1 Информация о курсе и лекторе Название курса: «Защита информационных процессов в компьютерных системах (ЗИП КС)» Лектор: АРУСТАМОВ Сергей Аркадьевич,

Презентация:



Advertisements
Похожие презентации
Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.
Advertisements

1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
Основные принципы защиты информации в компьютерных системах. Антонова И.М. гр. И-411.
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
МЕТОДЫ ПРОГРАММНО- АППАРАТНОЙ ЗАЩИТЫ ИНФОРМАЦИИ. Программно-аппаратные средства защиты информации это сервисы безопасности, встроенные в сетевые операционные.
Угрозы информационной безопасности и каналы утечки информации Лекция 3.
ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ Защита от несанкционированного доступа к информации.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.
Лекция 15 - Методы разграничение доступа. Регистрация и аудит.
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
Информационная безопасность Лекция 3 Административный уровень.
З АЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Выполнила студентка ТУ-501 Полозова Юлия.
Лекция 1 Информационная безопасность: основные понятия и определения.
ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.
Транксрипт:

1 Информация о курсе и лекторе Название курса: «Защита информационных процессов в компьютерных системах (ЗИП КС)» Лектор: АРУСТАМОВ Сергей Аркадьевич, профессор кафедры ПБКС, д.т.н. зам. декана ФКТУ по науке и проектной деятельности ауд. 379 ауд. 379

2 Определение объекта информатизации и информации Объект информатизации: совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров; Информация: Философский подход: Свойство материальных объектов и процессов сохранять и порождать определенное состояние Кибернетический подход: Мера устранения неопределенности Подход ГОСТ Р (ОБЪЕКТ ИНФОРМАТИЗАЦИИ. ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ) : Сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления Подход курса ЗИП КС все, что может быть представлено в символах конечного алфавита (например, бинарного)

3 Состав автоматизированной системы (АС) -средства вычислительной техники (ВТ) (hardware); -программного обеспечения (ПО) (software); -каналов связи, терминального и сетевого оборудования (ИКТ: термин введен в связи с возрастанием роли компонента) (communication & network equipment) - информация на различных носителях (information media); -обслуживающий персонал и бизнес пользователи (maintenance staff and end users)

4 Информационная безопасность АС -система способна противостоять дестабилизирующему воздействию внешних и внутренних угроз; -функционирование и сам факт наличия системы не создают угроз для внешней среды и элементов самой системы;

5 Базовые свойства, определяющие безопасность информации - конфиденциальность (confidentiality), означающая возможность доступа к информации только легальным пользователям; -целостность (integrity), обеспечивающая во-первых, защиту информации, которая может быть изменена только законными и имеющими соответствующие полномочия пользователями, и, во-вторых, внутреннюю непротиворечивость информации и (если данное свойство применимо) отражение реального положения вещей (актуальность); -доступность (availability), гарантирующая беспрепятственный доступ к защищаемой информации для легальных пользователей в течении оговоренного времени; -аутентичность (authenticity), обеспечивающее истинность источника информации; -неотказуемость (non-repudiation), гарантирующая невозможность отказа от авторства или факта получения информации

6 Основные методы обеспечения ИБ Теоретические методы Методы обеспечения информационной безопасности Организационные методы Сервисы безопасности рабочих станций, сети и приложений Инженерно-технические методы Правовые методы Формирование процессов, связанных с обеспечением ИБ Обоснование корректности и адекватности систем обеспечения ИБ Идентификация и аутентификация Разграничение доступа Протоколирование и аудит Средства защиты периметра Криптографические средства защиты Управление ИБ на предприятии Разработка политик безопасности Работа с персоналом Защита информации от утечек по техническим каналам Ответственность Работа с гостайной Защита авторских прав Лицензирование и сертификация

7 Понятие угрозы АС (активу) Под угрозой (threat) понимают потенциально возможное событие, действие, процесс или явление, которое может нанести ущерб чьим-либо интересам. Угроза АС – это возможность реализации воздействия на информацию, обрабатываемою АС, приводящую в нарушению конфиденциальности, целостности или доступности, а также возможность воздействия на компоненты АС, приводящие к их утрате, уничтожению или сбою функционирования.

