ТЗІ;
- обґрунтування необхідності організації розроблення проектно-кошторисної
документації щодо створення комплексу ТЗІ;
- висновки та пропозиції.
Відповідно до пояснювальної записки з ТЗІ або проектної документації виконавець
організовує впровадження заходів з ТЗІ.
За результатами впровадження заходів з ТЗІ і проведення випробувань здійснюють (за
необхідності)
відповідне
коригування
проектно-кошторисної,
конструкторської,
експлуатаційної та іншої технічної документації.
Організаційні, інженерні і технічні заходи щодо створення комплексу ТЗІ на ОІД
повинні відповідати вимогам НД з питань ТЗІ та можуть містити:
- архітектурно-будівельні заходи;
- заходи з пасивного захисту ІзОД (оптичне, акустичне, електромагнітне екранування,
засоби захисту інформації в телефонних, інших проводових лініях, засоби у захищеному
виконанні тощо);
- заходи з активного захисту ІзОД (генератори віброакустичного, просторового,
акустичного та електромагнітного зашумлення, лінійного електромагнітного зашумлення
тощо).
Під час створення комплексу ТЗІ перевага має надаватися архітектурно-будівельним
заходам та заходам пасивного захисту ІзОД.
Порядок розроблення та оформлення паспорта на комплекс ТЗІ
Основним експлуатаційним документом на комплекс ТЗІ є паспорт, який призначено
для:
- ознайомлення з відомостями про інформацію, що підлягає захисту від витоку
технічними каналами;
- ознайомлення з проектними і технічними рішеннями, що реалізовані у комплексі ТЗІ;
- встановлення правил експлуатації;
- відображення відомостей про технічне обслуговування комплексу, його основні
характеристики (визначені під час приймання комплексу), планові перевірки, атестації, а
також про ремонт та утилізацію.
Паспорти затверджує керівник установи-замовника. Кожен паспорт повинен мати
окремий обліковий (інвентарний) номер.
Паспорт на комплекс ТЗІ містить такі розділи:
1) загальні вказівки;
2) загальні відомості;
3) технічні характеристики комплексу ТЗІ;
4) гарантії;
5) відомості про випрбування і атестацію комплексу ТЗІ;
6) облік технічного обслуговування;
7) відомості про проведені роботи під час експлуатації комплексу ТЗІ;
8) особливі відмітки.
1. Розділ «Загальні вказівки» містить вказівки щодо експлуатації комплексу ТЗІ і
заповнення та ведення паспорта. Зокрема у цьому розділі має бути зазначено:
- фаховий рівень посадової особи, яка організовує експлуатацію комплексу ТЗІ;
- порядок заміни обладнання, проведення ремонтних робіт на ОІД, внесення змін до
паспорта на комплекс ТЗІ;
- порядок використання радіотелефонів, пристроїв мобільного зв'язку.
2. У розділі «Загальні відомості» наводять:
- назву та дислокацію підрозділу, що замовляв створення комплексу ТЗІ;
- відомості про інформацію з обмеженим доступом (таблиця);
Характеристика ІзОД
(умови озвучення, засоби
оброблення тощо)
Найменування приміщень, де ІзОД Ступінь обмеження
обробляється технічними засобами доступу до
ІКС
інформації
- витяг із затвердженого керівником установи рішення (наказу, розпорядження) щодо
створення комплексу ТЗІ на ОІД, у т.ч. інформацію про посаду та прізвище відповідальної
особи, що призначена керівником установи для організації та супроводження робіт на всіх
етапах створення комплексу ТЗІ;
- дані про акт обстеження, модель загроз, приписи на експлуатацію засобів оброблення
інформації, технічні вимоги, завдання щодо створення комплексу ТЗІ, розроблену проектнокошторисну документацію тощо;
- опис конструкцій ОІД, де створено комплекс ТЗІ, а саме: будинків і приміщень
(конструкція та матеріали стін, перекриттів, вікон, дверей, інженерних комунікацій тощо), їх
особливості;
- перелік технічних засобів, що обробляють ІзОД, а також засобів забезпечення ТЗІ;
- відомості про виконані випробування;
- місця виходу за межі КЗ елементів технологічного обладнання, систем зв’язку,
телебачення, сигналізації, заземлення, електро-, газо-, водопостачання, опалення,
кондиціонування, огороджувальних будівельних конструкцій тощо.
3. У розділі «Технічні характеристики комплексу ТЗІ» наводять перелік технічних
засобів як складових комплексу ТЗІ, що можуть впливати на ефективність захищеності
інформації і бути середовищем поширення носіїв інформації, та їх технічні характеристики
(таблиця).
Технічна
характеристика
(параметр)
Номінальне
значення
параметра
відповідно до
норм, вимог
Значення
параметра
під час
випробування
комплексу
Значення параметра під час експлуатації
комплексу ТЗІ
За
Вид
Дата Посада,
результата- контролю
прізвище,
ми
підпис,
контролю
висновки
4. Розділ «Гарантії» складають у разі наявності відповідних зобов’язань розробника
технічних засобів або виконавця впровадження заходів із захисту інформації щодо
гарантійних термінів. Наводять пропозиції щодо терміну проведення чергової атестації.
5. У розділі «Відомості про випробування та атестацію комплексу ТЗІ» наводять:
- види інформації, стосовно яких проводили випробування та атестацію комплексу ТЗІ;
- терміни проведення випробування та атестації комплексу ТЗІ, їх виконавців;
- дані про протоколи випробування та акти атестації комплексу ТЗІ (назви документів,
їх склад, реквізити, реєстраційні номери, місце зберігання, короткі витяги з них);
- терміни проведення чергової атестації та відповідних випробувань.
Висновки про результати випробувань наводять у вигляді таблиці:
Перелік висновків про результати
випробувань
Дата
Виконавець проведення
випробувань
Примітка
6. Розділ «Облік технічного обслуговування» складають у разі, якщо такі види робіт
передбачені. У розділі наводять:
- відомості про технічне обслуговування комплексу ТЗІ, його види;
- дату проведення технічного обслуговування;
- відомості про виконавців технічного обслуговування.
Зазначені відомості наводять у вигляді таблиці:
Дата Вид
технічного
обслуговування
Напрацювання
з початку
експлуатації
після
останнього
ремонту
Підстава
(найменування,
номер і
дата
документа)
Установа, посада,
прізвище і підпис
хто
хто
виконав перевірив
роботу
виконання
роботи
Примітка
7. У розділі «Відомості про проведені роботи під час експлуатації комплексу ТЗІ»
наводять:
- облік робіт, що виконано під час експлуатації комплексу ТЗІ (записи про
незаплановані роботи з усунення відмов під час експлуатації, перевірку відсутності
закладних пристроїв тощо). Записи про ці роботи наводять у вигляді таблиць:
Дата
Найменування
роботи і причина
її виконання
Посада, прізвище і підпис
роботу виконав
перевірив виконання
роботи
Періодичний контроль відсутності
закладних пристроїв, підстава для
контролю
Дата
Посада, прізвище,
підпис виконавців
контролю
Примітка
Відмітка про
усунення
недоліків
- періодичні та інші перевірки стану комплексу ТЗІ та правильності ведення паспорта
(реєструються за формою таблиць);
Дата, тема періодичного контролю
стану технічних характеристик,
підстави для контролю
Дата
Вид
перевірки
Результати
перевірки
Результати
контролю
Посади, прізвища,
підписи виконавців
контролю
Прізвища і підписи
осіб, що перевіряють
Відмітка про
усунення
недоліків
Відмітка про
усунення недоліків
- дані щодо повірки засобів вимірювань (у разі наявності засобів вимірювань у складі
комплексу ТЗІ), які наводяться у вигляді таблиці:
Найменування
та позначення засобів
вимірювання
Заводський
номер
Дата
виготовлення
Періодичність
повірки
Дата повірки
(термін чергової
повірки)
Примітка
- дані про інспекційні перевірки.
8. Розділ «Особливі відмітки» містить декілька чистих аркушів для записів, що можуть
бути здійснені під час експлуатації комплексу ТЗІ.
3 етап. Випробування та атестація комплексу ТЗІ
Він здійснюється згідно вимог НД ТЗІ 2.1-002-07 «Захист інформації на об’єктах
інформаційної діяльності. Випробування комплексу технічного захисту інформації.
Основні положення».
Цей етап передбачає:
- затвердження програм і методик випробувань;
- проведення випробувань відповідно до затверджених програм і методик, оформлення
протоколів випробувань;
- підготовка документа «Висновки за результатами випробувань комплексу ТЗІ»;
- підготовка пропозицій і вимог до вибору рішень щодо впровадження необхідних
заходів із захисту ІзОД (за необхідності);
- проведення атестації комплексу ТЗІ, оформлення актів атестації;
- заповнення паспорта на комплекс ТЗІ.
У «Висновках за результатами випробувань комплексу ТЗІ», які затверджуються
керівником установи, що виконувала випробування, вказують:
- мету, призначення, вид, обсяг випробувань, місце і термін їх проведення;
- дані про затверджені програми і методики випробувань;
- склад технічних засобів, обладнання, необхідних для випробувань;
- результати випробувань щодо їх відповідності вимогам НД ТЗІ.
При проведенні випробувань необхідне матеріально-технічне і метрологічне
забезпечення здійснюють їх виконавці. Засоби вимірювальної техніки мають відповідати
вимогам методик випробувань. Не допускається застосовувати засоби, які не пройшли
метрологічну атестацію або термін повірки прострочено.
Порядок розроблення та оформлення програм і методик випробувань
Програми і методики випробувань узгоджує керівник установи-замовника створення
комплексу ТЗІ та затверджує керівник установи, яка виконувала випробування.
Програми і методики можуть містити такі розділи:
1) загальні положення;
2) обсяг робіт;
3) методики випробувань;
4) умови та порядок проведення випробувань;
5) матеріально-технічне і метрологічне забезпечення;
6) аналіз і оцінка результатів випробувань;
7) вимоги щодо забезпечення охорони державної таємниці.
1. У розділі «Загальні положення» наводять:
- повну назву установи, підрозділу, ОІД, де створюється комплекс ТЗІ;
- підстави для проведення випробувань;
- відомості про виконавців випробувань;
- мету і основні завдання;
- види інформації, для яких впроваджуються відповідні заходи із захисту від витоку
інформації технічними каналами;
- терміни проведення випробувань.
2. Обсяг випробувань та посилання на відповідні методики можуть бути викладені у
вигляді таблиці:
№
з/п
Найменування робіт
Вимоги, норми
(відповідний документ)
Методики за п.
6.3.3 НД ТЗІ
Примітки
3. У розділі «Методики випробувань» наводять відомості про методи проведення
випробувань.
4. У розділі «Умови та порядок проведення випробувань» наводять:
- умови щодо початку і завершення робіт з випробувань;
- послідовність проведення перевірок комплексу ТЗІ на відповідність вимогам НД ТЗІ;
- особливості функціонування складових частин комплексу ТЗІ, що підлягають
випробуванню;
- заходи, що забезпечують безпеку проведення випробувань.
5. У розділі «Матеріально-технічне і метрологічне забезпечення» наводять:
- перелік заходів з метрологічного забезпечення випробувань із розподілом завдань і
відповідальності підрозділів, що беруть участь у випробуваннях;
- склад засобів вимірювальної техніки із зазначенням ознак їх придатності до
застосування, вимоги до них;
- перелік необхідної конструкторської та іншої документації;
- порядок підготовки і використання матеріально-технічних засобів у процесі
випробувань.
Дані про вимірювальне обладнання можуть бути викладені у вигляді таблиці:
№
з/п
Найменування вимірювального
обладнання
Тип
Заводський
номер
Виробник
Дані про
повірку
6. У розділі «Аналіз і оцінка результатів випробувань» наводять:
- обсяг вихідних даних, які необхідні для оцінки результатів випробувань;
- показники та критерії, за якими комплекс ТЗІ вважається таким, що пройшов
випробування.
За результатами випробувань складаються протоколи, де надаються висновки про
відповідність вимогам НД ТЗІ.
7. У розділі «Вимоги щодо забезпечення охорони державної таємниці» вказують
організаційні та режимні заходи, які мають бути проведені при виконанні робіт з
випробувань.
Атестація комплексів ТЗІ
Атестація проводиться з метою визначення відповідності вимогам НД ТЗІ виконаних
робіт зі створення комплексу ТЗІ на ОІД та повноти проведених випробувань. Вона може
проводитися окремо щодо кожного виду ІзОД, що підлягає технічному захисту. Вимоги
щодо проведення атестації мають бути передбачені у ТЗ на створення комплексу ТЗІ.
Атестація комплексу ТЗІ може бути первинною, черговою та позачерговою.
Термін проведення чергової атестації вказується в акті атестації та паспорті на
комплекс ТЗІ (строк дії акта атестації не повинен перевищувати 2 роки).
Позачергову атестацію, а також необхідні випробування проводять у разі змін умов
функціонування ОІД, що приводять до змін загроз для ІзОД, яка оброблятиметься
технічними засобами ІКС, та за висновками органів, які контролюють стан ТЗІ.
Основні етапи атестації комплексу ТЗІ:
- визначення виконавця атестації;
- аналіз умов функціонування ОІД, технічної документації на комплекс ТЗІ, результатів
випробувань;
- аналіз та оцінка відповідності проектної, конструкторської, експлуатаційної та іншої
технічної документації на комплекс ТЗІ вимогам НД з питань ТЗІ;
- перевірка відповідності вихідних даних щодо створення комплексу ТЗІ реальним
умовам розміщення ОІД;
- перевірка складу комплексу ТЗІ на відповідність даним, зазначеним у експлуатаційнотехнічній документації;
- перевірка наявності сертифікатів або експертних висновків на засоби забезпечення
ТЗІ загального призначення;
- перевірка відповідності монтажу та умов експлуатації засобів забезпечення ТЗІ
вимогам експлуатаційної документації;
- перевірка оформлення проекту паспорта на комплекс ТЗІ;
- розгляд висновків за результати випробувань;
- оформлення підсумкового документа - акта атестації комплексу ТЗІ;
- оформлення актів пломбування комплексу ТЗІ.
Акт атестації комплексу ТЗІ має містити:
- підстави для проведення атестації;
- дані про виконавця атестації;
- дату проведення атестації;
- результати атестації;
- зауваження і рекомендації (додаткові умови, яких потрібно дотримуватися під час
експлуатації ОІД);
- висновки щодо відповідності комплексу ТЗІ вимогам технічних завдань і НД з питань
ТЗІ;
- термін проведення чергової атестації (через 2 роки);
- перелік додатків.
Виконавець атестації оформляє акт атестації комплексу ТЗІ, який затверджує керівник
установи-виконавця атестації. Виконавцем атестації комплексу ТЗІ може бути установа, яка
має відповідну ліцензію або дозвіл на провадження діяльності в галузі ТЗІ, одержані у
встановленому законодавством порядку. Відносини між замовником створення та
виконавцем атестації комплексу ТЗІ регламентуються укладеним між ними договором.
Контрольні питання
1. Яку назву має НД ТЗІ, що визначає основні вимоги до порядку створення комплексу
ТЗІ?
2. Які документи готуються до початку створення комплексу ТЗІ?
3. Які є основні етапи створення комплексу ТЗІ?
4. Які заходи здійснюються на передпроектному етапі створення комплексу ТЗІ?
5. Які документи готуються на передпроектному етапі створення комплексу ТЗІ?
6. З яких розділів складається технічне завдання на створення комплексу ТЗІ?
7. Які документи готуються на етапі розроблення комплексу ТЗІ?
8. Який експлуатаційний документ комплексу ТЗІ є основним?
9. З яких розділів складається паспорт на комплекс ТЗІ?
10. Яку назву має НД ТЗІ, що визначає випробування комплексу ТЗІ?
11. Які заходи здійснюються на етапі випробування комплексу ТЗІ?
12. Які документи готуються на етапі випробувань комплексу ТЗІ?
13. З яких розділів складається програма випробувань комплексу ТЗІ?
14. З якою метою проводиться атестація комплексу ТЗІ?
13. Які є основні етапи атестації комплексу ТЗІ?
14. Який документ складається за результатом атестації комплексу ТЗІ?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 13. Вимоги щодо захисту інформації від НСД в АС класу «2»
Основним нормативним документом з цього питання є
2.5-008-2002 «
службов
АС
». Його вимоги є обов’язковими для державних органів, у тому закордонних
дипломатичних установ України, Збройних Сил, правоохоронних органів та органів
місцевого самоврядування, а також підприємств, установ та організацій усіх форм власності,
в АС яких обробляється службова та конфіденційна інформація, вимога щодо захисту якої
встановлена законом.
Згідно НД ТЗІ 2.5-005-99 до АС класу «2» (далі – АС-2) відносяться системи, створені
на базі
багатомашинного обчислювального комплексу (ЛОМ), який може
забезпечувати роботу багатьох користувачів.
В
:
-
–
та
-
Т
і
и
и
АС-
-
1. Характеристика обчислювальної системи
.
-
у
-
-
.
-
-
.
.
–
ощо
.
-
-
.
.
.
-
та
службов
службою захисту
інформації (далі - СЗІ)
-
2. Характеристика фізичного середовища
.
.
.
3. Характеристика користувачів
так
ОС баз даних
ощо
службов
-
.
.
користувачів
.
службов
службових
.
.
-
-
службов
4. Характеристика оброблюваної інформації
.
службов
власником цієї інформації
.
. Службов
.
-
.
-
.
вп
5. Характеристика технологій оброблення інформації
.
-
є службовою інформацією,
службової
.
і службов
АС
.
-
і службовою
-
.
службов
-
-
-
. Службов
-
.
-
.
службов
.
.
.
.
.
-
-
-
.
системи керування базами даних (далі -
)
-
Вимоги до функціональних послуг безпеки інформації
-
обробки службової інформації
ений СФПЗ «
»:
У випадку, коли в АС усі користувачі допущені до обробки службової інформації,
реалізація послуги безпеки КО-1 необов’язкова. А у разі наявності користувачів, що
допущені до обробки лише відкритої інформації, її реалізація обов’язкова.
Реалізація послуг безпеки, що базуються на довірчому принципі розмежування доступу
(КД і ЦД), може здійснюватися у випадках:
- якщо політикою безпеки передбачено створення груп користувачів з однаковими
повноваженнями щодо роботи з службовою інформацією для розмежування доступу до
об’єктів, що таку інформацію містять, у межах цих груп;
- для розмежування доступу до об’єктів, які потребують захисту, але не містять
службової інформації.
