Контрольные вопросы
1. Что такое информационная опасность?
2. Что такое информационная угроза?
3. Что такое информационная безопасность?
4. Что такое защита информации?
5. Что относится к объектам информационной безопасности?
6. Какие свойства информации надо защищать?
7. На какие 2 вида можно разделить целостность?
8. На какие подсистемы можно разбить систему обеспечения безопасности ИС?
9. Чем отличаются термины «менеджмент» и «управление»?
10. Что такое управление информационной безопасностью?
11. Что такое система управления информационной безопасностью?
12. На какие 3 группы можно разделить реальные угрозы ИБ?
13. Когда и кто создал первую в мире программу заражения компьютеров?
14. Когда появился и как назывался первый в мире стелс-вирус?
15. Когда появился и как назывался первый в мире сетевой червь?
16. С каким вирусом связано появление Международного дня защиты информации?
17. Кто и когда создал вирус «Чернобыль»?
18. Как называются выявленные в последние годы 2 шпионских вируса?
19. Как называется хакерская группа, наносящая киберудары по украинским инфоресурсам в 2014 году?
2. Оценочные стандарты информационной безопасности
2.1. Роль стандартов в сфере ИБ
В общем случае стандартом принято называть документ, в котором уста�навливаются требуемые характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт мо�жет задавать и другие требования - например, к символике или терминологии.
Цель:
1) обеспечение необходимого уровня качества продуктов, товаров и услуг;
2) обеспечения единых характеристик продуктов, товаров и услуг.
Причиной необходимости использования стандартов является то, что не�обходимость соблюдения некоторых из них закреплена законодательно. Реаль�ные причины гораздо глубже - обычно стандарт является обобщением опыта лучших специалистов в той или иной области, и потому представляет собой на�дёжный источник оптимальных и проверенных решений.
В зависимости от статуса стандарты делятся на:
1) международные – стандарты, принятые международной организацией по стандартизации;
2) региональные – стандарты, принятые региональной организацией по стандартизации;
3) национальные – стандарты, принятые национальным органом стандартизации;
4) ведомственные – стандарты, принятые органом стандартизации определенного ведомства.
В зависимости от специфики объекта стандартизации установлены следующие виды стандартов:
1) основополагающий стандарт – стандарт, имеющий широкую сферу распространения или содержащий общие положения для определенной области (организационно-методические, общетехнические и терминологические);
2) стандарт на методы (методики) испытания (измерения, анализа, контроля) – стандарт, устанавливающий методы испытания, например, использование статистических методов и порядок проведения испытаний;
3) стандарт на продукцию – стандарт, устанавливающий требования, которым должно удовлетворять изделие (группа изделий), чтобы обеспечить свою соответствие назначению;
4) стандарт на процесс – стандарт, устанавливающий требования, которым должен удовлетворять процесс, чтобы обеспечить свое соответствие назначению;
5) стандарт на услугу – стандарт, устанавливающий требования, которым должна удовлетворить услуга, чтобы обеспечить свое соответствие назначению;
6) стандарт на совместимость продукции, услуг или систем в их совместном использовании;
7) стандарт общих технических требований – содержит перечень характеристик, значения которых или другие данные устанавливаются для изделия, процесса или услуги в каждом случае отдельно.
Стандартизация в области ИБ необходима по трем основным причинам:
1) необходимость выработки единых требований по ИБ (единый набор требований);
2) необходимость выработки единых подходов к решению проблем ИБ;
3) необходимость выработки единых качественных показателей для оценки безопасности ИС и средств защиты.
Основными областями стандартизации ИБ являются:
- аудит ИБ;
- модели ИБ;
- методы и механизмы обеспечения ИБ;
- криптография;
- безопасность межсетевых взаимодействий;
- управление ИБ.
Потребители (заказчики) продуктов информационных технологий без стандартов не смогут сформулировать свои требования по ИБ производителям информационных систем (нужны какие-то критерии, показатели, единицы из�мерения ИБ и т.д.).
Производители продукции ИТ и средств защиты (программных, техниче�ских) нуждаются в стандартах для того, чтобы можно было бы объективно оце�нить свою продукцию с точки зрения обеспечения ИБ, то есть СЕРТИФИЦИРОВАТЬ ее. Им также необходим стандартный набор требований для того, чтобы ограничить фантазию заказчика и заставить выбирать конкрет�ные требования из этого набора.