8 Классификация угроз По природе возникновения: -естественные и искусственные; По степени преднамеренности: -случайные и преднамеренные; По типу источника угрозы: -природная среда, человек, санкционированные и несанкционированные программно-аппаратные средства; По положению источника угрозы: в пределах и вне контролируемой зоны, непосредственно в АС; По степени воздействия на АС: пассивные и активные По способу доступа: использующие стандартный и нестандартный доступ

9 Случайные и преднамеренные угрозы Случайные: Аварийные ситуации из-за стихийных бедствий или отказов электропитания Отказы и сбои аппаратуры Ошибки в работе обслуживающего персонала Помехи в линиях из-за воздействия внешний среды Преднамеренные: Связанные с действиями нарушителя: Квалификация на уровне разработчика Постороннее лицо или законный (легальный пользователь) Нарушителю известен принцип работы системы Нарушитель информирован об слабых звеньях системы

10 Классификация угроз АС на основе градации доступа к информации-1 Уровень носителей информации (хищение, уничтожение, выведение из строя) Уровень средств взаимодействия с носителем ( получение информации о ПА среде, несанкционированный доступ, перехват данных, несанкционированное копирование ПО, перехват данных, передаваемых по каналом связи).

11 Классификация угроз АС на основе градации доступа к информации-2 Уровень представления информации (определение способа представления информации, визуальное наблюдение, внесение искажений в представление данных) Уровень содержания информации (определение содержания информации на качественном уровне, раскрытие содержания, внесение дезинформации, запрет на использование информации).

12 Дерево угроз Блокирование доступа к приложению DOS-атака на сетевой интерфейс Удаленное завершение сервиса с использованием уязвимости переполнения буфера Несанкционированный физический доступ к компьютеру Завершение работы компьютера

13 Уязвимости, воздействия, риски и защитные меры Уязвимость (vulnerability) - это слабость АС, которая может быть использована одной или несколькими угрозами (может существовать и в отсутствии угрозы); Воздействие (impact) – результат инцидента ИБ, вызванного угрозой и нанесшего ущерб; Количественное и качественное измерение воздействия могут быть проведены: - определением финансовых потерь; - использованием эмпирической шкалы серьезности воздействия, например от 1 до 10; - использованием заранее оговоренных уровней (высокий, средний и низкий). Риск (risk) –это возможность конкретной угрозы использовать уязвимости для нанесения ущерба (характеризуется вероятностью использования и величиной ущерба ) Защитные меры (safeguards) это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.

14 Взаимосвязь защитных мер и риска Приемлемый уровень Риск Применение защитных мер Остаточный риск Реализованные защитные меры Планирование: оценка риска, выработка плана безопасности ИТТ Реализация: применение защитных мер

15 Модель нарушителя ИБ нарушители инсайдеры внешние нарушители «продвинутые» непрофессионалы бывшие инсайдеры хакеры самоутверждающиеся «фрилансеры» нелояльные по заказу корыстные цели ОСОЗНАННАЯ НЕОБХОДИМОСТ Ь

16 Формальная теория защиты информации: основные определения Пусть А- конечный алфавит, А* -множество слов конечной длины в алфавите А, L - язык, т.е. множество слов, выделенных по определенным правилам из А*. Аксиома 1. Любая информация в автоматизированной системе представляется словом в некотором языке L. Назовем объектами языка L произвольное конечное множество слов языка L. Преобразованием информации будем называть отображение на множестве слов языка L. Преобразование может -храниться – в этом случае описание преобразования хранится в некотором объекте и ничем не отличается от других данных; -храниться – в этом случае описание преобразования хранится в некотором объекте и ничем не отличается от других данных; -действовать – взаимодействовать с другими ресурсами АС. Ресурсы АС, выделенные для действия называются доменом. Преобразование, которому передано управление, называется процессом. Объект описывающий преобразование, которому выделен домен и передано управление, называется субъектом. Субъект для реализации преобразования осуществляет доступ к объекту. Существует два основных вида доступа: чтение и запись.

17 Информационный поток от O к S O Информационный поток от S к O SSO rw Монитор безопасности обращений S Запрос на доступ O Доступ разрешен МБО Доступ запрещен База правил Многие вопросы безопасности информации описываются доступами субъектов к объектам.