У всіх інших випадках розмежування доступу здійснюється згідно з адміністративним
принципом (КА і ЦА).
Послуга безпеки «базова адміністративна цілісність» (ЦА-2) реалізується під час
обробки службової інформації, що міститься в сильнозв’язаних об’єктах. Для обробки
службової інформації, що міститься в слабозв’язаних об’єктах, реалізується послуга
«мінімальна адміністративна цілісність» (ЦА-1).
За певних обставин в КСЗІ вимоги до політики реалізації окремих послуг безпеки
можуть частково забезпечуватися організаційними або іншими заходами захисту. Якщо ці
заходи у повному обсязі відповідають встановленим НД ТЗІ 2.5-004-99 «Критерії оцінки
захищеності інформації в КС від НСД» специфікаціям для певного рівня послуги безпеки, то
рівень такої послуги, що входить до СФПЗ, може бути знижений на відповідну величину.
Як виняток, послуга безпеки, що входить до СФПЗ, може не реалізовуватись, якщо її
політика у повному обсязі відповідно до моделі захисту інформації спрямована на
нейтралізацію лише несуттєвих загроз, визначених моделлю загроз для інформації в АС.
У випадках, коли в АС для окремих компонентів існують відмінності у
характеристиках фізичного та інформаційного середовищ, середовища користувачів,
технологій оброблення інформації, рекомендується визначати перелік мінімально необхідних
рівнів послуг для кожного компонента окремо.
Розподіл завдань захисту інформації між ФПЗ, організаційними (ОЗ) та інженернотехнічними заходами (ІТЗ), що можуть бути застосовані в АС, наведено в таблиці. Знаком
«+» позначено необхідність впровадження заходів, визначених відповідними нормативноправовими актами щодо захисту інформації, знаком «=» позначено необхідність
впровадження заходів, визначених в експлуатаційній документації, що супроводжує
впроваджений в АС КЗЗ. Для порівняння взяті 2 ОС, які на даний час мають позитивний
експертний висновок відповідності вимогам НД ТЗІ та встановлюються на серверах, що
забезпечують функціонувння АС-2.
№
Загальні вимоги щодо захисту
інормації
1.
Захист ІзОД від несанкціонованого
ознайомлення
4.
5.
6.
7.
8.
9.
10.
11.
12.
КД-2
КА-2
ДВ-1
КД-2
ДВ-2
КД-2
КА-2
ДВ-1
=
ЦА-2
НК-1
НИ-2
КД-2
КА-2
НО-1
НЦ-2
НТ-2
ДВ-1
НЦ-2
НК-1
НИ-2
КД-2
НО-3
НЦ-2
НТ-2
ДВ-1
НЦ-2
ЦА-1
НК-1
НИ-2
КД-2
КА-2
НО-1
НЦ-1
НТ-2
ДВ-2
НЦ-1
=
НР-2
НР-2
НР-2
=
НР-2 НР-2
НО-2 НО-3
НР-2
НО-1
=
НК-1 НК-1
НИ-2 НИ-2
НК-1
НИ-2
+
=
+
розповсюдження
+
+
копіювання
+
+
відновлення
3.
Windows OpenBSD
Server шифр
2008
«BBOS»
ОЗ
розмноження
2.
СФП
З
ІТЗ
модифікації
Надання доступу до інформації за умови
достовірного розпізнавання користувачів
з урахуванням наданих згідно з
службовою необхідністю повноважень
Надання можливості своєчасного доступу
зареєстрованих користувачів АС до
інформації
Контроль цілісності КЗЗ, а у разі її
порушення припиняти обробку
інформації
Забезпечення реєстрації дій всіх
користувачів АС щодо обробки
інформації
Захист реєстраційних даних від
модифікації користувачами, які не мають
адміністративних повноважень
Блокування доступу до інформації у разі
порушення політики безпеки
Встановленя ступеня обмеження ІзОД
під час її обробки в АС
Встановлення адміністратором обмежень
на використання ресурсів користувачами
Можливість модифікації інформації
сайту користувачами, яким надано
відповідні повноваження
Контроль цілісності ПЗ, що здійснює
обробку інформації, запобігання його
несанкціонованій модифікації та
ліквідація наслідків такої модифікації
Д
і ь сайту
його
ІТ
Забезпечення рівня гарантій реалізації ПБ
+
+
=
=
=
=
+
=
ДР-1
ДР-1
ДР-2
=
ЦА-2 НИ-2 НИ-2
ЦА-1
НИ-2
=
НТ-2 НТ-2
ЦО-1 ЦО-1
ДВ-1 ДВ-2
НТ-2
ЦО-1
ДВ-2
=
ДС-1
-
ДС-2
Г2
Г2
Г2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ АС-2 та механізмів захисту ОС
«OpenBSD, шифр BBOS» і «Windows Server 2008 R2 Enterprise Edition SP1», можна зробити
такі висновки:
- КЗЗ ОС «OpenBSD, шифр BBOS» може забезпечити обрану політику безпеки ФПЗ без
використання додаткового КЗЗ;
- КЗЗ ОС «Windows» може забезпечити обрану політику безпеки ФПЗ тільки з
використанням додаткового КЗЗ (для забезпечення послуг КА-2 і ЦА-2).
-2
службов
-
службов
-
службов
-
-
службов
-
ощо
Для того, щоб не повторятися, зупинимося лише на тих послугах безпеки, які не
висувалися для АС-1.
Послуги безпеки інформації
1. Послуги цілісності
1 1. Мінімальна довірча цілісність ЦД-1
-
-
-
службов
1.2. Базова адміністративна цілісність (ЦА-2)
службов
-
2. Послуги
2.1. Стійкість при обмежених відмовах ДС-1
службов
ощо -
-
-
2.2. Модернізація ДЗ-1
тощо
службової
-
ощо
3. Послуги спостереженості
3.1. КЗЗ з гарантованою цілісністю НЦ-2
-
службової
ї
У типових режимних умовах експлуатації АС-2 при обробці службової інформації
рівень гарантій реалізації ФПЗ має бути не нижчим за Г2.
1. Архітектура
КЗЗ повинен реалізовувати політику безпеки. Всі його компоненти повинні бути чітко
визначені
2. Середовище розробки
Розробник повинен визначити всі стадії життєвого циклу АС, розробити, запровадити і
підтримувати в робочому стані документально оформлені методики своєї діяльності на
кожній стадії. Мають бути документовані всі етапи кожної стадії життєвого циклу і їх
граничні вимоги
3. Послідовність розробки
На стадії розробки технічного завдання Розробник повинен розробити функціональні
специфікації АС. Представлені функціональні специфікації повинні включати
неформалізований опис політики безпеки, що реалізується КЗЗ. Політика безпеки повинна
містити перелік і опис послуг безпеки, що надаються КЗЗ
Функціональні специфікації повинні включати модель політики безпеки, а стиль
специфікації повинен бути неформалізованим.
На стадії розробки ескізного проекту Розробник повинен розробити проект архітектури
КЗЗ. Представлений проект повинен містити перелік і опис компонентів КЗЗ і функцій, що
реалізуються ними. Повинні бути описані будь-які використовувані зовнішні послуги
безпеки. Зовнішні інтерфейси КЗЗ повинні бути описані в термінах винятків, повідомлень
про помилки і кодів повернення
На стадіях розробки технічного проекту або робочого проекту Розробник повинен
розробити детальний проект КЗЗ. Представлений детальний проект повинен містити перелік
всіх компонентів КЗЗ і точний опис функціонування кожного механізму. Повинні бути
описані призначення і параметри інтерфейсів компонентів КЗЗ
4. Середовище функціонування
Розробник повинен представити засоби інсталяції, генерації і запуску АС, які
гарантують, що експлуатація АС починається з безпечного стану. Розробник повинен
представити перелік усіх можливих параметрів конфігурації, які можуть використовуватися
в процесі інсталяції, генерації і запуску
5. Документація
Вимоги до документації є загальними для всіх рівнів гарантій.
У вигляді окремих документів або розділів (підрозділів) інших документів Розробник
повинен подати опис послуг безпеки, що реалізуються КЗЗ, настанови адміністратору щодо
послуг безпеки, настанови користувача щодо послуг безпеки.
В описі функцій безпеки повинні бути викладені основні, необхідні для правильного
використання послуг безпеки, принципи політики безпеки, що реалізується КЗЗ оцінюваної
АС, а також самі послуги.
Настанови адміністратору щодо послуг безпеки мають містити опис засобів інсталяції,
генерації та запуску АС, опис всіх можливих параметрів конфігурації, які можуть
використовуватися в процесі інсталяції, генерації і запуску АС, опис властивостей АС, які
можуть бути використані для періодичної оцінки правильності функціонування КЗЗ, а також
інструкції щодо використання адміністратором послуг безпеки для підтримки політики
безпеки, прийнятої в організації, що експлуатує АС.
Настанови користувачу щодо
послуг безпеки мають містити інструкції щодо
використання функцій безпеки звичайним користувачем (не адміністратором).
Назва документів (розділів) не регламентується. Опис послуг безпеки може
відрізнятися для користувача і адміністратора. Настанови адміністратору і настанови
користувачу можуть бути об'єднані в настанови з установлення і експлуатації.
6. Випробування комплексу засобів захисту
Розробник повинен подати для перевірки програму і методику випробувань, процедури
випробувань усіх механізмів, що реалізують послуги безпеки. Мають бути представлені
аргументи для підтвердження достатності тестового покриття
Розробник повинен подати докази тестування у вигляді детального переліку
результатів тестів і відповідних процедур тестування, з тим, щоб отримані результати могли
бути перевірені шляхом повторення тестування
Розробник повинен усунути або нейтралізувати всі знайдені «слабкі місця» і виконати
повторне тестування КЗЗ для підтвердження того, що виявлені недоліки були усунені і не
з'явилися нові «слабкі місця».
Контрольні питання
1. Який документ визначає вимоги до захисту інформації від НСД в АС-2?
2. Як характеризується обчислювальна система АС-2?
3. Як характеризується фізичне середовище АС-2?
4. Як характеризується середовище користувачів АС-2?
5. Як характеризується інформація, що обробляється в АС-2?
6. Як характеризується технологія обробки інформації в АС-2?
7. Як визначити мінімальний перелік послуг безпеки ФПЗ АС-2?
Змістовий модуль 3. Проектування КСЗІ в ІКС
Тема 14. 2-й етап. Розробка політики безпеки інформації в ІТС
Опис політики безпеки інформації в ІТС здійснюється згідно вимог додатку
«Методичні вказівки щодо структури та змісту Плану захисту інформації в АС» до НД
ТЗІ 1.4-001-2000 «Типове положення про СЗІ в АС», затверджується керівником
організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних
розділів Плану захисту та Технічного завдання на створення КСЗІ.
Виходячи з міжнародного досвіду та вимог міжнародних стандартів в області
інформаційної безпеки розрізняють 3 типи політики безпеки.
1. Програмна політики безпеки є політикою вищої ланки управління в організації.
Об’єктом є організація в цілому, за розробку і здійснення програмної політики несе
відповідальність керівництво організації. Програмна політика визначає стратегічні напрямки
забезпечення інформаційної безпеки.
2. Системно - орієнтована політика – це структура, склад, вимоги до окремих
компонентів, процедур і функцій ІТС, етапу документування, які визначені вітчизняними
нормативними документами.
3. Проблемно - орієнтована політика спрямована на вирішення окремих проблем або
завдань в області забезпечення інформаційної безпеки. Існує ряд областей діяльності
організації, для яких необхідно розробити окремі політики: фізичної безпеки, керування
доступом, адміністрування, криптозахисту, антивірусного захисту, інтернет-доступу тощо.
Політика безпеки повинна містити набір вимог, правил, обмежень, рекомендацій тощо,
які регламентують порядок оброблення в ІТС інформації, зазначеної у «Переліку інформації,
що підлягає автоматизованому обробленню в ІТС і потребує захисту», та спрямовані на
захист її критичних властивостей від загроз, притаманних умовам функціонування
конкретної ІТС.
Політика (з урахуванням результатів обстеження середовищ функціонування ІТС)
визначає інформаційні ресурси ІТС, що потребують захисту. Мають бути сформульовані
основні загрози для інформації з різними характеристиками відповідно до встановленого
законодавством правового режиму та режиму доступу, компонентів обчислювальної системи,
персоналу та вимоги щодо захисту від цих загроз.
Перераховуються основні рішення з протидії всім суттєвим загрозам, правила, які
регламентують використання захищених технологій обробки інформації в ІТС, окремих
заходів і засобів захисту інформації, діяльність користувачів всіх категорій.
Як складові частини загальної політики повинні бути наведені політики забезпечення
конфіденційності, цілісності та доступності оброблюваної інформації, а також політика
забезпечення спостережності та керованості ІТС.
Під час розробки політики повинні бути враховані технологія обробки інформації,
моделі порушників і загроз, особливості ОС, фізичного середовища та інші чинники. Як
складові частини загальної політики мають існувати політики забезпечення
конфіденційності, цілісності, доступності оброблюваної інформації та спостережності ІТС.
Політика має бути розроблена таким чином, що б вона не потребувала частої
модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди
доцільно вказувати конкретну назву чи версію програмного продукту).
Політика повинна стосуватись:
- інформації (рівня критичності ресурсів ІТС),
- взаємодії об’єктів (правил, відповідальності за захист інформації, гарантій захисту),
- області застосування (яких складових компонентів ІТС політика безпеки стосується, а
яких - ні).
Політика повинна передбачати використання всіх заходів захисту інформації:
- правові та морально-етичні норми,
- організаційні (адміністративні),
- фізичні, технічні (апаратні і програмні) заходи,
- правила та порядок застосування в ІТС кожного заходу.
Політика безпеки повинна базуватися на наступних основних принципах:
- системності;
- комплексності;
- неперервності захисту;
- достатності механізмів і заходів захисту та їхньої адекватності загрозам;
- гнучкості керування системою захисту, простоти і зручності її використання;
- відкритості алгоритмів і механізмів захисту, якщо інше не передбачено окремо.
Політика безпеки повинна поширюватись на такі об’єкти захисту:
- відомості (незалежно від виду їхнього представлення), віднесені до інформації з
обмеженим доступом (ІзОД) або інших видів інформації, що підлягають захисту, обробка
яких здійснюється в АС і які можуть знаходитись на паперових, магнітних, оптичних та
інших носіях;
- інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні
ресурси;
- обладнання АС та інші матеріальні ресурси, включаючи технічні засоби та системи,
не задіяні в обробці ІзОД, але знаходяться у контрольованій зоні, носії інформації, процеси і
технології її обробки. Технічні області, в яких необхідно захищати інформаційне та
програмне забезпечення - робоча станція, комунікаційні канали (фізична мережа) та
комутаційне обладнання, сервери, засоби друку та буферизації для утворення твердих копій,
накопичувачі інформації;
- засоби та системи фізичної охорони матеріальних та інформаційних ресурсів,
організаційні заходи захисту;
- користувачів (персонал) АС, власників інформації та АС, а також їхні права.
Політика повинна визначити вимоги до заходів, методів та засобів захисту, вихідними
даними для чого є:
- завдання і функції ІТС;
- результати аналізу середовищ функціонування ІТС;
- модель загроз і модель порушників;
- результати аналізу ризиків.
На підставі цих даних визначаються компоненти ІТС (наприклад, окрема ЛОМ,
спеціалізований АРМ, Iнтернет-вузол тощо), для яких необхідно або доцільно розробляти
свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.
Для кожного компонента та (або) ІТС в цілому формується перелік необхідних
функціональних послуг захисту від НСД та вимог до рівнів реалізації кожної з них,
визначається рівень гарантій реалізації послуг (згідно з НД ТЗІ 2.5-004-99 і 2.5-005-99).
Визначені вимоги будуть складати ФПЗ ІТС або її компоненти.
Для кожного компонента та (або) ІТС в цілому у разі обробки таємної інформації
визначаються загальні підходи та вимоги з захисту інформації від витоку технічними
каналами.
На наступному кроці визначаються механізми безпеки, що реалізують функціональні
послуги безпеки, здійснюється вибір технічних засобів захисту інформації від витоку
технічними каналами.
Політика повинна доказово давати гарантії того, що:
- в ІТС забезпечується адекватність рівня захисту інформації рівню її критичності;
- реалізація заходів захисту інформації є рентабельною;
- в будь-якому середовищі функціонування ІТС забезпечується оцінюваність і
перевіряємість захищеності інформації;
- забезпечується персоніфікація положень політики безпеки (стосовно суб’єктів ІТС),
звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких
здійснюється доступ в процесі функціонування ІТС;
- персонал і користувачі забезпечені достатньо повним комплектом документації
стосовно порядку забезпечення захисту інформації;
- всі критичні з точки зору безпеки інформації технології (функції) ІТС мають
відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення
непередбачених ситуацій;
- враховані вимоги всіх документів, які регламентують порядок захисту інформації в
ІТС, та забезпечується їхнє суворе дотримання.
Документальне оформлення політики безпеки
Результати робіт з розроблення політики безпеки оформлюються у вигляді окремих
документів або розділів одного документа, в якому викладена політика безпеки інформації в
ІТС. Структурно до політики безпеки (документів, що її складають) повинні входити такі
розділи:
- загальний, у якому визначається відношення керівництва ІТС до проблеми безпеки
інформації;
- організаційний, у якому наводиться перелік підрозділів, робочих груп, посадових
осіб, які відповідають за роботи у сфері захисту інформації, їхніх функції, викладаються
підходи, що застосовуються до персоналу (опис посад з точки зору безпеки інформації,
організація навчання та перепідготовки персоналу, порядок реагування на порушення
режиму безпеки тощо);
- класифікаційний, де визначаються матеріальні та інформаційні ресурси, які є у
наявності в ІТС, та необхідний рівень їхнього захисту;
- розділ, у якому визначаються правила розмежування доступу користувачів та
процесів до інформаційних ресурсів ІТС (далі - ПРД);
- розділ, у якому визначається підхід щодо керування робочими станціями, серверами,
мережевим обладнанням тощо;
- розділ, у якому висвітлюються питання фізичного захисту;
- розділ, де викладено порядок розробки та супроводження ІТС, модернізації
апаратного та програмного забезпечення;
- розділ, який регламентує порядок проведення відновлювальних робіт і забезпечення
неперервного функціонування ІТС;
- юридичний розділ, у якому приводиться підтвердження відповідності політики
безпеки законодавству України.