Стандарты нужны экспертам по ИБ и специалистам по сертификации как инструмент для оценки уровня безопасности, обеспечиваемого конкретными механизмами и средствами защиты информации (техническими, программны�ми и т.д.) либо комплексами таких средств.
Международные организации по стандартизации, входящие в структуру ООН:
- ISO (International Organization for Standardization – Международная организация по стандартизации) - серии стандартов ISO;
- IEC (International Electrotechnical Commission – Международная электротехническая комиссия) - серии стандартов IEC;
- ITU-T (International Telecommunication Union - Telecommunications – Международный союз по телекоммуникации) - стандарты серии X (сети передачи данных, взаимосвязь открытых систем и безопасность).
В настоящее время существует довольно много стандартов, а также дру�гих нормативных и руководящих документов в области ИБ. Все их рассмотреть в рамках данного курса не представляется воз�можным. Поэтому мы будем рассматривать только базовые стандарты в об�ласти ИБ, которыми руководствуются при созда�нии, сертификации и эксплуатации СУИБ.
Эти стандарты можно разбить на две группы.
1 группа - оценочные стандарты. Они предназначены для оценки и клас�сификации ИС и средств защиты информации по требо�ваниям безопасности. Ими руководствуются для того, чтобы ответить на во�прос: Соответствует ли ваша ИС и ваши механизмы и средства защиты требованиям безопасности?
К ним относятся:
№
|
Наименование стандарта
|
Год
|
Страна
|
Обозн.
|
1
|
Критерии оценки доверенной компьютерной системы (Trusted Computer System Evaluation Criteria, TCSEC)
|
1985
|
США
|
Оранжевая книга
|
2
|
Критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC)
|
1991
|
Франция, Германия, Великобритания, Нидерланды
|
Белая книга
|
3
|
Федеральные критерии безопасности информационной технологии (Federal Criteria for Information Technology Security)
|
1993
|
США
|
|
4
|
Канадские критерии оценки доверенного компьютерного продукта (Canadian Trusted Computer Product Evaluation Criteria)
|
1993
|
Канада
|
|
5
|
Общие критерии безопасности информационной технологии (Common Criteria for Information Technology Security Evaluation, CCITSE)
|
1996
|
США, Канада, Франция, Великобритания, Нидерланды
|
Общие критерии
|
6
|
Критерии оценки безопасности информационной технологии (Evaluation Criteria for Information Technology Security)
|
1999
|
ISO/IEC
|
15408
|
«Оранжевая книга»
(TCSEC),1985
Великобритания. «Уровни уверенности»,1989
«Германские критерии»
«Французские критерии»
ITSEC,
1991
«Федеральные критерии».
Рабочая версия,
1993
«Общие критерии».
Версия 1.0, 1996.
Версия 2.0, 1998.
Версия 2.1, 1999.
«Канадские критерии»,
1993
Базовые документы
2 группа - так называемые спецификации. Они регламен�тируют различные вопросы реализации и использования методов и средств за�щиты информации. Ими руководствуются для того, чтобы ответить на вопрос: Как обеспечить информационную безопасность, какие подходы, какие ме�тоды и какие средства необходимо для этого использовать?
К ним относятся :
№
|
Наименование стандарта
|
Год
|
Страна
|
Обозн.
|
1
|
Архитектура безопасности для взаимодействия открытых систем (Security architecture for Open Systems Interconnection)
|
1991
|
ITU-Т
|
Х.800
|
2
|
Свод практических правил УИБ (Code of Practice for Information Security Management)
|
1995
|
Великобритания
|
BS 7799
|
3
|
Свод практических правил УИБ
|
2000
|
ISO/IEC
|
17799
|
4
|
СУИБ. Свод норм и правил УИБ
|
2005
|
ISO/IEC
|
27002
|
5
|
СУИБ. Требования
|
2005
|
ISO/IEC
|
27001
|
Далее мы рассмотрим более подробно вышеназванные стандарты.