18 Свойства монитора безопасности обращений (МБО) Ни один запрос на доступ субъекта к объекту не должен выполняться в обход МБО Работа монитора должна быть защищена от постороннего вмешательства Представление МБО должно быть достаточно простым для возможной верификации корректности его работы Несмотря на абстрактность, перечисленные свойства реализуются в программно- аппаратных модулях, реализующих функции МБО в реальных системах.

19 Матрица дискреционного доступа (модель Харисcона-Руззо- Ульмана) (Harisson M. Ruzzo W. Ullman J. 1976) Система состоит их следующих элементов: Конечный набор исходных субъектов S Конечный набор исходных объектов O Конечный набор прав доступа R Исходная матрица доступа М Конечный набор команд C Конечный набор состояний Q Поведение системы- последовательность состояний Q, причем каждое последующее состояние есть результат применения команды к предыдущему Поведение системы- последовательность состояний Q, причем каждое последующее состояние есть результат применения команды к предыдущему obj 1obj 2obj 3 subj 1 subj 2 … r r, w … r subj 3 …

20 Безопасность начального состояния Для заданной системы начальное состояние Q называется безопасным относительно права r, если не существует применимой к Q последовательности команд, в результате выполнения которой право r будет занесено в ячейку матрицы, в которой оно отсутствовало в состоянии Q. В противном случает говорят об утечке права r.

21 Примеры команд, описывающих изменение системы (неформальное описание) Создание нового субъекта с получением по отношении к нему прав доступа r, w Передача права доступа {a} от любого субъекта любому субъекту, по отношению к которому субъект обладает правом записи (запись права) Получение права доступа {а} от любого субъекта любому субъекту, по отношению к которому субъект обладает правом чтения (чтение права)

22 Команды, описывающие изменение системы (формальное представление) 1Создание субъекта: create (s,o) create (s,o) create subject o, enter r into M [s,o,], enter w into M [s,o] enter r into M [s,o,], enter w into M [s,o] 2Передача прав доступа grant a (s,o,p) if w in M [s,o] and a in M {s,p] then enter a into M [o,p] 3Получение прав доступа take a (s,o,p) if r in M [s,o] and a in M {o,p] then enter a into M [s,p]

23 Матрица доступа (Модель Харисcона-Руззо-Ульмана Harisson M. Ruzzo W. Ullman J. 1976) Утечка права при передаче прав на «третий» субъект или получение прав от «третьего» субъекта o t s a w o t s a w r, w x o t s a w r, w x 4 5 o t s a w r, w x a o t s a w r, w x a a создание объекта передача (запись) права получение (чтение) права передача (запись) права

24 Критерий безопасности системы Система называется монооперационной, если каждая команда выполняет один примитивный оператор ТЕОРЕМА Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права a

25 Диаграмма информационных потоков (модель Белла-Ла Падулы Bell D.E., LaPadulla L.J.1975) Уровни секретности и категории информации S high O low O high S low write read write read write Высокий уровень секретности Низкий уровень секретности Категории информации Уровни секретности

26 Взаимосвязь ролей, полномочий, пользователей и сеансов R роли P полномочия U пользователи S сеансы users roles permissions UAPA

27 Модель целостности Кларка-Вилсона (Clark D.Wilson D. 1987) S – множество субъектов; D- множество данных; CDI (Constrained Data Items) –данные, целостность которых контролируется; UDI (Unconstrained Data Items) –данные, целостность которых не контролируется; При этом: D= TP (Transformation Procedure)- процедура преобразования, т.е. компонент, инициирующий транзакцию- последовательность операций, переводящей систему из одного состояния в другое IPV (Integrity Verification Procedure) –процедура проверки целостности CDI

28 Правила модели целостности Кларка-Вилсона 1. В системе должны иметься IPV, способные подтверждать целостность любого CDI. 2. Применение любой TP с любому CDI должно сохранять целостность CDI. 3. Только ТР могут вносить изменения в CDI. 4. Субъекты могут инициировать только определенные TP над определенными CDI (поддержка отношений вида: (s,t,d), где S элемент S, t элемент TR, d элемент CDI). 5. Обеспечение политики разделения обязанностей: субъекты не должны изменять CDI без вовлечения в операцию других субъектов. 6. Специальные TP могут превращать UDI в CDI. 7. Каждое применение TP должно региcтрироваться в специальном CDI. При этом: -CDI должен быть доступен только на запись -необходимо регистрировать информацию, достаточную для -восстановления полной картины преобразований. 8 Система должна распознавать субъекты, пытающиеся инициировать TP 9 Тройки (s,t,d) могут модифицировать только определенные субъкты.