У класифікаційному розділі на основі інвентаризації усіх компонентів ІТС, що беруть
участь у технологічному процесі обробки інформації, приводиться опис активних і пасивних
компонентів ІТС. Інвентаризації (ідентифікації) підлягають:
- організаційно-топологічна структура ІТС, для якої створюється КСЗІ;
- склад і призначення функціональних підсистем ІТС;
- склад служб і протоколів, що реалізують інформаційний обмін між елементами
(компонентами) ІТС;
- об'єкти захисту (види і категорії оброблюваної інформації, апаратно-програмні й
інформаційні ресурси на відповідних рівнях ієрархічної структури ІТС);
- персонал і користувачі ІТС.
При описі
компонентів системи рекомендується скласти структурну схему
інформаційних потоків між основними компонентами ІТС, а також описати технологію
обробки інформації. При виборі й аналізі об'єктів ІТС важливим моментом є ступінь
деталізації розглянутих об'єктів.
Так, для АС-1 (окрема ПЕОМ) припустимо розглядати всю інфраструктуру, тоді як для
ІТС 3-го класу (глобальна мережа) всеосяжна оцінка може зажадати неприйнятних витрат
часу і сил. У цьому випадку рекомендується зосередитися на описі найбільш важливих
компонентів ІТС.
Приводиться перелік інформаційних потоків, що циркулюють між компонентами ІТС.
У залежності від класу ІТС структурна схема інформаційних потоків між основними
компонентами ІТС може включати:
- внутрішні потоки обміну між активними і пасивними об'єктами усередині однієї
ПЕОМ;
- локальні потоки обміну між робочими станціями і серверами усередині однієї ЛОМ
(домена);
- міжмережеві потоки обміну між ЛОМ (доменами), що входять до складу однієї ІТС;
- потоки обміну інформацією з вилученими взаємодіючими об'єктами, що не входять до
складу ІТС.
У цьому ж розділі можна вказати необхідні завдання захисту інформації, об'єкти
захисту та обраний варіант побудови КСЗІ. З урахуванням класу ІТС для кожного
компонента і ІТС в цілому перелічуються функціональні послуги безпеки і вимоги до рівнів
реалізації кожної з них, рівень гарантій реалізації послуг. У разі обробки в ІТС таємної
інформації для кожного компонента і ІТС в цілому визначаються загальні підходи та
рішення щодо захисту інформації від витоку технічними каналами.
Найважливішу частину політики безпеки складають правила розмежування доступу
користувачів та процесів до інформаційних ресурсів ІТС (далі - ПРД), що є певним
абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об’єктів
ІТС.
З урахуванням того, що в ІТС визначено такі ієрархічні ролі як адміністратор безпеки,
адміністратор і користувач, загальні ПРД можуть бути такими:
- кожне АРМ повинно мати свого адміністратора, який несе відповідальність за його
працездатність та за дотримання всіх вимог і процедур, пов’язаних з обробкою інформації та
її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач
повинен бути забезпечений відповідними інструкціями і навчений всім вимогам і
процедурам;
- для попередження неавторизованого доступу до даних, ПЗ, інших ресурсів ІТС,
керування механізмами захисту здійснюється адміністратором безпеки ІТС;
- для попередження поширення комп’ютерних вірусів відповідальність за дотримання
правил використання ПЗ несуть: на АРМ - користувачі, адміністратор, в ІТС - адміністратор
безпеки. Використовуватись повинно тільки ПЗ, яке дозволено політикою безпеки
(ліцензійне, яке має відповідні сертифікати, експертні висновки тощо);
- за всі зміни ПЗ, створення резервних і архівних копій несе відповідальність
адміністратор безпеки АС. Такі роботи виконуються за його дозволом;
- кожний користувач має свій унікальний ідентифікатор і пароль. Право видачі цих
атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор
безпеки ІТС. Видача атрибутів дозволяється тільки після документальної реєстрації особи як
користувача. Користувачам забороняється спільне використання персональних атрибутів;
- користувачі проходять процедуру автентифікації для отримання доступу до ресурсів
ІТС;
- атрибути користувачів періодично змінюються, а ті, що скомпрометовані або не
використовуються, видаляються;
- процедури використання активного мережевого обладнання, а також окремих видів
ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж,
засоби адміністрування тощо), авторизовані і здійснюються під контролем адміністратора
безпеки ІТС;
- усі користувачі повинні знати «Інструкцію користувача» (пройти відповідний курс
навчання та скласти іспит);
- адміністратор безпеки ІТС і адміністратори повсякденно здійснюють перевірку
працездатності засобів захисту інформації, ведуть облік критичних з точки зору безпеки
подій і готують звіти щодо цього.
Загальні ПРД мають бути конкретизовані на рівні вибору необхідних функціональних
послуг захисту (профілю захищеності) та впровадження організаційних заходів захисту
інформації.
У розділі «ПРД» приводяться обраний метод керування доступом (довірче і
адміністративне керування), вимоги до забезпечення безперервності захисту, до набору
атрибутів доступу і правилам їхнього використання (присвоєння, застосування, зміна,
скасування), до реєстрації дій користувачів при використанні ресурсів ІТС, а також інших
подій, що впливають на дотримання реалізованої в ІТС політики безпеки.
Правила розмежування інформаційних потоків формулюються на основі аналізу
області (границі) існування, спрямованості (вхідні чи вихідні), джерел і приймачів,
функціонального призначення потоків, вимог по забезпеченню конфіденційності, цілісності,
спостережності і доступності.
Правила повинні визначати, де і на яких рівнях взаємодії систем повинне
здійснюватися розмежування інформаційних потоків і з використанням яких атрибутів і
механізмів (ідентифікаторів безпеки, мережних портів, ключів аутентифікації, ключів
напрямків і мережних ключів шифрування). Правила повинні також визначати умови й
обмеження по ініціюванню і завершенню процесів інформаційного обміну, наприклад, у виді
асоціації безпеки.
Правила розмежування доступу користувачів і процесів до пасивних об'єктів
визначають склад осіб, яким дозволений доступ до ресурсів ІТС, порядок правильного
використання ресурсів ІТС, статус, права і привілеї адміністратора безпеки ІТС, статус,
права і привілеї користувачів ІТС.
У розділі «Порядок проведення відновлювальних робіт і забезпечення
неперервного функціонування ІТС», повинні бути описані підходи щодо планування і
порядку виконання відновлювальних робіт після збоїв, аварій, інших непередбачених
ситуацій (надзвичайних ситуацій) з метою забезпечення неперервного функціонування АС в
захищеному режимі.
Під час планування цих робіт рекомендується враховувати такі питання:
- виявлення критичних з точки зору безпеки процесів у роботі АС;
- визначення можливого негативного впливу надзвичайних ситуацій на роботу АС;
- визначення й узгодження обов'язків персоналу і користувачів, а також порядку їхніх
дій у надзвичайних ситуаціях;
- підготовка персоналу і користувачів до роботи в надзвичайних ситуаціях.
Порядок повинен описувати заходи щодо улагодження інцидента, резервування та
відновлення, що включає в себе:
- опис типових надзвичайних ситуацій, які потенційно найбільш можливі в ІТС
внаслідок наявності вразливих місць, або які реально мали місце під час роботи;
- опис процедур реагування на надзвичайні ситуації, які слід вжити відразу після
виникнення інциденту, що може призвести до порушення політики безпеки;
- опис процедур тимчасового переводу ІТС або окремих її компонентів на аварійний
режим роботи;
- опис процедур поновлення нормальної виробничої діяльності ІТС або окремих її
компонентів;
- порядок проведення тренувань персоналу в умовах імітації надзвичайних ситуацій.
Порядок підлягає перегляду у разі виникнення таких змін в ІТС:
- встановлення нового обладнання або модернізація існуючого, включення до складу
АС нових компонентів;
- встановлення нових систем життєзабезпечення ІТС (сигналізації, вентиляції,
пожежогасіння, кондиціонування та ін.);
- проведення будівельно-ремонтних робіт;
- організаційні зміни у структурі ІТС, виробничих процесах, процедурах
обслуговування ІТС;
- зміни у технології обробки інформації;
- зміни у програмному забезпеченні;
- будь-які зміни у складі і функціях КСЗІ.
У разі незначногу обсягу даних Політика безпеки як окремий документ не складається,
а оформлюється як розділ Плану захисту.
На підставі Плану захисту складається «Календарний план робіт із захисту
інформації в ІТС», який може мати такі розділи:
- організаційні заходи;
- контрольно-правові заходи;
- профілактичні заходи;
- інженерно-технічні заходи;
- робота з кадрами.
Організаційні заходи - це комплекс адміністративних та обмежувальних заходів,
спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації
діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної
діяльності та засобів (систем) забезпечення захисту інформації. До плану можуть
включатись заходи щодо:
- розробки документів (інструкцій, методик, правил, розпоряджень тощо) з різних
напрямів захисту інформації в АС;
- внесення змін та доповнень до чинних в АС документів з урахуванням зміни умов
(обставин);
- розробки та впровадження нових організаційних заходів з захисту інформації;
- обгрунтування необхідності застосування та впровадження нових засобів захисту
інформації;
- координації робіт та взаємодії з іншими підрозділами організації або зовнішніми
організаціями на всіх етапах життєвого циклу ІТС;
- розгляду результатів виконання затверджених заходів та робіт з захисту інформації;
- інші.
До контрольно-правових заходів можуть бути віднесені:
- контроль за виконанням персоналом (користувачами) вимог відповідних інструкцій,
розпоряджень, наказів;
- контроль за виконанням заходів, розроблених за результатами попередніх перевірок;
- контроль за станом зберігання та використання носіїв інформації на робочих місцях;
- інші.
До профілактичних слід відносити заходи, спрямовані на формування у персоналу
(користувачів) мотивів поведінки, які спонукають їх до безумовного виконання у повному
обсязі вимог режиму, правил проведення робіт тощо, а також на формування відповідного
морально-етичного стану в колективі.
До інженерно-технічних слід відносити заходи, спрямовані на налагодження,
випробування і введення в експлуатацію, супроводження і технічне обслуговування КЗЗ від
НСД, засобів захисту інформації від загроз її витоку технічними каналами, інженерне
обладнання споруд і приміщень, в яких розміщуються засоби обробки інформації, у тому
числі в процесі капітального будівництва тощо.
Планування роботи з кадрами включає заходи з підбору та навчання персоналу
(користувачів) встановленим правилам безпеки інформації, новим методам захисту
інформації, підвищення їхньої кваліфікації. Навчання персоналу (користувачів) може
здійснюватись власними силами, з залученням спеціалістів зовнішніх організацій або в
інших організаціях. Навчання повинно здійснюватися за програмою, затвердженою
керівництвом організації. Навчальні програми повинні мати теоретичний і практичний
курси. Доцільність і необхідність включення до програм окремих розділів визначається
особливостями ІТС і технологіями захисту інформації, що використовуються в ній,
функціональними завданнями спеціалістів, що входять до складу навчальних груп та іншими
чинниками.
Приклад календарного плану робіт із захисту інформації в ІТС
1. Організаційні заходи
Заходи
Розробка ТЗ на
КСЗІ
Виконавець
Служба захисту
Адміністратори
Проектування
КСЗІ
Розробник КСЗІ
Попередні
випробування КСЗІ
Розробник КСЗІ
Підготовка
Адміністратори
впровадження КСЗІ
Дослідна
експлуатація КСЗІ
Державна
експертиза КСЗІ
Введення в
промислову
експлуатацію
Реєстрація МНІ і
користувачів
Коригування
політики безпеки
Перегляд Плану
захисту
Супровід та
модернізація КСЗІ
Чергове
категоріювання
Чергова державна
експертиза
Регламент робіт
Згідно НД ТЗІ 3.7-001-99
Згідно НД ТЗІ 3.7-003-05 і НД
ТЗІ 2.5-004-99
Згідно ДСТУ 2853-94 і
«Програми та методики
попередніх випробувань»
Призначення відповідальних
осіб і підготовка відповідних
розпоряджень щодо КСЗІ
Терміни / період
Після складання
Плану захисту
Після погодження ТЗ
з Держспецзв’язку
Після пусконалагоджувальних
робіт КСЗІ
Під час попередніх
випробувань КСЗІ
Відпрацювання технологій
оброблення інформації,
Після завершення
попередніх
проведення навчання персоналу випробувань
Адміністрація
Згідно «Положення про
Після завершення
дослідної експлуатації
Держспецзв’язку державну експертизу»
Згідно «Інструкції з
Після отримання
Служба захисту
експлуатації ІТС в частині
Атестату
Адміністратори
забезпечення захисту
відповідності
інформації»
Заведення журналів обліку
Після наказу про
Адміністратори
Реєстрація користувачів і МНІ в введення ІТС в
системі та журналах
експлуатацію
Коригування окремих положень
Служба захисту
у разі змін умов
Розробка додаткових інструкцій
Адміністратори
функціонування ІТС
як складових політики безпеки
Служба захисту
Розробка нових підходів до
щорічно
Адміністратори
планування заходів захисту
Розробка технічних завдань на
згідно плану розвитку
Служба захисту
модернізацію КСЗІ згідно НД
та вдосконалення
Адміністратори
ТЗІ 3.7-001-99
КСЗІ
Служба захисту
Адміністратори
Комісія
Згідно НД ТЗІ 1.6-005-2013
установи
Адміністрація
Згідно вимог «Положення
Держспецзв’язку про державну експертизу»
через 5 років після
первинного
через 5 років після
первинної
2. Контрольно-правові заходи
Заходи
Контрольні заходи
Перевірка стану
захисту інформації
Перевірка наявності
МНІ
Виконавець
Системний
адміністратор
Адміністратор
безпеки
Служба
захисту
Комісія
установи
Комісія
установи
Регламент робіт
Перевірка справності ОС і ПЗ ІТС
Терміни / період
щодня
Перевірка виконання вимог
політики безпеки користувачами
Перевірка виконання політики
безпеки адміністраторами
Згідно «Положення про захист
інформації в ІТС»
Згідно «Інструкції про організацію
діловодства»
щомісячно
щоквартально
щорічно
щорічно
3. Профілактичні заходи
Заходи
Ознайомлення користувачів з
порядком робіт та мірою
відповідальності за дотримання
вимог політики безпеки
Проведення занять з персоналом
ІТС щодо виконання вимог
політики безпеки в установі
Підготовка та впровадження в
рамках трудової угоди розділу
відповідальності за виконання
вимог політики безпеки
Виконавець
Служба
захисту
Адміністратор безпеки
Регламент робіт
Оформлення допуску до
роботи
Згідно «Інструкції
користувачу»
Термін / період
після прийому
на роботу
під час їхньої
реєстрації в ІТС
Служба
захисту
Згідно «Плану навчання в
установі»
щоквартально
Служба
захисту
Згідно вимог трудового
законодавства
за рішенням
керівника
установи
4. Інженерно-технічні заходи
Заходи
Пуско-налагоджувальні роботи
Попередні
випробування
КСЗІ
Дослідна
експлуатація КСЗІ
Державна
експертиза КСЗІ
Введення в
промислову
експлуатацію
Супровід КСЗІ
Технічне обслуговування ІТС
Резервування баз
даних і фондів
Поновлення
антивірусних баз
Перевірка МНІ і
ІТС на наявність
вірусів
Модернізація
КСЗІ
Виконавець
Розробник КСЗІ
Розробник КСЗІ
Служба захисту
Адміністратори
Експерт,
призначений
Держспецзв’язку
Служба захисту
Адміністратори
Розробник КСЗІ
Адміністратори
Адміністратор
безпеки
Адміністратор
безпеки
Користувач (МНІ)
Адміністратори
(ІТС)
Розробник КСЗІ
Регламент робіт
Згідно технічного завдання на
КСЗІ
Згідно ДСТУ 2853-94 і
«Програми та методики
попередніх випробувань»
Відпрацювання
технологічних процесів в ІТС
Згідно «Програми та методики
експертних випробувань»
Згідно «Інструкції з
експлуатації ІТС в частині
забезпечення захисту»
Гарантійне обслуговування
Згідно «Регламенту технічного
обслуговування»
Згідно «Інструкції з
резервування баз даних»
Згідно «Інструкції з
антивірусного захисту»
Згідно «Інструкції з
антивірусного захисту»
Заміна (додавання) окремих
компонентів КСЗІ згідно НД
ТЗІ 3.7-001-99
Терміни / період
Після затвердження
проекту КСЗІ
Після пусконалагоджувальних
робіт КСЗІ
Після завершення
випробувань
Після завершення
дослідної
експлуатації
Після отримання
Атестату
відповідності
Гарантійний термін
згідно термінів
регламенту
щомісячно
щодня
щодня
щотижня
згідно плану
розвитку та
вдосконалення КСЗІ
5. Робота з кадрами
Заходи
Вступне ознайомлення з
положеннями політики
безпеки інформації (під
розпис)
Інструктаж користувача
щодо дій у випадку
нештатної ситуації
Проведення занять з
професійної підготовки
персоналу ІТС
Направлення на курси
підвищення кваліфікації
Виконавець
Служба захисту
Адміністратор
безпеки
Адміністратор
безпеки
Регламент робіт
Оформлення допуску до
роботи
Згідно «Інструкції
користувачу»
Згідно «Плану робіт у
випадку нештатної
ситуації»
Терміни / період
після прийому на
роботу
під час їхньої
реєстрації в ІТС
щорічно
Служба захисту
Адміністратори
Згідно «Плану професійної
підготовки в установі»
щотижня
Служба захисту
Згідно «Плану підвищення
кваліфікації в установі»
згідно термінів
плану
Контрольні питання:
1. Які є види політики безпеки?
2. Чого повинна стосуватись політика безпеки?
3. Використання чого повинна передбачати політика безпеки?
4. На яких принципах повинна базуватись політика безпеки?
5. На які об’єкти захисту повинна поширюватись політика безпеки?
6. Які гарантії повинна надавати політика безпеки?
7. З яких розділів складається політика безпеки?
8. Які загальні правила розмежування доступу ви знаєте?
9. Які питання необхідно врахувати для планування відновлювальних робіт?
10. Які заходи необхідно описати для планування відновлювальних робіт?
11. З яких розділів складається Календарний план робіт із захисту інформації?
Змістовий модуль 3. Проектування КСЗІ в ІКС
Тема 15. План захисту інформації в ІТС
План захисту інформації в ІТС розробляється на підставі проведеного аналізу
технології обробки інформації, аналізу ризиків, сформульованої політики безпеки
інформації.
План захисту визначає і документально закріплює об’єкт захисту інформації в ІТС,
основні завдання захисту, загальні правила обробки інформації в ІТС, мету побудови та
функціонування КСЗІ, заходи з захисту інформації.