2.2. «Оранжевая книга» (TCSEC)
История стандартизации ИБ началась в январе 1981 года созданием Центра компьютерной безопасности Министерства обороны США, перед которым была поставлена задача определения пригодности предлагаемых различными разработчиками компьютерных систем. Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности США (англ. National Computer Security Center, NCSC).
В 1983 году центром был разработан стандарт «Критерии оценки доверенных компьютерных систем» (англ. Trusted Computer System Evaluation Criteria, TCSEC), по цвету своей обложки более известный как «Оранжевая книга», который стал первым в истории общедоступным оценочным стандар�том ИБ.
Разработка и публикация TCSEC стали важнейшей вехой в становлении теории ИБ. Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений» или «администратор безопасности» впервые в открытой литературе появились именно в TCSEC.
TCSEC определяет доверенную систему как «систему, использующую достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Доверенность систем оценивается по двум основным критериям:
1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
2. Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.
Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.
При оценке степени гарантированности, с которой систему можно считать доверенной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Доверенность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).
Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.
От монитора обращений требуется выполнение трех свойств:
Изолированность. Монитор должен быть защищен от отслеживания своей работы;
Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;
Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными.
Согласно TCSEC политика безопасности должна включать в себя такие элементы:
- произвольное управление доступом;
- безопасность повторного использования объектов;
- метки безопасности;
- принудительное управление доступом.
Произвольное (или дискреционное) управление доступом - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и носителей в целом.
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации.
Согласно «Оранжевой книге» метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные.
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасностио бъекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности- в каждый момент времени знать, кто работает в системе и что делает.
Средства подотчетности делятся на 3 категории:
- идентификация и аутентификация;
- предоставление доверенного пути;
- анализ регистрационной информации.
Кроме того, TCSEC определяет 4 уровня доверенности (безопасности) - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется 6 классов безопасности - C1, C2, B1, B2, B3, A1.
Требуемый уровень безопасности ИС возрастает от группы D к группе А, а в пределах одной группы - с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения ИБ, реализованной в ИС.
1. Группа С - Discretionary Protection (избирательная защита) - объединяет ИС, обеспечивающие набор средств защиты, применяемых пользователем, включая средства общего контроля и учета субъектов и их действий.
Эта группа имеет два класса:
1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) - объединяет ИС с разделением пользователей и данных;
2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет ИС, обеспечивающие более тонкие средства защиты по сравнению с ИС класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность ИС и изоляцию данных.
2. Группа В - Mandatory Protection (полномочная защита) - имеет три класса:
1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет ИС, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее определенную модель безопасности, поддерживающие метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;
2) класс В2 - Structured Protection (структурированная защита) - объединяет ИС, в которых реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. ИС класса В2 считаются «относительно неуязвимыми» для несанкционированного доступа;
3) класс В3 - Security Domains (области безопасности) - объединяет ИС, имеющие специальные комплексы безопасности. В ИС этого класса должен быть механизм регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. ИС этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. ИС этого класса считаются устойчивыми к несанкционированному доступу.
3. Группа А - Verified Protection (проверяемая защита) - объединяет ИС, характерные тем, что для проверки реализованных в системе средств защиты обрабатываемой или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения ИС.
Выделен единственный класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой ИС этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения ИС. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.
Основное содержание требований по классам безопасности приведено в таблице.