29 Структура 20-разрядного счета БББББ-ВВВ-К-ФФФФ-ННННННН, БББББ-ВВВ-К-ФФФФ-ННННННН, БББББ- тип счета в соответствии с российским балансовым счетом БББББ- тип счета в соответствии с российским балансовым счетом ВВВ – код валюты, ВВВ – код валюты, К- контрольная цифра, обеспечивающая целостность данных, К- контрольная цифра, обеспечивающая целостность данных, ФФФФ- номер филиала, ФФФФ- номер филиала, ННННННН- идентификатор счета ННННННН- идентификатор счета

30 Пример расчета контрольного ключа в лицевом счете клиента кредитной организации -1 Определить значение контрольного ключа (К) в лицевом счете клиента кредитной организации Х Кредитная организация, в которой открыт лицевой счет, имеет БИК Определить значение контрольного ключа (К) в лицевом счете клиента кредитной организации Х Кредитная организация, в которой открыт лицевой счет, имеет БИК Выделяется условный номер кредитной организации (7 - 9 разряды БИК). 1. Выделяется условный номер кредитной организации (7 - 9 разряды БИК). 2. В номере лицевого счета приравнивается нулю значение контрольного ключа (К = 0) В номере лицевого счета приравнивается нулю значение контрольного ключа (К = 0) Определяется произведение каждого разряда условного номера кредитной организации и номера лицевого счета на соответствующий весовой коэффициент: 3. Определяется произведение каждого разряда условного номера кредитной организации и номера лицевого счета на соответствующий весовой коэффициент:

31 Пример расчета контрольного ключа в лицевом счете клиента кредитной организации = =67 7*3=21=1 7*3=21= = =70 0*3=0! 0*3=0!

32 Этапы и технологии аутентификации ЭТАПЫ-идентификация -собственно аутентификация -авторизация-администрирование.ТЕХНОЛОГИИ: -взаимная аутентификация: система запрос-ответ сертификаты и ЭЦП

33 Классификация методов аутентификации Основанные на знании некоторого секрета Основанные на использовании уникального предмета Основанные на использовании биометрических характеристик человека Основанные на информации, ассоциированной с пользователем (например, координаты, определяемые по GPS) (допустимы при совместном использовании) При сочетании методов говорят о многофакторной аутентификации

34 Классификация атак на протоколы аутентификации -маскарад (impersonation) -подмена стороны (interleaving attack) -повторная передача (replay attack) -принудительная задержка (forced delay) -атака с перехватом данных (chosen text attack)

35 Методы противодействия атакам -механизмы запрос-ответ A : Х -> B: F (X) ->A ; -механизмы запрос-ответ A : Х -> B: F (X) ->A ; A: F (X) =B: F(X) A: F (X) =B: F(X) -привязка результатов к последующим действиям пользователя; -привязка результатов к последующим действиям пользователя; -периодическое повторение аутентификационных алгоритмов -периодическое повторение аутентификационных алгоритмов Критерии качества аутентификации -взаимность -вычислительная эффективность -коммуникационная эффективность -наличие третьей стороны -гарантии безопасности.

36 Особенности парольных методов и угрозы их безопасности Относительная простота реализации Традиционность Стойкие пороли малопригодны для интерактивного использования Угрозы: -слабости человеческого фактора; -подбор: перебором, по словарю, с использованием сведений о пользователе перебором, по словарю, с использованием сведений о пользователе -недостатки реализации парольных систем (уязвимость сетевых сервисов, недекларированные возможности ПО).