План захисту має фіксувати на певний момент часу склад ІТС, перелік оброблюваних
відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації,
склад необхідної документації тощо.
План захисту повинен регулярно переглядатися та при необхідності змінюватись.
Зміни та доповнення до Плану захисту затверджуються на тому ж рівні та в тому ж
порядку, що і основний документ.
Для АС, в яких обробляється інформація, що становить державну або іншу встановлену
законом таємницю, службова інформація, інформація, яка належить до державних
інформаційних ресурсів, або інформація, необхідність захисту якої встановлено законом,
План захисту є обов’язковим документом. Склад і зміст Плану захисту для таких АС
встановлено «Положенням про забезпечення режиму секретності під час обробки
інформації, що становить державну таємницю, в АС», затвердженим ПКМУ № 180-98.
План захисту повинен складатись з таких розділів:
1. З
службової інформації.
2. М
А .
3. П
а
А .
4. П
А .
5. К
А
План захисту рекомендується розробляти і для всіх інших ІТС, в яких обробляється
інформація, що підлягає захисту згідно з законодавством України, згідно вимог «Правил
забезпечення захисту інформації в ІТС», затверджених ПКМУ № 373-2006.
План захисту повинен складатись з таких розділів:
1. Завдання захисту, класифікацію інформації, яка обробляється в системі, опис
технології обробки інформації.
2. Визначення моделі загроз для інформації в системі.
3. Основні вимоги щодо захисту інформації та правила доступу до неї в системі.
4. Перелік документів, згідно з якими здійснюється захист інформації в системі.
5. Перелік і строки виконання робіт службою захисту інформації.
Крім того, НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в
АС» має додаток «Методичні вказівки щодо структури та змісту Плану захисту
інформації в АС».
План захисту повинен складатись з таких розділів:
1. Завдання захисту інформації в АС.
2. Класифікація інформації, що обробляється в АС.
3. Опис компонентів АС та технології обробки інформації.
4. Загрози для інформації в АС.
5. Політика безпеки інформації в АС.
6. Система документів з забезпечення захисту інформації в АС.
Приклад Плану захисту
План захисту інформації фінансової установи
Зміст
1. Мета і призначення КСЗІ
2. Загальна характеристика АС установи і умов її функціонування
3. Формування моделі загроз для інформації в АС
4. Формування моделі порушника політики безпеки
5. Розробка політики безпеки інформації в АС
6. Система документів з забезпечення захисту інформації в АС
1. Мета і призначення КСЗІ в АС
Метою розробки КСЗІ є впровадження заходів та засобів, які реалізують способи,
методи, механізми захисту інформації від несанкціонованих дій та несанкціонованого
доступу до інформації, що можуть здійснюватися шляхом:
- підключення до апаратури та ліній зв’язку,
- маскування під зареєстрованого користувача,
- подолання заходів захисту з метою використання інформації або нав’язування хибної
інформації,
- застосування закладних пристроїв чи програм,
- використання комп’ютерних антивірусів тощо.
Метою КСЗІ є формування моделі загроз інформації та моделі порушника об’єкта
інформаційної діяльності, розробка політики безпеки та системи документів з забезпечення
захисту інформації в АС, розрахунок та оцінка ризиків.
КСЗІ призначена для захисту інформації, що циркулює та зберігається на робочих
станціях і серверах установи.
КСЗІ створюється на основі Закону України «Про захист інформації в інформаційнотелекомунікаційних системах», ДСТУ 3396.1-96, НД ТЗІ 1.1-002-99, НД ТЗІ 1.4-001-2000,
НД ТЗІ 2.1-001-200, НД ТЗІ 3.7-001-99, НД ТЗІ 3.7-003-05.
2. Загальна характеристика АС і умов її функціонування
Фінансова компанія займається аналізом рентабельності підприємств на сучасному
економічному ринку, залежно від попиту на товари чи послуги. Компанія веде підрахунки
затрат та доходу при відкритті нових підприємств, крім цього компанія займається
просуванням на ринок нових підприємств та приватних підприємців. Тому компанія
займається аналізом ринку попиту на продукцію, що виробляється підприємствами і
визначає основні тенденції виробництва у певний часовий період.
Загальна структурна схема обчислювальної системи АС
Обчислювальна система даної компанії є локальною мережею, яка складається з 18
комп’ютерів, що знаходяться в одному приміщенні Офіс знаходиться на одному поверсі
будівлі. За генеральним планом у компанії 6 робочих кімнат. З яких 4 кімнати - це робочі
відділи компанії; кабінет головного директора компанії і приймальня.
Технічна характеристика обладнання
Комп’ютери, що використовуються для роботи персоналу: HPdc5800 (KV488EA)
Характеристика
Чіпсет
Процесор
Тип процесора
Частота, GHz
Оперативна пам’ять
Об’єм, МВ
Стандарт
Значення
Intel Q33
Intel Pentium Dual-Core E2180
2
1024
PC2-6400
Жорсткий диск
Об’єм, GB
Інтерфейс
Графічний адаптер
Чіпсет
Об’єм пам’яті, MB
Оснащення
Вбудований оптичний накопичувач
Звукова карта
Зовнішні порти
Мережевий адаптер
160
SATA II
Intel GMA 3100
256
DVD-RW
HD Audio ADI1884
8xUSB, COM, LPT, 2xPS/2, VGA, audio in/out
10/100/1000
Характеристика програмного забезпечення
На робочих станціях компанії використовується ліцензована ОС «Windows Vista
Business», що має позитивний експертний висновок Держспецзв’язку. Вибір цієї ОС
оснований на тому, що дана версія «Windows Vista» спеціально розроблена для підприємств і
має посилену політику безпеки і системи захисту.
На серверах компанії використовується ліцензована ОС «Windows Server 2008 Standard
Edition», що має позитивний експертний висновок Держспецзв’язку.
Для захисту робочих станцій і серверів компанії на них встановлюється ліцензоване
антивірусне програмне забезпечення, що має позитивний експертний висновок
Держспецзв’язку.
В АС компанії використовується ліцензоване прикладне програмне забезпечення,
зокрема «Microsoft Office». Для забезпечення цілісності електронних документів можуть
використовуваться ліцензійні засоби ЕЦП.
Клас і склад АС
Згідно з НД ТЗІ 2.5-005-99 «Класифікація АС і СФПЗ оброблюваної інформації від
НСД» в фінансовій компанії інформація циркулює та обробляється в АС класу «2».
АС класу «2» - локалізований багатомашинний багатокористувацький комплекс, який
обробляє інформацію різних категорій конфіденційності.
В складі АС функціонують такі додаткові технічні засоби:
- джерела безперебійного живлення;
- кабельне обладнання.
Характеристики фізичного середовища
Територія компанії охороняється штатом охоронців у кількості 4 осіб. Крім того,
ведеться відеонагляд за територією та в середині приміщення.
У компанії запроваджена система електронних перепусток, що зменшує ймовірність
загроз вчинити викрадення інформації зловмисником, що не є співробітником фірми,
безпосередньо з її території.
Оскільки в АС не обробляється інформація, що становить державну таємницю, технічні
канали витоку інформації не розглядаються та захист від них не планується.
При побудові плану розташування робочих місць необхідно керуватися такими
принципами:
- екрани комп’ютерів не повинні бути повернуті до вікон або дверей;
- робочі місця розміщені таким чином,щоб мінімізувати спостереження за роботою
одних користувачів за іншими.
У складі КСЗІ в АС функціонують такі засоби захисту:
- відеоспостереження;
- охоронно-пожежна сигналізація;
- сенсори розбиття скла на вікнах офісу;
- сенсори розкриття дверей приміщень;
- металеві грати на вікнах офісу.
Технічні характеристики каналів зв’язку
Для побудови локальної мережі використовується екранована вита пара. Згідно зі
стандартами для захисту мережевого кабелю від зовнішніх пошкоджень використовуються
екрановані металеві короба.
Характеристики інформації, що обробляється
Інформація, що обробляється в АС є власністю даної фірми та її клієнтів. В АС даного
підприємстві обробляється відкрита та конфіденційна інформація. До конфіденційної
інформації відносяться дані, що пов’язані з клієнтами фірми та їх справами, технологічна та
ключова інформація. Інформація загального користування є відкритою інформацією.
№
1
2
3
4
5
6
7
8
9
10
Шифр
{БД.К}
{Д}
{П.О}
{БД.П}
{БД.З.Р}
{БД.Т.К}
{БД.Т.П}
{П}
{Ж.К.}
{Ж.Д.}
Назва
База даних - клієнтів
Договори
Перелік обладнання
База даних - працівників
База даних засобів і ресурсів
База даних телефонів клієнтів
База даних телефонів працівників
Партнери
Журнал користувачів
Журнал досягнень
Тип доступу
конфіденційна
відкрита
відкрита
конфіденційна
конфіденційна
конфіденційна
відкрита
відкрита
відкрита
відкрита
Характеристики персоналу та користувачів АС
До середовища персоналу установи та користувачів автоматизованої системи належать
технічний та обслуговуючий персонал, системні адміністратори, адміністратор безпеки,
працівники служби охорони, бухгалтери, маркетологи, секретар, працівники відділу роботи з
клієнтами, керівники відділів, директор.
Найнижчі повноважень щодо допуску до відомостей, які обробляються в ІТС мають
технічний та обслуговуючий персонал, а також працівники служби охорони. Достатньо
високі повноваження мають працівники маркетингового відділу та відділу інформаційних
технологій, дирекція. Найбільше повноваження щодо управління КСЗІ має адміністратор
безпеки, дещо нижчий пріоритет у працівників служби безпеки та системних
адміністраторів.
Працівники першого поверху мають доступ тільки до даних, що містяться на серверах
першого поверху, працівники ж другого поверху переважно мають доступ до інформації, що
зберігається на серверах другого поверху.
Вхід до серверних приміщень та приміщень для зберігання документів, звітів про
діяльність компанії, зареєстрованих носіїв інформації, даних відео нагляду та спостереження,
журнали відвідувань і т. д. мають лише дирекція та особи, яким надається допуск до цих
матеріалів.
3. Формування моделі загроз для інформації в АС
Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка
моделі загроз для інформації та моделі порушника.
Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати
методи і способи їхнього здійснення.
Загрози в АС можуть здійснюватися шляхом:
- підключення до апаратури та ліній зв’язку,
- маскування під зареєстрованого користувача,
- подолання заходів захисту з метою використання інформації або нав’язування хибної
інформації,
- застосування закладних пристроїв чи програм,
- використання комп’ютерних антивірусів тощо.
Загрози для інформації, що обробляється в АС, залежать від характеристик ОС,
персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну
природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та
навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть
бути реалізовані стосовно АС і повинні враховуватись у моделі загроз, наприклад:
- зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа
або інші випадкові події);
- збої і відмови у роботі обладнання та технічних засобів АС;
- наслідки помилок під час проектування та розробки компонентів АС (технічних
засобів, технології обробки інформації, програмних засобів, засобів захисту, структур даних
тощо);
- помилки персоналу (користувачів) АС під час експлуатації;
- навмисні дії (спроби) потенційних порушників.
Необхідно визначити перелік можливих загроз і класифікувати їх за результатом
впливу на інформацію, тобто на порушення яких властивостей вони спрямовані
(конфіденційності, цілісності та доступності інформації), а також порушення спостережності
та керованості АС.
Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або
користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру)
можуть бути:
- дії, що призводять до відмови АС (окремих компонентів), руйнування апаратних,
програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм
та ін.);
- ненавмисне пошкодження носіїв інформації;
- неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо),
ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін
у системі (наприклад, форматування носіїв інформації);
- ненавмисне зараження ПЗ комп’ютерними вірусами;
- невиконання організаційних заходів захисту згідно вимог чинних в АС розпорядчих
документів;
- помилки під час введення даних в систему, виведення даних за невірними адресами
пристроїв, внутрішніх і зовнішніх абонентів тощо;
- будь-які дії, що можуть призвести до розголошення конфіденційних відомостей,
атрибутів розмежування доступу, втрати атрибутів тощо;
- неправомірне впровадження і використання забороненого політикою безпеки ПЗ
(наприклад, навчальні та ігрові програми, системне і прикладне забезпечення та ін.);
- наслідки некомпетентного застосування засобів захисту;
- інші.
Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи
АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання
можливості несанкціонованого доступу до її ресурсів, можуть бути:
- порушення фізичної цілісності АС (окремих компонентів, пристроїв, обладнання,
носіїв інформації);
- порушення режимів функціонування (виведення з ладу) систем життєзабезпечення
АС (електроживлення, заземлення, охоронної сигналізації, вентиляції та ін.);
- порушення режимів функціонування АС (обладнання і ПЗ);
- впровадження і використання комп’ютерних вірусів, закладних (апаратних і
програмних) і підслуховуючих пристроїв, інших засобів розвідки;
- використання (шантаж, підкуп тощо) з корисливою метою персоналу АС;
- крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
- несанкціоноване копіювання носіїв інформації;
- читання залишкової інформації з оперативної пам’яті ЕОМ, зовнішніх накопичувачів;
- одержання атрибутів доступу з наступним їх використанням для маскування під
зареєстрованого користувача («маскарад»);
- неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються,
аналіз трафіку тощо;
- впровадження і використання забороненого політикою безпеки ПЗ або
несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної
інформації (наприклад, аналізаторів безпеки мереж);
- інші.
Класифікація потенційних загроз інформації, що обробляється в АС
Дже-рело
№
Природа
Загроза
Зовнішнє
Зовнішнє
Внутрішнє
Внутрішнє
Внутрішнє
Внутрішнє
Зовнішнє
Об’єктивна
Стихійні явища
Об’єктивна
8
Внутрішнє
Суб’єктивна
9
Внутрішнє
Суб’єкт
ивна
Збої та відмови системи
електроживлення
Збої та відмови обчислювальної
техніки
Збої, відмови та пошкодження
носіїв інформації
Збої та відмови програмного
забезпечення
Відмова в доступі користувачу АС
в результаті помилки ПЗ
Ураження програмного
забезпечення комп’ютерними
вірусами
Несанкціоноване внесення змін до
технічних засобів, в програмне
забезпечення, що призводять до
зміни режиму роботи чи відмови
АС
Порушення адміністратором
безпеки реалізації ПРД
1
0
1
1
Внутрішнє
Внутрішнє
Суб’єктивна
Суб’єктивна
1
2
1
3
1
4
1
5
1
6
1
7
Зовнішнє
Зовнішнє
Зовнішнє
Зовн./
Внутр.
Внутрішнє
Внутрішнє
Суб’єктивна
Суб’єктивна
Суб’єктивна
Суб’єктивна
Суб’єктивна
Суб’єктивна
1
2
3
4
5
6
7
Об’єктивна
Об’єктивна
Об’єктивна
Об’єктивна
Суб’єктивна
Навмисна/
ненавмисн
а
Навмисна/
ненавмисн
а
Навмисна/
ненавмисн
а
Ненавмисн
а
Навмисна
Навмисна
Втрата атрибутів розмежування
доступу
Неправомірне впровадження і
використання забороненого
політикою безпеки ПЗ
Використання з корисливою
метою персоналу АС
Несанкціонований доступ до
приміщення АС
Вербування працівників
підприємства
Розкрадання матеріальних носіїв
інформації
Читання залишеної інформації
Ненавмисн
а
Ненавмисне псування
матеріальних носіїв інформації
Навмисна
Навмисна
Навмисна
Навмисна
Наслідки
порушення
К Ц Д
+ +
+
Ресурси
С
Всі
+
+
Всі
+
+
Всі
+
+
Всі
+
+
Всі
+
Окрем
і
Всі
+
+
+
+
+
+
Окрем
і
+
+
+
+
Окрем
і
+
+
+
+
+
+
+
всі
+
+
+
+
+
+
+
+
Окрем
і
всі
+
+
всі
+
+
всі
+
+
всі
Окрем
і
всі
4. Формування моделі порушника політики безпеки
Під порушником розуміється особа, яка зробила спробу виконання заборонених
операцій помилково, не знаючи або навмисно зі злим помислом (корисним інтересом) або
без таких (заради гри, самоствердження), заради самоствердження або помсти,
використовуючи для цього різні способи і методи, можливості і засоби.
Порушник може використовувати різноманітні методи та засоби для доступу до ІзОД.
Якщо порушник діє навмисне, з корисних мотивів, то будемо називати його зловмисником.
Зловмисники винятково якісно вивчають системи безпеки в ІТС перед проникненням до неї.
Необхідно оцінити збитки, які можуть мати місце у випадку витоку інформації або при
будь-якому іншому порушенні системи безпеки, а також ймовірність нанесення подібних
збитків. Для визначення адекватності вартості системи захисту, слід зіставити розміри
збитків і ймовірність їх нанесення з розмірами затрат на забезпечення захисту. Проте,
реальну вартість інформації оцінити дуже важко, тому зазвичай використовують не кількісні,
а якісні експертні оцінки. Найчастіше будується неформалізована модель порушника
(зловмисника), що відображає причини й мотиви дій, його можливості, знання, цілі, основні
шляхи досягнення поставлених цілей - способи реалізації загроз, місце і характер дії,
можлива тактика і т. д. Для досягнення поставлених цілей зловмисник повинен прикласти
деякі зусилля і затратити деякі ресурси.
Порушники класифікуються за рівнем можливостей, що надаються їм штатними
засобами АС. Виділяються чотири рівні цих можливостей. Класифікація є ієрархічною, тобто
кожний наступний рівень включає в себе функціональні можливості попереднього:
- перший рівень визначає найнижчий рівень можливостей проведення діалогу з АС можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь
передбачені функції обробки інформації;
- другий рівень визначається можливістю створення і запуску власних програм з
новими функціями обробки інформації;
- третій рівень визначається можливістю управління функціонуванням АС, тобто
впливом на базове програмне забезпечення системи і на склад і конфігурацію її
устаткування;
- четвертий рівень визначається всім обсягом можливостей осіб, що забезпечують
функцінування КЗЗ в АС, аж до включення до складу АС власних засобів з новими
функціями обробки та захисту інформації.
Порушником по відношенню до АС можуть бути особи з персоналу і користувачів
системи, а також сторонні особи.
Можливі внутрішні порушники :
- кінцеві користувачі (оператори системи), персонал (перший рівень);
- співробітники служби безпеки установи (перший рівень);
- керівники різних рівнів (перший рівень).