Требования
|
К л а с с ы
|
С1
|
C2
|
B1
|
B2
|
B3
|
A1
|
1. Требования к политике безопасности
|
1.1. Произвольное управление доступом
|
+
|
+
|
=
|
=
|
+
|
=
|
1.2. Повторное использование объектов
|
–
|
+
|
=
|
=
|
=
|
=
|
1.3. Метки безопасности
|
–
|
–
|
+
|
+
|
=
|
=
|
1.4. Целостность меток безопасности
|
–
|
–
|
+
|
+
|
=
|
=
|
1.5. Принудительное управление доступом
|
–
|
–
|
+
|
+
|
=
|
=
|
2. Требования к подотчетности
|
2.1. Идентификация и аутентификация
|
+
|
+
|
+
|
=
|
=
|
=
|
2.2. Предоставление надежного пути
|
–
|
–
|
–
|
+
|
+
|
=
|
2.3. Аудит
|
–
|
+
|
+
|
+
|
+
|
=
|
3. Требования к гарантированности
|
3.1. Операционная гарантированность
|
|
|
|
|
|
|
3.1.1. Архитектура системы
|
+
|
+
|
+
|
+
|
+
|
=
|
3.1.2. Целостность системы
|
+
|
=
|
=
|
=
|
=
|
=
|
3.1.3. Анализ тайных каналов передачи информации
|
–
|
–
|
–
|
+
|
+
|
+
|
3.1.4. Надежное администрирование
|
–
|
–
|
–
|
+
|
+
|
=
|
3.1.5. Надежное восстановление
|
–
|
–
|
–
|
–
|
+
|
=
|
3.2. Технологическая гарантированность
|
|
|
|
|
|
|
3.2.1. Тестирование
|
+
|
+
|
+
|
+
|
+
|
+
|
3.2.2. Верификация спецификаций архитектуры
|
–
|
–
|
+
|
+
|
+
|
+
|
3.2.3. Конфигурационное управление
|
–
|
–
|
–
|
+
|
=
|
+
|
3.2.4. Надежное распространение
|
–
|
–
|
–
|
–
|
–
|
+
|
4.Требования к документации
|
4.1. Руководство пользователя по средствам безопасности
|
+
|
=
|
=
|
=
|
=
|
=
|
4.2. Руководство администратора по средствам безопасности
|
+
|
+
|
+
|
+
|
+
|
+
|
4.3. Тестовая документация
|
+
|
=
|
=
|
+
|
=
|
+
|
4.4. Описание архитектуры
|
+
|
=
|
+
|
+
|
+
|
+
|
Обозначения: «–» - нет требований к данному классу;
«+» - новые или дополнительные требования;
«=» - требования совпадают с требованиями предыдущего класса.
Очень важный методологический недостаток «Оранжевой книги» - явная ориентация на производителя и оценщика, а не на покупателя систем. Она не дает ответ на вопрос, как безопасным образом строить систему, как наращивать отдельные компоненты и конфигурацию в целом. «Критерии» рассчитаны на статичные, замкнутые системы, которые, вероятно, доминируют в военной среде, но крайне редки в среде коммерческой. Покупателям нужны более динамичные и структурированные критерии.
Тем не менее следует подчеркнуть, что публикация «Оранжевой книги» без всякого преувеличения стала эпохальным событием в области защиты коммерческих информационных систем. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем безопасности было бы затруднительным. Именно в этом видится главная ценность Критериев оценки надежных компьютерных систем Министерства обороны США.
В настоящее время «Оранжевая книга» не используется для оценки ин�формационных систем и представляет интерес исключительно с исторической точки зрения.
2.3. Общие критерии - ISO/IEC 15408
В 1990 году рабочая группа WG3 подкомитета SC27 объединенного технического комитета JTC1 Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC) приступила к разработке «Критериев оценки безопасности информационной технологии» (англ. Evaluation Criteria for IT Security, ECITS).
Несколько позже, в 1993 году, правительственные организации 6 стран - Канады, США, Великобритании, Германии, Нидерландов и Франции - занялись составлением так называемых «Общих критериев оценки безопасности информационных технологий» (англ. Common Criteria for IT Security Evaluation, СCITSЕ). За этим документом исторически закрепилось более короткое название – Общие критерии (ОК).
В 1996 году появилась первая версия ОК, которая была одобрена ISO/IEC. В результате совместных усилий всех заинтересованных сторон 1 декабря 1999 года был введен в действие стандарт ISO/IEC 15408-1999 «Критерии оценки безопасности информационной технологии».
В России стандарт был принят как национальный в 2002 году и введён в действие с 1 января 2004 года. В 2008 году стандарт был обновлен. Однако Украина, к сожалению, этот стандарт как национальный не приняла до сих пор.
Критерии предназначены служить основой при оценке характе�ристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасно�сти. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их примене�ния с заданным уровнем риска.
Стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки, которой посвящены различные части стандарта, предназначенного в целом для использования в качестве основы при оценке характеристик безопасности продуктов ИТ. Стандарт ISO/IEC 15408 состоит из трех частей.
|