37 Базовая схема идентификации и аутентификации на основе паролей Ввод идентификатора пользователя Правильный идентификатор? Вызов процедуры аутентификации Успех? Уведомление пользователя о входе в систему Допустимое число попыток? Сигнализация о попытке НСД Временная блокировка Уведомление пользователя об ошибке нет нет да нет да да возможно

38 Использование односторонней хэш-функции для проверки пароля h(P A ), ID A h = h ? h(P A ) ID A... Идентификационная таблица Пользователь А Нет Да

39 Требования к хэш-функции может быть применена к аргументу любого размера выходное значение имеет фиксированный размер приемлемость сложности вычислительной реализации чувствительность к изменениям исходного текста однонаправленность вероятность совпадения для двух аргументов ничтожно мала

40 Классификация известных функций хэширования Российский стандарт ГОСТ Р (256 бит) MD (Message Digest)- семейство алгоритмов (128 бит) MD2 –наиболее медленный, MD4 – наиболее быстрый, MD5 – более безопасная модификация MD4 (используется в MS Window для преобразования пароля пользователя в 16-байтовое число SHA (Secure Hash Algorithm) 160 бит

41 Рекомендуемые положения парольной политики Установление минимальной длины пароля Увеличение мощности алфавита Отбраковка словарных единиц Установка срока действия пароля (максимального и минимального) Отбраковка по журналу истории Ограничении числа попыток ввода Принудительная смена пароля при первом входе в систему Задержка при вводе неправильного пароля Автогенерация паролей

42 Классификация СИА по виду идентификационных признаков Системы идентификации и аутентификации Биометрические ЭлектронныеКомбинированные Системы на базе iButton Системы на базе контактных смарт-карт Системы на базе радиочастотных идентификаторов Системы на базе USB-ключей Системы на базе бесконтактных смарт-карт Системы на базе гибридных смарт-карт Статистические Динамические Системы на базе радиочастотных идентификаторов и USB-ключей Биометрические системы и системы на базе контактных смарт-карт Биометрические системы и системы на базе USB-ключей

43 Структура системы защиты от угроз нарушения конфиденциальности информации Организационные меры и меры обеспечения физической безопасности Идентификация и аутентификация Разграничение доступа Криптографические методы Методы защиты внешнего периметра Протоколирование и аудит Вспомогательные методы Методы защиты информации от утечки по техническим каналам

44 Структура системы защиты от угроз нарушения целостности Аутентификация пользователей Минимизация привилегий Разделение обязанностей Механизмы обеспечения корректности транзакций Механизмы выявления, протоколирования и аудита нарушений целостности Криптографические механизмы обеспечения целостности

45 Структура системы защиты от угроз нарушения доступности дублирование каналов связи дублирование «узких мест» (шлюзов, МЭ) запас в пропускной способности сетевого оборудования то же, что и для получения информации избыточные маршруты (динамическая маршрутизация) дублирование серверов использование кластеров управление надежностью оборудования резервное копирование информации создание RAID-массивов зеркалирование серверов Получение информации Обработка информации Передача информации Хранение информации

46 Дублирование шлюзов и межсетевых экранов Дублирование серверов FW1 FW2 Internet FO Failover Основной сервер Резервный сервер ЛВС

47 Классификация технических сбоев и катастроф. Уровень Время простоя Типичные причины Доступность территории предприятия Число лиц, затронутых аварией Воздействие на предприятие A Не более 2 часов Отказ нескольких рабочих станций Да Не более пяти Низкое B Не более 8 часов Отказ сервера, нарушение работы локальной сети Да Более десяти Умеренное C Не более 24 часов Затопление, длительное отключение энергии Нет Около 50 % Значительное DБолее 24 часов 24 часов Землетрясение, наводнение, пожар, террористический акт, война Нет Практически все сотрудники Критическое

48 Предпосылки успешной разработки плана восстановления бизнеса после катастроф (Disaster Recovery Planning) (DRP) признание приоритетности проекта удачный выбор резервного офиса учреждение антикризисного комитета аудит информационно- коммуникационных ресурсов определение критического набора поддерживаемых бизнес-процессов оценка минимально возможного количества персонала

49 Планирование ИКТ резервного офиса выбор расположения резервного офиса формирование перечня оборудования, подлежащего резервированию разработка политики поддержки актуализации данных сценарии настройки рабочих мест пользователей выбор провайдеров телекоммуникационных услуг в резервном офисе

50 Политика поддержки актуализации данных Базируется на классификации данных: по степени влияния на бизнес: по степени влияния на бизнес:-критические;-существенные;-некритические. по частоте изменяемости: -динамические;-квазидинамические; -статические.