- системний адміністратор та особи, що обслуговують технічні засоби (третій рівень);
- адміністратор безпеки в АС (четвертий рівень);
Можливі зовнішні порушники (сторонні особи):
- технічний персонал, обслуговуючий будівлю (перший рівень);
- клієнти (перший рівень);
- представники організацій-конкурентів (другий рівень);
- відвідувачі, запрошені з будь-якого приводу (другий рівень).
Припускається, що в своєму рівні порушник - це фахівець вищої кваліфікації, який має
повну інформацію про АС і КЗЗ.
Порушник може здійснювати несанкціонований доступ до інформації або під час
роботи автоматизованої системи, або в період неактивності автоматизованої системи, або ж
суміщаючи робочий і не робочий час.
У КСЗІ в АС передбачаються, розглядаються і розробляються усі 4 рівні порушників.
Модель порушника
№
1.
1.1
Користувач АС
Внутрішні
Адміністратор безпеки
Рівень порушника
ІV
1.2
1.3
2.
2.1
2.2
2.3
2.3
Системний адміністратор
Персонал
Зовнішні
Працівник служби охорони
Працівник комунальних служб
Конкуренти
Клієнт
ІІІ
І
І
І
ІІ
І
5. Розробка політики безпеки
Мета реалізації політики безпеки
Основною метою реалізації політики безпеки є забезпечення ефективного
функціонування компанії, для чого необхідно забезпечити захист оброблюваної на
підприємстві інформації від несанкціонованого доступу. Політика безпеки має на меті
розробку та впровадження правил та норм внутрішнього режиму праці на підприємстві,
режиму доступу та допуску до важливих об’єктів, їх охорона, середовище розміщень.
Загальні вимоги політики безпеки
Під час розробки політики безпеки були враховані технологія обробки інформації,
описані вище моделі порушників і загроз, особливості ОС, фізичного середовища та інші
чинники. В АС реалізовано декілька різних політик безпеки, які істотно відрізняються. Як
складові частини загальної політики безпеки в АС існують політики забезпечення
конфіденційності, цілісності, доступності оброблюваної інформації.
Політика безпеки стосується: інформації (рівня критичності ресурсів АС), взаємодії
об’єктів (правил, відповідальності за захист інформації, гарантій захисту), області
застосування (яких складових компонентів АС політика безпеки стосується, а яких - ні).
Політика безпеки розроблена таким чином, що вона не потребує частої модифікації.
Політика безпеки передбачає використання всіх можливих заходів захисту
інформації(правові та морально-етичні норми, організаційні, фізичні, технічні заходи) і
визначає правила та порядок застосування в АС кожного з цих видів.
Політика безпеки базується на наступних основних принципах:
- системності;
- комплексності;
- неперервності захисту;
- достатності механізмів і заходів захисту та їхньої адекватності загрозам;
- гнучкості керування системою захисту, простоти і зручності її використання;
- відкритості алгоритмів і механізмів захисту, якщо інше не передбачено окремо.
Політика безпеки дає гарантії того, що:
- в АС забезпечується адекватність рівня захисту інформації рівню її критичності;
- реалізація заходів захисту інформації є рентабельною;
- в будь-якому середовищі функціонування АС забезпечується оцінюваність і
перевіряємість захищеності інформації;
- забезпечується персоніфікація положень політики безпеки (стосовно суб’єктів АС),
звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких
здійснюється доступ в процесі функціонування АС;
- персонал і користувачі забезпечені достатньо повним комплектом документації
стосовно порядку забезпечення захисту інформації;
- всі критичні з точки зору безпеки інформації технології (функції) АС мають
відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення
непередбачених ситуацій;
- враховані вимоги всіх документів, які регламентують порядок захисту інформації в
АС, та забезпечується їхнє суворе дотримання.
Вибір ФПЗ оброблюваної інформації від НСД
З точки зору забезпечення безпеки інформації АС або КЗЗ можна розглядати як набір
функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють
протистояти деякій множині загроз.
Згідно з аналізом роботи АС та відповідних експертиз визначено, що в АС циркулює
інформація, яка потребує захисту. Ця інформація поділяється на відкриту інформацію, що
потребує захисту, та інформацію з обмеженим доступом (далі - ІзОД), а саме: конфіденційну
інформацію (персональні дані).
Згідно вимог ДСТУ 3396.1-96 найбільш підходящим варіантом захисту є такий варіант:
досягнення необхідного рівня захисту ІзОД за допустимих затрат і заданого рівня обмежень
видів інформаційної діяльності.
Відповідно до НД ТЗІ 2.5-005-99 потрібно визначити ФПЗ інформації. Перш за все нам
потрібно забезпечити конфіденційність інформації, яка визначена як ІзОД. Крім того, у
компанії обробляється відкрита інформація, що потребує захисту (деякі номери рахунків
активів компанії, інформація про діяльність компанії і т.д.). Для такої інформації потрібно
забезпечити цілісність.
Відповідно до НД ТЗІ 2.5-005-99 застосуємо функціональний профіль захищеності в
АС класу «2» з підвищеними вимогами до забезпечення конфіденційності і цілісності
інформації:
2.КЦ.5 = {КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2}
Позначення послуг конфіденційності:
КД - довірча конфіденційність;
КА - адміністративна конфіденційність;
КО - повторне використання об’єктів.
КК - аналіз прихованих каналів
Позначення послуг цілісності:
ЦД - довірча цілісність;
ЦА - адміністративна цілісність;
ЦО - відкат.
Позначення послуг спостереженості:
НР - реєстрація;
НИ - ідентифікація і автентифікація;
НК - достовірний канал;
НО - розподіл обов’язків;
НЦ - цілісність КЗЗ;
НТ - самотестування при старті.
Правила розмежування доступу користувачів та процесів до інформації в АС (ПРД)
ПРД забезпечуються виконанням таких заходів:
- налагоджуються засоби захисту ОС та, за необхідності, встановлюється додаткове
КЗЗ;
- усі особи, які беруть участь в обробленні ІзОД в ІТС, повинні бути зареєстровані як
користувачі ІТС;
- користувачі проходять процедуру автентифікації для отримання доступу до ресурсів
ІТС;
- кожний користувач має свій унікальний ідентифікатор і пароль. Право видачі цих
атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор
безпеки ІТС. Видача атрибутів дозволяється тільки після документальної реєстрації особи як
користувача. Користувачам забороняється спільне використання персональних атрибутів;
- атрибути користувачів періодично змінюються, а невикористовувані і
скомпрометовані – видаляються;
- надання доступу до ІзОД здійснюється з урахуванням наданих згідно зі службовою
необхідністю повноважень, за умови достовірного розпізнавання користувачів встановленим
КЗЗ. КЗЗ забезпечує можливість своєчасного доступу зареєстрованих користувачів до ІзОД;
- кожний користувач має машинні носії ІзОД (далі - МНІ), які закріплені за ним
персонально, які він отримує за своїм підписом та підписом адміністратора безпеки в
«Журналі обліку МНІ»;
- усі користувачі повинні знати «Інструкцію користувача» (пройти відповідний курс
навчання та скласти іспит);
- кожне АРМ повинно мати свого адміністратора, який несе відповідальність за його
працездатність та за дотримання всіх вимог і процедур, пов’язаних з обробкою інформації та
її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач
повинен бути забезпечений відповідними інструкціями і навчений всім вимогам і
процедурам;
- для попередження неавторизованого доступу до даних, ПЗ, інших ресурсів ІТС,
керування механізмами захисту здійснюється адміністратором безпеки ІТС;
- для попередження поширення комп’ютерних вірусів відповідальність за дотримання
правил використання ПЗ несуть: на АРМ - користувачі та адміністратор, в ІТС адміністратор безпеки ІТС. Використовуватись повинно тільки ПЗ, яке дозволено політикою
безпеки (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо);
- за всі зміни ПЗ, створення резервних і архівних копій несе відповідальність
адміністратор безпеки ІТС, такі роботи виконуються тільки з його дозволу;
- процедури використання активного мережевого обладнання, а також окремих видів
ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж,
засоби адміністрування тощо), авторизовані і здійснюються під контролем адміністратора
безпеки ІТС;
- адміністратори безпеки та КСЗІ ІТС повсякденно здійснюють перевірку
працездатності всіх механізмів захисту інформації в ІТС, ведуть облік критичних з точки
зору безпеки подій і готують звіти щодо цього.
Для кожного відділу створено свою робочу групу (домен) і користувачів, які можуть
працювати лише у даній робочій групі, де вони мають наперед встановлені права.
Користувача однієї робочої групи не може бути аутентифіковано у іншій. При вході у
систему на ПЕОМ АС завантажуються особисті дані з файлового сервера та сервера баз
даних.
Розподіл обов'язків щодо виконання заходів, передбачених політикою безпеки
Адміністратор безпеки володіє всіма правами по установці і налаштуванню КСЗІ
створює, видаляє облікові записи співробітників, слідкує за додержанням правил
розмежування доступу, вносить зміни до них при зміні посади певного співробітника, а
також при допуску до певної інформації.
Системний адміністратор слідкую за правильним функціонуванням комп’ютерної
системи, проводить планові перевірки її компонентів, вирішує технічні проблеми АС при їх
виникненні.
Працівник служби охорони проводить відео спостереження, реєструє відвідувачів у
відповідному журна відповідає за дотриманням правил допуску до серверних приміщень та
приміщень для зберігання документів, звітів про діяльність компанії, зареєстрованих носіїв
інформації, даних відео нагляду та спостереження, журнали відвідувань і т. д., відповідає за
безпеку установи і співробітників.
Дирекція координує роботу адміністратора безпеки та служби безпеки.
Служба безпеки, системні адміністратори та адміністратори безпеки узгоджують свою
роботу.
6. Система документів з забезпечення захисту інформації в АС
Захист інформації в АС регламентується такими документами:
- Закон України «Про захист інформації в ІТС»;
- Правила забезпечення захисту інформації в ІТС, затверджені ПКМУ № 373-2006;
- ДСТУ 3396.0-96 Технічний захист інформації. Основні положення;
- ДСТУ 3396.1-96 Технічний захист інформації. Порядок проведення робіт;
- ДСТУ 3396.2-97 Технічний захист інформації. Терміни та визначення;
- НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних
системах від несанкціонованого доступу;
- НД ТЗІ 1.1-003-99 Термінологія у галузі захисту інформації в комп'ютерних системах
від несанкціонованого доступу;
- НД ТЗІ 1.4-001-00 Типове положення про службу захисту інформації в
автоматизованій системі;
- НД ТЗІ 1.6-005-2013 Положення про категоріювання об’єктів, де циркулює
інформація з обмеженим доступом, що не становить державної таємниці;
- НД ТЗІ 2.1-001-01 Створення комплексів технічного захисту інформації. Атестація
комплексів. Основні положення;
- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах
від несанкціонованого доступу;
- НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні
профілі захищеності оброблюваної інформації від несанкціонованого доступу;
- НД ТЗІ 2.5-008-2002 Вимоги із захисту службової інформації від НСД під час
оброблення в АС класу 2;
- НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на
створення комплексної системи захисту інформації в автоматизованій системі;
- НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи
захисту інформації в інформаційно-телекомунікаційній системі.
Нормативні, організаційно-розпорядчі та інші документи, що використовуються у АС:
- положення про захист інформації в АС;
- інструкції про порядок реалізації організаційних, первинних технічних та основних
технічних заходів захисту, інструкції про порядок введення в експлуатацію КСЗІ, про
порядок її модернізації, про порядок обробки ІзОД в АС, про порядок використання
криптографічних засобів;
- правила управління паролями в АС, правила видачі, вилучення та обміну
персональних ідентифікаторів, атрибутів розмежування доступу;
- інструкції, що встановлюють повноваження та відповідальність персоналу і
користувачів;
- плани виконання робіт та здійснення окремих заходів з захисту інформації в АС.
В АС також складається календарний план робіт з реалізації заходів захисту інформації
в АС, який містить такі розділи:
- організаційні заходи;
- контрольно-правові заходи;
- профілактичні заходи;
- інженерно-технічні заходи.
- робота з кадрами.
Контрольні питання:
1. Які ПКМУ вимагають складання Плану захисту?
2. Який НД ТЗІ визначає складання Плану захисту?
3. З яких розділів складається План захисту?
Змістовий модуль 3. Проектування КСЗІ в ІКС
Тема 16. Вибір ОС, АВПЗ і КЗЗ
Перед початком розробки технічного завдання на створення КСЗІ в ІТС здійснюється
вибір технічних і програмно-апаратних засобів, які реалізують задані вимоги щодо надійного
функціонування ІТС та захисту інформації, яка в ній обробляється. В першу чергу, це
операційна система (далі - ОС), антивірусне програмне забезпечення (далі - АВПЗ) і у разі
потреби комплекс засобів захисту від НСД (далі - КЗЗ).
Стаття 8 Закону України «Про захист інформації в ІТС» визначає, що для створення
комплексної системи захисту інформації, яка є власністю держави, або інформації з
обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються
засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний
висновок за результатами державної експертизи у сфері захисту інформації.
Тобто з
ІТ
планується
ти
НД ТЗІ
НД ТЗІ
Здійснення сертифікації, підтвердження відповідності та проведення державної
експертизи таких засобів здійснює Адміністрація Держспецзв'язку. Вона веде «Перелік
засобів загального призначення, які дозволені для забезпечення ТЗІ, необхідність
охорони якої визначено законодавством України» (далі - Перелік), який формується
відповідно до пункту 17 «Положення про ТЗІ в Україні», затвердженого Указом Президента
України від 27.09.99 № 1229.
Перелік призначений для використання суб'єктами системи ТЗІ під час розроблення,
модернізації та впровадження комплексів ТЗІ на ОІД та КСЗІ в ІТС і складається з 2-х
розділів.
Розділ 1 містить номенклатуру технічних засобів із захистом інформації, засобів ТЗІ,
засобів контролю за ефективністю ТЗІ, засобів виявлення та індикації загроз безпеці
інформації, відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено
сертифікатом відповідності або позитивним експертним висновком, одержаними у порядку,
який встановлено нормативно-правовими актами: «Правилами проведення робіт із
сертифікації засобів захисту інформації», затвердженими спільним наказом Адміністрації
Держспецзв'язку та Держспоживстандарту України від 25.04.2007 № 75/91 і зареєстрованими
в Міністерстві юстиції України 14.05.2007 за № 498/13765, та «Положенням про державну
експертизу в сфері ТЗІ», затвердженим наказом Адміністрації Держспецзв'язку від
16.05.2007 № 93 і зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087.
Розділ 2 містить номенклатуру технічних засобів, які за принципом дії не створюють
каналів витоку оброблюваної інформації і можуть застосовуватися для оброблення
інформації, необхідність охорони якої визначена законодавством. Він формується на підставі
висновків державної експертизи або узгоджених із Держспецзв'язку результатів інших
досліджень щодо цих технічних засобів, які засвідчують відсутність у них каналів витоку
оброблюваної інформації.
Використання засобів цього Переліку під час розроблення, модернізації та
впровадження комплексів ТЗІ на ОІД та КСЗІ в ІТС не звільняє від необхідності оцінювання
відповідності досягнутого рівня захисту інформації встановленому вимогами нормативних
документів з ТЗІ, яке здійснюється шляхом атестації комплексів ТЗІ на ОІД або експертизи
КСЗІ в ІТС.
Можливість подальшого використання засобів, які не ввійшли до цього Переліку, в
діючих комплексах ТЗІ на ОІД та КСЗІ в ІТС визначається за результатами їх чергової
атестації або експертизи. Оновлення інформації, яка міститься в Переліку, здійснюється
шляхом періодичного внесення змін до попередньої редакції. Перелік та його доповнення
публікуються в засобах масової інформації та розміщуються на WEB-сайті Держспецзв'язку
(www.dsszzi.gov.ua).
Вибір програмного забезпечення з Переліку здійснюється з урахуванням відповідності
його обсягу функцій, що визначаються функціональним профілем захищеності (далі - ФПЗ),
визначеному ФПЗ ІТС з відповідним рівнем гарантій, а також термін дії Експертного
висновку.
Використання засобів ТЗІ, які на момент проектування КСЗІ не мають підтвердження
відповідності у сфері ТЗІ
У разі необхідності використання в КСЗІ засобів ТЗІ, які на момент проектування
КСЗІ не мали документа (сертифіката відповідності або експертного висновку), що
підтверджує їх відповідність у сфері ТЗІ, ці засоби згідно з «Правилами забезпечення захисту
інформації в ІТС», затвердженими ПКМУ від 29 березня 2006 року № 373, мають
піддаватися відповідному оцінюванню під час проведення державної експертизи КСЗІ.
При цьому має оцінюватися відповідність засобів ТЗІ вимогам НД ТЗІ в обсязі
показників тих функцій захисту, які реалізовані для захисту інформації, що обробляється в
даній ІТС. Також має оцінюватися можливість створення цими засобами ТЗІ технічних
каналів витоку інформації (в тому числі через закладні пристрої).
Має бути проведений аналіз особливостей застосування засобів ТЗІ в даній ІТС, за
результатами якого мають бути встановлені (ідентифіковані, уточнені) функції захисту, які
реалізовані для захисту інформації саме в даній ІТС, та показники цих функцій.
Програма та методика проведення державної експертизи КСЗІ має містити перелік
робіт щодо визначення (вимірювання) встановлених за результатами аналізу показників
функцій захисту засобів ТЗІ, оцінки відповідності цих показників вимогам НД ТЗІ та оцінки
можливості створення цими засобами ТЗІ технічних каналів витоку інформації. Також мають
бути наведені нормативні документи з питань ТЗІ, які визначають вимоги до цих показників.
Результати визначення (вимірювань) показників функцій захисту засобів ТЗІ,
результати їх порівняння з вимогами нормативних документів та результати оцінювання
можливості створення цими засобами ТЗІ технічних каналів витоку інформації мають
відображатися у відповідних протоколах, які подаються на розгляд Експертної ради
Адміністрації Держспецзв’язку разом з матеріалами державної експертизи КСЗІ (з
Протоколом державної експертизи КСЗІ та Експертним висновком).
Засоби ТЗІ, які пройшли оцінювання під час державної експертизи КСЗІ, можуть
використовуватись для захисту інформації виключно у складі цієї КСЗІ.
1. Вибір ОС
Розглянемо тільки 3 популярні ОС, дані яких для зручного порівняння викладемо у
табличному вигляді.