51 Технологии актуализации данных для критических и существенных данных: -в реальном режиме времени некритических : -создание и доставка резервных копий. Реализации режима реального времени: -аппаратная; -программная.

52 Резервирование критических компонентов ИКТ Канал актуализации критических данных в реальном режиме времени Локальная сеть основного офиса Локальная сеть резервного офиса Критические компоненты ИКТ Некритические компоненты ИКТ Ротация машинных носителей некритических данных

53 Документирование плана «дерево вызовов» (call tree); описание маршрута следования; инструкция по индивидуальной настройке рабочего места (без участия разработчиков плана); детальный сценарий для отдела ИТ.

54 Тестирование работоспособности плана модель деструктивного события; тестовые копии данных; категории участников тестов; модель «отсутствующих партнеров»; технологии корректного возврата. Коэффициент качества решения: Коэффициент качества решения: K=L/(P*N), где L – число обращений в службу поддержки, L – число обращений в службу поддержки, P- число тестируемых процедур, P- число тестируемых процедур, N- число пользователей, принимавших участие в тестировании N- число пользователей, принимавших участие в тестировании

55 Классификация стандартов в области ИБ Оценочные стандарты Спецификации Предназначены для оценки и классификации автоматизированных систем и средств защиты информации по требованиям безопасности Регламентируют различные аспекты реализации и использования средств и методов защиты Стандарты в области ИБ «Оранжевая книга» РД Гостехкомиссии России «Общие критерии – ГОСТ Р ИСО/МЭК » Х.509 – инфраструктура открытых ключей «Оранжевая книга» ГОСТ – симметричный криптографический алгоритм Управленческие стандарты (ISO 17799, ISO и др.)

56 Оранжевая книга (Критерии оценки доверенных компьютерных систем/Trusted Computer System Evaluation Criteria)-1 Политика безопасности Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов в объектам должна определяться на основании их идентификации и набора правил управления доступом. По мере необходимости должна использоваться политика мандатного управления доступом. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для контроля процедур доступа. Подотчетность Все субъекты должны иметь уникальные идентификаторы. Контроль должен осуществляться на основании идентификации и аутентификации правил разграничения доступа. Для определения степени ответственности пользователя за действия в системе все происходящие в ней события должны регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него события, влияющие на безопасность. Протокол должен быть надежно защищен от НСД, модификации и уничтожения.

57 Оранжевая книга (Критерии оценки доверенных компьютерных систем/Trusted Computer System Evaluation Criteria)-2 Гарантии Средства защиты должны содержать независимые аппаратные или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, регистрацию и учет, должны находить под контролем средств, проверяющих корректность их функционирования. Средства должны быть полностью независимы от средств защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения, причем эта защита должна постоянной и непрерывной в любом режиме функционирования системы защиты и АС в целом. Данное требование распространяется на весь жизненный цикл АС «Оранжевая книга» определяет четыре группы классов защищенности: А- содержит единственный класс A1; B- содержит классы B1,B2 и B3; C- содержит классы C1 и C2; D- содержит единственный класс D1. Группа D – минимальная защита (относятся системы, представленные для сертификации по требованиям одного из более высоких классов,но не прошедшие испытания). Группа C – дискреционная или ролевая защита, С1 – только защита, C2 – плюс управление доступом.

58 Оранжевая книга (Критерии оценки доверенных компьютерных систем/Trusted Computer System Evaluation Criteria)-3 Класс C1 рассчитан но однопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности. Класс C2 обеспечивает более избирательное управление доступом путем применения средств индивидуального контроля за действиями пользователями, регистрации, учета событий и выделением ресурсов. Группа B –мандатная защита Класс B1 – защита с применением меток безопасности Класс B2 – структурированная защита с ядром безопасности, поддерживающем определенную и четко структурированную модель безопасности. Должен осуществлять контроль скрытых каналов передачи информации. Класс B3 – домены безопасности: ядро поддерживает монитор безопасности, который контролирует все типы доступа и который невозможно обойти. Средства аудита включает механизмы оповещения администратора о события, имеющих отношение в безопасности. Необходимо наличие средств восстановления работоспособности системы. Группа A –верифицированная защита (формальные методы верификации корректности механизмов управления доступом и систем защиты.