1
Комплекс засобів захисту
операційної системи
2
Виробник
Експертний висновок
дійсний до
4 Рівень гарантій
Послуги конфіденційності
1 базова адміністр. конфіденційність
2 базова довірча конфіденційність
3 повторне використання об’єктів
4 конфіденційність при обміні (баз/мін)
3
OpenBSD,
шифр
«BBOS»
Україна,
ТОВ
«АТМНІС»
№ 373
31.08.2015
Г2
КА-2
КД-2
КО-1
КВ-2
Windows
Windows 8
Server 2012 R2 Professional
Datacenter
США, Microsoft США,
Corporation
Microsoft
Corporation
№ 511
№ 485
21.01.2017
20.12.2016
Г2
Г2
КД-2
КО-1
КВ-1
КД-2
КО-1
КВ-1
Послуги цілісності
1 мінімальна адміністративна цілісність
2 мінімальна довірча цілісність
3 обмежений відкат
4 мінімальна цілісність при обміні
Послуги доступності
1 незахоплення ресурсів / квота
2 стійкість з погіршенням характеристик /
при обмежених відмовах
3 обмежена гаряча заміна
4 автоматизоване відновлення
Послуги спостережності
1 захищений журнал
2 одиночна ідентифікація і автентифікація
3 однонаправлений достовірний канал
4 виділення адміністратора / розподіл
обов'язків на підставі привілеїв
5 КЗЗ з контролем цілісності /
гарантованою цілісністю
6 самотестування при старті
7 автентифікація вузла
ЦА-1
ЦД-1
ЦО-1
ЦВ-1
ЦД-1
ЦО-1
ЦВ-1
ЦД-1
ЦО-1
ЦВ-1
ДР-2
ДС-2
ДР-1
ДС-1
ДР-1
-
ДЗ-2
ДВ-2
ДЗ-2
ДВ-2
ДЗ-2
ДВ-2
НР-2
НИ-2
НК-1
НО-1
НР-2
НИ-2
НК-1
НО-3
НР-2
НИ-2
НК-1
НО-3
НЦ-1
НЦ-2
НЦ-2
НТ-2
НВ-1
НТ-2
НВ-1
НТ-2
НВ-1
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище
зазначених ОС, можна зробити такі висновки:
- КЗЗ ОС обох «Windows» майже однакові та відрізняються лише послугою стійкості до
відмов, яка взагалі відсутня в ОС «Windows 8 Professional»;
- КЗЗ ОС «OpenBSD» на відміну від «Windows» забезпечує послуги адміністративної
конфіденційності та цілісності на рівні КА-2 і ЦА-1, що дає можливість захисту інформації
від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення,
копіювання та розповсюдження.
Крім того, у разі використання тільки штатних засобів ОС «Windows» стає можливою
умисна або випадкова реалізація будь-яким авторизованым користувачем (якому у зв'язку з
виробничою необхідністю наданий доступ до каталога жорсткого диска, в якому
зберігаються файли даних певного типу, наприклад, файли текстових документів у форматі
«MS Word», з метою читання і модифікації) наступних погроз:
- несанкціонованого копіювання файлів даних, що містять ІзОД, з використанням
штатних засобів ОС (наприклад, програми «Провідник»), в каталоги жорсткого диска, які
містяться у профайлі користувача (наприклад, каталог «Мої документи»), з отриманням
можливості самостійно надавати права доступу до відповідного файлу іншим користувачам,
а також безконтрольно його поширювати, що приведе до порушення конфіденційності ІзОД;
- несанкціонованого експорту даних, ІзОД, що містять, на з'ємні носії, розмежування
доступу до яких засобами ОС «Windows» не здійснюється, що приведе до порушення
конфіденційності ІзОД;
- несанкціонованій модифікації файлів даних з використанням штатних засобів ОС
(наприклад, програми «Блокнот»), які не призначені для обробки файлів даних відповідного
типу, що не тільки приведе до порушення цілісності ІзОД, але може взагалі привести до
блокування можливості подальшої роботи авторизованих користувачів з відповідним файлом
даних, тобто до порушення доступності інформації.
Крім того, засоби захисту ОС «Windows» не забезпечують виконання вимог пунктів 6 і
7 Правил щодо забезпечення захисту ІзОД від несанкціонованого і неконтрольованого
ознайомлення, модифікації, знищення, копіювання, розповсюдження і забезпечення
можливості надання користувачу права на виконання однієї або декількох операцій з
оброблення конфіденційної інформації або позбавлення його такого права. Ці вимоги
можуть бути задоволені тільки за умови реалізації адміністративного управління доступом
(КА), тоді як у всіх ОС «Windows» реалізовано довірче управління доступом (КД).
Таким чином, у разі використання ОС «Windows» необхідно встановлення додаткового
КЗЗ від НСД.
2. Вибір АВПЗ
Розглянемо тільки саме відоме АВПЗ під керуванням операційної системи «Windows»,
оскільки це найпоширеніша ОС.
1
Програмне забезпечення антивірусного
захисту інформації під керуванням
операційної системи «Windows»
2
Виробник
Експертний висновок
дійсний до
4 Рівень гарантій
Послуги конфіденційності
1 адміністративна конфіденційність
Послуги цілісності
1 базова адміністративна цілісність
2 обмежений відкат
3 мінімальна цілісність при обміні
Послуги доступності
1 використання ресурсів - квота
2 стійкість при обмежених відмовах
3 модернізація
4 ручне відновлення
Послуги спостережності
1 захищений журнал
2 одиночна ідентифікація і автентифікація
3 однонаправлений достовірний канал
4 виділення адміністратора
5 КЗЗ з контролем цілісності
6 самотестування при старті
7 автентифікація вузла
3
Kaspersky
Endpoint
Security 10 for
Windows
ESET
Endpoint
Antivirus
5.0.Х
Росія, ЗАТ
«Лаборатория
Касперского»
Словаччина, ТОВ
«ESET»
№ 514
21.01.2017
Г2
№ 391
23.11.2015
Г2
Zillya!
Антивірус
для Бізнесу
версія 1.1
Україна,
ТОВ
«Олайті
Сервіс»
№ 545
20.10.2017
Г2
КА-2
КА-2
КА-2
ЦА-1
ЦО-1
ЦВ-1
ЦА-2
ЦО-1
-
ЦА-1
ЦВ-1
ДР-1
ДС-1
ДЗ-1
ДВ-1
ДС-1
ДЗ-1
ДВ-1
ДС-1
ДЗ-1
ДВ-1
НР-2
НИ-2
НК-1
НО-1
НЦ-1
НТ-2
НВ-1
НР-2
НИ-2
НК-1
НО-2
НЦ-1
-
НР-2
НИ-2
НК-1
НО-1
НЦ-1
НТ-2
-
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище
зазначених АВПЗ, можна зробити такі висновки:
- «Kaspersky Endpoint Security» є найсильнішим ПЗ, оскільки додатково забезпечує
послуги ручного відновлення ДР-1 і автентифікації вузла НВ-1;
- «Zillya! Антивірус» у порівнянні з «ESET Endpoint Antivirus 5.0.Х» додатково
забезпечує послуги мінімальної цілісності при обміні ЦВ-1 і самотестування при старті НТ-2;
- «ESET Endpoint Antivirus 5.0.Х» у порівнянні з «Zillya! Антивірус» додатково
забезпечує послугу обмеженого відкату ЦО-1.
Порядок оновлення антивірусних програмних засобів, які мають позитивний
експертний висновок за результатами державної експертизи в сфері ТЗІ
(затверджений наказом Адміністрації Держспецзв'язку від 26.03.2007 № 45
і зареєстрований в Міністерстві юстиції України 10.04.2007 за № 320/13587)
3. Поняття, що використовуються у цьому Порядку, мають таке значення:
- центр антивірусного захисту інформації (далі - ЦАЗІ) - організаційно-технічний
комплекс, призначений для вирішення питання захисту ІТС від комп'ютерних вірусів з
подальшим розвитком комплексного підходу до проблеми антивірусного захисту ІТС;
- комп'ютерний вірус - програма, що здатна створювати свої копії, модифіковані
копії, які можуть цілком не відповідати оригіналу, і впроваджувати їх у різні об'єкти/ресурси
ІТС безвідома користувача, й направлена на деструктивну дію;
- антивірусний програмний засіб (далі - АВПЗ) – програмне забезпечення, яке
призначене для захисту об'єктів/ресурсів ІТС відушкодження комп'ютерними вірусами;
- антивірусне оновлення АВПЗ - складова частина АВПЗ, яка розробляється після
створення засобу та призначена для пристосування АВПЗ до захисту об'єктів/ресурсів ІТС
від ушкодженнята зараження новими вірусами.
5. Оновлення АВПЗ здійснюється шляхом організації та забезпечення процесу
отримання та впровадження в АВПЗ антивірусних оновлень.
6. Оновлення АВПЗ, який пройшов державну експертизу та має позитивний
експертний висновок Адміністрації Держспецзв'язку, здійснюється з використанням
антивірусних оновлень, які розміщуються на веб-сайті ЦАЗІ (www.cazi.dsszzi.gov.ua).
7. На веб-сайті ЦАЗІ розміщуються тільки антивірусні оновлення АВПЗ, які пройшли
експрес-експертизу. Крім того, на веб-сайті можна подивитись перелік АВПЗ, що отримало
позитивний експертний висновок Держспецзв'язку.
8. Експрес-експертиза антивірусного оновлення АВПЗ здійснюється ЦАЗІ шляхом
перевірки АВПЗ з впровадженим антивірусним оновленням на його відповідність
експертному висновку, виданому за результатами державної експертизи.
У подальшому під антивірусним оновленням АВПЗ розуміється антивірусне оновлення
АВПЗ, яке пройшло експрес-експертизу.
9. Органи державної влади, органи місцевого самоврядування, утворені відповідно до
законів України військові формування, підприємства, установи і організації державної
форми власності:
- не менше ніж раз на день отримують антивірусні оновлення АВПЗ за допомогою вебсерверу ЦАЗІ;
- інсталюють отримані за допомогою веб-серверу ЦАЗІ антивірусні оновлення АВПЗ
відповідно до технічної документації АВПЗ;
- для забезпечення авторизованого доступу до ресурсів веб-серверу ЦАЗІ щороку
до 1 березня та, у разі внесення змін, протягом 3 днів надають до Адміністрації
Держспецзв'язку відомості щодо кожного користувача у паперовому вигляді за визначеною
формою.
10. Адміністрація Держспецзв'язку:
- організовує за допомогою спеціалізованого програмного забезпечення отримання
органами державної влади, органами місцевого самоврядування, утвореними відповідно до
законів України військовими формуваннями, підприємствами, установами та організаціями
державної форми власності антивірусних оновлень для антивірусних програмних засобів,
які мають позитивний експертний висновок за результатами державної експертизи в сфері
технічного захисту інформації, та забезпечує функціонування веб-серверу ЦАЗІ;
- заносить надану органами державної влади, органами місцевого самоврядування,
утвореними відповідно до законів України військовими формуваннями, підприємствами,
установами та організаціями державної форми власності реєстраційну інформацію до бази
даних користувачів ЦАЗІ. Реалізує автентифікацію та ідентифікацію користувачів відповідно
до цієї бази даних;
- проводить експрес-експертизу антивірусних оновлень АВПЗ;
- розробляє рекомендації щодо тримання антивірусних оновлень антивірусного
програмного засобу та їх розміщення на веб-сайті ЦАЗІ;
- використовує механізм електронно-цифрового підпису для підтвердження цілісності
антивірусних оновлень АВПЗ та ідентифікації підписувача після впровадження в органі
державної влади, органі місцевого самоврядування, утворених відповідно до законів України
військових формуваннях, підприємствах, установах та організаціях державної форми
власності електронно-цифрового підпису.
3. Вибір КЗЗ від НСД
3.1. Системи захисту в АС класу «1»
1
Система захисту інформації
2
Виробник
Експертний висновок
дійсний до
4 Рівень гарантій
5 Рівень безпеки
Послуги конфіденційності
1 адміністративна конфіденційність
2 базова довірча конфіденційність
3 повторне використання об’єктів
Послуги цілісності
1 мінімальна адміністративна цілісність
2 мінімальна довірча цілісність
3 обмежений відкат
Послуги доступності
1 стійкість при обмежених відмовах
2 модернізація
3 ручне відновлення
Послуги спостережності
1 захищений журнал
2 множинна ідентифікація і автентифікація
3 однонаправлений достовірний канал
4 розподіл обов'язків адміністратора
5 КЗЗ з гарантованою цілісністю / контролем
цілісності
6 самотестування при старті
3
«ЛОЗА-1»
версія 4
ТОВ НДІ «Автопром»,
м. Київ
№ 540
08.08.2017
Г4
Підвищен. Стандарт.
«Рубіж-РСО»
версія 2
ПАТ «КП ОТІ»,
м. Київ
№ 422
01.03.2016
Г3
-
КА-3
КО-1
КА-2
КД-2
КО-1
КА-2
КО-1
ЦА-1
-
ЦА-1
ЦД-1
-
ЦА-1
ЦО-1
ДС-1
ДЗ-1
ДВ-1
ДС-1
ДЗ-1
ДВ-1
ДВ-1
НР-2
НИ-3
НК-1
НО-2
НЦ-2
НР-2
НИ-3
НК-1
НО-2
НЦ-2
НР-2
НИ-3
НК-1
НО-2
НЦ-1
НТ-2
НТ-2
НТ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище
зазначених КЗЗ, можна зробити такі висновки:
- КЗЗ на відміну від ОС «Windows» забезпечує послуги адміністративної
конфіденційності КА та цілісності ЦА, що дає можливість захисту інформації від
несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання
та розповсюдження;
- «ЛОЗА-1» у порівнянні з «Рубіж-РСО» має вищий рівень гарантій та забезпечує
додатково такі послуги безпеки як стійкість при обмежених відмовах ДС-1 і модернізація
ДЗ-1, однак не забезпечує послуги обмежений відкат ЦО-1;
- «ЛОЗА-1» для конфігурації «Стандартна безпека» у порівнянні з «Підвищеною
безпекою» та «Рубіж-РСО» забезпечує додатково послуги довірчої конфіденційності КД-2 та
цілісності ЦД-1.
3.2. Системи захисту в АС класу «2»
1
Система захисту інформації
«ЛОЗА-2»
«Гриф-
версія 3.Х.Y
2
Виробник
Експертний висновок
дійсний до
4 Рівень гарантій
5 Рівень безпеки
Послуги конфіденційності
1 адміністративна конфіденційність
2 базова довірча конфіденційність
3 повторне використання об’єктів
Послуги цілісності
1 адміністративна цілісність (мінім./базова)
2 мінімальна довірча цілісність
3 обмежений відкат
Послуги доступності
1 використання ресурсів - квота
2 стійкість при обмежених відмовах
3 модернізація
4 ручне відновлення
Послуги спостережності
1 детальна реєстрація / захищений журнал
2 множинна ідентифікація і автентифікація
3 однонаправлений достовірний канал
4 розподіл обов'язків адміністратора
5 КЗЗ з гарантованою цілісністю
6 самотестування при старті
3
Мережа» версія
3
ТОВ НДІ «Автопром», ТОВ «ІКТ»,
м. Київ
м.Київ
№ 383
№ 402
16.10.2015
13.08.2013
Г4
Г4
Підвищен. Стандарт. КА-3
КО-1
КА-2
КД-2
КО-1
КА-2
КО-1
ЦА-1
-
ЦА-1
ЦД-1
-
ЦА-2
ЦО-1
ДС-1
ДЗ-1
ДВ-1
ДС-1
ДЗ-1
ДВ-1
ДР-1
ДС-1
ДЗ-1
ДВ-1
НР-4
НИ-3
НК-1
НО-2
НЦ-2
НТ-2
НР-4
НИ-3
НК-1
НО-2
НЦ-2
НТ-2
НР-2
НИ-3
НК-1
НО-2
НЦ-2
НТ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище
зазначених КЗЗ, можна зробити такі висновки:
- «ЛОЗА-2» у порівнянні з «Гриф-Мережа» забезпечує додатково такі послуги, як
«детальна реєстрація» (НР-4), «стійкість при обмежених відмовах» (ДС-1) і «модернізація»
(ДЗ-1), однак не забезпечує послуг «обмежений відкат» (ЦО-1) і «використання ресурсів»
(ДР-1);
- «ЛОЗА-2» для конфігурації «Стандартна безпека» у порівнянні з «Підвищеною
безпекою» та «Гриф-Мережа» забезпечує додатково послуги довірчої конфіденційності (КД2) та цілісності (ЦД-1).
3.3. Системи захисту Web-ресурсів
1
Система захисту інформації
2
Виробник
Експертний висновок
дійсний до
4 Рівень гарантій
Послуги конфіденційності
1 базова адміністративна конфіденційність
2 повторне використання об’єктів
3 базова конфіденційність при обміні
3
«Портал
Менеджер 1.0»
«ТайфунWeb»
версія 1.хх
ТОВ «Софтлайн ТОВ «ІКТ»,
ІТ», м. Київ
м.Київ
№ 327
№ 336
02.12.2014
29.12.2014
Г2
Г4
КА-2
КО-1
-
КА-2
КО-1
КВ-2
Послуги цілісності
1 мінімальна адміністративна цілісність
2 обмежений відкат
3 базова цілісність при обміні
Послуги доступності
1 стійкість при обмежених відмовах
2 модернізація
3 ручне відновлення
Послуги спостережності
1 захищений журнал / зовнішній аналіз
2 одиночна / зовнішня ідентифікація і
автентифікація
3 однонаправлений достовірний канал
4 розподіл обов'язків / виділення адміністратора
5 КЗЗ з контролем цілісності
6 самотестування при старті
7 автентифікація вузла / джерела даних
ЦА-1
ЦО-1
-
ЦА-1
ЦВ-2
ДВ-1
ДС-1
ДЗ-1
ДВ-1
НР-2
НИ-2
НР-1
НИ-1
НК-1
НО-2
НЦ-1
НТ-2
НВ-1
НО-1
НЦ-1
НТ-2
НВ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище
зазначених КЗЗ, можна зробити такі висновки:
- «Тайфун-Web» у порівнянні з «Портал-Менеджер» має вищий рівень гарантій та
забезпечує додатково такі послуги, як «базова конфіденційність при обміні» (КВ-2), «базова
цілісність при обміні» (ЦВ-2), «стійкість при обмежених відмовах» (ДС-1) і «модернізація»
(ДЗ-1);
- «Портал-Менеджер» у порівнянні з «Тайфун-Web» забезпечує додатково такі послуги,
як «одиночна ідентифікація і автентифікація» (НИ-2), «захищений журнал» (НР-2), «розподіл
обов’язків адміністраторів» (НО-2), «однонаправлений достовірний канал» (НК-1) і
«обмежений відкат» (ЦО-1).
Кінцевий результат вибору ОС, АВПЗ і КЗЗ залежить від необхідності та достатності
послуг безпеки, які повинні забезпечити обраний ФПЗ ІТС.
Контрольні питання:
1. Які операційні системи мають позитивний експертний висновок?
2. Які антивірусні програми мають позитивний експертний висновок?
3. Які КЗЗ від НСД в АС класу 1 мають позитивний експертний висновок?
4. Які КЗЗ від НСД в АС класу 2 мають позитивний експертний висновок?
5. Які КЗЗ від НСД Web-ресурсів мали позитивний експертний висновок?
6. Як повинні здійснювати оновлення АВПЗ державні органи?
7. Де розміщуються антивірусні оновлення, що мають позитивний експертний
висновок?
8. Який нормативний документ визначає оновлення АВПЗ, що мають позитивний
експертний висновок?
9. Яким чином можна використовувати засоби захисту, що не входять до Переліку
дозволених засобів?
Змістовий модуль 3. Проектування КСЗІ в ІКС
Тема 17. Опис функцій і можливостей КЗЗ від НСД
План:
1 Системи захисту в АС класу «1»
1.1 Комплекс "Рубіж-РСО"
1.2 Система ЛОЗА-1
1.3 Комплекс "ГРИФ" версії 3
2 Системи захисту в АС класу «2»
2.1 Система ЛОЗА-2
2.2 Комплекс "Гриф-Мережа"
3 Системи захисту Web-ресурсів від НСД
3.1 Система "Megapolis. Portal Manager"
3.2 Комплекс "Тайфун-Web"
1 Системи захисту в АС класу «1»
1.1 Комплекс «Рубіж-РСО»
Комплекс «Рубіж-РСО» призначений для забезпечення захищеної інформаційної
технології в частині збирання, оброблення, зберігання і представлення інформації з
обмеженим доступом в АС класу 1.
ФПЗ комплексу:
КА-2, КО-1, ЦА-1, ДВ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-1, НТ-2
Рівень гарантій – Г-3.
Розробник: ПАТ «КП ОТІ», м. Київ
Експертний висновок № 422 дійсний до 01.03.2016
Комплекс може використовуватися у якості програмно-технічного ядра КСЗІ в АС
класу 1 для обробки конфіденційної інформації, а також інформації, що становить державну
таємницю, при виконанні відповідних організаційних заходів та забезпечення захисту від
витоку інформації технічними каналами.
Використання передбачається: на робочих станціях «Intel» архітектури в середовищі
операційної системи Windows 2000 / XP.
Комплекс забезпечує вирішення таких функцій захисту:
можливість доступу до інформації тільки за умови достовірного розпізнавання
користувача з урахуванням наданих йому повноважень;
виключення неконтрольованого та несанкціонованого ознайомлення, копіювання та
відновлення інформації;
виключення неконтрольованої та несанкціонованої модифікації та видалення
інформації;
ведення обліку дій користувачів та реєстрацію спроб порушення встановленого
порядку доступу до інформації, блокування доступу до інформації у разі виявлення таких
спроб, а також можливість здійснення контролю за доступом до інформації з боку
адміністратора безпеки (відповідальної особи);
контроль роботи комплексу ТЗІ від витоку фізичними каналами, при включенні до
складу КЗЗ приладу контролю активності «РІАС-4КА»;
контроль цілісності комплексу ТЗІ.
Комплекс складається із:
- комплексу технічних засобів обробки інформації з обмеженим доступом;
- засобів захисту інформації від витоку фізичними каналами, які підключаються до
певних входів приладу;
- «РІАС-4КА» - пристрою автоматизованого контролю працездатності засобів
просторового та лінійного захисту інформації з видаванням сигналів на КЗЗ.
Опис функціонування:
Посилена автентифікація – при спробі користувача авторизуватись в операційній
системі відбувається перевірка КЗЗ від НСД. Якщо виявлені порушення, то користувач, що
не є Адміністратором безпеки не зможе здійснити вхід до системи.
Моніторинг – вмикається тоді, коли адміністратор безпеки переведе КЗЗ в режим
роботи Нормальний, і, вимикається, коли КЗЗ переводиться в режим роботи Службовий.
Інформування – у випадку виявлення порушень функціонування Комплексу буде
надано користувачеві інформативне повідомлення з певним часом аварійного завершення
сеансу на виявлення та можливого вирішення ситуації зі сторони користувача, якщо це
можливо, та здійснений запис в базу даних КЗЗ. Якщо час аварійного завершення сеансу
вийшов і Комплекс не був відновлений, система примусово завершить сеанс користувача і
переведеться в режим Службовий.
Обробка ІзОД передбачає виконання наступної послідовності дій:
- отримати носій у відповідального за зберігання носіїв працівника;
- пройти процес автентифікації при вході в операційну систему (при першому вході в
обов’язковому порядку змінити пароль користувача);
- створити або скопіювати з носія до власної робочої папки необхідні для роботи
документи;
- виконати планові операції з документами (створення, перегляд, редагування, друк та
збереження);
- скопіювати необхідні документи на носій;
- всі документи робочих папок та тимчасово створені файли повинні бути
видалені з пам’яті машини;
- завершити сеанс роботи;
- здати носій на зберігання працівнику РСО.
1.2 Система ЛОЗА-1
Система ЛОЗА-1 - це програмний засіб захисту інформації від НСД в АС класу «1»,
який працює під керуванням операційних систем Windows XP/Vista/7.
ЛОЗА-1 реалізує всі стандартні функції, необхідні для надійного захисту інформації від
НСД і для побудови КСЗІ.
ЛОЗА-1 постачається у двох конфігураціях:
- «Підвищена безпека» - для захисту інформації, що становить державну таємницю;
- «Стандартна безпека» - для захисту службової та конфіденційної інформації (в тому
числі персональних даних).
ФПЗ системи у конфігурації «Підвищена безпека»:
КА-3, КО-1, ЦА-1, ДВ-1, ДЗ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-2, НТ-2.
ФПЗ системи у конфігурації «Стандартна безпека»:
КД-2, КА-2, КО-1, ЦД-1, ЦА-1, ДВ-1, ДЗ-1, НР-2, НИ-2/3, НК-1, НО-2, НЦ-2, НТ-2.
У конфігурації «Стандартна безпека» рівень надання послуги безпеки
«Ідентифікація та автентифікація» залежить від значення параметра конфігурації
«Перевіряти ключовий диск під час входу до Windows». Якщо для нього встановлене
значення «Так», зазначена послуги надається на рівні НИ-3 «Множинна ідентифікація та
автентифікація». У протилежному випадку послуга надається на рівні НИ-2 «Одиночна
ідентифікація та автентифікація».
У конфігурації «Підвищена безпека» послуга безпеки НИ-3 забезпечується
автоматично.
Рівень гарантій: Г-4.
Експертний висновок № 378 дійсний до 12.10.2015.
Розробник: ТОВ НДІ «Автопром», м. Київ
ЛОЗА-1 забезпечує:
1. Захист від несанкціонованого доступу до інформації:
- забезпечує надійний захист документів Microsoft Word та Microsoft Excel за рахунок
тісної інтеграції з Microsoft Office (відключаються небезпечні команди, макроси, шаблони
тощо); підтримуються версії Microsoft Office XP/2003/2007/2010;
- дозволяє захистити будь-які дані на знімних та стаціонарних носіях; захист
здійснюється на рівні папок Windows та знімних дисків.
- дозволяє контролювати роботу із знімними дисками: дискетами, компакт-дисками та
«флешками», для «флешек» дозволи на доступ до диска можуть встановлюватись для
окремих носіїв (вони ідентифікуються за «залізним» серійним номером);
- дозволяє встановлювати дозволи або заборони на запуск процесів.
2. Контроль друку та експорту:
- забезпечує можливість встановлення дозволу/заборони друку та експорту на рівні
окремих документів;
- для підсилення контролю дозволяє забезпечити присутність адміністратора або іншої
уповноваженої особи під час друку та експорту (за рахунок необхідності введення пароля).
3. Контроль входу користувачів до системи:
- у конфігурації «Підвищена безпека» вхід здійснюється тільки після введення пароля
та встановлення ключового диска (може використовуватись звичайна дискета, «флешка» або
CD/DVD-диск); діє жорстка політика паролів та політика блокування користувачів, яка
протидіє підбору паролів;
- у конфігурації «Стандартна безпека» для входу достатньо ввести пароль; політика
паролів менш жорстка, ніж в конфігурації «Підвищена безпека».
4. Реєстрацію подій:
- веде захищений журнал, в якому реєструються всі події, важливі для захисту
інформації;
- аналіз журналу та протоколів роботи не потребує спеціальної кваліфікації;
- журнал подій ніколи не перезаписується: після досягнення граничного розміру
журналу всі події зберігаються у файлі на жорсткому диску;
- забезпечує докладну реєстрацію подій друку та експорту; поряд із стандартною
інформацією у журналі фіксуються гриф та обліковий номер документа, а також серійний
номер носія, на якому зберігається документ, та носія, на який здійснюється експорт;
адміністратор має можливість формування протоколу друку документів.
Ціна одного комплекту – 2880 грн.
1.3 Комплекс «ГРИФ» версії 3
Комплекс «ГРИФ» версії 3 призначений для забезпечення захисту інформації з
обмеженим доступом від НСД (включаючи інформацію складову державну таємницю,
службову інформацію, конфіденційну інформацію (персональні дані)) при її обробці в АС
класу «1» і «2», наступних операційних систем (ОС) корпорації Microsoft, що функціонують
під управлінням : Windows XP / Vista / 7 / Server 2008 / Server 2008 R2.
ФПЗ комплексу :
КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-3, НО-2
Рівень гарантій - Г-4.
Розробник: ТОВ «Інститут комп'ютерних технологій», м. Київ
Експертний висновок № 450 дійсний до 12.07.2016.
Комплекс дозволяє забезпечити реалізацію політики адміністративного управління
доступом до інформації, що захищається, тобто такого розмежування доступу, при якому
призначати права доступу користувачів до захищених інформаційних ресурсів можуть тільки
спеціально уповноважені користувачі (адміністратори).
Комплекс повністю замінює штатні засоби адміністрування ОС власними засобами, що
підтримують реалізацію адміністративного розмежування доступу до захищених ресурсів.
Комплекс забезпечує захист інформації, представленої у вигляді файлів даних
довільного типу (електронних документів, електронних таблиць, конструкторських креслень,
цих геоінформаційних систем і т. п).
ГРИФ реалізує такі основні функції захисту :
ідентифікацію і аутентифікацію користувачів на підставі імені (псевдоніма), пароля і
носія даних аутентифікації (змінного файлового носія або облаштування Touch Memory);
розмежування обов'язків користувачів і виділення декількох ролей адміністраторів,
які можуть виконувати різні функції по адмініструванню (реєстрацію ресурсів, що
захищаються, реєстрацію користувачів, призначення прав доступу, обробку протоколів
аудиту і тому подібне).
розмежування доступу користувачів до вибраних каталогів (текам) і файлів, що
містяться в них, що дозволяє організувати спільну роботу декількох користувачів, що мають
різні службові обов'язки і права по доступу до ІзОД;
управління потоками інформації і блокування потоків інформації, що призводять до
зниження рівня її конфіденційності;
контроль за виведенням інформації на друк з можливістю маркування друкарських
листів документів згідно вимог чинних нормативних документів в області охорони
державної таємниці;
контроль за експортом інформації на змінні носії із забезпеченням можливості
реєстрації використовуваних змінних носителей і обмеження (для певних користувачів)
переліку використовуваних змінних носіїв тільки зареєстрованими;
контроль за імпортом інформації зі змінних носіїв;
гарантоване видалення ІзОД шляхом затирання вмісту файлів при їх видаленні;
розмежування доступу застосовних програм до вибраних каталогів і файлів, що
містяться в них, що дозволяє забезпечити захист ІзОД від випадкового видалення або
модифікації і дотриматися технології її обробки;
контроль цілісності прикладного програмного забезпечення (ПЗ) і ПЗ комплексу, а
також блокування завантаження програм, цілісність яких порушена, що дозволяє
забезпечити захист від вірусів і дотримання технології обробки ІзОД;
контроль за використанням дискового простору користувачами (квоти), що
унеможливлює блокування одним з користувачів можливості роботи інших;
можливість блокування облаштувань інтерфейсу користувача (клавіатури, миші,
монітора) на час його відсутності;
контроль цілісності і самотестування комплексу при старті;
відновлення функціонування комплексу після збоїв, що гарантує доступність
інформації при дотриманні правил доступу до неї;
реєстрацію, аналіз і обробку інформації про критичні для безпеки події (входу
користувача в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІзОД,
імпорту/експорту інформації, виводу на друк і тому подібне), що дозволяє адміністраторам
контролювати доступ до ІзОД, стежити за тим, як використовується комплекс, а також
правильно його конфігурувати;
ведення архіву зареєстрованих даних аудиту;
взаємодія з прикладними програмними системами (ППС) через визначений інтерфейс,
що дозволяє забезпечити безперервність захисту ІзОД при її обробці як штатними засобами
ОС, так і засобами різних ППС.
Порівняння послуг безпеки ФПЗ механізмів захисту ОС і КЗЗ
№ Комплекс засобів захисту
рівень гарантій
мінім./ базова адміністративна конфіденційність
базова довірча конфіденційність
повторне використання об’єктів
мінімальна адміністративна цілісність
обмежений відкат
ручне відновлення
захищений журнал
один. / множинна ідентифікація і автентифікація
однонаправлений достовірний канал
розподіл обов'язків на підставі привілеїв /
розподіл обов'язків адміністратора
12 КЗЗ з гарантованою цілісністю / контролем
цілісності
13 самотестування при старті
1
2
3
4
5
6
7
8
9
10
11
ФПЗ
АС-1
ЛОЗА-1
версія 4
«СБ»
Г2
КА-1
КД-2
КО-1
ЦА-1
ЦО-1
ДВ-1
НР-2
НИ-2
НК-1
НО-1
Windows
8
Professional
Г2
КД-2
КО-1
ЦО-1
ДВ-2
НР-2
НИ-2
НК-1
НО-3
Г4
КА-2
КД-2
КО-1
ЦА-1
ДВ-1
НР-4
НИ-2
НК-1
НО-2
РубіжРСО
версія
2
Г3
КА-2
КО-1
ЦА-1
ЦО-1
ДВ-1
НР-2
НИ-3
НК-1
НО-2
НЦ-1
НЦ-2
НЦ-2
НЦ-1
НТ-1
НТ-2
НТ-2
НТ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту ОС і вище
зазначених КЗЗ, можна зробити висновок, що з урахуванням послуг безпеки ОС обидва КЗЗ
забезпечують визначений ФПЗ АС-1 (в першу чергу, КА-2 і ЦА-1). У такому випадку вибір
КЗЗ залежить від його вартості та якості сервісного обслуговування.
2 Системи захисту в АС класу «2»
2.1 Система ЛОЗА-2
Система ЛОЗА-2 - це програмний засіб захисту інформації від несанкціонованого
доступу в автоматизованих системах класу «2» (ЛОМ). Система ЛОЗА-2 може працювати
під керуванням операційних систем Windows XP / Vista / 7 / 2003 Server / 2008 Server / 2008
Server R2 (32- та 64-розрядних версіях).
Система ЛОЗА-2 реалізує всі стандартні функції, необхідні для надійного захисту
інформації від несанкціонованого доступу і для побудови комплексної системи захисту
інформації.
ЛОЗА-2 постачається у двох конфігураціях:
- «Підвищена безпека» - для захисту інформації, що становить державну таємницю;
- «Стандартна безпека» - для захисту службової та конфіденційної інформації (в тому
числі персональних даних).
ФПЗ для конфігурації «Стандартна безпека»:
КД-2, КА-2, КО-1, ЦД-1, ЦА-1, ДС-1, ДЗ-1, ДВ-1, НР-4, НИ-2/3, НК-1, НО-2, НЦ-2, НТ-2
ФПЗ для конфігурації «Підвищена безпека»:
КА-3, КО-1, ЦА-1, ДС-1, ДЗ-1, ДВ-1, НР-4, НИ-3, НК-1, НО-2, НЦ-2, НТ-2
Рівень гарантій: Г-4.
Розробник: ТОВ НДІ «Автопром», м. Київ
Експертний висновок № 383 дійсний до 16.10.2015
ЛОЗА-2 забезпечує:
1. Захист від несанкціонованого доступу до інформації:
- дозволяє захистити будь-які дані на знімних та стаціонарних носіях; захист
здійснюється на рівні папок Windows та знімних дисків;
- забезпечує надійний захист документів Microsoft Word та Microsoft Excel за рахунок
тісної інтеграції з Microsoft Office (відключаються небезпечні команди, макроси, шаблони
тощо); підтримуються версії Microsoft Office XP / 2003 / 2007 / 2010;
- дозволяє контролювати роботу із знімними дисками: дискетами, компакт-дисками та
«флешками»; для «флешек» дозволи на доступ до диска можуть встановлюватись для
окремих носіїв (вони ідентифікуються за «залізним» серійним номером);
- дозволяє встановлювати дозволи або заборони на запуск процесів.
2. Контроль друку та експорту:
- забезпечує можливість встановлення дозволу/заборони друку та експорту на рівні
окремих документів;
- для підсилення контролю дозволяє забезпечити присутність адміністратора або іншої
уповноваженої особи під час друку та експорту (за рахунок необхідності введення пароля).
3. Контроль входу користувачів до системи:
- у конфігурації «Підвищена безпека» вхід здійснюється тільки після введення пароля
та встановлення ключового диска (може використовуватись звичайна дискета, «флешка» або
CD/DVD-диск); діє жорстка політика паролів та політика блокування користувачів, яка
протидіє підбору паролів;
- у конфігурації «Стандартна безпека» для входу достатньо ввести пароль; політика
паролів менш жорстка, ніж в конфігурації «Підвищена безпека».
4. Реєстрацію подій:
- веде захищений журнал, в якому реєструються всі події, важливі для захисту
інформації;
- аналіз журналу та протоколів роботи не потребує спеціальної кваліфікації;
- журнал подій ніколи не перезаписується: після досягнення граничного розміру
журналу всі події зберігаються у файлі на жорсткому диску;
- забезпечує докладну реєстрацію подій друку та експорту; поряд із стандартною
інформацією у журналі фіксуються гриф та обліковий номер документа, а також серійний
номер носія, на якому зберігається документ, та носія, на який здійснюється експорт;
адміністратор має можливість формування протоколу друку документів.