59 Руководящие документы Гостехкомиссии России ( в настоящее время Федеральная Служба Технического и Экспортного Контроля) Защита от НСД. Термины и определения Концепция защиты средств СВТ и АС от НСД АС. Защита от НСД к информации СВТ. Защита от НСД к информации. Показатели защищенности от НСД. СВТ. Межсетевые экраны. Защита от НСД. Показатели защищенности Защита от НСД. Программное обеспечение средств защиты информации. Классификация по уровню недекларированных возможностей.

60 Руководящие документы Гостехкомиссии России Основные положения концепции защиты средств СВТ и АС от НСД –Определения и способы Под НСД понимается доступ к информации, нарушающий установленные правила доступа, с использованием штатных средств, предоставляемых СВТ или АС Основные способы НСД: -непосредственное обращение в объектам доступа; -создание программных и аппаратных средств, выполняющих обращение в обход средств защиты; -модификация средств защиты; -внедрение программных и аппаратных механизмов, нарушающих структуру и функции СВТ или АС.

61 Руководящие документы Гостехкомиссии России Основные положения концепции защиты средств СВТ и АС от НСД –Принципы защиты Принципы защиты от НСД -защита основывается на положениях и требованиях соответствующих законов, стандартов и нормативных документов; -защита СВТ и АС обеспечивается комплексом программно- технических средств и поддерживающих их организационных мер; -защита СВТ и АС должна обеспечиваться на всех стадиях жизненного цикла, в том числе и при проведении ремонтных и регламентных работ; -программно-технические средства защиты не должны существенно ухудшать функциональные характеристики АС; -неотъемлемой частью работ по защите является оценка эффективности средств защиты -защита АС должна предусматривать контроль эффективности, который может быть либо периодическим, либо инициироваться проверяющими органами.

62 Руководящие документы Гостехкомиссии России Основные положения концепции защиты средств СВТ и АС от НСД – Классификация нарушителей Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ: -возможность ведения диалога в АС; -возможность создания и запуска собственных программ; -возможность управления функционированием АС, т.е. воздействие на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования; -полный объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения с состав СВТ собственных технических средств с новыми функциями по обработке информации.

63 Недостатки стандартов ИБ первого поколения Документы ориентированы на обеспечение защиты от нарушения конфиденциальности и, в определенной степени целостности. Угрозы нарушения доступности не рассматриваются. Используемый «табличный» подход не позволяет учесть специфику конкретных продуктов и систем. В РД Гостехкомиссии отсутствует понятие политики безопасности. Документы содержат перечень механизмов, наличие которых необходимо для отнесения СВТ или АС с тому или иному классу защищенности. Не формализованы методы проверки корректности и адекватности реализации функциональных требований. Формулировки ряда требований допускают неоднозначную интерпретацию

64 Стандарт ISO/IEC Common Criteria for Information Technology Security Evaluation (ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ» (Общие критерии (ОК) Введение и общая модель Функциональные требования безопасности Требования доверия к безопасности Введен в действие в РФ с Основное свойство максимально возможная универсальность: под объектом оценки (ОО) понимается произвольный продукт ИТ или система и руководствами администратора и пользователя. Продукт рассматривается как совокупность программно-аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в состав различных систем. Система – это специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации.

65 Категории пользователей и среда безопасности в ОК Категории пользователей: -потребители-разработчики-оценщики Объект оценки рассматривается в контексте т.н. среды безопасности: -законодательная среда; -административная среда; -процедурная среда; -программно-техническая среда.

66 Аспекты среды ОО Предположения безопасности Угрозы безопасности Политика безопасности Требования безопасности -функциональные требования -требования доверия. При формулировании требований возможна разработка двух документов: Профиль защиты (ПЗ) Задание на безопасность (ЗБ)

67 Ограничения стандарта ОК Не содержит критериев оценки, касающихся администрирования механизмов безопасности, не относящимся к ИТ (управление персоналом, физическая безопасность). Эти аспекты могут рассматривать как предположения безопасности. Контроль ПЭМИН не затрагивается Использование результатов оценки при аттестации продуктов и систем находятся вне области действия ОК Не входят критерии оценки специфических свойств криптографических алгоритмов. Должны выполняться как самостоятельная процедура Не рассмотрена ни методология оценки, ни административно- правовая структура, в рамках которой критерии могут применяться органами оценки.