2.2 Комплекс «Гриф-Мережа»
Комплекс «Гриф-Мережа» призначений для забезпечення захисту інформації з
обмеженим доступом, що обробляється в ЛОМ і РОМ. До складу мережі можуть входити
файлові сервери, що функціонують під управлінням ОС Windows 2003 Server / 2008 Server /
2008 Server R2, і робочі станції, що функціонують під управлінням ОС Windows XP / Vista /
7 (в т.ч. 64-розрядних), об'єднані в єдиний домен Active Directory.
Рівень гарантій Г-4.
Розробник: ТОВ «Інститут комп'ютерних технологій», м. Київ
Експертний висновок № 402 дійсний до 19.12.2015
Комплекс дозволяє створити на базі ЛОМ спеціалізовану АС класу 2 для обробки ІзОД
і забезпечити захист оброблюваної ІзОД від загроз порушення цілісності, конфіденційності і
доступності при реалізації політики адміністративного управління доступом до інформації.
Комплекс поставляється в двох конфігураціях: у базовій і в конфігурації для умов з
підвищеними вимогами до забезпечення спостережності. Відмінність між вказаними
конфігураціями комплексу полягає в тому, що в конфігурації для умов з підвищеними
вимогами до забезпечення спостережності реалізована можливість збору і аналізу в
реальному часі інформації про критичні з точки зору захищеності інформації події,
зареєстровані на серверах, робочих станціях і активних мережевих пристроях, що
функціонують у складі захищеної ЛОМ.
ФПЗ у базовій конфігурації:
КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-3, НО-2
У базовій конфігурації в реальному часі виконується тільки збереження інформації про
критичні з точки зору захищеності інформації події, зареєстровані на серверах і робочих
станціях, що функціонують у складі захищеної ЛОМ, її аналіз виконується у відкладеному
режимі.
Комплекс у базовій конфігурації доцільно застосовувати для захисту інформації в
ЛОМ, кількість робочих станцій в яких відносно невелика (до 30) і при цьому усі робочі
станції розташовуються в одному або декількох суміжних приміщеннях.
ФПЗ у конфігурації для умов з підвищеними вимогами до забезпечення
спостережності:
КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НК-1, НЦ-2, НТ-2, НИ-3, НО-2
Комплекс доцільно застосовувати для захисту інформації в ЛОМ, кількість робочих
станцій в яких досить велика (більше 30) або в яких робочі станції розташовуються у великій
кількості територіально видалених приміщень (наприклад, по декілька робочих станцій в
приміщеннях на різних поверхах багатоповерхової будівлі).
Комплекс «Гриф-Мережа» реалізує наступні функції:
ідентифікацію і аутентифікацію користувачів на підставі імені, пароля і
персонального носія даних аутентифікації (Touch Memory, Flash Drive тощо) при
завантаженні ОС робочої станції до завантаження яких-небудь програмних засобів з дисків,
що дозволяє заблокувати використання робочої станції сторонньою особою, а також пізнати
конкретного легального користувача і надалі реагувати на запити цього користувача
відповідно до його повноважень;
блокування облаштувань інтерфейсу користувача (клавіатури, миші, монітора) на час
його відсутності;
контроль цілісності і самотестирование КСЗ при старті і за запитом адміністратора,
що дозволяє забезпечити стійке функціонування КСЗ і не допустити обробку ІзОД у разі
порушення його працездатності;
розмежування обов'язків користувачів і виділення декількох ролей адміністраторів,
які можуть виконувати різні функції по адмініструванню (реєстрацію ресурсів, що
захищаються, реєстрацію користувачів, призначення прав доступу, обробку протоколів
аудиту і тому подібне).
розмежування доступу користувачів до вибраних каталогів (текам), розміщених на
робочих станціях і файлових серверах ЛОМ, і файлів, що знаходяться в них, що дозволяє
організувати одночасну спільну роботу декількох користувачів ЛОМ, що мають різні
службові обов'язки і права по доступу до ІзОД;
управління потоками інформації і блокування потоків інформації, що призводять до
зниження її рівня конфіденційності;
контроль за виведенням інформації на друк з можливістю маркіровки друкарських
листів документів, що виводяться, згідно вимог чинних нормативних документів в області
охорони державної таємниці;
контроль за експортом інформації на змінні носії з можливістю обмеження переліку
використовуваних змінних носіїв;
контроль за імпортом інформації зі змінних носіїв;
гарантоване видалення інформації шляхом затирання вмісту файлів, ІзОД, що містять,
при їх видаленні;
розмежування доступу застосовних програм до вибраних каталогів і файлів, що
знаходяться в них, що дозволяє забезпечити захист ІзОД від випадкового видалення,
модифікації і дотриматися технології її обробки;
контроль цілісності прикладного і системного ПЗ і ПЗ КСЗ, а також блокування
завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів
і дотримання технології обробки ІзОД;
контроль за використанням користувачами дискового простору файлових серверів
(квоти), що унеможливлює блокування одним з користувачів можливості роботи інших;
відновлення функціонування КСЗ після збоїв, що гарантує доступність інформації із
забезпеченням дотримання правил доступу до неї;
безперервну реєстрацію, аналіз і обробку подій (входу користувачів в ОС, спроб
несанкціонованого доступу, фактів запуску програм, роботи з ІзОД, виводу на друк і тому
подібне) в спеціальних протоколах аудиту, що дозволяє адміністраторам контролювати
доступ до ІзОД, стежити за тим, як використовується КСЗ, а також правильно його
конфігурувати;
негайне сповіщення адміністратора безпеки про усі виявлені порушення встановлених
правил розмежування доступу (у конфігурації для умов з підвищеними вимогами до
забезпечення наблюдаемости);
ведення архіву зареєстрованих даних аудиту.
Порівняння послуг безпеки ФПЗ механізмів захисту ОС і КЗЗ
№ Комплекс засобів захисту
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
рівень гарантій
мінім./ базова адміністративна конфіденційність
базова довірча конфіденційність
повторне використання об’єктів
мінімальна адміністративна цілісність
мінімальна довірча цілісність
обмежений відкат
використання ресурсів - квота
стійкість при обмежених відмовах
модернізація
ручне відновлення
захищений журнал
один. / множинна ідентифікація і автентифікація
однонаправлений достовірний канал
розподіл обов'язків на підставі привілеїв /
розподіл обов'язків адміністратора
КЗЗ з гарантованою цілісністю / контролем
цілісності
самотестування при старті
ФПЗ
АС-2
ЛОЗА-2 Грифверсія 3 Мережа
версія 3
Г2
КА-2
КД-2
КО-1
ЦА-2
ЦД-1
ЦО-1
ДР-1
ДС-1
ДЗ-1
ДВ-1
НР-2
НИ-2
НК-1
НО-2
Windows
Server
2012 R2
Datacenter
Г2
КД-2
КО-1
ЦД-1
ЦО-1
ДР-1
ДС-1
ДЗ-2
ДВ-2
НР-2
НИ-2
НК-1
НО-3
Г4
КА-2
КД-2
КО-1
ЦА-1
ЦД-1
ДС-1
ДЗ-1
ДВ-1
НР-4
НИ-2
НК-1
НО-2
Г4
КА-2
КО-1
ЦА-2
ЦО-1
ДР-1
ДС-1
ДЗ-1
ДВ-1
НР-2
НИ-3
НК-1
НО-2
НЦ-2
НЦ-2
НЦ-2
НЦ-2
НТ-2
НТ-2
НТ-2
НТ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту ОС і вище
зазначених КЗЗ, можна зробити висновок, що з урахуванням послуг безпеки ОС «ГрифМережа» забезпечує визначений ФПЗ АС-2 у повному обсязі (в першу чергу, КА-2 і ЦА-2).
КЗЗ «ЛОЗА-2» у даному випадку не забезпечує послугу ЦА-2.
3 Системи захисту Web-ресурсів від НСД
3.1 Система «Megapolis. Portal Manager»
Система «Megapolis. Portal Manager» забезпечує керування адміністративною
частиною, зовнішнім виглядом та наповненням будь-якого Інтернет-ресурсу. Однією з його
головних переваг є простота і гнучкість використання..
ФПЗ: КА-2, ЦА-1, ЦО-1, ДВ-1, НР-2, НИ-1, НИ-2, НК-1, НО-2, НЦ-1, НТ-2, НВ-1
Рівень гарантій: Г-2.
Розробник: ТОВ «Софтлайн ІТ», м. Київ
Експертний висновок № 327 дійсний до 02.12.2014.
«Портал Менеджер» на Інтернет-порталі забезпечує розподіл прав доступу користувачів
до визначених ресурсів, надає ці права, в залежності від «ролей» користувачів (відвідувач
порталу, адміністратор або контент-менеджер), стежить за дотримання цих прав доступу
відповідно до встановлених правил.
«Портал Менеджер» реалізує технологію MDI Framework, який потрібен для того, щоб у
зручному форматі відображати інформацію, яку сервіси отримують із будь-яких джерел за
допомогою технологічних інтерфейсів.
Основні характеристики системи:
 реалізація
в
архітектурі
клієнт-сервер,
що
забезпечує
роботу
в
«багатокористувацькому» режимі;
 простота та зручність налаштувань за рахунок використання стандартного інтерфейсу
користувача файлових менеджерів (папки, дерева тощо);
 можливість роботи з сучасними промисловими СКБД;
 забезпечення роботи віддаленого адміністрування порталів;
 розподіл прав доступу користувачів до елементів порталу;
 модульність побудови системи, що дозволяє більш гнучко настроювати керування
кожним конкретним порталом
Система має такі властивості:
 керування сервісами порталу за допомогою модулів, які входять до складу кожного
сервісу;
 інформація про складові кожного сервісу (елементи), що зберігається у відповідних
записах;
 однотипні записи складають окремий реєстр;
 всі реєстри складають базу даних усіх записів (елементів);
 керування контентом порталу здійснюється за допомогою модулів, в яких
створюються записи в реєстрах;
 реєстри можуть бути в довільний спосіб пов’язані між собою;
 над записами будь-якого реєстру можна виконувати наступні операції:
створення нових записів;
редагування існуючих записів;
видалення записів;
пошук з можливістю урахування морфології;
фільтрація записів реєстрів за різноманітними критеріями;
групування записів;
 інтеграція з програмними пакетами Microsoft Office для підготовки матеріалів
публікацій;
 автоматична публікація вже готових матеріалів;
 можливість одночасної роботи з декількома реєстрами або модулями кожного сервісу.
3.2 Комплекс «Тайфун-Web»
Комплекс
«Тайфун-Web»
призначений для криптографічного
захисту та
розмежування доступу до інформації, оброблюваної в ІТС, побудованих на базі Webтехнологій.
ФПЗ: КА-2, КВ-2, ЦА-1, ЦВ-2, ДС-1, ДЗ-1, ДВ-1, НР-1, НИ-1, НО-1, НЦ-1, НТ-2, НВ-2
Уровень гарантий: Г-4.
Розробник: ТОВ «Інститут комп’ютерних технологій», м. Київ
Експертний висновок № 336 дійсний до 29.12.2014.
При використанні комплексу забезпечується:
- взаємна автентифікація (підтвердження справжності) клієнта та сервера за
протоколом, побудованим із використанням несиметричних криптографічних алгоритмів;
- захист конфіденційності та цілісності інформації, що передається між клієнтом
та сервером, з використанням алгоритмів симетричного зашифрування/ розшифрування
інформації та вироблення/перевіряння кодів автентифікації повідомлень;
- розмежування доступу користувачів до інформаційних ресурсів, представлених у
вигляді статичних або динамічних Web-сторінок, що зберігаються та оброблюються на
відповідних Web-серверах та потребують захисту (захищених Web-ресурсів).
Реалізована технологія інтеграції серверної та клієнтської компонентів комплексу до
стеку мережевих протоколів ОС, які реалізують функції Winsock, забезпечує незалежність
від використовуваних Web-браузерів та Web-серверів. Для забезпечення сумісності із
засобами MS Internet Information Server (IIS), в якому функції Winsock не використовуються,
реалізована можливість підключення серверної компоненти комплексу безпосередньо до MS
IIS через інтерфейс ISAPI.
Програмні засоби комплексу функціонують на IBM-сумісних комп'ютерах (робочих
станціях користувачів, Web-серверах, Proxy-серверах) в ОС Windows 2000 / XP / 2003 / Vista
/ 7 / Server 2008. При використанні засобів комплексу на Proxy-серверах, жодних обмежень
щодо ОС Web-серверів, на яких зберігаються та оброблюються захищені Web-ресурси, не
висувається.
Для керування ключовою інформацією (для вироблення выдкритого та особистого
ключів користувачів) у комплексі «Тайфун-Web» (у модулі адміністрування)
використовуються програмні засоби генерації ключів та обслуговування сертифікатів
користувачів комплексу «Тайфун-PKI».
Комплекс реалізує такі основні функції:
- ідентифікацію та автентифікацію користувачів комплексу на основі атрибутів,
отриманих від ОС, що дозволяє однозначно встановити певного користувача та у
подальшому коректно оброблювати його запити на доступ до захищеної інформації або до
засобів адміністрування;
- виділення, на підставі результатів виконаної автентифікації, користувачівадміністраторів, яким надані повноваження із керування засобами комплексу;
- сувору взаємну автентифікацію клієнтської та серверної компонентів комплексу та
їхніх користувачів з використанням відповідних протоколів, у яких використовується
механізм вироблення / перевірки ЕЦП за алгоритмом, установленим ДСТУ 4145, з
використанням відповідних атрибутів;
- керування доступом користувачів до захищених Web-ресурсів (окремих Web-сторінок
та їх сукупностей), представлених відповідними URL-адресами, на основі атрибутів доступу,
призначених спеціально вповноваженими адміністраторами;
- зашифрування/розшифрування інформації, що передається між Web-браузером (або
Web-застосуванням), який функціонує на робочій станції (РС) користувача, та захищеним
Web-сервером (Proxy-сервером), що забезпечує захист конфіденційності інформації на
всьому шляху її передачі по каналах мережі Internet;
- контроль цілісності інформації, що передається між Web-браузером (Webзастосуванням), яке функціонує на РС користувача, та захищеним Web-сервером (Proxyсервером), що забезпечує захист від її несанкціонованої модифікації на всьому шляху її
передачі по мережі Internet;
- контроль цілісності та самотестування програмних засобів комплексу при старті
та в процесі функціонування, що дозволяє забезпечити стійке функціонування засобів
захисту та не допустити обробки повідомлень у випадку порушення працездатності;
- протоколювання критичних з погляду захищеності оброблюваної інформації подій у
захищеному журналі ОС із забезпеченням можливості аналізу зареєстрованих даних аудита
вповноваженими адміністраторами;
- можливість використання для збереження особистих (секретних) ключів користувачів,
як незахищених (дискета, flash-drive, і т.д.), так і захищених носіїв (пристрій eToken Pro;
SecureToken тощо).
Порівняння послуг безпеки ФПЗ механізмів захисту ОС і КЗЗ
№ Комплекс засобів захисту
рівень гарантій
мінім./ базова адміністративна конфіденційність
базова довірча конфіденційність
мінімальна / базова конфіденційність при обміні
мінімальна адміністративна цілісність
обмежений відкат
мінімальна / базова цілісність при обміні
використання ресурсів - квота
ручне відновлення
захищений журнал
один. / множинна ідентифікація і автентифікація
однонаправлений достовірний канал
розподіл обов'язків на підставі привілеїв /
виділення адміністратора
14 КЗЗ з гарантованою цілісністю / контролем
цілісності
15 самотестування при старті
16 автентифікація вузла / джерела даних
1
2
3
4
5
6
7
8
9
10
11
12
13
ФПЗ
WEB
Портал ТайфунМенед- Web
жер 1.0 версія 1
Г2
КА-2
КД-2
КВ-1
ЦА-1
ЦО-1
ЦВ-1
ДР-1
ДВ-1
НР-2
НИ-2
НК-1
НО-1
Windows
Server
2012 R2
Datacenter
Г2
КД-2
КВ-1
ЦО-1
ЦВ-1
ДР-1
ДВ-2
НР-2
НИ-2
НК-1
НО-3
Г2
КА-2
ЦА-1
ДВ-1
НР-2
НИ-2
НК-1
НО-2
Г4
КА-2
КВ-2
ЦА-1
ЦО-1
ЦВ-2
ДВ-1
НР-1
НИ-1
НО-1
НЦ-1
НЦ-2
НЦ-1
НЦ-1
НТ-1
НВ-1
НТ-2
НВ-1
НТ-2
НВ-1
НТ-2
НВ-2
Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту ОС і вище
зазначених КЗЗ, можна зробити висновок, що з урахуванням послуг безпеки ОС і «Портал
Менеджер», і «Тайфун-Web» забезпечує визначений ФПЗ WEB-сайту (в першу чергу, КА-2 і
ЦА-1). У такому випадку вибір КЗЗ залежить від його ціни та якості сервісного
обслуговування.
При цьому треба зазначити, що КЗЗ «Тайфун-Web» забезпечує більш надійний захист
WEB-сайту, оскільки у порявнянні з КЗЗ «Портал Менеджер» виконує додатково такі
послуги безпеки, як «базова конфіденційність при обміні» (КВ-2), «обмежений відкат» (ЦО1) і «базова цілісність при обміні» (ЦВ-2).
Контрольні питання:
1. Які КЗЗ від НСД можна використати в АС класу 1?
2. Які КЗЗ від НСД можна використати в АС класу 2?
3. Які КЗЗ від НСД можна використати для захисту WEB-сайту?
4. Який КЗЗ від НСД може працювати спільно з комплексом ТЗІ?
5. Який КЗЗ від НСД працює тільки в середовищі Windows 2000/XP?
6. Які конфігурації має КЗЗ «ЛОЗА»?
7. Чим конфігурація «Підвищена безпека» КЗЗ «ЛОЗА» відрізняється від «Стандартної
безпеки»?
8. Яку послугу безпеки в КЗЗ «ЛОЗА» забезпечує ключовий диск?
9. Які конфігурації має КЗЗ «ГРИФ»?
10. Чим конфігурація для умов з підвищеними вимогами до забезпечення
спостережності КЗЗ «ГРИФ» відрізняється від базової конфігурації?
11. Яка головна відмінність КЗЗ «Тайфун-Web» від КЗЗ «Портал Менеджер»?
Download